CN110336824B - 一种弱口令检测方法、检测控制设备及弱口令检测系统 - Google Patents
一种弱口令检测方法、检测控制设备及弱口令检测系统 Download PDFInfo
- Publication number
- CN110336824B CN110336824B CN201910620405.8A CN201910620405A CN110336824B CN 110336824 B CN110336824 B CN 110336824B CN 201910620405 A CN201910620405 A CN 201910620405A CN 110336824 B CN110336824 B CN 110336824B
- Authority
- CN
- China
- Prior art keywords
- weak password
- detection
- data
- weak
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种弱口令检测方法、检测控制设备及弱口令检测系统,可以通过检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址,检测控制设备根据预设用户名词典和预设弱口令词典确定每一个IP地址对应的待检测数据,检测控制设备对每个服务提供设备:根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,检测控制设备将各数据块发送至弱口令检测设备中进行弱口令测试,使得弱口令检测设备在进行弱口令测试的过程中,各IP地址对应的服务器被远程连接的数量不会大于最大远程连接数,从而避免了在分布式弱口令检测的过程中,服务器可能出现的由于最大连接数被超过而触发登录安全机制的问题。
Description
技术领域
本发明涉及计算机安全领域,尤其涉及一种弱口令检测方法、检测控制设备及弱口令检测系统。
背景技术
科技型企业的许多业务需要在服务器上进行,员工通常需要在某个业务系统的登录页面上先输入用户名和登录口令后,才可以进入相应的操作页面以处理业务。登录口令是科技型企业防范黑客入侵以安全运营信息业务的关键防线。因此,科技型企业需定期对登录口令进行检测,以及时发现并排除安全性较低而容易被黑客破解的弱口令,如123456。
技术人员可以采用分布式检测的方法,通过多个弱口令检测设备远程连接企业的服务器以检测用户名是否使用了弱口令。但是,在分布式检测的过程中,企业的服务器的最大连接数(由计算机操作系统(例如Windows、Linux等)所配置)易被超过而触发登录安全机制,进而导致服务器被锁定而无法继续进行弱口令检测。
发明内容
鉴于上述问题,本发明提供一种克服上述问题或者至少部分地解决上述问题的弱口令检测方法、检测控制设备及弱口令检测系统,技术方案如下:一种弱口令检测方法,包括:
检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址;
所述检测控制设备根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;
所述检测控制设备对每个服务提供设备:所述检测控制设备根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;
所述检测控制设备将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试。
优选的,所述检测控制设备将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,包括:
所述检测控制设备确定至少一个弱口令检测设备的空闲线程数;
所述检测控制设备根据所述空闲线程数将各数据块发送至所述至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,其中,发送至弱口令检测设备的数据块的数量不大于该弱口令检测设备的空闲线程数。
优选的,在所述检测控制设备将各组数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试之后,所述方法还包括:
所述检测控制设备获得至少一个弱口令检测设备的弱口令检测结果,其中,所述弱口令检测结果中包括:由弱口令检测设备确定的、使用弱口令的用户名。
优选的,在所述检测控制设备获得至少一个弱口令检测设备的弱口令检测结果之后,所述方法还包括:
所述检测控制设备将已确定的、使用弱口令的用户名发送至其它弱口令检测设备中,以使所述其它弱口令检测设备在进行弱口令测试时,跳过包含已确定的、使用弱口令的用户名的数据对。
优选的,在所述检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址之后,所述方法还包括:
所述检测控制设备将网络连接可用性为不可用的服务提供设备的IP地址从获得的IP地址中删除。
优选的,所述弱口令检测设备根据接收的数据块进行弱口令测试,包括:
所述弱口令检测设备开启第一数量的线程,其中,所述第一数量与接收的数据块的个数相同;
所述弱口令检测设备通过所述第一数量的线程,并行对接收的各数据块进行弱口令测试,其中,每条线程对一个数据块进行弱口令测试。
优选的,所述弱口令检测设备通过所述第一数量的线程,并行对接收的各数据块进行弱口令测试,包括:
所述弱口令检测设备为所述第一数量的线程中的每条线程分配一个接收的数据块;
对所述第一数量的线程中的每条线程:所述弱口令检测设备通过该线程依次选取分配至该线程的数据块中的一组数据对,并将选取的一组数据对添加至预设测试代码中的预设位置,获得对选取的该组数据对进行测试的弱口令测试程序,执行所述弱口令测试程序。
一种检测控制设备,包括:IP地址获得模块、待检测数据确定模块、待检测数据拆分模块和弱口令测试模块,其中:
所述IP地址获得模块,用于获得待检测服务所在的至少一个服务提供设备的IP地址;
所述待检测数据确定模块,用于根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;
所述待检测数据拆分模块,用于对每个服务提供设备:根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;
所述弱口令测试模块,用于将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试。
优选的,所述弱口令测试模块具体包括空闲线程数确定模块和数据块发送模块,其中:
所述空闲线程数确定模块,用于确定至少一个弱口令检测设备的空闲线程数;
所述数据块发送模块,用于根据所述空闲线程数将各数据块发送至所述至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,其中,发送至弱口令检测设备的数据块的数量不大于该弱口令检测设备的空闲线程数。
优选的,所述检测控制设备还包括检测结果获得模块,所述检测结果获得模块,用于在所述检测控制设备将各组数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试之后,获得至少一个弱口令检测设备的弱口令检测结果,其中,所述弱口令检测结果中包括:由弱口令检测设备确定的、使用弱口令的用户名。
优选的,所述检测控制设备还包括弱口令用户名发送模块,所述弱口令用户名发送模块,用于在所述检测控制设备获得至少一个弱口令检测设备的弱口令检测结果之后,将已确定的、使用弱口令的用户名发送至其它弱口令检测设备中,以使所述其它弱口令检测设备在进行弱口令测试时,跳过包含已确定的、使用弱口令的用户名的数据对。
优选的,所述检测控制设备还包括IP地址删除模块,所述IP地址删除模块,用于在所述检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址之后,将网络连接可用性为不可用的服务提供设备的IP地址从获得的IP地址中删除。
优选的,所述弱口令测试模块,具体用于将各数据块发送至至少一个弱口令检测设备中,以使:所述弱口令检测设备开启第一数量的线程,其中,所述第一数量与接收的数据块的个数相同,所述弱口令检测设备通过所述第一数量的线程,并行对接收的各数据块进行弱口令测试,其中,每条线程对一个数据块进行弱口令测试。
优选的,所述弱口令测试模块,具体用于将各数据块发送至至少一个弱口令检测设备中,以使:所述弱口令检测设备开启第一数量的线程,其中,所述第一数量与接收的数据块的个数相同,所述弱口令检测设备为所述第一数量的线程中的每条线程分配一个接收的数据块,对所述第一数量的线程中的每条线程:所述弱口令检测设备通过该线程依次选取分配至该线程的数据块中的一组数据对,并将选取的一组数据对添加至预设测试代码中的预设位置,获得对选取的该组数据对进行测试的弱口令测试程序,执行所述弱口令测试程序。
一种弱口令检测系统,包括:检测控制设备和至少一个弱口令检测设备,
所述检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址,根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;对每个服务提供设备:所述检测控制设备根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;所述检测控制设备将各数据块发送至至少一个弱口令检测设备中;所述弱口令检测设备根据接收的数据块进行弱口令测试。
借由上述技术方案,本发明提供的一种弱口令检测方法、检测控制设备及弱口令检测系统,可以通过检测控制设备获得待检测服务所在的多个服务提供设备的IP地址,所述检测控制设备根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;所述检测控制设备对每个服务提供设备:所述检测控制设备根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;所述检测控制设备将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,使得弱口令检测设备在进行弱口令测试的过程中,各IP地址对应的服务器被远程连接的数量不会大于最大远程连接数,从而避免了在分布式弱口令检测的过程中,服务器可能出现的由于最大连接数被超过而触发登录安全机制的问题,进而避免了服务器由于触发登录安全机制被锁定而无法继续进行弱口令检测的问题。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种弱口令检测方法的流程图;
图2示出了本发明实施例提供的另一种弱口令检测方法的流程图;
图3示出了本发明实施例提供的一种弱口令检测方法的流程图;
图4示出了本发明实施例提供的另一种弱口令检测方法的流程图;
图5示出了本发明实施例提供的一种检测控制设备的结构示意图;
图6示出了本发明实施例提供的另一种检测控制设备的结构示意图;
图7示出了本发明实施例提供的另一种检测控制设备的结构示意图;
图8示出了本发明实施例提供的另一种检测控制设备的结构示意图;
图9示出了本发明实施例提供的一种终端设备、检测控制设备、弱口令设备及服务提供设备间的连接示意图;
图10示出了本发明实施例提供的一种涉及终端设备和服务提供设备的弱口令系统的工作流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种弱口令检测方法,如图1所示,该方法可以包括以下步骤:
S100、检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址;
可选的,检测控制设备可以为一台独立的设备,如服务器,检测控制设备也可以为由多个设备构成的集群,本发明在此不做限定。当然,检测控制设备也可以为虚拟机。
其中,服务提供设备可以为服务器。需要说明的是,各个服务提供设备的性能可以是不同或者相同的。其中,待检测服务的形式可以有多种,如:数据库服务、企业通信工具服务、邮箱服务、财务报销系统服务等。需要说明的是,上述待检测服务可以需要对用户进行身份验证并在验证通过后再提供相应服务。该身份验证可以为通过用户名和口令进行验证的方式,也可以为其他方式。其中,用户名可以为用户的身份标识。
可选的,本发明实施例可以同时检测不同的待检测服务,当然,也可以只检测一个待检测服务。在检测控制设备获得的IP地址中,各IP地址所对应的服务提供设备提供的待检测服务可以是相同的,也可以是不同的。即不同服务提供设备所提供的服务可以是相同的(例如,在不同服务提供设备上运行的某业务处理平台,该业务处理平台为负责该业务的基层职工们提供相同的服务),也可以是不同的。
可选的,检测控制设备获得的多个IP地址可以为不连续的IP地址,也可以为一个连续的IP地址段,例如10.27.0.1~10.27.0.255。
其中,检测控制设备在获得IP地址后,可以将获得的多个IP地址放入一个有序集合中,例如List集合。当然,也可以放入一个无序集合中,例如Set集合。
对于放入有序集合中的IP地址,本发明可以按照该有序集合中各IP地址的顺序依次对各IP地址进行后续步骤的处理。
S200、所述检测控制设备根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;
其中,预设用户名词典中包含至少一个用户名,所述用户名为用户使用待检测服务所需要或可能需要的用户名,该用户名可以为用户标识,该用户名可以由文字(包括各国文字)、数字、符号等构成。可选的,预设用户名词典中可以包括:常用用户名,如:“admin”、“user”、“123”等。当然,在本发明其他实施例中,也可以预先收集使用待检测服务的各用户的用户名,例如:某企业收集该企业的各员工使用企业内部通讯服务时输入的用户名。具体的,不同的IP地址可以对应有不同或不同的预设用户名词典。可选的,提供同一待检测服务的各服务提供设备分别对应的预设用户名词典可以相同;提供不同待检测服务的各服务提供设备分别对应的预设用户名词典可以不同。
其中,弱口令为容易被别人猜测到或被破解工具破解的口令。弱口令一般仅包含简单数字和/或字母,例如“123”、“abc”等。弱口令词典中可以包括多个弱口令。可选的,不同IP地址对应的预设弱口令词典可以相同或不同。
可选的,检测控制设备在接收到需要进行弱口令测试的IP地址之后,可以从用户名词典中选取部分或全部的用户名,以及从弱口令词典中选取部分或全部的弱口令,然后将选取的用户名和弱口令交叉组合获得多组数据对。具体的,S可以为选取的用户名的数量与选取的弱口令的数量的乘积。
其中,不同的IP地址对应的待检测数据可以相同或不同。
S300、所述检测控制设备对每个服务提供设备:所述检测控制设备根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;
可选的,检测控制设备将待检测数据拆分成N个数据块后,可以将每个数据块的数据对放入一个有序集合,如此可以将该有序集合整体看待成为一个数据块。当然,也可以放入一个无序集合中。
其中,数据对中除了用户名与弱口令的组合,还可以包含着相应的IP地址,例如,某个有序集合中包含某数据对为192.10.0.1:admin:123。其中,192.10.0.1为IP地址,admin为用户名,123为弱口令。
最大连接数是能够同时处理的点对点连接的最大数目,它体现了对业务信息流的处理能力。本发明将一个服务提供设备的IP地址对应的待检测数据拆分为N个数据块,由于数据块的数量与该服务提供设备的最大连接数N相同,因此最多有N个线程会同时和该服务提供设备进行点对点连接(每个线程对一个数据块进行弱口令测试)。通过本发明的数据拆分,使得进行弱口令测试时服务提供设备的连接数不会超过其最大连接数,有效避免了由于超过最大连接数而导致登录安全机制的触发。
具体的,不同的服务提供设备的最大连接数N可以相同或不同。可选的,在使用相同的操作系统的前提下,提供相同服务的服务提供设备的最大连接数可以是相同的。可选的,在使用相同的操作系统的前提下,提供不同服务的服务提供设备的最大连接数可以是相同的,也可以是不同的。
S400、所述检测控制设备将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试。
可选的,所述弱口令检测设备根据接收的数据块进行弱口令测试,可以包括:
所述弱口令检测设备开启第一数量的线程,其中,所述第一数量与接收的数据块的个数相同;
所述弱口令检测设备通过所述第一数量的线程,并行对接收的各数据块进行弱口令测试,其中,每条线程对一个数据块进行弱口令测试。
可选的,所述弱口令检测设备通过所述第一数量的线程,并行对接收的各数据块进行弱口令测试,可以包括:
所述弱口令检测设备为所述第一数量的线程中的每条线程分配一个接收的数据块;
对所述第一数量的线程中的每条线程:所述弱口令检测设备通过该线程依次选取分配至该线程的数据块中的一组数据对,并将选取的一组数据对添加至预设测试代码中的预设位置,获得对选取的该组数据对进行测试的弱口令测试程序,执行所述弱口令测试程序。
例如:一个数据块中有3组数据对,弱口令设备可以先行选取其中1组数据对进行弱口令测试,在该组数据对的弱口令测试结束之后,弱口令检测设备将该组数据对从该数据块中移除,并在剩下的2组数据对中再行选取其中1组数据对进行弱口令测试,如此直至将该数据块中的数据对全部测试完毕。
其中,弱口令测试程序为使用该弱口令测试程序中的数据对中的用户名和弱口令尝试登录服务提供设备提供的待检测服务的程序。具体的,本发明可以针对不同的操作系统预先设置分别与各操作系统匹配的预设测试代码。本发明可以根据待检测服务所在的服务提供设备上的操作系统选择匹配的预设测试代码并将选取的一组数据对添加至选择的预设测试代码中的预设位置。
具体的,在执行所述弱口令测试程序后,服务提供设备可能会返回多种消息至弱口令检测设备,例如:登录成功、登录失败、连接超时等。如果弱口令检测设备收到登录成功的消息,本发明可以确定该弱口令测试程序中的用户名使用了弱口令,此时本发明可以将该用户名及其使用的弱口令作为弱口令检测结果记录下来。如果弱口令检测设备收到登录失败的消息,本发明可以继续选取另一组数据对添加至预设测试代码中的预设位置并执行弱口令测试程序。如果弱口令检测设备收到连接超时的消息,本发明可以再次执行该连接超时对应的弱口令测试程序,或者,本发明可以继续选取另一组数据对添加至预设测试代码中的预设位置并执行弱口令测试程序。
可选的,检测控制设备和各弱口令检测设备可以构成分布式系统。当用户希望对某待检测服务进行弱口令检测时,用户可以在该用户使用的终端设备上创建弱口令检测任务,该弱口令检测任务中可以包括:待检测任务所在的至少一个服务提供设备的IP地址和该终端设备的标识。在创建弱口令检测任务后,用户可以将该弱口令检测任务上传至检测控制设备中。检测控制设备可以从该弱口令检测任务中获得待检测服务所在的至少一个服务提供设备的IP地址并执行步骤S200至步骤S400以进行弱口令检测。在弱口令检测结果后,检测控制设备可以根据该终端设备的标识将弱口令检测结果返回至该终端设备。
本发明实施例公开的弱口令检测方法,可以通过检测控制设备获得待检测服务所在的多个服务提供设备的IP地址,所述检测控制设备根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;所述检测控制设备对每个服务提供设备:所述检测控制设备根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;所述检测控制设备将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,使得弱口令检测设备在进行弱口令测试的过程中,各IP地址对应的服务器被远程连接的数量不会大于最大远程连接数,从而避免了在分布式弱口令检测的过程中,服务器可能出现的由于最大连接数被超过而触发登录安全机制的问题,进而避免了服务器由于触发登录安全机制被锁定而无法继续进行弱口令检测的问题。
可选的,基于图1所示的步骤,如图2所示,本发明实施例提供了另一种弱口令检测方法。在该方法中,图1所示步骤S400可以包括:
S401、所述检测控制设备确定至少一个弱口令检测设备的空闲线程数;
需要说明的是,每个弱口令检测设备可以开启的线程数是有限的,并且不同弱口令检测设备能够开启的最大线程数可以是相同的,也可以是不同的,弱口令检测设备能够开启的最大线程数具体决定于弱口令检测设备的设备属性,本发明实施例对此不做限定。
在实际应用中,为使不同弱口令检测设备的检测资源能够得到尽可能的利用,以提高整体弱口令测试的资源利用率和测试效率,弱口令设备可以先获得各弱口令检测设备的空闲线程数,再根据不同弱口令设备的空闲线程数进行数据块的分配。
可选的,检测控制设备可以定期的(例如1分钟)在所有弱口令检测设备中进行轮询,检测各弱口令检测设备的运行状态,确定各弱口令检测设备的空闲线程数。当然,检测控制设备也可以在所有弱口令检测设备中通过广播以使弱口令检测设备反馈信息的方式来获得每个弱口令检测设备的空闲线程数。需要说明的是,本发明实施例对检测控制设备确定弱口令检测设备的空闲线程数的具体方式不做限定。
S402、所述检测控制设备根据所述空闲线程数将各数据块发送至所述至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,其中,发送至弱口令检测设备的数据块的数量不大于该弱口令检测设备的空闲线程数。
在实际应用中,检测控制设备首次将数据块分配至各弱口令检测设备时,可以根据各弱口令检测设备自身能够开启的最大线程数分配数据块。之后,检测控制设备可以根据各弱口令检测设备在进行弱口令测试过程中的空闲线程数进行动态分配。
需要说明的是,各弱口令检测设备中的线程在进行弱口令测试时的完成速率可以是不一致的,即会存在有些弱口令检测设备的线程在进行弱口令测试时的测试效率快些,有些则是慢些。因此,当测试效率快些的某些弱口令检测设备在完成一个或多个数据块而出现空闲线程数时,检测控制设备可以在获知后将处于等待测试状态中的数据块及时发送至具有空闲线程数的弱口令设备中,即进行动态分配,以尽可能的提高对弱口令检测设备的测试资源的利用率。
可选的,在检测控制设备将数据块发送至各弱口令检测设备的过程中,若某个弱口令检测设备接收到的数据块的数量超过了自身的空闲线程数,那么,该弱口令设备可以将超出的部分数据块置于等待测试的队列中,待该弱口令检测设备中的一个或多条线程处理完相应的数据块后,再陆续处理超出的部分数据块。或者,若某个弱口令检测设备在接收到的数据块的数量超过了自身的空闲线程数时,该弱口令检测设备可以将数据块超出空闲线程数的信息反馈至检测控制设备,以使检测控制设备可以获知该信息,并可以根据已确定的其它弱口令检测设备的运行状态,对超出该弱口令检测设备空闲线程数的数据块进行再分配,即分配至其它具有空闲线程的弱口令检测设备处。
本发明实施例公开的弱口令检测方法中,可以通过确定各弱口令检测能够开启的最大线程数和在进行弱口令测试过程中的空闲线程数,执行向各弱口令检测设备动态分配数据块的策略,以达到对各弱口令检测设备的测试资源的尽可能利用,从而提高整体弱口令检测设备对数据块的测试效率。
可选的,基于图1所示的步骤,本发明实施例还提供了另一种弱口令检测方法,在所述检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址之后,所述方法还包括:
所述检测控制设备将网络连接可用性为不可用的服务提供设备的IP地址从获得的IP地址中删除。
需要说明的是,在检测控制设备获得由多个服务提供设备提供的不同IP地址后,检测控制设备可以对这些获得的IP地址先进行预检测,即先行测试IP地址是否是可到达的,即检测检测控制设备至某个IP地址的网络连接是否正常。
其中,可以使用ping(空格)具体IP地址(例如ping 192.10.0.2)的命令,在检测控制设备上检测检测控制设备至该IP地址的网络连接是否正常。若某个IP地址为不可达,即检测控制设备至该IP地址的网络连接为不可用,需将该IP地址从检测控制设备在步骤S100中获得的IP地址中删除;若某个IP地址为可达,即即检测控制设备至该IP地址的网络连接为正常可用,则需对该IP地址对应的待检测服务进行正常的弱口令测试。
在实际应用中,在可达的IP地址中,可能会存在少数的几个IP地址在进行弱口令测试时需要的到达时间(弱口令检测设备连接到IP地址所花费的时间)较长,可以认为该种IP地址为缓慢IP地址。可选的,弱口令检测设备可以将缓慢IP地址记录下来,且可以将缓慢IP地址的信息包含在发送给检测控制设备的弱口令检测结果中。
需要说明的是,缓慢IP地址会拖延整体弱口令检测设备的测试时间。因此,在弱口令检测设备开始测试前,弱口令检测设备可以先行设置一个时间,例如600毫秒。若弱口令检测设备在进行弱口令测试过程中,到达时间某个IP地址的超过了600毫秒,那么可以认为该IP地址为缓慢IP地址。
弱口令检测设备可以暂时将该缓慢IP地址挂起,即不对该缓慢IP地址对应的待检测服务进行弱口令测试。直至弱口令检测设备将正常的IP地址对应的待检测服务检测完毕后,可以开始对缓慢IP地址对应的待检测服务进行弱口令检测。如此,就可以避免由于少数的几个缓慢IP地址导致整体弱口令检测设备的测试时间。
本发明实施例公开的弱口令检测方法,通过在检测控制设备获得IP地址后进行的IP地址预检测,以及对缓慢IP地址的延后测试,有效提高了整体弱口令检测设备的测试效率。
可选的,基于图1所示的步骤,如图3所示,本发明实施例还提供了另一种弱口令检测方法,在所述检测控制设备将各组数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试之后,该方法还可以包括:
S500、所述检测控制设备获得至少一个弱口令检测设备的弱口令检测结果,其中,所述弱口令检测结果中包括:由弱口令检测设备确定的、使用弱口令的用户名。
可选的,弱口令检测设备在进行弱口令测试的过程中,每当检测到某个对应单个IP地址的用户名使用了弱口令,弱口令检测设备可以将包含该用户名的信息的弱口令检测结果反馈至检测控制设备,使得检测控制设备可以及时获知使用了弱口令的用户名的信息。或者,检测控制设备也可以通过定期轮询的方式从各弱口令检测设备处同步弱口令测试的结果。
在实际应用中,检测控制设备在获得使用了弱口令的用户名的信息后,可以将该用户名使用的弱口令修改成安全性强的口令。可选的,技术人员可以根据使用弱口令的用户名的信息,联系用户修改弱口令,也可以将检测控制设备设置成在发现使用弱口令的用户名后,检测控制设备能根据用户名的信息并利用程序接口的方法,自动且实时的将该用户名使用的弱口令修改成安全性强的口令,如此可以第一时间就避免该用户名由于弱口令被破解而被入侵泄密。
本发明实施例公开的弱口令检测方法中,弱口令检测设备可以在检测到弱口令时将弱口令检测结果反馈至检测控制设备,使检测控制设备可以及时获得使用了弱口令的用户名的信息并自动修改弱口令,使得企业的信息安全性得到了提高。
可选的,基于图3所示的步骤,如图4所示,本发明实施例还提供了另一种弱口令检测方法,在所述检测控制设备获得至少一个弱口令检测设备的弱口令检测结果之后,该方法还可以包括:
S600、所述检测控制设备将已确定的、使用弱口令的用户名发送至其它弱口令检测设备中,以使所述其它弱口令检测设备在进行弱口令测试时,跳过包含已确定的、使用弱口令的用户名的数据对。
需要说明的是,本发明的待检测数据中,每个用户名都具有多组数据对,例如:用户名1具有多组包含该用户名1的数据对,每个数据对中的弱口令都不同。当本发明确定一个用户名使用了某弱口令时,说明在包含该用户名的各数据对中:除包含该弱口令的数据对外的其他数据对中的弱口令均不是该用户名所使用的弱口令,因此无需对所述其他数据对进行弱口令测试。此时,本发明可以将已确定的、使用弱口令的用户名发送至其它弱口令检测设备中,以使所述其它弱口令检测设备在进行弱口令测试时,跳过包含已确定的、使用弱口令的用户名的数据对。这样其他弱口令检测设备就不会再对包含已确定的、使用弱口令的用户名的数据对进行弱口令测试。当然,确定使用弱口令的用户名的弱口令检测设备也可以不再对包含已确定的、使用弱口令的用户名的数据对进行弱口令测试。
通过步骤S600,本发明可以有效减小不必要的待测试数据的数据量,有效提高了测试速度。
其中,检测控制设备可以使用广播的方式将使用弱口令的用户名的信息发送至其它弱口令检测设备,使各弱口令检测设备均可以将相同待检测服务中的该用户名排除在弱口令测试的范围之外。
在实际应用中,各弱口令检测设备均可以在每一次的弱口令测试前,验证当前对应某个IP地址的用户名是否已被排除在弱口令检测的范围之外,若是,则跳过对该用户名的测试,反之则进行正常的弱口令测试。
本发明实施例公开的弱口令检测方法,检测控制设备可以在从某个弱口令检测处获得使用弱口令的用户名的信息后,通过广播的方式将该用户名的信息发送至其它弱口令检测设备,使得在相同待检测服务的弱口令检测的过程中,避免已被检测出使用了弱口令的用户名再占用各弱口令检测设备的检测资源,也可以使得各弱口令检测设备需要检测的数据量减小,进而提高整体的弱口令检测设备对测试资源的利用率和对数据块的测试效率。
与图1所示方法相对应,如图5所示,本发明实施例提供了一种检测控制设备,该检测控制设备可以包括:IP地址获得模块001、待检测数据确定模块002、待检测数据拆分模块003和弱口令测试模块004,其中:
所述IP地址获得模块001,用于获得待检测服务所在的至少一个服务提供设备的IP地址;
可选的,检测控制设备可以为一台独立的设备,如服务器,检测控制设备也可以为由多个设备构成的集群,本发明在此不做限定。当然,检测控制设备也可以为虚拟机。
其中,服务提供设备可以为服务器。需要说明的是,各个服务提供设备的性能可以是不同或者相同的。其中,待检测服务的形式可以有多种,如数据库服务。需要说明的是,上述待检测服务可以需要对用户进行身份验证并在验证通过后再提供相应服务。该身份验证可以为通过用户名和口令进行验证的方式,也可以为其他方式。其中,用户名可以为用户的身份标识。
可选的,本发明实施例可以同时检测不同的待检测服务,当然,也可以只检测一个待检测服务。在检测控制设备获得的IP地址中,各IP地址所对应的服务提供设备提供的待检测服务可以是相同的,也可以是不同的。即不同服务提供设备所提供的服务可以是相同的,也可以是不同的。
可选的,检测控制设备获得的多个IP地址可以为不连续的IP地址,也可以为一个连续的IP地址段,例如10.27.0.1~10.27.0.255。
其中,检测控制设备在获得IP地址后,可以将获得的多个IP地址放入一个有序集合中,例如List集合。当然,也可以放入一个无序集合中,例如Set集合。对于放入有序集合中的IP地址,本发明可以按照该有序集合中各IP地址的顺序依次对各IP地址进行后续处理。
所述待检测数据确定模块002,用于根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;
其中,预设用户名词典中包含至少一个用户名,所述用户名为用户使用待检测服务所需要或可能需要的用户名,该用户名可以为用户标识,该用户名可以由文字(包括各国文字)、数字、符号等构成。可选的,预设用户名词典中可以包括:常用用户名,当然,在本发明其他实施例中,也可以预先收集使用待检测服务的各用户的用户名。具体的,不同的IP地址可以对应有不同或不同的预设用户名词典。可选的,提供同一待检测服务的各服务提供设备分别对应的预设用户名词典可以相同;提供不同待检测服务的各服务提供设备分别对应的预设用户名词典可以不同。
其中,弱口令为容易被别人猜测到或被破解工具破解的口令。弱口令一般仅包含简单数字和/或字母。弱口令词典中可以包括多个弱口令。可选的,不同IP地址对应的预设弱口令词典可以相同或不同。
可选的,检测控制设备在接收到需要进行弱口令测试的IP地址之后,可以从用户名词典中选取部分或全部的用户名,以及从弱口令词典中选取部分或全部的弱口令,然后将选取的用户名和弱口令交叉组合获得多组数据对。具体的,S可以为选取的用户名的数量与选取的弱口令的数量的乘积。
其中,不同的IP地址对应的待检测数据可以相同或不同。
所述待检测数据拆分模块003,用于对每个服务提供设备:根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;
可选的,检测控制设备将待检测数据拆分成N个数据块后,可以将每个数据块的数据对放入一个有序集合,如此可以将该有序集合整体看待成为一个数据块。当然,也可以放入一个无序集合中。
其中,数据对中除了用户名与弱口令的组合,还可以包含着相应的IP地址,例如,某个有序集合中包含某数据对为192.10.0.1:admin:123。其中,192.10.0.1为IP地址,admin为用户名,123为弱口令。
最大连接数是能够同时处理的点对点连接的最大数目,它体现了对业务信息流的处理能力。本发明将一个服务提供设备的IP地址对应的待检测数据拆分为N个数据块,由于数据块的数量与该服务提供设备的最大连接数N相同,因此最多有N个线程会同时和该服务提供设备进行点对点连接(每个线程对一个数据块进行弱口令测试)。通过本发明的数据拆分,使得进行弱口令测试时服务提供设备的连接数不会超过其最大连接数,有效避免了由于超过最大连接数而导致登录安全机制的触发。
具体的,不同的服务提供设备的最大连接数N可以相同或不同。可选的,在使用相同的操作系统的前提下,提供相同服务的服务提供设备的最大连接数可以是相同的。可选的,在使用相同的操作系统的前提下,提供不同服务的服务提供设备的最大连接数可以是相同的,也可以是不同的。
所述弱口令测试模块004,用于将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试。
可选的,所述弱口令测试模块004,可以具体用于将各数据块发送至至少一个弱口令检测设备中,以使:所述弱口令检测设备开启第一数量的线程,其中,所述第一数量与接收的数据块的个数相同,所述弱口令检测设备通过所述第一数量的线程,并行对接收的各数据块进行弱口令测试,其中,每条线程对一个数据块进行弱口令测试。
可选的,所述弱口令测试模块004,也可以具体用于将各数据块发送至至少一个弱口令检测设备中,以使:所述弱口令检测设备开启第一数量的线程,其中,所述第一数量与接收的数据块的个数相同,所述弱口令检测设备为所述第一数量的线程中的每条线程分配一个接收的数据块,对所述第一数量的线程中的每条线程:所述弱口令检测设备通过该线程依次选取分配至该线程的数据块中的一组数据对,并将选取的一组数据对添加至预设测试代码中的预设位置,获得对选取的该组数据对进行测试的弱口令测试程序,执行所述弱口令测试程序。
其中,弱口令测试程序为使用该弱口令测试程序中的数据对中的用户名和弱口令尝试登录服务提供设备提供的待检测服务的程序。具体的,本发明可以针对不同的操作系统预先设置分别与各操作系统匹配的预设测试代码。本发明可以根据待检测服务所在的服务提供设备上的操作系统选择匹配的预设测试代码并将选取的一组数据对添加至选择的预设测试代码中的预设位置。
具体的,在执行所述弱口令测试程序后,服务提供设备可能会返回多种消息至弱口令检测设备,例如:登录成功、登录失败、连接超时等。如果弱口令检测设备收到登录成功的消息,本发明可以确定该弱口令测试程序中的用户名使用了弱口令,此时本发明可以将该用户名及其使用的弱口令作为弱口令检测结果记录下来。如果弱口令检测设备收到登录失败的消息,本发明可以继续选取另一组数据对添加至预设测试代码中的预设位置并执行弱口令测试程序。如果弱口令检测设备收到连接超时的消息,本发明可以再次执行该连接超时对应的弱口令测试程序,或者,本发明可以继续选取另一组数据对添加至预设测试代码中的预设位置并执行弱口令测试程序。
可选的,检测控制设备和各弱口令检测设备可以构成分布式系统。当用户希望对某待检测服务进行弱口令检测时,用户可以在该用户使用的终端设备上创建弱口令检测任务,该弱口令检测任务中可以包括:待检测任务所在的至少一个服务提供设备的IP地址和该终端设备的标识。在创建弱口令检测任务后,用户可以将该弱口令检测任务上传至检测控制设备中。检测控制设备可以从该弱口令检测任务中获得待检测服务所在的至少一个服务提供设备的IP地址并进行弱口令检测。在获得弱口令检测结果后,检测控制设备可以根据该终端设备的标识将弱口令检测结果返回至该终端设备。
本发明实施例公开的检测控制设备,可以获得待检测服务所在的多个服务提供设备的IP地址,根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;所述检测控制设备对每个服务提供设备:所述检测控制设备根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;所述检测控制设备将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,使得弱口令检测设备在进行弱口令测试的过程中,各IP地址对应的服务器被远程连接的数量不会大于最大远程连接数,从而避免了在分布式弱口令检测的过程中,服务器可能出现的由于最大连接数被超过而触发登录安全机制的问题,进而避免了服务器由于触发登录安全机制被锁定而无法继续进行弱口令检测的问题。
可选的,基于图5所示的检测控制设备,如图6所示,本发明实施例提供了另一种检测控制设备,在该检测控制设备中,所述弱口令测试模块004具体包括空闲线程数确定模块0041和数据块发送模块0042,其中:
所述空闲线程数确定模块0041,用于确定至少一个弱口令检测设备的空闲线程数;
需要说明的是,每个弱口令检测设备可以开启的线程数是有限的,并且不同弱口令检测设备能够开启的最大线程数可以是相同的,也可以是不同的,弱口令检测设备能够开启的最大线程数具体决定于弱口令检测设备的设备属性,本发明实施例对此不做限定。
在实际应用中,为使不同弱口令检测设备的检测资源能够得到尽可能的利用,以提高整体弱口令测试的资源利用率和测试效率,弱口令设备可以先获得各弱口令检测设备的空闲线程数,再根据不同弱口令设备的空闲线程数进行数据块的分配。
可选的,检测控制设备可以定期的(例如1分钟)在所有弱口令检测设备中进行轮询,检测各弱口令检测设备的运行状态,确定各弱口令检测设备的空闲线程数。当然,检测控制设备也可以在所有弱口令检测设备中通过广播以使弱口令检测设备反馈信息的方式来获得每个弱口令检测设备的空闲线程数。需要说明的是,本发明实施例对检测控制设备确定弱口令检测设备的空闲线程数的具体方式不做限定。
所述数据块发送模块0042,用于根据所述空闲线程数将各数据块发送至所述至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,其中,发送至弱口令检测设备的数据块的数量不大于该弱口令检测设备的空闲线程数。
在实际应用中,检测控制设备首次将数据块分配至各弱口令检测设备时,可以根据各弱口令检测设备自身能够开启的最大线程数分配数据块。之后,检测控制设备可以根据各弱口令检测设备在进行弱口令测试过程中的空闲线程数进行动态分配。
需要说明的是,各弱口令检测设备中的线程在进行弱口令测试时的完成速率可以是不一致的,即会存在有些弱口令检测设备的线程在进行弱口令测试时的测试效率快些,有些则是慢些。因此,当测试效率快些的某些弱口令检测设备在完成一个或多个数据块而出现空闲线程数时,检测控制设备可以在获知后将处于等待测试状态中的数据块及时发送至具有空闲线程数的弱口令设备中,即进行动态分配,以尽可能的提高对弱口令检测设备的测试资源的利用率。
可选的,在检测控制设备将数据块发送至各弱口令检测设备的过程中,若某个弱口令检测设备接收到的数据块的数量超过了自身的空闲线程数,那么,该弱口令设备可以将超出的部分数据块置于等待测试的队列中,待该弱口令检测设备中的一个或多条线程处理完相应的数据块后,再陆续处理超出的部分数据块。或者,若某个弱口令检测设备在接收到的数据块的数量超过了自身的空闲线程数时,该弱口令检测设备可以将数据块超出空闲线程数的信息反馈至检测控制设备,以使检测控制设备可以获知该信息,并可以根据已确定的其它弱口令检测设备的运行状态,对超出该弱口令检测设备空闲线程数的数据块进行再分配,即分配至其它具有空闲线程的弱口令检测设备处。
本发明实施例公开的检测控制设备中,可以通过确定各弱口令检测能够开启的最大线程数和在进行弱口令测试过程中的空闲线程数,执行向各弱口令检测设备动态分配数据块的策略,以达到对各弱口令检测设备的测试资源的尽可能利用,从而提高整体弱口令检测设备对数据块的测试效率。
可选的,基于图5所示的检测控制设备,本发明实施例还提供了另一种检测控制设备,所述检测控制设备还包括IP地址删除模块,所述IP地址删除模块,用于在所述检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址之后,将网络连接可用性为不可用的服务提供设备的IP地址从获得的IP地址中删除。
需要说明的是,在检测控制设备获得由多个服务提供设备提供的不同IP地址后,检测控制设备可以对这些获得的IP地址先进行预检测,即先行测试IP地址是否是可到达的,即检测检测控制设备至某个IP地址的网络连接是否正常。
其中,可以使用ping(空格)具体IP地址(例如ping 192.10.0.2)的命令,在检测控制设备上检测检测控制设备至该IP地址的网络连接是否正常。若某个IP地址为不可达,即检测控制设备至该IP地址的网络连接为不可用,需将该IP地址从检测控制设备从服务提供设备处获得的IP地址中删除;若某个IP地址为可达,即即检测控制设备至该IP地址的网络连接为正常可用,则需对该IP地址对应的待检测服务进行正常的弱口令测试。
在实际应用中,在可达的IP地址中,可能会存在少数的几个IP地址在进行弱口令测试时需要的到达时间(弱口令检测设备连接到IP地址所花费的时间)较长,可以认为该种IP地址为缓慢IP地址。可选的,弱口令检测设备可以将缓慢IP地址记录下来,且可以将缓慢IP地址的信息包含在发送给检测控制设备的弱口令检测结果中。
需要说明的是,缓慢IP地址会拖延整体弱口令检测设备的测试时间。因此,在弱口令检测设备开始测试前,弱口令检测设备可以先行设置一个时间,例如600毫秒。若弱口令检测设备在进行弱口令测试过程中,到达时间某个IP地址的超过了600毫秒,那么可以认为该IP地址为缓慢IP地址。
弱口令检测设备可以暂时将该缓慢IP地址挂起,即不对该缓慢IP地址对应的待检测服务进行弱口令测试。直至弱口令检测设备将正常的IP地址对应的待检测服务检测完毕后,可以开始对缓慢IP地址对应的待检测服务进行弱口令检测。如此,就可以避免由于少数的几个缓慢IP地址导致整体弱口令检测设备的测试时间。
本发明实施例公开的检测控制设备,通过在获得IP地址后进行的IP地址预检测,以及对缓慢IP地址的延后测试,有效提高了整体弱口令检测设备的测试效率。
可选的,基于图5所示的检测控制设备,如图7所示,本发明实施例还提供了另一种检测控制设备,所述检测控制设备还包括检测结果获得模块005,所述检测结果获得模块005,用于在所述检测控制设备将各组数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试之后,获得至少一个弱口令检测设备的弱口令检测结果,其中,所述弱口令检测结果中包括:由弱口令检测设备确定的、使用弱口令的用户名。
可选的,弱口令检测设备在进行弱口令测试的过程中,每当检测到某个对应单个IP地址的用户名使用了弱口令,弱口令检测设备可以将包含该用户名的信息的弱口令检测结果反馈至检测控制设备,使得检测控制设备可以及时获知使用了弱口令的用户名的信息。或者,检测控制设备也可以通过定期轮询的方式从各弱口令检测设备处同步弱口令测试的结果。
在实际应用中,检测控制设备在获得使用了弱口令的用户名的信息后,可以将该用户名使用的弱口令修改成安全性强的口令。可选的,技术人员可以根据使用弱口令的用户名的信息,联系用户修改弱口令,也可以将检测控制设备设置成在发现使用弱口令的用户名后,检测控制设备能根据用户名的信息并利用程序接口,自动且实时的将该用户名使用的弱口令修改成安全性强的口令,如此可以第一时间就避免该用户名由于弱口令被破解而被入侵泄密。
本发明实施例公开的检测控制设备中,检测控制设备可以接收到弱口令检测设备在检测到弱口令时所发送的弱口令检测结果,以及时获得使用了弱口令的用户名的信息并自动修改弱口令,使得企业的信息安全性得到了提高。
可选的,基于图7所示的检测控制设备,如图8所示,本发明实施例还提供了另一种检测控制设备,所述检测控制设备还包括:弱口令用户名发送模块006,
所述弱口令用户名发送模块006,用于在所述检测控制设备获得至少一个弱口令检测设备的弱口令检测结果之后,将已确定的、使用弱口令的用户名发送至其它弱口令检测设备中,以使所述其它弱口令检测设备在进行弱口令测试时,跳过包含已确定的、使用弱口令的用户名的数据对。
需要说明的是,本发明的待检测数据中,每个用户名都具有多组数据对,例如:用户名1具有多组包含该用户名1的数据对,每个数据对中的弱口令都不同。当本发明确定一个用户名使用了某弱口令时,说明在包含该用户名的各数据对中:除包含该弱口令的数据对外的其他数据对中的弱口令均不是该用户名所使用的弱口令,因此无需对所述其他数据对进行弱口令测试。此时,本发明可以将已确定的、使用弱口令的用户名发送至其它弱口令检测设备中,以使所述其它弱口令检测设备在进行弱口令测试时,跳过包含已确定的、使用弱口令的用户名的数据对。这样其他弱口令检测设备就不会再对包含已确定的、使用弱口令的用户名的数据对进行弱口令测试。当然,确定使用弱口令的用户名的弱口令检测设备也可以不再对包含已确定的、使用弱口令的用户名的数据对进行弱口令测试。
通过弱口令用户名发送模块006,本发明可以有效减小不必要的待测试数据的数据量,有效提高了测试速度。
其中,检测控制设备可以使用广播的方式将使用弱口令的用户名的信息发送至其它弱口令检测设备,使各弱口令检测设备均可以将相同待检测服务中的该用户名排除在弱口令测试的范围之外。
在实际应用中,各弱口令检测设备均可以在每一次的弱口令测试前,验证当前对应某个IP地址的用户名是否已被排除在弱口令检测的范围之外,若是,则跳过对该用户名的测试,反之则进行正常的弱口令测试。
本发明实施例公开的检测控制设备,可以在从某个弱口令检测处获得使用弱口令的用户名的信息后,通过广播的方式将该用户名的信息发送至其它弱口令检测设备,使得在相同待检测服务的弱口令检测的过程中,避免已被检测出使用了弱口令的用户名再占用各弱口令检测设备的检测资源,也可以使得各弱口令检测设备需要检测的数据量减小,进而提高整体的弱口令检测设备对测试资源的利用率和对数据块的测试效率。
可选的,如图8所示,本发明实施例提供了一种弱口令检测系统,包括:检测控制设备200和至少一个弱口令检测设备300,所述弱口令检测系统接收由终端设备100创建并上传的弱口令检测任务,并与至少一个服务提供设备400通信连接以进行弱口令检测,其中:所述检测控制设备200接收由所述终端设备100创建并上传的弱口令检测任务,所述检测控制设备200与至少一个弱口令检测设备300通信连接,所护弱口令设备300与至少一个服务提供设备400通信连接。可选的,所述检测控制设备200、所述终端设备100、所述弱口令检测设备300以及所述服务提供设备400的连接关系可如图9所示。
所述检测控制设备200获得待检测服务所在的至少一个服务提供设备400的IP地址,根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;对每个服务提供设备400:所述检测控制设备200根据该服务提供设备400的最大连接数N将该服务提供设备400的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;所述检测控制设备200将各数据块发送至至少一个弱口令检测设备300中;所述弱口令检测设备300根据接收的数据块进行弱口令测试。
可选的,为更好的说明弱口令检测系统的工作流程,下面结合图9和图10作说明。
基于图9中设备间的连接关系,弱口令检测系统在图10中的弱口令检测流程为:
S101、用户在终端设备100上创建弱口令检测任务;
用户可以在终端设备100的弱口令检测系统的客户端上,输入或选择要检测的IP地址,并选择相应的用户名词典和弱口令词典,以创建弱口令检测任务。
S201、用户通过终端设备100向检测终端设备200提交弱口令检测任务;
用户可以在终端设备100的弱口令检测系统的客户端上,将已创建的弱口令检测任务提交至检测控制设备200。
S301、检测终端设备200对获得的IP地址进行预检测,确定可达IP地址;
检测控制设备200可以在接收到弱口令检测任务后,对弱口令检测任务中的IP地址依次进行预检测,即尝试与每个IP地址对应的服务提供设备400进行远程连接。若连接成功,检测控制设备200可以将该IP视为可达IP地址;若连接失败或连接超时,检测控制设备200可以将该IP从获得的IP地址中删除。
S401、检测终端设备200确定各IP地址对应的待检测数据;
根据各IP地址对应的用户名词典和弱口令词典,检测控制设备200可以将用户名词典中的用户名与弱口令词典中的弱口令进行组合,以获得至少一个均包含一个用户名和一个弱口令的数据对,获得的数据对即为该IP地址的待检测数据;
S501、检测终端设备200确定各IP地址对应的数据块;
检测控制设备200可以根据各IP对应的待检测数据,以及各IP对应的服务提供设备400的最大连接数,将各IP对应的待检测数据拆分成至少一个数据块,数据块的数量为可以是各IP地址对应的数据对的数量与最大连接数的商。
S601、检测终端设备200向至少一个弱口令检测设备300分配数据块;
检测控制设备200可以根据各弱口令检测设备300的空闲线程数,将数据块分配至各弱口令检测设备300中。
S701、弱口令检测设备300依次选取数据块中的一组数据对;
弱口令检测设备300可以根据接收到的数据块开启相应数量的线程,之后,弱口令检测设备300可以在每一个数据块中,通过一条线程依次选取该数据块中的一个数据对。
S801、弱口令检测设备300连接至少一个服务提供设备400执行所述弱口令测试程序;
弱口令检测设备300可以根据在数据对中携带的IP地址,远程连接至少一个该IP地址所对应的服务提供设备400,并通过将数据对中的用户名和弱口令填入预设测试代码中的预设位置,进行弱口令测试程序。
S901、服务提供设备400向检测终端设备200返回弱口令检测结果;
在弱口令检测设备300选取一组数据对并进行弱口令测试程序后,服务提供设备400可以向检测终端设备200返回该次弱口令测试程序的结果,例如:登录成功、登录失败或连接超时等。其中,服务提供设备400可以直接将弱口令检测结果发送至检测控制设备200,也可以经弱口令检测设备300将弱口令检测结果发送至检测控制设备200。
之后,检测控制设备200可以将接收的弱口令检测结果发送至终端设备100,以使用户可以在终端设备100上获知弱口令检测结果。
本发明实施例提供的弱口令检测系统,检测控制设备200获得待检测服务所在的至少一个服务提供设备400的IP地址,检测控制设备200根据预设用户名词典和预设弱口令词典确定每一个IP地址对应的待检测数据;检测控制设备200对每个服务提供设备400:根据该服务提供设备400的最大连接数N将该服务提供设备400的IP地址对应的待检测数据拆分为N个数据块;检测控制设备200将各数据块发送至弱口令检测设备300中进行弱口令测试,使得弱口令检测设备300在进行弱口令测试的过程中,各IP地址对应的服务器被远程连接的数量不会大于最大远程连接数,从而避免了在分布式弱口令检测的过程中,服务器可能出现的由于最大连接数被超过而触发登录安全机制的问题。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
Claims (15)
1.一种弱口令检测方法,其特征在于,包括:
检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址;
所述检测控制设备根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,不同的IP地址对应的待检测数据相同或者不同,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;
所述检测控制设备对每个服务提供设备:所述检测控制设备根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;
所述检测控制设备将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试。
2.根据权利要求1所述的方法,其特征在于,所述检测控制设备将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,包括:
所述检测控制设备确定至少一个弱口令检测设备的空闲线程数;
所述检测控制设备根据所述空闲线程数将各数据块发送至所述至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,其中,发送至弱口令检测设备的数据块的数量不大于该弱口令检测设备的空闲线程数。
3.根据权利要求1所述的方法,其特征在于,在所述检测控制设备将各组数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试之后,所述方法还包括:
所述检测控制设备获得至少一个弱口令检测设备的弱口令检测结果,其中,所述弱口令检测结果中包括:由弱口令检测设备确定的、使用弱口令的用户名。
4.根据权利要求3所述的方法,其特征在于,在所述检测控制设备获得至少一个弱口令检测设备的弱口令检测结果之后,所述方法还包括:
所述检测控制设备将已确定的、使用弱口令的用户名发送至其它弱口令检测设备中,以使所述其它弱口令检测设备在进行弱口令测试时,跳过包含已确定的、使用弱口令的用户名的数据对。
5.根据权利要求1所述的方法,其特征在于,在所述检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址之后,所述方法还包括:
所述检测控制设备将网络连接可用性为不可用的服务提供设备的IP地址从获得的IP地址中删除。
6.根据权利要求1所述的方法,其特征在于,所述弱口令检测设备根据接收的数据块进行弱口令测试,包括:
所述弱口令检测设备开启第一数量的线程,其中,所述第一数量与接收的数据块的个数相同;
所述弱口令检测设备通过所述第一数量的线程,并行对接收的各数据块进行弱口令测试,其中,每条线程对一个数据块进行弱口令测试。
7.根据权利要求6所述的方法,其特征在于,所述弱口令检测设备通过所述第一数量的线程,并行对接收的各数据块进行弱口令测试,包括:
所述弱口令检测设备为所述第一数量的线程中的每条线程分配一个接收的数据块;
对所述第一数量的线程中的每条线程:所述弱口令检测设备通过该线程依次选取分配至该线程的数据块中的一组数据对,并将选取的一组数据对添加至预设测试代码中的预设位置,获得对选取的该组数据对进行测试的弱口令测试程序,执行所述弱口令测试程序。
8.一种检测控制设备,其特征在于,包括:IP地址获得模块、待检测数据确定模块、待检测数据拆分模块和弱口令测试模块,其中:
所述IP地址获得模块,用于获得待检测服务所在的至少一个服务提供设备的IP地址;
所述待检测数据确定模块,用于根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,不同的IP地址对应的待检测数据相同或者不同,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;
所述待检测数据拆分模块,用于对每个服务提供设备:根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;
所述弱口令测试模块,用于将各数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试。
9.根据权利要求8所述的检测控制设备,其特征在于,所述弱口令测试模块具体包括空闲线程数确定模块和数据块发送模块,其中:
所述空闲线程数确定模块,用于确定至少一个弱口令检测设备的空闲线程数;
所述数据块发送模块,用于根据所述空闲线程数将各数据块发送至所述至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试,其中,发送至弱口令检测设备的数据块的数量不大于该弱口令检测设备的空闲线程数。
10.根据权利要求8所述的检测控制设备,其特征在于,所述检测控制设备还包括检测结果获得模块,
所述检测结果获得模块,用于在所述检测控制设备将各组数据块发送至至少一个弱口令检测设备中,以使所述弱口令检测设备根据接收的数据块进行弱口令测试之后,获得至少一个弱口令检测设备的弱口令检测结果,其中,所述弱口令检测结果中包括:由弱口令检测设备确定的、使用弱口令的用户名。
11.根据权利要求10所述的检测控制设备,其特征在于,所述检测控制设备还包括弱口令用户名发送模块,
所述弱口令用户名发送模块,用于在所述检测控制设备获得至少一个弱口令检测设备的弱口令检测结果之后,将已确定的、使用弱口令的用户名发送至其它弱口令检测设备中,以使所述其它弱口令检测设备在进行弱口令测试时,跳过包含已确定的、使用弱口令的用户名的数据对。
12.根据权利要求8所述的检测控制设备,其特征在于,所述检测控制设备还包括IP地址删除模块,
所述IP地址删除模块,用于在所述检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址之后,将网络连接可用性为不可用的服务提供设备的IP地址从获得的IP地址中删除。
13.根据权利要求8所述的检测控制设备,其特征在于,所述弱口令测试模块,具体用于将各数据块发送至至少一个弱口令检测设备中,以使:所述弱口令检测设备开启第一数量的线程,其中,所述第一数量与接收的数据块的个数相同,所述弱口令检测设备通过所述第一数量的线程,并行对接收的各数据块进行弱口令测试,其中,每条线程对一个数据块进行弱口令测试。
14.根据权利要求13所述的检测控制设备,其特征在于,所述弱口令测试模块,具体用于将各数据块发送至至少一个弱口令检测设备中,以使:所述弱口令检测设备开启第一数量的线程,其中,所述第一数量与接收的数据块的个数相同,所述弱口令检测设备为所述第一数量的线程中的每条线程分配一个接收的数据块,对所述第一数量的线程中的每条线程:所述弱口令检测设备通过该线程依次选取分配至该线程的数据块中的一组数据对,并将选取的一组数据对添加至预设测试代码中的预设位置,获得对选取的该组数据对进行测试的弱口令测试程序,执行所述弱口令测试程序。
15.一种弱口令检测系统,其特征在于,包括:检测控制设备和至少一个弱口令检测设备,
所述检测控制设备获得待检测服务所在的至少一个服务提供设备的IP地址,根据预设用户名词典和预设弱口令词典确定每一个所述IP地址对应的待检测数据,其中,不同的IP地址对应的待检测数据相同或者不同,一个IP地址对应的待检测数据包括:S组数据对,每组数据对均包括:所述预设用户名词典中的一个用户名和所述预设弱口令词典中的一个弱口令;对每个服务提供设备:所述检测控制设备根据该服务提供设备的最大连接数N将该服务提供设备的IP地址对应的待检测数据拆分为N个数据块,每个数据块中均包括M组数据对,其中,M=S/N;所述检测控制设备将各数据块发送至至少一个弱口令检测设备中;
所述弱口令检测设备根据接收的数据块进行弱口令测试。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910620405.8A CN110336824B (zh) | 2019-07-10 | 2019-07-10 | 一种弱口令检测方法、检测控制设备及弱口令检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910620405.8A CN110336824B (zh) | 2019-07-10 | 2019-07-10 | 一种弱口令检测方法、检测控制设备及弱口令检测系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110336824A CN110336824A (zh) | 2019-10-15 |
CN110336824B true CN110336824B (zh) | 2021-12-03 |
Family
ID=68146163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910620405.8A Active CN110336824B (zh) | 2019-07-10 | 2019-07-10 | 一种弱口令检测方法、检测控制设备及弱口令检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110336824B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110995743B (zh) * | 2019-12-17 | 2022-08-05 | 北京小米智能科技有限公司 | 终端设备的安全测试方法及装置、存储介质 |
CN115643114B (zh) * | 2022-12-23 | 2023-04-07 | 北京长亭未来科技有限公司 | 基于rtsp服务的弱口令的检测方法、装置及电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102752304A (zh) * | 2012-07-06 | 2012-10-24 | 汉柏科技有限公司 | 防止半连接攻击的方法及系统 |
US9027128B1 (en) * | 2013-02-07 | 2015-05-05 | Trend Micro Incorporated | Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks |
CN106453125A (zh) * | 2016-11-04 | 2017-02-22 | 中国电子科技集团公司第二十八研究所 | 一种基于实时负载率的远程服务调用负载均衡系统 |
CN107347078A (zh) * | 2017-08-30 | 2017-11-14 | 杭州安恒信息技术有限公司 | 一种基于云服务的操作系统弱口令安全检测方法 |
CN107360476A (zh) * | 2017-08-31 | 2017-11-17 | 苏州科达科技股份有限公司 | 视频摘要生成方法及装置 |
CN107426203A (zh) * | 2017-07-13 | 2017-12-01 | 四川长虹电器股份有限公司 | 弱口令检测系统及实现方法与web平台 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104683127B (zh) * | 2013-11-27 | 2018-04-27 | 北京神州泰岳软件股份有限公司 | 一种设备弱口令集中核查的方法和系统 |
CN109040119B (zh) * | 2018-09-11 | 2020-09-29 | 腾讯科技(深圳)有限公司 | 一种智能楼宇网络的漏洞检测方法和装置 |
CN109361518A (zh) * | 2018-10-16 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 一种弱口令检测方法、装置和计算机可读存储介质 |
-
2019
- 2019-07-10 CN CN201910620405.8A patent/CN110336824B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102752304A (zh) * | 2012-07-06 | 2012-10-24 | 汉柏科技有限公司 | 防止半连接攻击的方法及系统 |
US9027128B1 (en) * | 2013-02-07 | 2015-05-05 | Trend Micro Incorporated | Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks |
CN106453125A (zh) * | 2016-11-04 | 2017-02-22 | 中国电子科技集团公司第二十八研究所 | 一种基于实时负载率的远程服务调用负载均衡系统 |
CN107426203A (zh) * | 2017-07-13 | 2017-12-01 | 四川长虹电器股份有限公司 | 弱口令检测系统及实现方法与web平台 |
CN107347078A (zh) * | 2017-08-30 | 2017-11-14 | 杭州安恒信息技术有限公司 | 一种基于云服务的操作系统弱口令安全检测方法 |
CN107360476A (zh) * | 2017-08-31 | 2017-11-17 | 苏州科达科技股份有限公司 | 视频摘要生成方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110336824A (zh) | 2019-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106302434B (zh) | 服务器适配方法、装置和系统 | |
US9602484B2 (en) | Online user account login method and a server system implementing the method | |
US8204993B2 (en) | Computer system and information processing method | |
US10021098B2 (en) | Account login method, device, and system | |
CN109815656A (zh) | 登录认证方法、装置、设备及计算机可读存储介质 | |
CN109981653B (zh) | 一种web漏洞扫描方法 | |
EP1422904A2 (en) | Method and systems for sharing a network resource with a user without current access | |
CN110336824B (zh) | 一种弱口令检测方法、检测控制设备及弱口令检测系统 | |
CN105592037B (zh) | 一种mac地址认证方法和装置 | |
US11553021B2 (en) | Media downlink transmission control method and related device | |
US20120297468A1 (en) | Techniques for accessing a backup system | |
CN101232375A (zh) | 单点登录系统、信息终端设备、单点登记服务器及方法 | |
JP2017502381A (ja) | ユーザリソース情報を関連付けるための方法、端末装置、及びシステム | |
US9077745B1 (en) | Method of resolving port binding conflicts, and system and method of remote vulnerability assessment | |
CN100459498C (zh) | 远程软件服务系统 | |
CN105791308B (zh) | 一种主动识别域用户登录事件信息的方法、装置和系统 | |
CN103179089A (zh) | 在不同软件开发平台之间访问验证身份的系统及方法 | |
CN108112268B (zh) | 管理与自动扩展组相关的负载平衡器 | |
JP2007323320A (ja) | ログファイルの送信システム及びその方法 | |
JP6423699B2 (ja) | 作業申請処理装置、作業申請処理方法、及びプログラム | |
JP4305146B2 (ja) | 通信制御装置、アプリケーションサーバ、およびプログラム | |
CN111339527B (zh) | 一种弱口令检测方法及系统 | |
CN113206821A (zh) | 一种云桌面单点登录方法及网络设备、存储介质 | |
JP6953759B2 (ja) | 認証装置、認証方法およびプログラム | |
CN101640618B (zh) | 认证测试方法、系统和具有认证测试功能的网络 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |