区分攻击：研究人员提出解决在线密码猜测攻击的新方法

自动在线密码猜测攻击——攻击者通过不断尝试不同的用户和密码组合来试图入侵用户账户，在近年来已经成为Web服务提供商面对的重大威胁。

近日，两名研究人员在圣地亚哥的NDSS会议（Network and Distributed System Security Symposium）发表一篇文章，提出一种更具有扩展性的新解决方法。

这个方法在其论文《在大量合法身份验证中区分攻击》（Distinguishing Attacks from Legitimate Authentication Traffic at Scale）中，被描述为针对非定向在线密码猜测攻击设计的方案。 在这些攻击中，攻击者可以对大量账户发起自动密码猜测攻击。

论文指出，对于大型组织机构来说，这些 “广度优先（breadth-first）”的攻击方式比目标明确的 “深度优先（depth-first）”攻击更难解决。“深度优先（depth-first）”攻击中，一个攻击者可能会针对一小部分在线账户尝试大量密码猜测。

现在解决在线密码攻击的典型方法是阻止或者限制对一个账户的重复尝试。研究人员表示，这个方法能够对付深度优先攻击，但是针对大量账户发起的密码猜测确不太有效。

对于拥有数千万或数亿账户大型供应商，广度优先的攻击可以进行数百万甚至数十亿的猜测，而不触发深度优先防御。

微软研究员的首席研究员，也是该报告的主要作者Cormac Herley表示，组织机构面临的挑战是找到一个能够有效区分合法流量和攻击流量方法。

密码验证服务器上的流量混合着来自未知的正常用户和攻击者的流量。

每个请求包含着一个用户名，密码和其他数据，例如IP地址和浏览器信息。Herley表示，很难区分来自合法用户发出的尝试登陆其账户的请求和攻击者的密码猜测请求，特别是在攻击量大的时候。例如像微软这样的公司，每天都能检测到数百万次针对其身份系统的攻击。

解决这一问题首先要计算出网络中良性流量的百分比和攻击流量的百分比。

攻击者和合法用户都可能在一次登录尝试中失败。然而正常用户在大概5%的情况下会失败，但是一个攻击者在99%的情况下都在失败。

Herley的研究展示了组织机构如何通过这一事实来估计登录请求中的良性流量与攻击流量的比率。然后如何通过这一预估来识别包含最多攻击的流量段和少量或者没有攻击的部分。

发现没有攻击的流量段可以帮助我们认识正常用户流量是什么样的，这样我们就可以处罚那些偏离这一模式的流量段。

开发解决在线密码攻击的新方法的动力源于该领域缺乏创新。Herely表示，很长一段时间，都推荐锁定账户的方法，但是很少有人花时间去了解它们的实际效果。

他说几乎没有科学依据或者分析表明，一个单一固定账户锁定阈值（例如在10次失败之后），对于小型组织机构和那些拥有大量用户的组织机构（例如谷歌和微软）同样有效。

这个问题需要一个全新的，系统的解决方法，而不是那些被大量使用确很少被研究的杂乱无章的探索方法。这个方法依赖于从输入通信量中收集到的正确统计数据。