(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111622916.7 (22)申请日 2021.12.28 (71)申请人 中国银联股份有限公司 地址 200135 上海市浦东 新区含笑路36号 (72)发明人 黄自力　杨阳　陈舟　熊璐　 邱震尧　张叶　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 彭燕 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种口令爆破攻击的检测方法及装置 (57)摘要 本申请公开一种口令爆破攻击的检测方法 及装置， 针对获取的各第一待检测日志， 根据登 录状态信息确定出登录失败的各第二待检测日 志； 针对各关联要素中的任一关联要素， 构建各 第二待检测日志在关联要素下的第一网络子图； 针对任一第一网络子图， 进行社团发现处理， 得 到第一网络子图的各社团； 对第一网络子图中的 各社团进行处理， 从而得到第二网络子图； 针对 任一第二待检测日志， 根据第二待检测日志在各 第二网络子图中的出现情况， 确定第二待检测日 志在各第二网络子图下的权值； 根据第二待检测 日志在各第二网络子图下的权值， 确定第二待检 测日志对应的登录行为是否为口令爆破攻击。 该 方案可用于提升检测系统登录过程中口令爆破 攻击的行为的准确率。 权利要求书3页 说明书15页 附图2页 CN 114338147 A 2022.04.12 CN 114338147 A 1.一种口令爆破攻击的检测方法， 其特 征在于， 包括： 针对获取的各第一待检测日志， 根据各第一待检测日志 的登录状态信息， 从各第一待 检测日志中确定出登录失败的各第二待检测日志； 针对预设的各关联要素中的任一关联要素， 构建所述各第 二待检测日志在所述关联要 素下的第一网络子图； 其中， 任一第一网络子图是以每个第二待检测日志为节 点， 以待检测 日志满足所述第一网络 子图对应的关联要素设置节点间的边进行构建的； 针对任一第一网络 子图， 进行 社团发现处 理， 得到所述第一网络 子图的各 社团； 对所述第一网络 子图中的各 社团进行处 理， 从而得到第二网络 子图； 针对任一第二待检测日志， 根据所述第二待检测日志在各第二网络子图中的出现情 况， 确定所述第二待检测日志在各第二网络 子图下的权值； 根据所述第 二待检测日志在各第 二网络子图下的权值， 确定所述第 二待检测日志对应 的登录行为是否为口令爆破攻击 。 2.如权利要求1所述的方法， 其特 征在于， 所述根据 所述第二待检测日志在各第 二网络子图下的权值， 确定所述第 二待检测日志 对应的登录行为是否为口令爆破攻击， 包括： 将所述第二待检测日志在各第 二网络子图下的权值输入异常检测模型， 通过所述异常 检测模型输出所述第二待检测日志对应的登录行为是否为口令爆破攻击； 所述异常检测模 型是通过具有表征 是否是口令爆破攻击的标签值的各第二历史日志训练得到的。 3.如权利要求2所述的方法， 其特 征在于， 所述异常检测模型是通过具有表征是否是口令爆破攻击的标签值的各第二历史日志 训练得到的， 包括： 基于所述各第 一待检测日志的获取时段， 获取距离所述获取时段最近的设定时长 内的 各第一历史日志； 针对各第一历史日志， 根据各第一历史日志 的登录状态信息， 从各第一历史日志中确 定出登录失败的各第二历史日志； 针对所述预设的各关联要素中的任一关联要素， 构建所述各第 二历史日志在所述关联 要素下的第三网络 子图； 针对任一第三网络 子图， 进行 社团发现处 理， 得到所述第三网络 子图的各 社团； 对所述第三网络 子图中的各 社团进行处 理， 从而得到第四网络 子图； 针对任一第二历史日志， 根据所述第二历史日志在各第 四网络子 图中的出现情况， 确 定所述第二历史日志在各第四网络 子图下的权值； 将各第二历史日志在各第四网络子图下的权值与对应的标签值输入初始模型进行训 练， 直到训练满足设定要求， 从而得到异常检测模型； 其中， 所述标签值指示第二历史日志 对应的登录行为是否为口令爆破攻击 。 4.如权利要求1所述的方法， 其特 征在于， 所述根据 所述第二待检测日志在各第 二网络子图中的出现情况， 确定所述第 二待检测 日志在各第二网络 子图下的权值， 包括： 针对任一第 二网络子图， 若所述第 二待检测日志在所述第 二网络子图中存在对应的节 点， 则增加所述第二网络子图的权重； 若所述第二待检测日志在所述第二网络子图中不存权　利　要　求　书 1/3 页 2 CN 114338147 A 2在对应的节点， 则减小 所述第二网络子图的权重； 根据所述第二网络子图的权重， 确定所述 第二待检测日志在所述第二网络 子图下的权值。 5.如权利要求 4所述的方法， 其特 征在于， 获取各第二网络子 图对应的初始权重； 其中， 每个初始权重用于表征在基准数量的口 令爆破攻击对应的日志中具有对应网络 子图中节点的日志的数量； 所述若所述第 二待检测日志在所述第 二网络子图中存在对应的节点， 则增加所述第 二 网络子图的权 重， 包括： 针对第i个第二待检测日志， 若所述第i个第 二待检测日志在所述第 二网络子图中存在 对应的节点， 则确定具有 所述第二网络子图中节 点的日志的第一数量； 根据所述第一数量、 所述基准数量和i， 确定所述第二网络子图的权重； 所述各第二待检测日志 为按日志记录时 间顺序依次处 理。 6.如权利要求 4所述的方法， 其特 征在于， 所述根据 所述第二网络子图的权重， 确定所述第 二待检测日志在所述第 二网络子图下 的权值， 包括： 若所述第二待检测日志在所述第 二网络子图中存在对应的节点， 则将所述第 二网络子 图的权重确定为所述第二待检测日志在所述第二网络 子图下的权值； 若所述第二待检测日志在所述第 二网络子图中不存在对应的节点， 则将所述第 二网络 子图的权重更新为近0的随机数， 并将所述近0的随机数确定为所述第二待检测日志在所述 第二网络 子图下的权值。 7.如权利要求1所述的方法， 其特 征在于， 所述第二网络 子图根据以下至少一种方式生成， 包括： 针对所述第 一网络子图中的第 一社团， 若确定所述第 一社团内节点数量不满足第 一设 定阈值， 则从所述第一网络子图中删除所述第一社团； 所述第一社团为所述第一网络子图 中的任一社团； 若确定所述第 一社团属性符合异常事件簇， 则从所述第 一网络子图中删除所述第 一社 团； 若确定所述第 一社团属性与第 二社团属性满足设定要求， 则合并所述第 一社团与 所述 第二社团； 所述第二社团为所述第一网络 子图中除去所述第一社团外的任一社团； 若确定所述第 一社团内节点数量满足第 二设定阈值且节点自身存在差异性， 则对所述 第一社团进行分裂。 8.如权利要求1 ‑7任一项所述的方法， 其特征在于， 所述预设的各关联要素至少包括以 下一项内容： 短时连续、 短时间断、 ip全等、 ip掩码位全等， 用户名全等、 长时连续、 长时间 断、 ip来源相近、 ip归属地相近、 用户名字段相似、 用户名类别相似。 9.一种口令爆破攻击的检测装置， 其特 征在于， 包括： 第二待检测日志获取单元， 用于针对获取的各第一待检测日志， 根据各第一待检测日 志的登录状态信息， 从各第一待检测日志中确定出登录失败的各第二待检测日志； 第一网络子 图构建单元， 用于针对预设的各关联要素中的任一关联要素， 构建所述各 第二待检测日志在所述关联要素下 的第一网络子图； 其中， 任一第一网络子图是以每个第 二待检测日志为节点， 以待检测日志满足所述第一网络子图对应的关联要 素设置节点间的权　利　要　求　书 2/3 页 3 CN 114338147 A 3