CN107204965A - 一种密码破解行为的拦截方法及系统 - Google Patents

Abstract

本申请涉及通信领域，公开了一种密码破解行为的拦截方法及系统。用以提高密码破解行为的拦截效率以及拦截准确性，以及避免给云服务器造成运行负荷。该方法为：在云计算环境中获取云服务器侧的镜像流量，并对镜像流量进行分析，通过符合指定协议格式的传输消息，识别出对应用服务存在密码暴力破解行为的攻击源IP，再通过伪造数据包对这种密码暴力破解行为进行阻断。这样，一旦确定攻击源IP，便可以对攻击源IP进行全网拦截，有效提高了密码破解行为的拦截效率以及拦截准确性；并且，攻击源IP并不能感知到拦截系统的存在，进而有效保障了拦截系统的可靠性；以及由于拦截系统独立于云服务器集群运行，因此不会给给云服务器造成运行负荷。

Description

一种密码破解行为的拦截方法及系统

技术领域

本申请涉及通信领域，特别涉及一种密码破解行为的拦截方法及系统。

背景技术

在云计算环境中，暴露在公网环境的云服务器，每天都面临着大量的攻击。其中，以针对云服务器上部署的应用服务进行密码暴力破解的攻击类型最为常见，例如，针对文件传输协议(File Transfer Protocol，FTP)应用服务的密码暴力破解、关系型数据库管理系统(mysql)应用服务的密码暴力破解。

所谓暴力破解，即是攻击者对这些应用服务的密码进行穷举式扫描，如果用户配置的密码强度不够，则很容易被攻击者的密码字典命中，那么，这些应用服务器的密码将极有可能被破解。而应用服务的密码被破解，会导致用户的数据泄露甚至服务器被攻击者完全控制，因此，有效的阻断这些密码破解攻击行为对云服务器的安全而言是非常重要的。

现有技术下，一般的密码破解行为拦截是在主机层面进行的，即通过监控 应用服务的密码错误日志，发现攻击行为，确认攻击者后通过云服务器本地的 防火墙工具，如iptables对攻击者的源ID进行拦截。然而，现有的方法却有以 下不足之处：

首先，通过主机层面进行拦截的方案对攻击者来说是可以感知到的，因此，攻击者可能会修改云服务器的防火墙策略，从而绕过防火墙继续攻击。

其次，通过主机层面进行拦截的方案需要在云服务器上部署日志监控程序序，从而增加了云服务器的运行负荷，占用了云服务器的资源。

再次，基于云服务器本地日志的分析不能汇聚全网的数据，在发现攻击者的速度与准确性方面都存在缺失。另外，云服务器只能对攻击者进行一对一拦截，不能做到一点发现，全网(整个云计算环境)拦截。

申请内容

本申请实施例提供一种密码破解行为的拦截方法及系统，用以提高密码破解行为的拦截效率以及拦截准确性，以及避免给云服务器造成运行负荷。

本申请实施例提供的具体技术方案如下：

一种密码破解行为的拦截方法，包括：

获得云服务器侧的镜像流量；

对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，以及基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；

在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台云服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台云服务器之间的连接。

可选的，对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，包括：

对获得的镜像流量进行解析，基于所述指定协议格式，在镜像流量中筛选出表征执行密码认证流程的传输消息。

可选的，在镜像流量中筛选出用于表征密码认证流程的传输消息，包括：

在镜像流量中筛选出用于表征触发密码认证的传输消息；

或/和

在镜像流量中筛选出用于表征密码认证失败的传输消息。

可选的，基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP，包括：

将获得的所有传输消息按照源IP进行分组；

筛选出符合以下规则的传输消息组：在设定时长内，传输消息组关联的云服务器的数目达到第一设定门限，且传输消息组内的传输消息总数目达到

第二设定门限；

将筛选出的传输消息组对应的源IP判定为攻击源IP。

可选的，在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，包括：

确定攻击源IP对应的三元组信息，其中，所述三元组信息至少包含攻击IP的源IP地址、目的IP地址以及端口信息；

在获得的镜像流量中，将攻击源IP的三元组信息，与数据包的五元组信息进行匹配，抓取匹配成功的数据包，其中，一个数据包的五元组信息至少包含所述一个数据包的源IP地址、目的IP地址、源端口、目的端口和协议。

可选的，抓取匹配成功的数据包，包括：

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接时，发送的握手信号SYN数据包；或/和，

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接后，发送的传输信号数据包。

可选的，基于抓取的任意一个数据包，分别向所述攻击源IP和相应的云服务器发送伪造数据包，阻断所述攻击源IP和所述相应的云服务器之间的连接，包括：

确定所述任意一个数据包的当前序列号；

基于所述任意一个数据包的当前序列号以及所述任意一个数据包对应的协议格式，确定所述任意一个数据包的下一个数据包的第一序列号，以及确定所述任意一个数据包的响应数据包的第二序列号；

基于第一序列号生成第一伪造数据包，以及基于第二序列号生成第二伪造数据包；

将第一伪造数据包发往相应的云服务器，以及将第二伪造数据包发往攻击源IP，通知所述攻击源IP和相应的云服务器停止通信。

一种密码破解行为的拦截系统，包括：

获取模块，用于获得云服务器侧的镜像流量；

解析模块，用于对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，以及基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；

阻断模块，用于在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台云服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台云服务器之间的连接。

可选的，对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息时，所述解析模块用于：

对获得的镜像流量进行解析，基于所述指定协议格式，在镜像流量中筛选出表征执行密码认证流程的传输消息。

可选的，在镜像流量中筛选出用于表征密码认证流程的传输消息时，所述解析模块用于：

在镜像流量中筛选出用于表征触发密码认证的传输消息；

或/和

在镜像流量中筛选出用于表征密码认证失败的传输消息。

可选的，基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP时，所述解析模块用于：

将获得的所有传输消息按照源IP进行分组；

筛选出符合以下规则的传输消息组：在设定时长内，传输消息组关联的云服务器的数目达到第一设定门限，且传输消息组内的传输消息总数目达到第二设定门限；

将筛选出的传输消息组对应的源IP判定为攻击源IP。

可选的，在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包时，所述阻断模块用于：

确定攻击源IP对应的三元组信息，其中，所述三元组信息至少包含攻击IP的源IP地址、目的IP地址以及端口信息；

在获得的镜像流量中，将攻击源IP的三元组信息，与数据包的五元组信息进行匹配，抓取匹配成功的数据包，其中，一个数据包的五元组信息至少包含所述一个数据包的源IP地址、目的IP地址、源端口、目的端口和协议。

可选的，抓取匹配成功的数据包时，所述阻断模块用于：

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接时，发送的握手信号SYN数据包；或/和，

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接后，发送的传输信号数据包。

可选的，基于抓取的任意一个数据包，分别向所述攻击源IP和相应的云服务器发送伪造数据包，阻断所述攻击源IP和所述相应的云服务器之间的连接时，所述阻断模块用于：

确定所述任意一个数据包的当前序列号；

基于所述任意一个数据包的当前序列号以及所述任意一个数据包对应的协议格式，确定所述任意一个数据包的下一个数据包的第一序列号，以及确定所述任意一个数据包的响应数据包的第二序列号；

基于第一序列号生成第一伪造数据包，以及基于第二序列号生成第二伪造数据包；

将第一伪造数据包发往相应的云服务器，以及将第二伪造数据包发往攻击源IP，通知所述攻击源IP和相应的云服务器停止通信。

本申请实施例的有益效果如下：

本申请实施例中，在云计算环境中获取云服务器侧的镜像流量，并对镜像流量进行分析，通过符合指定协议格式的传输消息，识别出对应用服务存在密码暴力破解行为的攻击源IP，再通过伪造数据包对这种密码暴力破解行为进行阻断。这种阻断方式，可以基于镜像流量，实时采集到整个云计算中的攻击数据，并且和云服务器没有任何的耦合关系，因此，一旦确定攻击源IP，便可以对攻击源IP进行全网拦截(即通过五元组信息匹配到相应的数据包，就可以开始实现全网拦截)，有效提高了密码破解行为的拦截效率以及拦截准确性。另一方面，由于伪造数据包符合相关协议规定，因此，攻击源IP并不能感知到拦截系统的存在，因而也就无从破解，进而有效保障了拦截系统的可靠性。另一方面，由于拦截系统独立于云服务器集群运行，因此，不会给给云服务器造成运行负荷。

附图说明

图1为本申请实施例中云服务环境架构示意图；

图2为本申请实施例中对密码破解行为进行拦截流程图；

图3为本申请实施例中拦截系统功能结构示意图。

具体实施方式

为了提高密码破解行为的拦截效率以及拦截准确性，以及避免给云服务器造成运行负荷，本申请实施例中，在云机房入口，设置了基于分光器，这样，可以对进出云机房的网络流量进行镜像处理，而获得的镜像流量可以用于计费、安全分析、DDoS预警等等，本实施例中，着重介绍对镜像流量进行安全分析。

下面结合附图对本发明优选的实施方式进行详细说明。

参阅图1所示，本申请实施例中，在云机房门口布置了分光器，用于对机器中布置的所有云服务器的网络流量统一进行镜像处理，这样，所有客户端的登录操作产生的真实流量均会被包含在镜像流量中发往拦截系统进行安全分析。

可选的，可以在分光器和拦截系统之间设置一个分流器，用于对镜像流量进行分流，这样，拦截系统可以采用不同的进程并行处理不同的镜像流量分流，以提高拦截处理效率。

参阅图2所示，本申请实施例中，对密码破解行为进行拦截的详细流程如下：

步骤200：分光器获得客户端与云服务集群交互时产生的所有真实流量，并对真实流程进行镜像处理，以及将获得的镜像流量发往分流器。

本申请实施例中，较佳的，分光器和拦截系统需要部署在机房入口，并且配置万兆网卡，进而能够拥有强大的数据包分析能力，防止数据包的丢失。

步骤201：分流器按照设定数目对镜像流量进行分流后，将分流后的镜像流量发往拦截系统。

实际应用中，若镜像流量的数据量不大，拦截系统无需对镜像流量进行多进程并行处理也能够承受计算量时，也可以不采用分流器，而是由分光器直接将镜像流量发往拦截系统，本实施例中，仅以使用“分光器+分流器”为例进行说明，在此不再赘述。

步骤202：拦截系统获得分流器发送的镜像流量。

本申请实施例中，拦截系统获得分流器分流后的各路镜像流量后，可以采用不同的进程分别进行解析，以并行处理获得所需要的结果，此处非本发明重点，在后续流程中将不再赘述。

步骤203：拦截系统对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息。

本申请实施例适用于云计算环境，基于机房的网络流量进行镜像处理，为了有效地分辨出密码破解行为，较佳的，要求云服务器上各个应用服务使用的登录密码是明文传输，如，mysql服务、ftp服务均采用明文登录密码。

具体的，在执行步骤203时，主要采用以下方式：

客户端登录云服务器上的每一种应用服务时，均需要进行密码认证(即口令认证)，而每一种应用服务的认证过程都有特定的传输协议。在这些特定的传输协议的基础上，在进行镜像流量解析时，拦截系统可以根据管理人员设定的某一种指定协议格式，在镜像流量中筛选出符合该指定协议格式的所有传输消息。

可选的，上述指定协议格式可以是：表征“执行密码认证流程”的传输消息的格式。这是因为，源IP是否具有攻击性，需要在密码认证流程中才能体现出来，因此，针对云服务器上的某一种应用服务进行密码破解拦截之前，需要从镜像流量中筛选出所有与上述某一种应用服务的密码认证流程相关的传输消息。

可选的，表征“执行密码认证流程”的传输消息，可以采用但不限于以下两种消息中的一种或组合：

第一种：表征“触发密码认证”的传输消息，以下为了便于描述，统一称为触发消息。

这样，可以通过客户端至云服务器方向的触发消息的发送密集度，来判断源IP是否具有攻击性。

第二种：表征“密码认证失败”的传输消息，以下为了便于描述，统一称为失败消息。

这样，也可以云服务器至客户端方向的失败消息的发送密集度，来判断源IP是否具有攻击性。

当然，进一步地，触发消息和失败消息也可以结合使用，即通过“触发消息+失败消息”这一组合出现的密集度，来判断源IP是否具有攻击性。

例如，以筛选失败消息为例，假设FTP应用服务的密码认证协议如下：

#telnet 182.92.224.25 21

Trying 182.92.224.25...

Connected to 182.92.224.25.

Escape character is'^]'.

220 vsFTPd 3.0.2+(ext.1)ready...

USER test

331 Please specify the password.

PASS test123

530 Permission denied.

QUIT

221 Goodbye.

Connection closed by foreign host.

通过上述协议可以发现，FTP密码认证失败的一个很重要的特征是云服务器向客户端返回代码“530”，那么，可以将“530”作为FTP服务的失败消息，根据“530”可以从镜像流量中分析出所有的密码认证失败事件。

当然，不同的应用服务使用的传输协议各不相同，相应的，在筛选表征“执行密码认证流程”的传输消息时，所使用的指定协议格式也各不相同，实际应用中，管理人员也可以针对多个不同的应用服务分别设定不同的指定协议格式，这样，拦截系统可以分别针对每一个应用服务，筛选出符合相应的指定协议格式的表征“执行密码认证流程”的传输消息，其中，每一个单一的筛选过程均采用步骤203所述的方法，在此不再赘述。

步骤204：拦截系统基于获得的所有传输消息的传输方式，确定具有密码破解行为的攻击源IP。

在获得通过步骤203中筛选出的表征“执行密码认证流程”的传输消息后，拦截系统可以将这些传输消息进行统一分析，基于这些原始数据分析出真正的具有暴力破解意图的攻击源IP，以便于后续针对这些攻击源IP进行有效拦截。

实际应用中，同一应用服务可以分布在多个云服务器上，这些云服务器在提供同一类应用服务时所采用的传输协议相同，因此，拦截系统可以将来自于不同云服务器的针对同一应用服务的传输消息进行汇总分析；另一方面，拦截系统基于某一指定协议格式获得的所有传输消息，可能由不同源IP触发，为了更有针对性的检测，本实施例中，在执行步骤204时，拦截系统可以采用以下方式：

首先，拦截系统需要先按照源IP对获得的所有传输消息进行分组；

然后，拦截系统筛选出符合以下规则的传输消息组：在设定时长内，传输消息组关联的云服务器的数目达到第一设定门限，且传输消息组内的传输消息总数目达到第二设定门限。

最后，拦截系统将筛选出的传输消息组对应的源IP判定为攻击源IP。

例如：以传输消息是失败消息为例，拦截系统根据FTP应用服务的密码认证协议过程，建立密码认证状态机，对镜像流量中所有的数据包进行状态匹配。匹配出认证失败的数据包(即失败消息)，假设设置的规则为：60时分钟内，拦截系统收集到的针对FTP服务的失败消息来自于8台不同的云服务器(即总共试图破解8台云服务器)，并且这些失败消息的总数目大于20次(即总共破解了20次)，以及这些失败消息均由同一源IPX触发，那么，拦截系统会认为存在暴力破解行为，即源IP X是攻击源IP。

步骤205：拦截系统在获得的镜像流量中，抓取攻击源IP发往云服务器侧的数据包。

在步骤204中，拦截系统有可以判定存在多个攻击源IP，以下实施例中，仅以一个攻击源IP为例进行说明，多个攻击源IP的处理过程类似。

具体的，在抓取数据包时，拦截系统会执行以下操作：

首先，拦截系统确定攻击源IP对应的三元组信息，其中，所述三元组信息至少包含攻击IP的源IP地址、目的IP地址以及端口信息。

其次，拦截系统在镜像流量中，将攻击源IP的三元组信息，与数据包的五元组信息进行匹配，抓取匹配成功的数据包；其中，一个数据包的五元组信息至少包含该一个数据包的源IP地址、目的IP地址、源端口、目的端口和协议。

可见，只要一个数据包的五元组信息中的源IP地址为攻击源IP，源端口为攻击IP的端口，即可以判定匹配成功。

本申请实施例中，分流器可以将镜像流量分为多个，如果拦截系统启用多个进程，则可以分别针对每一路镜像流量采用相应的进程完成不同的操作，例如，可以启用进程1基于第一路镜像流量筛选出攻击源IP X，接着，采用进程2基于第二路镜像流量抓取攻击源IP X发往云服务器侧的数据包，同时，可以继续启用进程1基于第一路镜像流量筛选下一个攻击源IP，这样，可以提高攻击源IP的拦截效率。

实际应用中，一个攻击源IP可能会在同一时期针对同一应用服务或者针对不同应用服务攻击多个云服务器，采用上述方法，即使只采集到攻击源IP基于某一种应用服务发起攻击时触发的传输消息，只要能判定攻击源IP，后续便可以对攻击源IP针对多种应用服务发送的攻击性数据包进行全网抓取，因为无论哪攻击源IP针对哪一种应用服务发送的攻击性数据包的五元组信息，均可以和攻击源IP的三元组信息匹配成功。

进一步地，在抓取匹配成功的数据包时，可以有针对性地抓取，具体可以采用以下方式中的一种或组合，

方式1：拦截系统在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接时，发送的握手信号(Synchronous，SYN)数据包。

这样，可以在建立TCP连接的初期进行拦截，从而在初始阶段阻断攻击源IP与相应的云服务器之间的连接。

方式2：拦截系统在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接后，发送的传输信号数据包。

这样，可以在建立TCP连接之后，抓取正式传输的数据包，从而可以在任意一个阶段阻断攻击源IP与相应的云服务器之间的连接。

上述方式1和方式2可以结合使用，针对同一应用服务可以结合使用，针对不同应用服务也可以结合使用，结合方式可以视应用场景而灵活配置，在此不再赘述。

步骤206：拦截系统基于抓取的数据包，分别向攻击源IP和相应的至少一个云服务器发送伪造数据包，阻断攻击源IP和上述至少一个云服务器之间的连接。

实际应用中，拦截系统可以抓取的数据包，可以是攻击源IP分别发往不同云服务器的，本实施例中，以任意一个数据包为例(以下称为数据包X)，对拦截过程进行说明。

具体的，拦截系统可以先确定数据包X的当前序列号，基于数据包X对应的协议格式，确定数据包X的下一个数据包的第一序列号，以及确定数据包X的响应数据包的第二序列号，再基于第一序列号生成第一伪造数据包，以及基于第二序列号生成第二伪造数据包，再将第一伪造数据包发往相应的云服务器，以及将第二伪造数据包发往攻击源IP。

这样，可以通过第一伪造数据包和第二伪造数据包，分别通知云服务器和攻击源IP停止连接，即阻断两者之间的TCP连接，从而达到拦截目的。

例如，以抓取SYN数据包为例，假设某源IP与云服务器通过三次握手建立TCP连接，此时，需要先发送SYN数据包给云服务器，通过获取的镜像流量，拦截系统也可以收到这个SYN数据包。通过匹配失败消息，确定上述源IP是攻击源IP后，拦截系统决定执行阻断操作，即分析上述SYN数据包，计算出下一个数据包需要的序列号(如，Sequence Number)与响应数据包需要的序列号(如，Acknowledgement Number)，有了这两个序列号，拦截系统能分别伪造两个阻断(RST)数据包，一个发往云服务器，一个用于响应攻击源IP，从而能够成功阻断攻击源IP与相应的云服务器之间的连接，进而阻断此次密码暴力破解行为。

针对镜像流量中的每一个攻击源IP，拦截系统均可以采用相同方式进行阻断，从而可以在云计算环境中，成功拦截所有攻击源IP的密码暴力破解行为，保证云计算环境的安全性和可靠性。

基于上述实施例中，参阅图3所示，本申请实施例中，拦截系统至少包括获取模块30、解析模块31和阻断模块32，其中，

获取模块30，用于获得云服务器侧的镜像流量；

解析模块31，用于对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，以及基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；

阻断模块32，用于在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台云服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台云服务器之间的连接。

可选的，对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息时，解析模块31用于：

对获得的镜像流量进行解析，基于所述指定协议格式，在镜像流量中筛选出表征执行密码认证流程的传输消息。

可选的，在镜像流量中筛选出用于表征密码认证流程的传输消息时，解析模块31用于：

在镜像流量中筛选出用于表征触发密码认证的传输消息；

或/和

在镜像流量中筛选出用于表征密码认证失败的传输消息。

可选的，基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP时，解析模块31用于：

将获得的所有传输消息按照源IP进行分组；

筛选出符合以下规则的传输消息组：在设定时长内，传输消息组关联的云服务器的数目达到第一设定门限，且传输消息组内的传输消息总数目达到第二设定门限；

将筛选出的传输消息组对应的源IP判定为攻击源IP。

可选的，在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包时，阻断模块32用于：

确定攻击源IP对应的三元组信息，其中，所述三元组信息至少包含攻击IP的源IP地址、目的IP地址以及端口信息。

在获得的镜像流量中，将攻击源IP的三元组信息，与数据包的五元组信息进行匹配，抓取匹配成功的数据包，其中，一个数据包的五元组信息至少包含所述一个数据包的源IP地址、目的IP地址、源端口、目的端口和协议。

可选的，抓取匹配成功的数据包时，阻断模块32用于：

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接时，发送的握手信号SYN数据包；或/和，

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接后，发送的传输信号数据包。

可选的，基于抓取的任意一个数据包，分别向所述攻击源IP和相应的云服务器发送伪造数据包，阻断所述攻击源IP和所述相应的云服务器之间的连接时，阻断模块32用于：

确定所述任意一个数据包的当前序列号；

基于所述任意一个数据包的当前序列号以及所述任意一个数据包对应的协议格式，确定所述任意一个数据包的下一个数据包的第一序列号，以及确定所述任意一个数据包的响应数据包的第二序列号；

基于第一序列号生成第一伪造数据包，以及基于第二序列号生成第二伪造数据包；

将第一伪造数据包发往相应的云服务器，以及将第二伪造数据包发往攻击源IP，通知所述攻击源IP和相应的云服务器停止通信。

综上所述，本申请实施例中，在云计算环境中获取云服务器侧的镜像流量，并对镜像流量进行分析，通过符合指定协议格式的传输消息，识别出对应用服务存在密码暴力破解行为的攻击源IP，再通过伪造数据包对这种密码暴力破解行为进行阻断。这种阻断方式，可以基于镜像流量，实时采集到整个云计算中的攻击数据，并且和云服务器没有任何的耦合关系，因此，一旦确定攻击源IP，便可以对攻击源IP进行全网拦截(即匹配到相应的数据包，就可以开始实现全网拦截)，有效提高了密码破解行为的拦截效率以及拦截准确性。另一方面，由于伪造数据包符合相关协议规定，因此，攻击源IP并不能感知到拦截系统的存在，因而也就无从破解，进而有效保障了拦截系统的可靠性。另一方面，由于拦截系统独立于云服务器集群运行，因此，不会给给云服务器造成运行负荷。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (14)

1.一种密码破解行为的拦截方法，其特征在于，包括：

获得云服务器侧的镜像流量；

对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，以及基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；

在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台云服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台云服务器之间的连接。

2.如权利要求1所述的方法，其特征在于，对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，包括：

对获得的镜像流量进行解析，基于所述指定协议格式，在镜像流量中筛选出表征执行密码认证流程的传输消息。

3.如权利要求2所述的方法，其特征在于，在镜像流量中筛选出用于表征密码认证流程的传输消息，包括：

在镜像流量中筛选出用于表征触发密码认证的传输消息；

或/和

在镜像流量中筛选出用于表征密码认证失败的传输消息。

4.如权利要求2所述的方法，其特征在于，基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP，包括：

将获得的所有传输消息按照源IP进行分组；

筛选出符合以下规则的传输消息组：在设定时长内，传输消息组关联的云服务器的数目达到第一设定门限，且传输消息组内的传输消息总数目达到第二设定门限；

将筛选出的传输消息组对应的源IP判定为攻击源IP。

5.如权利要求1－4任一项所述的方法，其特征在于，在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，包括：

确定攻击源IP对应的三元组信息，其中，所述三元组信息至少包含攻击IP的源IP地址、目的IP地址以及端口信息；

在获得的镜像流量中，将攻击源IP的三元组信息，与数据包的五元组信息进行匹配，抓取匹配成功的数据包，其中，一个数据包的五元组信息至少包含所述一个数据包的源IP地址、目的IP地址、源端口、目的端口和协议。

6.如权利要求5所述的方法，其特征在于，抓取匹配成功的数据包，包括：

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接时，发送的握手信号SYN数据包；或/和，

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接后，发送的传输信号数据包。

7.如权利要求1－6任一项所述的方法，其特征在于，基于抓取的任意一个数据包，分别向所述攻击源IP和相应的云服务器发送伪造数据包，阻断所述攻击源IP和所述相应的云服务器之间的连接，包括：

确定所述任意一个数据包的当前序列号；

基于所述任意一个数据包的当前序列号以及所述任意一个数据包对应的协议格式，确定所述任意一个数据包的下一个数据包的第一序列号，以及确定所述任意一个数据包的响应数据包的第二序列号；

基于第一序列号生成第一伪造数据包，以及基于第二序列号生成第二伪造数据包；

将第一伪造数据包发往相应的云服务器，以及将第二伪造数据包发往攻击源IP，通知所述攻击源IP和相应的云服务器停止通信。

8.一种密码破解行为的拦截系统，其特征在于，包括：

获取模块，用于获得云服务器侧的镜像流量；

解析模块，用于对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息，以及基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；

阻断模块，用于在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台云服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台云服务器之间的连接。

9.如权利要求8所述的系统，其特征在于，对获得的镜像流量进行解析，筛选出符合指定协议格式的传输消息时，所述解析模块用于：

对获得的镜像流量进行解析，基于所述指定协议格式，在镜像流量中筛选出表征执行密码认证流程的传输消息。

10.如权利要求9所述的系统，其特征在于，在镜像流量中筛选出用于表征密码认证流程的传输消息时，所述解析模块用于：

在镜像流量中筛选出用于表征触发密码认证的传输消息；

或/和

在镜像流量中筛选出用于表征密码认证失败的传输消息。

11.如权利要求9所述的系统，其特征在于，基于获得的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP时，所述解析模块用于：

将获得的所有传输消息按照源IP进行分组；

筛选出符合以下规则的传输消息组：在设定时长内，传输消息组关联的云服务器的数目达到第一设定门限，且传输消息组内的传输消息总数目达到第二设定门限；

将筛选出的传输消息组对应的源IP判定为攻击源IP。

12.如权利要求8－11任一项所述的系统，其特征在于，在获得的镜像流量中，抓取所述攻击源IP发往云服务器侧的数据包时，所述阻断模块用于：

确定攻击源IP对应的三元组信息，其中，所述三元组信息至少包含攻击IP的源IP地址、目的IP地址以及端口信息；

在获得的镜像流量中，将攻击源IP的三元组信息，与数据包的五元组信息进行匹配，抓取匹配成功的数据包，其中，一个数据包的五元组信息至少包含所述一个数据包的源IP地址、目的IP地址、源端口、目的端口和协议。

13.如权利要求12所述的系统，其特征在于，抓取匹配成功的数据包时，所述阻断模块用于：

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接时，发送的握手信号SYN数据包；或/和，

在匹配成功的数据包中，抓取攻击源IP与云服务器建立TCP连接后，发送的传输信号数据包。

14.如权利要求8－13任一项所述的系统，其特征在于，基于抓取的任意一个数据包，分别向所述攻击源IP和相应的云服务器发送伪造数据包，阻断所述攻击源IP和所述相应的云服务器之间的连接时，所述阻断模块用于：

确定所述任意一个数据包的当前序列号；

基于所述任意一个数据包的当前序列号以及所述任意一个数据包对应的协议格式，确定所述任意一个数据包的下一个数据包的第一序列号，以及确定所述任意一个数据包的响应数据包的第二序列号；

基于第一序列号生成第一伪造数据包，以及基于第二序列号生成第二伪造数据包；

将第一伪造数据包发往相应的云服务器，以及将第二伪造数据包发往攻击源IP，通知所述攻击源IP和相应的云服务器停止通信。