[发明专利]一种暴力破解检测方法、装置、电子设备及存储介质

说明书

本申请提供一种暴力破解检测方法、装置、电子设备及存储介质，用于改善网络安全防护设备很难防护低频次连接登录的暴力破解攻击行为的问题。该方法包括：获取网络流量，并从网络流量中检测出待检测设备发送的多个连接请求，然后计算出多个连接请求之间的时间间隔，获得多个时间间隔；判断多个时间间隔是否满足预设条件，预设条件包括：多个时间间隔中存在不小于预设数量的连续时间间隔，且每个连续时间间隔的波动率小于预设率值，波动率为当前时间间隔与相邻时间间隔之差的绝对值与当前时间间隔的比例值；若是，则将待检测设备发送的网络流量确定为暴力破解的攻击流量。

技术领域

本申请涉及网络安全和互联网安全的技术领域，具体而言，涉及一种暴力破解检测方法、装置、电子设备及存储介质。

背景技术

网络安全防护设备(Network Security Device，NSD)，是指部署在调度内部网与外部网之间、专用网与公共网之间的一组软件和硬件设备，用于构成内部网与外部网之间、专用网与公共网之间界面上的保护屏障。此处的NSD可以包括横向隔离装置、纵向加密认证装置、防火墙、防病毒系统、入侵检测系统(Intrusion Detection System，IDS)或入侵保护装置(Intrusion Protection System，IPS)等。

目前，网络安全防护设备针对安全外壳(Secure Shell，SSH)协议连接的暴力破解防护，主要是将在短时间内出现的高频次连接登录的行为标记为“暴力破解”，并发出防护告警，具体例如：某终端设备在30分钟内的登录失败次数超过限定次数(4次、5次、10次、50次、80次或100次等)，就判定为“暴力破解”，禁止该终端设备登录30分钟、1小时或者1天等等。然而在实践过程中发现，目前的网络安全防护设备很难防护低频次连接登录的暴力破解攻击行为。

发明内容

本申请实施例的目的在于提供一种暴力破解检测方法、装置、电子设备及存储介质，用于改善网络安全防护设备很难防护低频次连接登录的暴力破解攻击行为的问题。

本申请实施例提供了一种暴力破解检测方法，包括：获取网络流量，并从网络流量中检测出待检测设备发送的多个连接请求，然后计算出多个连接请求之间的时间间隔，获得多个时间间隔；判断多个时间间隔是否满足预设条件，预设条件包括：多个时间间隔中存在不小于预设数量的连续时间间隔，且每个连续时间间隔的波动率小于预设率值，波动率为当前时间间隔与相邻时间间隔之差的绝对值与当前时间间隔的比例值；若是，则将待检测设备发送的网络流量确定为暴力破解的攻击流量。在上述的实现过程中，通过检测到同一设备在网络流量中连接登录的总数量大于预设阈值，且多次连接登录之间的时间间隔大致相等，则将该网络流量确定为暴力破解的攻击流量，从而避免了被低频次连接登录的暴力破解攻击的情况，有效地发现并防护低频次连接登录的暴力破解攻击行为。

可选地，在本申请实施例中，在判断多个时间间隔是否满足预设条件之后，还包括：若多个时间间隔不满足预设条件，则将待检测设备发送的网络流量确定为正常流量。在上述的实现过程中，通过在多个时间间隔不满足预设条件的情况下，就将待检测设备发送的网络流量确定为正常流量，从而避免了将正常流量确定为暴力破解的攻击流量的问题，有效地提高了确定为暴力破解的正确率。

可选地，在本申请实施例中，获取网络流量，包括：获取待检测设备发送的安全外壳协议连接、数据库连接或者网站系统连接的网络流量。在上述的实现过程中，通过获取待检测设备发送的安全外壳协议连接、数据库连接或者网站系统连接的网络流量，使得可以从安全外壳协议连接、数据库连接或者网站系统连接的网络流量中检测出暴力破解攻击的情况，有效地发现并防护低频次连接登录的暴力破解攻击行为。

可选地，在本申请实施例中，在将待检测设备发送的网络流量确定为暴力破解的攻击流量之后，还包括：丢弃待检测设备发送的网络流量。在上述的实现过程中，通过在将待检测设备发送的网络流量确定为暴力破解的攻击流量之后，丢弃待检测设备发送的网络流量，从而避免了被低频次连接登录的暴力破解攻击的情况，有效地发现并防护低频次连接登录的暴力破解攻击行为。