CN104811449B - 检测撞库攻击方法及系统 - Google Patents

检测撞库攻击方法及系统 Download PDF

Info

Publication number
CN104811449B
CN104811449B CN201510191691.2A CN201510191691A CN104811449B CN 104811449 B CN104811449 B CN 104811449B CN 201510191691 A CN201510191691 A CN 201510191691A CN 104811449 B CN104811449 B CN 104811449B
Authority
CN
China
Prior art keywords
login
network access
access request
user
hit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510191691.2A
Other languages
English (en)
Other versions
CN104811449A (zh
Inventor
曾加良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Network Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Network Technology Shenzhen Co Ltd filed Critical Sangfor Network Technology Shenzhen Co Ltd
Priority to CN201510191691.2A priority Critical patent/CN104811449B/zh
Publication of CN104811449A publication Critical patent/CN104811449A/zh
Application granted granted Critical
Publication of CN104811449B publication Critical patent/CN104811449B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种检测撞库攻击方法及系统,该方法包括如下步骤:接收用户的网络访问请求并解析,以确定其源IP、目的IP、登陆属性信息及用户信息;配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值;根据目的IP和登陆属性信息、预设登陆路径或登陆路径的预设格式识别是否进行登陆操作,若是,则记录其源IP、目的IP及用户信息;统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断登陆次数是否达到登陆次数阈值,若是,则认定其为撞库攻击行为;若否,则认定其为正常访问行为。本发明可实现对撞库攻击行为进行监测,以提高用户信息的安全性,避免用户信息泄露引发的不良后果。

Description

检测撞库攻击方法及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种检测撞库攻击方法及系统。
背景技术
当前大部分允许用户发表言论的网站,在用户发表言论之前均需先进行注册。这种用户注册机制有助于企业进行用户管理,如监控用户所发表的言论及分享的信息;也利于用户与用户进行交流。用户在诸多网站上注册时,为了便于记忆,往往不会对每个网站使用不同的用户帐号和密码,而通常只采用1~3组用户帐号和密码。这种情况下往往会导致严重的安全问题,当某个网站用户信息(包括用户帐号和密码)泄露后,攻击者可能会利用已泄露的用户信息去尝试登陆别的网站,批量得到可正确认证的用户帐号和密码,这就是撞库行为。撞库是指黑客通过收集互联网已泄露的用户帐号和密码信息,生成对应字典表,尝试批量登陆目标系统后,得到一系列可登陆目标系统的用户,从而非法获取信息。
随着互联网技术及电子商务行业的蓬勃发展,撞库行为对生活的日常生活的影响日益显著。如2014年12月,互联网上流传出约13 万12306网的用户账号和密码信息,经确认,这些用户信息是攻击者利用某些网站已泄露的数据对12306进行撞库攻击后得到的。又如京东之前的用户信息泄露事件,就是黑客利用“撞库”的方法,获取到了一些京东用户信息。
可以理解地,采用撞库方法获取到的用户帐号及密码,并在其他任何网站上均可登陆,若用户在不同网站上使用相同的用户帐号和密码,一旦被攻击者获取到该用户帐号和密码。后果不堪设想。如今,用户信息泄露成为互联网安全的一个焦点,撞库攻击也是愈演愈烈。然而普通用户并没有意识到这点,也没有正确的方法和途径的知道自己的用户信息是否已被泄露,企业在面对这种撞库攻击更是束手无策,一旦攻击者通过撞库攻击成功登陆用户系统,便可进行更高权限的攻击,对用户造成巨大的损失。
发明内容
本发明要解决的技术问题在于,针对现有技术的缺陷,提供一种检测撞库攻击方法及系统。本发明解决其技术问题所采用的技术方案是:一种检测撞库攻击方法,包括如下步骤:
S1:接收用户的网络访问请求并解析,以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息,所述登陆 属性信息包括登陆 路径或登陆 路径的格式,所述用户信息包括用户帐号和密码;
S2:配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值;
S3:根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作,若是,则记录所述网络访问请求的源IP、目的IP及用户信息;
S4:统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断所述登陆次数是否达到登陆次数阈值,若是,则认定所述网络访问请求为撞库攻击行为;若否,则认定所述网络访问请求为正常访问行为。
优选地,还包括步骤S5:若所述网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。
优选地,所述网络访问请求包括HTTP请求或HTTPS请求,所述步骤S1中根据预设的解密证书对所述HTTPS请求进行解析。
优选地,所述步骤S3中识别所述网络访问请求是否进行登陆操作包括:将所述网络访问请求的目的IP和登陆属性信息与预设登陆路径进行匹配,若一致则认定为进行登陆操作;或者
将所述网络访问请求的目的IP和登陆属性信息与登陆路径的预设格式进行匹配,若一致则认定为进行登陆操作。
优选地,所述登陆路径的预设格式包括登陆框架属性,所述登陆框架属性包括用户帐号输入框、密码输入框、验证码输入框以及登陆按钮。
本发明还提供一种检测撞库攻击系统,优选地,包括:
协议解析模块,用于接收用户的网络访问请求并解析,以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息,所述登陆 属性信息包括登陆 路径或登陆 路径的格式,所述用户信息包括用户帐号和密码;
用户配置模块,用于配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值;
登陆识别模块,用于根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作,若是,则记录所述网络访问请求的源IP、目的IP及用户信息;
攻击检测模块,用于统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断所述登陆次数是否达到登陆次数阈值,若是,则认定所述网络访问请求为撞库攻击行为;若否,则认定所述网络访问请求为正常访问行为。
优选地,还包括告警模块,用于在所述网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。
优选地,所述网络访问请求包括HTTP请求或HTTPS请求,所述协议解析模块根据预设的解密证书对所述HTTPS请求进行解析。
优选地,所述登陆识别模块用于将所述网络访问请求的目的IP 和登陆属性信息与预设登陆路径进行匹配,若一致则认定为进行登陆操作;或者
用于将所述网络访问请求的目的IP和登陆属性信息与登陆路径的预设格式进行匹配,若一致则认定为进行登陆操作。
所述登陆路径的预设格式包括登陆框架属性,所述登陆框架属性包括用户帐号输入框、密码输入框、验证码输入框以及登陆按钮。
本发明与现有技术相比具有如下优点:实施本发明,通过对网络访问请求进行解析,并配置预设登陆路径和登陆次数阈值,或者根据系统默认内置识别登陆路径的预设格式和登陆次数阈值,识别网络访问请求是否进行登陆操作,根据登陆操作确定是否为撞库攻击行为,以实现对撞库攻击行为进行监测,以提高用户信息的安全性,避免用户信息泄露引发的不良后果。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例1中检测撞库攻击方法的流程图。
图2是本发明实施例2中检测撞库攻击方法的流程图。
图3是本发明实施例3中检测撞库攻击系统的原理框图。
图中:10、协议解析模块;20、用户配置模块;30、登陆识别模块;40、攻击检测模块;50、告警模块。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的具体实施方式。
可以理解地,撞库攻击区别于弱口令攻击与密码爆破,攻击者在进行弱口令攻击与密码爆破时,若已匹配到成功认证的密码即停止攻击,而撞库攻击的目的在于大量收集可通过验证的用户信息,因此即使成功登陆,攻击者也会不断地进行下一组用户信息验证,使其收集到更多可成功登陆目的IP对应的服务器的用户信息,从而导致用户信息泄露。而现有的WEB防火墙不能识别撞库攻击,并进行进一步防御工作,为此,提供一种检测撞库攻击的方法及系统,以识别撞库攻击行为,以保障用户信息安全。
实施例1
如图1所示,本发明提供一种检测撞库攻击方法,该方法包括如下步骤:
S11:服务器接收用户的网络访问请求并解析,以确定网络访问请求的源IP、目的IP、登陆属性信息及用户信息,用户信息包括用户帐号和密码,登陆属性信息为网络访问请求解析出的登陆路径。具体地,网络访问请求包括HTTP请求或HTTPS请求,如果是HTTPS请求,则客户需在系统中预设HTTPS请求的解密证书,以支持HTTPS 解密操作。
S12:用户自行配置预设登陆路径和登陆次数阈值。具体地,用户可根据配置策略自行配置好预设登陆路径,以供后续监测过程中直接监控该预设登陆路径的登陆操作。可以理解地,登陆次数阈值也可以由系统默认。
可以理解地,针对同一目的IP的服务器,用户可配置多条预设登陆路径,在检测过程中,分别检测每一条预设登陆路径是否存在撞库攻击行为。即将用户配置的预设登陆路径结合网络访问请求中解析出的登陆路径,识别该网络访问请求是否进行登陆操作。登陆次数阈值,用于统计在预设时间内,相同源IP而用户信息不同的用户,通过同一登陆路径对目的IP的服务器的登陆次数达到一定值则认定为撞库攻击行为,该一定值为登陆次数阈值。可以理解地,还可配置登陆成功或失败的响应特征,以便于检测是否成功登陆。
S13:根据网络访问请求的目的IP和登陆属性信息、以及预设登陆路径识别该网络访问请求是否进行登陆操作,若是,则记录网络访问请求的源IP、目的IP及用户信息。具体地,可先根据目的IP 查询该目的IP对应的所有预设登陆路径,并将查询到的每一预设登陆路径分别与该网络访问请求解析出的登陆路径进行比较,若一致,则认定为进行登陆操作。
可以理解地,无论用户是否成功登陆,只要进行登陆操作,均需记录成功登陆的网络访问请求的源IP、目的IP和用户信息,以便于后续提醒相关用户,以保护用户信息安全。
S14:统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断登陆次数是否达到登陆次数阈值,若是,则认定网络访问请求为撞库攻击行为;若否,则认定网络访问请求为正常访问行为。可以理解地,用户可根据其配置策略,配置登陆次数阈值或者采用系统默认的登陆次数阈值。
具体地,若在预设时间(如1min)内,利用相同的源IP地址 (如192.168.1.9)访问同一目的IP的服务器(如 http://www.taobao.com/)的多个不同网络访问请求中的用户信息不同的登陆次数(如5次),其用户信息可显示其用户分别为 usenameA、usenameB、usenameC……,判断该登陆次数是否达到登陆次数阈值,若是则认为进行撞库攻击行为,若否,则认定为正常访问信息。
S15:若网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。可以理解地,当存在撞库攻击行为时,系统及时通知管理员该撞库攻击行为,提醒管理员对攻击源进行检查,以查看是否存在其他攻击行为,同时告知管理员本次攻击中已成功登陆的用户信息,其用户信息可能已被泄露,并及时通知相关用户修改密码,以保障用户信息安全。
可以理解地,采用本发明所提供的检测撞库行为的方法,可实现对撞库行为进行有效监测,并可得知已被撞库的用户信息,从而采取进一步的防御方法,如封锁攻击源IP的访问权限,使攻击者无法通过源IP继续进行访问,使攻击者目的不能达成;或通知已被撞库的用户修改用户信息的密码,防止被攻击者利用,从而提高用户信息的安全性。
实施例2
如图2所示,本发明提供另一种检测撞库攻击方法,该方法包括如下步骤:
S21:服务器接收用户的网络访问请求并解析,以确定网络访问请求的源IP、目的IP、登陆属性信息及用户信息,用户信息包括用户帐号和密码,登陆属性信息为网络访问请求解析出的登陆路径的格式。具体地,网络访问请求包括HTTP请求或HTTPS请求,如果是HTTPS请求,则客户需在系统中预设HTTPS请求的解密证书,以支持HTTPS解密操作。
S22:系统默认内置识别登陆路径的预设格式和登陆次数阈值。具体地,用户无需自行配置好预设登陆路径,而是采用系统默认内置的识别登陆路径的预设格式,并将系统默认内置的识别登陆路径的预设格式与该网络访问请求解析出的访问路径、访问内容进行比较,若与系统内置的识别登陆路径的预设格式(即其登陆识别框架)相匹配,则认定为进行登陆操作一致,则认定为该网络访问请求为登陆操作。具体地,登陆路径的预设格式包括登陆框架属性,该登陆框架属性可以包括但不限于用户帐号输入框(即usename输入框)、密码输入框(即password输入框)、验证码输入框(即check code 输入框)以及登陆按钮(即login按钮)等属性。
可以理解地,针对同一目的IP的服务器,用户可配置多条预设登陆路径,在检测过程中,分别检测每一条预设登陆路径是否存在撞库攻击行为。即将采用系统默认内置的识别登陆路径的预设格式,结合网络访问请求中解析出的登陆路径的格式确定是否进行登陆操作。登陆次数阈值,用于统计在预设时间内,相同源IP而用户信息不同的用户,通过同一登陆路径对目的IP的服务器的登陆次数达到一定值则认定为撞库攻击行为,该一定值为登陆次数阈值。可以理解地,还可配置登陆成功或失败的响应特征,以便于检测是否成功登陆。
S23:根据网络访问请求的目的IP和登陆属性信息、以及登陆路径的预设格式识别该网络访问请求是否进行登陆操作,若是,则记录网络访问请求的源IP、目的IP及用户信息。具体地,可先根据目的IP查询该目的IP对应系统默认内置的识别登陆路径的预设格式,与该网络访问请求解析出的访问路径、访问内容进行比较,若与系统内置的识别登陆路径的预设格式(即其登陆识别框架)相匹配,则认定为进行登陆操作。可以理解地,无论用户是否成功登陆,只要进行登陆操作,均需记录成功登陆的网络访问请求的源IP、目的 IP和用户信息,以便于后续提醒相关用户,以保护用户信息安全。
S24:统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断登陆次数是否达到登陆次数阈值,若是,则认定网络访问请求为撞库攻击行为;若否,则认定网络访问请求为正常访问行为。可以理解地,用户可根据其配置策略,配置登陆次数阈值或者采用系统默认的登陆次数阈值。
S25:若网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。可以理解地,当存在撞库攻击行为时,系统及时通知管理员该撞库攻击行为,提醒管理员对攻击源进行检查,以查看是否存在其他攻击行为,同时告知管理员本次攻击中已成功登陆的用户信息,其用户信息可能已被泄露,并及时通知相关用户修改密码,以保障用户信息安全。
本发明所提供的检测撞库攻击方法,通过对网络访问请求进行解析,并配置预设登陆路径和登陆次数阈值,或者根据系统默认内置识别登陆路径的预设格式和登陆次数阈值,识别网络访问请求是否进行登陆操作,根据登陆操作确定是否为撞库攻击行为,以实现对撞库攻击行为进行监测,以提高用户信息的安全性,避免用户信息泄露引发的不良后果。
实施例3
如图3所示,本发明还提供一种检测撞库攻击系统,该系统包括:
协议解析模块10,用于接收用户的网络访问请求并解析,以确定网络访问请求的源IP、目的IP、登陆属性信息及用户信息,用户信息包括用户帐号和密码。具体地,网络访问请求包括HTTP请求或 HTTPS请求,如果是HTTPS请求,则客户需在系统中预设HTTPS请求的解密证书,以支持HTTPS解密操作。可以理解地,登陆属性信息可以为登陆路径,也可以为登陆路径的格式。
用户配置模块20,可以用于配置预设登陆路径和登陆次数阈值;也可以通过系统默认内置识别登陆路径的预设格式和登陆次数阈值。具体地,可通过用户配置模块20根据用户配置策略自行配置好预设登陆路径,以供后续监测过程中直接监控该预设登陆路径的登陆操作,即网络访问请求中的登陆属性信息为登陆路径时,结合预设登陆路径即可监控该预设登陆路径的登陆操作。可以理解地,系统也可不直接配置预设登陆路径,而采用系统默认内置
的识别登陆路径的预设格式,将该登陆路径的预设格式与该网络访问请求解析出的访问路径、访问内容进行比较,若与系统内置的识别登陆路径的预设格式(即其登陆识别框架)相匹配,则认定为进行登陆操作。具体地,登陆路径的预设格式包括登陆框架属性,该登陆框架属性可以包括但不限于用户帐号输入框(即usename输入框)、密码输入框(即password输入框)、验证码输入框(即check code输入框)以及登陆按钮(即login按钮)等特性。可以理解地,还可配置登陆成功或失败的响应特征,以便于检测是否成功登陆。
可以理解地,针对同一目的IP的服务器,用户可配置多条预设登陆路径,在检测过程中,分别检测每一条预设登陆路径是否存在撞库攻击行为。登陆次数阈值,用于统计在预设时间内,相同源IP而用户信息不同的用户,通过同一登陆路径对目的IP的服务器的登陆次数达到一定值则认定为撞库攻击行为,该一定值为登陆次数阈值。
登陆识别模块30,用于根据网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别网络访问请求是否进行登陆操作,若是,则记录网络访问请求的源IP、目的IP及用户信息。
具体地,登陆识别模块30可采用如下两种方式识别登陆操作:在网络访问请求解析出的登陆属性信息为登陆路径时,将网络访问请求的目的IP和登陆路径与预设登陆路径进行匹配,若一致,则认定为进行登陆操作。具体地,可先根据目的IP查询该目的IP对应的所有预设登陆路径,并将查询到的每一预设登陆路径分别与该网络访问请求解析出的登陆路径进行匹配,若一致,则认定为进行登陆操作。在网络访问请求解析出的登陆属性信息为登陆路径的格式时,将网络访问请求的目的IP和登陆路径的格式与登陆路径的预设格式进行匹配,若一致,则认定为进行登陆操作,具体地,可先根据目的IP查询该目的IP对应系统默认内置的识别登陆路径的预设格式,与该网络访问请求解析出的访问路径、访问内容进行比较,若与系统内置的识别登陆路径的预设格式(即其登陆识别框架)相匹配,则认定为进行登陆操作。可以理解地,无论用户是否成功登陆,只要进行登陆操作,均需记录成功登陆的网络访问请求的源IP、目的IP和用户信息,以便于后续提醒相关用户,以保护信息安全。
攻击检测模块40,用于统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断登陆次数是否达到登陆次数阈值,若是,则认定网络访问请求为撞库攻击行为;若否,则认定网络访问请求为正常访问行为。可以理解地,采用该方法可检测出撞库攻击行为,以进一步保护用户信息安全,避免信息泄露。
告警模块50,用于在网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。可以理解地,当存在撞库攻击行为时,系统及时通知管理员该撞库攻击行为,提醒管理员对攻击源进行检查,以查看是否存在其他攻击行为,同时告知管理员本次攻击中已成功登陆的用户信息,其用户信息可能已被泄露,并及时通知相关用户修改密码,以保障用户信息安全。
本发明所提供的检测撞库行为系统,可实现对撞库行为进行有效监测,并可得知已被撞库的用户信息,从而采取进一步的防御方法,如封锁攻击源IP的访问权限,使攻击者无法通过源IP继续进行访问,使攻击者目的不能达成;或通知已被撞库的用户修改用户信息的密码,防止被攻击者利用,从而提高用户信息的安全性,避免用户信息泄露引发的不良后果。
本发明是通过几个具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换和等同替代。另外,针对特定情形或具体情况,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。

Claims (10)

1.一种检测撞库攻击方法,其特征在于:包括如下步骤:
S1:接收用户的网络访问请求并解析,以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息,所述登陆 属性信息包括登陆 路径或登陆 路径的格式,所述用户信息包括用户帐号和密码;
S2:配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值;
S3:根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作,若是,则记录所述网络访问请求的源IP、目的IP及用户信息;
S4:统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断所述登陆次数是否达到登陆次数阈值,若是,则认定所述网络访问请求为撞库攻击行为;若否,则认定所述网络访问请求为正常访问行为。
2.根据权利要求1所述的检测撞库攻击方法,其特征在于:还包括步骤S5:若所述网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。
3.根据权利要求1所述的检测撞库攻击方法,其特征在于:所述网络访问请求包括HTTP请求或HTTPS请求,所述步骤S1中根据预设的解密证书对所述HTTPS请求进行解析。
4.根据权利要求1所述的检测撞库攻击方法,其特征在于:所述步骤S3中识别所述网络访问请求是否进行登陆操作包括:将所述网络访问请求的目的IP和登陆属性信息与预设登陆路径进行匹配,若一致则认定为进行登陆操作;或者
将所述网络访问请求的目的IP和登陆属性信息与登陆路径的预设格式进行匹配,若一致则认定为进行登陆操作。
5.根据权利要求1所述的检测撞库攻击方法,其特征在于,所述登陆路径的预设格式包括登陆框架属性,所述登陆框架属性包括用户帐号输入框、密码输入框、验证码输入框以及登陆按钮。
6.一种检测撞库攻击系统,其特征在于:包括:
协议解析模块(10),用于接收用户的网络访问请求并解析,以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息,所述登陆 属性信息包括登陆 路径或登陆 路径的格式,所述用户信息包括用户帐号和密码;
用户配置模块(20),用于配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值;
登陆识别模块(30),用于根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作,若是,则记录所述网络访问请求的源IP、目的IP及用户信息;
攻击检测模块(40),用于统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断所述登陆次数是否达到登陆次数阈值,若是,则认定所述网络访问请求为撞库攻击行为;若否,则认定所述网络访问请求为正常访问行为。
7.根据权利要求6所述的检测撞库攻击系统,其特征在于:还包括告警模块(50),用于在所述网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。
8.根据权利要求6所述的检测撞库攻击系统,其特征在于:所述网络访问请求包括HTTP请求或HTTPS请求,所述协议解析模块(10)根据预设的解密证书对所述HTTPS请求进行解析。
9.根据权利要求6所述的检测撞库攻击系统,其特征在于:所述登陆识别模块(30)用于将所述网络访问请求的目的IP和登陆属性信息与预设登陆路径进行匹配,若一致则认定为进行登陆操作;或者
用于将所述网络访问请求的目的IP和登陆属性信息与登陆路径的预设格式进行匹配,若一致则认定为进行登陆操作。
10.根据权利要求6所述的检测撞库攻击系统,其特征在于:所述登陆路径的预设格式包括登陆框架属性,所述登陆框架属性包括用户帐号输入框、密码输入框、验证码输入框以及登陆按钮。
CN201510191691.2A 2015-04-21 2015-04-21 检测撞库攻击方法及系统 Active CN104811449B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510191691.2A CN104811449B (zh) 2015-04-21 2015-04-21 检测撞库攻击方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510191691.2A CN104811449B (zh) 2015-04-21 2015-04-21 检测撞库攻击方法及系统

Publications (2)

Publication Number Publication Date
CN104811449A CN104811449A (zh) 2015-07-29
CN104811449B true CN104811449B (zh) 2017-09-19

Family

ID=53695943

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510191691.2A Active CN104811449B (zh) 2015-04-21 2015-04-21 检测撞库攻击方法及系统

Country Status (1)

Country Link
CN (1) CN104811449B (zh)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106681992B (zh) * 2015-11-05 2020-12-01 北京国双科技有限公司 管理网站登录信息的方法和装置
CN105577670B (zh) * 2015-12-29 2019-03-22 南威软件股份有限公司 一种撞库攻击的告警系统
CN105763534A (zh) * 2016-01-21 2016-07-13 厦门市三驾马车网络科技有限公司 一种内容陷阱检测web系统数据库信息泄露的方法
CN105763548A (zh) * 2016-02-06 2016-07-13 北京祥云天地科技有限公司 基于行为模型对用户登录进行识别的方法、设备和系统
CN107306259A (zh) * 2016-04-22 2017-10-31 腾讯科技(深圳)有限公司 网页页面访问中的攻击检测方法和装置
CN107347052B (zh) * 2016-05-05 2020-07-14 阿里巴巴集团控股有限公司 检测撞库攻击的方法及装置
CN106101079A (zh) * 2016-05-31 2016-11-09 努比亚技术有限公司 一种实现签名加密的方法和系统
CN106209862B (zh) * 2016-07-14 2019-08-06 微梦创科网络科技(中国)有限公司 一种盗号防御实现方法及装置
CN106603555A (zh) * 2016-12-29 2017-04-26 杭州迪普科技股份有限公司 一种防护撞库攻击的方法及装置
CN106657139A (zh) * 2017-01-18 2017-05-10 杭州迪普科技股份有限公司 一种登录密码的处理方法、装置及系统
CN107040547A (zh) * 2017-05-26 2017-08-11 北京小米移动软件有限公司 管理密码的方法、装置和终端设备
CN107277036B (zh) * 2017-07-05 2019-01-18 云南撇捺势信息技术有限公司 基于多站点数据的登录验证方法、验证设备及存储介质
CN107563197A (zh) * 2017-08-30 2018-01-09 杭州安恒信息技术有限公司 一种针对数据库层的拖库撞库攻击防御方法
CN107888576B (zh) * 2017-11-01 2020-01-10 中国移动通信集团江苏有限公司 一种利用大数据与设备指纹的防撞库安全风险控制方法
CN108600172B (zh) * 2018-03-23 2020-11-24 广州广电研究院有限公司 撞库攻击检测方法、装置、设备及计算机可读存储介质
CN108566394B (zh) * 2018-04-16 2020-10-02 新华三信息安全技术有限公司 一种信息处理方法及装置
CN108600209B (zh) * 2018-04-16 2021-06-22 新华三信息安全技术有限公司 一种信息处理方法及装置
CN110460559A (zh) * 2018-05-07 2019-11-15 中国移动通信有限公司研究院 分布式撞库行为的检测方法、装置及计算机可读存储介质
CN110581827B (zh) * 2018-06-07 2022-04-29 深信服科技股份有限公司 一种针对于暴力破解的检测方法及装置
CN108965316B (zh) * 2018-08-01 2021-06-18 杭州安恒信息技术股份有限公司 基于驱动层报文检测技术的防爆破方法和系统
CN109688099B (zh) * 2018-09-07 2022-09-20 平安科技(深圳)有限公司 服务器端撞库识别方法、装置、设备及可读存储介质
CN109446789A (zh) * 2018-10-22 2019-03-08 武汉极意网络科技有限公司 基于人工智能的防撞库方法、设备、存储介质及装置
RU2724713C1 (ru) * 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя
CN112738006B (zh) * 2019-10-28 2023-11-07 深信服科技股份有限公司 识别方法、设备及存储介质
CN111064741A (zh) * 2019-12-27 2020-04-24 全知科技(杭州)有限责任公司 一种识别web应用系统中账号借用风险的方法
CN111339527B (zh) * 2020-02-20 2022-10-21 北京天融信网络安全技术有限公司 一种弱口令检测方法及系统
CN111371774A (zh) * 2020-02-28 2020-07-03 深信服科技股份有限公司 一种信息处理方法及装置、设备、存储介质
CN112153052A (zh) * 2020-09-25 2020-12-29 北京微步在线科技有限公司 一种撞库攻击监测方法及系统
CN112583789B (zh) * 2020-11-04 2023-03-14 杭州数梦工场科技有限公司 被非法登录的登录接口确定方法、装置及设备
CN112738104B (zh) * 2020-12-29 2023-03-24 杭州迪普科技股份有限公司 一种弱口令设备的扫描方法及装置
CN113645217B (zh) * 2021-08-06 2023-05-05 上海中通吉网络技术有限公司 自适应调整访问阈值的方法
CN117176473B (zh) * 2023-11-02 2024-01-09 北京创元天成科技发展有限公司 基于物联网的客户信息管理方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8312540B1 (en) * 2008-06-13 2012-11-13 Juniper Networks, Inc. System for slowing password attacks
CN103200171A (zh) * 2013-02-07 2013-07-10 苏州亿倍信息技术有限公司 一种网络安全登录的方法及系统
CN104378255A (zh) * 2014-10-29 2015-02-25 深信服网络科技(深圳)有限公司 web恶意用户的检测方法及装置
CN104468484A (zh) * 2013-09-22 2015-03-25 深圳市腾讯计算机系统有限公司 网络通信中进行密码设置的方法及装置
CN104506557A (zh) * 2015-01-07 2015-04-08 北京深思数盾科技有限公司 用于管理登录信息的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8312540B1 (en) * 2008-06-13 2012-11-13 Juniper Networks, Inc. System for slowing password attacks
CN103200171A (zh) * 2013-02-07 2013-07-10 苏州亿倍信息技术有限公司 一种网络安全登录的方法及系统
CN104468484A (zh) * 2013-09-22 2015-03-25 深圳市腾讯计算机系统有限公司 网络通信中进行密码设置的方法及装置
CN104378255A (zh) * 2014-10-29 2015-02-25 深信服网络科技(深圳)有限公司 web恶意用户的检测方法及装置
CN104506557A (zh) * 2015-01-07 2015-04-08 北京深思数盾科技有限公司 用于管理登录信息的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
互联网个人敏感信息保护研究;王昱镔等;《信息网络安全》;20140930(第9期);正文第144-148页 *

Also Published As

Publication number Publication date
CN104811449A (zh) 2015-07-29

Similar Documents

Publication Publication Date Title
CN104811449B (zh) 检测撞库攻击方法及系统
US10949534B2 (en) Method for predicting and characterizing cyber attacks
US11949706B2 (en) System and method for assigning threat valuations to network events and security events
US9860278B2 (en) Log analyzing device, information processing method, and program
US9306971B2 (en) System and method for malware detection learning
KR101689298B1 (ko) 보안이벤트 자동 검증 방법 및 장치
US8839430B2 (en) Intrusion detection in communication networks
US20160352759A1 (en) Utilizing Big Data Analytics to Optimize Information Security Monitoring And Controls
CN106664297B (zh) 用于检测对连接至通信网络的工作环境的攻击的方法
US10599857B2 (en) Extracting features for authentication events
CN103929440A (zh) 基于web服务器缓存匹配的网页防篡改装置及其方法
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
Chen et al. Intrusion detection using a hybrid support vector machine based on entropy and TF-IDF
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN105099834B (zh) 一种自定义特征码的方法和装置
KR20140055103A (ko) 탐지 서버 및 그의 이상 징후 탐지 방법
Rahim et al. Improving the security of Internet of Things (IoT) using Intrusion Detection System (IDS)
Rizvi et al. A review on intrusion detection system
Punia et al. Current trends and approaches of network intrusion detection system
CN108833388B (zh) 一种针对网络身份入侵的主动式响应网安系统
Kala et al. Signature Based Algorithms and Intrusion Detection Systems
Ramana et al. Analysis & Study of Application Layer Distributed Denial of Service Attacks for Popular Websites
Shetty et al. A Secure Approach for Intruder Detection using Backtracking
Wani et al. Techniques and counter attack methodologies used in intrusion detection system
Rao et al. An Efficient Guarding by Detecting Intrusions in Multi-Tier Web Applications

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20200615

Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer

Patentee after: SANGFOR TECHNOLOGIES Inc.

Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518055 No. 1001 Nanshan Chi Park A1 building five floor

Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd.

TR01 Transfer of patent right