本申请公开了一种弱口令事件的处理方法和装置、处理器及电子设备,涉及计算机安全技术领域,该方法包括:获取第一目标日志,并从第一目标日志中获取第一数据信息,第一数据信息中至少包括:目的IP、用户名和用户密码;若第一数据信息与历史日志集合中的每个日志的第二数据信息存在不同,则依据第一数据信息获取第一服务器返回的响应码;若响应码表征登录成功,则将第一目标日志放入历史日志集合,得到更新后的历史日志集合;依据目的IP,对更新后的历史日志集合中的日志进行聚合,并对每类聚合后的日志触发威胁告警。通过本申请,解决了相关技术中对于收到的弱口令日志,直接产生威胁事件,导致对弱口令的误报率比较高的问题。导致对弱口令的误报率比较高的问题。导致对弱口令的误报率比较高的问题。
【技术实现步骤摘要】
弱口令事件的处理方法和装置、处理器及电子设备
[0001]本申请涉及计算机安全领域,具体而言,涉及一种弱口令事件的处理方法和装置、处理器及电子设备。
技术介绍
[0002]随着信息技术飞速发展,企业向数字化转型,数据变得尤为重要,但大部分网络管理员安全意识不强,使用了大量的弱密码,导致黑客可以轻而易举的窃取机密数据。现有技术中对于收到的日志,解析后若为弱口令,则直接检出,并产生威胁事件,当网络中产生大量的弱口令威胁事件时,会产生大量的误报,网络管理员难以迅速获取到有用的信息,大大增加了网络管理员处理问题的难度和时间。
[0003]针对相关技术中对于收到的弱口令日志,直接产生威胁事件,导致对弱口令的误报率比较高的问题,目前尚未提出有效的解决方案。
技术实现思路
[0004]本申请的主要目的在于提供一种弱口令事件的处理方法和装置、处理器及电子设备,以解决相关技术中对于收到的弱口令日志,直接产生威胁事件,导致对弱口令的误报率比较高的问题。
[0005]为了实现上述目的,根据本申请的一个方面,提供了一种弱口令事件的处理方法。该方法包括:获取第一目标日志,并从所述第一目标日志中获取第一数据信息,其中,所述第一目标日志中记录有弱口令事件,所述第一数据信息中至少包括:目的IP、用户名和用户密码;若所述第一数据信息与历史日志集合中的每个日志的第二数据信息存在不同,则依据所述第一数据信息获取第一服务器返回的响应码,其中,所述第一服务器为所述目的IP对应的服务器,其中,所述第一目标日志的触发时间和所述历史日志集合中的日志的触发时间之间的时间间隔在预设范围内,所述历史日志集合中的每个日志中均记录有弱口令事件;若所述响应码表征登录成功,则将所述第一目标日志放入所述历史日志集合,得到更新后的历史日志集合;依据所述目的IP,对所述更新后的历史日志集合中的日志进行聚合,并对每类聚合后的日志触发威胁告警。
[0006]进一步地,在从所述第一目标日志中获取第一数据信息之后,所述方法还包括:若所述第一数据信息与所述历史日志集合中的第二目标日志的第二数据信息相同,则丢弃所述第一目标日志,并将所述第二目标日志的弱口令次数进行累加处理。
[0007]进一步地,依据所述第一数据信息获取第一服务器返回的响应码包括:依据所述目的IP确定所述第一服务器;依据所述用户名和所述用户密码登录所述第一服务器,并获取所述第一服务器返回的响应码。
[0008]进一步地,在依据所述用户名和所述用户密码登录所述第一服务器之后,所述方法还包括:若在预设时间范围内未获取到所述第一服务器返回的响应码,则再次依据所述用户名和所述用户密码登录所述第一服务器,直至获取所述第一服务器返回的响应码。
[0009]进一步地,依据所述用户名和所述用户密码登录所述第一服务器包括:判断所述用户密码是否为明文密码;若所述用户密码不是明文密码,则依据所述第一服务器确定所述用户密码的加密类型;依据所述加密类型对所述用户密码进行解密处理,得到解密后的用户密码;依据所述用户名和所述解密后的用户密码登录所述第一服务器。
[0010]进一步地,在依据所述第一数据信息获取第一服务器返回的响应码之后,所述方法还包括:若所述响应码表征登录失败,则确定导致登录失败的原因;若导致登录失败的原因不是密码错误,则依据所述用户名和所述用户密码登录所述第一服务器,直至所述响应码表征登录成功;若导致登录失败的原因是密码失败,则丢弃所述第一目标日志。
[0011]进一步地,依据所述目的IP,对所述更新后的历史日志集合中的日志进行聚合,并对每类聚合后的日志触发威胁告警包括:依据所述目的IP,对所述更新后的历史日志集合中的日志进行聚合,得到每个目的IP对应的多个日志;依据每个目的IP对应的多个日志,触发每个目的IP对应的威胁告警,其中,所述威胁告警中至少包括:所述用户名、所述用户密码和所述用户名对应的弱口令次数。
[0012]为了实现上述目的,根据本申请的另一方面,提供了一种弱口令事件的处理装置。该装置包括:第一获取单元,用于获取第一目标日志,并从所述第一目标日志中获取第一数据信息,其中,所述第一目标日志中记录有弱口令事件,所述第一数据信息中至少包括:目的IP、用户名和用户密码;第二获取单元,用于若所述第一数据信息与历史日志集合中的每个日志的第二数据信息存在不同,则依据所述第一数据信息获取第一服务器返回的响应码,其中,所述第一服务器为所述目的IP对应的服务器,其中,所述第一目标日志的触发时间和所述历史日志集合中的日志的触发时间之间的时间间隔在预设范围内,所述历史日志集合中的每个日志中均记录有弱口令事件;更新单元,用于若所述响应码表征登录成功,则将所述第一目标日志放入所述历史日志集合,得到更新后的历史日志集合;聚合单元,用于依据所述目的IP,对所述更新后的历史日志集合中的日志进行聚合,并对每类聚合后的日志触发威胁告警。
[0013]进一步地,所述装置还包括:处理单元,用于在从所述第一目标日志中获取第一数据信息之后,若所述第一数据信息与所述历史日志集合中的第二目标日志的第二数据信息相同,则丢弃所述第一目标日志,并将所述第二目标日志的弱口令次数进行累加处理。
[0014]进一步地,所述第二获取单元包括:确定模块,用于依据所述目的IP确定所述第一服务器;登录模块,用于依据所述用户名和所述用户密码登录所述第一服务器,并获取所述第一服务器返回的响应码。
[0015]进一步地,所述装置还包括:第一登录单元,用于在依据所述用户名和所述用户密码登录所述第一服务器之后,若在预设时间范围内未获取到所述第一服务器返回的响应码,则再次依据所述用户名和所述用户密码登录所述第一服务器,直至获取所述第一服务器返回的响应码。
[0016]进一步地,所述登录模块包括:判断子模块,用于判断所述用户密码是否为明文密码;确定子模块,用于若所述用户密码不是明文密码,则依据所述第一服务器确定所述用户密码的加密类型;解密子模块,用于依据所述加密类型对所述用户密码进行解密处理,得到解密后的用户密码;登录子模块,用于依据所述用户名和所述解密后的用户密码登录所述第一服务器。
[0017]进一步地,所述装置还包括:确定单元,用于在依据所述第一数据信息获取第一服务器返回的响应码之后,若所述响应码表征登录失败,则确定导致登录失败的原因;第二登录单元,用于若导致登录失败的原因不是密码错误,则依据所述用户名和所述用户密码登录所述第一服务器,直至所述响应码表征登录成功;丢弃单元,用于若导致登录失败的原因是密码失败,则丢弃所述第一目标日志。
[0018]进一步地,所述聚合单元包括:聚合模块,用于依据所述目的IP,对所述更新后的历史日志集合中的日志进行聚合,得到每个目的IP对应的多个日志;触发模块,用于依据每个目的IP对应的多个日志,触发每个目的IP对应的威胁告警,其中,所述威胁告警中至少包括:所述用户名、所述用户密码和所述用户名对应的弱口令次数。
[0019]为了实现上述目的,根据本申请的一个方面,提本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种弱口令事件的处理方法,其特征在于,包括:获取第一目标日志,并从所述第一目标日志中获取第一数据信息,其中,所述第一目标日志中记录有弱口令事件,所述第一数据信息中至少包括:目的IP、用户名和用户密码;若所述第一数据信息与历史日志集合中的每个日志的第二数据信息存在不同,则依据所述第一数据信息获取第一服务器返回的响应码,其中,所述第一服务器为所述目的IP对应的服务器,其中,所述第一目标日志的触发时间和所述历史日志集合中的日志的触发时间之间的时间间隔在预设范围内,所述历史日志集合中的每个日志中均记录有弱口令事件;若所述响应码表征登录成功,则将所述第一目标日志放入所述历史日志集合,得到更新后的历史日志集合;依据所述目的IP,对所述更新后的历史日志集合中的日志进行聚合,并对每类聚合后的日志触发威胁告警。2.根据权利要求1所述的方法,其特征在于,在从所述第一目标日志中获取第一数据信息之后,所述方法还包括:若所述第一数据信息与所述历史日志集合中的第二目标日志的第二数据信息相同,则丢弃所述第一目标日志,并将所述第二目标日志的弱口令次数进行累加处理。3.根据权利要求1所述的方法,其特征在于,依据所述第一数据信息获取第一服务器返回的响应码包括:依据所述目的IP确定所述第一服务器;依据所述用户名和所述用户密码登录所述第一服务器,并获取所述第一服务器返回的响应码。4.根据权利要求3述的方法,其特征在于,在依据所述用户名和所述用户密码登录所述第一服务器之后,所述方法还包括:若在预设时间范围内未获取到所述第一服务器返回的响应码,则再次依据所述用户名和所述用户密码登录所述第一服务器,直至获取所述第一服务器返回的响应码。5.根据权利要求3述的方法,其特征在于,依据所述用户名和所述用户密码登录所述第一服务器包括:判断所述用户密码是否为明文密码;若所述用户密码不是明文密码,则依据所述第一服务器确定所述用户密码的加密类型;依据所述加密类型对所述用户密码进行解密处理,得到解密后的用户密码;依据所述用户名和所述解密后的用户密码登录所述第一服务器。6.根据权利要求1述的方法,其特征在于,在依据所述第一数据信息获取...
【专利技术属性】
技术研发人员:马子涵,杨心雨,傅雪怡,丁漪涟,徐林涛,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。