本發明公開了一種撞庫攻擊檢測的方法，包括：從采集的網絡流量中分離出HTTP流量信息；對所述HTTP流量信息進行解析，獲得當前訪問量排名前N位的N個URL；從所述N個URL中提取出不匹配于預設的學習庫中的URL作為目標URL；根據所述目標URL的每個請求報文的有效載荷，確定所述請求報文中為登錄行為的登錄請求報文；根據與每個所述登錄請求報文對應的響應報文的有效載荷，計算每個源IP的登錄失敗率；根據每個所述源IP的登錄失敗率和預設閾值，判斷每個所述源IP的登錄請求是否為撞庫攻擊。本發明還公開了一種撞庫攻擊檢測的裝置、設備及存儲介質，可以有效地降低檢測運算量，提高了處理效率和運算速度，并且提高了識別準確率。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種撞庫攻擊檢測方法、裝置、設備及計算機可讀存儲介質。

背景技術

隨著互聯網的快速發展，涌現了大量的網站與移動應用。每個用戶都可能在多個不同的網站擁有多個賬號，用戶為了方便記憶，這些賬號往往采用相同的賬號和密碼。因此就導致了嚴重的安全問題，當某個網站或移動應用的用戶數據泄露時，可能導致該用戶在其他網站與移動應用的信息全部泄露。近年來，撞庫攻擊對用戶的影響已經日益顯著。

在目前現有的撞庫攻擊檢測方法中，往往在抓取流量時獲取盡量多個維度的信息，例如，源IP，目的IP，源端口，目的端口，有效載荷，url等多個維度的信息，并且使用模式匹配或JSON解析器將有效載荷中的登陸信息提取出來，在執行判斷邏輯時綜合使用多個維度進行同時判斷。

然而，發明人在實施本發明的過程中發現，有些門戶網站流量巨大，傳統的檢測方法需要綜合使用多個維度進行同時判斷，因此需要巨大的運算量，難以快速檢測出撞庫攻擊，導致處理效率較低，并且在NAT環境中容易造成誤報的問題。

發明內容

針對上述問題，本發明的目的在于提供一種撞庫攻擊檢測的方法、裝置、設備及計算機可讀存儲介質，可以快速且準確地檢測出撞庫攻擊，提高處理效率。

本發明實施例提供了一種撞庫攻擊檢測方法，包括：

從采集的網絡流量中分離出HTTP流量信息；

對所述HTTP流量信息進行解析，獲得當前訪問量排名前N位的N個URL；

從所述N個URL中提取出不匹配于預設的學習庫中的URL作為目標URL；

根據所述目標URL的每個請求報文的有效載荷，確定所述請求報文中為登錄行為的登錄請求報文；

根據與每個所述登錄請求報文對應的響應報文的有效載荷，計算每個源IP的登錄失敗率；

根據每個所述源IP的登錄失敗率和預設閾值，判斷每個所述源IP的登錄請求是否為撞庫攻擊。

優選地，所述學習庫包括N個第一URL；所述N個第一URL通過對在預定歷史時間內檢測到訪問量排名前N位的N個URL進行統計獲得；

則從所述N個URL中提取出不匹配于預設的學習庫中的URL作為目標URL，具體為：

從所述N個URL中提取中不存在于所述學習庫中的URL作為目標URL。

優選地，所述學習庫包括至少兩組與時間段相對應的URL組；每個URL組包括N個第一URL；每個URL組包含的N個第一URL根據在預定的歷史日期內在相同時間段提取的訪問量排名前N位的N個URL進行統計獲得；

則所述從所述N個URL中提取出不匹配于預設的學習庫中的URL作為目標URL，具體為：

獲取所述學習庫中時間段與當前時刻相對應的URL組；

從所述N個URL中提取中不存在于所述URL組中的URL作為目標URL。