CN114584363A - 网络攻击检测方法、装置、设备及计算机可读存储介质 - Google Patents
网络攻击检测方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114584363A CN114584363A CN202210193932.7A CN202210193932A CN114584363A CN 114584363 A CN114584363 A CN 114584363A CN 202210193932 A CN202210193932 A CN 202210193932A CN 114584363 A CN114584363 A CN 114584363A
- Authority
- CN
- China
- Prior art keywords
- behavior
- parameter information
- user
- network attack
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000012550 audit Methods 0.000 claims abstract description 35
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 230000006399 behavior Effects 0.000 claims description 228
- 238000004590 computer program Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 11
- 230000003287 optical effect Effects 0.000 description 6
- 238000005336 cracking Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种网络攻击检测方法、装置、设备及计算机可读存储介质,通过在监测到用户登录行为后,判断用户登录行为是否满足预设的用户行为审计条件,若用户登录行为满足用户行为审计条件,则采集用户登录行为对应的行为参数信息,将行为参数信息上报服务端,以使服务端基于行为参数信息判断用户登录行为是否为网络攻击,在客户端进行了多重判断,多重判断使得检测结果准确,当判断出用户登录行为为网络攻击时,采取相应措施阻止,避免信息或数据的泄露,保证信息或数据的安全,使得网络攻击检测方法成熟可靠,本实施例提供的方法不仅适用于外网环境,而且适用于内网环境,提高了网络攻击检测方法的通用性。
Description
技术领域
本公开涉及信息安全技术领域,尤其涉及一种网络攻击检测方法、装置、设备及计算机可读存储介质。
背景技术
暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码,破解时间大大缩短。
通常情况下,我们可以通过设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等方法来防御暴力攻击。然而,光靠防御是远远不够的,如果可以检测出暴力破解,就可以采取措施及时遏制,避免信息泄露。
但是,现有的暴力攻击检测或是采用较为复杂的检测算法以至于难以理解和使用,或是缺乏有效的检测机制导致对暴力攻击的误判或漏判,或是只适用于外网环境而不能应用于内网环境。
发明内容
为了解决上述技术问题,本公开提供了一种网络攻击检测方法、装置、设备及计算机可读存储介质,以较为简单准确的判断出用户登录行为是否为网络攻击,进而采取相应措施阻止,避免信息或数据的泄露,保证信息或数据的安全。
第一方面,本公开实施例提供一种网络攻击检测方法,应用于客户端,包括:
在监测到用户登录行为后,判断所述用户登录行为是否满足预设的用户行为审计条件;
若所述用户登录行为满足所述用户行为审计条件,则采集所述用户登录行为对应的行为参数信息;
基于所述行为参数信息判断所述用户登录行为是否为网络攻击。
第二方面,本公开实施例提供一种网络攻击检测方法,应用于客户端,包括:
接收客户端上报的行为参数信息,其中,所述行为参数信息为所述客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息;
展示所述行为参数信息。
第三方面,本公开实施例提供一种网络攻击检测装置,应用于客户端,包括:
第一判断单元,用于在监测到用户登录行为后,判断所述用户登录行为是否满足预设的用户行为审计条件;
采集单元,用于所述判断单元判断所述用户登录行为满足所述用户行为审计条件后,采集所述用户登录行为对应的行为参数信息;
第二判断单元,用于基于所述行为参数信息判断所述用户登录行为是否为网络攻击。
第四方面,本公开实施例提供一种网络攻击检测装置,应用于服务端,包括:
接收单元,用于接收客户端上报的行为参数信息,其中,所述行为参数信息为所述客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息;
展示单元,用于展示所述行为参数信息。
第五方面,本公开实施例提供一种电子设备,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面或第二方面所述的方法。
第六方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现第一方面或第二方面所述的方法。
第七方面,本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序或指令,该计算机程序或指令被处理器执行时实现如上所述的网络攻击检测方法。
本公开实施例提供的网络攻击检测方法、装置、设备及计算机可读存储介质,通过在监测到用户登录行为后,判断用户登录行为是否满足预设的用户行为审计条件,若用户登录行为满足用户行为审计条件,则采集用户登录行为对应的行为参数信息,基于所述行为参数信息判断所述用户登录行为是否为网络攻击。由于先判断用户登录行为是否满足预设的用户行为审计条件,再采集用户登录行为对应的行为参数信息,基于行为参数信息判断用户登录行为是否为网络攻击,检测机制简单,在客户端进行了多重判断,多重判断使得检测结果准确,使得网络攻击检测方法成熟可靠,本实施例提供的方法不仅适用于外网环境,而且适用于内网环境,提高了网络攻击检测方法的通用性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的网络攻击检测方法流程图;
图2为本公开实施例提供的一种应用场景的示意图;
图3为本公开另一实施例提供的网络攻击检测方法流程图;
图4为本公开另一实施例提供的网络攻击检测方法流程图;
图5为本公开实施例提供的网络攻击检测装置的结构示意图;
图6为本公开实施例提供的网络攻击检测装置的结构示意图;
图7为本公开实施例提供的电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。基于所描述的本发明的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
通常情况下,我们可以通过设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等方法来防御暴力攻击。然而,光靠防御是远远不够的,如果可以检测出暴力破解,就可以采取措施及时遏制,避免信息泄露。
但是,现有的暴力攻击检测或是采用较为复杂的检测算法以至于难以理解和使用,或是缺乏有效的检测机制导致对暴力攻击的误判或漏判,或是只适用于外网环境而不能应用于内网环境。针对该问题,本公开实施例提供了一种网络攻击检测方法,下面结合具体的实施例对该方法进行介绍。
图1为本公开实施例提供的网络攻击检测方法流程图。该方法可以应用于图2所示的应用场景,该应用场景中包括服务端21和客户端22,客户端22具体可以是终端,例如,智能手机、掌上电脑、平板电脑、带显示屏的可穿戴设备、台式机、笔记本电脑、一体机、智能家居设备等。可以理解的是,本公开实施例提供的网络攻击检测方法还可以应用在其他场景中。
下面结合图2所示的应用场景,对图1所示的网络攻击检测方法进行介绍,该方法应用于客户端,包括的具体步骤如下:
S101、在监测到用户登录行为后,判断用户登录行为是否满足预设的用户行为审计条件。
如图2所示的客户端22实时监测用户行为,用户行为包括用户登录行为,在监测到用户登录行为后,获取客户端登录日志,进而解析登录日志判断用户登录行为是否满足预设的用户行为审计条件。具体的,登录日志中会记录登录行为的日期和时间、用户、登录成功或失败等,用户行为审计条件由服务端下发或者预先配置在客户端中。
S102、若用户登录行为满足用户行为审计条件,则采集用户登录行为对应的行为参数信息。
例如,用户行为审计条件为十分钟内连续登录失败五次,如果该用户登录行为在十分钟内登录失败四次,则用户登录行为不满足用户行为审计条件;如果该用户登录行为在十分钟内登录失败五次或五次以上,则用户登录行为满足用户行为审计条件,进而采集用户登录行为对应的行为参数信息。用户登录行为对应的行为参数信息可以是客户端IP、远程IP、预设时间段内登录失败的次数等。
S103、基于行为参数信息判断用户登录行为是否为网络攻击。
如图2所示的客户端22在采集到用户登录行为对应的行为参数信息后,基于行为参数信息判断用户登录行为是否为网络攻击。如此,可以较为简单准确的判断出用户登录行为是否为网络攻击,进而采取相应措施阻止,避免信息或数据的泄露,保证信息或数据的安全。
本公开实施例通过在监测到用户登录行为后,判断用户登录行为是否满足预设的用户行为审计条件,若用户登录行为满足用户行为审计条件,则采集用户登录行为对应的行为参数信息,基于行为参数信息判断用户登录行为是否为网络攻击。由于先判断用户登录行为是否满足预设的用户行为审计条件,再采集用户登录行为对应的行为参数信息,基于行为参数信息判断用户登录行为是否为网络攻击,检测机制简单,在客户端进行了多重判断,多重判断使得检测结果准确,使得网络攻击检测方法成熟可靠,本实施例提供的方法不仅适用于外网环境,而且适用于内网环境,提高了网络攻击检测方法的通用性。
在上述实施例的基础上,用户行为审计条件包括以下至少一个:预设时间段内登录失败的次数大于第一阈值、一天内登录失败的总次数大于第二阈值、账号名称、登录地点、登录所用浏览器、访问协议,第二阈值大于第一阈值。
具体的,用户行为审计条件可以包括预设时间段内登录失败的次数大于第一阈值、一天内登录失败的总次数大于第二阈值。例如,第一阈值为十分钟内登录失败五次,第二阈值为一天内登录失败的总次数为十次。如果该用户登录行为在十分钟内登录失败五次或五次以上,即大于第一阈值,或者该用户登录行为在一天内登录失败的总次数为十次或十次以上,即大于第二阈值,则确定该用户登录行为满足用户行为审计条件。可选的,用户行为审计条件也可以是服务端下发或者预先配置在客户端中,用户可以自行配置用户行为审计条件,例如账号名称是否为A用户、登录地点是否为B地点、登录所用浏览器是否为C浏览器、访问协议是否为文件传输协议(File Transfer Protocol,ftp)或简单文件传输协议(Trivial File Transfer Protocol,tftp)或超文本传输协议(Hyper Text TransferProtocol,http)等,用户行为审计条件可以是以上的任意一项,也可以是任意几项的组合。
可选的,行为参数信息包括以下至少一个:客户端IP、远程IP、账号名称、登录地点、登录所用浏览器、访问协议、预设时间段内登录失败的次数。
具体的,行为参数信息包括客户端IP、远程IP、预设时间段内登录失败的次数、一天内登录失败的总次数,还可以包括账号名称、登录地点、登录所用浏览器、访问协议、登录的日期和时间等。
可选的,基于行为参数信息判断用户登录行为是否为网络攻击之后,方法还包括:若用户登录行为为网络攻击,则将行为参数信息上报服务端,服务端用于展示行为参数信息。
例如,终端基于行为参数信息判断出用户登录行为为网络攻击后,将行为参数信息上报服务端,服务端用于展示行为参数信息,可以直观地显示出该网络攻击的行为参数信息,以便于用户采取相应措施及时阻止该网络攻击,避免信息或数据的泄露,保证信息或数据的安全。
可选的,将行为参数信息上报服务端后,方法还包括:接收服务端发送的指令,指令为服务端生成的应对网络攻击的指令;执行指令以应对网络攻击。
如图2所示的客户端22将行为参数信息上报服务端21后,服务端21向客户端22发送指令,指令为服务端生成的应对网络攻击的指令,客户端22接收服务端21发送的指令,并执行该指令以应对网络攻击,从而避免信息或数据的泄露,保证信息或数据的安全。
本公开实施例通过判断用户登录行为是否满足用户行为审计条件,用户行为审计条件包括以下至少一个:预设时间段内登录失败的次数大于第一阈值、一天内登录失败的总次数大于第二阈值、账号名称、登录地点、登录所用浏览器、访问协议,如果该用户登录行为满足用户行为审计条件,则采集该用户登录行为对应的行为参数信息,行为参数信息包括以下至少一个:客户端IP、远程IP、账号名称、登录地点、登录所用浏览器、访问协议、预设时间段内登录失败的次数,进一步将行为参数信息上报给服务端,服务端向客户端发送应对网络攻击的指令,客户端接收服务端发送的指令,并执行该指令以应对网络攻击,从而避免信息或数据的泄露,保证信息或数据的安全。
图3为本公开另一实施例提供的网络攻击检测方法流程图,如图3所示,该方法应用于服务端,包括如下几个步骤:
S301、接收客户端上报的行为参数信息,其中,行为参数信息为客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息。
如图2所示的客户端22在采集到用户登录行为对应的行为参数信息后,将行为参数信息上报服务端21,服务端21接收客户端22上报的行为参数信息,其中,行为参数信息为客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息,行为参数信息包括客户端IP、远程IP、预设时间段内登录失败的次数,还可以包括账号名称、登录地点、登录所用浏览器、访问协议、登录的日期和时间等。
S302、展示行为参数信息。
具体的,服务端21在接收到客户端22上报的行为参数信息后,展示行为参数信息,可以直观地显示出该网络攻击的行为参数信息,以便于用户采取相应措施及时阻止该网络攻击,避免信息或数据的泄露,保证信息或数据的安全。
可选的,服务端可以基于大数据对行为参数信息进行审计分析,进一步验证用户登录行为是否为网络攻击,从而使得检测结果更准确。具体的,根据参数信息中的任一项或者任意几项的组合作为查找条件,利用大数据查找。
例如,查找条件为登录地点、远程IP和客户端IP,利用大数据查找到异常登录记录,如果查找到同时符合以上三个条件的异常登录记录,则进一步验证该用户登录行为为网络攻击。
本公开实施例通过接收客户端上报的行为参数信息,其中,行为参数信息为客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息,基于行为参数信息判断用户登录行为是否为网络攻击。本实施例通过客户端与服务端的交互达到识别、审计网络攻击行为的效果。检测机制简单,在客户端进行了多重判断,多重判断使得检测结果准确,使得网络攻击检测方法成熟可靠,本实施例提供的方法不仅适用于外网环境,而且适用于内网环境,提高了网络攻击检测方法的通用性。
图4为本公开另一实施例提供的网络攻击检测方法流程图,如图4所示,该方法应用于服务端,包括如下几个步骤:
S401、接收客户端上报的行为参数信息,其中,行为参数信息为客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息。
具体的,S401和S301的实现过程和原理一致,此处不再赘述。
S402、展示行为参数信息。
具体的,S402和S302的实现过程和原理一致,此处不再赘述。S403、基于行为参数信息,确定用户登录行为的风险等级。
如图2所示的服务端21基于行为参数信息,确定用户登录行为的风险等级。具体的,根据一段时间内持续登录失败的次数用户登录行为的风险等级可以分为高、中、低。
可选的,在一小时内,登录失败次数为二十次以上,风险等级为高;登录失败次数为十次到二十次之间,风险等级为中;登录失败次数为十次以内,风险等级为低。
S404、确定风险等级对应的应对网络攻击的指令。
例如,风险等级为高时,下发遏制指令:在防火墙上配置IP黑名单,封堵暴力破解的攻击源主机,对于攻击成功的暴力破解,断开受威胁主机的网络连接进行隔离,防止恶意攻击持续扩散;风险等级为中时,下发预防指令:使用强密码并定期进行修改,在网络入口部署入侵检测设备或防火墙,增强安全防护;风险等级为低时,下发告警指令:修改账号密码,防止此类事件再次发生,并使用客户端端杀毒软件进行全盘查杀。
S405、向客户端下发指令,以使客户端执行指令以应对网络攻击。
服务端21确定风险等级对应的应对网络攻击的指令后,向客户端22下发指令,以使客户端执行指令以应对网络攻击,从而避免信息或数据的泄露,保证信息或数据的安全。
本公开实施例通过接收客户端上报的行为参数信息,其中,行为参数信息为客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息,展示行为参数信息。进一步,基于行为参数信息,确定用户登录行为的风险等级,确定风险等级对应的应对网络攻击的指令,向客户端下发指令,以使客户端执行指令以应对网络攻击。本实施例通过客户端与服务端的交互达到识别、审计网络攻击行为的效果。检测机制简单,在客户端进行了多重判断,多重判断使得检测结果准确,使得网络攻击检测方法成熟可靠,本实施例提供的方法不仅适用于外网环境,而且适用于内网环境,提高了网络攻击检测方法的通用性,可以较为简单准确的判断出用户登录行为是否为网络攻击,进而采取相应措施阻止,避免信息或数据的泄露,保证信息或数据的安全。
图5为本公开实施例提供的网络攻击检测装置的结构示意图。该网络攻击检测装置可以是如上实施例所述的客户端,或者该网络攻击检测装置可以该客户端中的部件或组件。本公开实施例提供的网络攻击检测装置可以执行网络攻击检测方法实施例提供的处理流程,如图5所示,网络攻击检测装置50包括:第一判断单元51、采集单元52、第二判断单元53;其中,第一判断单元51用于在监测到用户登录行为后,判断所述用户登录行为是否满足预设的用户行为审计条件;采集单元52用于所述判断单元判断所述用户登录行为满足所述用户行为审计条件后,采集所述用户登录行为对应的行为参数信息;上报单元53用于基于所述行为参数信息判断所述用户登录行为是否为网络攻击。
可选的,所述用户行为审计条件包括以下至少一个:预设时间段内登录失败的次数大于第一阈值、登录失败的总次数大于第二阈值、账号名称、登录地点、登录所用浏览器、访问协议,所述第二阈值大于所述第一阈值。
可选的,所述行为参数信息包括以下至少一个:客户端IP、远程IP、账号名称、登录地点、登录所用浏览器、访问协议、预设时间段内登录失败的次数。
可选的,网络攻击检测装置50还包括:上报单元54;上报单元54用于当所述用户登录行为为网络攻击时,将所述行为参数信息上报服务端,所述服务端用于展示所述行为参数信息。
可选的,网络攻击检测装置50还包括:接收单元55和/或执行单元56;其中,接收单元55用于接收所述服务端发送的指令,所述指令为所述服务端生成的应对所述网络攻击的指令;执行单元56用于执行所述指令以应对所述网络攻击。
图5所示实施例的网络攻击检测装置可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本公开实施例提供的网络攻击检测装置的结构示意图。该网络攻击检测装置可以是如上实施例所述的服务端,或者该网络攻击检测装置可以该服务端中的部件或组件。本公开实施例提供的网络攻击检测装置可以执行网络攻击检测方法实施例提供的处理流程,如图6所示,网络攻击检测装置60包括:接收单元61、展示单元62;其中,接收单元61用于接收客户端上报的行为参数信息,其中,所述行为参数信息为所述客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息;展示单元62用于展示所述行为参数信息。
可选的,网络攻击检测装置60还包括:第一确定单元63、第二确定单元64和/或下发单元65;其中,第一确定单元63用于基于所述行为参数信息,确定所述用户登录行为的风险等级;第二确定单元64用于确定所述风险等级对应的应对所述网络攻击的指令;下发单元65用于向所述客户端下发所述指令,以使所述客户端执行所述指令以应对所述网络攻击。
图6所示实施例的网络攻击检测装置可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本公开实施例提供的电子设备的结构示意图。该嵌入式设备可以是如上实施例所述的客户端或服务端。本公开实施例提供的电子设备可以执行网络攻击检测方法实施例提供的处理流程,如图7所示,电子设备70包括:存储器71、处理器72、计算机程序和通讯接口73;其中,计算机程序存储在存储器71中,并被配置为由处理器72执行如上所述的网络攻击检测方法。
另外,本公开实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现上述实施例所述的网络攻击检测方法。
此外,本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序或指令,该计算机程序或指令被处理器执行时实现如上所述的网络攻击检测方法。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:
在监测到用户登录行为后,判断所述用户登录行为是否满足预设的用户行为审计条件;
若所述用户登录行为满足所述用户行为审计条件,则采集所述用户登录行为对应的行为参数信息;
基于所述行为参数信息判断所述用户登录行为是否为网络攻击。
另外,该电子设备还可以执行如上所述的网络攻击检测方法中的其他步骤。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上***(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种网络攻击检测方法,其特征在于,应用于客户端,包括:
在监测到用户登录行为后,判断所述用户登录行为是否满足预设的用户行为审计条件;
若所述用户登录行为满足所述用户行为审计条件,则采集所述用户登录行为对应的行为参数信息;
基于所述行为参数信息判断所述用户登录行为是否为网络攻击。
2.根据权利要求1所述的方法,其特征在于,所述用户行为审计条件包括以下至少一个:
预设时间段内登录失败的次数大于第一阈值、一天内登录失败的总次数大于第二阈值、账号名称、登录地点、登录所用浏览器、访问协议,所述第二阈值大于所述第一阈值。
3.根据权利要求1所述的方法,其特征在于,所述基于所述行为参数信息判断所述用户登录行为是否为网络攻击之后,所述方法还包括:
若所述用户登录行为为网络攻击,则将所述行为参数信息上报服务端,所述服务端用于展示所述行为参数信息。
4.根据权利要求3所述的方法,其特征在于,所述将所述行为参数信息上报服务端后,所述方法还包括:
接收所述服务端发送的指令,所述指令为所述服务端生成的应对所述网络攻击的指令;
执行所述指令以应对所述网络攻击。
5.根据权利要求1-4任一所述的方法,其特征在于,所述行为参数信息包括以下至少一个:
客户端IP、远程IP、账号名称、登录地点、登录所用浏览器、访问协议、预设时间段内登录失败的次数、一天内登录失败的总次数。
6.一种网络攻击检测方法,其特征在于,应用于服务端,包括:
接收客户端上报的行为参数信息,其中,所述行为参数信息为所述客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息;
展示所述行为参数信息。
7.根据权利要求6所述的方法,其特征在于,所述展示所述行为参数信息之后,所述方法还包括:
基于所述行为参数信息,确定所述用户登录行为的风险等级;
确定所述风险等级对应的应对所述网络攻击的指令;
向所述客户端下发所述指令,以使所述客户端执行所述指令以应对所述网络攻击。
8.一种网络攻击检测装置,其特征在于,应用于客户端,包括:
第一判断单元,用于在监测到用户登录行为后,判断所述用户登录行为是否满足预设的用户行为审计条件;
采集单元,用于所述判断单元判断所述用户登录行为满足所述用户行为审计条件后,采集所述用户登录行为对应的行为参数信息;
第二判断单元,用于基于所述行为参数信息判断所述用户登录行为是否为网络攻击。
9.一种网络攻击检测装置,其特征在于,应用于服务端,包括:
接收单元,用于接收客户端上报的行为参数信息,其中,所述行为参数信息为所述客户端判断用户登录行为满足预设的用户行为审计条件后,采集的行为参数信息;
展示单元,用于展示所述行为参数信息。
10.一种电子设备,其特征在于,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1至5中任一所述的方法,或实现如权利要求6至7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210193932.7A CN114584363A (zh) | 2022-03-01 | 2022-03-01 | 网络攻击检测方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210193932.7A CN114584363A (zh) | 2022-03-01 | 2022-03-01 | 网络攻击检测方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114584363A true CN114584363A (zh) | 2022-06-03 |
Family
ID=81771910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210193932.7A Pending CN114584363A (zh) | 2022-03-01 | 2022-03-01 | 网络攻击检测方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584363A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115189930A (zh) * | 2022-06-27 | 2022-10-14 | 珠海豹趣科技有限公司 | 一种防止账户***的方法、装置和电子设备 |
| CN117014232A (zh) * | 2023-10-07 | 2023-11-07 | 创云融达信息技术(天津)股份有限公司 | 一种拒绝服务攻击的防御方法、装置、设备和介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656640A (zh) * | 2017-03-14 | 2017-05-10 | 北京深思数盾科技股份有限公司 | 网络攻击的预警方法及装置 |
| CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
| CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
| CN110581827A (zh) * | 2018-06-07 | 2019-12-17 | 深信服科技股份有限公司 | 一种针对于暴力破解的检测方法及装置 |
| CN110866246A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种恶意代码攻击的检测方法、装置及电子设备 |
| US20210288981A1 (en) * | 2020-03-14 | 2021-09-16 | Microsoft Technology Licensing, Llc | Identity attack detection and blocking |
-
2022
- 2022-03-01 CN CN202210193932.7A patent/CN114584363A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656640A (zh) * | 2017-03-14 | 2017-05-10 | 北京深思数盾科技股份有限公司 | 网络攻击的预警方法及装置 |
| CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
| CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
| CN110581827A (zh) * | 2018-06-07 | 2019-12-17 | 深信服科技股份有限公司 | 一种针对于暴力破解的检测方法及装置 |
| CN110866246A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种恶意代码攻击的检测方法、装置及电子设备 |
| US20210288981A1 (en) * | 2020-03-14 | 2021-09-16 | Microsoft Technology Licensing, Llc | Identity attack detection and blocking |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115189930A (zh) * | 2022-06-27 | 2022-10-14 | 珠海豹趣科技有限公司 | 一种防止账户***的方法、装置和电子设备 |
| CN117014232A (zh) * | 2023-10-07 | 2023-11-07 | 创云融达信息技术(天津)股份有限公司 | 一种拒绝服务攻击的防御方法、装置、设备和介质 |
| CN117014232B (zh) * | 2023-10-07 | 2024-01-26 | 创云融达信息技术(天津)股份有限公司 | 一种拒绝服务攻击的防御方法、装置、设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10498761B2 (en) | Method for identifying phishing websites and hindering associated activity | |
| US9979742B2 (en) | Identifying anomalous messages | |
| US8707427B2 (en) | Automated malware detection and remediation | |
| EP3461103B1 (en) | Ip reputation | |
| KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN113542279B (zh) | 一种网络安全风险评估方法、***及装置 | |
| US20140380478A1 (en) | User centric fraud detection | |
| CN114584363A (zh) | 网络攻击检测方法、装置、设备及计算机可读存储介质 | |
| JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| CN110535806B (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
| CN112926048B (zh) | 一种异常信息检测方法和装置 | |
| WO2007062086A2 (en) | Domain name system security network | |
| US20120254947A1 (en) | Distributed Real-Time Network Protection for Authentication Systems | |
| CN113542227A (zh) | 账号安全防护方法、装置、电子装置和存储介质 | |
| CN112000719A (zh) | 数据安全态势感知***、方法、设备及存储介质 | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN112953896A (zh) | 日志报文的回放方法及装置 | |
| CN106953874B (zh) | 网站防篡改方法及装置 | |
| CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
| CN108667812B (zh) | 用于专用主机的多指标评分的白环境可信度分析方法 | |
| KR101765200B1 (ko) | 시스템 보안관리장치 및 그 방법 | |
| JP7036193B2 (ja) | ヒアリングシステム、脅威対応システム、方法およびプログラム | |
| US10819730B2 (en) | Automatic user session profiling system for detecting malicious intent | |
| CN109255243B (zh) | 一种终端内潜在威胁的修复方法、***、装置及存储介质 | |
| CN110784471A (zh) | 黑名单采集管理方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |