[发明专利]检测撞库攻击的方法及装置

权利要求书

1.一种检测撞库攻击的方法，其特征在于，该方法包括以下步骤：

获取预定时间内接收到的登录请求的源IP地址和登录信息，所述登录信息包括用户名、密码；

根据获取到的源IP地址和登录信息，确定所述获取到的源IP地址中具有高频登录行为的源IP地址；

根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击，其中，所述具有语义的密码为具有语义的概率超过预定概率阈值的密码；

其中，基于预先生成的语言模型计算所述源IP地址在所述预定时间内发起的登录请求所使用的密码具有语义的概率。

2.根据权利要求1所述的方法，其特征在于，获取预定时间内接收到的登录请求的源IP地址和登录信息的步骤包括：

获取服务器端的HTTP服务器日志、动态语言日志和/或数据库日志；

基于所述HTTP服务器日志、动态语言日志和/或数据库日志，提取所述预定时间内接收到的登录请求的源IP地址和登录信息。

3.根据权利要求1所述的方法，其特征在于，根据获取到的源IP地址和登录信息，确定所述获取到的源IP地址中具有高频登录行为的源IP地址的步骤包括：

根据获取到的源IP地址和登录信息，提取出所述获取到源IP地址中每个源IP地址发起的登录请求的登录信息；

根据提取出的每个源IP地址发起的登录请求的登录信息，确定所述源IP地址是否具有高频登录行为。

4.根据权利要求1所述的方法，其特征在于，根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击的步骤包括：

计算所述具有高频登录行为的源IP地址在所述预定时间内发起登录请求所使用的密码具有语义的概率，以确定所述密码中具有语义的密码；

统计所述源IP地址在所述预定时间内发起登录请求所使用的密码中具有语义的密码的占比是否超过第一预定比值；

基于上述统计结果，确定所述具有高频登录行为的源IP地址发起的登录请求是否为撞库攻击。

5.根据权利要求4所述的方法，其特征在于，根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击的步骤还包括：

统计所述预定时间内所述具有高频登录行为的源IP地址发起登录请求所使用的用户名的去重用户名数与所述源IP地址发起的登录请求数的比值是否超过第二预定比值；和/或

统计所述预定时间内所述具有高频登录行为的源IP地址发起登录请求所使用的密码的去重密码数与所述源IP地址的发起登录请求所使用的用户名的去重用户名数的比值是否超过第三预定比值。

6.一种检测撞库攻击的装置，其特征在于，该装置包括：

获取单元，用于获取预定时间内接收到的登录请求的源IP地址和登录信息，所述登录信息包括用户名、密码；

确定单元，用于根据获取到的源IP地址和登录信息，确定所述获取到的源IP地址中具有高频登录行为的源IP地址；

判断单元，用于根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击，其中，所述具有语义的密码为具有语义的概率超过预定概率阈值的密码；

其中，基于预先生成的语言模型计算所述源IP地址在所述预定时间内发起的登录请求所使用的密码具有语义的概率。

7.根据权利要求6所述的装置，其特征在于，所述获取单元包括：

日志获取子单元，用于获取服务器端的HTTP服务器日志、动态语言日志和/或数据库日志；

信息提取子单元，用于基于所述HTTP服务器日志、动态语言日志和/或数据库日志，提取所述预定时间内接收到的登录请求的源IP地址和登录信息。