[发明专利]检测方法、检测装置、电子设备、介质和计算机程序

权利要求书

1.一种域认证协议用户枚举的检测方法，其特征在于，包括：

获取m个时间段的关于用户枚举行为的m个数据信息集，其中，m为大于等于1的整数，m个所述时间段与m个所述数据信息集一一对应，每个所述数据信息集包括至少一个数据信息；

将每个所述数据信息与黑名单数据库中的信息进行匹配；

当所述数据信息与所述黑名单数据库中的信息不匹配时，则提取m个所述数据信息集中每个所述数据信息的特征信息；

根据所述特征信息对每个所述时间段的所述数据信息集进行分类，得到多个异常数据信息子集，其中，每个所述异常数据信息子集包括n个异常数据信息，n为大于等于0的整数；

计算多个所述异常数据信息子集的并集，得到异常数据信息集；

统计所述异常数据信息集中的同一异常数据信息出现的次数；以及

当所述次数大于等于设定阈值时，将该异常数据信息加载到所述黑名单数据库，

其中，所述数据信息包括源IP，所述提取m个所述数据信息集中每个所述数据信息的特征信息包括：提取m个所述数据信息集中每个所述源IP的特征信息，所述特征信息包括与所述特征信息的数据信息集对应的时间段内的源IP登录错误次数、源IP登录成功次数、登录成功后的登录时长、源IP请求次数、源IP是否在黑名单和源IP是否为常用IP中的至少一个。

2.根据权利要求1所述的方法，其特征在于，所述特征信息为t个，t等于1，所述根据所述特征信息对每个所述时间段的所述数据信息集进行分类，得到多个异常数据信息子集包括：

根据所述特征信息对每个所述时间段的所述数据信息集进行分类，得到一个异常数据信息子集和一个正常数据信息子集，对m个时间段的m个所述数据信息集进行分类，得到m个异常数据信息子集。

3.根据权利要求1所述的方法，其特征在于，所述特征信息为t个，t为大于1的整数，所述根据所述特征信息对每个所述时间段的所述数据信息集进行分类，得到多个异常数据信息子集包括：

根据t个特征信息中的一个对每个所述时间段的所述数据信息集进行分类，得到一个异常数据信息子集和一个正常数据信息子集；以及

根据t个特征信息中的另一个对所述正常数据信息子集进行分类，直至t个特征均作为分类依据对上一步骤的所述正常数据信息子集进行分类，得到t个异常数据信息子集，对m个时间段的m个所述数据信息集进行分类，得到m×t个异常数据信息子集。

4.根据权利要求3所述的方法，其特征在于，所述根据t个特征信息中的一个对每个所述时间段的所述数据信息集进行分类，得到一个异常数据信息子集和一个正常数据信息子集包括：

将所述数据信息集中的每个数据信息的t个特征信息中的一个与该特征信息对应的特征阈值比较；

将符合所述特征阈值的数据信息存储到所述正常数据信息子集；以及

将不符合所述特征阈值的数据信息存储到所述异常数据信息子集。

5.根据权利要求1所述的方法，其特征在于，所述获取m个时间段的关于用户枚举行为的m个数据信息集包括：

采集m个时间段的关于用户枚举行为的m个流量信息；以及

对每个所述流量信息进行格式化处理，得到m个所述数据信息集。

6.根据权利要求1所述的方法，其特征在于，所述将每个所述数据信息与黑名单数据库中的信息进行匹配包括：将每个所述数据信息的源IP与所述黑名单数据库中的源IP进行比对，

所述数据信息与所述黑名单数据库中的信息不匹配为所述黑名单数据库中不包括所述数据信息的源IP。

7.根据权利要求1-6中任一项所述的方法，其特征在于，所述将该异常数据信息加载到所述黑名单数据库后，还包括：

根据所述黑名单数据库发出提示信息。

8.根据权利要求7所述的方法，其特征在于，所述根据所述黑名单数据库发出提示信息包括：

根据所述黑名单数据库发出报警信息、邮件信息和短信中的至少一种，以通知相关人员作出相应处理。