本申請提供暴力破解攻擊的檢測方法和相關裝置。該檢測方法包括：獲取客戶端與服務器之間待檢測的鏡像流量；根據待檢測的鏡像流量獲取第一會話信息序列，第一會話信息序列包括多個會話信息，多個會話信息與多次登錄會話一一對應，多個會話信息在第一會話信息序列中的排列順序與多次登錄會話發生的時間先后順序一致；將第一會話信息序列作為第一馬爾科夫鏈，獲取第一馬爾科夫鏈的狀態鏈概率值，第一會話信息序列中的每一個會話信息作為第一馬爾科夫鏈中的一個狀態；根據第一馬爾科夫鏈的狀態鏈概率值和第一基準概率值，確定多次登錄會話是否為暴力破解攻擊。本申請提供的暴力破解攻擊的檢測方法和相關裝置，有助于檢測出暴力破解攻擊。

技術領域

本申請涉及計算機領域，并且更具體地，涉及暴力破解攻擊的檢測方法、網絡設備和計算機可讀存儲介質。

背景技術

在云計算環境中，暴露在公網環境中的云服務器，每天都面臨著大量的攻擊。其中，以針對云服務器上部署的應用服務進行的密碼暴力破解攻擊最為常見。

所謂暴力破解攻擊，是指攻擊者對這些應用服務的密碼進行窮舉式掃描。如果用戶配置的密碼強度不夠，則很容易被攻擊者的密碼字典命中。也就是說，這些應用服務的密碼很容易被破解。

應用服務的密碼被破解，攻擊者就可以非法訪問應用服務，這將導致用戶的數據泄露，甚至應用服務器被攻擊者控制。因此，檢測暴力破解攻擊對云服務器的安全而言是非常需要的。

發明內容

本申請提供一種暴力破解攻擊的檢測方法和相關裝置，有助于檢測出暴力破解攻擊。

第一方面，本申請提供了一種暴力破解攻擊的檢測方法。該檢測方法包括：網絡設備獲取客戶端與服務器之間待檢測的鏡像流量；所述網絡設備根據所述待檢測的鏡像流量獲取第一會話信息序列，所述第一會話信息序列包括多個會話信息，所述多個會話信息與所述客戶端通過所述待檢測的鏡像流量向所述服務器發起的多次登錄會話一一對應，所述多個會話信息在所述第一會話信息序列中的排列順序與所述多次登錄會話發生的時間先后順序一致；所述網絡設備將所述第一會話信息序列作為第一馬爾科夫鏈，并獲取所述第一馬爾科夫鏈的狀態鏈概率值，其中，所述第一會話信息序列中的每一個會話信息作為所述第一馬爾科夫鏈中的一個狀態；所述網絡設備根據所述第一馬爾科夫鏈的狀態鏈概率值和第一基準概率值，確定所述多次登錄會話是否為暴力破解攻擊，所述第一基準概率值用于識別暴力破解攻擊。

該檢測方法中，將多次登錄會話的多個會話信息看作馬爾科夫鏈，計算該馬爾科夫鏈的狀態鏈概率值，并根據該狀態鏈概率值判斷這多次登錄會話是否為暴力破解攻擊。也就是說，該檢測方法中，將暴力破解攻擊的判斷問題轉換為概率問題，根據概率判斷登錄會話是否為暴力破解攻擊，有助于有檢測出暴力破解攻擊。

在一種可能的設計中，所述每一個會話信息為對應的登錄會話中攜帶用戶名和密碼的報文的長度和攜帶認證結果的報文的長度之和。

在一種可能的設計中，所述根據攻擊概率閾值和所述第一狀態鏈概率，確定所述待檢測的多次登錄會話是否為暴力破解攻擊，包括：若所述第一狀態鏈概率大于或等于所述功率概率閾值，確定所述待檢測的多次登錄會話為暴力破解攻擊。

在一種可能的設計中，所述網絡設備根據所述第一馬爾科夫鏈的狀態鏈概率值和第一基準概率值，確定所述多次登錄會話是否為暴力破解攻擊，包括：若所述第一馬爾科夫鏈的狀態鏈概率值小于或等于所述第一基準概率值，則所述網絡設備確定所述多次登錄會話為暴力破解攻擊；或若所述第一馬爾科夫鏈的狀態鏈概率值與所述第一基準概率值的差值小于或等于預先配置的閾值，則所述網絡設備確定所述多次登錄會話為暴力破解攻擊。

在一種可能的設計中，所述第一馬爾科夫鏈的狀態鏈概率值是根據所述第一馬爾科夫鏈的初始概率值和所述第一馬爾科夫鏈的轉移概率值確定的。