亚洲成aⅴ人片在线影院八,1大但人文艺术,黄色午夜网站

區分攻擊：研究人員提出解決在線密碼猜測攻擊的新方法

責編：gltian ｜2019-03-14 11:07:32

自動在線密碼猜測攻擊——攻擊者通過不斷嘗試不同的用戶和密碼組合來試圖入侵用戶賬戶，在近年來已經成為Web服務提供商面對的重大威脅。

近日，兩名研究人員在圣地亞哥的NDSS會議（Network and Distributed System Security Symposium）發表一篇文章，提出一種更具有擴展性的新解決方法。

這個方法在其論文《在大量合法身份驗證中區分攻擊》（Distinguishing Attacks from Legitimate Authentication Traffic at Scale）中，被描述為針對非定向在線密碼猜測攻擊設計的方案。在這些攻擊中，攻擊者可以對大量賬戶發起自動密碼猜測攻擊。

論文指出，對于大型組織機構來說，這些 “廣度優先（breadth-first）”的攻擊方式比目標明確的 “深度優先（depth-first）”攻擊更難解決?！吧疃葍炏龋╠epth-first）”攻擊中，一個攻擊者可能會針對一小部分在線賬戶嘗試大量密碼猜測。

現在解決在線密碼攻擊的典型方法是阻止或者限制對一個賬戶的重復嘗試。研究人員表示，這個方法能夠對付深度優先攻擊，但是針對大量賬戶發起的密碼猜測確不太有效。

對于擁有數千萬或數億賬戶大型供應商，廣度優先的攻擊可以進行數百萬甚至數十億的猜測，而不觸發深度優先防御。

微軟研究員的首席研究員，也是該報告的主要作者Cormac Herley表示，組織機構面臨的挑戰是找到一個能夠有效區分合法流量和攻擊流量方法。

密碼驗證服務器上的流量混合著來自未知的正常用戶和攻擊者的流量。

每個請求包含著一個用戶名，密碼和其他數據，例如IP地址和瀏覽器信息。Herley表示，很難區分來自合法用戶發出的嘗試登陸其賬戶的請求和攻擊者的密碼猜測請求，特別是在攻擊量大的時候。例如像微軟這樣的公司，每天都能檢測到數百萬次針對其身份系統的攻擊。

解決這一問題首先要計算出網絡中良性流量的百分比和攻擊流量的百分比。

攻擊者和合法用戶都可能在一次登錄嘗試中失敗。然而正常用戶在大概5%的情況下會失敗，但是一個攻擊者在99%的情況下都在失敗。

Herley的研究展示了組織機構如何通過這一事實來估計登錄請求中的良性流量與攻擊流量的比率。然后如何通過這一預估來識別包含最多攻擊的流量段和少量或者沒有攻擊的部分。

發現沒有攻擊的流量段可以幫助我們認識正常用戶流量是什么樣的，這樣我們就可以處罰那些偏離這一模式的流量段。

開發解決在線密碼攻擊的新方法的動力源于該領域缺乏創新。Herely表示，很長一段時間，都推薦鎖定賬戶的方法，但是很少有人花時間去了解它們的實際效果。

他說幾乎沒有科學依據或者分析表明，一個單一固定賬戶鎖定閾值（例如在10次失敗之后），對于小型組織機構和那些擁有大量用戶的組織機構（例如谷歌和微軟）同樣有效。

這個問題需要一個全新的，系統的解決方法，而不是那些被大量使用確很少被研究的雜亂無章的探索方法。這個方法依賴于從輸入通信量中收集到的正確統計數據。