CN108600209A - 一种信息处理方法及装置 - Google Patents
一种信息处理方法及装置 Download PDFInfo
- Publication number
- CN108600209A CN108600209A CN201810338724.5A CN201810338724A CN108600209A CN 108600209 A CN108600209 A CN 108600209A CN 201810338724 A CN201810338724 A CN 201810338724A CN 108600209 A CN108600209 A CN 108600209A
- Authority
- CN
- China
- Prior art keywords
- message
- log
- server
- revealed
- source address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种信息处理方法及装置。所述方法包括:在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自第一源地址的各个登录报文时,向第一源地址发送针对每个登录报文的验证失败信息;根据各登录报文中的登录信息构造对应的认证报文,并将构造的认证报文发送至第一服务器;接收第一服务器针对认证报文中的登录信息返回的验证结果;根据验证结果,将验证成功的登录信息确定为已泄露登录信息;其中,登录报文包括用于登录第一服务器的登录信息。应用本申请实施例提供的方案,能够提高信息安全性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种信息处理方法及装置。
背景技术
随着计算机与网络的普及,信息技术正在改变着、影响着人类的生活方式。各种网络应用层出不穷,安全威胁和网络滥用也与日俱增,给网站管理者提出了新要求。用户名和密码这些登录信息作为登录各个网站服务器的钥匙,更是受到严格保护,一旦泄露后果不堪设想。
攻击者通过收集互联网中已泄露的用户名和密码,批量登录网站服务器,以期得到一系列可以登录该网站服务器的用户名和密码。很多用户在不同网站使用相同的用户名和密码,因此攻击者可以通过获取用户在A网站的用户名和密码从而尝试登录B网址,这就是撞库攻击。
网络设备可以通过深层数据包检测(Deep Packet Inspection,DPI)技术对发送至网站服务器的登录报文进行撞库规则匹配,进而检测出撞库攻击。例如,可以根据单位时间内接收的登录报文的数量或单位时间内的登录失败次数是否大于阈值,来判断是否存在撞库攻击。
在检测到撞库攻击时,通常只是阻断本次攻击,并阻止攻击者继续攻击网站服务器。这样处理能够防止该攻击者对该网站服务器的攻击。但是,对于用户来说,已经泄露的登录信息仍然可被攻击者的再次利用,以登录其他网站服务器,因此信息安全性不高。
发明内容
本申请实施例的目的在于提供了一种信息处理方法及装置,以提高信息安全性。
为了达到上述目的,本申请实施例提供了一种信息处理方法,该方法应用于网络设备,所述方法包括:
在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自所述第一源地址的各个登录报文时,向所述第一源地址发送针对每个登录报文的验证失败信息;其中,所述登录报文包括用于登录第一服务器的登录信息;
根据各登录报文中的登录信息构造对应的认证报文,并将构造的认证报文发送至所述第一服务器;
接收所述第一服务器针对认证报文中的登录信息返回的验证结果;
根据所述验证结果,将验证成功的登录信息确定为已泄露登录信息。
本申请实施例提供了一种信息处理装置,该装置应用于网络设备,所述装置包括:
发送模块,用于在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自所述第一源地址的各个登录报文时,向所述第一源地址发送针对每个登录报文的验证失败信息;其中,所述登录报文包括用于登录第一服务器的登录信息;
认证模块,用于根据各登录报文中的登录信息构造对应的认证报文;
所述发送模块,还用于将构造的认证报文发送至所述第一服务器;
接收模块,用于接收所述第一服务器针对认证报文中的登录信息返回的验证结果;
确定模块,用于根据所述验证结果,将验证成功的登录信息确定为已泄露登录信息。
本申请实施例提供了一种网络设备,该网络设备包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现本申请实施例提供的信息处理方法。该方法包括:
在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自所述第一源地址的各个登录报文时,向所述第一源地址发送针对每个登录报文的验证失败信息;其中,所述登录报文包括用于登录第一服务器的登录信息;
根据各登录报文中的登录信息构造对应的认证报文,并将构造的认证报文发送至所述第一服务器;
接收所述第一服务器针对认证报文中的登录信息返回的验证结果;
根据所述验证结果,将验证成功的登录信息确定为已泄露登录信息。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时实现本申请实施例提供的信息处理方法。该方法包括:
在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自所述第一源地址的各个登录报文时,向所述第一源地址发送针对每个登录报文的验证失败信息;其中,所述登录报文包括用于登录第一服务器的登录信息;
根据各登录报文中的登录信息构造对应的认证报文,并将构造的认证报文发送至所述第一服务器;
接收所述第一服务器针对认证报文中的登录信息返回的验证结果;
根据所述验证结果,将验证成功的登录信息确定为已泄露登录信息。
本申请实施例提供的信息处理方法及装置,可以在检测到攻击者利用第一源地址向第一服务器发起的撞库攻击之后,继续接收来自该第一源地址的各个登录报文,并向第一源地址发送验证失败信息,这样能够诱捕攻击者继续发送登录信息,收集攻击者掌握的更多登录信息。并且,网络设备可以根据登录信息在第一服务器中的验证结果,将验证成功的登录信息确定为已泄露登录信息。确定了已泄露登录信息,可以采用多种措施有针对性地防止已泄露登录信息被再次利用,因此本申请实施例能够提高信息的安全性。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的信息处理方法的一种流程示意图;
图2为本申请实施例提供的信息处理方法的另一种流程示意图;
图3为本申请实施例提供的一种应用场景示意图;
图4为本申请实施例提供的信息处理装置的一种结构示意图;
图5为本申请实施例提供的网络设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了提高信息安全性,本申请实施例提供了一种信息处理方法及装置。下面通过具体实施例,对本申请进行详细说明。
图1为本申请实施例提供的信息处理方法的一种流程示意图。本实施例应用于网络设备。该网络设备可以为路由器或交换机等。本实施例的包括如下步骤S101~步骤S104。
步骤S101:在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自第一源地址的各个登录报文时,向第一源地址发送针对每个登录报文的验证失败信息。
其中,上述登录报文包括用于登录第一服务器的登录信息,登录信息包括用户名和密码。第一服务器可以为一个或多个。第一服务器可以理解为网站服务器。第一源地址可以为互联网协议(Internet Protocol,IP)地址。
预设撞库规则可以包括:在预设时长内接收的来自第一源地址的用于登录第一服务器的登录报文的数量大于预设数量阈值;和/或,在预设时长内接收的来自第一源地址的用于登录第一服务器的登录报文中的登录失败次数大于预设次数阈值。
例如,在10分钟内接收到来自地址1.1.1.1的200条登录报文,如果预设数量阈值为50,则可以认为来自地址1.1.1.1的登录报文满足预设撞库规则;如果这200条登录报文中有180条登录报文登录失败,即登录失败次数为180,当预设次数阈值为50时,则可认为来自地址1.1.1.1的登录报文满足预设撞库规则。
上述预设撞库规则可以预先从关联的云端服务器中获取。上述预设时长、预设数量阈值和预设次数阈值均可以预先根据经验值确定。
本实施例中,网络设备在接收到各个报文后,可以将携带指定特征的报文确定为登录报文。例如,指定特征可以包括login、userid、password等。
在确定来自第一源地址的登录报文满足预设撞库规则之后,认为检测到有设备利用第一源地址向第一服务器发起撞库攻击。在检测到撞库攻击之后,本实施例并不阻断攻击者的撞库攻击,而是继续接收到来自第一源地址的各个登录报文,并向第一源地址发送针对每个登录报文的验证失败信息。攻击者在接收到验证失败信息后,还是会继续向第一服务器发送登录报文。这样可以诱捕攻击者继续发送登录报文,从而网络设备可以收集到攻击者掌握的更多登录信息。
其中,验证失败信息可以为表示登录报文的登录信息在第一服务器中验证失败的信息。
本实施例中,在确定来自第一源地址的登录报文满足预设撞库规则之后,若网络设备接收到来自第一源地址的各个登录报文,网络设备不再将各个登录报文转发至第一服务器。
在接收到来自第一源地址的各个登录报文时,还可以提取各个登录报文携带的登录信息,并存储各个登录信息。
步骤S102:根据各登录报文中的登录信息构造对应的认证报文,并将构造的认证报文发送至第一服务器。
在一可选的实施例中,构造对应的认证报文时,可以将各个登录报文中的第一源地址均替换为网络设备的地址,将替换后的各个登录报文作为各个认证报文。
在另一可选的实施例中,也可以根据已知的用于认证的报文格式,重新构造携带各个登录报文中的登录信息的认证报文,此时,一个认证报文中可以携带一条登录信息。
在又一可选的实施例中,可以根据已知的用于认证的报文格式,在一个认证报文中携带至少一条登录信息,即一个认证报文可以携带多条登录信息或所有登录信息,以减少认证报文的数量,节约网络资源。
第一服务器可以接收网络设备发送的各个认证报文,对各个认证报文中的登录信息进行验证,并将验证结果发送至网络设备。例如,第一服务器可以向网络设备发送针对各认证报文的应答报文,该应答报文携带验证结果。验证结果可以包括验证成功或者验证失败等。
本实施例中,网络设备在接收到攻击者的登录报文后,根据各个登录报文中的登录信息构造对应的认证报文,并向第一服务器进行验证,以确定哪些登录信息是第一服务器中用户的真实登录信息。
步骤S103:接收第一服务器针对认证报文中的登录信息返回的验证结果。
上述验证结果可以携带在第一服务器向网络设备发送的针对认证报文的应答报文中。
步骤S104:根据上述验证结果,将验证成功的登录信息确定为已泄露登录信息。
验证结果可以包括验证成功的用户名或者验证失败的用户名,可以将存储的登录信息中验证成功的用户名对应的登录信息确定为已泄露登录信息。
其中,已泄露登录信息可以理解为上述登录信息中能在第一服务器中验证成功的登录信息。已泄露登录信息可以为多条登录信息。
在确定已泄露登录信息之后,可以采取多种措施有针对性地防止已泄露的数据被再次利用。例如,可以将已泄露登录信息通知相关用户,也可以通知相应的第一服务器等。
由上述内容可知,本实施例可以在检测到攻击者利用第一源地址向第一服务器发起的撞库攻击之后,继续接收来自该第一源地址的各个登录报文,并向第一源地址发送验证失败信息,这样能够诱捕攻击者继续发送登录信息,收集攻击者掌握的更多登录信息。并且,网络设备可以根据登录信息在第一服务器中的验证结果,将验证成功的登录信息确定为已泄露登录信息。确定了已泄露登录信息,可以采用多种措施有针对性地防止已泄露登录信息被再次利用,因此本实施例能够提高信息的安全性。
图2为本申请实施例提供的信息处理方法的另一种流程示意图。该实施例应用于网络设备,网络设备可以为路由器或交换机等。本实施例包括以下步骤S201~步骤S206。
步骤S201:在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自第一源地址的各个登录报文时,向第一源地址发送针对每个登录报文的验证失败信息。其中,上述登录报文包括用于登录第一服务器的登录信息。
步骤S202:根据各登录报文中的登录信息分别构造对应的认证报文,并将构造的认证报文发送至第一服务器。
在一可选的实施例中,构造对应的认证报文时,可以将各个登录报文中的第一源地址均替换为网络设备的地址,将替换后的各个登录报文作为各个认证报文。
在另一可选的实施例中,也可以根据已知的用于认证的报文格式,重新构造携带各个登录报文中的登录信息的认证报文,此时,一个认证报文中可以携带一条登录信息。
第一服务器可以接收网络设备发送的各个认证报文,对各个认证报文中的登录信息进行验证,并将验证结果发送至网络设备。例如,第一服务器可以向网络设备发送针对各认证报文的应答报文,该应答报文携带验证结果。验证结果可以包括验证成功或者验证失败等。
本实施例中,网络设备在接收到攻击者的登录报文后,根据各个登录报文中的登录信息构造对应的认证报文,并向第一服务器进行验证,以确定哪些登录信息是第一服务器中用户的真实登录信息。
步骤S203:接收第一服务器针对各认证报文中的登录信息返回的验证结果。
上述验证结果可以携带在第一服务器向网络设备发送的针对各认证报文的应答报文中。
步骤S204:根据上述验证结果,将验证成功的登录信息确定为已泄露登录信息。
上述步骤S201、步骤S204分别与图1所示实施例中的步骤S101、步骤S104相同,具体说明可以参见图1所示实施例,此处不再赘述。
步骤S205:当检测到来自第二源地址的登录信息在第一服务器中验证成功时,根据上述已泄露登录信息,判断来自第二源地址的登录信息是否为已泄露信息,如果为已泄露信息,则执行步骤S206。如果不为已泄露数据,可以不予以处理。
其中,第二源地址可以不同于第一源地址。
检测来自第二源地址的登录信息在第一服务器中是否验证成功,具体可以为:接收来自第二源地址的登录报文,该登录报文携带用于登录第一服务器的登录信息;将来自第二源地址的登录报文转发至第一服务器,接收第一服务器发送的针对上述来自第二源地址的登录报文的应答报文。该应答报文携带验证结果。当验证结果表明上述登录信息已验证成功时,可以认为检测到来自第二源地址的登录信息在第一服务器中验证成功。
本实施例中,来自第二源地址的登录信息在第一服务器中验证成功,可以认为本次登录为正常用户登录。
根据上述已泄露登录信息,判断来自第二源地址的登录信息是否为已泄露信息时,可以直接判断上述已泄露登录信息中是否存在来自第二源地址的登录信息,如果存在,则判定来自第二源地址的登录信息为已泄露信息。
步骤S206:向第二源地址发送表示登录信息已泄露的告警信息。
上述告警信息还可以用于提醒用户修改登录信息,进而从信息源头上减少已泄露登录信息被再次利用的概率。例如,告警信息可以为“您的用户名和密码已泄露,请修改密码”之类的提示。
综上,本实施例可以在确定已泄露登录信息后,当检测到已泄露登录信息对应的用户正常登录时,向用户发送告警信息,以提示用户登录信息已经泄露。这样,用户可以修改登录信息,从用户侧修改掉已泄露登录信息,尽可能避免已泄露登录信息被再次利用,能够提高信息安全性。
在本申请的另一实施例中,基于图2所示实施例,在步骤S205之前,还可以包括以下步骤1a~步骤2a。
步骤1a:将已泄露登录信息发送至第二服务器。
其中,第二服务器可以为预先与网络设备关联的服务器。第二服务器可以为云端服务器。第二服务器可以接收网络设备发送的已泄露登录信息。
由于上述网络设备中确定的已泄露登录信息中登录信息的数量仍旧比较有限,为了得到更多的已泄露登录信息,可以执行本步骤。
当已泄露登录信息中存在明文的密码时,还可以将该明文密码转换为密文密码,将转换后的已泄露登录信息发送至第二服务器。这样能够尽可能提高用户数据的隐私性。在将该明文密码转换为密文密码时,可以将明文密码的哈希(hash)值作为与该明文密码对应的密文密码。
步骤2a:接收第二服务器发送的已泄露信息汇总。
其中,已泄露信息汇总为第二服务器将各个网络设备发送的已泄露登录信息进行汇总后得到。已泄露信息汇总包括各个网络设备确定的已泄露登录信息。第二服务器可以与多个网络设备进行关联。可选的,已泄露信息汇总可以为第二服务器在预设时间段内接收到的所有的已泄露登录信息。
上述预设时间段可以为以当前时刻为开始时刻或结束时刻的时间段,当前时刻为接收到上述网络设备发送的登录信息时的时刻。预设时间段的时间长度可以是固定时长或可变时长。
第二服务器可以在接收到各个网络设备发送的已泄露登录信息之后,对各个网络设备发送的已泄露登录信息进行汇总,得到已泄露信息汇总,并将已泄露信息汇总发送至各个网络设备。
本步骤具体可以为,接收第二服务器发送的经过去重操作后的已泄露信息汇总。去重操作可以理解为去除重复的操作。
第二服务器对各个网络设备发送的已泄露登录信息进行汇总时,可以对各个网络设备发送的已泄露登录信息进行去重操作,将去重后的已泄露登录信息汇总为已泄露信息汇总。
本实施例中,步骤S205具体可以为,判断已泄露信息汇总中是否存在来自第二源地址的登录信息,如果存在,则确定来自第二源地址的登录信息为已泄露信息。
综上,本实施例可以判断已泄露信息汇总中是否存在来自第二源地址的登录信息。由于已泄露信息汇总是对多个网络设备中的已泄露登录信息进行汇总后得到,因此已泄露信息汇总中的信息更丰富,在判断已泄露信息汇总中是否存在来自第二源地址的登录信息时,能够鉴别出更多的已泄露数据。
在本申请的另一实施例中,基于图2所示实施例,步骤S206,向第二源地址发送表示登录信息已泄露的告警信息时可以包括以下步骤1b和步骤2b:
步骤1b:获取第一服务器发送至第二源地址的页面信息。
其中,上述页面信息可以理解为网页信息。
当来自第二源地址的登录信息在第一服务器上验证成功时,第一服务器会向第二源地址返回登录信息验证成功的应答报文,或者返回针对来自第二源地址的页面请求报文的页面信息。
步骤2b:在上述页面信息中添加表示登录信息已泄露的告警信息,将添加告警信息后的页面信息发送至第二源地址。
综上,本实施例可以在页面信息中添加告警信息,将添加告警信息后的页面信息发送至第二源地址,无需额外发送携带告警信息的报文,能够提高网络设备的处理效率。
在本申请的另一实施例中,上述验证失败信息可以包含针对第一服务器的验证失败页面信息。本实施例可以采用以下方式获取验证失败页面信息:
生成任一登录信息,将生成的任一登录信息发送至第一服务器进行验证,接收第一服务器在对任一登录信息验证失败时发送的验证失败页面信息。
本实施例中,生成任一登录信息时,例如可以在预设字符范围和/或预设数字范围内随机选择预设数量个元素作为用户名和密码。
当任一登录信息在第一服务器中验证成功时,可以重新生成任一登录信息,继续将生成的任一登录信息发送至第一服务器进行验证,直至验证失败,接收到验证失败页面信息。
综上,本实施例可以更准确地获取第一服务器的验证失败页面信息。将该验证失败页面信息发送至第一源地址对应的设备时,第一源地址对应的设备不容易检测到网络设备一侧已经确定该设备为攻击者,因此隐蔽性更好。
下面结合具体实例对本申请再做详细说明。
图3为本申请实施例提供的一种具体应用场景示意图。图3中包括内网中的第一服务器和网络设备,该网络设备与第二服务器连接。用户设备可以通过网络设备访问第一服务器,具体的,网络设备作为第一服务器的代理服务器,将用户设备发送的登录报文转发给第一服务器登录验证,并转发第一服务器返回的验证结果:若验证结果表明该登录报文中的登录信息验证成功,则该用户设备可以访问第一服务器,否则,用户设备被第一服务器拒绝访问。在图3中内网之外的区域为外网区域。内网可以为某个企业或组织的内网。
网络设备在预设时长内接收到来自IP地址1.1.1.1的登录报文大于预设数量阈值时,可以认为1.1.1.1对应的设备为攻击者。此时可以继续接收来自该地址1.1.1.1的登录报文,该登录报文携带用于登录第一服务器。网络设备可以针对每个登录报文向该攻击者发送验证失败信息,诱捕攻击者继续发送登录报文。例如,网络设备共接收到来自IP地址1.1.1.1的200个登录报文,对应存在200条登录信息。
网络设备可以将来自1.1.1.1的200个登录报文中的源地址均替换为网络设备的地址,将替换后的登录报文发送至第一服务器,并可以接收到第一服务器反馈的验证结果。当该验证结果表明该登录报文中的登录信息验证成功时,可以将该登录信息确定为已泄露登录信息。例如,上述200条登录信息中验证成功的登录信息有180条,则这180条登录信息为已泄露登录信息。
网络设备可以将这180条已泄露登录信息发送至第二服务器。第二服务器还可以接收其他网络设备(图中未示出)发送的已泄露登录信息,并将一定时间段内各个网络设备发送的已泄露登录信息进行汇总,得到已泄露信息汇总。例如,该已泄露信息汇总中包括500条已泄露登录信息。第二服务器将已泄露信息汇总发送至网络设备。
网络设备在某一时刻可以接收到来自IP地址2.2.2.2的一个登录报文a,将这个登录报文a转发至第一服务器,如果接收到来自第一服务器的针对该登录报文a反馈的验证成功的结果时,可以在上述已泄露信息汇总中查找是否存在该登录报文a携带的登录信息,如果存在,则向IP地址2.2.2.2发送告警信息,提示用户登录信息已经泄露,请修改密码。
图4为本申请实施例提供的信息处理装置的一种结构示意图。本实施例与图1和图2所示方法实施例相对应。本实施例应用于网络设备,该网络设备可以为路由器或交换机等。本实施例包括以下模块:
发送模块401,用于在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自第一源地址的各个登录报文时,向第一源地址发送针对每个登录报文的验证失败信息;其中,所述登录报文包括用于登录第一服务器的登录信息;
认证模块402,用于根据各登录报文中的登录信息构造对应的认证报文;
发送模块401,还用于将构造的认证报文发送至所述第一服务器;
接收模块403,用于接收第一服务器针对认证报文中的登录信息返回的验证结果;
确定模块404,用于根据上述验证结果,将验证成功的登录信息确定为已泄露登录信息。
在申请的另一实施例中,图4所述实施例中还可以包括以下模块:
判断模块(图中未示出),用于当检测到来自第二源地址的登录信息在第一服务器中验证成功时,根据已泄露登录信息,判断来自第二源地址的登录信息是否为已泄露信息;
发送模块401,还用于当来自第二源地址的登录信息为已泄露信息时,向第二源地址发送表示登录信息已泄露的告警信息。
在本申请的另一实施例中,图4所述实施例中的发送模块401,还用于将所述已泄露登录信息发送至第二服务器;
接收模块403,还用于接收所述第二服务器发送的已泄露信息汇总;所述已泄露信息汇总为所述第二服务器将各个网络设备发送的已泄露登录信息进行汇总后得到;
判断模块,具体用于判断所述已泄露信息汇总中是否存在所述来自第二源地址的登录信息,如果存在,则确定所述来自第二源地址的登录信息为已泄露信息。
在本申请的另一实施例中,图4所述实施例中的发送模块401,具体用于:
获取所述第一服务器发送至所述第二源地址的页面信息;
在所述页面信息中添加表示登录信息已泄露的告警信息,将添加告警信息的页面信息发送至所述第二源地址。
在本申请的另一实施例中,图4所述实施例中,验证失败信息包含针对第一服务器的验证失败页面信息;本实施例的装置还包括:
获取模块(图中未示出),用于采用以下操作获取所述验证失败页面信息:
生成任一登录信息,将生成的所述任一登录信息发送至所述服务器进行验证;
接收所述第一服务器在对所述任一登录信息验证失败时发送的验证失败页面信息。
由于上述装置实施例是基于方法实施例得到的,与该方法具有相同的技术效果,因此装置实施例的技术效果在此不再赘述。对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
图5为本申请实施例提供的网络设备的一种结构示意图。该网络设备包括:处理器501和机器可读存储介质502,机器可读存储介质502存储有能够被处理器501执行的机器可执行指令,处理器501被机器可执行指令促使:实现本申请实施例提供的信息处理方法。该方法包括:
在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自所述第一源地址的各个登录报文时,向所述第一源地址发送针对每个登录报文的验证失败信息;其中,所述登录报文包括用于登录第一服务器的登录信息;
根据各登录报文中的登录信息构造对应的认证报文,并将构造的认证报文发送至所述第一服务器;
接收所述第一服务器针对认证报文中的登录信息返回的验证结果;
根据所述验证结果,将验证成功的登录信息确定为已泄露登录信息。
上述处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
综上,本实施例可以在检测到攻击者利用第一源地址向第一服务器发起的撞库攻击之后,继续接收来自该第一源地址的各个登录报文,并向第一源地址发送验证失败信息,这样能够诱捕攻击者继续发送登录信息,收集攻击者掌握的更多登录信息。并且,网络设备可以根据登录信息在第一服务器中的验证结果,将验证成功的登录信息确定为已泄露登录信息。确定了已泄露登录信息,可以采用多种措施有针对性地防止已泄露登录信息被再次利用,因此本实施例能够提高信息的安全性。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时实现本申请实施例提供的信息处理方法。该方法包括:
在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自所述第一源地址的各个登录报文时,向所述第一源地址发送针对每个登录报文的验证失败信息;其中,所述登录报文包括用于登录第一服务器的登录信息;
根据各登录报文中的登录信息构造对应的认证报文,并将构造的认证报文发送至所述第一服务器;
接收所述第一服务器针对认证报文中的登录信息返回的验证结果;
根据所述验证结果,将验证成功的登录信息确定为已泄露登录信息。
综上,本实施例可以在检测到攻击者利用第一源地址向第一服务器发起的撞库攻击之后,继续接收来自该第一源地址的各个登录报文,并向第一源地址发送验证失败信息,这样能够诱捕攻击者继续发送登录信息,收集攻击者掌握的更多登录信息。并且,网络设备可以根据登录信息在第一服务器中的验证结果,将验证成功的登录信息确定为已泄露登录信息。确定了已泄露登录信息,可以采用多种措施有针对性地防止已泄露登录信息被再次利用,因此本实施例能够提高信息的安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (12)
1.一种信息处理方法,其特征在于,应用于网络设备,所述方法包括:
在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自所述第一源地址的各个登录报文时,向所述第一源地址发送针对每个登录报文的验证失败信息;其中,所述登录报文包括用于登录第一服务器的登录信息;
根据各登录报文中的登录信息构造对应的认证报文,并将构造的认证报文发送至所述第一服务器;
接收所述第一服务器针对认证报文中的登录信息返回的验证结果;
根据所述验证结果,将验证成功的登录信息确定为已泄露登录信息。
2.根据权利要求1所述的方法,其特征在于,还包括:
当检测到来自第二源地址的登录信息在所述第一服务器中验证成功时,根据所述已泄露登录信息,判断所述来自第二源地址的登录信息是否为已泄露信息;
如果为已泄露信息,则向所述第二源地址发送表示登录信息已泄露的告警信息。
3.根据权利要求2所述的方法,其特征在于,还包括:
将所述已泄露登录信息发送至第二服务器;以及,接收所述第二服务器发送的已泄露信息汇总;所述已泄露信息汇总为所述第二服务器将各个网络设备发送的已泄露登录信息进行汇总后得到;
则,所述根据所述已泄露登录信息,判断所述来自第二源地址的登录信息是否为已泄露信息的步骤,包括:
判断所述已泄露信息汇总中是否存在所述来自第二源地址的登录信息,如果存在,则确定所述来自第二源地址的登录信息为已泄露信息。
4.根据权利要求2所述的方法,其特征在于,所述向所述第二源地址发送表示登录信息已泄露的告警信息的步骤,包括:
获取所述第一服务器发送至所述第二源地址的页面信息;
在所述页面信息中添加表示登录信息已泄露的告警信息,将添加告警信息后的页面信息发送至所述第二源地址。
5.根据权利要求1所述的方法,其特征在于,所述验证失败信息包含针对所述第一服务器的验证失败页面信息;则采用以下方式获取所述验证失败页面信息:
生成任一登录信息,将生成的所述任一登录信息发送至所述第一服务器进行验证;
接收所述第一服务器在对所述任一登录信息验证失败时发送的验证失败页面信息。
6.一种信息处理装置,其特征在于,应用于网络设备,所述装置包括:
发送模块,用于在确定来自第一源地址的登录报文满足预设撞库规则之后,在接收到来自所述第一源地址的各个登录报文时,向所述第一源地址发送针对每个登录报文的验证失败信息;其中,所述登录报文包括用于登录第一服务器的登录信息;
认证模块,用于根据各登录报文中的登录信息构造对应的认证报文;
所述发送模块,还用于将构造的认证报文发送至所述第一服务器;
接收模块,用于接收所述第一服务器针对认证报文中的登录信息返回的验证结果;
确定模块,用于根据所述验证结果,将验证成功的登录信息确定为已泄露登录信息。
7.根据权利要求6所述的装置,其特征在于,还包括:
判断模块,用于当检测到来自第二源地址的登录信息在所述第一服务器中验证成功时,根据所述已泄露登录信息,判断所述来自第二源地址的登录信息是否为已泄露信息;
所述发送模块,还用于当所述来自第二源地址的登录信息为已泄露信息时,向所述第二源地址发送表示登录信息已泄露的告警信息。
8.根据权利要求7所述的装置,其特征在于,
所述发送模块,还用于将所述已泄露登录信息发送至第二服务器;
所述接收模块,还用于接收所述第二服务器发送的已泄露信息汇总;所述已泄露信息汇总为所述第二服务器将各个网络设备发送的已泄露登录信息进行汇总后得到;
所述判断模块,具体用于判断所述已泄露信息汇总中是否存在所述来自第二源地址的登录信息,如果存在,则确定所述来自第二源地址的登录信息为已泄露信息。
9.根据权利要求7所述的装置,其特征在于,所述发送模块,具体用于:
获取所述第一服务器发送至所述第二源地址的页面信息;
在所述页面信息中添加表示登录信息已泄露的告警信息,将添加告警信息的页面信息发送至所述第二源地址。
10.根据权利要求6所述的装置,其特征在于,所述验证失败信息包含针对所述第一服务器的验证失败页面信息;所述装置还包括:
获取模块,用于采用以下操作获取所述验证失败页面信息:
生成任一登录信息,将生成的所述任一登录信息发送至所述第一服务器进行验证;
接收所述第一服务器在对所述任一登录信息验证失败时发送的验证失败页面信息。
11.一种网络设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-5任一所述的方法步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810338724.5A CN108600209B (zh) | 2018-04-16 | 2018-04-16 | 一种信息处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810338724.5A CN108600209B (zh) | 2018-04-16 | 2018-04-16 | 一种信息处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108600209A true CN108600209A (zh) | 2018-09-28 |
CN108600209B CN108600209B (zh) | 2021-06-22 |
Family
ID=63622697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810338724.5A Active CN108600209B (zh) | 2018-04-16 | 2018-04-16 | 一种信息处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108600209B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112751851A (zh) * | 2020-12-29 | 2021-05-04 | 成都科来网络技术有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150025153A1 (en) * | 2012-01-20 | 2015-01-22 | The Board Of Trustees Of The Leland Stanford Junior University | Small Molecule CMKLR1 Antagonists in Demyelinating Disease |
CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
CN105430090A (zh) * | 2015-12-11 | 2016-03-23 | 小米科技有限责任公司 | 信息推送方法及装置 |
CN105577670A (zh) * | 2015-12-29 | 2016-05-11 | 南威软件股份有限公司 | 一种撞库攻击的告警系统 |
CN105763547A (zh) * | 2016-02-04 | 2016-07-13 | 中国联合网络通信集团有限公司 | 第三方授权方法和第三方授权系统 |
CN105844140A (zh) * | 2016-03-21 | 2016-08-10 | 国家电网公司 | 一种可识别验证码的网站登录暴力破解方法及系统 |
CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
CN106453352A (zh) * | 2016-10-25 | 2017-02-22 | 电子科技大学 | 一种单系统多平台身份验证方法 |
CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
CN106603555A (zh) * | 2016-12-29 | 2017-04-26 | 杭州迪普科技股份有限公司 | 一种防护撞库攻击的方法及装置 |
CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
CN107454037A (zh) * | 2016-05-30 | 2017-12-08 | 深圳市深信服电子科技有限公司 | 网络攻击的识别方法和系统 |
CN107493280A (zh) * | 2017-08-15 | 2017-12-19 | 中国联合网络通信集团有限公司 | 用户认证的方法、智能网关及认证服务器 |
-
2018
- 2018-04-16 CN CN201810338724.5A patent/CN108600209B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150025153A1 (en) * | 2012-01-20 | 2015-01-22 | The Board Of Trustees Of The Leland Stanford Junior University | Small Molecule CMKLR1 Antagonists in Demyelinating Disease |
CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
CN105430090A (zh) * | 2015-12-11 | 2016-03-23 | 小米科技有限责任公司 | 信息推送方法及装置 |
CN105577670A (zh) * | 2015-12-29 | 2016-05-11 | 南威软件股份有限公司 | 一种撞库攻击的告警系统 |
CN105763547A (zh) * | 2016-02-04 | 2016-07-13 | 中国联合网络通信集团有限公司 | 第三方授权方法和第三方授权系统 |
CN105844140A (zh) * | 2016-03-21 | 2016-08-10 | 国家电网公司 | 一种可识别验证码的网站登录暴力破解方法及系统 |
CN107454037A (zh) * | 2016-05-30 | 2017-12-08 | 深圳市深信服电子科技有限公司 | 网络攻击的识别方法和系统 |
CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
CN106453352A (zh) * | 2016-10-25 | 2017-02-22 | 电子科技大学 | 一种单系统多平台身份验证方法 |
CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
CN106603555A (zh) * | 2016-12-29 | 2017-04-26 | 杭州迪普科技股份有限公司 | 一种防护撞库攻击的方法及装置 |
CN107294953A (zh) * | 2017-05-18 | 2017-10-24 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
CN107493280A (zh) * | 2017-08-15 | 2017-12-19 | 中国联合网络通信集团有限公司 | 用户认证的方法、智能网关及认证服务器 |
Non-Patent Citations (4)
Title |
---|
BONELEE: "《暴力破解字典列表》", 《HTTPS://WWW.CNBLOGS.COM/BONELEE/P/9323488.HTML》 * |
SYWOK: "《什么叫字典破解?》", 《HTTPS://ZHIDAO.BAIDU.COM/QUESTION/2692282.HTML》 * |
李沁蕾,朱丹,王贵智: "《Web日志中安全风险的大数据分析》", 《信息安全》 * |
章思宇,黄保青,姜开达: "《统一身份认证日志集中管理与账号风险检测》", 《东南大学学报》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112751851A (zh) * | 2020-12-29 | 2021-05-04 | 成都科来网络技术有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
CN112751851B (zh) * | 2020-12-29 | 2023-05-23 | 科来网络技术股份有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108600209B (zh) | 2021-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Alaca et al. | Device fingerprinting for augmenting web authentication: classification and analysis of methods | |
CN108353079B (zh) | 对针对基于云的应用的网络威胁的检测 | |
US8392963B2 (en) | Techniques for tracking actual users in web application security systems | |
US9462009B1 (en) | Detecting risky domains | |
Shin et al. | Conficker and beyond: a large-scale empirical study | |
CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
Cambiaso et al. | Slow DoS attacks: definition and categorisation | |
CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
Afek et al. | {NXNSAttack}: Recursive {DNS} Inefficiencies and Vulnerabilities | |
CN109951500A (zh) | 网络攻击检测方法及装置 | |
KR100732689B1 (ko) | 웹 보안방법 및 그 장치 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
CN105939326A (zh) | 处理报文的方法及装置 | |
Kondracki et al. | Catching transparent phish: Analyzing and detecting mitm phishing toolkits | |
Palmieri et al. | Automatic security assessment for next generation wireless mobile networks | |
CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
CN106209907B (zh) | 一种检测恶意攻击的方法及装置 | |
Sornalakshmi | Detection of DoS attack and zero day threat with SIEM | |
CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
CN108566394A (zh) | 一种信息处理方法及装置 | |
Kondracki et al. | The droid is in the details: Environment-aware evasion of android sandboxes | |
Atighetchi et al. | Attribute-based prevention of phishing attacks | |
CN108600209A (zh) | 一种信息处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |