[发明专利]暴力破解操作的检测方法、装置及服务器

权利要求书

1.一种暴力破解操作的检测方法，其特征在于，包括：

采集目标端口的网络流量；其中，所述网络流量是对所述目标端口进行访问操作产生的，所述网络流量携带有所述访问操作的地址信息；

根据所述地址信息判断所述网络流量是否为可疑流量；

如果是，提取所述可疑流量的流量特征；

将所述流量特征输入至预先训练得到的检测模型，得到所述检测模型针对所述流量特征输出的检测结果；其中，所述检测结果包括所述可疑流量对应的所述访问操作为暴力破解操作或所述可疑流量对应的所述访问操作为正常操作；

所述地址信息包括所述访问操作的源地址信息和目的地址信息；所述流量特征包括总连接数量、数据包平均数量、字节平均数量和可疑连接中的一种或多种；

所述提取所述可疑流量的流量特征的步骤，包括：

统计所述可疑流量对应的访问操作的源地址信息与所述目的地址信息之间的网络连接的数量，得到所述可疑流量的总连接数量；

统计各个所述网络连接发送的数据包的数量，计算所述数据包的数量与所述总连接数量的第一商值，并将所述第一商值确定为所述可疑流量的数据包平均数量；

统计各个所述数据包发送的字节的数量，计算所述字节的数量与所述数据包的数量的第二商值，并将所述第二商值确定为所述可疑流量的字节平均数量；

获取各个所述网络连接的连接存活时长，并根据所述连接存活时长从各个所述网络连接中确定所述可疑流量的可疑连接。

2.根据权利要求1所述的方法，其特征在于，所述采集目标端口的网络流量的步骤，包括：

接收外设交换机发送的旁路数据包和所述旁路数据包对应的端口信息；

根据所述旁路数据包对应的端口信息，确定目标端口的旁路数据包；

将所述目标端口的旁路数据包，作为所述目标端口的网络流量。

3.根据权利要求1所述的方法，其特征在于，所述根据所述地址信息判断所述网络流量是否为可疑流量的步骤，包括：

获取预先配置的合法地址库；其中，所述合法地址库包括多个合法的地址信息；

采用字典树算法判断所述地址信息是否属于所述合法地址库；

如果否，确定所述网络流量为可疑流量。

4.根据权利要求1所述的方法，其特征在于，所述获取各个所述网络连接的连接存活时长，并根据所述连接存活时长从各个所述网络连接中确定所述可疑流量的可疑连接的步骤，包括：

针对所述可疑流量中的每个网络连接，获取该网络连接的连接起始时间和该网络连接的连接结束时间；

计算所述连接结束时间和所述连接起始时间的差值，将所述差值确定为该网络连接的连接存活时长；

判断所述连接存活时长是否小于预设阈值；

如果是，将该网络连接确定为所述可疑流量的可疑连接。

5.根据权利要求1所述的方法，其特征在于，所述检测模型包括贝叶斯模型、神经网络模型和随机森林模型中的一种或多种。