(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210998324.3 (22)申请日 2022.08.19 (71)申请人 济南浪潮数据技 术有限公司 地址 250101 山东省济南市自由贸易试验 区济南片区浪潮路1036号 浪潮科技园 S05楼S311室 (72)发明人 唐超　甄鹏　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 丁曼曼 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 攻击行为检测方法及相关 设备 (57)摘要 本申请公开了一种攻击行为检测方法， 包 括： 当监测到登录行为时， 采集获得所述登录行 为对应的登录信息， 所述登录信息包括多个维度 的登录指标； 对 各所述登录指标对应的权重进行 累加， 得到初始权重； 统计获得预设时间段内各 所述登录行为对应的初始权重， 获得权重总值； 当所述权重总值达到预设阈值时， 确定存在暴力 破解攻击行为。 应用本申请所提供的技术方案， 可以有效提高暴力破解攻击行为的检测效率和 检测结果的准确性， 同时也可以避免检测结果出 现滞后性问题。 本申请还公开了一种攻击行为检 测装置、 电子设备及计算机可读存储介质， 同样 具有上述 技术效果。 权利要求书2页 说明书10页 附图2页 CN 115361208 A 2022.11.18 CN 115361208 A 1.一种攻击行为检测方法， 其特 征在于， 包括： 当监测到登录行为时， 采集获得所述登录行为对应的登录信息， 所述登录信息包括多 个维度的登录指标； 对各所述登录指标对应的权 重进行累加， 得到初始权 重； 统计获得 预设时间段内各 所述登录行为对应的初始权 重， 获得权 重总值； 当所述权 重总值达 到预设阈值时， 确定存在暴力破解 攻击行为。 2.根据权利要求1所述的攻击行为检测方法， 其特征在于， 所述登录指标包括登录IP、 登录账号、 登录端口、 登录时间、 登录结果。 3.根据权利要求1所述的攻击行为检测方法， 其特征在于， 所述对各所述登录指标对应 的权重进行累加， 得到初始权 重， 包括： 当所述登录指标为可信任指标时， 获取所述可信任指标在可信任权重列表中对应的权 重； 当所述登录指标为不可信任指标时， 获取所述不可信任指标在不可信任权重列表中对 应的权重； 对各所述登录指标对应的权 重进行累加， 获得 所述初始权 重。 4.根据权利要求3所述的攻击行为检测方法， 其特征在于， 判断所述登录指标是否为所 述可信任指标， 包括： 判断所述登录指标 是否命中相应的可信任指标列表； 若是， 则确定所述登录指标为所述可信任指标； 若否， 则确定所述登录指标为所述 不可信任指标。 5.根据权利要求 4所述的攻击行为检测方法， 其特 征在于， 还 包括： 当所述预设时间段内存在 登录结果为登录成功的登录行为 时， 将所述登录行为对应的 各登录指标 添加至相应的各 所述可信任指标列表。 6.根据权利要求1所述的攻击行为检测方法， 其特征在于， 所述当所述权重总值达到预 设阈值时， 确定存在暴力破解 攻击行为之后， 还 包括： 获取所述预设时间段的最终登录结果； 根据所述 最终登录结果确定所述 暴力破解 攻击行为的攻击结果。 7.根据权利要求6所述的攻击行为检测方法， 其特 征在于， 还 包括： 当所述攻击结果 为攻击成功时， 输出告警信息 。 8.一种攻击行为检测装置， 其特 征在于， 包括： 采集模块， 用于当监测到登录行为 时， 采集获得所述登录行为对应的登录信息， 所述登 录信息包括多个维度的登录指标； 累加模块， 用于对各 所述登录指标对应的权 重进行累加， 得到初始权 重； 统计模块， 用于统计获得预设时间段内各所述登录行为对应的初始权重， 获得权重总 值； 判定模块， 用于当所述权 重总值达 到预设阈值时， 确定存在暴力破解 攻击行为。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至7任一项所述的攻击行为检测权　利　要　求　书 1/2 页 2 CN 115361208 A 2方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述的攻击行为检测方 法的步骤。权　利　要　求　书 2/2 页 3 CN 115361208 A 3