[发明专利]一种基于被动流量分析的暴力破解检测方法及系统

权利要求书

1.一种基于被动流量分析的暴力破解检测方法，其特征在于：包括离线建立检测模型和在线检测暴力破解攻击，具体步骤为：

S1：离线建立检测模型：

S11：以三元组为单位，通过采样获取会话流量数据，每次会话包括多条请求数据包和多条响应数据包，所述三元组为源IP、目的IP和目的端口，所述会话流量数据包括正常流量数据和暴力破解流量数据；

S12：由安全专家将每次会话标记为爆破攻击会话和非爆破攻击会话；

S13：提取会话流量数据中的特征并进行预处理，得到：

a.源端口；

b.与暴力破解关键词字典匹配的请求数据包占比；

c.请求频率；

d.请求数据包大小波动；

e.响应数据包大小波动；

f.会话总时长；

g.初始请求包中的TCP标志位；

所述请求频率为一次会话中请求数据包的数量，所述会话总时长以秒为单位；

S14：利用S13中提取的特征和标记，构建并训练得到二分类决策树模型；

S2：在线检测暴力破解攻击。

2.根据权利要求1所述的基于被动流量分析的暴力破解检测方法，其特征在于：所述暴力破解关键词字典包含暴力破解请求常见关键词，且该字典在检测过程中不断更新累积。

3.根据权利要求2所述的基于被动流量分析的暴力破解检测方法，其特征在于：所述暴力破解请求常见关键词包括login，password和passwd。

4.根据权利要求1所述的基于被动流量分析的暴力破解检测方法，其特征在于：所述与暴力破解关键词字典匹配的请求数据包占比计算方式如下：

对条请求数据包，遍历每条请求数据包的payload，若该条数据包的payload中包含关键词字典中的一个或多个关键词，则匹配请求数据包数量加1，最后得到条匹配请求数据包数，则与暴力破解关键词字典匹配的请求数据包占比为：

（1）。

5.根据权利要求1所述的基于被动流量分析的暴力破解检测方法，其特征在于：所述请求数据包和响应数据包大小波动计算方法如下：

假设有条请求数据包，l条响应数据包，其字节数分别为和，两组数据中位数分别为和，则请求数据包大小波动和响应数据包大小波动分别由式（2）和式（3）表示：

（2），

（3）。

6.根据权利要求1所述的基于被动流量分析的暴力破解检测方法，其特征在于：所述TCP标志位包括FIN，SYN，RST，PSH，ACK和URG，所述TCP标志位通过OneHot编码转换为独热向量进行训练。

7.根据权利要求1所述的基于被动流量分析的暴力破解检测方法，其特征在于：所述决策树模型为C4.5决策树，在线检测的特征及结果存入数据库，由专家进行验证后，将特征及标记结果加入训练集重新训练，更新决策树模型。

8.根据权利要求1所述的基于被动流量分析的暴力破解检测方法，其特征在于：所述在线检测暴力破解攻击的具体步骤为：

S21：以三元组为单位抓取个连续流量数据包，包括请求数据包和响应数据包；

S22：提取会话流量数据中的特征并进行预处理，所述提取的特征种类与S12相同；

S23：利用离线部分训练好的决策树模型，输入S22 中预处理的特征进行检测；

S24：输出检测结果并对检测到的暴力破解攻击会话进行告警。

9.根据权利要求8所述的基于被动流量分析的暴力破解检测方法，其特征在于：所述连续流量数据包的定义根据IPFIX标准确定，从接收到流量开始记录，当收到最后一个数据包后30秒内未收到流的数据时，流记录终止，或当流量抓取已达到30分钟时，一个连续流量记录终止并启动新的流量记录。

10.一种基于被动流量分析的暴力破解检测系统，其特征在于：所述系统包括：

流量数据采集模块，用于采集会话流量数据，所述会话包括请求数据包和响应数据包，所述会话流量数据包括正常流量数据和暴力破解流量数据；

暴力破解相关特征提取模块，用于从专家标记的正常流量数据和暴力破解流量数据中提取对应的判定特征；

决策树模型构建训练模块，用于构建和训练检测暴力破解流量数据的决策树模型，利用暴力破解相关特征提取模块中提取的流量数据的判定特征构建决策树模型，并利用流量数据采集模块获取的流量数据进行训练更新；

流量数据检测模块，利用决策树模型构建训练模块训练好的决策树模型对从流量数据采集模块采集传递的会话流量数据进行检测判定。