[发明专利]一种基于被动流量分析的暴力破解检测方法及系统

说明书

本发明涉及一种基于被动流量分析的暴力破解检测方法及系统，方法包括：获取会话流量数据；专家对会话进行标记；提取会话流量数据特征并预处理；利用特征构建训练决策树模型；利用决策树模型对被动流量暴力破解攻击进行在线检测；通过专家验证在线检测结果更新校正决策树模型。本发明通过离线建立和训练决策树，对后续采集的流量数据进行在线分析，避免了验证用户身份匹配过程耗费的大量时间，提升了检测效率，基于被动流量分析判定，解决了当前主机级别检测过程中，因弱口令达不到登陆次数和尝试时间的预定阈值就被破解而无法被标记为暴力破解的漏报风险，检测结果验证后继续用于更新检测模型，实时有效发现新的暴力破解攻击模式。

技术领域

本发明涉及一种基于被动流量分析的暴力破解检测方法及系统，属于网络安全技术领域。

背景技术

随着计算机互联网技术的发展以及大数据时代的到来，各种数据信息系统的应用也越来也广泛。在当今的互联网环境中，网络攻击已经成为网络安全的关键问题。暴力破解作为计算机网络中最常见的攻击类型之一，受到了广泛关注。

现有对暴力破解检测的研究通常集中在主机级别的检测上。通过检查访问日志，将终端发送的用户名和密码与数据库中预先注册的用户名密码进行匹配，如果在特定时间内失败的登录尝试次数超过预定义的阈值，则认为是暴力破解攻击。

然而，在此过程中，每次验证用户身份都需要花费大量时间将用户名密码和数据量较大的数据库进行匹配，大大降低了效率，并且当存在大量弱口令时，攻击者很容易在特定时间及阈值内就实现爆破攻击，导致大量的漏报问题。

发明内容

为了解决上述技术问题，本发明提供一种基于被动流量分析的暴力破解检测方法及系统，其具体技术方案如下：

一种基于被动流量分析的暴力破解检测方法，包括离线建立检测模型和在线检测暴力破解攻击，具体步骤为：

S1：离线建立检测模型：

S11：以三元组为单位，通过采样获取会话流量数据，每次会话包括多条请求数据包和多条响应数据包，所述三元组为源IP、目的IP和目的端口，所述会话流量数据包括正常流量数据和暴力破解流量数据；

S12：由安全专家将每次会话标记为爆破攻击会话和非爆破攻击会话；

S13：提取会话流量数据中的特征并进行预处理，得到：

a.源端口；

b.与暴力破解关键词字典匹配的请求数据包占比；

c.请求频率；

d.请求数据包大小波动；

e.响应数据包大小波动；

f.会话总时长；

g.初始请求包中的TCP标志位；

所述请求频率为一次会话中请求数据包的数量，所述会话总时长以秒为单位；

S14：利用S13中提取的特征和标记，构建并训练得到二分类决策树模型；

S2：在线检测暴力破解攻击。

进一步的，所述暴力破解关键词字典包含暴力破解请求常见关键词，且该字典在检测过程中不断更新累积。

进一步的，所述暴力破解请求常见关键词包括login，password和passwd。

进一步的，所述与暴力破解关键词字典匹配的请求数据包占比计算方式如下：

对条请求数据包，遍历每条请求数据包的payload，若该条数据包的payload中包含关键词字典中的一个或多个关键词，则匹配请求数据包数量加1，最后得到条匹配请求数据包数，则与暴力破解关键词字典匹配的请求数据包占比为：

（1）。

进一步的，所述请求数据包和响应数据包大小波动计算方法如下：