本发明专利技术提出一种弱口令爆破攻击的防护方法、装置、介质、电子设备,所述方法包括:抓取当前连接的网络数据包;判断当前所述网络数据包是否为身份验证数据包;在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;在当前连接为爆破攻击的情况下,断开当前连接。该方法通过核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行防护,针对性强,提高了弱口令识别的准确率与有效性。高了弱口令识别的准确率与有效性。高了弱口令识别的准确率与有效性。
【技术实现步骤摘要】
弱口令爆破攻击的防护方法、装置、介质、电子设备
[0001]本专利技术涉及互联网安全
,尤其涉及一种弱口令爆破攻击的防护方法、装置、介质、电子设备。
技术介绍
[0002]随着社会信息化的不断发展,各种恶意网络攻击层出不穷。每种不同的恶意程序都会有自身的攻击、驻留方式,但是其最初进入终端获得权限的方式大都相同,便是进行弱口令爆破攻击。为了降低恶意程序入侵终端的成功率,需要对弱口令爆破攻击进行通用防护。
[0003]现有的针对弱口令的防护方法为:通过组策略限制口令复杂程度,减少弱口令的使用。同时限制口令生命周期,通常为三个月进行一次口令变更。
[0004]现有的针对弱口令爆破的防护方法以用户为主体,需要依赖于组策略和用户对复杂口令的设置与记忆。而大部分用户为了防止忘记密码,习惯性使用弱口令,多个平台使用同一个密码,不定期更换密码等,大大降低了账号密码的安全性。此外用户设置的符合域策略的“复杂口令”很大概率仍然为弱口令,如“!@#$qwer1234”这种依照键盘顺序设置的口令。而对于口令的变更,大多数用户只是在原有口令上添加一个数字或字母,如“!@#$qwer1234”更改为“!@#$qwer12345”,仍然为弱口令,防护性差。
技术实现思路
[0005]针对现有技术的不足,本专利技术提出一种弱口令爆破攻击的防护方法、装置、介质、电子设备,该方法通过核验当前连接是否使用弱口令,识别出弱口令,对弱口令爆破攻击进行防护。
[0006]为了实现上述目的,本专利技术一方面提供一种弱口令爆破攻击的防护方法,包括:
[0007]抓取当前连接的网络数据包;
[0008]判断当前所述网络数据包是否为身份验证数据包;
[0009]在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
[0010]在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
[0011]在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
[0012]在当前连接为爆破攻击的情况下,断开当前连接。
[0013]可选的,所述判断所述身份验证数据包是否为弱口令,包括:
[0014]获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;
[0015]获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;
[0016]根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;
[0017]判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
[0018]可选的,所述的方法还包括:
[0019]在所述身份验证数据包合法的情况下,确定所述身份验证数据包的数据包类型。
[0020]可选的,所述的方法还包括:
[0021]获取当前连接远程IP信息;
[0022]在所述身份验证数据包为弱口令的情况下,根据当前连接的所述远程IP 信息与主机名唯一标识当前连接发起方;
[0023]在当前连接为爆破攻击的情况下,将所述远程IP信息拉入黑名单。
[0024]可选的,所述的方法还包括:
[0025]在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;
[0026]在所述数据包类型为随机类型的情况下,保存所述身份验证数据包。
[0027]可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
[0028]在驱动层过滤所述网络数据包。
[0029]可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
[0030]通过判断SMB包的标志确定当前所述网络数据包是否为SMB数据包;
[0031]在所述网络数据包为SMB数据包的情况下,基于SMB协议对所述SMB数据包进行解析,判断所述SMB数据包是否合法;
[0032]在所述SMB数据包合法的情况下,判断当前所述网络数据包是否为身份验证数据包。
[0033]可选的,所述身份验证协议采用NTLM协议;
[0034]通过判断NTLM包的标志确定当前所述网络数据包是否为身份验证数据包。
[0035]本专利技术另一方面还提供一种弱口令爆破攻击的防护装置,包括:
[0036]抓取模块,用于抓取当前连接的网络数据包;
[0037]身份验证数据包判断模块,用于判断当前所述网络数据包是否为身份验证数据包;
[0038]在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
[0039]弱口令判断模块,用于在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
[0040]防护模块,用户在在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
[0041]在当前连接为爆破攻击的情况下,断开当前连接。
[0042]可选的,所述判断所述身份验证数据包是否为弱口令,包括:
[0043]获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;
[0044]获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对
应的随机数;
[0045]根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;
[0046]判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
[0047]可选的,所述的装置还包括:
[0048]在所述身份验证数据包合法的情况下,确定所述身份验证数据包的数据包类型。
[0049]可选的,所述的装置还包括:
[0050]获取当前连接远程IP信息;
[0051]在所述身份验证数据包为弱口令的情况下,根据当前连接的所述远程IP 信息与主机名唯一标识当前连接发起方;
[0052]在当前连接为爆破攻击的情况下,将所述远程IP信息拉入黑名单。
[0053]可选的,所述的装置还包括:
[0054]在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;
[0055]在所述数据包类型为随机类型的情况下,保存所述身份验证数据包。
[0056]可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
[0057]在驱动层过滤所述网络数据包。
[0058]可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
[0059]通过判断SMB包的标志确定当前所述网络数据包是否为SMB数据包;
[0060]在本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种弱口令爆破攻击的防护方法,其特征在于,包括:抓取当前连接的网络数据包;判断当前所述网络数据包是否为身份验证数据包;在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;在当前连接为爆破攻击的情况下,断开当前连接。2.根据权利要求1所述的方法,其特征在于,所述判断所述身份验证数据包是否为弱口令,包括:获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。3.根据权利要求1所述的方法,其特征在于,还包括:在所述身份验证数据包合法的情况下,确定所述身份验证数据包的数据包类型。4.根据权利要求1所述的方法,其特征在于,还包括:获取当前连接远程IP信息;在所述身份验证数据包为弱口令的情况下,根据当前连接的所述远程IP信息与主机名唯一标识当前连接发起方;在当前连接为爆破攻击的情况下,将所述远程IP信息拉入黑名单。5.根据权利要求1所述的方法,其特征在于,还包括:在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;在所述数据包类型为随机类型的情况下,保存所述身份验证数据包。6.根...
【专利技术属性】
技术研发人员:任鹏,谭合力,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。