[发明专利]一种攻击检测方法、装置及存储介质

说明书

本公开提供了一种攻击检测方法、装置及存储介质。用于解决暴力破解成功事件检测遗漏的技术问题。本公开在进行暴力破解成功事件检测任务时，当发现检测时间窗内存在登录失败次数超过预设登录失败阈值的第一类日志时，对检测到的第一类日志进行缓存并添加有效时间戳并在每次任务中刷新日志的有效时间戳，在发现登录成功次数超过预设登录成功阈值的第二类日志时，判断缓存中的第一类日志和第二类日志是否满足暴力破解成功事件检测条件。通过本公开可有效避免采用固定检测时间窗口进行暴力破解成功事件检测是出现漏检的技术问题。

技术领域

本公开涉及云计算及安全技术领域，尤其涉及一种攻击检测方法、装置及存储介质。

背景技术

在云场景中，暴露在公网环境中的云服务器，每天都面临着大量的攻击，其中，针对云服务器上部署的应用服务的登录账号和密码进行暴力破解攻击最为常见。暴力破解攻击的特点是攻击者针对这些应用服务的账号和密码进行穷举式扫描，如果用户配置的密码强度不够，则很容易被攻击者的密码字典命中。如果应用服务密码被攻破，攻击者就可以非法访问应用服务，这将导致用户数据泄露，甚至应用服务器被攻击者控制。因此检测暴力破解成功事件对云服务器安全而言非常必要。

云场景组网中通常会部署防火墙，防火墙能够记录外网用户对云服务器设备的登录登出日志记录，通过收集防火墙登录登出操作日志，可以进行暴力破解成功事件相关的检测。现有通过检测操作日志进行暴力破解成功事件匹配实现中，任务会定时获取固定时间长度的设备登录日志，对固定时间长度内的数据进行分析，这种分析方法在跨固定时间点临界时，会出现暴力破解成功事件检测遗漏的问题。

发明内容

有鉴于此，本公开提供一种攻击检测方法、装置及存储介质，用于解决暴力破解成功事件检测遗漏的技术问题。

基于本公开一实施例，本公开提供了一种攻击检测方法，所述方法包括：

获取检测任务启动时刻之前检测时间窗口范围内的登录日志；

对登录日志进行检测，判断是否存在满足登录失败次数超过预设登录失败阈值的第一类日志和登录成功次数超过预设登录成功阈值的第二类日志；

当存在第一类日志且公共缓存中不包括相同的第一类日志时，将所述第一类日志存入公共缓存，并为第一类日志中的每一条日志打上有效时间戳；并刷新公共缓存中已存在的第一类日志的有效时间戳；

当存在第二类日志时，从公共缓存中读取第一类日志，判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件，若满足暴力破解成功事件的条件，则输出检测到攻击的检测结果。

进一步地，判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件的方法为：

针对同一应用服务或服务器的同一账号的第一类日志和第二类日志，判断第二类日志生成时刻是否大于第一类日志中的最后一条日志的登录失败时刻，若大于则判定为暴力破解成功事件。

进一步地，所述的有效时间戳的初始值为检测时间窗口与日志生成时刻与日志生成时刻所在检测周期截止时刻之间的差值之和。

进一步地，所述刷新公共缓存中已存在的第一类日志的有效时间戳的方法为：

在当前有效时间戳的基础上减去检测周期，若计算的结果为正值则以计算结果替换所述当前有效时间戳，如果计算的结果为负值则从公共缓存中删除对应的第一类日志记录。

进一步地，所述方法还包括：当检测到第二类日志时，将第二类日志存入公共缓存，并为第二类日志中的每一条日志打上有效时间戳；并刷新公共缓存中已存在的第二类日志的有效时间戳。

基于本公开另一实施例，本公开还提供了一种攻击检测装置，该装置包括：

获取模块，用于获取检测任务启动时刻之前检测时间窗口范围内的登录日志；