[发明专利]一种攻击检测方法、装置及存储介质

权利要求书

1.一种攻击检测方法，其特征在于，所述方法包括：

获取检测任务启动时刻之前检测时间窗口范围内的登录日志；

对登录日志进行检测，判断是否存在满足登录失败次数超过预设登录失败阈值的第一类日志和登录成功次数超过预设登录成功阈值的第二类日志；

当存在第一类日志且公共缓存中不包括相同的第一类日志时，将所述第一类日志存入公共缓存，并为第一类日志中的每一条日志打上有效时间戳；并刷新公共缓存中已存在的第一类日志的有效时间戳；所述的有效时间戳的初始值为检测时间窗口与日志生成时刻与日志生成时刻所在检测周期截止时刻之间的差值之和；所述刷新公共缓存中已存在的第一类日志的有效时间戳的方法为：在当前有效时间戳的基础上减去检测周期，若计算的结果为正值则以计算结果替换所述当前有效时间戳，如果计算的结果为负值则从公共缓存中删除对应的第一类日志记录；

当存在第二类日志时，从公共缓存中读取第一类日志，判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件，若满足暴力破解成功事件的条件，则输出检测到攻击的检测结果。

2.根据权利要求1所述的方法，其特征在于，判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件的方法为：

针对同一应用服务或服务器的同一账号的第一类日志和第二类日志，判断第二类日志生成时刻是否大于第一类日志中的最后一条日志的登录失败时刻，若大于则判定为暴力破解成功事件。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当检测到第二类日志时，将第二类日志存入公共缓存，并为第二类日志中的每一条日志打上有效时间戳；并刷新公共缓存中已存在的第二类日志的有效时间戳。

4.一种攻击检测装置，其特征在于，该装置包括：

获取模块，用于获取检测任务启动时刻之前检测时间窗口范围内的登录日志；

日志检测模块，用于对登录日志进行检测，判断是否存在满足登录失败次数超过预设登录失败阈值的第一类日志和登录成功次数超过预设登录成功阈值的第二类日志；

缓存模块，用于在检测到存在第一类日志且公共缓存中不包括相同的第一类日志时，将所述第一类日志存入公共缓存，并为第一类日志中的每一条日志打上有效时间戳；并刷新公共缓存中已存在的第一类日志的有效时间戳；所述的有效时间戳的初始值为检测时间窗口与日志生成时刻与日志生成时刻所在检测周期截止时刻之间的差值之和；所述缓存模块刷新公共缓存中已存在的第一类日志的有效时间戳的方式为：在当前有效时间戳的基础上减去检测周期，若计算的结果为正值则以计算结果替换所述当前有效时间戳，如果计算的结果为负值则从公共缓存中删除对应的第一类日志记录；

攻击检测模块，用于在检测到存在第二类日志时，从公共缓存中读取第一类日志，判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件，若满足暴力破解成功事件的条件，则输出检测到攻击的检测结果。

5.根据权利要求4所述的装置，其特征在于，

所述攻击检测模块针对同一应用服务或服务器的同一账号的第一类日志和第二类日志，判断第二类日志生成时刻是否大于第一类日志中的最后一条日志的登录失败时刻，若大于则判定为暴力破解成功事件。

6.根据权利要求4所述的装置，其特征在于，

所述缓存模块还用于当检测到第二类日志时，将第二类日志存入公共缓存，并为第二类日志中的每一条日志打上有效时间戳；并刷新公共缓存中已存在的第二类日志的有效时间戳。

7.一种存储介质，其上存储有计算机程序，其特征在于，所述计算机程序当被处理器执行时实现如权利要求1至3中任一项的方法步骤功能。