• 用法治思维精准做好未检工作 2019-10-23
  • 四川大熊猫宝宝诞生 熊猫基地人气旺 2019-10-23
  • 浙江台州副市长出庭应诉民告官案 称要作表率 2019-10-21
  • 赴港打九价HPV疫苗遇尴尬“:断供”后中介涨价两三倍 2019-10-19
  • 新锐音乐人马伯骞受邀参加杰尼亚2019夏季系列时装秀 2019-10-17
  • 候选案例:APP“我的公益”平台 2019-10-17
  • 走近土掌房文章中国国家地理网 2019-09-19
  • 保护教师教育学生的权利 2019-09-19
  • Siri被小米小爱同学完虐 苹果发飙:疯狂招人补足短板 2019-08-23
  • 人民网春季糖酒会专访西藏高原之宝牦牛乳业股份有限公司董事长王世全 2019-08-23
  • 大便很“血腥”?这可不一定是痔疮造成的 2019-08-03
  • 这个辅警,是朋友圈最能“吹”的人! 2019-08-03
  • 我国纳米核心技术取得重大突破 2019-07-17
  • 697天!申花官方宣布登巴巴回归 虹口9号再度归来 2019-07-17
  • 安徽9起环境问题被挂牌督办 涉及淮南、铜陵等地 2019-07-16
  • 首页 > 信息安全 > 正文

    区分攻击:研究人员提出解决在线密码猜测攻击的新方法

    藏宝阁玄机资料 www.zir1.net 2019-03-13 15:17:37  来源:安全牛

    摘要:现在解决在线密码攻击的典型方法是阻止或者限制对一个账户的重复尝试。研究人员表示,这个方法能够对付深度优先攻击,但是针对大量账户发起的密码猜测确不太有效。
    关键词: 安全
      自动在线密码猜测攻击——攻击者通过不断尝试不同的用户和密码组合来试图入侵用户账户,在近年来已经成为Web服务提供商面对的重大威胁。
     
      近日,两名研究人员在圣地亚哥的NDSS会议(Network and Distributed System Security Symposium)发表一篇文章,提出一种更具有扩展性的新解决方法。
     
      这个方法在其论文《在大量合法身份验证中区分攻击》(Distinguishing Attacks from Legitimate Authentication Traffic at Scale)中,被描述为针对非定向在线密码猜测攻击设计的方案。 在这些攻击中,攻击者可以对大量账户发起自动密码猜测攻击。
     
      论文指出,对于大型组织机构来说,这些 “广度优先(breadth-first)”的攻击方式比目标明确的 “深度优先(depth-first)”攻击更难解决。“深度优先(depth-first)”攻击中,一个攻击者可能会针对一小部分在线账户尝试大量密码猜测。
     
      现在解决在线密码攻击的典型方法是阻止或者限制对一个账户的重复尝试。研究人员表示,这个方法能够对付深度优先攻击,但是针对大量账户发起的密码猜测确不太有效。
     
      对于拥有数千万或数亿账户大型供应商,广度优先的攻击可以进行数百万甚至数十亿的猜测,而不触发深度优先防御。
     
      微软研究员的首席研究员,也是该报告的主要作者Cormac Herley表示,组织机构面临的挑战是找到一个能够有效区分合法流量和攻击流量方法。
     
      密码验证服务器上的流量混合着来自未知的正常用户和攻击者的流量。
     
      每个请求包含着一个用户名,密码和其他数据,例如IP地址和浏览器信息。Herley表示,很难区分来自合法用户发出的尝试登陆其账户的请求和攻击者的密码猜测请求,特别是在攻击量大的时候。例如像微软这样的公司,每天都能检测到数百万次针对其身份系统的攻击。
     
      解决这一问题首先要计算出网络中良性流量的百分比和攻击流量的百分比。
     
      攻击者和合法用户都可能在一次登录尝试中失败。然而正常用户在大概5%的情况下会失败,但是一个攻击者在99%的情况下都在失败。
     
      Herley的研究展示了组织机构如何通过这一事实来估计登录请求中的良性流量与攻击流量的比率。然后如何通过这一预估来识别包含最多攻击的流量段和少量或者没有攻击的部分。
     
      发现没有攻击的流量段可以帮助我们认识正常用户流量是什么样的,这样我们就可以处罚那些偏离这一模式的流量段。
     
      开发解决在线密码攻击的新方法的动力源于该领域缺乏创新。Herely表示,很长一段时间,都推荐锁定账户的方法,但是很少有人花时间去了解它们的实际效果。
     
      他说几乎没有科学依据或者分析表明,一个单一固定账户锁定阈值(例如在10次失败之后),对于小型组织机构和那些拥有大量用户的组织机构(例如谷歌和微软)同样有效。
     
      这个问题需要一个全新的,系统的解决方法,而不是那些被大量使用确很少被研究的杂乱无章的探索方法。这个方法依赖于从输入通信量中收集到的正确统计数据。

    第二十九届CIO班招生
    法国布雷斯特商学院MBA班招生
    法国布雷斯特商学院硕士班招生
    法国布雷斯特商学院DBA班招生
    责编:kongwen
  • 用法治思维精准做好未检工作 2019-10-23
  • 四川大熊猫宝宝诞生 熊猫基地人气旺 2019-10-23
  • 浙江台州副市长出庭应诉民告官案 称要作表率 2019-10-21
  • 赴港打九价HPV疫苗遇尴尬“:断供”后中介涨价两三倍 2019-10-19
  • 新锐音乐人马伯骞受邀参加杰尼亚2019夏季系列时装秀 2019-10-17
  • 候选案例:APP“我的公益”平台 2019-10-17
  • 走近土掌房文章中国国家地理网 2019-09-19
  • 保护教师教育学生的权利 2019-09-19
  • Siri被小米小爱同学完虐 苹果发飙:疯狂招人补足短板 2019-08-23
  • 人民网春季糖酒会专访西藏高原之宝牦牛乳业股份有限公司董事长王世全 2019-08-23
  • 大便很“血腥”?这可不一定是痔疮造成的 2019-08-03
  • 这个辅警,是朋友圈最能“吹”的人! 2019-08-03
  • 我国纳米核心技术取得重大突破 2019-07-17
  • 697天!申花官方宣布登巴巴回归 虹口9号再度归来 2019-07-17
  • 安徽9起环境问题被挂牌督办 涉及淮南、铜陵等地 2019-07-16
  • 快乐十分购买平台 哈尔滨快餐女哪里多2016 悠洋棋牌炸金花 越野车游戏 917通比牛牛手机版 av女优 113彩票app苹果版 旺旺杰克透视 重庆时时彩正不正规 云端上娱乐 云南11选5手机板开奖结果 pk10外围投注平台 20元提现现金棋牌 高尔夫球规则 老重庆时时开彩结果 兴华彩票里面那个导师