本發(fā)明公開一種暴力破解的檢測方法及裝置，所述方法包括：確定每次數(shù)據(jù)傳輸過程對應(yīng)的特征向量，其中每個(gè)特征向量中包含該數(shù)據(jù)傳輸過程中連接發(fā)起者發(fā)送和接收的數(shù)據(jù)包數(shù)量、數(shù)據(jù)包大小；針對設(shè)定時(shí)間長度確定的半徑參數(shù)和密度閾值，對所述設(shè)定時(shí)間長度內(nèi)的特征向量進(jìn)行聚類處理；針對每個(gè)聚類，根據(jù)處于該聚類中的每個(gè)特征向量，對該特征向量對應(yīng)的連接發(fā)起者和連接響應(yīng)者的可疑次數(shù)更新，當(dāng)更新后的可疑次數(shù)大于預(yù)設(shè)次數(shù)閾值時(shí)，確定連接發(fā)起者對連接響應(yīng)者進(jìn)行暴力破解。由于在本發(fā)明實(shí)施例中，電子設(shè)備根據(jù)連接發(fā)起者發(fā)送和接收的數(shù)據(jù)包數(shù)量、數(shù)據(jù)包大小，通過聚類處理進(jìn)行暴力破解的檢測，因此不需要檢測包內(nèi)容即可實(shí)現(xiàn)暴力破解的檢測。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種暴力破解的檢測方法及裝置。

背景技術(shù)

近年來，隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，越來越多的傳統(tǒng)行業(yè)融合互聯(lián)網(wǎng)發(fā)展新形態(tài)、新業(yè)態(tài)，如今許多企業(yè)的業(yè)務(wù)開展都離不開互聯(lián)網(wǎng)技術(shù)的支持，互聯(lián)網(wǎng)在提供便捷性的同時(shí)，也存在不小的安全隱患。由于互聯(lián)網(wǎng)的開放性和訪問的便捷性，互聯(lián)網(wǎng)一直是黑客的重點(diǎn)攻擊對象。黑客通過暴力破解，攻擊互聯(lián)網(wǎng)，給很多企業(yè)帶來損失，因此，對暴力破解的檢測尤為重要。

在現(xiàn)有技術(shù)中，暴力破解的檢測主要基于數(shù)據(jù)包的檢測，需要檢測數(shù)據(jù)包內(nèi)容中是否有已知的一些威脅特征，例如針對SSH暴力破解，如果檢測到數(shù)據(jù)包內(nèi)容中有“Permission denied,please try again”這樣的威脅特征，則確定當(dāng)前存在暴力破解。但是在互聯(lián)網(wǎng)中，有大量的數(shù)據(jù)包，基于數(shù)據(jù)包內(nèi)容檢測暴力破解效率較低，另外，如果互聯(lián)網(wǎng)中的數(shù)據(jù)包內(nèi)容被加密，則無法檢測數(shù)據(jù)包內(nèi)容，因此，基于數(shù)據(jù)包內(nèi)容無法實(shí)現(xiàn)暴力破解的檢測。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種暴力破解的檢測方法及裝置，用以實(shí)現(xiàn)基于流特征的暴力破解的檢測，并提高暴力破解的檢測效率。

本發(fā)明方法包括一種暴力破解的檢測方法及裝置，該方法包括：

統(tǒng)計(jì)設(shè)定時(shí)間長度內(nèi)每個(gè)連接發(fā)起者與每個(gè)連接響應(yīng)者之間數(shù)據(jù)包的傳輸，確定每次數(shù)據(jù)傳輸過程對應(yīng)的特征向量，其中每個(gè)特征向量中包含該數(shù)據(jù)傳輸過程中連接發(fā)起者發(fā)送的數(shù)據(jù)包數(shù)量、發(fā)送的數(shù)據(jù)包大小，接收的數(shù)據(jù)包數(shù)量和接收的數(shù)據(jù)包大小；

采用預(yù)設(shè)的密度聚類算法，及針對該設(shè)定時(shí)間長度確定的半徑參數(shù)和密度閾值，對所述設(shè)定時(shí)間長度內(nèi)的特征向量進(jìn)行聚類處理；

針對每個(gè)聚類，根據(jù)處于該聚類中的每個(gè)特征向量，對該特征向量對應(yīng)的連接發(fā)起者和連接響應(yīng)者的可疑次數(shù)更新，判斷更新后的可疑次數(shù)是否大于預(yù)設(shè)次數(shù)閾值，如果是，確定所述連接發(fā)起者對所述連接響應(yīng)者進(jìn)行暴力破解。

進(jìn)一步地，所述統(tǒng)計(jì)設(shè)定時(shí)間長度內(nèi)每個(gè)連接發(fā)起者與每個(gè)連接響應(yīng)者之間數(shù)據(jù)包的傳輸，確定每次數(shù)據(jù)傳輸過程對應(yīng)的特征向量包括：

將數(shù)據(jù)傳輸?shù)膯蜗蚓W(wǎng)絡(luò)流程序netflow拼接為雙向流，根據(jù)所述雙向流，統(tǒng)計(jì)設(shè)定時(shí)間長度內(nèi)數(shù)據(jù)包的傳輸，確定連接發(fā)起者和連接響應(yīng)者；

針對在設(shè)定時(shí)間長度內(nèi)進(jìn)行數(shù)據(jù)傳輸?shù)拿總€(gè)連接發(fā)起者與每個(gè)連接響應(yīng)者，根據(jù)每次數(shù)據(jù)傳輸過程中傳輸?shù)臄?shù)據(jù)包的數(shù)量和數(shù)據(jù)包的大小，確定每次數(shù)據(jù)傳輸過程對應(yīng)的特征向量。

進(jìn)一步地，確定半徑參數(shù)和密度閾值的過程包括：

根據(jù)保存的特征向量的數(shù)量與密度閾值的對應(yīng)關(guān)系，確定該特征向量的數(shù)量對應(yīng)的密度閾值；

針對每個(gè)特征向量，確定與該特征向量對應(yīng)的第一特征點(diǎn)距離較小的密度閾值的第二特征點(diǎn)，將該第一特征點(diǎn)與第二特征點(diǎn)的距離最大值，確定為目標(biāo)距離；

根據(jù)每個(gè)特征向量對應(yīng)的目標(biāo)距離，確定所述半徑參數(shù)。

進(jìn)一步地，所述預(yù)設(shè)的密度聚類算法包括：

基于密度的應(yīng)用與噪聲的空間聚類DBSCAN算法。