本发明专利技术实施例公开了一种账户攻击的安全防御方法及装置,方法包括:若监测到登录账户的第一登录请求,则获取所述第一登录请求中的字符串标识;根据预设的解密方法对所述字符串标识进行解密操作,得到解密后字符串,并从所述解密后字符串中获取时间戳;若判断获知所述时间戳不满足预设条件,则确认所述第一登录请求为账户攻击,拒绝所述第一登录请求,并确定所述登录账户登录失败。通过采用JNI技术,防止攻击者进行代码反编译,并通过在第一登录请求中添加带有时间戳的字符串标识,方便后续进行验证,捕获账户攻击,防止攻击者获取到部分账号密码后进行撞库或强破攻击,能够对账户的攻击进行有效的防御。
【技术实现步骤摘要】
一种账户攻击的安全防御方法及装置
本专利技术实施例涉及通信
,具体涉及一种账户攻击的安全防御方法及装置。
技术介绍
随着互联网的风靡和发展,人人都需要在互联网中留下自己的账户凭证以轻松地管理自己的信息,财务等资产。而每一家公司的产品,最重要的部分之一也一定是账户系统。与此同时,账户逐渐变得十分有价值,网络黑客有利可图,则使用各种技术尝试攻破账户系统以获取利益。国家也将互联网安全作为互联网发展的第一要务。常见的账号窃取,攻破方式有:XSS(CrossSiteScripting,跨站脚本攻击),SQL(StructuredQueryLanguage,结构化查询语言)注入攻击,撞库、强破等等。XSS攻击全称跨站脚本攻击,为了不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。而该代码具备获取加密的登录标识,由此则可以不获取用户明文信息的情况下伪装该用户使用网站服务,甚至直接攻破使用该账号系统的所有平台。SQL注入攻击是黑客对数据库进行攻击的常用手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多,但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。如:某个网站的登录验证的SQL查询代码为:strSQL=″SELECT*FROMusersWHERE(name=″′+userName+″′)and(pw=″′+passWord+″′);″恶意填入userName=″1′OR′1′=′1″;与passWord=″1′OR′1′=′1″;时,将导致原本的SQL语句被填为strSQL=″SELECT*FROMusersWHERE(name=′1′OR′1′=′1′)and(pw=′1′OR′1′=′1′);″也就是实际上运行的SQL命令会变成下面这样的strSQL=″SELECT*FROMusers;″因此达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏;在获取到了用户登录信息后,则可以进行撞库,大部分人在使用互联网账户时,使用的密码都近乎一致,对此则有机可乘,在获取到一定量账户信息时,则可以对更多的网站进行尝试,这就是撞库攻击;而强破是使用机器对一个已知用户名的账户进行无限次密码尝试。现有的互联网环境中,由于代码反编译,很容易让攻击者获取到部分或全部账号密码,继而进行撞库或强破攻击,而现有技术无法对账户的攻击进行有效的防御。
技术实现思路
由于现有方法存在上述问题,本专利技术实施例提出一种账户攻击的安全防御方法及装置。第一方面,本专利技术实施例提出一种账户攻击的安全防御方法,包括:若监测到登录账户的第一登录请求,则获取所述第一登录请求中的字符串标识;根据预设的解密方法对所述字符串标识进行解密操作,得到解密后字符串,并从所述解密后字符串中获取时间戳;若判断获知所述时间戳不满足预设条件,则确认所述第一登录请求为账户攻击,拒绝所述第一登录请求,并确定所述登录账户登录失败;其中,所述字符串标识为根据Java本地接口JNI动态库存储的预设的加密方法进行加密处理后的字符串;所述时间戳为生成所述第一登录请求时添加的当前时间。第二方面,本专利技术实施例还提出一种账户攻击的安全防御装置,包括:字符串获取模块,用于若监测到登录账户的第一登录请求,则获取所述第一登录请求中的字符串标识;字符串解密模块,用于根据预设的解密方法对所述字符串标识进行解密操作,得到解密后字符串,并从所述解密后字符串中获取时间戳;请求拒绝模块,用于若判断获知所述时间戳不满足预设条件,则确认所述第一登录请求为账户攻击,拒绝所述第一登录请求,并确定所述登录账户登录失败;其中,所述字符串标识为根据Java本地接口JNI动态库存储的预设的加密方法进行加密处理后的字符串;所述时间戳为生成所述第一登录请求时添加的当前时间。第三方面,本专利技术实施例还提出一种电子设备,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法。第四方面,本专利技术实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述方法。由上述技术方案可知,本专利技术实施例通过采用JNI技术,防止攻击者进行代码反编译,并通过在第一登录请求中添加带有时间戳的字符串标识,方便后续进行验证,捕获账户攻击,防止攻击者获取到部分账号密码后进行撞库或强破攻击,能够对账户的攻击进行有效的防御。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。图1为本专利技术一实施例提供的一种账户攻击的安全防御方法的流程示意图;图2为本专利技术一实施例提供的一种账户攻击的安全防御装置的结构示意图;图3为本专利技术一实施例提供的电子设备的逻辑框图。具体实施方式下面结合附图,对本专利技术的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,而不能以此来限制本专利技术的保护范围。图1示出了本实施例提供的一种账户攻击的安全防御方法的流程示意图,包括:S101、若监测到登录账户的第一登录请求,则获取所述第一登录请求中的字符串标识。其中,所述登录账户是指当前正在登录的账户。所述第一登录请求为当前终端发起的登录当前账户的请求。所述字符串标识为根据JNI动态库存储的预设的加密方法进行加密处理后的字符串。S102、根据预设的解密方法对所述字符串标识进行解密操作,得到解密后字符串,并从所述解密后字符串中获取时间戳。其中,所述时间戳为生成所述第一登录请求时添加的当前时间。上述的字符串加密方法例如:将特定字符串反序,拼接当前时间戳,再使用MD5编码进行加密。相应地,解密过程为其逆过程。S103、若判断获知所述时间戳不满足预设条件,则确认所述第一登录请求为账户攻击,拒绝所述第一登录请求,并确定所述登录账户登录失败。具体地,为了确保登录终端的安全性,本实施例在客户端使用AndroidJNI(Java本地接口)iOS动态库存储一个加密方法,在所有与账号服务交互的请求中,都以此加密方法生成一个加密后的字符串标识,添加到请求中。通过采用JNI技术,能够防止攻击者进行代码反编译来获取账号密码以及加密信息。另外,为了加强安全性,在字符串标识加密之前添加当前时间的时间戳,当服务器获取到第一登录请求后,进行解密操作后可以获取登录时间,当该登录时间与服务器接收到第一登录请求的时间相差较大,例如1小时,则证明第一登录请求并非通过合法终端发送,存在账户攻击行为;反之,当该登录时间与服务器接收到第一登录请求的时间相本文档来自技高网...
【技术保护点】
1.一种账户攻击的安全防御方法,其特征在于,包括:若监测到登录账户的第一登录请求,则获取所述第一登录请求中的字符串标识;根据预设的解密方法对所述字符串标识进行解密操作,得到解密后字符串,并从所述解密后字符串中获取时间戳;若判断获知所述时间戳不满足预设条件,则确认所述第一登录请求为账户攻击,拒绝所述第一登录请求,并确定所述登录账户登录失败;其中,所述字符串标识为根据Java本地接口JNI动态库存储的预设的加密方法进行加密处理后的字符串;所述时间戳为生成所述第一登录请求时添加的当前时间。
【技术特征摘要】
1.一种账户攻击的安全防御方法,其特征在于,包括:若监测到登录账户的第一登录请求,则获取所述第一登录请求中的字符串标识;根据预设的解密方法对所述字符串标识进行解密操作,得到解密后字符串,并从所述解密后字符串中获取时间戳;若判断获知所述时间戳不满足预设条件,则确认所述第一登录请求为账户攻击,拒绝所述第一登录请求,并确定所述登录账户登录失败;其中,所述字符串标识为根据Java本地接口JNI动态库存储的预设的加密方法进行加密处理后的字符串;所述时间戳为生成所述第一登录请求时添加的当前时间。2.根据权利要求1所述的方法,其特征在于,所述若监测到登录账户的第一登录请求,则获取所述第一登录请求中的字符串标识,具体包括:若监测到登录账户的第一登录请求,则判断发起所述第一登录请求的是否为机器人;若判断发起所述第一登录请求的不是机器人,则获取所述第一登录请求中的字符串标识。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:若判断发起所述第一登录请求的是机器人,则拒绝所述第一登录请求,并确定所述登录账户登录失败。4.根据权利要求2或3所述的方法,其特征在于,所述判断发起所述第一登录请求的是否为机器人,具体包括:显示噪点大于预设值的滑动拼图,提示用户进行手动滑动,并根据用户所用的滑动时间和滑动位置确定发起所述第一登录请求的是否为机器人。5.根据权利要求1所述的方法,其特征在于,所述确定所述登录账户登录失败后,还包括:获取所述第一登录请求的互联网协议IP地址和媒体访问控制MAC地址,并更新黑名单所述IP地址和所述MAC地址的数量;若判断获知所述黑名单中所述IP地址或所述MAC地址的数量大于阈值,则对所述IP地址或所述MAC地址进行第一预设时间...
【专利技术属性】
技术研发人员:张彤宇,
申请(专利权)人:北京顺丰同城科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。