[發(fā)明專利]撞庫攻擊檢測方法、裝置、設(shè)備及計算機可讀存儲介質(zhì)有效
| 申請?zhí)枺?/td> | 201810243786.8 | 申請日: | 2018-03-23 |
| 公開(公告)號: | CN108600172B | 公開(公告)日: | 2020-11-24 |
| 發(fā)明(設(shè)計)人: | 楊潤達;黃躍珍;劉緯;唐錫南 | 申請(專利權(quán))人: | 廣州廣電研究院有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/26;H04L29/08;G06F16/955 |
| 代理公司: | 廣州三環(huán)專利商標代理有限公司 44202 | 代理人: | 麥小嬋;郝傳鑫 |
| 地址: | 510656 廣東省廣州市天河區(qū)*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 攻擊 檢測 方法 裝置 設(shè)備 計算機 可讀 存儲 介質(zhì) | ||
1.一種撞庫攻擊檢測方法,其特征在于,包括:
從采集的網(wǎng)絡(luò)流量中分離出HTTP流量信息;
對所述HTTP流量信息進行解析,獲得當前訪問量排名前N位的N個URL;
從所述N個URL中提取出不匹配于預(yù)設(shè)的學習庫中的URL作為目標URL;
根據(jù)所述目標URL的每個請求報文的有效載荷,確定所述請求報文中為登錄行為的登錄請求報文;
根據(jù)與每個所述登錄請求報文對應(yīng)的響應(yīng)報文的有效載荷,計算每個源IP的登錄失敗率;
根據(jù)每個所述源IP的登錄失敗率和預(yù)設(shè)閾值,判斷每個所述源IP的登錄請求是否為撞庫攻擊。
2.根據(jù)權(quán)利要求1所述的撞庫攻擊檢測方法,其特征在于,所述學習庫包括N個第一URL;所述N個第一URL通過對在預(yù)定歷史時間內(nèi)檢測到訪問量排名前N位的N個URL進行統(tǒng)計獲得;
則從所述N個URL中提取出不匹配于預(yù)設(shè)的學習庫中的URL作為目標URL,具體為:
從所述N個URL中提取中不存在于所述學習庫中的URL作為目標URL。
3.根據(jù)權(quán)利要求1所述的撞庫攻擊檢測方法,其特征在于,所述學習庫包括至少兩組與時間段相對應(yīng)的URL組;每個URL組包括N個第一URL;每個URL組包含的N個第一URL根據(jù)在預(yù)定的歷史日期內(nèi)在相同時間段提取的訪問量排名前N位的N個URL進行統(tǒng)計獲得;
則所述從所述N個URL中提取出不匹配于預(yù)設(shè)的學習庫中的URL作為目標URL,具體為:
獲取所述學習庫中時間段與當前時刻相對應(yīng)的URL組;
從所述N個URL中提取中不存在于所述URL組中的URL作為目標URL。
4.根據(jù)權(quán)利要求1所述的撞庫攻擊檢測方法,其特征在于,所述根據(jù)所述目標URL的每個請求報文的有效載荷,確定所述請求報文中為登錄行為的登錄請求報文,具體為:
對所述目標URL的每個請求報文的有效載荷使用流處理模式,通過向量化技術(shù)進行匹配,得到匹配結(jié)果;
根據(jù)所述匹配結(jié)果,判斷所述請求報文是否為登錄行為;
若否,則丟棄所述請求報文;
若是,則標記所述請求報文為登錄請求報文。
5.根據(jù)權(quán)利要求1所述的撞庫攻擊檢測方法,其特征在于,所述根據(jù)與每個所述登錄請求報文對應(yīng)的響應(yīng)報文的有效載荷,計算每個源IP的登錄失敗率,具體為:
對與每個所述登錄請求報文對應(yīng)的響應(yīng)報文的有效載荷使用流處理模式,通過向量化技術(shù)進行匹配,獲取與所述登錄請求報文對應(yīng)的登錄結(jié)果;
根據(jù)所有所述登錄結(jié)果,統(tǒng)計每個源IP的登錄失敗率。
6.根據(jù)權(quán)利要求1所述的撞庫攻擊檢測方法,其特征在于,所述根據(jù)每個所述源IP的登錄失敗率和預(yù)設(shè)閾值,判斷每個所述源IP的登錄請求是否為撞庫攻擊,具體為:
對于每一個源IP:
若所述登錄失敗率小于預(yù)設(shè)閾值,則判定所述源IP的登錄請求為網(wǎng)絡(luò)地址轉(zhuǎn)換;
若所述登錄失敗率大于預(yù)設(shè)閾值,則判定所述源IP的登錄請求為撞庫攻擊。
7.根據(jù)權(quán)利要求1所述的撞庫攻擊檢測方法,其特征在于,還包括:
當檢測到所述源IP的登錄請求為撞庫攻擊時,記錄被撞庫成功的用戶信息并向與該用戶信息相應(yīng)的用戶發(fā)出提醒信息。
8.一種撞庫攻擊檢測裝置,其特征在于,包括:
流量分離模塊,用于從采集的網(wǎng)絡(luò)流量中分離出HTTP流量信息;
URL監(jiān)控模塊,用于對所述HTTP流量信息進行解析,獲得當前訪問量排名前N位的N個URL;
URL匹配模塊,用于從所述N個URL中提取出不匹配于預(yù)設(shè)的學習庫中的URL作為目標URL;
登錄行為判斷模塊,用于根據(jù)所述目標URL的每個請求報文的有效載荷,確定所述請求報文中為登錄行為的登錄請求報文;
失敗率計算模塊,用于根據(jù)與每個所述登錄請求報文對應(yīng)的響應(yīng)報文的有效載荷,計算每個源IP的登錄失敗率;
撞庫攻擊判斷模塊,用于根據(jù)每個所述源IP的登錄失敗率和預(yù)設(shè)閾值,判斷每個所述源IP的登錄請求是否為撞庫攻擊。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于廣州廣電研究院有限公司,未經(jīng)廣州廣電研究院有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810243786.8/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
