[发明专利]一种暴力破解行为的检测方法及装置

说明书

本发明实施例提供了一种暴力破解行为的检测方法及装置，获取预设时段内统计的报文信息，从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值，并提取第一基线和第二基线，计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值，如果第二差距值更小，则说明目标第二统计值是登录失败是产生的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的数目超过了一定的阈值，则说明在预设时段内的多次登录行为中登录失败的次数占比较大，则可以确定这样的登录行为是疑似暴力破解行为，提高了暴力破解行为的检测精度。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种暴力破解行为的检测方法及装置。

背景技术

随着用户对网络业务的需求种类越来越多、需求量越来越大，网络业务的安全性变得越来越重要。用户在访问网络业务时，需要输入账号和密码，服务器对账号和密码进行验证，验证通过后，允许用户访问网络业务。暴力破解行为是指攻击者通过尝试所有可能的账号、密码来模拟用户的登录行为，攻击者在破解用户的账号和密码之后，可以使用该账号和密码执行非法操作，给用户带来损失。

在发生暴力破解行为时，攻击者会频繁地向服务器发送包括账号和密码的验证报文。基于此，传统的暴力破解行为的检测方法中，网络安全设备对服务器接收的数据报文进行统计分析，判断服务器接收报文的平均流量是否超过一定阈值，若超过，则认为针对该服务器，发生了暴力破解行为，有攻击者正在进行账号暴力破解。

然而，服务器在正常运行时，除了用户登录会产生报文，服务器与其他设备还会进行正常的报文交互，因此，仅仅基于服务器接收报文的平均流量进行报文破解行为的判断，很可能会将正常的报文交互识别为暴力破解行为，导致暴力破解行为的检测精度较差。

发明内容

本发明实施例的目的在于提供一种暴力破解行为的检测方法及装置，以提高暴力破解行为的检测精度。具体技术方案如下：

第一方面，本发明实施例提供了一种暴力破解行为的检测方法，该方法包括：

获取预设时段内统计的报文信息，其中，报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系，第一统计值用于统计五元组信息所属的正向报文的数据，第二统计值用于统计五元组信息所属的反向报文的数据；

从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值，并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线，其中，第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息，第一响应报文携带的登录行为结果为登录成功，第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息，第二响应报文携带的登录行为结果为登录失败；

计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值；

若第一差距值和第二差距值在预设范围内，且第一差距值不小于第二差距值，则确定目标五元组信息所属的报文对应的登录行为结果为登录失败；

统计预设时段内登录行为结果为登录失败的目标五元组信息的数目，并判断统计的数目是否超过预设阈值；

若统计的数目超过预设阈值，则确定存在针对目标服务器的疑似暴力破解行为。

第二方面，本发明实施例提供了一种暴力破解行为的检测装置，该装置包括：

获取模块，用于获取预设时段内统计的报文信息，其中，报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系，第一统计值用于统计五元组信息所属的正向报文的数据，第二统计值用于统计五元组信息所属的反向报文的数据；