本技術(shù)涉及網(wǎng)絡(luò)安全領(lǐng)域，具體而言，涉及一種異常ip地址檢測(cè)方法、裝置。

背景技術(shù)：

1、隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，越來越多的人選擇通過ssh(secure?shell)協(xié)議遠(yuǎn)程連接來管理云服務(wù)、智能設(shè)備以及計(jì)算機(jī)等系統(tǒng)中的資源和數(shù)據(jù)。雖然這為用戶帶來了便利，但也伴隨著一系列潛在的威脅，尤其是非法人員通過非法破解手段，以竊取用戶信息或遠(yuǎn)程控制用戶設(shè)備等。

2、所謂非法破解行為是一種迭代嘗試錯(cuò)誤的非法行為方法，其拼接概率期望猜出正確結(jié)果，從而試圖破解密碼、使用者名稱、發(fā)現(xiàn)隱藏的頁(yè)面或破解加密信息鑰匙，雖然其需要根據(jù)密碼的數(shù)量和復(fù)雜程度需要不同的破解時(shí)間，但其憑借技術(shù)難度低、難以被發(fā)現(xiàn)等優(yōu)勢(shì)仍被廣泛應(yīng)用。因此，目前亟需一種用于快速、準(zhǔn)確地檢測(cè)存在非法破解行為的源ip地址的方法。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)實(shí)施例提供了一種異常ip地址檢測(cè)方法、裝置，以至少解決相關(guān)技術(shù)分析存在非法破解行為的異常ip地址的效率低、準(zhǔn)確性差的技術(shù)問題。

2、根據(jù)本技術(shù)實(shí)施例的一個(gè)方面，提供了一種異常ip地址檢測(cè)方法，包括：獲取第一ssh日志，其中，第一ssh日志用于記錄至少一個(gè)第一源ip地址在第一時(shí)間段內(nèi)通過ssh協(xié)議嘗試登錄多個(gè)第一目的ip地址的過程信息；對(duì)第一ssh日志進(jìn)行分析，得到各個(gè)第一源ip地址在多個(gè)第一子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一次數(shù)以及各個(gè)第一源ip地址在多個(gè)第二子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一目的ip地址的第一數(shù)量，其中，第一子時(shí)間段和第二子時(shí)間段均小于第一時(shí)間段；依據(jù)每個(gè)第一源ip地址的多個(gè)第一次數(shù)與第一預(yù)設(shè)閾值的大小關(guān)系以及每個(gè)第一源ip地址的多個(gè)第一數(shù)量與第二預(yù)設(shè)閾值的大小關(guān)系，確定第一ssh日志內(nèi)記錄的各個(gè)第一源ip地址是否為存在非法破解行為的異常ip地址，其中，第一預(yù)設(shè)閾值和第二預(yù)設(shè)閾值分別是依據(jù)多個(gè)第二ssh日志內(nèi)記錄的多個(gè)第二源ip地址進(jìn)行ssh登錄嘗試的第二次數(shù)對(duì)應(yīng)的ssh連接頻率統(tǒng)計(jì)特征，以及每個(gè)第二源ip地址進(jìn)行ssh登錄嘗試的第二目的ip地址的第二數(shù)量對(duì)應(yīng)的ssh連接分布統(tǒng)計(jì)特征所確定。

3、可選地，獲取第一ssh日志，包括：通過查看系統(tǒng)日志文件或使用系統(tǒng)日志服務(wù)獲取第一ssh日志。

4、可選地，在確定第一ssh日志內(nèi)記錄的第一源ip地址是否為存在非法破解行為的異常ip地址之前，該方法還包括：獲取多個(gè)第二ssh日志，其中，第二ssh日志用于記錄至少一個(gè)第二源ip地址在第二時(shí)間段內(nèi)通過ssh協(xié)議嘗試登錄多個(gè)第二目的ip地址的過程信息；對(duì)于每個(gè)第二ssh日志，對(duì)第二ssh日志進(jìn)行分析，得到各個(gè)第二源ip地址在第一子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第二次數(shù)以及各個(gè)第二源ip地址在各個(gè)第二子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第二目的ip地址的第二數(shù)量；依據(jù)每個(gè)第二ssh日志內(nèi)記錄的多個(gè)第二源ip地址在第一子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第二次數(shù)確定ssh連接頻率統(tǒng)計(jì)指標(biāo)，并依據(jù)每個(gè)第二ssh日志內(nèi)記錄的多個(gè)第二源ip地址在第二子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第二目的ip地址的第二數(shù)量確定ssh連接分布統(tǒng)計(jì)指標(biāo)；基于ssh連接頻率統(tǒng)計(jì)指標(biāo)確定第一預(yù)設(shè)閾值，并基于ssh連接分布統(tǒng)計(jì)指標(biāo)確定第二預(yù)設(shè)閾值。

5、可選地，ssh連接頻率統(tǒng)計(jì)指標(biāo)至少包括：連接次數(shù)平均值、連接次數(shù)標(biāo)準(zhǔn)差，ssh連接分布統(tǒng)計(jì)指標(biāo)至少包括：地址數(shù)量平均值、地址數(shù)量標(biāo)準(zhǔn)差，其中，基于ssh連接頻率統(tǒng)計(jì)指標(biāo)確定第一預(yù)設(shè)閾值，包括：將連接次數(shù)平均值與預(yù)設(shè)倍數(shù)的連接次數(shù)標(biāo)準(zhǔn)差之和作為第一預(yù)設(shè)閾值；基于ssh連接分布統(tǒng)計(jì)指標(biāo)確定第二預(yù)設(shè)閾值，包括：將地址數(shù)量平均值與預(yù)設(shè)倍數(shù)的地址數(shù)量標(biāo)準(zhǔn)差之和作為第二預(yù)設(shè)閾值。

6、可選地，依據(jù)每個(gè)第一源ip地址的多個(gè)第一次數(shù)與第一預(yù)設(shè)閾值的大小關(guān)系以及每個(gè)第一源ip地址的多個(gè)第一數(shù)量與第二預(yù)設(shè)閾值的大小關(guān)系，確定第一ssh日志內(nèi)記錄的各個(gè)第一源ip地址是否為存在非法破解行為的異常ip地址，包括：對(duì)于第一ssh日志內(nèi)記錄的每個(gè)第一源ip地址，判斷第一源ip地址在第一子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一次數(shù)是否大于第一預(yù)設(shè)閾值；在第一源ip地址在第二目標(biāo)時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一次數(shù)大于第一預(yù)設(shè)閾值的情況下，繼續(xù)判斷第一源ip地址在第二子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一目的ip地址的第二數(shù)量是否小于第二預(yù)設(shè)閾值；在第一源ip地址在第三目標(biāo)時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一目的ip地址的第一數(shù)量小于第二預(yù)設(shè)閾值的情況下，確定第一源ip地址為存在非法破解行為的異常ip地址。

7、可選地，該方法還包括：在第一源ip地址在第二目標(biāo)時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一次數(shù)不大于第一預(yù)設(shè)閾值，和/或在第一源ip地址在第三目標(biāo)時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一目的ip地址的第一數(shù)量不小于第二預(yù)設(shè)閾值的情況下，確定第一ssh日志內(nèi)記錄的第一源ip地址是正常ip地址。

8、可選地，在確定第一源ip地址為存在非法破解行為的異常ip地址之后，該方法還包括：對(duì)多個(gè)存在非法破解行為的異常ip地址進(jìn)行去重處理，得到第一ssh日志內(nèi)存在非法破解行為的目標(biāo)異常ip地址。

9、根據(jù)本技術(shù)實(shí)施例的另一方面，還提供了一種異常ip地址檢測(cè)裝置，包括：獲取模塊，用于獲取第一ssh日志，其中，第一ssh日志用于記錄至少一個(gè)第一源ip地址在第一時(shí)間段內(nèi)通過ssh協(xié)議嘗試登錄多個(gè)第一目的ip地址的過程信息；分析模塊，用于對(duì)第一ssh日志進(jìn)行分析，得到各個(gè)第一源ip地址在多個(gè)第一子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一次數(shù)以及各個(gè)第一源ip地址在多個(gè)第二子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一目的ip地址的第一數(shù)量，其中，第一子時(shí)間段和第二子時(shí)間段均小于第一時(shí)間段；異常檢測(cè)模塊，用于依據(jù)每個(gè)第一源ip地址的多個(gè)第一次數(shù)與第一預(yù)設(shè)閾值的大小關(guān)系以及每個(gè)第一源ip地址的多個(gè)第一數(shù)量與第二預(yù)設(shè)閾值的大小關(guān)系，確定第一ssh日志內(nèi)記錄的各個(gè)第一源ip地址是否為存在非法破解行為的異常ip地址，其中，第一預(yù)設(shè)閾值和第二預(yù)設(shè)閾值分別是依據(jù)多個(gè)第二ssh日志內(nèi)記錄的多個(gè)第二源ip地址進(jìn)行ssh登錄嘗試的第二次數(shù)對(duì)應(yīng)的ssh連接頻率統(tǒng)計(jì)特征，以及每個(gè)第二源ip地址進(jìn)行ssh登錄嘗試的第二目的ip地址的第二數(shù)量對(duì)應(yīng)的ssh連接分布統(tǒng)計(jì)特征所確定。

10、根據(jù)本技術(shù)實(shí)施例的另一方面，還提供了一種非易失性存儲(chǔ)介質(zhì)，該非易失性存儲(chǔ)介質(zhì)包括存儲(chǔ)的計(jì)算機(jī)程序，其中，非易失性存儲(chǔ)介質(zhì)所在設(shè)備通過運(yùn)行該計(jì)算機(jī)程序執(zhí)行上述的異常ip地址檢測(cè)方法。

11、根據(jù)本技術(shù)實(shí)施例的另一方面，還提供了一種計(jì)算機(jī)程序產(chǎn)品，該計(jì)算機(jī)程序產(chǎn)品包括存儲(chǔ)的計(jì)算機(jī)程序，其中，計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述的異常ip地址檢測(cè)方法。

12、在本技術(shù)實(shí)施例中，檢測(cè)系統(tǒng)考慮非法破解行為特征(ssh登錄嘗試次數(shù)更頻繁，連接的目的ip地址的數(shù)量更少)，對(duì)所獲取的第一ssh日志進(jìn)行解析、統(tǒng)計(jì)，以得到該第一ssh日志內(nèi)記錄的各個(gè)第一源ip地址在多個(gè)第一子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一次數(shù)以及各個(gè)第一源ip地址在多個(gè)第二子時(shí)間段內(nèi)進(jìn)行ssh登錄嘗試的第一目的ip地址的第一數(shù)量；然后，將所得到的每個(gè)第一源ip地址的多個(gè)第一次數(shù)與第一預(yù)設(shè)閾值進(jìn)行比較，并將每個(gè)第一源ip地址的多個(gè)第一數(shù)量與第二預(yù)設(shè)閾值進(jìn)行比較，以判定第一ssh日志內(nèi)記錄的各個(gè)第一源ip地址是否為存在非法破解風(fēng)險(xiǎn)破解行為的異常ip地址。其中，第一預(yù)設(shè)閾值和第二預(yù)設(shè)閾值分別是依據(jù)多個(gè)第二ssh日志內(nèi)記錄的多個(gè)第二源ip地址進(jìn)行ssh登錄嘗試的第二次數(shù)對(duì)應(yīng)的ssh連接頻率統(tǒng)計(jì)特征，以及每個(gè)第二源ip地址進(jìn)行ssh登錄嘗試的第二目的ip地址的第二數(shù)量對(duì)應(yīng)的ssh連接分布統(tǒng)計(jì)特征所確定，從而實(shí)現(xiàn)了對(duì)非法破解行為進(jìn)行實(shí)時(shí)、全面、精準(zhǔn)地檢測(cè)，進(jìn)而解決了相關(guān)技術(shù)分析存在非法破解行為的異常ip地址的效率低、準(zhǔn)確性差的技術(shù)問題。