本申請提供了一種檢測撞庫攻擊的方法及裝置。其方法包括：獲取預定時間內接收到的登錄請求的源IP地址和登錄信息；根據獲取到的源IP地址和登錄信息，確定所述獲取到的源IP地址中具有高頻登錄行為的源IP地址；根據所述具有高頻登錄行為的源IP地址發起的登錄請求所使用的密碼中具有語義的密碼的占比，判斷所述源IP地址在所述預定時間內發起的登錄請求是否為撞庫攻擊，其中，所述具有語義的密碼為具有語義的概率超過預定概率閾值的密碼。根據本申請的技術方案，提高了檢測撞庫攻擊的準確性。

技術領域

本申請涉及網絡攻擊防御領域，尤其涉及一種檢測撞庫攻擊的方法及裝置。

背景技術

撞庫攻擊是指黑客通過收集互聯網已泄露的用戶名和密碼信息，生成對應的字典表，再用字典表中羅列的用戶和密碼，嘗試批量登陸其他網站，一旦用戶為了省事，在多個不同網站設置了相同的用戶名和密碼的話，黑客很容易就會通過字典中已有的用戶名和密碼信息，成功登錄到這些網站，從而獲得用戶的相關信息。這些信息泄露后，不僅會給用戶的經濟帶來巨大損失，同時也會給相關網站帶來負面影響。目前，黑客非法入侵網站服務器后，通常將網站用戶的用戶名和密碼信息存儲在一個數據庫中，這個庫稱作社工庫。黑客批量使用社工庫中的用戶名和密碼去登錄目標網站，若用戶在目標網站使用同一對用戶名和密碼，即可登錄成功。

現有的撞庫攻擊檢測方法主要包括以下兩種：一種是統計登錄的頻率，即統計單位時間內發起登錄請求的次數，若次數超過預設閾值，則判定為撞庫攻擊。這種方法對于暴力破解的登錄請求和正常業務的批量登錄請求無法區分，會導致誤報。另一種是對于已經泄露的社工庫進行收集，對登錄請求中的密碼與社工庫中的密碼進行比對，來確認是否為撞庫攻擊行為。這種方法由于每條登錄請求中的密碼都要和社工庫中的數量龐大的密碼進行比對，非常消耗算力資源。

發明內容

本申請的一個目的是提供一種檢測撞庫攻擊的方法及裝置，提高檢測撞庫攻擊的準確性。

根據本申請的一方面，提供了一種檢測撞庫攻擊的方法，其中，該方法包括以下步驟：

獲取預定時間內接收到的登錄請求的源IP地址和登錄信息；根據獲取到的源IP地址和登錄信息，確定所述獲取到的源IP地址中具有高頻登錄行為的源IP地址；根據所述具有高頻登錄行為的源IP地址發起的登錄請求所使用的密碼中具有語義的密碼的占比，判斷所述源IP地址在所述預定時間內發起的登錄請求是否為撞庫攻擊，其中，所述具有語義的密碼為具有語義的概率超過預定概率閾值的密碼。

根據本申請的另一方面，還提供了一種檢測撞庫攻擊的裝置，其中，該裝置包括：

獲取單元，用于獲取預定時間內接收到的登錄請求的源IP地址和登錄信息；確定單元，用于根據獲取到的源IP地址和登錄信息，確定所述獲取到的源IP地址中具有高頻登錄行為的源IP地址；判斷單元，用于根據所述具有高頻登錄行為的源IP地址發起的登錄請求所使用的密碼中具有語義的密碼的占比，判斷所述源IP地址在所述預定時間內發起的登錄請求是否為撞庫攻擊，其中，所述具有語義的密碼為具有語義的概率超過預定概率閾值的密碼。

與現有技術相比，本申請的實施例具有以下優點：

本申請的技術方案，通過先獲取具有高頻登錄行為的源IP地址，再根據該具有高頻登錄行為的源IP地址發起登錄請求所使用的密碼中具有語義的密碼的占比，確定該源IP地址的高頻登錄行為是否為撞庫攻擊，提高了檢測撞庫攻擊的準確性。并且，本申請的技術方案在檢測撞庫攻擊時不需要在龐大的社工庫中進行密碼比對，節省了計算資源。

附圖說明

通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述，本申請的其它特征、目的和優點將會變得更明顯：

圖1為本申請一個實施例提供的方法的流程圖；

圖2為本申請實施例中步驟S110的一種實施方式的流程圖；