[发明专利]一种暴力破解行为的检测方法及装置有效
| 申请号: | 201910609880.5 | 申请日: | 2019-07-08 |
| 公开(公告)号: | CN110417747B | 公开(公告)日: | 2021-11-05 |
| 发明(设计)人: | 赵志伟 | 申请(专利权)人: | 新华三信息安全技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京柏杉松知识产权代理事务所(普通合伙) 11413 | 代理人: | 李欣;丁芸 |
| 地址: | 230001 安徽省合肥市高新区*** | 国省代码: | 安徽;34 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明实施例提供了一种暴力破解行为的检测方法及装置,获取预设时段内统计的报文信息,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并提取第一基线和第二基线,计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则说明目标第二统计值是登录失败是产生的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破解行为的检测精度。 | ||
| 搜索关键词: | 一种 暴力 破解 行为 检测 方法 装置 | ||
【主权项】:
1.一种暴力破解行为的检测方法,其特征在于,所述方法包括:获取预设时段内统计的报文信息,所述报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;从所述报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与所述目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,所述第一样本报文信息包含依据目的端口为所述第一端口的第一登录报文和响应所述第一登录报文的第一响应报文统计的报文信息,所述第一响应报文携带的登录行为结果为登录成功,所述第二样本报文信息包含依据目的端口为所述第一端口的第二登录报文和响应所述第二登录报文的第二响应报文统计的报文信息,所述第二响应报文携带的登录行为结果为登录失败;计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值;若所述第一差距值和所述第二差距值在所述预设范围内,且所述第一差距值不小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录失败;统计所述预设时段内登录行为结果为登录失败的所述目标五元组信息的数目,并判断所述数目是否超过预设阈值;若超过,则确定存在针对所述目标服务器的疑似暴力破解行为。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于新华三信息安全技术有限公司,未经新华三信息安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910609880.5/,转载请声明来源钻瓜专利网。
- 上一篇:跨站脚本攻击防御方法、装置、设备及存储介质
- 下一篇:一种攻击检测方法及装置
