[发明专利]一种暴力破解行为的检测方法及装置

权利要求书

1.一种暴力破解行为的检测方法，其特征在于，所述方法包括：

获取预设时段内统计的报文信息，所述报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系，所述第一统计值用于统计所述五元组信息所属的正向报文的数据，所述第二统计值用于统计所述五元组信息所属的反向报文的数据；所述正向报文为终端发往服务器的报文，所述反向报文为服务器发往终端的报文；

从所述报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与所述目标五元组信息对应的目标第二统计值，并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线，其中，所述第一样本报文信息包含依据目的端口为所述第一端口的第一登录报文和响应所述第一登录报文的第一响应报文统计的报文信息，所述第一响应报文携带的登录行为结果为登录成功，所述第二样本报文信息包含依据目的端口为所述第一端口的第二登录报文和响应所述第二登录报文的第二响应报文统计的报文信息，所述第二响应报文携带的登录行为结果为登录失败；

计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值；

若所述第一差距值和所述第二差距值在预设范围内，且所述第一差距值不小于所述第二差距值，则确定所述目标五元组信息所属的报文对应的登录行为结果为登录失败；

统计所述预设时段内登录行为结果为登录失败的所述目标五元组信息的数目，并判断所述数目是否超过预设阈值；

若超过，则确定存在针对所述目标服务器的疑似暴力破解行为。

2.根据权利要求1所述的方法，其特征在于，在所述获取第一基线和第二基线之前，所述方法还包括：

获取包含多个第一登录报文的第一样本报文信息及包含多个第二登录报文的第二样本报文信息；

从所述第一样本报文信息中，提取各第二统计值，并根据各第二统计值，计算第一基线；

从所述第二样本报文信息中，提取各第二统计值，并根据各第二统计值，计算第二基线。

3.根据权利要求1所述的方法，其特征在于，所述目标第二统计值包括报文值和流量值；所述第一基线包括第一报文值基线和第一流量值基线；所述第二基线包括第二报文值基线和第二流量值基线；

所述计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值，包括：

计算所述报文值与所述第一报文值基线的第一差值、所述流量值与所述第一流量值基线的第二差值，并将所述第一差值与所述第二差值的平方和的开方结果作为第一差距值；

计算所述报文值与所述第二报文值基线的第三差值、所述流量值与所述第二流量值基线的第四差值，并将所述第三差值与所述第四差值的平方和为的开方结果作为第二差距值。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述第一差距值和所述第二差距值在所述预设范围内，且所述第一差距值小于所述第二差距值，则确定所述目标五元组信息所属的报文对应的登录行为结果为登录成功。

5.根据权利要求1所述的方法，其特征在于，在所述确定存在针对所述目标服务器的疑似暴力破解行为之后，所述方法还包括：

获取当前时刻之前的预设天数统计的目的端口为所述第一端口的历史报文信息；

根据所述历史报文信息中的各历史第二统计值、所述第一基线和所述第二基线，计算所述各历史第二统计值与所述第一基线的第三差距值、所述各历史第二统计值与所述第二基线的第四差距值；

若针对所有历史第二统计值，所述第三差距值和所述第四差距值都在所述预设范围内，且所述第三差距值都不小于所述第四差距值，则判定所述疑似暴力破解行为的威胁度为中度。