[发明专利]一种暴力破解的检测方法及装置

权利要求书

1.一种暴力破解的检测方法，其特征在于，应用于电子设备，所述方法包括：

统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输，确定每次数据传输过程对应的特征向量，其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小，接收的数据包数量和接收的数据包大小；

采用预设的密度聚类算法，及针对该设定时间长度确定的半径参数和密度阈值，对所述设定时间长度内的特征向量进行聚类处理；

针对每个聚类，根据处于该聚类中的每个特征向量，对该特征向量对应的连接发起者和连接响应者的可疑次数更新，判断更新后的可疑次数是否大于预设次数阈值，如果是，确定所述连接发起者对所述连接响应者进行暴力破解。

2.如权利要求1所述的方法，其特征在于，所述统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输，确定每次数据传输过程对应的特征向量包括：

将数据传输的单向网络流程序netflow拼接为双向流，根据所述双向流，统计设定时间长度内数据包的传输，确定连接发起者和连接响应者；

针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者，根据每次数据传输过程中传输的数据包的数量和数据包的大小，确定每次数据传输过程对应的特征向量。

3.如权利要求1所述的方法，其特征在于，确定半径参数和密度阈值的过程包括：

根据保存的特征向量的数量与密度阈值的对应关系，确定该特征向量的数量对应的密度阈值；

针对每个特征向量，确定与该特征向量对应的第一特征点距离较小的密度阈值的第二特征点，将该第一特征点与第二特征点的距离最大值，确定为目标距离；

根据每个特征向量对应的目标距离，确定所述半径参数；

其中，根据每个特征向量在一个四维空间中，确定每个特征向量对应的特征点。

4.如权利要求1所述的方法，其特征在于，所述预设的密度聚类算法包括：

基于密度的应用与噪声的空间聚类DBSCAN算法。

5.如权利要求1所述的方法，其特征在于，所述确定每次数据传输过程对应的特征向量之后，采用预设的密度聚类算法，及针对该设定时间长度确定的半径参数和密度阈值，对所述设定时间长度内的特征向量进行聚类处理之前，所述方法还包括：

对每个特征向量中包含的该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小，接收的数据包数量和接收的数据包大小进行数据标准化处理。

6.一种暴力破解的检测装置，其特征在于，所述装置包括：

第一确定模块，用于统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输，确定每次数据传输过程对应的特征向量，其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小，接收的数据包数量和接收的数据包大小；

第一处理模块，用于采用预设的密度聚类算法，及针对该设定时间长度确定的半径参数和密度阈值，对所述设定时间长度内的特征向量进行聚类处理；

第二确定模块，用于针对每个聚类，根据处于该聚类中的每个特征向量，对该特征向量对应的连接发起者和连接响应者的可疑次数更新，判断更新后的可疑次数是否大于预设次数阈值，如果是，确定所述连接发起者对所述连接响应者进行暴力破解。

7.如权利要求6所述的装置，其特征在于，所述第一确定模块，具体用于将数据传输的单向网络流程序netflow拼接为双向流，根据所述双向流，统计设定时间长度内数据包的传输，确定连接发起者和连接响应者；针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者，根据每次数据传输过程中传输的数据包的数量和数据包的大小，确定每次数据传输过程对应的特征向量。