亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

自動在線密碼猜測攻擊——攻擊者通過不斷嘗試不同的用戶和密碼組合來試圖入侵用戶賬戶，在近年來已經(jīng)成為Web服務(wù)提供商面對的重大威脅。

近日，兩名研究人員在圣地亞哥的NDSS會議（Network and Distributed System Security Symposium）發(fā)表一篇文章，提出一種更具有擴展性的新解決方法。

這個方法在其論文《在大量合法身份驗證中區(qū)分攻擊》（Distinguishing Attacks from Legitimate Authentication Traffic at Scale）中，被描述為針對非定向在線密碼猜測攻擊設(shè)計的方案。 在這些攻擊中，攻擊者可以對大量賬戶發(fā)起自動密碼猜測攻擊。

論文指出，對于大型組織機構(gòu)來說，這些 “廣度優(yōu)先（breadth-first）”的攻擊方式比目標明確的 “深度優(yōu)先（depth-first）”攻擊更難解決。“深度優(yōu)先（depth-first）”攻擊中，一個攻擊者可能會針對一小部分在線賬戶嘗試大量密碼猜測。

現(xiàn)在解決在線密碼攻擊的典型方法是阻止或者限制對一個賬戶的重復(fù)嘗試。研究人員表示，這個方法能夠?qū)Ω渡疃葍?yōu)先攻擊，但是針對大量賬戶發(fā)起的密碼猜測確不太有效。

對于擁有數(shù)千萬或數(shù)億賬戶大型供應(yīng)商，廣度優(yōu)先的攻擊可以進行數(shù)百萬甚至數(shù)十億的猜測，而不觸發(fā)深度優(yōu)先防御。

微軟研究員的首席研究員，也是該報告的主要作者Cormac Herley表示，組織機構(gòu)面臨的挑戰(zhàn)是找到一個能夠有效區(qū)分合法流量和攻擊流量方法。

密碼驗證服務(wù)器上的流量混合著來自未知的正常用戶和攻擊者的流量。

每個請求包含著一個用戶名，密碼和其他數(shù)據(jù)，例如IP地址和瀏覽器信息。Herley表示，很難區(qū)分來自合法用戶發(fā)出的嘗試登陸其賬戶的請求和攻擊者的密碼猜測請求，特別是在攻擊量大的時候。例如像微軟這樣的公司，每天都能檢測到數(shù)百萬次針對其身份系統(tǒng)的攻擊。

解決這一問題首先要計算出網(wǎng)絡(luò)中良性流量的百分比和攻擊流量的百分比。

攻擊者和合法用戶都可能在一次登錄嘗試中失敗。然而正常用戶在大概5%的情況下會失敗，但是一個攻擊者在99%的情況下都在失敗。

Herley的研究展示了組織機構(gòu)如何通過這一事實來估計登錄請求中的良性流量與攻擊流量的比率。然后如何通過這一預(yù)估來識別包含最多攻擊的流量段和少量或者沒有攻擊的部分。

發(fā)現(xiàn)沒有攻擊的流量段可以幫助我們認識正常用戶流量是什么樣的，這樣我們就可以處罰那些偏離這一模式的流量段。

開發(fā)解決在線密碼攻擊的新方法的動力源于該領(lǐng)域缺乏創(chuàng)新。Herely表示，很長一段時間，都推薦鎖定賬戶的方法，但是很少有人花時間去了解它們的實際效果。

他說幾乎沒有科學(xué)依據(jù)或者分析表明，一個單一固定賬戶鎖定閾值（例如在10次失敗之后），對于小型組織機構(gòu)和那些擁有大量用戶的組織機構(gòu)（例如谷歌和微軟）同樣有效。

這個問題需要一個全新的，系統(tǒng)的解決方法，而不是那些被大量使用確很少被研究的雜亂無章的探索方法。這個方法依賴于從輸入通信量中收集到的正確統(tǒng)計數(shù)據(jù)。