[发明专利]一种检测暴力破解行为的方法、装置、介质及设备在审
| 申请号: | 201811497116.5 | 申请日: | 2018-12-07 |
| 公开(公告)号: | CN109635564A | 公开(公告)日: | 2019-04-16 |
| 发明(设计)人: | 胡建杰;涂大志;王新成;王志 | 申请(专利权)人: | 深圳市联软科技股份有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F16/2458;H04L29/06 |
| 代理公司: | 北京酷爱智慧知识产权代理有限公司 11514 | 代理人: | 邹成娇 |
| 地址: | 518000 广东省深圳市南山区高*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 破解 流量数据 机器学习算法 检测 种检测 网络访问过程 模型检测 人工手动 漏报率 时间段 误报率 采集 网络 | ||
本发明提供了一种检测暴力破解行为的方法、装置、介质及设备。所述方法,包括:采集网络访问过程中的流量数据;根据所述流量数据,采用机器学习算法,建立检测暴力破解行为的检测模型;利用所述检测模型检测在指定时间段内产生的流量数据中是否存在暴力破解行为。通过利用历史的流量数据,采用机器学习算法,训练检测模型,不需要人工手动设置阈值,能够降低识别网络暴力破解行为的误报率和漏报率。
技术领域
本发明涉及网络安全技术领域,具体涉及一种检测暴力破解行为的方法、装置、介质及设备。
背景技术
在现有的技术中,因为网络中暴力破解行为的隐蔽性以及周期性,识别网络暴力破解行为的方法较少,在现有的少量方法中,用基于TCP流量会话次数,单位时间内TCP包的大小以及包的数量等特征来衡量暴力破解行为。如果会话次数大于δ阈值(事先人工设定)则判断为暴力破解行为,否则,计算一个滑动窗口时间周期内(一般取五个单位时间内的数据样本)TCP包大小以及包数量的标准差,标准差反应了在滑动窗口周期内,包大小以及包数量的波动情况,如果TCP包的大小标准差σp和TCP包数量标准差σn都小于事先设定的标准差阈值,则可以认定为暴力破解行为,否则,认为是正常行为。其中,需要人工设定会话次数阈值,TCP包大小、包数量标准差阈值,由于阈值的准确与否直接影响到判断暴力破解行为的准确性,因此,现有技术方案中,识别网络暴力破解行为的误报率和漏报率较高。
发明内容
针对现有技术中的缺陷,本发明提供一种检测暴力破解行为的方法、装置、介质及设备,能够降低识别网络暴力破解行为的误报率和漏报率。
第一方面,本发明提供了一种检测暴力破解行为的方法,包括:
采集网络访问过程中的流量数据;
根据所述流量数据,采用机器学习算法,建立检测暴力破解行为的检测模型;
利用所述检测模型检测在指定时间段内产生的流量数据中是否存在暴力破解行为。
可选的,所述根据所述流量数据,采用机器学习算法,建立检测暴力破解行为的检测模型,包括:
对所述流量数据进行数据预处理,获得所述流量数据的属性信息;
对所述属性信息进行分组;
提取每组数据在时间维度和包内容大小维度上的特征值;
根据所述特征值,采用机器学习算法,建立检测暴力破解行为的检测模型。
可选的,所述属性信息,包括:数据生成时间、源IP、目的IP、源端口号、目的端口号和包的长度;
所述对所述属性信息进行分组,包括:
将具有相同的源IP和目的IP的属性信息分为一组。
可选的,所述提取每组数据在时间维度和包内容大小维度上的特征值,包括:
提取每组数据中的会话次数、会话平均持续时间、会话平均间隔时间、会话内容平均长度和会话平均端口号间隔的特征值。
可选的,所述根据所述特征值,采用机器学习算法,建立检测暴力破解行为的检测模型,包括:
采用局部异常因子算法,分离所述特征值中的异常数据和正常数据;
对所述异常数据和正常数据进行修正,将修正后的异常数据和正常数据作为样本数据;
根据所述样本数据,采用机器学习算法,建立检测暴力破解行为的检测模型。
可选的,在所述采用局部异常因子算法,分离所述特征值中的异常数据和正常数据的步骤之前,还包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深圳市联软科技股份有限公司,未经深圳市联软科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811497116.5/2.html,转载请声明来源钻瓜专利网。
