[发明专利]分布式撞库行为的检测方法、装置及计算机可读存储介质在审
| 申请号: | 201810427569.4 | 申请日: | 2018-05-07 |
| 公开(公告)号: | CN110460559A | 公开(公告)日: | 2019-11-15 |
| 发明(设计)人: | 杭小勇 | 申请(专利权)人: | 中国移动通信有限公司研究院;中国移动通信集团有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F21/62;G06F21/55 |
| 代理公司: | 11243 北京银龙知识产权代理有限公司 | 代理人: | 许静;刘伟<国际申请>=<国际公布>=< |
| 地址: | 100053北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 检测 客户端访问 访问数据 计算机可读存储介质 网络安全技术 流量获取 行为特征 解析 | ||
1.一种分布式撞库行为的检测方法,其特征在于,包括:
根据待检测流量获取客户端访问数据;
解析所述客户端访问数据,获得访问数据特征;
将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定所述待检测流量中的分布式撞库行为。
2.根据权利要求1所述的方法,其特征在于,所述访问数据特征包括相同用户名在同一目的IP的登录失败次数;
所述将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定所述待检测流量中的分布式撞库行为,包括:
将第一统计时间段内,相同用户名在同一目的IP的登录失败次数与登陆失败次数阈值进行比较;
若所述第一统计时间段内,相同用户名在同一目的IP的登录失败次数大于所述登陆失败次数阈值,则确定所述待检测流量中存在待确认的分布式撞库行为。
3.据权利要求2所述的方法,其特征在于,所述访问数据特征还包括根据所述待确认的分布式撞库行为确定的IP列表中,相同源IP在相同访问时间的不同进程标识的个数;
所述将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定待检测流量中的分布式撞库行为,还包括:
对于所述待确认的分布式撞库行为,将相同源IP在相同访问时间的不同进程标识的个数与登陆进程数阈值进行比较;
若相同源IP在相同访问时间的不同进程标识的个数大于所述登陆进程数阈值,则确定所述待确认的分布式撞库行为为撞库行为。
4.根据权利要求1所述的方法,其特征在于,所述访问数据特征包括相同用户名在不同源IP发送的通信包大小;
所述将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定所述待检测流量中的分布式撞库行为,包括:
根据第二统计时间段内,相同用户名在不同源IP发送的通信包大小,计算通信包大小方差;
将所述通信包大小方差与预设的通信包大小方差阈值进行比较;
若所述通信包大小方差小于预设的通信包大小方差阈值,则确定所述待检测流量中存在分布式撞库行为。
5.一种分布式撞库行为的检测装置,其特征在于,包括:
第一获取模块,用于根据待检测流量获取客户端访问数据;
第二获取模块,用于解析所述客户端访问数据,获得访问数据特征;
确定模块,用于将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定所述待检测流量中的分布式撞库行为。
6.一种通信设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,
所述计算机程序被所述处理器执行时实现如权利要求1至4中任一项所述的方法中的步骤。
7.一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4中任一项所述的方法中的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国移动通信有限公司研究院;中国移动通信集团有限公司,未经中国移动通信有限公司研究院;中国移动通信集团有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810427569.4/1.html,转载请声明来源钻瓜专利网。
