本申请涉及一种基于代理模块的主机防护方法和电子装置,其中,该基于代理模块的主机防护方法包括:云端平台通过第一主机上部署的代理模块获取第一主机的第一用户登录日志;云端平台根据第一用户登录日志对登录第一主机的客户端的登录行为进行统计,并根据统计结果生成IP地址封禁列表;云端平台将IP地址封禁列表发送给代理模块,以供代理模块调用iptables工具将IP地址封禁列表添加到第一主机的Netfilter的包过滤规则。通过本申请,解决了采用多个IP同时登录主机,在多个IP尝试登录的次数均未达到脚本所设置的阈值时,导致主机被爆破的问题,实现了提高网络安全的技术效果。
【技术实现步骤摘要】
一种基于代理模块的主机防护方法和电子装置
本申请涉及计算机网络安全
,特别是涉及一种基于代理模块的主机防护方法和电子装置。
技术介绍
对于Linux操作系统来说,一般通过VNC、Teamviewer和SSH等工具来进行远程管理,SSH是目前较可靠的、专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSH客户端适用于多种平台,几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、DigitalUNIX、Irix,以及其他平台都可运行SSH。KaliLinux渗透测试平台默认配置SSH服务。SSH进行服务器远程管理,仅仅需要知道服务器的IP地址、端口、管理账号和密码,即可进行服务器的管理,但是,在进行归纳推理时,如果逐个考察了某类事件的所有可能情况,因而得出一般结论,那么这结论是可靠的,这种归纳方法叫做枚举法,也称之为暴力破解法。枚举法是利用计算机运算速度快、精确度高的特点,对要解决问题的所有可能情况,一个不漏地进行检验,从中找出符合要求的答案,因此枚举法是通过牺牲时间来换取答案的全面性。图1是相关技术的主机防护方法的流程图,如图1所示,采用对主机自带的登录日志进行分析统计,识别出暴力破解IP,并使用系统自带的iptables将暴力破解IP进行封锁。相关技术中将暴力破解IP进行封锁的方法包括如下步骤:S100:查看系统自带的SSH登录记录;S101:统计SSH登录记录;S102:将SSH登录次数大于N次的IP地址显示出来,其中N为自然数;S103:对SSH登录大于N次的IP地址进行封禁。登录次数N的数值可以根据实际的应用场景进行调整。相关技术中,检测SSH登录记录和阻断攻击IP主要依托于系统自带的程序和iptables,占用了主机算力,影响了主机性能。另外,相关技术中,主要针对单个IP执行暴力破解行为的场景下的进行统计,如果攻击者采用多个IP一起爆破的场景下,阈值没有达到脚本所设置的数值时,系统将不会触发攻击告警,主机会存在被攻击IP入侵的情况出现。另外,多个主机的场景下,用户需要在每台主机上执行脚本才能去发现爆破行为,然后爆破行为进行封禁,无法仅针对被爆破主机执行该脚本。现有技术是通过在主机上运行脚本的方式来识别暴力破解行为,现有技术中通过判断每个IP的尝试登录次数,如果尝试登录的次数超过阈值就直接封禁对应IP,现有技术无法对不同的IP设置不同的阈值,如果攻击者采用多个IP一起爆破的场景下,在尝试登录的次数没有达到脚本所设置的阈值时,将不会触发攻击告警,会存在被攻击IP入侵的情况发生。针对相关技术中存在的采用多个IP同时登录主机,在多个IP尝试登录的次数均未达到脚本所设置的阈值时,导致主机被爆破的问题,目前还没有提出有效的解决方案。
技术实现思路
在本实施例中提供了一种基于代理模块的主机防护方法和电子装置,以解决相关技术中采用多个IP同时登录主机,在多个IP尝试登录的次数均未达到脚本所设置的阈值时,导致主机被爆破的技术问题。第一个方面,在本实施例中提供了一种基于代理模块的主机防护方法,所述方法包括:云端平台通过第一主机上部署的代理模块获取所述第一主机的第一用户登录日志;所述云端平台根据所述第一用户登录日志对登录所述第一主机的客户端的登录行为进行统计,并根据统计结果生成IP地址封禁列表;所述云端平台将所述IP地址封禁列表发送给所述代理模块,以供所述代理模块调用iptables工具将所述IP地址封禁列表添加到所述第一主机的Netfilter的包过滤规则。在其中的一些实施例中,所述方法还包括:所述云端平台获取登录第二主机的客户端的登录行为的统计结果;所述云端平台结合对登录所述第一主机的客户端的登录行为的统计结果和对登录所述第二主机的客户端的登录行为的统计结果,所述云端平台更新所述IP地址封禁列表。在其中的一些实施例中,所述云端平台通过第一主机上部署的代理模块获取所述第一主机的第一用户登录日志,包括:所述云端平台通过所述第一主机上部署的代理模块获取所述第一用户登录所述第一主机的时间,获取所述第一用户登录所述第一主机的用户名,获取所述第一用户登录所述第一主机的IP地址,获取所述IP地址所属区域。在其中的一些实施例中,所述云端平台根据所述第一用户登录日志对登录所述第一主机的客户端的登录行为进行统计包括:所述云端平台对所述第一用户登录所述第一主机的时间进行统计;所述云端平台对所述第一用户登录所述第一主机的用户名进行统计;所述云端平台对所述第一用户登录所述第一主机的IP地址进行统计;所述云端平台对所述IP地址的所属区域进行统计;以及所述云端平台对所述第一用户未成功登录所述第一主机的频次进行统计。在其中的一些实施例中,根据统计结果生成IP地址封禁列表,包括:所述云端平台根据统计结果判断所述第一用户登录所述第一主机的行为是否为异常登录行为,在所述第一用户登录所述第一主机的行为是异常登录行为时,所述云端平台将登录所述第一主机的所述第一用户的IP地址添加至所述封禁列表内。在其中的一些实施例中,所述云端平台根据统计结果判断所述第一用户登录所述第一主机的行为是否为异常登录行为,包括:所述云端平台根据统计结果判断所述第一用户登录所述第一主机的时间是否在第一预设时间段内,在所述第一用户登录所述第一主机的时间不在所述第一预设时间段内时,所述云端平台将所述第一用户登录所述第一主机的行为认定为异常登录行为。在其中的一些实施例中,所述云端平台根据统计结果判断所述第一用户登录所述第一主机的行为是否为异常登录行为,还包括:所述云端平台判断所述第一用户登录所述第一主机的IP地址所属区域是否在预设区域内,在所述第一用户登录所述第一主机的IP地址所属区域不在所述预设区域内时,所述云端平台将所述第一用户登录所述第一主机的行为认定为异常登录行为。在其中的一些实施例中,所述云端平台根据统计结果判断所述第一用户登录所述第一主机的行为是否为异常登录行为,还包括:所述云端平台判断所述第一用户未成功登录所述第一主机的频次是否大于第一预设阈值,在所述第一用户未成功登录所述第一主机的频次大于第一预设阈值时,所述云端平台将所述第一用户登录所述第一主机的行为认定为异常登录行为。在其中的一些实施例中,在所述云端平台认定所述第一用户登录所述第一主机的行为是正常登录行为时,所述云端平台对所述第一用户登录所述第一主机的频次设置第二预设阈值,在所述第一用户登录所述第一主机的频次大于所述第二预设阈值时,所述云端平台将所述第一用户的IP地址添加至所述封禁列表内。第二个方面,在本实施例中提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序实现上述第一个方面所述的基于代理模块的主机防护方法的步骤。与相关技术相比本文档来自技高网...
【技术保护点】
1.一种基于代理模块的主机防护方法,其特征在于,所述方法包括:/n云端平台通过第一主机上部署的代理模块获取所述第一主机的第一用户登录日志;/n所述云端平台根据所述第一用户登录日志对登录所述第一主机的客户端的登录行为进行统计,并根据统计结果生成IP地址封禁列表;/n所述云端平台将所述IP地址封禁列表发送给所述代理模块,以供所述代理模块调用iptables工具将所述IP地址封禁列表添加到所述第一主机的Netfilter的包过滤规则。/n
【技术特征摘要】
1.一种基于代理模块的主机防护方法,其特征在于,所述方法包括:
云端平台通过第一主机上部署的代理模块获取所述第一主机的第一用户登录日志;
所述云端平台根据所述第一用户登录日志对登录所述第一主机的客户端的登录行为进行统计,并根据统计结果生成IP地址封禁列表;
所述云端平台将所述IP地址封禁列表发送给所述代理模块,以供所述代理模块调用iptables工具将所述IP地址封禁列表添加到所述第一主机的Netfilter的包过滤规则。
2.根据权利要求1所述的基于代理模块的主机防护方法,其特征在于,所述方法还包括:
所述云端平台获取登录第二主机的客户端的登录行为的统计结果;
所述云端平台结合对登录所述第一主机的客户端的登录行为的统计结果和对登录所述第二主机的客户端的登录行为的统计结果,所述云端平台更新所述IP地址封禁列表。
3.根据权利要求1所述的基于代理模块的主机防护方法,其特征在于,所述云端平台通过第一主机上部署的代理模块获取所述第一主机的第一用户登录日志,包括:
所述云端平台通过所述第一主机上部署的代理模块获取所述第一用户登录所述第一主机的时间,获取所述第一用户登录所述第一主机的用户名,获取所述第一用户登录所述第一主机的IP地址,获取所述IP地址所属区域。
4.根据权利要求3所述的基于代理模块的主机防护方法,其特征在于,所述云端平台根据所述第一用户登录日志对登录所述第一主机的客户端的登录行为进行统计,包括:
所述云端平台对所述第一用户登录所述第一主机的时间进行统计;
所述云端平台对所述第一用户登录所述第一主机的用户名进行统计;
所述云端平台对所述第一用户登录所述第一主机的IP地址进行统计;
所述云端平台对所述IP地址的所属区域进行统计;以及
所述云端平台对所述第一用户未成功登录所述第一主机的频次进行统计。
5.根据权利要求4所述的基于代理模块的主机防护方法,其特征在于,根据统计结果生成IP地址封禁列表,包括:
所述云端平台根据统计结果判断所述第一用户登录所述第一主机的行为是否为异常登录行为,...
【专利技术属性】
技术研发人员:贾腾飞,范渊,杨勃,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。