CN110995738A - 暴力破解行为识别方法、装置、电子设备及可读存储介质 - Google Patents
暴力破解行为识别方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN110995738A CN110995738A CN201911291408.8A CN201911291408A CN110995738A CN 110995738 A CN110995738 A CN 110995738A CN 201911291408 A CN201911291408 A CN 201911291408A CN 110995738 A CN110995738 A CN 110995738A
- Authority
- CN
- China
- Prior art keywords
- host
- access
- protocol type
- data packet
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种暴力破解行为识别方法、装置、电子设备及可读存储介质,涉及互联网技术领域。该方法包括:获取预设协议类型的数据包,所述数据包为第一主机尝试接入第二主机时向所述第二主机发送的;根据所述数据包确定所述第一主机尝试接入所述第二主机的尝试接入次数;根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为。该方案通过自动获取第二主机中预设协议类型的数据包,然后基于数据包确定第一主机尝试接入第二主机的接入次数,从而可直接根据尝试接入次数来确定第一主机是否存在暴力破解行为,而无需直接获取第一主机的日志信息来分析,通过本申请提供的方案即可更加容易识别出主机的暴力破解行为。
Description
技术领域
本申请涉及互联网技术领域,具体而言,涉及一种暴力破解行为识别方法、装置、电子设备及可读存储介质。
背景技术
暴力破解是指攻击者通过系统地组合所有可能性,如登录时用到的账户信息、密码等,尝试所有的可能性,从而破解出用户的账户名、密码等敏感信息。
现有技术中,一般可以获取攻击主机的日志信息进行分析,以分析其是否其存在暴力破解行为,但是攻击主机一般处于比较难追溯的状态,所以一般很难获取到攻击主机的日志信息,在获取不到攻击主机的日志信息时,则无法确定出其是否存在暴力破解行为。
发明内容
本申请实施例的目的在于提供一种暴力破解行为识别方法、装置、电子设备及可读存储介质,用以改善现有技术中在无法获得攻击主机的日志信息的情况下无法确定其是否存在暴力破解行为的问题。
第一方面,本申请实施例提供了一种暴力破解行为识别方法,所述方法包括:获取预设协议类型的数据包,所述数据包为第一主机尝试接入第二主机时向所述第二主机发送的,所述数据包承载有接入所述第二主机所需的鉴权信息;根据所述数据包确定所述第一主机尝试接入所述第二主机的尝试接入次数;根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为。
在上述实现过程中,通过自动获取第二主机中预设协议类型的数据包,然后基于数据包确定第一主机尝试接入第二主机的接入次数,从而可直接根据尝试接入次数来确定第一主机是否存在暴力破解行为,而无需直接获取第一主机的日志信息来分析,通过本申请提供的方案即可更加容易识别出主机的暴力破解行为。
可选地,所述根据所述数据包确定所述第一主机尝试接入所述第二主机的连接次数,包括:
确定所述数据包的数量;
根据所述数据包的数量确定所述第一主机尝试接入所述第二主机的尝试接入次数。
在上述实现过程中,由于第一主机每次尝试接入第二主机可能产生一点数量的预设协议类型的数据包,所以可直接基于数据包的数量来确定尝试接入次数,由此减少了数据分析量,更加容易快捷。
可选地,所述预设协议类型包括组播域名系统MDNS协议类型、链路本地多播名称解析LLMNR协议类型和服务器信息块SMB2协议类型。
可选地,所述根据所述数据包的数量确定所述第一主机尝试接入所述第二主机的尝试接入次数,包括:
确定所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量;
根据所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量,确定所述第一主机尝试接入所述第二主机的尝试接入次数。
在上述实现过程中,由于第一主机每次尝试接入第二主机可能产生一点数量的MDNS、LLMNR和SMB2协议类型的数据包,所以可以直接对这三种协议类型的数据包的数量进行统计,从而可容易获得尝试接入次数。
可选地,所述根据所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量,确定所述第一主机尝试接入所述第二主机的尝试接入次数,包括:
确定预设数量基数比例;
获取所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量之间的数量比例;
将所述数量比例与所述预设数量基数比例的商作为所述第一主机尝试接入所述第二主机的尝试接入次数。
在上述实现过程中,由于第一主机每次尝试接入第二主机时发送的三种协议类型的数据包的数量不一致,所以可以基于第一主机每次发送的三种协议类型的数据包的数量的比例来准确统计尝试接入次数。
可选地,所述数据包为所述第一主机采用预设命令尝试接入所述第二主机时向所述第二主机发送的。
可选地,所述预设命令为net use命令。
可选地,所述根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为,包括:
在所述尝试接入次数大于预设值时,确定所述第一主机存在暴力破解行为。
可选地,所述确定所述第一主机存在暴力破解行为之后,还包括:
开启防火墙隔离所述第一主机。
在上述实现过程中,在确定第一主机存在暴力破解行为之后,对第一主机进行隔离,以避免第一主机继续对第二主机产生攻击使得第二主机的信息造成泄漏的问题。
可选地,所述确定所述第一主机存在暴力破解行为之后,还包括:
从所述数据包中获取所述第一主机尝试接入所述第二主机时所使用的用户名;
获取所述第一主机的日志信息;
根据所述用户名从所述日志信息中获取所述第一主机尝试接入所述第二主机时所使用的密码。
在上述实现过程中,可以从数据包中获取第一主机尝试接入第二主机所使用的用户名,以及从第一主机的日志信息中获得对应的密码,由此可在下次检测到有主机使用相同的用户名和密码连接另一主机时可及时确定该主机为攻击主机,从而可及时采取相关措施对该主机进行隔离,以避免其对另一主机继续进行攻击。
可选地,所述获取所述第一主机的日志信息之前,还包括:
从所述数据包中获取所述第一主机的网际协议IP地址以及所述第二主机的IP地址;
根据所述第一主机的IP地址和所述第二主机的IP地址确定所述第一主机与所述第二主机是否处于同一网络中;
若是,则确定所述第一主机为域内主机,则执行步骤:获取所述第一主机的日志信息。
在上述实现过程中,可基于第一主机的IP地址和第二主机的IP地址来判断第一主机是否为域内主机,若第一主机为域内主机则可获得其日志信息,从而可获得第一主机尝试接入第二主机所使用的密码信息。
可选地,所述获取预设协议类型的数据包,包括:
获取所述第二主机中的多个数据包;
对所述多个数据包进行解析,筛选出符合预设协议类型的数据包。
第二方面,本申请实施例提供了一种暴力破解行为识别装置,所述装置包括:
数据包获取模块,用于获取预设协议类型的数据包,所述数据包为第一主机尝试接入第二主机时向所述第二主机发送的,所述数据包承载有接入所述第二主机所需的鉴权信息;
尝试接入次数确定模块,用于根据所述数据包确定所述第一主机尝试接入所述第二主机的尝试接入次数;
识别模块,用于根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为。
可选地,所述尝试接入次数确定模块,具体用于确定所述数据包的数量;根据所述数据包的数量确定所述第一主机尝试接入所述第二主机的尝试接入次数。
可选地,所述预设协议类型包括组播域名系统MDNS协议类型、链路本地多播名称解析LLMNR协议类型和服务器信息块SMB2协议类型。
可选地,所述尝试接入次数确定模块,具体用于确定所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量;根据所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量,确定所述第一主机尝试接入所述第二主机的尝试接入次数。
可选地,所述尝试接入次数确定模块,具体用于确定预设数量基数比例;获取所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量之间的数量比例;将所述数量比例与所述预设数量基数比例的商作为所述第一主机尝试接入所述第二主机的尝试接入次数。
可选地,所述数据包为所述第一主机采用预设命令尝试接入所述第二主机时向所述第二主机发送的。
可选地,所述预设命令为net use命令。
可选地,所述识别模块,具体用于在所述尝试接入次数大于预设值时,确定所述第一主机存在暴力破解行为。
可选地,所述装置还包括:
隔离模块,用于开启防火墙隔离所述第一主机。
可选地,所述装置还包括:
信息获取模块,用于:
从所述数据包中获取所述第一主机尝试接入所述第二主机时所使用的用户名;
获取所述第一主机的日志信息;
根据所述用户名从所述日志信息中获取所述第一主机尝试接入所述第二主机时所使用的密码。
可选地,所述装置还包括:
主机确定模块,用于:
从所述数据包中获取所述第一主机的网际协议IP地址以及所述第二主机的IP地址;
根据所述第一主机的IP地址和所述第二主机的IP地址确定所述第一主机与所述第二主机是否处于同一网络中;
若是,则确定所述第一主机为域内主机。
可选地,所述数据包获取模块,用于获取所述第二主机中的多个数据包;对所述多个数据包进行解析,筛选出符合预设协议类型的数据包。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种电子设备的结构示意图;
图2为本申请实施例提供的一种暴力破解行为识别方法的流程图;
图3为本申请实施例提供的一种暴力破解行为识别装置的结构框图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本申请实施例提供一种暴力破解行为识别方法,该方法可以自动获取被攻击主机中预设协议类型的数据包,然后基于数据包确定攻击主机尝试接入被攻击主机的尝试接入次数,从而可直接根据连接此时来确定攻击主机是否存在暴力破解行为,而无需直接获取攻击主机的日志信息来分析,通过本申请提供的方案即可更加容易识别出主机的暴力破解行为。
请参照图1,图1为本申请实施例提供的一种电子设备的结构示意图,所述电子设备可以包括:至少一个处理器110,例如CPU,至少一个通信接口120,至少一个存储器130和至少一个通信总线140。其中,通信总线140用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口120用于与其他节点设备进行信令或数据的通信。存储器130可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器130可选的还可以是至少一个位于远离前述处理器的存储装置。存储器130中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器110执行时,电子设备执行下述图2所示方法过程。
其中,存储器130可用于存储数据包,处理器110可以从存储器130中获取数据包,然后对数据包进行分析,获得第一主机尝试接入第二主机的尝试接入次数,在根据尝试接入次数确定第一主机是否存在暴力破解行为。
可以理解,图1所示的结构仅为示意,所述电子设备还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
请参照图2,图2为本申请实施例提供的一种暴力破解行为识别方法的流程图,该方法包括如下步骤:
步骤S110:获取预设协议类型的数据包,所述数据包为第一数据尝试接入第二主机时向所述第二主机发送的。
第一主机若想要攻击第二主机,或者想要获取第二主机上的相关隐私数据,则第一主机需先与第二主机取得连接。第二主机为了确保自身数据的安全,第二主机可能设置有连接用户名和密码,即第一主机只能使用特定的用户名和对应的密码才能与第二主机进行连接,所以,第一主机若想与第二主机取得连接,其只能使用不同的用户名和不同的密码尝试与第二主机进行连接。
即第一主机每次使用不同的用户名和对应的密码与第二主机尝试接入,在尝试接入的过程中,第一主机向第二主机发送预设协议类型的数据包,这些数据包中可以包括第一主机想要与第二主机进行连接的请求信息,即这些数据包承载有接入第二主机所需的鉴权信息,如用户名,第二主机在获取到这些数据包后,可对这些数据包进行解析,获取其中的用户名,然后根据其用户名查找第一主机输入的密码,对其进行验证,在用户名和密码验证通过后,则可确定第一主机为合法主机,进而允许第一主机进行连接。
但是,若第一主机在进行多次尝试接入后最终与第二主机连接,若第一主机为非法主机,此时第二主机则很可能被第一主机攻击,造成信息泄露。所以,为了确保第二主机的安全,电子设备可从第二主机中获取第一主机在尝试接入第二主机时向第二主机发送的预设协议类型的数据包,然后对数据包进行解析,以确定第一主机是否存在多次尝试接入第二主机的行为,进而判断第一主机是否存在暴力破解行为,即判定第一主机是否为非法主机。
其中,该预设协议类型的数据包可以是电子设备通过相应的数据捕获工具进行获取的,如通过wireshark工具获取的。为了实时确保第二主机的安全,电子设备可以实时对第二主机中的数据包进行监测,即在第二主机收到预收协议类型的数据包后,则获取该数据包,或者第二主机自动对预设协议类型的数据包进行监测,在监测第二主机接收到预设协议类型的数据包时,则主动将预设协议类型的数据包发送至电子设备,由此,电子设备也可获取到该预设协议类型的数据包。
当然,电子设备也可定时从第二主机中获取数据包,如电子设备可以定时向第二主机发送预设协议类型的数据包获取指令,第二主机在接收到该指令时,可查找预存储的数据包中是否有预设协议类型的数据包,若有,则将预设协议类型的数据包发送给电子设备。或者,第二主机定时从预存储的数据包中查找预设协议类型的数据包,然后将其发送给电子设备。
另外,为了确保电子设备不遗漏其中的预设协议类型的数据包,作为一种示例,电子设备可以直接获取第二主机中的多个数据包,该多个数据包可以是第二主机中所有的数据包,然后对这多个数据包进行解析,筛选出符合预设协议类型的数据包。
例如,第二主机可以实时或者定时将存储的数据包发送给电子设备,电子设备可从接收的数据包中筛选出预设协议类型的数据包,当然,电子设备可以实时或者定时向第二主机发送数据包获取指令,则第二主机接收到该指令后将所有的数据包发送给电子设备,然后电子设备再从中筛选出预设协议类型的数据包即可。
步骤S120:根据所述数据包确定所述第一主机尝试接入所述第二主机的尝试接入次数。
第一主机每次尝试接入第二主机时,均会向第二主机发送预设协议类型的数据包,所以,可以通过对数据包进行分析来获得第一主机尝试接入第二主机的尝试接入次数。例如,第一主机在每次尝试接入第二主机时向第二主机发送的预设协议类型的数据包中携带有相应的连接标识,所以,可以统计这些数据包中连接标识的数量即可确定第一主机尝试接入第二主机的尝试接入次数。
步骤S130:根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为。
可以理解地,在上述统计出尝试接入次数数量较大时,可能表明第一主机为非法主机,即第一主机存在暴力破解行为。例如,在尝试接入次数大于预设值时,确定第一主机存在暴力破解行为,其中,预设值可以根据实际需求设置,例如,预设值为10,则在尝试接入次数大于10次时,表明第一主机存在暴力破解行为。
当然,若是第一主机由于忘记密码或用户名而导致被误判为是非法主机,则还可以将上述的预设值设置为一个较小的值,如预设值可以设置为3,则第一主机在尝试接入次数小于或等于该预设值时且与第二主机成功连接,则确定该第一主机为合法主机,不存在暴力破解行为。在第一主机第一次和第二次尝试接入均未连接上第二主机,若是在第三次尝试接入则成功连接上第二主机,则表明该第一主机为合法主机,这种情况下,若第一主机在第三次尝试接入第二主机时也未成功连接上第二主机,若第一主机继续第四次与第二主机进行连接,此时则确定第一主机为非法主机,存在暴力破解行为。
在上述实现过程中,通过自动获取第二主机中预设协议类型的数据包,然后基于数据包确定第一主机尝试接入第二主机的接入次数,从而可直接根据尝试接入次数来确定第一主机是否存在暴力破解行为,而无需直接获取第一主机的日志信息来分析,通过本申请提供的方案即可更加容易识别出主机的暴力破解行为。
作为一种可选的实施例,若确定第一主机存在暴力破解行为时,则可开启防火墙隔离所述第一主机,以阻断第一主机继续尝试接入第二主机,也可以将第二主机也一并进行隔离,即将第一主机和第二主机均进行隔离,以避免第一主机继续尝试与第二主机进行连接,以及避免第一主机继续对第二主机产生攻击使得第二主机的信息造成泄露的风险。
另外,第一主机在尝试接入第二主机时,可以使用预设命令与第二主机连接,即上述的预设协议类型的数据包为第一主机采用预设命令尝试接入第二主机时发送的。
其中,预设命令可以是net use命令,net use命令可用于将第一主机与第二主机进行尝试连接。
另外,第一主机在每次尝试接入第二主机时,其会向第二主机发送一定数量的预设协议类型的数据包,所以,还可以先确定预设协议类型的数据包的数量,然后再根据数据包的数量确定第一主机尝试接入第二主机的尝试接入次数。
例如,第一主机在每次尝试接入第二主机时向第二主机发送3个预设协议类型的数据包,若电子设备统计出此时有6个预设协议类型的数据包,则确定尝试接入次数为2次,若电子设备统计出有5个预设协议类型的数据包,则确定尝试接入次数为1次,即尝试接入次数为总的数据包数量除以每次尝试接入产生的数据包的数量获得的商取整,获得的整数即为尝试接入次数。
在上述实现过程中,由于第一主机每次尝试接入第二主机可能产生一点数量的预设协议类型的数据包,所以可直接基于数据包的数量来确定尝试接入次数,由此减少了数据分析量,更加容易快捷。
而经发明人实际实践发现,第一主机每次尝试接入第二主机向第二主机发送的预设协议类型的数据包包括:预设协议类型包括组播域名系统(Multicast Domain NameSystem,MDNS)协议类型的数据包、链路本地多播名称解析(Link-Local Multicast NameResolution,LLMNR)协议类型的数据包和服务器信息块(Server Message Block,SMB2)协议类型的数据包,即预设协议类型包括的MDNS协议类型、LLMNR协议类型和SMB2协议类型。
其中,MDNS协议是指在没有传统DNS服务器的情况下使局域网内的主机实现相互发现和通信。在局域网络内,若第一主机需要和第二主机进行通信,则第一主机需要知道第二主机的IP地址,第一主机也将自己的IP地址通过MDNS协议类型的数据包发送给局域网内的其他主机,此时第二主机在接收到该MDNS协议类型的数据包后即可将自己的IP地址发送给第一主机。
LLMNR是一个基于协议的DNS数据包的格式,在DNS服务器不可用时,可以使用LLMNR协议来解析本地网段上的名称,例如,如果路由器出现故障,从网络上的所有DNS服务器切断了子网,则支持LLMNR的子网上的主机可以继续在对等基础上解析名称,直到网络连接还原为止。也就是说,LLMNR为使用IPv4、IPv6或者同时使用这两种地址的设备提供了点对点名称解析服务,可以让同一子网中的IPv4和IPv6设备不需要DNS服务器就可以解析对方的名称,所以,第一主机可以通过向第二主机发送LLMNR协议类型的数据包来解析第二主机的名称。
SMB2协议是一个应用层协议,主要用于在计算机间共享文件、打印机和串口等。通过SMB2协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务器请求。也就是说,第一主机可以通过向第二主机发送SMB2协议类型的数据包,以尝试从第二主机上读取数据。
可以理解地,第一主机在尝试接入第二主机时均会向第二主机发送上述三种协议类型的数据包,所以,在根据数据包的数量确定第一主机尝试接入第二主机的尝试接入次数时,可以先确定上述三种协议类型的数据包的数量,即先确定MDNS协议类型的数据包的数量、LLMNR协议类型的数据包的数量以及SMB2协议类型的数据包的数量,然后在根据这三种协议类型的数据包的数量来确定第一主机尝试接入第二主机的尝试接入次数。
例如,若第一主机每次尝试接入第二主机会向第二主机发送MDNS协议类型的数据包的数量为8个、LLMNR协议类型的数据包的数量为8个以及SMB2协议类型的数据包的数量为6个,若电子设备统计出MDNS协议类型的数据包的数量为24个、LLMNR协议类型的数据包的数量为24个以及SMB2协议类型的数据包的数量为18个,则可确定尝试接入次数为3次。
在上述实现过程中,由于第一主机每次尝试接入第二主机可能产生一点数量的MDNS、LLMNR和SMB2协议类型的数据包,所以可以直接对这三种协议类型的数据包的数量进行统计,从而可容易获得尝试接入次数。
当然,为了方便,也可以只统计出任意一种协议类型的数据包的数量,根据该数量来确定尝试接入次数,如统计出MDNS协议类型的数据包的数量为25,则尝试接入次数即为3,如此还可只统计任意一种或者任意两种协议类型的数据包的数量来确定尝试接入次数。
而由于第二主机中若接收到其他业务可能也会产生上述三种协议类型中任一种协议类型的数据包,所以,只统计任意一种或者任意两种协议类型的数据包的数量来确定尝试接入次数可能不如统计三种协议类型的数据包的数量来确定尝试接入次数更准确,当然,在实际应用中,为了方便,也可以统计任意一种或者任意两种协议类型的数据包的数量来大致确定尝试接入次数。
另外,由于第二主机中若接收到其他业务可能也会产生上述三种协议类型中任一种协议类型的数据包,所以,可能统计出的三种协议类型的数据包可能并不全部是第一主机尝试接入第二主机时发送的,所以,统计出的三种类型的数据包的数量可能并不是按照一定比例的,所以,可以先确定一个预设数量基数比例,然后在获取上述三种协议类型的数据包之间的数量比例,然后将这个数量比例除以预设数量基数比例的商作为尝试接入次数。
例如,若预设数量基数比例为8:8:6,获得的MDNS协议类型的数据包的数量为26个、LLMNR协议类型的数据包的数量为24个以及SMB2协议类型的数据包的数量为18个,此时,获得的商为3,即将获得的各个协议类型的数据包的数量除以对应每次发送的协议类型的数量的商,如[26/8]=3,24/8=3,18/6=3,这样可统计出尝试接入次数为3。当然,若MDNS协议类型的数据包的数量为32个、LLMNR协议类型的数据包的数量为24个以及SMB2协议类型的数据包的数量为18个,此时,32/8=4,而其他两个数量进行除法运算获得的商为3,则尝试接入次数也为3。
可以理解地,可以将每种协议类型的数据包的数量与其单次发送的该协议类型的数据包的数量进行除法运算,获得三个商值,若三个商值均不相等时,可取最小的商值作为尝试接入次数,若只有一个商值与其他两个商值不相等时,则取其他两个相同的商值作为尝试接入次数。
当然,上述根据三种协议类型的数据包的数量确定尝试接入次数的方式还可以根据实际情况设定,应理解,其他方式也应在本申请的保护范围内。
在上述实现过程中,由于第一主机每次尝试接入第二主机时发送的三种协议类型的数据包的数量不一致,所以可以基于第一主机每次发送的三种协议类型的数据包的数量的比例来准确统计尝试接入次数。
另外,在SMB2协议类型的数据包中携带有第一主机尝试接入第二主机所使用的用户名,以及该协议类型的数据包中还携带有第一主机的主机名和IP地址,所以,可以对数据包进行分析,从数据包中获取第一主机尝试接入第二主机时所使用的用户名,然后再获取第一主机的日志信息,根据用户名从日志信息中获取第一主机尝试接入第二主机时所使用的密码。
例如,在SMB2协议类型的数据包中,可以从如下字段获取其主机名和用户名,如User:#{ATTCKER-COMPUTER-NAME}\#{USERNAME},其中,NAME即为第一主机的主机名,USERNAME即为第一主机所使用的用户名,如此可从SMB2协议类型的数据包中获取第一主机所使用的多个用户名。
同时,SMB2协议类型的数据包中携带有第一主机的IP地址和第二主机的IP地址,所以,还可以从这数据包中获取第一主机的IP地址和第二主机的IP地址,然后根据第一主机的IP地址和第二主机的IP地址确定第一主机和第二主机是否处于同一网络中,若是,则确定第一主机为域内主机,则获取第一主机的日志信息。
例如,若第一主机和第二主机的IP地址属于同一个虚拟局域网中,则表明第一主机和第二主机处于同一网络中,此时可以获取到第一主机的日志信息,若第一主机和第二主机不处于同一网络中,则获取不到第一主机的日志信息,而只能根据数据包统计出第一主机所使用的用户名。
若统计出第一主机所使用的用户名后,可在下次检测到数据包中包含有相同的用户名时,可直接认定其是攻击主机,存在暴力破解行为。
若获取到第一主机的所有日志信息后,可对日志信息进行审计,查询出键为process_name,键值为net use,同时键为process_command_line,键值部分为net use的所有日志,在这些日志中,可以查找到键为process_command_line对应的完整键值为:netuse\\\\IP/user:\\USERNAME PASSWORD,其中,PASSWORD即为对应的用户名所使用的密码。
所以,可以通过用户名查找到该用户名对应的密码,进而可重建第一主机所使用的用户名和密码,由此可在下次检测到若有主机尝试接入另一主机时使用相同的用户名和密码时,则可及时确定其主机为攻击主机,进而可及时采取相关措施对该主机进行隔离,以防止其对另一主机继续造成攻击,窃取其信息。
请参照图3,图3为本申请实施例提供的一种暴力破解行为识别装置200的结构框图,该装置200可以是电子设备上的模块、程序段或代码。应理解,该装置200与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
数据包获取模块210,用于获取预设协议类型的数据包,所述数据包为第一主机尝试接入第二主机时向所述第二主机发送的,所述数据包承载有接入所述第二主机所需的鉴权信息;
尝试接入次数确定模块220,用于根据所述数据包确定所述第一主机尝试接入所述第二主机的尝试接入次数;
识别模块230,用于根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为。
可选地,所述尝试接入次数确定模块220,具体用于确定所述数据包的数量;根据所述数据包的数量确定所述第一主机尝试接入所述第二主机的尝试接入次数。
可选地,所述预设协议类型包括组播域名系统MDNS协议类型、链路本地多播名称解析LLMNR协议类型和服务器信息块SMB2协议类型。
可选地,所述尝试接入次数确定模块220,具体用于确定所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量;根据所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量,确定所述第一主机尝试接入所述第二主机的尝试接入次数。
可选地,所述尝试接入次数确定模块220,具体用于确定预设数量基数比例;获取所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量之间的数量比例;将所述数量比例与所述预设数量基数比例的商作为所述第一主机尝试接入所述第二主机的尝试接入次数。
可选地,所述数据包为所述第一主机采用预设命令尝试接入所述第二主机时向所述第二主机发送的。
可选地,所述预设命令为net use命令。
可选地,所述识别模块230,具体用于在所述尝试接入次数大于预设值时,确定所述第一主机存在暴力破解行为。
可选地,所述装置200还包括:
隔离模块,用于开启防火墙隔离所述第一主机。
可选地,所述装置200还包括:
信息获取模块,用于:
从所述数据包中获取所述第一主机尝试接入所述第二主机时所使用的用户名;
获取所述第一主机的日志信息;
根据所述用户名从所述日志信息中获取所述第一主机尝试接入所述第二主机时所使用的密码。
可选地,所述装置200还包括:
主机确定模块,用于:
从所述数据包中获取所述第一主机的网际协议IP地址以及所述第二主机的IP地址;
根据所述第一主机的IP地址和所述第二主机的IP地址确定所述第一主机与所述第二主机是否处于同一网络中;
若是,则确定所述第一主机为域内主机。
可选地,所述数据包获取模块210,用于获取所述第二主机中的多个数据包;对所述多个数据包进行解析,筛选出符合预设协议类型的数据包。
本申请实施例提供一种可读存储介质,所述计算机程序被处理器执行时,执行如图2所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:获取预设协议类型的数据包,所述数据包为第一主机尝试接入第二主机时向所述第二主机发送的,所述数据包承载有接入所述第二主机所需的鉴权信息;根据所述数据包确定所述第一主机尝试接入所述第二主机的尝试接入次数;根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为。
综上所述,本申请实施例提供一种暴力破解行为识别方法、装置、电子设备及可读存储介质,该方法通过自动获取第二主机中预设协议类型的数据包,然后基于数据包确定第一主机尝试接入第二主机的接入次数,从而可直接根据尝试接入次数来确定第一主机是否存在暴力破解行为,而无需直接获取第一主机的日志信息来分析,通过本申请提供的方案即可更加容易识别出主机的暴力破解行为。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (15)
1.一种暴力破解行为识别方法,其特征在于,所述方法包括:
获取预设协议类型的数据包,所述数据包为第一主机尝试接入第二主机时向所述第二主机发送的,所述数据包承载有接入所述第二主机所需的鉴权信息;
根据所述数据包确定所述第一主机尝试接入所述第二主机的尝试接入次数;
根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为。
2.根据权利要求1所述的方法,其特征在于,所述根据所述数据包确定所述第一主机尝试接入所述第二主机的连接次数,包括:
确定所述数据包的数量;
根据所述数据包的数量确定所述第一主机尝试接入所述第二主机的尝试接入次数。
3.根据权利要求2所述的方法,其特征在于,所述预设协议类型包括组播域名系统MDNS协议类型、链路本地多播名称解析LLMNR协议类型和服务器信息块SMB2协议类型。
4.根据权利要求3所述的方法,其特征在于,所述根据所述数据包的数量确定所述第一主机尝试接入所述第二主机的尝试接入次数,包括:
确定所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量;
根据所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量,确定所述第一主机尝试接入所述第二主机的尝试接入次数。
5.根据权利要求4所述的方法,其特征在于,所述根据所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量,确定所述第一主机尝试接入所述第二主机的尝试接入次数,包括:
确定预设数量基数比例;
获取所述MDNS协议类型的数据包的数量、所述LLMNR协议类型的数据包的数量以及所述SMB2协议类型的数据包的数量之间的数量比例;
将所述数量比例与所述预设数量基数比例的商作为所述第一主机尝试接入所述第二主机的尝试接入次数。
6.根据权利要求1所述的方法,其特征在于,所述数据包为所述第一主机采用预设命令尝试接入所述第二主机时向所述第二主机发送的。
7.根据权利要求6所述的方法,其特征在于,所述预设命令为net use命令。
8.根据权利要求1-7任一所述的方法,其特征在于,所述根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为,包括:
在所述尝试接入次数大于预设值时,确定所述第一主机存在暴力破解行为。
9.根据权利要求8所述的方法,其特征在于,所述确定所述第一主机存在暴力破解行为之后,还包括:
开启防火墙隔离所述第一主机。
10.根据权利要求8所述的方法,其特征在于,所述确定所述第一主机存在暴力破解行为之后,还包括:
从所述数据包中获取所述第一主机尝试接入所述第二主机时所使用的用户名;
获取所述第一主机的日志信息;
根据所述用户名从所述日志信息中获取所述第一主机尝试接入所述第二主机时所使用的密码。
11.根据权利要求10所述的方法,其特征在于,所述获取所述第一主机的日志信息之前,还包括:
从所述数据包中获取所述第一主机的网际协议IP地址以及所述第二主机的IP地址;
根据所述第一主机的IP地址和所述第二主机的IP地址确定所述第一主机与所述第二主机是否处于同一网络中;
若是,则确定所述第一主机为域内主机,则执行步骤:获取所述第一主机的日志信息。
12.根据权利要求1所述的方法,其特征在于,所述获取预设协议类型的数据包,包括:
获取所述第二主机中的多个数据包;
对所述多个数据包进行解析,筛选出符合预设协议类型的数据包。
13.一种暴力破解行为识别装置,其特征在于,所述装置包括:
数据包获取模块,用于获取预设协议类型的数据包,所述数据包为第一主机尝试接入第二主机时向所述第二主机发送的,所述数据包承载有接入所述第二主机所需的鉴权信息;
尝试接入次数确定模块,用于根据所述数据包确定所述第一主机尝试接入所述第二主机的尝试接入次数;
识别模块,用于根据所述尝试接入次数确定所述第一主机是否存在暴力破解行为。
14.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-12任一所述的方法。
15.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-12任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911291408.8A CN110995738B (zh) | 2019-12-13 | 2019-12-13 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911291408.8A CN110995738B (zh) | 2019-12-13 | 2019-12-13 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110995738A true CN110995738A (zh) | 2020-04-10 |
| CN110995738B CN110995738B (zh) | 2022-04-01 |
Family
ID=70093781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911291408.8A Active CN110995738B (zh) | 2019-12-13 | 2019-12-13 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995738B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111654499A (zh) * | 2020-06-03 | 2020-09-11 | 哈尔滨工业大学(威海) | 一种基于协议栈的暴破攻击识别方法和装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
| CN106817364A (zh) * | 2016-12-29 | 2017-06-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种暴力破解的检测方法及装置 |
| US20170346809A1 (en) * | 2016-05-24 | 2017-11-30 | Microsoft Technology Licensing, Llc. | Distinguishing vertical brute force attacks from benign errors |
| CN107566409A (zh) * | 2017-10-20 | 2018-01-09 | 携程旅游网络技术(上海)有限公司 | 局域网扫描行为检测方法、装置、电子设备、存储介质 |
| CN108011863A (zh) * | 2017-08-23 | 2018-05-08 | 北京车和家信息技术有限责任公司 | 识别暴力破解的方法及装置 |
| CN109635564A (zh) * | 2018-12-07 | 2019-04-16 | 深圳市联软科技股份有限公司 | 一种检测暴力破解行为的方法、装置、介质及设备 |
| CN109714149A (zh) * | 2018-12-24 | 2019-05-03 | 浙江蓝卓工业互联网信息技术有限公司 | 一种防暴力破解的登录控制方法及装置 |
| US20190190934A1 (en) * | 2017-12-19 | 2019-06-20 | T-Mobile Usa, Inc. | Mitigating against malicious login attempts |
| CN109981647A (zh) * | 2019-03-27 | 2019-07-05 | 北京百度网讯科技有限公司 | 用于检测暴力破解的方法和装置 |
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
-
2019
- 2019-12-13 CN CN201911291408.8A patent/CN110995738B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
| US20170346809A1 (en) * | 2016-05-24 | 2017-11-30 | Microsoft Technology Licensing, Llc. | Distinguishing vertical brute force attacks from benign errors |
| CN106817364A (zh) * | 2016-12-29 | 2017-06-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种暴力破解的检测方法及装置 |
| CN108011863A (zh) * | 2017-08-23 | 2018-05-08 | 北京车和家信息技术有限责任公司 | 识别暴力破解的方法及装置 |
| CN107566409A (zh) * | 2017-10-20 | 2018-01-09 | 携程旅游网络技术(上海)有限公司 | 局域网扫描行为检测方法、装置、电子设备、存储介质 |
| US20190190934A1 (en) * | 2017-12-19 | 2019-06-20 | T-Mobile Usa, Inc. | Mitigating against malicious login attempts |
| CN109635564A (zh) * | 2018-12-07 | 2019-04-16 | 深圳市联软科技股份有限公司 | 一种检测暴力破解行为的方法、装置、介质及设备 |
| CN109714149A (zh) * | 2018-12-24 | 2019-05-03 | 浙江蓝卓工业互联网信息技术有限公司 | 一种防暴力破解的登录控制方法及装置 |
| CN109981647A (zh) * | 2019-03-27 | 2019-07-05 | 北京百度网讯科技有限公司 | 用于检测暴力破解的方法和装置 |
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| MARYAM M. NAJAFABADI;TAGHI M. KHOSHGOFTAAR;CLIFFORD KEMP;NAEEM S: "Machine Learning for Detecting Brute Force Attacks at the Network Level", 《2014 IEEE INTERNATIONAL CONFERENCE ON BIOINFORMATICS AND BIOENGINEERING》 * |
| 王斌: "工业物联网信息安全防护技术研究", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》 * |
| 魏琴芳;杨子明;胡向东;张峰;郭智慧;付俊: "基于流量特征的登录账号密码暴力破解攻击检测方法", 《西南大学学报(自然科学版)》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111654499A (zh) * | 2020-06-03 | 2020-09-11 | 哈尔滨工业大学(威海) | 一种基于协议栈的暴破攻击识别方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110995738B (zh) | 2022-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10880314B2 (en) | Trust relationships in a computerized system | |
| EP3424178B1 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
| US9712532B2 (en) | Optimizing security seals on web pages | |
| US20100235917A1 (en) | System and method for detecting server vulnerability | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| US20120255022A1 (en) | Systems and methods for determining vulnerability to session stealing | |
| US7134140B2 (en) | Token-based authentication for network connection | |
| JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
| CN110768951B (zh) | 验证系统漏洞的方法及装置、存储介质、电子装置 | |
| EP3306900A1 (en) | Dns routing for improved network security | |
| KR101996471B1 (ko) | 네트워크 보안장치 및 보안방법 | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| US20170063859A1 (en) | System and method for network access control | |
| CN110765333A (zh) | 采集网站信息的方法及装置、存储介质、电子装置 | |
| JP6636222B2 (ja) | セキュリティ診断装置およびセキュリティ診断方法 | |
| CN112311722B (zh) | 一种访问控制方法、装置、设备及计算机可读存储介质 | |
| CN102223422A (zh) | 一种dns报文处理方法及网络安全设备 | |
| WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
| CN110995738B (zh) | 暴力破解行为识别方法、装置、电子设备及可读存储介质 | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| US10015179B2 (en) | Interrogating malware | |
| Afek et al. | Eradicating attacks on the internal network with internal network policy | |
| JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム | |
| US8149723B2 (en) | Systems and methods for discovering machines |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |