許鴻坡，陳 偉

(南京郵電大學 計算機學院，江蘇 南京 210023)

1 概 述

隨著互聯(lián)網(wǎng)的快速發(fā)展，計算機漏洞頻頻被曝光，安全技術(shù)急需跟上互聯(lián)網(wǎng)發(fā)展的步伐。但是針對有些傳統(tǒng)的網(wǎng)絡攻擊方式，依然沒有較好的解決辦法。與此同時，越來越多的企業(yè)及用戶利用云端實現(xiàn)業(yè)務或者遠程操作物聯(lián)網(wǎng)設備，此時需要通過遠程控制計算機去實現(xiàn)，這就涉及到遠程控制協(xié)議的使用。遠程登錄協(xié)議能提供多種功能，例如遠程登錄、文件傳輸、TCPIP轉(zhuǎn)發(fā)[1]，而且這些協(xié)議有助于完成自動化批量操作[2]。而傳統(tǒng)的遠程控制協(xié)議如TELNET、RDP、RLOGIN、RSH、REXEC等都是采用明文傳輸，相對較安全的SSH協(xié)議則采用加密傳輸，但是為了方便與用戶進行交互，這些協(xié)議都采用用戶名、密碼的認證方式遠程登錄。但是用戶擔心密碼復雜容易忘記，往往選擇設置相對簡單記憶的密碼，攻擊者可以將用戶普遍使用的弱密碼和設備的缺省密碼組合成密碼字典對遠程控制協(xié)議的密碼認證進行暴力破解，通過嘗試每個弱密碼，一旦認證通過，則暴力破解成功，黑客將控制設備，用戶信息將會泄露，更危險的是設備可能成為僵尸網(wǎng)絡的一部分，成為跳板感染攻擊其他設備。

雖然字典攻擊由來已久，但是近些年由于互聯(lián)網(wǎng)的快速發(fā)展，計算機設備快速增長特別是物聯(lián)網(wǎng)設備，所以存在弱密碼的設備也呈上升趨勢，導致字典攻擊被使用更加頻繁。2011年12月21日，黑客在網(wǎng)上公開了知名程序員網(wǎng)站CSDN的用戶數(shù)據(jù)庫，高達600多萬個明文的注冊郵箱賬號和密碼遭到曝光和外泄，之后有人統(tǒng)計這些密碼中有至少90%的用戶設置了弱密碼，黑客將可以利用它們制備更健壯的弱密碼字典。2016年9月30日，Mirai[3]制造者將源碼放到Github以來，Mirai及其變種感染的物聯(lián)網(wǎng)設備快速增加。據(jù)統(tǒng)計，Mirai僵尸網(wǎng)絡已累計感染超過200萬臺攝像機等IoT設備，而其中感染模塊使用的就是傳統(tǒng)的字典攻擊，感染設備的數(shù)量讓人嘆為觀止，主要原因還是眾多設備采用弱密碼或者缺省密碼。在此之后針對弱密碼的字典攻擊更多被僵尸網(wǎng)絡所使用，開放遠程控制協(xié)議端口的弱密碼設備將可能淪為肉雞。所以對遠程控制協(xié)議的字典攻擊檢測尤為重要。

字典攻擊檢測有兩種基本方式：一種是依賴于日志信息[4]，另一種是依賴網(wǎng)絡流量[5]。通過監(jiān)視和分析網(wǎng)絡層面或主機層面的相關(guān)網(wǎng)絡流量，可以檢測甚至阻止字典攻擊；然而，高速網(wǎng)絡和加密流量數(shù)據(jù)的使用使得這種檢測具有挑戰(zhàn)性?；谥鳈C的檢測使用安裝在主機上的內(nèi)部軟件來監(jiān)控該主機的接收流量。該主機使用的攻擊檢測軟件還可以訪問內(nèi)部日志，如用戶的登錄活動，正在運行的進程和應用程序以及其他可用于攻擊檢測相關(guān)數(shù)據(jù)?；谥鳈C檢測的一個主要缺點是無法檢測到在計算機環(huán)境中當今互聯(lián)網(wǎng)普遍存在的分布式攻擊。檢測此類攻擊需要更廣泛的視圖和網(wǎng)絡流量檢查?；诰W(wǎng)絡的檢測提供了這種功能。與僅部署在特定主機上的檢測軟件相比，它不依賴于主機的操作系統(tǒng)，且基于網(wǎng)絡流量的檢測方案更具可擴展性。在沒有直接訪問特定主機的情況下，只有基于網(wǎng)絡的檢測才能做到為沒有保護機制的主機提供安全防護[6]。

因此，文中提出基于網(wǎng)絡流量的字典攻擊檢測。以SSH協(xié)議為例，通過分析SSH協(xié)議的通信原理和網(wǎng)絡流量指紋后，發(fā)現(xiàn)對遠程控制協(xié)議認證的字典攻擊流量與正常用戶登陸流量呈現(xiàn)不同的指紋特征，針對這些不同的指紋特征，將從校園網(wǎng)入口提取的數(shù)據(jù)包標記好標簽，生成訓練數(shù)據(jù)集，通過系統(tǒng)的機器學習，最終能夠在校園網(wǎng)上檢測針對這些協(xié)議的字典攻擊。該系統(tǒng)是在網(wǎng)絡層面上對有字典攻擊的數(shù)據(jù)包進行檢測攔截，不需要在主機上部署，在保證主機的安全條件下，減少了主機的計算內(nèi)存消耗并保證了主機的性能，同時管理員不需要通過日志查看分析是否發(fā)生字典攻擊，大大減少了管理員的工作量。

文中的主要工作包括：

(1)在不直接檢查數(shù)據(jù)包的有效載荷的情況下，通過觀察暴力破解與用戶正常登錄的流量特征，運用機器學習的方法可以有效地將兩者區(qū)分出來；

(2)設計了一種簡單高效的流量處理算法，可以快速提取大量數(shù)據(jù)流的特征數(shù)據(jù)；

(3)在網(wǎng)關(guān)層面上對數(shù)據(jù)進行采集、分析，不需要主機參與，且若發(fā)現(xiàn)字典攻擊行為，即可在網(wǎng)關(guān)中阻止異常IP訪問主機。

2 相關(guān)文獻

暴力破解攻擊是指攻擊者通過系統(tǒng)地組合并嘗試所有的可能性以破解用戶的用戶名、密碼等敏感信息。攻擊者往往借助自動化腳本工具來發(fā)動暴力破解攻擊。傳統(tǒng)上防御方往往采用基于主機日志的統(tǒng)計IP出現(xiàn)的頻率來檢測是否發(fā)生暴力破解行為，如今防御方更多采用基于網(wǎng)絡流量的檢測方式，一方面可以提高檢測精度和防御效果，另一方面可以減少管理員的工作量。

魏琴芳等[7]通過分析登陸用戶名密碼的正常流量與暴力破解的流量差異，提取引起差異的流量特征，然后分別對TELNET、SSH、RDP、FTP四種協(xié)議進行檢測，但是文中只提取兩種流量特征，當其中一種特征失效時，嚴重依賴另一種特征，容易導致誤報、漏報，而且數(shù)據(jù)需要在離線狀態(tài)下處理，不具有實時性，沒有對數(shù)據(jù)包過濾，可能導致數(shù)據(jù)包過多時耗費的時間線性增加。Jonker等[8]指出許多入侵檢測系統(tǒng)采用平穩(wěn)的網(wǎng)絡流量識別攻擊行為的存在，這種方法存在一定的偏差，提出基于流量檢測來分析重傳和控制信息對SSH入侵檢測的影響，從而將入侵檢測結(jié)果大幅度提高16個百分點。Studiawan等[9]在主機層面上應用圖論來分析SSH字典攻擊生成的日志并提出k-clique滲透以對auth.log文件進行聚類，可以協(xié)助系統(tǒng)管理員檢查此事件，但是該方法僅適用于分布式SSH暴力破解情況，管理員還需處理日志聚類的結(jié)果，不能實時檢測和防御，而且在主機上部署系統(tǒng)一定影響主機性能。

當前，越來越多的研究者將機器學習運用到流量檢測中。Najafabadi等[10]提出將聚合數(shù)據(jù)包所呈現(xiàn)的數(shù)據(jù)包平均包數(shù)、字節(jié)數(shù)等信息，作為機器學習的特征以訓練從校園網(wǎng)中獲得的數(shù)據(jù)，從而區(qū)分SSH字典攻擊和正常流量。Satoh等[2]針對傳統(tǒng)識別SSH字典攻擊的惡意流量方法存在將用戶正常的訪問流量誤認為攻擊流量的情況，提出一種檢測SSH字典攻擊的新方法，該方法基于字典攻擊的非擊鍵行為流量有別于用戶身份認證的擊鍵行為流量。Najafabadi等[6]針對主機層面檢測暴力破解攻擊的不足，提出一種在網(wǎng)絡流量層面基于機器學習的暴力破解攻擊方法，并比較了樸素貝葉斯等四種機器學習方法檢測的結(jié)果。Sangkatsanee等[11]提出一種基于機器學習的實時在線入侵檢測方法，他們從網(wǎng)絡流量中提取十二種特征，并計算每種特征的信息增益作為特征選擇的標準，使用多種機器學習的方法相比較，最終設計出高檢測率、低虛警率的入侵檢測系統(tǒng)，但是這個系統(tǒng)主要針對DDoS攻擊和惡意掃描行為，不能解決遠程控制協(xié)議的字典攻擊。Satoh等[12]發(fā)現(xiàn)網(wǎng)絡流量無法區(qū)分SSH字典攻擊與正常的自動化SSH登陸行為，利用SSH連接協(xié)議存在和認證包到達時隙的長短，從SSH協(xié)議結(jié)構(gòu)原理的角度，提出基于流量分析的SSH字典檢測的方法，但是沒有從骨干網(wǎng)或者校園網(wǎng)獲得真實數(shù)據(jù)集，而是自己使用模擬構(gòu)造生成的數(shù)據(jù)集，所以在真實網(wǎng)絡環(huán)境下的檢測效果沒有得到驗證，方法也僅局限于SSH字典攻擊檢測。

3 字典攻擊檢測方法

SSH協(xié)議由三種子協(xié)議構(gòu)成，自下而上分別是SSH傳輸協(xié)議、SSH用戶認證協(xié)議和SSH連接協(xié)議。無論用戶是否認證成功都將經(jīng)過傳輸協(xié)議，傳輸協(xié)議保證數(shù)據(jù)傳輸?shù)臋C密性和完整性，所以之后的傳輸數(shù)據(jù)包是無法獲得載荷信息的，而只有用戶認證通過才能進入連接協(xié)議，連接協(xié)議需要耗費2～5 s的時間，所以可以作為判別用戶認證是否成功的標志。文中的創(chuàng)新點在于可以在不直接檢查數(shù)據(jù)包的有效載荷的情況下通過觀察暴力破解與用戶正常登錄的流量特征并運用機器學習的方法可以有效地將兩者區(qū)分出來。檢驗方法基于兩個標準：

(1)SSH用戶認證采用基于口令認證的驗證方式，用戶只有輸入正確的用戶名和密碼，方可成功登錄；

(2)認證數(shù)據(jù)包的到達時間間隔存在差異，即用戶按鍵的時間與暴力破解的非按鍵時間存在差異，作為檢測單個攻擊的標準。

3.1 C4.5決策樹

決策樹[13]通過一系列決策對樣本進行分類，而當前決策有助于做出后續(xù)決策。這樣的決策序列以樹結(jié)構(gòu)表示。樣本的分類是從根節(jié)點開始到符合決策的末端葉節(jié)點，其中每個末端葉節(jié)點表示分類類別。樣本的屬性分配給每個節(jié)點，每個分支的值對應于屬性。決策樹又分為分類決策樹、回歸決策樹。具有一系列離散(符號)類標簽的決策樹稱為分類樹，而具有一系列連續(xù)(數(shù)字)值的決策樹稱為回歸樹。這里采用的是分類決策樹。

C4.5決策樹算法如下：

輸入：訓練數(shù)據(jù)D，特征集A，閾值ε；

輸出：決策樹T。

步驟1：若D中所有實例均為同一類別Ck，則T為單節(jié)點樹，將Ck作為該節(jié)點的類標記，返回T；

步驟2：若A=?，則T為單節(jié)點樹，將D中類別最大的類Ck作為該節(jié)點的類標記，返回T；

步驟3：計算特征集合A中各個特征對D的信息增益比，選擇特征集合A中信息增益比最大的特征Ag；

步驟4：如果Ag的信息增益比小于閾值ε，則設置T為單節(jié)點樹，將D中類別最大的類Ck作為該節(jié)點的類標記，返回T；

步驟5：對Ag中的每一個取值ai，依ai將D分割為非空子集Di，以Di中實例最多的類作為類標記，構(gòu)建子節(jié)點，由節(jié)點Ag與子節(jié)點構(gòu)成樹T，并返回T；

步驟6：對第i個子節(jié)點，以Di為訓練集，A-Ag為特征集，遞歸調(diào)用步驟1～5,得到子樹Ti，返回Ti。

建立了機器學習算法之后，將檢測模型分為兩部分，第一部分為數(shù)據(jù)預處理，生成訓練數(shù)據(jù)集和測試數(shù)據(jù)集；第二部分為決策樹訓練與預測。基于決策樹的檢測模型如圖1所示。

3.2 流量處理

機器學習模型需要訓練數(shù)據(jù)集和測試數(shù)據(jù)集，而如何簡單高效地從數(shù)據(jù)流中根據(jù)選取的特征獲取這些數(shù)據(jù)是非常關(guān)鍵的一步。為了更好地檢測隱蔽性的分布式字典攻擊，需要統(tǒng)計每個IP的建立SSH連接的端口號(即應用進程)的流量信息。因此文中提出一種算法，可以在大量待處理的數(shù)據(jù)流中快速獲取決策樹算法所需要的數(shù)據(jù)，算法如下：

步驟1：初始化i為零，并將數(shù)據(jù)流以IP地址為標志劃分成數(shù)據(jù)流集合F；

步驟2：從數(shù)據(jù)流集合F中取出下標為i的數(shù)據(jù)流Fip，并初始化下標j為零，獲取Fip第一個數(shù)據(jù)包的IP地址和端口號p0，初始化每個IP的源端口數(shù)據(jù)流fport為空；

步驟3：從Fip中獲取下標為j的數(shù)據(jù)包，并獲取其端口號pnext；

步驟4：若端口號pnext與p0相等，則fport添加該數(shù)據(jù)包，F(xiàn)ip移除該數(shù)據(jù)包；否則下標j自增；

步驟5：Fip數(shù)據(jù)流長度與下標j相等，則統(tǒng)計該IP源端口號的數(shù)據(jù)流信息，否則返回步驟3；

步驟6：若Fip為空，下標i自增，并統(tǒng)計該IP數(shù)據(jù)流信息；

步驟7：若F數(shù)據(jù)流長度與下標i相等，則流量處理完畢，否則返回步驟2。

圖1 基于決策樹的檢測模型

3.3 信息增益比

基于網(wǎng)絡流量特征的暴力破解檢測基本上是分類問題，檢測系統(tǒng)必須將給定的一組網(wǎng)絡數(shù)據(jù)包分類為正常訪問或字典攻擊。網(wǎng)絡數(shù)據(jù)流的各種特征為分類提供數(shù)據(jù)輸入，所以使用的特征數(shù)量會影響計算的復雜性和所需的計算機資源。因此，希望獲得盡可能少的特征且這些特征必須滿足最佳分類效果。

在本節(jié)中，提出了使用信息增益比[14]來篩選通過蜜罐系統(tǒng)捕獲和預處理的網(wǎng)絡數(shù)據(jù)包的相關(guān)特征。信息增益比參數(shù)測量每個網(wǎng)絡流量特征用于數(shù)據(jù)分類時的相關(guān)性。

首先熵的定義為度量隨機變量的不確定性。假定隨機變量X的可能取值有x1,x2,…,xn。對于每一個可能的取值xi，其概率P(X=xi)=pi,i=1,2,…,n，所以隨機變量X的熵為：

(1)

信息增益的定義：以單一特征劃分數(shù)據(jù)集前后的熵的差值，差值越大該特征對于樣本集合D的劃分效果越好，否則相反。

信息增益正式的定義如下：設X和Y分別表示樣本屬性(x1,x2,…,xm)和類屬性(y1,y2,…,yn)的離散變量。H(Y)表示Y值的不確定性；當X的值已知，H(Y|X)表示Y值的不確定性。當確定一個特征屬性X將有助于減少類屬性Y的不確定性。故信息增益的數(shù)學表達式為：

G(Y;X)=H(Y)-H(Y|X)

(2)

對于集合樣本D來說，隨機變量Y的不確定度表示樣本集合D的熵，公式如下：

(3)

當確定一個特征屬性xi(i=1,2,…,n)時,類屬性Y的不確定度為：

(4)

因為在相同條件下，取值較多的特征比取值較少的特征獲得的信息增益大，即信息增益容易偏向取值較多的特征，為了克服這個不足，這里采用信息增益比，公式如下：

(5)

文中X定義了分類中輸入的個別特征，Y定義了流量所屬類別。通過計算每個候選特征的信息增益，選擇少數(shù)幾個基于較高信息增益的特征用于網(wǎng)絡流量分類，這樣不僅可以保證正確性，還可以減少機器學習耗費的時間。從網(wǎng)絡流量中提取的數(shù)據(jù)特征如表1所示。

表1 網(wǎng)絡流量特征

文中使用1～10特征作為計算信息增益比的候選特征，經(jīng)過信息增益比算法計算獲得表2展示的各個候選特征的信息增益比排序。從表2中可以看出每個IP端口號的平均時間、平均字節(jié)數(shù)、平均包數(shù)、端口號數(shù)的信息增益比較大，所以選擇這4個信息增益比值大的候選特征作為決策樹分類特征。

表2 網(wǎng)絡流量特征的信息增益比

4 實驗過程及結(jié)果

4.1 數(shù)據(jù)集

在校園網(wǎng)中部署了三個蜜罐[15-16]，見圖2，在每個蜜罐中使用tcpdump工具捕獲SSH流量。首先使用命令“tcpdump-i eth0-w flow.pcap”抓取流量數(shù)據(jù),獲得pcap文件，接著從每個數(shù)據(jù)集中提取出具有五元組(源IP、目的IP、源端口、目的端口、協(xié)議)的網(wǎng)絡流量并過濾出源端口或目的端口為22端口的數(shù)據(jù)包，其次過濾掉沒有應用層數(shù)據(jù)的數(shù)據(jù)包，即將具有TCP控制信息的SYN、ACK、FIN數(shù)據(jù)包丟棄，這些數(shù)據(jù)包與檢測SSH流量無關(guān)，并可以減少程序處理數(shù)據(jù)包的個數(shù)，最后將pcap文件按源IP特征進行分割，統(tǒng)計出每個IP的信息。

圖2 分布式蜜罐架

4.1.1 源端口號特征

在網(wǎng)絡通信過程中，主機之間通過IP地址和端口建立連接，每個端口號對應一個應用進程，可以發(fā)現(xiàn)無論暴力破解采用單線程方式還是多線程方式，為了保證攻擊的效率，在一段時間內(nèi)，同個主機IP都會占用大量端口，以維持不斷地與目標主機的連接，嘗試盡可能多的應用進程對目標主機進行暴力破解；而正常用戶在一段時間內(nèi)不會與目標主機建立如此多的連接。從這個角度出發(fā)，可以收集一段時間內(nèi)同一個源IP的端口數(shù)量，如果端口數(shù)量大于所設定的閾值，可以判定該IP存在字典攻擊行為。如圖3所示，一段時間內(nèi)每隔10秒用戶正常訪問所占用的端口數(shù)在1～2個波動，而單線程暴力破解則在4～5個波動，而多線程占用的端口數(shù)又是單線程數(shù)倍，即多線程的線程池個數(shù)。所以只要設定合適的閾值，在正常情況下即可區(qū)別流量類別。

圖3 端口占用數(shù)量分布

4.1.2 數(shù)據(jù)包特征

前面提到攻擊者為了保證效率一般會采取單線程或者多線程的暴力破解方式，如果攻擊者主要針對特定主機IP，會使用較大的字典，而字典數(shù)量一變大所耗費的時間將線性增加，所以他們往往會采取多線程的攻擊方式。而像僵尸網(wǎng)絡，特別是著名的Mirai僵尸網(wǎng)路，則采用單線程的暴力破解方式。但是這兩種方式都有共同的特征，即采用自動化暴力破解的方式(非按鍵形式)，這使得它們比用戶手動按鍵進行用戶認證時間更快。

圖4 SSH認證失敗消耗的時間

4.2 實驗結(jié)果與評估

部署的三個蜜罐在校園網(wǎng)中運行，在其中收集一個星期的SSH數(shù)據(jù)，并通過觀察蜜罐中的系統(tǒng)日志，標記數(shù)據(jù)包的類型，接著拿出一部分數(shù)據(jù)集作為訓練數(shù)據(jù)，另外一部分作為測試數(shù)據(jù)。訓練數(shù)據(jù)將放入C4.5決策樹程序訓練，然后將測試數(shù)據(jù)放入程序中進行檢驗，最后將測試數(shù)據(jù)的分類結(jié)果與測試數(shù)據(jù)原本的分類結(jié)果作對比，統(tǒng)計測試結(jié)果。為了計算測試性能，定義了如下指標：

誤報(FP)：屬于用戶正常訪問的流量被錯誤地視為字典攻擊流量的數(shù)據(jù)流個數(shù)；

漏報(FN)：屬于字典攻擊流量被錯誤視為用戶正常訪問的數(shù)據(jù)流個數(shù)；

真陽性(TP)：屬于字典攻擊流量被正確視為字典攻擊流量的數(shù)據(jù)流個數(shù)；

真陰性(TN)：屬于用戶正常訪問流量被正確視為用戶正常訪問流量的數(shù)據(jù)流個數(shù)。

用召回率表示屬于用戶正常訪問流量被視為用戶正常訪問流量的比例：

(6)

精確率表示屬于字典攻擊流量被視為字典攻擊流量的比例：

(7)

誤報率表示屬于用戶正常訪問流量被視為字典攻擊流量的比例：

(8)

漏報率表示屬于字典攻擊流量被錯誤視為用戶正常訪問流量的比例：

(9)

總體精確度：正確識別流量的百分比：

(10)

對蜜罐網(wǎng)絡收集的SSH數(shù)據(jù)一共包括577個不同的源IP地址，經(jīng)過機器學習模型統(tǒng)計測試分類結(jié)果和性能評估，決策樹分類結(jié)果為：真陽性個數(shù)497，真陰性個數(shù)76，誤報個數(shù)1，漏報個數(shù)3。根據(jù)決策樹的分類結(jié)果對決策樹分類性能進行評估，評估結(jié)果為召回率0.994，精確率0.997，誤報率0.006，漏報率0.013，總體精確度0.993。

從決策樹算法的分類結(jié)果和性能評估來看，總體分類正確率在99%以上，但存在個別誤報、漏報的情況，主要是數(shù)據(jù)包在傳輸過程中存在包丟失和包重傳的現(xiàn)象，導致數(shù)據(jù)流特征改變，影響決策樹的正確分類，對于隱蔽的字典攻擊，只有少量數(shù)據(jù)包，若其中一些包出錯可能會改變分類結(jié)果，但對于發(fā)起大量數(shù)據(jù)包的字典攻擊來說，該機器學習模型分類效果還是非常有效的。

5 結(jié)束語

字典攻擊作為傳統(tǒng)的攻擊手段，近年來開始受到攻擊者的關(guān)注。字典攻擊一旦成功，危害無疑是巨大的，攻擊者可以獲取設備的控制權(quán)限，實施竊密等惡意活動。因此，文中提出一種基于網(wǎng)絡流量的字典攻擊檢測，并以SSH協(xié)議為例，分析了SSH協(xié)議的原理和結(jié)構(gòu)。但由于SSH流量為加密流量，觀察不到流量的攻擊載荷信息，文中從另一個角度，通過觀察數(shù)據(jù)包包頭的信息，提取相關(guān)的攻擊特征，并運用機器學習C4.5決策樹的方法，提高了分類識別的精確度。在數(shù)據(jù)處理方面，將無關(guān)的TCP協(xié)議控制信息過濾，減少待處理的數(shù)據(jù)包數(shù)量，同時設計了一種簡單高效的數(shù)據(jù)處理算法，加快了數(shù)據(jù)處理的速度，對今后在高速網(wǎng)絡中實時在線快速檢測打下基礎。

傳統(tǒng)的字典攻擊防御手段是在主機層面，通過管理員觀察日志信息統(tǒng)計一段時間內(nèi)IP出現(xiàn)的頻率來判斷該IP是否正常訪問。對于當前復雜的網(wǎng)絡環(huán)境，僵尸網(wǎng)絡分布式暴力破解驟增和需管理主機設備數(shù)量的增長，傳統(tǒng)基于主機的防御手段已不能夠緩解大量的字典攻擊。因此文中采用擴展性更好的基于網(wǎng)絡流量的檢測，可以在網(wǎng)關(guān)層面檢測存在的暴力破解，并通過將惡意IP加入防火墻黑名單的方法，保護主機設備不被非法入侵。

在未來的工作中，對于復雜的高速網(wǎng)絡中進行在線的實時檢測無疑是很好的工作，同時可以在字典攻擊的基礎上，增加對惡意掃描、分布式拒絕服務攻擊的檢測，在網(wǎng)絡流量上設計入侵檢測系統(tǒng)，從而更好地保護主機的安全。