[发明专利]分布式撞库行为的检测方法、装置及计算机可读存储介质在审
| 申请号: | 201810427569.4 | 申请日: | 2018-05-07 |
| 公开(公告)号: | CN110460559A | 公开(公告)日: | 2019-11-15 |
| 发明(设计)人: | 杭小勇 | 申请(专利权)人: | 中国移动通信有限公司研究院;中国移动通信集团有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F21/62;G06F21/55 |
| 代理公司: | 11243 北京银龙知识产权代理有限公司 | 代理人: | 许静;刘伟<国际申请>=<国际公布>=< |
| 地址: | 100053北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 检测 客户端访问 访问数据 计算机可读存储介质 网络安全技术 流量获取 行为特征 解析 | ||
本发明实施例提供一种分布式撞库行为的检测方法、装置及计算机可读存储介质,涉及网络安全技术领域,用以提高对分布式撞库行为的检测准确性。本发明的撞库行为的检测方法,包括:根据待检测流量获取客户端访问数据;解析所述客户端访问数据,获得访问数据特征;将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定待检测流量中的分布式撞库行为。本发明实施例可提高对分布式撞库行为的检测准确性。
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种分布式撞库行为的检测方法、装置及计算机可读存储介质。
背景技术
撞库行为是指,以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站的行为。
现有的撞库检测技术主要针对同源IP(Internet Protocol,互联网协议)的检测。但随着黑客攻击技术水平的不断提升,撞库方式趋于多元化、复杂化,现有的检测技术很难对隐蔽的分布式撞库行为进行检测,从而导致检测准确性较低。
发明内容
有鉴于此,本发明实施例提供一种分布式撞库行为的检测方法、装置及计算机可读存储介质,用以提高对撞库行为的检测准确性。
为解决上述技术问题,第一方面,本发明实施例提供一种分布式撞库行为的检测方法,包括:
根据待检测流量获取客户端访问数据;
解析所述客户端访问数据,获得访问数据特征;
将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定待检测流量中的分布式撞库行为。
其中,所述访问数据特征包括相同用户名在同一目的IP的登录失败次数;
所述将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定所述待检测流量中的分布式撞库行为,包括:
将第一统计时间段内,相同用户名在同一目的IP的登录失败次数与登陆失败次数阈值进行比较;
若所述第一统计时间段内,相同用户名在同一目的IP的登录失败次数大于所述登陆失败次数阈值,则确定所述待检测流量中存在待确认的分布式撞库行为。
其中,所述访问数据特征还包括根据所述待确认的分布式撞库行为确定的IP列表中,相同源IP在相同访问时间的不同进程标识的个数;
所述将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定所述待检测流量中的分布式撞库行为,还包括:
对于所述待确认的分布式撞库行为,将相同源IP在相同访问时间的不同进程标识的个数与登陆进程数阈值进行比较;
若相同源IP在相同访问时间的不同进程标识的个数大于所述登陆进程数阈值,则确定所述待确认的分布式撞库行为为撞库行为。
其中,所述访问数据特征包括相同用户名在不同源IP发送的通信包大小;
所述将所述访问数据特征和撞库行为特征进行比较,并根据比较结果确定所述待检测流量中的分布式撞库行为,包括:
根据第二统计时间段内,相同用户名在不同源IP发送的通信包大小,计算通信包大小方差;
将所述通信包大小方差与预设的通信包大小方差阈值进行比较;
若所述通信包大小方差小于预设的通信包大小方差阈值,则确定保护对象中存在分布式撞库行为。
第二方面,本发明实施例提供一种分布式撞库行为的检测装置,包括:
第一获取模块,用于根据待检测流量获取客户端访问数据;
第二获取模块,用于解析所述客户端访问数据,获得访问数据特征;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国移动通信有限公司研究院;中国移动通信集团有限公司,未经中国移动通信有限公司研究院;中国移动通信集团有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810427569.4/2.html,转载请声明来源钻瓜专利网。
