CN106686014A - 网络攻击的防治方法及装置 - Google Patents
网络攻击的防治方法及装置 Download PDFInfo
- Publication number
- CN106686014A CN106686014A CN201710149897.8A CN201710149897A CN106686014A CN 106686014 A CN106686014 A CN 106686014A CN 201710149897 A CN201710149897 A CN 201710149897A CN 106686014 A CN106686014 A CN 106686014A
- Authority
- CN
- China
- Prior art keywords
- failure
- ssh
- brute force
- daily record
- force attacks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络攻击的防治方法及装置,涉及网络安全技术领域,主要目的在于解决遭受恶意SSH暴力攻击时无法感知,不能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治措施的问题。主要技术方案为:在通过安全外壳协议SSH远程登录终端操作系统时,检测所述终端操作系统登录日志中是否存在登录失败的日志;若存在登录失败的日志,则分析所述登录失败的日志确定是否存在SSH暴力攻击;若存在SSH暴力攻击,则将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击。本发明主要用于SSH暴力攻击防治的过程中。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络攻击的防治方法及装置。
背景技术
安全外壳协议(Secure Shell,SSH),由互联网工程任务组(InternetEngineering Task Force,IETF)的网络工作小组(Network Working Group)所制定;SSH为建立在应用层和传输层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。
但是,目前暴露在互联网下的linux服务器,每天都在不同程度上遭受恶意的SSH暴力攻击,少则几十次,多则上万次。由于初始安装的linux服务器没有设置任何防止遭受恶意SSH暴力攻击的措施,当linux服务器在遭受恶意SSH暴力攻击时,若不能及时有效的对遭受SSH暴力攻击的linux系统作出有效防治措施,linux很有可能被无限制ssh暴力破解,linux系统的安全性得不到保证。
发明内容
有鉴于此,本发明提供的一种网络攻击的防治方法,主要目的在于避免操作系统被无限制SSH暴力破解,增加了操作系统的安全性。
为了解决上述问题,本发明主要提供如下技术方案:
一方面,本发明提供了一种网络攻击的防治方法,包括:
在通过安全外壳协议SSH远程登录终端操作系统时,检测所述终端操作系统登录日志中是否存在登录失败的日志;
若存在登录失败的日志,则分析所述登录失败的日志确定是否存在SSH暴力攻击;
若存在SSH暴力攻击,则将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击。
另一方面,本发明还提供一种网络攻击的防治装置,包括:
检测单元,用于在通过安全外壳协议SSH远程登录终端操作系统时,检测所述终端操作系统登录日志中是否存在登录失败的日志;
分析确定单元,用于在检测存在登录失败的日志时,分析所述登录失败的日志确定是否存在SSH暴力攻击;
防治单元,用于在确定存在SSH暴力攻击时,将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击。
借由上述技术方案,本发明提供的网络攻击的防治方法及装置,在通过安全外壳协议SSH远程登录终端操作系统时,通过检测和分析终端操作系统登录失败日志确定是否存在SSH暴力攻击,在确定存在SSH暴力攻击时,将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击,使得在终端操作系统遭受SSH暴力攻击时,能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治,避免操作系统被无限制SSH暴力破解,增加了操作系统的安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种网络攻击的防治方法流程图;
图2示出了本发明实施例提供的linux系统在/var/log/auth.log记录登录过程的日志;
图3示出了本发明实施例提供的另一种网络攻击的防治方法流程图;
图4示出了本发明实施例提供的分析登录失败的日志记录的分析结果示意图;
图5示出了本发明实施例提供的一种网络攻击的防治装置的组成框图;
图6示出了本发明实施例提供的另一种网络攻击的防治装置的组成框图;
图7示出了本发明实施例提供的另一种网络攻击的防治装置的组成框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供一种网络攻击的防治方法,如图1所示,包括:
101、在通过SSH远程登录终端操作系统时,检测所述终端操作系统登录日志中是否存在登录失败的日志。
这里需要说明的是,在SSH远程登录终端操作系统时,会在一定的日志存储路径下记录登录过程的日志。例如,在SSH远程登录linux系统时,会在/var/log/auth.log记录登录过程的日志。其中,若SSH正常登录,不会产生登录失败的日志;若SSH登录失败,会产生登录失败的日志;若SSH暴力攻击,会大量产生登录失败的日志。故若想知道在通过SSH远程登录终端操作系统时,是否存在SSH暴力攻击,只要检测所述终端操作系统登录日志中是否存在登录失败的日志即可。
102、若存在登录失败的日志,则分析所述登录失败的日志确定是否存在SSH暴力攻击。
如上所述,若存在SSH暴力攻击,则会存在大量的登录失败的日志,故本发明实施例中在分析所述登录失败的日志,根据登录失败的数量便可确定是否存在SSH暴力攻击。具体的本发明实施例也不进行限定,也可以采用别的方法确认。
103、若存在SSH暴力攻击,则将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击。
在设置远程控制访问时,设置了系统登录黑名单文件和白名单文件,其中,通过黑名单文件可以拒绝某个ip或者ip段的客户访问linux的某项服务;通过白名单文件可以允许某个ip或者ip段的客户访问linux的某项服务。当检测到SSH暴力攻击时,将SSH暴力攻击的IP地址自动添加到黑名单文件中,便可禁止该IP继续进行SSH暴力攻击。
本发明实施例中,在通过安全外壳协议SSH远程登录终端操作系统时,通过检测和分析终端操作系统登录失败日志确定是否存在SSH暴力攻击,在确定存在SSH暴力攻击时,将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击,使得在终端操作系统遭受SSH暴力攻击时,能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治,避免操作系统被无限制SSH暴力破解,增加了操作系统的安全性。
基于上述描述,本发明实施例以下将以linux系统作为终端操作系统为例,在SSH远程登录linux系统时,会在/var/log/auth.log记录登录过程的日志。具体如图2所示。以下具体说明当linux系统遭受SSH暴力攻击时及时防治的方法,如图3所示,该方法包括:
201、在初始的linux服务器上部署及时防治程序。
其中,在初始的linux服务器上部署及时防治程序包括设置防治的执行逻辑、参数阈值以及防治通知消息的发送方式等。设置防治的执行逻辑如图1对应的实施例,本发明实施例在此将不再赘述;防治通知消息本发明实施例采用邮件通知的方式进行,设置控制远程访问的允许和拒绝的黑白名单文件,该文件分别为/etc/hosts.allow和/etc/hosts.deny,通过这两个文件可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
并且基于上述方法逻辑设置具体的检测程序,可以通过但不局限于以下的方式设置:
本发明实施例对此都不做限定,也可以通过其他实现方式实现。
202、在通过安全外壳协议SSH远程登录终端操作系统时,检测所述终端操作系统登录日志中是否存在登录失败的日志。若存在登录失败的日志,则执行203;若不存在登录失败的日志,则什么也不执行,不做任何动作。
其中,本发明实施例中检测所述终端操作系统登录日志中是否存在登录失败的日志,可以在通过安全外壳协议SSH远程登录终端操作系统的过程中持续进行,也可以周期性的进行,具体的本发明实施例对此不进行限制。当周期性的进行时,可以使用linux系统自带的任务计划,每隔10分钟自动扫描检测一遍。
203、分析所述登录失败的日志确定是否存在SSH暴力攻击。若存在SSH暴力攻击,则执行204;若不存在SSH暴力攻击,则什么也不执行,不做任何动作。
其中,在分析所述登录失败的日志确定是否存在SSH暴力攻击时,可以采用但不局限于以下的方法显示,该方法包括:分析所述登录失败的日志,记录登录失败的参数,所述参数包括IP地址、失败次数、时间中的一个或任意多个;根据所述参数与预定对应规则之间的关系确定是否存在SSH暴力攻击。
在分析所述登录失败的日志,记录登录失败的参数,若所述参数包括IP地址、失败次数时,记录的分析结果可以如图4所示,左边两位为失败次数,右边为IP地址。
其中,需要说明的是,本发明实施例中的预定对应规则基于参数的不同而不同,例如,若该参数为失败次数,则该预定对应规则为失败次数超多预设阈值次数为存在SSH暴力攻击,该阈值次数可以根据经验设置,例如为10次,具体的本发明实施例对此不进行限制,也可以是其他的次数。又例如,若该参数为时间,则预定对应规则需要统计用户正常登录时的时间范围,若在非正常时间范围内的登录,确定为SSH暴力攻击。再例如,若参数为IP地址,则预定对应规则需要统计用户正常登录时的IP地址,若确定通过用户非经常使用的IP进行登录,确定为SSH暴力攻击。
本发明实施例中以参数为失败次数为例进行说明,具体的为:
确定所述失败次数与预设失败次数阈值10次之间的关系;若所述失败次数超过所述预设失败次数阈值10次,则确定存在安全外壳协议SSH暴力攻击;若所述失败次数没有超过所述预设失败次数阈值10次,则确定不存在安全外壳协议SSH暴力攻击。
204、记录SSH暴力攻击的IP地址、失败次数、时间以及攻击终端的标识,得到记录信息。
205、将SSH暴力攻击的IP地址添加在拒绝IP地址访问的文件中。
在实现上述实施例时,为了节省网络资源,在确定存在登录失败的日志之后,可以先确定所述登录失败的日志的数量,在登录失败的日志的数量超过预定预置之后,才执行所述分析所述登录失败的日志确定是否存在SSH暴力攻击。在不超过预定数量阈值时,不执行所述分析所述登录失败的日志确定是否存在SSH暴力攻击。
本发明实施例中,在通过安全外壳协议SSH远程登录终端操作系统时,通过检测和分析终端操作系统登录失败日志确定是否存在SSH暴力攻击,在确定存在SSH暴力攻击时,将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击,使得在终端操作系统遭受SSH暴力攻击时,能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治,避免操作系统被无限制SSH暴力破解,增加了操作系统的安全性。
并且,在执行本发明实施例时,会对登录失败的日志数量进行统计,当又打了登录失败的日志时,才进行分析确认是否为遭受SSH暴力攻击,在一定程度上节省了网络资源。
基于上述方法实施的实现,本发明实施例还提供了一种网络攻击的防治装置,如图5所示,该装置包括:
检测单元31,用于在通过安全外壳协议SSH远程登录终端操作系统时,检测所述终端操作系统登录日志中是否存在登录失败的日志;这里需要说明的是,在SSH远程登录终端操作系统时,会在一定的日志存储路径下记录登录过程的日志。例如,在SSH远程登录linux系统时,会在/var/log/auth.log记录登录过程的日志。其中,若SSH正常登录,不会产生登录失败的日志;若SSH登录失败,会产生登录失败的日志;若SSH暴力攻击,会大量产生登录失败的日志。故若想知道在通过SSH远程登录终端操作系统时,是否存在SSH暴力攻击,只要检测所述终端操作系统登录日志中是否存在登录失败的日志即可。
分析确定单元32,用于在检测存在登录失败的日志时,分析所述登录失败的日志确定是否存在SSH暴力攻击。
防治单元33,用于在确定存在SSH暴力攻击时,将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击。其中,在设置远程控制访问时,设置了系统登录黑名单文件和白名单文件,通过黑名单文件可以拒绝某个ip或者ip段的客户访问linux的某项服务;通过白名单文件可以允许某个ip或者ip段的客户访问linux的某项服务。当检测到SSH暴力攻击时,将SSH暴力攻击的IP地址自动添加到黑名单文件中,便可禁止该IP继续进行SSH暴力攻击。
进一步的,如图6所示,所述分析确定单元32包括:
分析模块321,用于分析所述登录失败的日志,记录登录失败的参数,所述参数包括IP地址、失败次数、时间中的一个或任意多个;
确定模块322,用于根据所述参数与预定对应规则之间的关系确定是否存在安全外壳协议SSH暴力攻击。当所述参数为失败次数时,所述确定模块322用于:确定所述失败次数与预设失败次数阈值之间的关系;若所述失败次数超过所述预设失败次数阈值,则确定存在安全外壳协议SSH暴力攻击;若所述失败次数没有超过所述预设失败次数阈值,则确定不存在安全外壳协议SSH暴力攻击。
在实现上述实施例时,为了节省网络资源,该装置如图7所示,还包括:
确定单元34,用于在确定存在登录失败的日志之后,确定所述登录失败的日志的数量;
所述分析确定单元32还用于,在确定所述数量超过预定数量阈值时,分析所述登录失败的日志确定是否存在SSH暴力攻击。
本发明实施例中,在通过安全外壳协议SSH远程登录终端操作系统时,通过检测和分析终端操作系统登录失败日志确定是否存在SSH暴力攻击,在确定存在SSH暴力攻击时,将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击,使得在终端操作系统遭受SSH暴力攻击时,能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治,避免操作系统被无限制SSH暴力破解,增加了操作系统的安全性。
并且,本在执行本发明实施例时,会对登录失败的日志数量进行统计,当又打了登录失败的日志时,才进行分析确认是否为遭受SSH暴力攻击,在一定程度上节省了网络资源。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种网络攻击的防治方法,其特征在于,包括:
在通过安全外壳协议SSH远程登录终端操作系统时,检测所述终端操作系统登录日志中是否存在登录失败的日志;
若存在登录失败的日志,则分析所述登录失败的日志确定是否存在SSH暴力攻击;
若存在SSH暴力攻击,则将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击。
2.根据权利要求1所述的方法,其特征在于,分析所述登录失败的日志确定是否存在安全外壳协议SSH暴力攻击包括:
分析所述登录失败的日志,记录登录失败的参数,所述参数包括IP地址、失败次数、时间中的一个或任意多个;
根据所述参数与预定对应规则之间的关系确定是否存在安全外壳协议SSH暴力攻击。
3.根据权利要求2所述的方法,其特征在于,当所述参数为失败次数时,所述根据所述参数与预定对应规则确定是否存在安全外壳协议SSH暴力攻击包括:
确定所述失败次数与预设失败次数阈值之间的关系;
若所述失败次数超过所述预设失败次数阈值,则确定存在安全外壳协议SSH暴力攻击;
若所述失败次数没有超过所述预设失败次数阈值,则确定不存在安全外壳协议SSH暴力攻击。
4.根据权利要求1所述的方法,其特征在于,将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中包括:
将存在SSH暴力攻击的IP地址添加在拒绝IP地址访问的文件中。
5.根据权利要求1-4中任一项所述的方法,其特征在于,在确定存在登录失败的日志之后,还包括:
确定所述登录失败的日志的数量;
若所述数量超过预定数量阈值,则执行所述分析所述登录失败的日志确定是否存在SSH暴力攻击。
6.一种网络攻击的防治装置,其特征在于,包括:
检测单元,用于在通过安全外壳协议SSH远程登录终端操作系统时,检测所述终端操作系统登录日志中是否存在登录失败的日志;
分析确定单元,用于在检测存在登录失败的日志时,分析所述登录失败的日志确定是否存在SSH暴力攻击;
防治单元,用于在确定存在SSH暴力攻击时,将存在SSH暴力攻击的IP地址添加至终端操作系统的系统登录黑名单中,以禁止所述IP继续进行SSH暴力攻击。
7.根据权利要求6所述的装置,其特征在于,所述分析确定单元包括:
分析模块,用于分析所述登录失败的日志,记录登录失败的参数,所述参数包括IP地址、失败次数、时间中的一个或任意多个;
确定模块,用于根据所述参数与预定对应规则之间的关系确定是否存在安全外壳协议SSH暴力攻击。
8.根据权利要求7所述的装置,其特征在于,当所述参数为失败次数时,所述确定模块用于:
确定所述失败次数与预设失败次数阈值之间的关系;
若所述失败次数超过所述预设失败次数阈值,则确定存在安全外壳协议SSH暴力攻击;
若所述失败次数没有超过所述预设失败次数阈值,则确定不存在安全外壳协议SSH暴力攻击。
9.根据权利要求8所述的装置,其特征在于,所述防治单元具体用于将存在SSH暴力攻击的IP地址添加在拒绝IP地址访问的文件中。
10.根据权利要求6-9中任一项所述的装置,其特征在于,还包括:
数量确定单元,用于在所述检测单元检测确定存在登录失败的日志之后,确定所述登录失败的日志的数量;
所述分析确定单元,用于在所述数量超过预定数量阈值时,执行所述分析所述登录失败的日志确定是否存在SSH暴力攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710149897.8A CN106686014A (zh) | 2017-03-14 | 2017-03-14 | 网络攻击的防治方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710149897.8A CN106686014A (zh) | 2017-03-14 | 2017-03-14 | 网络攻击的防治方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106686014A true CN106686014A (zh) | 2017-05-17 |
Family
ID=58828767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710149897.8A Pending CN106686014A (zh) | 2017-03-14 | 2017-03-14 | 网络攻击的防治方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106686014A (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707542A (zh) * | 2017-09-28 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种防止ssh破解的方法及系统 |
CN107800724A (zh) * | 2017-12-08 | 2018-03-13 | 北京百度网讯科技有限公司 | 云主机防破解方法、系统及处理设备 |
CN110012011A (zh) * | 2019-04-03 | 2019-07-12 | 北京奇安信科技有限公司 | 防止恶意登录的方法、装置、计算机设备及存储介质 |
CN110166476A (zh) * | 2019-05-30 | 2019-08-23 | 中国联合网络通信集团有限公司 | 一种反暴力破解方法及装置 |
CN110417717A (zh) * | 2018-12-06 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 登录行为的识别方法及装置 |
CN110933032A (zh) * | 2019-10-25 | 2020-03-27 | 湖南麒麟信安科技有限公司 | 一种ssh路径追踪方法、系统及介质 |
CN111083087A (zh) * | 2018-10-18 | 2020-04-28 | 上海擎感智能科技有限公司 | 实现ssh安全登录的方法、系统、存储介质及设备 |
CN111245839A (zh) * | 2020-01-13 | 2020-06-05 | 奇安信科技集团股份有限公司 | 防暴力破解方法及装置 |
CN111800432A (zh) * | 2020-07-20 | 2020-10-20 | 博为科技有限公司 | 一种基于日志分析的防暴力破解方法及装置 |
CN111813752A (zh) * | 2020-07-01 | 2020-10-23 | 四川长虹电器股份有限公司 | 一种获取rdp爆破攻击来源的方法和系统 |
CN112084512A (zh) * | 2020-08-27 | 2020-12-15 | 山东英信计算机技术有限公司 | 一种访问控制方法、装置、设备及计算机可读存储介质 |
CN112861119A (zh) * | 2019-11-27 | 2021-05-28 | 郭东林 | 一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统 |
CN113032781A (zh) * | 2021-03-09 | 2021-06-25 | 广东物壹信息科技股份有限公司 | 一种勒索病毒的入侵检测方法 |
CN113110980A (zh) * | 2020-01-13 | 2021-07-13 | 奇安信科技集团股份有限公司 | 暴力破解行为的识别与拦截方法及装置 |
CN113315791A (zh) * | 2021-07-30 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种基于代理模块的主机防护方法和电子装置 |
CN114338147A (zh) * | 2021-12-28 | 2022-04-12 | 中国银联股份有限公司 | 一种口令爆破攻击的检测方法及装置 |
CN114584363A (zh) * | 2022-03-01 | 2022-06-03 | 北信源系统集成有限公司 | 网络攻击检测方法、装置、设备及计算机可读存储介质 |
CN114866455A (zh) * | 2022-04-18 | 2022-08-05 | 北京凝思软件股份有限公司 | 一种ssh多级跳转路径的构建方法、系统、终端和介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599958A (zh) * | 2009-07-02 | 2009-12-09 | 西安电子科技大学 | 基于场景的关联引擎系统及其数据处理方法 |
US20140181968A1 (en) * | 2012-12-20 | 2014-06-26 | At&T Intellectual Property I, L.P. | Monitoring Operational Activities In Networks And Detecting Potential Network Intrusions And Misuses |
CN105721198A (zh) * | 2016-01-20 | 2016-06-29 | 中国科学院信息工程研究所 | 一种视频监控系统日志安全审计方法 |
CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
-
2017
- 2017-03-14 CN CN201710149897.8A patent/CN106686014A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599958A (zh) * | 2009-07-02 | 2009-12-09 | 西安电子科技大学 | 基于场景的关联引擎系统及其数据处理方法 |
US20140181968A1 (en) * | 2012-12-20 | 2014-06-26 | At&T Intellectual Property I, L.P. | Monitoring Operational Activities In Networks And Detecting Potential Network Intrusions And Misuses |
CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
CN105721198A (zh) * | 2016-01-20 | 2016-06-29 | 中国科学院信息工程研究所 | 一种视频监控系统日志安全审计方法 |
Non-Patent Citations (2)
Title |
---|
庄欣: "统一网络安全管理中数据采集代理的设计和实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
程暄: "基于日志分析的网络入侵检测系统研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707542A (zh) * | 2017-09-28 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种防止ssh破解的方法及系统 |
US10944718B2 (en) | 2017-12-08 | 2021-03-09 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Anti-cracking method and system for a cloud host, as well as terminal device |
CN107800724A (zh) * | 2017-12-08 | 2018-03-13 | 北京百度网讯科技有限公司 | 云主机防破解方法、系统及处理设备 |
US11470043B2 (en) | 2017-12-08 | 2022-10-11 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Anti-cracking method and system for a cloud host, as well as terminal device |
CN111083087A (zh) * | 2018-10-18 | 2020-04-28 | 上海擎感智能科技有限公司 | 实现ssh安全登录的方法、系统、存储介质及设备 |
CN110417717A (zh) * | 2018-12-06 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 登录行为的识别方法及装置 |
CN110417717B (zh) * | 2018-12-06 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 登录行为的识别方法及装置 |
CN110012011A (zh) * | 2019-04-03 | 2019-07-12 | 北京奇安信科技有限公司 | 防止恶意登录的方法、装置、计算机设备及存储介质 |
CN110166476A (zh) * | 2019-05-30 | 2019-08-23 | 中国联合网络通信集团有限公司 | 一种反暴力破解方法及装置 |
CN110166476B (zh) * | 2019-05-30 | 2021-09-17 | 中国联合网络通信集团有限公司 | 一种反暴力破解方法及装置 |
CN110933032B (zh) * | 2019-10-25 | 2022-04-05 | 湖南麒麟信安科技股份有限公司 | 一种ssh路径追踪方法、系统及介质 |
CN110933032A (zh) * | 2019-10-25 | 2020-03-27 | 湖南麒麟信安科技有限公司 | 一种ssh路径追踪方法、系统及介质 |
CN112861119A (zh) * | 2019-11-27 | 2021-05-28 | 郭东林 | 一种防御黑客对数据库慢速撞库或爆破攻击的方法及系统 |
CN113110980A (zh) * | 2020-01-13 | 2021-07-13 | 奇安信科技集团股份有限公司 | 暴力破解行为的识别与拦截方法及装置 |
CN111245839A (zh) * | 2020-01-13 | 2020-06-05 | 奇安信科技集团股份有限公司 | 防暴力破解方法及装置 |
CN111813752A (zh) * | 2020-07-01 | 2020-10-23 | 四川长虹电器股份有限公司 | 一种获取rdp爆破攻击来源的方法和系统 |
CN111800432A (zh) * | 2020-07-20 | 2020-10-20 | 博为科技有限公司 | 一种基于日志分析的防暴力破解方法及装置 |
CN112084512A (zh) * | 2020-08-27 | 2020-12-15 | 山东英信计算机技术有限公司 | 一种访问控制方法、装置、设备及计算机可读存储介质 |
CN113032781A (zh) * | 2021-03-09 | 2021-06-25 | 广东物壹信息科技股份有限公司 | 一种勒索病毒的入侵检测方法 |
CN113315791A (zh) * | 2021-07-30 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种基于代理模块的主机防护方法和电子装置 |
CN114338147A (zh) * | 2021-12-28 | 2022-04-12 | 中国银联股份有限公司 | 一种口令爆破攻击的检测方法及装置 |
CN114338147B (zh) * | 2021-12-28 | 2023-08-11 | 中国银联股份有限公司 | 一种口令爆破攻击的检测方法及装置 |
CN114584363A (zh) * | 2022-03-01 | 2022-06-03 | 北信源系统集成有限公司 | 网络攻击检测方法、装置、设备及计算机可读存储介质 |
CN114866455A (zh) * | 2022-04-18 | 2022-08-05 | 北京凝思软件股份有限公司 | 一种ssh多级跳转路径的构建方法、系统、终端和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106686014A (zh) | 网络攻击的防治方法及装置 | |
CN106656640A (zh) | 网络攻击的预警方法及装置 | |
US9990507B2 (en) | Adapting decoy data present in a network | |
ES2854701T3 (es) | Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones | |
US10693901B1 (en) | Techniques for application security | |
CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
US20210234877A1 (en) | Proactively protecting service endpoints based on deep learning of user location and access patterns | |
EP3270318B1 (en) | Dynamic security module terminal device and method for operating same | |
Axelsson et al. | An approach to UNIX security logging | |
US20100095365A1 (en) | Self-setting security system and method for guarding against unauthorized access to data and preventing malicious attacks | |
CN116545650B (zh) | 一种网络动态防御方法 | |
Croft et al. | Towards practical avoidance of information leakage in enterprise networks | |
Deng et al. | Lexical analysis for the webshell attacks | |
Díaz de León Guillén et al. | A systematic review of security threats and countermeasures in SaaS | |
CN113726769A (zh) | 一种基于数据采集的网络安全防控系统 | |
Vegesna | Accelerate the development of a business without losing privacy with the help of API Security Best Practises-Enabling businesses to create more dynamic applications | |
CN106982204A (zh) | 可信安全平台 | |
Ulybyshev et al. | Trustworthy data analysis and sensor data protection in cyber-physical systems | |
Schmidbauer et al. | Hunting shadows: Towards packet runtime-based detection of computational intensive reversible covert channels | |
Kumar et al. | MAC based solution for SQL injection | |
CN116821928A (zh) | 一种提高电力边缘计算芯片内部数据安全性的方法及系统 | |
Tajbakhsh et al. | A sound framework for dynamic prevention of Local File Inclusion | |
Lalia et al. | Implementation of web browser extension for mitigating CSRF attack | |
CN113608907B (zh) | 数据库审计方法、装置、设备、系统及存储介质 | |
CN114793171A (zh) | 访问请求的拦截方法、装置、存储介质及电子装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170517 |