CN111786971A - 主机爆破攻击的防御方法、装置和计算机设备 - Google Patents
主机爆破攻击的防御方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN111786971A CN111786971A CN202010566330.2A CN202010566330A CN111786971A CN 111786971 A CN111786971 A CN 111786971A CN 202010566330 A CN202010566330 A CN 202010566330A CN 111786971 A CN111786971 A CN 111786971A
- Authority
- CN
- China
- Prior art keywords
- address
- host
- data packet
- network
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000005422 blasting Methods 0.000 title claims abstract description 34
- 230000007123 defense Effects 0.000 title claims abstract description 32
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 abstract description 7
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000008260 defense mechanism Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本申请涉及一种主机爆破攻击的防御方法、装置和计算机设备,其中方法包括:获取网络数据包,网络数据包包括源IP地址和目的端口;根据网络数据包,确定网络数据包是否为登录请求数据;若是,则记录源IP地址对应的主机在预设时间内对每一目的端口的登录请求次数;若登录请求次数超过预设阈值,则确定IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝源IP地址对应主机的网络连接。上述方法通过监听网卡的网络连接情况确定是否为恶意登录请求,并在检测到恶意登录请求时,通过防火墙阻断对应IP的连接请求。通过统一配置,监听主机上需要防御的所有服务协议,可以对所有需要防御的服务协议的恶意攻击进行快速防御。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种主机爆破攻击的防御方法、装置和计算机设备。
背景技术
物联网技术的出现,使我们的生活更加方便、快捷的同时,也不可避免地带来了一些安全问题。物联网中的很多应用都与我们的生活息息相关,通过对应用的采集,可直接或间接地暴露用户的隐私信息。如果不对其进行加密、认证、访问控制管理的安全措施,物联网中的数据很容易被窃取或非法访问,造成数据泄露。当前网络攻击方法中,通常采用弱口令爆破的方式来攻击服务器,弱口令爆破即通过口令字典不断尝试登陆的方式得到登陆口令。
但是,目前防止系统被弱口令爆破的方法主要依赖于自身服务端内置的防御弱口令爆破机制,但只有少数网络服务提供该防御机制,且各个服务的防御机制需要单独配置,操作繁琐,因此无法快速防御主机中所有服务协议的恶意登录。
发明内容
本申请提供一种主机爆破攻击的防御方法、装置和计算机设备,以至少解决相关技术中无法快速防御主机中所有服务协议的恶意登录问题。
第一方面,本申请实施例提供了一种主机爆破攻击的防御方法,所述方法包括:
获取网络数据包,所述网络数据包包括源IP地址和目的端口;
根据所述网络数据包,确定所述网络数据包是否为登录请求数据;
若是,则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数;
若所述登录请求次数超过预设阈值,则确定所述IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝所述源IP地址对应主机的网络连接。
在其中一些实施例中,所述根据所述网络数据包,确定所述网络数据包是否为登录请求数据包括:
针对每一目的端口,获取对应所述网络数据包中的登录协议和所述登录协议对应的数据包指纹特征;
将所述数据包指纹特征与所述目的端口的预设登录协议对应的指纹特征进行匹配;
根据匹配结果确定所述网络数据包是否为登录请求数据。
在其中一些实施例中,所述方法还包括:
对所述端口添加私有服务指纹,以防御私有协议服务被攻击。
在其中一些实施例中,在所述获取网络数据包之后,所述方法还包括:
确定用户是否指定监听端口;
若是,则将指定端口对应的网络数据包传递至应用层。
在其中一些实施例中,在根据所述网络数据包,确定所述网络数据包是否为登录请求数据之前,所述方法还包括:
根据所述源IP地址对所述网络数据包进行分组,并将每一所述源IP地址对应的网络数据包作为一个IP分组;
根据所述目的端口对所述IP分组内的网络数据包进行分组。
在其中一些实施例中,在所述确定所述源IP地址对应的主机为恶意登录之后,所述方法还包括:发出告警信息。
在其中一些实施例中,在所述确定所述源IP地址对应的主机为恶意登录之后,所述方法还包括:
记录所述源IP地址对应的主机的信息;所述信息包括:记录的时间、恶意登录的源IP地址、登录的次数以及网络数据包。
第二方面,本申请实施例提供了一种主机爆破攻击的防御装置,所述装置包括:
获取模块,用于获取网络数据包;所述网络数据包包括源IP地址和目的端口;
第一确定模块,用于根据所述网络数据包,确定所述网络数据包是否为登录请求数据;
记录模块,用于若所述网络数据包为登录请求数据,则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数;
第二确定模块,用于若所述登录请求次数超过预设阈值,则确定所述源IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝所述源IP地址对应的主机的网络连接。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的主机爆破攻击的防御方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的主机爆破攻击的防御方法。
相比于相关技术,本申请实施例提供的主机爆破攻击的防御方法,通过获取网络数据包,所述网络数据包包括源IP地址和目的端口;根据所述网络数据包,确定所述网络数据包是否为登录请求数据;若是,则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数;若所述登录请求次数超过预设阈值,则确定所述IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝所述源IP地址对应主机的网络连接,解决了相关技术中无法快速防御主机中所有服务协议的恶意登录问题。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为一实施例提供的主机爆破攻击的防御方法的流程图;
图2为一实施例提供的传输层网络数据包格式的示意图;
图3为一实施例提供的网络层网络数据包格式的示意图;
图4为优选实施例提供的主机爆破攻击的防御方法的流程图;
图5为一个实施例中主机爆破攻击的防御装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请描述的各种技术可应用于对物联网、网页或设备的安全防护中。
图1为一实施例提供的主机爆破攻击的防御方法的流程图,如图1所示,主机爆破攻击的防御方法包括步骤110至步骤140;其中:
步骤110,获取网络数据包,所述网络数据包包括源IP地址和目的端口。具体地,可以使用libpcap工具监听端口(网络接口)并获取网络数据包。libcap的工作原理是在数据链路层加一个旁路处理,当一个网络数据包到达网络接口时,libpcap利用已经创建的Socket从链路层获得该网络数据包并传递给应用层。
需要说明的是,在将获取到的网络数据包传递给应用层之前,还可以首先确定用户是否指定监听端口;若用户指定了需要监听的端口,则可以仅将指定端口对应的网络数据包传递至应用层,以对指定的端口进行重点监控。若用户未指定监听端口,则将开放的所有端口的网络数据包均传递至应用层。
网络数据包包含数据链路层、网络层、传输层、应用层四层协议数据包。传输层数据包格式如图2所示。其中,Destination Port为本机的目的端口。网络层数据包格式如图3所示,其中,Source Address为源IP地址。
步骤120,根据所述网络数据包,确定所述网络数据包是否为登录请求数据。
应用层接收到网络数据包后,对网络数据包中的数据进行分析,确定网络数据包是否为登录请求数据。
在其中一些实施例中,所述根据所述网络数据包,确定所述网络数据包是否为登录请求数据包括:
针对每一目的端口,获取对应所述网络数据包中的登录协议和所述登录协议对应的数据包指纹特征;
将所述数据包指纹特征与所述目的端口的预设登录协议对应的指纹特征进行匹配;
根据匹配结果确定所述网络数据包是否为登录请求数据。
具体地,各个端口预存有默认登录协议以及该登录协议对应登录请求的数据包指纹特征。例如22端口通常为SSH远程登录协议,该登录协议包括版本号协商阶段、秘钥和算法协商阶段、认证阶段、会话请求阶段、交互会话阶段。前两个阶段数据包格式内容较固定,包含使用SSH协议的版本以及加密算法,当TCP连接成功后,服务端和客户端互相发送SSH版本号,如字符串“SSH-2.0”,通过预存的指纹“SSH-([\d.]+)-([\d.]+)”和版本号数据包进行正则匹配即可确定该网络数据包是否为SSH登录请求数据。
步骤130,若是,则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数。
当应用层发现某个源IP地址对应的主机对本机的端口发送数据时,通过匹配接收到的网络数据包和预设数据包指纹特征来判断该网络数据包是否为登录请求数据,如果是,则记录该源IP主机在预设时间内对本机各个端口发起的登录请求次数。
其中,预设时间可以为1分钟、分钟、3分钟等时长,也可以根据实际情况具体设置,本实施例不作具体限定。
步骤140,若所述登录请求次数超过预设阈值,则确定所述IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝所述源IP地址对应主机的网络连接。
当某个源IP地址对应的主机对本机的某个端口发起的登录请求次数超过预设阈值时,则认为该源IP地址对应的主机正在对本机进行弱口令攻击爆破。本申请可以通过调用iptables命令控制本机的防火墙来拒绝该源IP地址对应的主机的网络连接,从而终止其对本机的爆破攻击。
需要说明的是,iptables是运行在用户空间的应用软件,通过控制Linux内核的netfilter模块来管理网络数据包的处理和转发。
恶意攻击通常是通过弱口令爆破得到登录指令获取本机的信息,当前防止系统被弱口令爆破的方法主要依赖于自身服务端内置的防御弱口令爆破机制,但只有少数网络服务提供该防御机制,且各个服务的防御机制需要单独配置,操作繁琐,无法在第一时间获取所有被弱口令爆破的服务信息。与现有技术相比,本申请提供的主机爆破攻击的防御方法通过监听网卡的网络连接情况,分析流量信息确定是否为恶意登录请求,并在检测到恶意登录请求时,通过防火墙阻断对应IP的连接请求。通过统一配置,监听主机上需要防御的所有服务协议和对应的端口,集中显示被弱口令爆破攻击的信息,可以对所有需要防御的服务协议的恶意攻击进行快速防御。
在其中一些实施例中,主机爆破攻击的防御方法还包括:对所述端口添加私有服务指纹,以防御私有协议服务被攻击。
在客户端传输消息至服务器的过程中,客户端通常会根据需要传输的消息生成对应的报文,将报文发送至服务器。然而,由于传统方式中客户端所生成的报文结构比较复杂,报文所包含的数据量较大,从而会耗费客户端较多的通信资源,通信成本较高。因此,为了减少客户端传输消息所耗费的通信资源,降低通信成本通常采用私有协议进行传输。私有协议为用户预先设置的,私有协议可以是基于传输控制协议对应用层协议进行优化处理得到的针对消息传输业务的应用层协议。相较于传统的应用层协议,采用私有协议可以简化报文结构,在不丢失数据的前提下减少报文的数据量,从而有效的节省传输报文过程中的流量资源。
由于通常每个端口均有默认协议和协议对应的服务指纹,因此只能防御默认协议。本实施例中通过对端口添加私有协议对应的私有服务指纹(自定义服务指纹),从而可以防御私有协议服务被弱口令爆破攻击。
在其中一些实施例中,在根据所述网络数据包,确定所述网络数据包是否为登录请求数据之前,主机爆破攻击的防御方法还包括:
根据所述源IP地址对所述网络数据包进行分组,并将每一所述源IP地址对应的网络数据包作为一个IP分组;
根据所述目的端口对所述IP分组内的网络数据包进行分组。
应用层根据数据包中的源IP地址进行分组,各IP分组内再根据数据包中连接的本机目的端口进行分组,然后可以更方便地定时查寻各个源IP地址中各个目的端口的网络数据包个数,从而可以提高恶意登录识别效率,进而可以更及时地对恶意登录进行防御。
在其中一些实施例中,在所述确定所述源IP地址对应的主机为恶意登录之后,主机爆破攻击的防御方法还包括:发出告警信息。
本实施例在确定某个源IP地址对应的主机为恶意登录时,发出告警信息,以提示用户当前存在恶意登录行为。告警信息可以是以提示框显示在本机显示屏上,也可以是语音形式,具体形式本实施例不作限定。
在其中一些实施例中,在所述确定所述源IP地址对应的主机为恶意登录之后,主机爆破攻击的防御还包括:记录所述源IP地址对应的主机的信息;所述信息包括:记录的时间、恶意登录的源IP地址、登录的次数以及网络数据包。
图4是根据本申请实施例的主机爆破攻击的防御方法的优选流程图,如图4所示,该主机爆破攻击的防御方法包括如下步骤步骤410至步骤450;其中:
步骤410,获取网络数据包,网络数据包包括源IP地址和目的端口;
步骤420,判断用户是否指定监听端口;若是,则执行步骤430;若否,则执行步骤440;
步骤430,将指定端口对应的网络数据包传递至应用层;
步骤440,将所有开放端口对应的网络数据包传递至应用层;
步骤450,根据网络数据包,确定网络数据包是否为登录请求数据;
步骤460,若是,则记录源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数;
步骤470,若登录请求次数超过预设阈值,则确定IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝源IP地址对应主机的网络连接;
步骤480,向源IP地址对应的主机发出告警信息;
步骤490,记录源IP地址对应的主机的信息;所述信息包括:记录的时间、恶意登录的源IP地址、登录的次数以及网络数据包。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。例如,步骤480和步骤490可以交换执行顺序,例如先记录源IP地址对应的主机的信息,然后再发出告警信息。
在一个实施例中,如图5所示,提供了一种主机爆破攻击的防御装置,包括:获取模块510、第一确定模块520、记录模块530和第二确定模块540,其中:
获取模块510,用于获取网络数据包;所述网络数据包包括源IP地址和目的端口;
第一确定模块520,用于根据所述网络数据包,确定所述网络数据包是否为登录请求数据;
记录模块530,用于若所述网络数据包为登录请求数据,则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数;
第二确定模块540,用于若所述登录请求次数超过预设阈值,则确定所述源IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝所述源IP地址对应的主机的网络连接。
本申请涉及一种主机爆破攻击的防御装置包括:获取模块510、第一确定模块520、记录模块530和第二确定模块540;通过获取模块510获取网络数据包,网络数据包包括源IP地址和目的端口;第一确定模块520根据网络数据包,确定网络数据包是否为登录请求数据;若网络数据包为登录请求数据,记录模块530记录源IP地址对应的主机在预设时间内对每一目的端口的登录请求次数;若登录请求次数超过预设阈值,则第二确定模块540确定IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝源IP地址对应主机的网络连接。上述装置通过监听网卡的网络连接情况确定是否为恶意登录请求,并在检测到恶意登录请求时,通过防火墙阻断对应IP的连接请求。通过统一配置,监听主机上需要防御的所有服务协议和对应的端口,可以对所有需要防御的服务协议的恶意攻击进行快速防御。
在其中一些实施例中,第一确定模块520还用于针对每一目的端口,获取对应所述网络数据包中的登录协议和所述登录协议对应的数据包指纹特征;将所述数据包指纹特征与所述目的端口的预设登录协议对应的指纹特征进行匹配;根据匹配结果确定所述网络数据包是否为登录请求数据。
在其中一些实施例中,主机爆破攻击的防御装置还包括自定义模块,用于对所述目的端口添加私有服务指纹,以防御私有协议服务被攻击。
在其中一些实施例中,主机爆破攻击的防御装置还包括第三确定模块,用于确定用户是否指定监听端口;若是,则将指定端口对应的网络数据包传递至应用层。
在其中一些实施例中,主机爆破攻击的防御装置还包括分组模块,用于根据所述源IP地址对所述网络数据包进行分组,并将每一所述源IP地址对应的网络数据包作为一个IP分组;根据所述目的端口对所述IP分组内的网络数据包进行分组。
在其中一些实施例中,主机爆破攻击的防御装置还包括告警模块,用于发出告警信息。
在其中一些实施例中,主机爆破攻击的防御装置还包括信息记录模块,用于记录所述源IP地址对应的主机的信息;所述信息包括:记录的时间、恶意登录的源IP地址、登录的次数以及网络数据包。
关于主机爆破攻击的防御装置的具体限定可以参见上文中对于主机爆破攻击的防御方法的限定,在此不再赘述。上述主机爆破攻击的防御装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
另外,结合图1描述的本申请实施例主机爆破攻击的防御方法可以由计算机设备来实现。图6为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器61以及存储有计算机程序指令的存储器62。
具体地,上述处理器61可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器62可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器62可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器62可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器62可在数据处理装置的内部或外部。在特定实施例中,存储器62是非易失性(Non-Volatile)存储器。在特定实施例中,存储器62包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器62可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器62所执行的可能的计算机程序指令。
处理器61通过读取并执行存储器62中存储的计算机程序指令,以实现上述实施例中的任意一种主机爆破攻击的防御方法。
在其中一些实施例中,计算机设备还可包括通信接口63和总线60。其中,如图6所示,处理器61、存储器62、通信接口63通过总线60连接并完成相互间的通信。
通信接口63用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口63还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线60包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线60包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线60可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线60可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的程序指令,执行本申请实施例中的主机爆破攻击的防御方法,从而实现结合图1描述的主机爆破攻击的防御方法。
另外,结合上述实施例中的主机爆破攻击的防御方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种主机爆破攻击的防御方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种主机爆破攻击的防御方法,其特征在于,所述方法包括:
获取网络数据包,所述网络数据包包括源IP地址和目的端口;
根据所述网络数据包,确定所述网络数据包是否为登录请求数据;
若是,则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数;
若所述登录请求次数超过预设阈值,则确定所述IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝所述源IP地址对应主机的网络连接。
2.根据权利要求1所述的方法,其特征在于,所述根据所述网络数据包,确定所述网络数据包是否为登录请求数据包括:
针对每一目的端口,获取对应所述网络数据包中的登录协议和所述登录协议对应的数据包指纹特征;
将所述数据包指纹特征与所述目的端口的预设登录协议对应的指纹特征进行匹配;
根据匹配结果确定所述网络数据包是否为登录请求数据。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对端口添加私有服务指纹,以防御私有协议服务被攻击。
4.根据权利要求1所述的方法,其特征在于,在所述获取网络数据包之后,所述方法还包括:
确定用户是否指定监听端口;
若是,则将指定端口对应的网络数据包传递至应用层。
5.根据权利要求1所述的方法,其特征在于,在根据所述网络数据包,确定所述网络数据包是否为登录请求数据之前,所述方法还包括:
根据所述源IP地址对所述网络数据包进行分组,并将每一所述源IP地址对应的网络数据包作为一个IP分组;
根据所述目的端口对所述IP分组内的网络数据包进行分组。
6.根据权利要求1所述的方法,其特征在于,在所述确定所述源IP地址对应的主机为恶意登录之后,所述方法还包括:发出告警信息。
7.根据权利要求1所述的方法,其特征在于,在所述确定所述源IP地址对应的主机为恶意登录之后,所述方法还包括:
记录所述源IP地址对应的主机的信息;所述信息包括:记录的时间、恶意登录的源IP地址、登录的次数以及网络数据包。
8.一种主机爆破攻击的防御装置,其特征在于,所述装置包括:
获取模块,用于获取网络数据包;所述网络数据包包括源IP地址和目的端口;
第一确定模块,用于根据所述网络数据包,确定所述网络数据包是否为登录请求数据;
记录模块,用于若所述网络数据包为登录请求数据,则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数;
第二确定模块,用于若所述登录请求次数超过预设阈值,则确定所述源IP地址对应的主机为恶意登录,并控制本机的防火墙拒绝所述源IP地址对应的主机的网络连接。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010566330.2A CN111786971A (zh) | 2020-06-19 | 2020-06-19 | 主机爆破攻击的防御方法、装置和计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010566330.2A CN111786971A (zh) | 2020-06-19 | 2020-06-19 | 主机爆破攻击的防御方法、装置和计算机设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111786971A true CN111786971A (zh) | 2020-10-16 |
Family
ID=72757566
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010566330.2A Pending CN111786971A (zh) | 2020-06-19 | 2020-06-19 | 主机爆破攻击的防御方法、装置和计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111786971A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112468478A (zh) * | 2020-11-23 | 2021-03-09 | 杭州贝嘟科技有限公司 | 攻击拦截方法、装置、计算机设备和存储介质 |
CN112583789A (zh) * | 2020-11-04 | 2021-03-30 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
CN112702335A (zh) * | 2020-12-21 | 2021-04-23 | 赛尔网络有限公司 | 一种教育网恶意ip识别方法及装置 |
CN113315791A (zh) * | 2021-07-30 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种基于代理模块的主机防护方法和电子装置 |
CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
CN114422248A (zh) * | 2022-01-20 | 2022-04-29 | 深信服科技股份有限公司 | 一种攻击处理方法、系统、网络安全设备及存储介质 |
CN114553543A (zh) * | 2022-02-23 | 2022-05-27 | 安天科技集团股份有限公司 | 一种网络攻击检测方法、硬件芯片及电子设备 |
CN114884736A (zh) * | 2022-05-11 | 2022-08-09 | 山东鲁软数字科技有限公司 | 一种防爆破攻击的安全防护方法及装置 |
WO2023151256A1 (zh) * | 2022-02-11 | 2023-08-17 | 三六零科技集团有限公司 | 弱口令爆破攻击的防护方法、装置、介质、电子设备 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
CN101599976A (zh) * | 2009-07-10 | 2009-12-09 | 成都市华为赛门铁克科技有限公司 | 过滤用户数据报协议数据包的方法和装置 |
CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
CN103957195A (zh) * | 2014-04-04 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns系统以及dns攻击的防御方法和防御装置 |
CN105530098A (zh) * | 2015-12-04 | 2016-04-27 | 北京浩瀚深度信息技术股份有限公司 | 一种协议指纹自动提取方法及系统 |
CN106372513A (zh) * | 2016-08-25 | 2017-02-01 | 北京知道未来信息技术有限公司 | 一种基于软件指纹库的软件识别方法和装置 |
SE1750421A1 (sv) * | 2017-04-07 | 2018-10-08 | Safe Patient Identification Sweden Ab | Method performed by a computer system for biometric authentication of human beings of a first or a second category |
CN109600317A (zh) * | 2018-11-25 | 2019-04-09 | 北京亚鸿世纪科技发展有限公司 | 一种自动识别流量并提取应用规则的方法及装置 |
CN109831448A (zh) * | 2019-03-05 | 2019-05-31 | 南京理工大学 | 针对特定加密网页访问行为的检测方法 |
CN110430191A (zh) * | 2019-08-06 | 2019-11-08 | 合肥优尔电子科技有限公司 | 调度数据网中基于协议识别的安全预警方法及装置 |
-
2020
- 2020-06-19 CN CN202010566330.2A patent/CN111786971A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
CN101599976A (zh) * | 2009-07-10 | 2009-12-09 | 成都市华为赛门铁克科技有限公司 | 过滤用户数据报协议数据包的方法和装置 |
CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
CN103957195A (zh) * | 2014-04-04 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns系统以及dns攻击的防御方法和防御装置 |
CN105530098A (zh) * | 2015-12-04 | 2016-04-27 | 北京浩瀚深度信息技术股份有限公司 | 一种协议指纹自动提取方法及系统 |
CN106372513A (zh) * | 2016-08-25 | 2017-02-01 | 北京知道未来信息技术有限公司 | 一种基于软件指纹库的软件识别方法和装置 |
SE1750421A1 (sv) * | 2017-04-07 | 2018-10-08 | Safe Patient Identification Sweden Ab | Method performed by a computer system for biometric authentication of human beings of a first or a second category |
CN109600317A (zh) * | 2018-11-25 | 2019-04-09 | 北京亚鸿世纪科技发展有限公司 | 一种自动识别流量并提取应用规则的方法及装置 |
CN109831448A (zh) * | 2019-03-05 | 2019-05-31 | 南京理工大学 | 针对特定加密网页访问行为的检测方法 |
CN110430191A (zh) * | 2019-08-06 | 2019-11-08 | 合肥优尔电子科技有限公司 | 调度数据网中基于协议识别的安全预警方法及装置 |
Non-Patent Citations (2)
Title |
---|
YONGSEOG KIL: "A study on the portable secure authenticator using fingerprint", 《2015 8TH INTERNATIONAL CONGRESS ON IMAGE AND SIGNAL PROCESSING (CISP)》 * |
李憧等: "基于流量感知的动态网络资产监测研究", 《信息安全研究》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112583789A (zh) * | 2020-11-04 | 2021-03-30 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
CN112583789B (zh) * | 2020-11-04 | 2023-03-14 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
CN112468478A (zh) * | 2020-11-23 | 2021-03-09 | 杭州贝嘟科技有限公司 | 攻击拦截方法、装置、计算机设备和存储介质 |
CN112702335A (zh) * | 2020-12-21 | 2021-04-23 | 赛尔网络有限公司 | 一种教育网恶意ip识别方法及装置 |
CN113315791A (zh) * | 2021-07-30 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种基于代理模块的主机防护方法和电子装置 |
CN114422248A (zh) * | 2022-01-20 | 2022-04-29 | 深信服科技股份有限公司 | 一种攻击处理方法、系统、网络安全设备及存储介质 |
CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
CN114374566B (zh) * | 2022-02-10 | 2023-08-08 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
WO2023151256A1 (zh) * | 2022-02-11 | 2023-08-17 | 三六零科技集团有限公司 | 弱口令爆破攻击的防护方法、装置、介质、电子设备 |
CN114553543A (zh) * | 2022-02-23 | 2022-05-27 | 安天科技集团股份有限公司 | 一种网络攻击检测方法、硬件芯片及电子设备 |
CN114884736A (zh) * | 2022-05-11 | 2022-08-09 | 山东鲁软数字科技有限公司 | 一种防爆破攻击的安全防护方法及装置 |
CN114884736B (zh) * | 2022-05-11 | 2024-04-09 | 山东鲁软数字科技有限公司 | 一种防爆破攻击的安全防护方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111786971A (zh) | 主机爆破攻击的防御方法、装置和计算机设备 | |
CN103051633B (zh) | 一种防御攻击的方法和设备 | |
CN111193698B (zh) | 数据处理方法、装置、终端及存储介质 | |
JP6634009B2 (ja) | ハニーポートが有効なネットワークセキュリティ | |
KR100431231B1 (ko) | Tcp syn 플러딩 공격을 좌절시키기 위한 방법 및시스템 | |
JP2016136735A (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
WO2021082834A1 (zh) | 报文处理方法、装置、设备及计算机可读存储介质 | |
CN111756761A (zh) | 基于流量转发的网络防御系统、方法和计算机设备 | |
US10834131B2 (en) | Proactive transport layer security identity verification | |
CN109167780B (zh) | 一种控制资源访问的方法、设备、系统和介质 | |
KR101076683B1 (ko) | 호스트 기반의 망분리 장치 및 방법 | |
CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
EP4351086A1 (en) | Access control method, access control system and related device | |
CN115001686A (zh) | 一种全域量子安全设备及系统 | |
CN109905352B (zh) | 一种基于加密协议审计数据的方法、装置和存储介质 | |
CN110022319A (zh) | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 | |
CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
WO2002084512A1 (en) | Method and system for restricting access from external | |
US20060222013A1 (en) | Systems, methods, and media for improving security of a packet-switched network | |
KR102494546B1 (ko) | 이메일 통신 프로토콜 기반 접속 관리 및 차단 기능을 제공하는 메일 접속 보안 시스템의 메일 보안 처리 장치 및 그 동작 방법 | |
CN115664738A (zh) | 通信方法、装置、电子设备及计算机存储介质 | |
CN112383517A (zh) | 网络连接信息的隐藏方法、装置、设备和可读存储介质 | |
CN113810380A (zh) | 代理层次切换方法、系统、可读存储介质及计算机设备 | |
CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
Müller | Evaluating the Security and Resilience of Typical off the Shelf CoAP IoT Devices: Assessing CoAP and Wi-Fi vulnerabilities |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201016 |