(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111431661.6 (22)申请日 2021.11.29 (71)申请人 上海斗象信息科技有限公司 地址 201203 上海市浦东 新区碧波路690号 8号楼102室 (72)发明人 徐钟豪　陈伟　谢忱　刘伟　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 周春霞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种暴力破解检测方法、 装置、 电子设备及 存储介质 (57)摘要 本申请提供一种暴力破解检测方法、 装置、 电子设备及存储介质， 用于改善网络安全防护设 备很难防护低频次连接登录的暴力破解攻击行 为的问题。 该方法包括： 获取网络流量， 并从 网络 流量中检测出待检测设备发送的多个连接请求， 然后计算出多个连接请求之间的时间间隔， 获得 多个时间间隔； 判断多个时间间隔是否满足预设 条件， 预设条件包括： 多个时间间隔中存在不小 于预设数量的连续时间间隔， 且每个连续时间间 隔的波动率小于预设率值， 波动率为当前时间间 隔与相邻时间间隔之差的绝对值与当前时间间 隔的比例值； 若是， 则将待检测设备发送的网络 流量确定为 暴力破解的攻击流 量。 权利要求书1页 说明书6页 附图2页 CN 114143071 A 2022.03.04 CN 114143071 A 1.一种暴力破解检测方法， 其特 征在于， 包括： 获取网络流量， 并从所述网络流量中检测出待检测设备发送的多个连接请求， 然后计 算出所述多个连接请求之间的时间 间隔， 获得多个时间 间隔； 判断所述多个时间间隔是否满足预设条件， 所述预设条件包括： 所述多个时间间隔中 存在不小于预设数量的连续时间间隔， 且每个连续时间间隔的波动率小于预设率值， 所述 波动率为当前时间 间隔与相邻时间 间隔之差的绝对值与当前时间 间隔的比例值； 若是， 则将所述待检测设备发送的网络流 量确定为 暴力破解的攻击流 量。 2.根据权利要求1所述的方法， 其特征在于， 在所述判断所述多个时间间隔是否满足预 设条件之后， 还 包括： 若所述多个时间间隔不满足预设条件， 则将所述待检测设备发送的网络流量确定为正 常流量。 3.根据权利要求1所述的方法， 其特 征在于， 所述获取网络流 量， 包括： 获取待检测设备发送的安全外壳协议连接、 数据库连接或者网站系统连接的网络流 量。 4.根据权利要求1所述的方法， 其特征在于， 在所述将所述待检测设备发送的网络流量 确定为暴力破解的攻击流 量之后， 还 包括： 丢弃所述待检测设备发送的网络流 量。 5.一种暴力破解检测装置， 其特 征在于， 包括： 网络流量获取模块， 用于获取网络流量， 并从所述网络流量中检测出待检测设备发送 的多个连接请求， 然后计算出 所述多个连接请求之间的时间 间隔， 获得多个时间 间隔； 时间间隔判断模块， 用于判断所述多个时间间隔是否满足预设条件， 所述预设条件包 括： 所述多个时间间隔中存在不小于预设数量的连续时间间隔， 且每个连续时间间隔的波 动率小于预设率值， 所述波动率为当前时间间隔与相 邻时间间隔之差的绝对值与当前时间 间隔的比例值； 暴力破解确定模块， 用于若所述多个时间间隔满足预设条件， 则将所述待检测设备发 送的网络流 量确定为 暴力破解的攻击流 量。 6.根据权利要求5所述的装置， 其特 征在于， 所述 暴力破解检测装置， 还 包括： 正常流量确定模块， 用于若所述多个时间间隔不满足预设条件， 则将所述待检测设备 发送的网络流 量确定为 正常流量。 7.根据权利要求5所述的装置， 其特 征在于， 所述网络流 量获取模块， 包括： 连接流量获取模块， 用于获取待检测设备发送的安全外壳协议连接、 数据库连接或者 网站系统连接的网络流 量。 8.根据权利要求5所述的装置， 其特 征在于， 所述 暴力破解检测装置， 还 包括： 网络流量丢弃模块， 用于 丢弃所述待检测设备发送的网络流 量。 9.一种电子设备， 其特征在于， 包括： 处理器和存储器， 所述存储器存储有所述处理器 可执行的机器可读指 令， 所述机器可读指令被所述处理器执行时执行如权利要求1至4任一 项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程 序， 该计算机程序被处 理器运行时执 行如权利要求1至4任一项所述的方法。权　利　要　求　书 1/1 页 2 CN 114143071 A 2一种暴力破解检测方 法、 装置、 电子设备及存储介质 技术领域 [0001]本申请涉及网络安全和互联网安全的技术领域， 具体而言， 涉及一种暴力破解检 测方法、 装置、 电子设备及存 储介质。 背景技术 [0002]网络安全防护设备(Network  Security  Device， NSD)， 是指部署在调度内部网与 外部网之 间、 专用网与公共网之 间的一组软件和硬件设备， 用于构成内部网与外部网之 间、 专用网与公共网之间界面上的保护屏障。 此 处的NSD可以包括横向隔离装置、 纵向加密认证 装置、 防火墙、 防病毒系统、 入侵检测系统(Intrusion  Detection  System， IDS)或入侵保护 装置(Intrusion Protecti on System， IP S)等。 [0003]目前， 网络安全防护设备针对安全外壳(Secure  Shell， SSH)协议连接的暴力破解 防护， 主要是将在短时间内出现的高频次连接登录的行为标记为 “暴力破解 ”， 并发出防护 告警， 具体例如： 某终端设备在30分钟内的登录失败次数超过限定次数(4次、 5次、 10次、 50 次、 80次或100次等)， 就判定为 “暴力破解 ”， 禁止该终端设备登录30分钟、 1小时或者1天等 等。 然而在实践过程中发现， 目前 的网络安全防护 设备很难防护低频次连接登录的暴力破 解攻击行为。 发明内容 [0004]本申请实施例的目的在于提供一种暴力破解检测方法、 装置、 电子设备及存储介 质， 用于改善网络安全防护设备很难防护低频次连接登录的暴力破解 攻击行为的问题。 [0005]本申请实施例提供了一种暴力破解检测方法， 包括： 获取网络流量， 并从网络流量 中检测出待检测设备发送的多个连接请求， 然后计算出多个连接请求之间的时间间隔， 获 得多个时间间隔； 判断多个时间间隔是否满足预设条件， 预设条件包括： 多个时间间隔中存 在不小于预设数量的连续时间间隔， 且每个连续时间间隔的波动率小于预设率值， 波动率 为当前时间间隔与相邻时间间隔之差的绝对值与当前时间间隔的比例值； 若是， 则将待检 测设备发送的网络流量确定为暴力破解的攻击流量。 在上述的实现过程中， 通过检测到同 一设备在网络流量中连接登录的总数量大于预设阈值， 且多次连接 登录之间的时间间隔大 致相等， 则将该网络流量确定为暴力破解的攻击流量， 从而避免了被低频次连接登录的暴 力破解攻击的情况， 有效地发现并防护低频次连接登录的暴力破解 攻击行为。 [0006]可选地， 在本申请实施例中， 在判断多个时间间隔是否满足预设条件之后， 还包 括： 若多个时间间隔不满足预设条件， 则将待检测设备发送的网络流量确定为正常流量。 在 上述的实现过程中， 通过在多个时间间隔不满足预设条件的情况下， 就将待检测设备发送 的网络流量确定为正常流量， 从而避免了将正常流量确定为暴力破解的攻击流量的问题， 有效地提高了确定为 暴力破解的正确率。 [0007]可选地， 在本申请实施例中， 获取网络流量， 包括： 获取待检测设备发送的安全外 壳协议连接、 数据库连接或者网站系统连接的网络流量。 在上述的实现过程中， 通过获取待说　明　书 1/6 页 3 CN 114143071 A 3