本发明专利技术公开了一种撞库攻击的告警系统,用于能够发现互联网中的应用服务器受到的撞库攻击。撞库攻击的告警系统包括:用户端、应用服务器、网络设备和撞库攻击分析设备,其中,用户端和网络设备通过互联网连接,网络设备分别和应用服务器、撞库攻击分析设备连接;网络设备,用于对用户端和应用服务器之间传输的通信数据进行镜像处理从而生成通信数据对应的镜像数据,并将镜像数据发送给撞库攻击分析设备;撞库攻击分析设备,用于从网络设备获取到镜像数据;根据镜像数据获取到通信数据对应的用户访问动作;根据用户访问动作判断应用服务器是否正在受到撞库攻击,当应用服务器正在受到撞库攻击时,实时的发出告警。
【技术实现步骤摘要】
本专利技术涉及计算机
,具体涉及一种撞库攻击的告警系统。
技术介绍
近年来,针对互联网应用进行撞库攻击,窃取大量用户私密信息的事件层出不穷。黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户名和账号密码,因此黑客可以通过获取用户在一个网站的账户从而尝试登录另一个网站,这就是撞库攻击,而依据现有的网络安全产品,应用服务器受到撞库攻击时很难及时发现并告警。
技术实现思路
本专利技术的目的在于提供一种撞库攻击的告警系统,用于能够发现互联网中的应用服务器受到的撞库攻击,实现对应用服务器的信息安全防护。为了达到上述目的,本专利技术采用这样的如下技术方案: 本专利技术提供一种撞库攻击的告警系统,所述撞库攻击的告警系统包括:用户端、应用服务器、网络设备和撞库攻击分析设备,其中, 所述用户端和所述网络设备通过互联网连接,所述网络设备分别和所述应用服务器、所述撞库攻击分析设备连接; 所述网络设备,用于对所述用户端和所述应用服务器之间传输的通信数据进行镜像处理从而生成所述通信数据对应的镜像数据,并将所述镜像数据发送给所述撞库攻击分析设备; 所述撞库攻击分析设备,用于从所述网络设备获取到所述镜像数据;根据所述镜像数据获取到所述通信数据对应的用户访问动作;根据所述用户访问动作判断所述应用服务器是否正在受到撞库攻击,当所述应用服务器正在受到撞库攻击时,实时的发出告警。采用上述技术方案后,本专利技术提供的技术方案将有如下优点: 本专利技术实施例提供的撞库攻击的告警系统中设置有网络设备和撞库攻击分析设备,该网络设备可以对用户端和应用服务器之间传输的通信数据进行镜像,从而生成通信数据对应的镜像数据,撞库攻击分析设备可以从网络设备获取到镜像数据,通过对该镜像数据的分析获取到用户端发出的用户访问动作,对该用户访问动作进行判断以确定该用户访问动作是否是撞库攻击行为,在确定应用服务器正在受到用户端的撞库攻击时,可以实时的主动发出告警,网站运维人员可以及时处置用户端的撞库攻击行为,从而有效降低因攻击造成的后续损失,实现对应用服务器的信息安全防护。【附图说明】图1为本专利技术实施例提供的一种撞库攻击的告警系统的组成结构示意图; 图2为本专利技术实施例提供的一种撞库攻击分析设备的组成结构示意图; 图3为本专利技术实施例提供的另一种撞库攻击的告警系统的组成结构示意图; 图4为本专利技术实施例提供一种撞库攻击的告警系统的应用场景中网络拓扑示意图; 图5为本专利技术实施例提供的一种撞库攻击的告警系统的处理流程示意图; 图6为本专利技术实施例提供的一种撞库攻击的告警系统的设计思路示意图。【具体实施方式】本专利技术实施例提供了一种撞库攻击的告警系统,用于能够发现互联网中的应用服务器受到的撞库攻击,实现对应用服务器的信息安全防护。为使得本专利技术的专利技术目的、特征、优点能够更加的明显和易懂,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本专利技术一部分实施例,而非全部实施例。基于本专利技术中的实施例,本领域的技术人员所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。以下分别以具体的实施例对本专利技术实施例提供的撞库攻击的告警系统进行详细说明。请参阅图1所示,本专利技术提供的一种撞库攻击的告警系统示意图,撞库攻击的告警系统可以包括如下组成结构:用户端、应用服务器、网络设备和撞库攻击分析设备,其中,用户端和网络设备通过互联网连接,网络设备分别和应用服务器、撞库攻击分析设备连接; 网络设备,用于对用户端和应用服务器之间传输的通信数据进行镜像处理从而生成通信数据对应的镜像数据,并将镜像数据发送给撞库攻击分析设备; 撞库攻击分析设备,用于从网络设备获取到镜像数据;根据镜像数据获取到通信数据对应的用户访问动作;根据用户访问动作判断应用服务器是否正在受到撞库攻击,当应用服务器正在受到撞库攻击时,实时的发出告警。其中,网络设备是设置在用户端和应用服务器之间的设备,该网络设备可以是交换机。网络设备具有数据镜像功能,对于用户端和应用服务器之间进行上行传输过程和下行传输过程中产生的通信数据进行镜像处理,网络设备对用户端和应用服务器之间传输的通信数据进行镜像处理并不会影响用户端和应用服务器之间的原有通信行为,对于用户端和应用服务器而言是无感知的。网络设备生成通信数据对应的镜像数据,并将该镜像数据发送给撞库攻击分析设备,撞库攻击分析设备和该网络设备可以通过内部局域网的方式连接。本专利技术实施例中在撞库攻击的告警系统设置有撞库攻击分析设备,该撞库攻击分析设备和网络设备相连接,撞库攻击分析设备不会对应用服务器与外界的行为产生干扰。撞库攻击分析设备从网络设备得到镜像数据,该镜像数据与用户端和应用服务器之间传输的通信数据具有完全相同的数据内容,撞库攻击分析设备可以通过镜像数据来分析用户端是否正在进行撞库攻击。其中,撞库攻击分析设备可以对镜像数据进行分析,从镜像数据中获取到通信数据对应的用户访问动作,该用户访问动作可以表示用户端正在进行登陆应用服务器的动作,也可以表示用户端进行的其它访问行为,例如评论、点赞都是用户端可能执行的访问动作。撞库攻击分析设备接下来根据该用户访问动作判断应用服务器是否正在受到撞库攻击。即用户端发起的用户访问动作表明了用户对应用服务器实施的具体行为,通过分析用户访问行为可以确定用户端是否发起了对应用服务器的撞库攻击行为。本专利技术实施例中撞库攻击分析设备可以采用对用户访问动作的多个分析确定方式来判断应用服务器是否受到了撞库攻击。举例说明如下,撞库攻击分析设备可以预先建立分析模块,通过对该分析模型中设置的用户访问动作的动作特征描述来确定应用服务器是否受到了撞库攻击,这些分析模型的具体建模过程可以依据具体的应用服务器进行设置。当应用服务器正在受到撞库攻击时,撞库攻击分析设备实时的发出告警,例如撞库攻击分析设备可以通过告警信息通知给网站运维人员及时处置。在本专利技术的一些实施例中,请参阅如图2所示,撞库攻击分析设备,包括:数据捕获模块、传输控制协议(英文全称:Transmiss1n Control Protocol,英文缩写:TCP)还原模块、应用层协议解析模块、动作分析模块、攻击判断模块和告警模块,其中, 数据捕获模块和TCP还原模块连接,TCP还原模块和应用层协议解析模块连接,应用层协议解析模块和动作分析模块连接,动作分析模块和攻击判断模块连接,攻击判断模块和告警模块连接;当前第1页1 2 3 本文档来自技高网...
【技术保护点】
一种撞库攻击的告警系统,其特征在于,所述撞库攻击的告警系统包括:用户端、应用服务器、网络设备和撞库攻击分析设备,其中,所述用户端和所述网络设备通过互联网连接,所述网络设备分别和所述应用服务器、所述撞库攻击分析设备连接;所述网络设备,用于对所述用户端和所述应用服务器之间传输的通信数据进行镜像处理从而生成所述通信数据对应的镜像数据,并将所述镜像数据发送给所述撞库攻击分析设备;所述撞库攻击分析设备,用于从所述网络设备获取到所述镜像数据;根据所述镜像数据获取到所述通信数据对应的用户访问动作;根据所述用户访问动作判断所述应用服务器是否正在受到撞库攻击,当所述应用服务器正在受到撞库攻击时,实时的发出告警。
【技术特征摘要】
【专利技术属性】
技术研发人员:周文军,姚建新,易宜生,郭晋峰,
申请(专利权)人:南威软件股份有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。