一种密码破解行为的拦截方法及系统技术方案

本申请涉及通信领域，公开了一种密码破解行为的拦截方法及系统。用以提高密码破解行为的拦截效率以及拦截准确性，以及避免给云服务器造成运行负荷。该方法为：在云计算环境中获取云服务器侧的镜像流量，并对镜像流量进行分析，通过符合指定协议格式的传输消息，识别出对应用服务存在密码暴力破解行为的攻击源IP，再通过伪造数据包对这种密码暴力破解行为进行阻断。这样，一旦确定攻击源IP，便可以对攻击源IP进行全网拦截，有效提高了密码破解行为的拦截效率以及拦截准确性；并且，攻击源IP并不能感知到拦截系统的存在，进而有效保障了拦截系统的可靠性；以及由于拦截系统独立于云服务器集群运行，因此不会给给云服务器造成运行负荷。

Intercepting method and system for password cracking behavior

The invention relates to the field of communication, and discloses a blocking method and system for password cracking behavior. In order to improve the interception efficiency and intercept accuracy of password cracking behavior, and avoid causing operational load to cloud server. The method for calculation of image flow to get cloud server side environment in the cloud, and the image flow analysis, through the transmission message meets the specified protocol format, to identify the existence of password brute force application service IP attack source, then the password brute force behavior blocking through forged packets. So, once the attack source IP, can the attack source IP to intercept the entire network, effectively improve the efficiency of interception password cracking behavior and intercept accuracy; and attack source IP can not perceive the intercept system exists, and effectively guarantee the reliability of the interception system; and the interception system is independent of the cloud server cluster operation, thus causing the load to the cloud server to be.

【技术实现步骤摘要】
一种密码破解行为的拦截方法及系统
本申请涉及通信领域，特别涉及一种密码破解行为的拦截方法及系统。
技术介绍
在云计算环境中，暴露在公网环境的云服务器，每天都面临着大量的攻击。其中，以针对云服务器上部署的应用服务进行密码暴力破解的攻击类型最为常见，例如，针对文件传输协议(FileTransferProtocol，FTP)应用服务的密码暴力破解、关系型数据库管理系统(mysql)应用服务的密码暴力破解。所谓暴力破解，即是攻击者对这些应用服务的密码进行穷举式扫描，如果用户配置的密码强度不够，则很容易被攻击者的密码字典命中，那么，这些应用服务器的密码将极有可能被破解。而应用服务的密码被破解，会导致用户的数据泄露甚至服务器被攻击者完全控制，因此，有效的阻断这些密码破解攻击行为对云服务器的安全而言是非常重要的。现有技术下，一般的密码破解行为拦截是在主机层面进行的，即通过监控应用服务的密码错误日志，发现攻击行为，确认攻击者后通过云服务器本地的防火墙工具，如iptables对攻击者的源ID进行拦截。然而，现有的方法却有以下不足之处：首先，通过主机层面进行拦截的方案对攻击者来说是可以感知到的，因此，攻击者可能会修改云服务器的防火墙策略，从而绕过防火墙继续攻击。其次，通过主机层面进行拦截的方案需要在云服务器上部署日志监控程序序，从而增加了云服务器的运行负荷，占用了云服务器的资源。再次，基于云服务器本地日志的分析不能汇聚全网的数据，在发现攻击者的速度与准确性方面都存在缺失。另外，云服务器只能对攻击者进行一对一拦截，不能做到一点发现，全网(整个云计算环境)拦截。申请内容本申请实施例提供一种密码破解行为的拦截方法及系统，用以提高密码破解行为的拦截效率以及拦截准确性，以及避免给云服务器造成运行负荷。本申请实施例提供的具体技术方案如下：一种密码破解行为的拦截方法，包括：获得云服务器侧的镜像流量；对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，以及基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台云服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台云服务器之间的连接。可选的，对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，包括：对获得的镜像流量进行解析，基于所述指定协议格式，在镜像流量中筛选出表征执行密码认证流程的传输消息。可选的，在镜像流量中筛选出用于表征密码认证流程的传输消息，包括：在镜像流量中筛选出用于表征触发密码认证的传输消息；或/和在镜像流量中筛选出用于表征密码认证失败的传输消息。可选的，基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP，包括：将获得的所有传输消息按照源IP进行分组；筛选出符合以下规则的传输消息组：在设定时长内，传输消息组关联的云服务器的数目达到第一设定门限，且传输消息组内的传输消息总数目达到第二设定门限；将筛选出的传输消息组对应的源IP判定为攻击源IP。可选的，在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，包括：确定攻击源IP对应的三元组信息，其中，所述三元组信息至少包含攻击IP的源IP地址、目的IP地址以及端口信息；在获得的镜像流量中，将攻击源IP的三元组信息，与数据包的五元组信息进行匹配，抓取匹配成功的数据包，其中，一个数据包的五元组信息至少包含所述一个数据包的源IP地址、目的IP地址、源端口、目的端口和协议。可选的，抓取匹配成功的数据包，包括：在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接时，发送的握手信号SYN数据包；或/和，在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接后，发送的传输信号数据包。可选的，基于抓取的任意一个数据包，分别向所述攻击源IP和相应的云服务器发送伪造数据包，阻断所述攻击源IP和所述相应的云服务器之间的连接，包括：确定所述任意一个数据包的当前序列号；基于所述任意一个数据包的当前序列号以及所述任意一个数据包对应的协议格式，确定所述任意一个数据包的下一个数据包的第一序列号，以及确定所述任意一个数据包的响应数据包的第二序列号；基于第一序列号生成第一伪造数据包，以及基于第二序列号生成第二伪造数据包；将第一伪造数据包发往相应的云服务器，以及将第二伪造数据包发往攻击源IP，通知所述攻击源IP和相应的云服务器停止通信。一种密码破解行为的拦截系统，包括：获取模块，用于获得云服务器侧的镜像流量；解析模块，用于对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，以及基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；阻断模块，用于在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台云服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台云服务器之间的连接。可选的，对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息时，所述解析模块用于：对获得的镜像流量进行解析，基于所述指定协议格式，在镜像流量中筛选出表征执行密码认证流程的传输消息。可选的，在镜像流量中筛选出用于表征密码认证流程的传输消息时，所述解析模块用于：在镜像流量中筛选出用于表征触发密码认证的传输消息；或/和在镜像流量中筛选出用于表征密码认证失败的传输消息。可选的，基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP时，所述解析模块用于：将获得的所有传输消息按照源IP进行分组；筛选出符合以下规则的传输消息组：在设定时长内，传输消息组关联的云服务器的数目达到第一设定门限，且传输消息组内的传输消息总数目达到第二设定门限；将筛选出的传输消息组对应的源IP判定为攻击源IP。可选的，在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包时，所述阻断模块用于：确定攻击源IP对应的三元组信息，其中，所述三元组信息至少包含攻击IP的源IP地址、目的IP地址以及端口信息；在获得的镜像流量中，将攻击源IP的三元组信息，与数据包的五元组信息进行匹配，抓取匹配成功的数据包，其中，一个数据包的五元组信息至少包含所述一个数据包的源IP地址、目的IP地址、源端口、目的端口和协议。可选的，抓取匹配成功的数据包时，所述阻断模块用于：在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接时，发送的握手信号SYN数据包；或/和，在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接后，发送的传输信号数据包。可选的，基于抓取的任意一个数据包，分别向所述攻击源IP和相应的云服务器发送伪造数据包，阻断所述攻击源IP和所述相应的云服务器之间的连接时，所述阻断模块用于：确定所述任意一个数据包的当前序列号；基于所述任意一个数据包的当前序列号以及所述任意一个数据包对应的协议格式，确定所述任意一个数据包的下一个数据包的第一序列号，以及确定所述任意一个数据包的响应数据包的第二序列号；基于第一序列号生成第一伪造数据包，以及基于第二序列号生成第二伪造数据包；将第一伪造数据包发往相应的云服务器，以及将第二伪造数据本文档来自技高网...

【技术保护点】
一种密码破解行为的拦截方法，其特征在于，包括：获得云服务器侧的镜像流量；对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，以及基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台云服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台云服务器之间的连接。

【技术特征摘要】
1.一种密码破解行为的拦截方法，其特征在于，包括：获得云服务器侧的镜像流量；对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，以及基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台云服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台云服务器之间的连接。2.如权利要求1所述的方法，其特征在于，对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，包括：对获得的镜像流量进行解析，基于所述指定协议格式，在镜像流量中筛选出表征执行密码认证流程的传输消息。3.如权利要求2所述的方法，其特征在于，在镜像流量中筛选出用于表征密码认证流程的传输消息，包括：在镜像流量中筛选出用于表征触发密码认证的传输消息；或/和在镜像流量中筛选出用于表征密码认证失败的传输消息。4.如权利要求2所述的方法，其特征在于，基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP，包括：将获得的所有传输消息按照源IP进行分组；筛选出符合以下规则的传输消息组：在设定时长内，传输消息组关联的云服务器的数目达到第一设定门限，且传输消息组内的传输消息总数目达到第二设定门限；将筛选出的传输消息组对应的源IP判定为攻击源IP。5.如权利要求1－4任一项所述的方法，其特征在于，在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，包括：确定攻击源IP对应的三元组信息，其中，所述三元组信息至少包含攻击IP的源IP地址、目的IP地址以及端口信息；在获得的镜像流量中，将攻击源IP的三元组信息，与数据包的五元组信息进行匹配，抓取匹配成功的数据包，其中，一个数据包的五元组信息至少包含所述一个数据包的源IP地址、目的IP地址、源端口、目的端口和协议。6.如权利要求5所述的方法，其特征在于，抓取匹配成功的数据包，包括：在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接时，发送的握手信号SYN数据包；或/和，在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接后，发送的传输信号数据包。7.如权利要求1－6任一项所述的方法，其特征在于，基于抓取的任意一个数据包，分别向所述攻击源IP和相应的云服务器发送伪造数据包，阻断所述攻击源IP和所述相应的云服务器之间的连接，包括：确定所述任意一个数据包的当前序列号；基于所述任意一个数据包的当前序列号以及所述任意一个数据包对应的协议格式，确定所述任意一个数据包的下一个数据包的第一序列号，以及确定所述任意一个数据包的响应数据包的第二序列号；基于第一序列号生成第一伪造数据包，以及基于第二序列号生成第二伪造数据包；将第一伪造数据包发往相应的云服务器，以及将第二伪造数据包发往攻击源IP，通知所述攻击源IP和相应的云服务器停止通信。8.一种密码破解行为的拦截系统，其特征在于，包括：获取模块，用于获得云服务...

【专利技术属性】
技术研发人员：周来，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY