[发明专利]一种暴力破解攻击检测方法、系统、设备及存储介质

权利要求书

1.一种暴力破解攻击检测方法，其特征在于，所述方法包括：

建立多段式暴力破解攻击行为模型；

基于多段式暴力破解攻击行为模型从加密协议下暴力破解攻击的完整攻击过程出发，将攻击过程细分为三个阶段：攻击启动阶段、攻击进行阶段、攻击结束阶段；

每个阶段根据暴力破解攻击针对的不同加密协议，从协议原理、攻击行为、流量特点方面多角度刻画攻击不同阶段的数据指征，同时区分攻击成功和攻击失败两种不同情况下的行为事件；及

依据事件与攻击结果关系确定暴力破解攻击是否成功；所述确定暴力破解攻击是否成功包括：

在对暴力破解攻击各阶段进行行为特征刻画时，通过知识工程方法建立一套初始规则集，所述初始规则集包括：已知的主要加密协议类集合、可监测的行为指征集合、数据约束集合和权值集合；及

数据约束集合与权值集合进行积运算，得到暴力破解指征值，当暴力破解指征值符合落入危险区域，认为攻击成功。

2.如权利要求1所述的方法，其特征在于，所述攻击启动阶段定义为攻击者发起初始连接请求，所述攻击启动阶段为加密通道尚未建立的阶段，所述攻击启动阶段的行为要素通过数据包分析获取。

3.如权利要求1所述的方法，其特征在于，所述攻击进行阶段定义为暴力破解攻击不断尝试爆破的过程，所述攻击进行阶段的数据为加密传输的数据，所述多段式暴力破解攻击行为模型从攻击行为角度定义所述攻击启动阶段的行为要素，所述攻击进行阶段的行为要素包括：端口特征、时间向量特征、频率特征、网络流量、数据包大小、源/目的IP地址。

4.如权利要求3所述的方法，其特征在于，所述攻击结束阶段的数据为密文传输的数据，所述攻击结束阶段的行为要素包括：登录间隔、在线时间和数据包大小。

5.如权利要求1至4中任一所述的方法，其特征在于，所述初始规则集经训练样本训练后形成不断优化的动态规则集，所述动态规则集的训练样本基于真实网络流量的攻击检测和用户反馈情况形成的。

6.如权利要求5所述的方法，其特征在于，所述确定暴力破解攻击是否成功还包括：

在通过动态规则集描述事件与攻击结果关系确定暴力破解攻击成功之后，将各阶段暴力破解攻击行为要素映射为多维事件图，将所有监测到的可疑请求标注在多维事件图中，若暴力破解攻击成功，则所述多维事件图中必具备符合成功指征要求的连接线区域；

所述多维事件图中定义的主轴向量包括：协议向量、时间向量、行为向量，所述协议向量根据此次事件发生时建立连接的端口确定，所述时间向量依据事件发生时刻的相对时间值确定；所述行为向量根据所述多段式暴力破解攻击行为模型中描述的行为特征确定；及

定义成功攻击的多维事件图指征为：在某一协议向量的横切面，存在一条时间向量和行为向量均递增，呈向上趋势的不规则连接线区域，连接线表示事件关联性，连接线随时间变化呈向上趋势。