申请/专利权人:北京观成科技有限公司
申请日:2020-03-20
公开(公告)日:2024-03-15
公开(公告)号:CN113497789B
主分类号:H04L9/40
分类号:H04L9/40;H04L47/10
优先权:
专利状态码:有效-授权
法律状态:2024.03.15#授权;2021.10.29#实质审查的生效;2021.10.12#公开
摘要:本发明公开了一种暴力破解攻击的检测方法、检测系统和设备,包括以下步骤:对待处理网络流量进行分组;分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集;计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势标准阈值相比较;根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果。本发明根据待处理网络流量的流特征进行检测,不依赖攻击频率和端口数量,可以有效检测出网络流量中的暴力破解攻击行为。且本发明以网络会话为检测的样本单元,更灵活实用,可在暴力破解攻击发生时第一时间检测到,从而降低暴力破解成功的可能性。
主权项:1.一种暴力破解攻击的检测方法,其特征在于,包括以下步骤:对待处理网络流量进行分组,以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组;分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集,包括:分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔,得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合;若分组中的网络会话其总包数大于或等于预设的有效包数阈值,则该网络会话可进入下一步的流特征的离散趋势指标计算;若分组中的网络会话其总包数小于预设的有效包数阈值,则丢弃该网络会话;计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势标准阈值相比较:分别计算各个分组中所述总包数、包的平均大小和包的平均时间间隔的标准差或方差,并分别与预设的总包数、包的平均大小和包的平均时间间隔的标准差标准阈值或方差标准阈值相比较;根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果,包括:若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值,则判定该分组有暴力破解攻击行为,该分组的源IP为攻击者,目的IP为被攻击者;若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值中任意一项未满足,则判定该分组没有暴力破解攻击行为;其中,各个分组中由开始建立传输控制协议连接,到结束此次连接为一次网络会话;其中,所述分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集后,包括:若分组中的网络会话数大于或等于预设的有效样本数阈值,分别去掉该分组中各个流特征的最大值和最小值,则进入下一步的流特征的离散趋势指标计算;若分组中的网络会话数小于预设的有效样本数阈值,则继续提取分组中网络会话的流特征。
全文数据:
权利要求:
百度查询: 北京观成科技有限公司 一种暴力破解攻击的检测方法、检测系统和设备
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。