一种防暴力破解方法、终端设备及存储介质技术

本发明专利技术涉及一种防暴力破解方法、终端设备及存储介质，该方法中包括：S1：配置安全策略；S2：根据配置的安全策略对应的协议解析方式对协议进行解析，得到对应的登录信息；S3：基于配置的安全策略和解析出的登录信息，分别采用不同的防暴力破解算法进行实时检测，判断是否被暴力破解。本发明专利技术结合多重检测算法，可以有效提高服务器防暴力破解的能力，并在检测到暴力破解行为后及时以告警形式用户并拦截攻击者。破解行为后及时以告警形式用户并拦截攻击者。破解行为后及时以告警形式用户并拦截攻击者。

【技术实现步骤摘要】
一种防暴力破解方法、终端设备及存储介质


[0001]本专利技术涉及计算机安全
，尤其涉及一种防暴力破解方法、终端设备及存储介质。

技术介绍

[0002]随着Internet的发展出现了大量傻瓜化黑客工具，任何一种黑客攻击手段的门槛都降低了很多，暴力破解的工具制作已经非常容易。暴力破解这种软件技术含量不高，原理就是一个接一个的试直到试验出正确的密码，不过这种破解方式成功几率不高且耗费时间长。在网络的实际情况中，很多服务器虽说已经经过了层层的安全防护，但同样可以在攻击者简单地调整攻击方式以后运用暴力破解快速突破。
[0003]现有服务器防暴力破解，主要通过以下几种手段：
[0004]1)限制带宽让由外向内的网络变窄，延缓攻击者破解过程；
[0005]2)设定安全策略，限制连接频率，定义特定时间段内的同一用户的连接次数，超过这个次数限制则拒绝连接；
[0006]3)设定安全策略，限制尝试错误次数，当该用户的密码尝试次数超过规定的次数以后则短期拒绝该用户的连接。
[0007]基于上述防暴力破解手段，攻击者往往对目标发起分布式暴力破解，通过多台僵尸计算机，同时对目标发起攻击，并控制一定的攻击频率，这样对暴力破解的限制造成了一定的难度。

技术实现思路

[0008]为了解决上述问题，本专利技术提出了一种防暴力破解方法、终端设备及存储介质。
[0009]具体方案如下：
[0010]一种防暴力破解方法，包括以下步骤：
[0011]S1：配置安全策略；
[0012]S2：根据配置的安全策略对应的协议解析方式对协议进行解析，得到对应的登录信息；
[0013]S3：基于配置的安全策略和解析出的登录信息，分别采用不同的防暴力破解算法进行实时检测，判断是否被暴力破解。
[0014]进一步的，安全策略通过在云端配置后再下载至客户端的方式在客户端进行配置。
[0015]进一步的，安全策略包括：配置监听端口、配置时间段、配置失败登录次数阈值、配置分布式攻击时间段、配置分布式攻击失败登录次数、配置是否告警、配置是否拦截和拦截时长、配置协议解析方式。
[0016]进一步的，协议解析方式包括抓包模式和日志模式；
[0017]抓包模式的解析过程包括：建立原始套接字，在原始套接字上设置bpf过滤器规
则，解析网络数据包头获取数据类型，捕获数据类型为0x0800和0x86dd的网络数据包；解析捕获的网络数据包，提取登录信息；
[0018]日志模式的解析过程包括：通过服务的配置文件，获取服务的日志文件保存路径；解析获取的日志文件，提取登录信息。
[0019]进一步的，登录信息包括登录用户名、源ip地址、源端口、目的ip地址和目的端口。
[0020]进一步的，防暴力破解算法包括单个攻击者的防暴力破解算法，包括以下步骤：
[0021]S301：基于配置的安全策略和解析出的登录信息提取以下参数：时间段、失败登录次数阈值、登录用户名、源ip地址和源端口；
[0022]S302：构建两个缓存字典表，分别为：以源ip端口为key、登录用户名为value的字典表1，以源ip为key、登录用户名登录次数为value的字典表2；
[0023]S303：按照时间段对应的时间间隔，定时清理字典表2的数据性；
[0024]S304：基于解析出的登录信息，在字典表1中查找是否存在key为登录信息中的源ip端口，如果存在，将对应的value更新为登录信息中的登录用户名；否则，将登录信息中的源ip端口作为key、登录信息中的登录用户名作为value添加至字典表1；
[0025]S305：基于解析出的登录信息，在字典表2中查找是否存在key为登录信息中的源ip，如果存在，将对应的value中登录用户名登录次数加1，进入S316；否则，将登录信息中的源ip作为key、value中登录用户名登录次数的值设为1后添加至字典表2，进入S316；
[0026]S306：判断中字典表2中登录信息中的源ip对应的登录用户名登录次数是否大于失败登录次数阈值，如果是，产生告警并拦截。
[0027]进一步的，告警的内容包括：暴力破解行为产生时间、登录用户名、攻击者ip地址、攻击者端口、被攻击者ip地址和被攻击者端口。
[0028]进一步的，获取登录信息中的源ip地址，将该ip地址拦截规则写入系统防火墙策略中；根据设定的拦截时长，定时查询系统防火墙策略，当满足拦截时长后，从防火墙策略中删除该ip地址拦截规则，达到解封目的。
[0029]进一步的，防暴力破解算法包括分布式攻击者的防暴力破解算法，包括：基于配置的安全策略提取参数：时间段和失败登录次数阈值；判断该时间段内是否存在多个IP的失败登录次数总和大于失败登录次数阈值，如果是则产生告警并拦截。
[0030]进一步的，防暴力破解算法包括分布式攻击者的防暴力破解算法，包括：将当前获取到的失败登录日志按照ip分类缓存，当达到设定的时间阈值，从缓存里读取每个ip的所有失败登录日志，按照单个攻击者暴力破解检测算法进行识别是否为暴力破解。
[0031]一种防暴力破解终端设备，包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本专利技术实施例上述的方法的步骤。
[0032]一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本专利技术实施例上述的方法的步骤。
[0033]本专利技术采用如上技术方案，可以通过多重检测手段及算法结合，及时发现暴力破解行为，并通知用户，自动对攻击者进行拦截阻断。
附图说明
[0034]图1所示为本专利技术实施例一的流程图。
[0035]图2所示为该实施例中单个攻击者的防暴力破解算法流程图。
[0036]图3所示为该实施例中分布式攻击者的防暴力破解算法流程图。
具体实施方式
[0037]为进一步说明各实施例，本专利技术提供有附图。这些附图为本专利技术揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本专利技术的优点。
[0038]现结合附图和具体实施方式对本专利技术进一步说明。
[0039]实施例一：
[0040]本专利技术实施例提供了一种防暴力破解方法，如图1所示，所述方法包括以下步骤：
[0041]S1：配置安全策略。
[0042]该实施例中安全策略通过在云端配置后再下载至客户端的方式在客户端进行配置，可以方便多个客户端的同时配置。
[0043]该实施例中配置的安全策略包括：
[0044]■
配置监听端口：配置服务端口，可同时监听多个服务端口进行抓包分析，可以适应主机及docker环境；
[0045]■
配置时间段：配置同一用户在本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防暴力破解方法，其特征在于，包括以下步骤：S1：配置安全策略；S2：根据配置的安全策略对应的协议解析方式对协议进行解析，得到对应的登录信息；S3：基于配置的安全策略和解析出的登录信息，分别采用不同的防暴力破解算法进行实时检测，判断是否被暴力破解。2.根据权利要求1所述的防暴力破解方法，其特征在于：安全策略通过在云端配置后再下载至客户端的方式在客户端进行配置。3.根据权利要求1所述的防暴力破解方法，其特征在于：安全策略包括：配置监听端口、配置时间段、配置失败登录次数阈值、配置分布式攻击时间段、配置分布式攻击失败登录次数、配置是否告警、配置是否拦截和拦截时长、配置协议解析方式。4.根据权利要求1所述的防暴力破解方法，其特征在于：协议解析方式包括抓包模式和日志模式；抓包模式的解析过程包括：建立原始套接字，在原始套接字上设置bpf过滤器规则，解析网络数据包头获取数据类型，捕获数据类型为0x0800和0x86dd的网络数据包；解析捕获的网络数据包，提取登录信息；日志模式的解析过程包括：通过服务的配置文件，获取服务的日志文件保存路径；解析获取的日志文件，提取登录信息。5.根据权利要求1所述的防暴力破解方法，其特征在于：登录信息包括登录用户名、源ip地址、源端口、目的ip地址和目的端口。6.根据权利要求1所述的防暴力破解方法，其特征在于：防暴力破解算法包括单个攻击者的防暴力破解算法，包括以下步骤：S301：基于配置的安全策略和解析出的登录信息提取以下参数：时间段、失败登录次数阈值、登录用户名、源ip地址和源端口；S302：构建两个缓存字典表，分别为：以源ip端口为key、登录用户名为value的字典表1，以源ip为key、登录用户名登录次数为value的字典表2；S303：按照时间段对应的时间间隔，定时清理字典表2的数据性；S304：基于解析出的登录信息，在字典表1中查找是否存在key为登录信息中的源ip端口，如果存在，将对应的value更新为登录信息中的登录用户名；否则，将登录信息中的源ip端口作为key、登...

【专利技术属性】
技术研发人员：秦良骏，陈奋，陈荣有，龚利军，孙晓波，
申请(专利权)人：厦门服云信息科技有限公司，
类型：发明
国别省市：