CN113110980A - 暴力破解行为的识别与拦截方法及装置 - Google Patents

暴力破解行为的识别与拦截方法及装置 Download PDF

Info

Publication number
CN113110980A
CN113110980A CN202010034083.1A CN202010034083A CN113110980A CN 113110980 A CN113110980 A CN 113110980A CN 202010034083 A CN202010034083 A CN 202010034083A CN 113110980 A CN113110980 A CN 113110980A
Authority
CN
China
Prior art keywords
login
address
event log
behaviors
brute force
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010034083.1A
Other languages
English (en)
Inventor
魏明
刘树伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd, Secworld Information Technology Beijing Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202010034083.1A priority Critical patent/CN113110980A/zh
Publication of CN113110980A publication Critical patent/CN113110980A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/107License processing; Key processing
    • G06F21/1078Logging; Metering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明实施例提供一种暴力破解行为的识别与拦截方法及装置,方法包括:远程登陆服务开启后,获取操作系统中的事件日志;从所述事件日志中确定带有IP地址的事件日志;从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数;根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。本发明实施例提供的暴力破解行为的识别与拦截方法及装置通过对事件日志的实时解析能够及时、快速地识别暴力破解行为,具有实时性强、识别效率高的优点。

Description

暴力破解行为的识别与拦截方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种暴力破解行为的识别与拦截方法及装置。
背景技术
暴力破解是一种通过不断登录尝试而获取正确的用户账号和密码的攻击方法。攻击者系统地组合用户所有可能的账户名和密码,进行大量的登录尝试,最终获得可以成功登录的账号和密码。
在Windows操作系统中,利用远程登录服务所提供的端口进行暴力破解是目前最为常见的网络攻击行为之一。因此,对此类暴力破解行为的识别与拦截对于网络安全具有重要的意义。
在现有技术中存在暴力破解行为的识别与拦截方法。如在一种现有技术中,利用Windows操作系统本身提供的网络配置命令行工具netsh和针对远程桌面防暴力破解功能模块云戟,实现对暴力破解行为的识别与拦截。该方法简化了Windows操作系统自带IP黑白名单的配置过程。但该方法在实现时首先要通过数据分析人工识别出暴力破解行为,然后再通过网络安全工具下发防护措施,使得在对暴力破解行为的拦截上及时性和智能性均有不足。
发明内容
本发明实施例提供一种暴力破解行为的识别与拦截方法及装置,用以解决现有技术中的暴力破解行为的识别与拦截方法在及时性与智能性上存在不足的缺陷,从而实现对暴力破解行为及时、高效的识别与拦截。
本发明第一方面实施例提供一种暴力破解行为的识别方法,包括:
远程登陆服务开启后,获取操作系统中的事件日志;
从所述事件日志中确定带有IP地址的事件日志;
从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数;
根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。
上述技术方案中,还包括:
获取远程登录服务所启用的端口的端口号;
相应地,所述从所述事件日志中确定带有IP地址的事件日志包括:
判断每个所述事件日志中是否带有IP地址;
若存在不带有IP地址的事件日志,则获取网络驱动程序接口规范驱动日志;其中,所述网络驱动程序接口规范驱动日志包含有通过远程登录服务所启用的端口所进行的登录行为的信息;
解析网络驱动程序接口规范驱动日志,根据所述事件日志中不带有IP地址的事件日志的标识号从所述网络驱动程序接口规范驱动日志中获取IP地址,将所述不带有IP地址的事件日志转换为带有IP地址的事件日志。
上述技术方案中,所述获取远程登录服务所启用的端口的端口号包括:
获取远程登录服务的进程,根据远程登录服务的进程的标识号获得所述进程所监听端口的端口号;
查找注册表,获取远程登录服务所监听端口的端口号;
将远程登录服务进程所监听端口的端口号与查找注册表得到的端口号合并与去重,得到远程登录服务所启用的端口的端口号。
上述技术方案中,所述计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数包括:
将所述与登录行为有关的事件日志分为登录失败的事件日志与登录成功的事件日志;
计算登录失败的事件日志中的IP地址在当前时刻之前第一时间长度内发生登录失败行为的次数;
将登录成功的事件日志中的IP地址在当前时刻之前第一时间长度内发生登录失败行为的次数清零。
上述技术方案中,所述计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数包括:
将所述与登录行为有关的事件日志分为登录失败的事件日志与登录成功的事件日志;
计算登录失败的事件日志中的IP地址在预设时刻之前的第一时间长度内发生登录失败行为的次数;
将登录成功的事件日志中的IP地址在预设时刻之前的第一时间长度内发生登录失败行为的次数清零。
上述技术方案中,所述根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址包括:
若IP地址在第一时间长度内发生登录失败行为的次数超出检测阈值,则所述IP地址是产生暴力破解行为的IP地址。
本发明第二方面实施例提供一种暴力破解行为的拦截方法,包括:
远程登录服务开启后,采用本发明第一方面实施例提供的暴力破解行为的识别方法获得远程登录服务所启用的端口的端口号以及产生暴力破解行为的IP地址;
对登录请求数据包予以拦截,所述登录请求数据包由产生暴力破解行为的IP地址所发出,且所述登录请求数据包的目的端口号为远程登录服务所启用的端口的端口号。
本发明第三方面实施例提供一种暴力破解行为的识别装置,包括:
事件日志获取模块,用于在远程登陆服务开启后,获取操作系统中的事件日志;
事件日志筛选模块,用于从所述事件日志中确定带有IP地址的事件日志;
计算模块,用于从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数;
暴力破解行为确定模块,用于根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。
上述技术方案中,还包括:
端口号获取模块,用于获取远程登录服务所启用的端口的端口号;
相应地,所述事件日志筛选模块用于:
判断每个所述事件日志中是否带有IP地址;
若存在不带有IP地址的事件日志,则获取网络驱动程序接口规范驱动日志;其中,所述网络驱动程序接口规范驱动日志包含有通过远程登录服务所启用的端口所进行的登录行为的信息;
解析网络驱动程序接口规范驱动日志,根据所述事件日志中不带有IP地址的事件日志的标识号从所述网络驱动程序接口规范驱动日志中获取IP地址,将所述不带有IP地址的事件日志转换为带有IP地址的事件日志。
上述技术方案中,所述端口号获取模块包括:
监听端口端口号获取单元,用于获取远程登录服务的进程,根据远程登录服务的进程的标识号获得所述进程所监听端口的端口号;
注册表查找单元,用于查找注册表,获取远程登录服务所监听端口的端口号;
合并与去重单元,用于将远程登录服务进程所监听端口的端口号与查找注册表得到的端口号合并与去重,得到远程登录服务所启用的端口的端口号。
上述技术方案中,在所述计算模块中,所述计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数包括:
将所述与登录行为有关的事件日志分为登录失败的事件日志与登录成功的事件日志;
计算登录失败的事件日志中的IP地址在当前时刻之前第一时间长度内发生登录失败行为的次数;
将登录成功的事件日志中的IP地址在当前时刻之前第一时间长度内发生登录失败行为的次数清零。
上述技术方案中,在所述计算模块中,所述计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数包括:
将所述与登录行为有关的事件日志分为登录失败的事件日志与登录成功的事件日志;
计算登录失败的事件日志中的IP地址在预设时刻之前的第一时间长度内发生登录失败行为的次数;
将登录成功的事件日志中的IP地址在预设时刻之前的第一时间长度内发生登录失败行为的次数清零。
上述技术方案中,所述暴力破解行为确定模块进一步用于:
若IP地址在第一时间长度内发生登录失败行为的次数超出检测阈值,则所述IP地址是产生暴力破解行为的IP地址。
本发明第四方面实施例提供一种暴力破解行为的拦截装置,包括:
暴力破解行为识别模块,用于远程登录服务开启后,采用本发明第一方面实施例提供的暴力破解行为的识别装置获得远程登录服务所启用的端口的端口号以及产生暴力破解行为的IP地址;
拦截模块,用于对登录请求数据包予以拦截,所述登录请求数据包由产生暴力破解行为的IP地址所发出,且所述登录请求数据包的目的端口号为远程登录服务所启用的端口的端口号。
本发明第五方面实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本发明第一方面实施例提供的暴力破解行为的识别方法的步骤,或实现如本发明第二方面实施例提供的暴力破解行为的拦截方法的步骤。
本发明第六方面实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如本发明第一方面实施例提供的暴力破解行为的识别方法的步骤,或实现如本发明第二方面实施例提供的暴力破解行为的拦截方法的步骤。
本发明第七方面实施例提供一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,所述指令在被执行时如本发明第一方面实施例提供的暴力破解行为的识别方法的步骤,或实现如本发明第二方面实施例提供的暴力破解行为的拦截方法的步骤。
本发明实施例提供的暴力破解行为的识别与拦截方法及装置通过对事件日志的实时解析能够及时、快速地识别暴力破解行为,具有实时性强、识别效率高的优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的暴力破解行为的识别方法的流程图;
图2为本发明另一实施例提供的暴力破解行为的识别方法的流程图;
图3为本发明实施例提供的一种暴力破解行为的拦截方法的流程图;
图4为本发明实施例提供的暴力破解行为的识别装置的示意图;
图5为本发明实施例提供的暴力破解行为的拦截装置的示意图;
图6示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的暴力破解行为的识别方法的流程图,如图1所示,本发明实施例提供的暴力破解行为的识别方法包括:
步骤101、远程登陆服务开启后,获取操作系统中的事件日志。
操作系统的事件日志主要记录了日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。技术人员可通过调取事件日志了解计算机上发生的具体行为。例如,在下面的表1中给出了一条事件日志的例子。
表1
Figure BDA0002365387260000071
这一事件日志的详细信息包括:
TargetLogonId 0x1ee7a5
LogonType 2
LogonProcessName User32
AuthenticationPackageName Negotiate
WorkstationName WEIM-VM-WIN7
LogonGuid {00000000-0000-0000-0000-000000000000}
TransmittedServices-
LmPackageName-
KeyLength 0
ProcessId 0x9c
ProcessName C:\Windows\System32\winlogon.exe
IpAddress 127.0.0.1
IpPort 0
从对事件日志的上述描述信息可以看出,事件日志包含了与事件相关的诸多信息,有助于获得产生疑似暴力破解行为的IP地址。
获取操作系统中的事件日志可以有多种实现方式,在本发明实施例中,可通过操作系统事件日志的回调事件来读取操作系统的事件日志。
何时读取操作系统中的事件日志可以有多种实现方式。在本发明实施例中,可利用已注册的系统通知。每当操作系统的事件日志发生变动,发出通知;在接收到通知后,从操作系统的事件日志中获取最新的事件日志,直至所要获取的事件日志在之前已经被获取。在本发明的其他实施例中,还可以设定一个读取间隔时间,每经过一个读取间隔时间,从操作系统的事件日志中获取最新的事件日志,直至所要获取的事件日志在之前已经被获取。
步骤102、从事件日志中确定带有IP地址的事件日志。
一般来说,事件日志中会包含有与事件相关的IP地址。但有时某些事件日志因为多种原因并未包含IP地址信息,这些事件日志对于暴力破解行为的识别并没有帮助,因此需要从事件日志中确定带有IP地址的事件日志。
步骤103、从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数。
由于暴力破解行为与登录行为有密切关系,因此从带有IP地址的事件日志中确定与登录行为有关的事件日志。
在判断暴力破解行为时,主要考察登录失败的事件日志。但由于经历一次或多次登录失败后登录成功的情形会被认为是正常的用户行为,因此登录成功的事件日志也能起到辅助判断的作用,需要对登录成功的事件日志一并进行考察。
在本发明实施例中,通过对登录失败的事件日志做归并来计算与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数。
在归并时,设置有多个记录器,每个记录器用于记录一个IP地址在第一时间长度内的登录失败次数。在解析一个与登录行为有关的事件日志时,首先判断这个事件日志是登录成功的事件日志还是登录失败的事件日志。如果是登录失败的事件日志,判断这个事件日志中的IP地址在当前时刻之前的第一时间长度内是否已经存在过登录失败的行为,如果存在,就在该IP地址对应的记录器中增加这一IP地址的登录失败次数,如果不存在,就新增一个记录器,这一记录器用于记录当前事件日志中的IP地址在第一时间长度内的登录失败次数。如果是登录成功的事件日志,判断这个事件日志中的IP地址在当前时刻之前的第一时间长度内是否已经存在过登录失败的行为,如果存在,就将该IP地址对应的记录器中所记录的登录失败次数清零。
在本发明的其他实施例中,也可采用其他方法来计算登录失败的事件日志中的IP地址发生登录失败行为的次数。
出于提高暴力破解行为识别实时性的考虑,在本发明实施例中,在判断事件日志中的IP地址是否存着登录失败的行为时是以当前时刻之前的第一时间长度为有效周期,即如果登录失败行为的发生时间超出了当前时刻之前的第一时间长度,则该登录失败行为不会被统计。在本发明的其他实施例中,有效周期并不局限于当前时刻之前的第一时间长度,如也可以是某一预设时刻之前的第一时间长度。
在本发明实施例中,所述的第一时间长度可根据实际需要设定,如可设置为1分钟或30秒或其他时间长度值。
步骤104、根据IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。
在本步骤中,为暴力破解行为的检测设置一个检测阈值,若一IP地址在第一时间长度内发生登录失败行为的次数超出这一检测阈值,则可认为该IP地址是产生暴力破解行为的IP地址,这一IP地址连续登录的行为是暴力破解行为。
所述检测阈值可根据实际需要设定,如可设置为3次。若前述的第一时间长度为30秒,则某一IP地址在30秒时间内发生登录失败行为的次数超过3次,这一IP地址就会被认为是产生暴力破解行为的IP地址。
本发明实施例提供的暴力破解行为的识别方法通过对事件日志的实时解析能够及时、快速地识别暴力破解行为,具有实时性强、识别效率高的优点。
基于上述任一实施例,图2为本发明另一实施例提供的暴力破解行为的识别方法的流程图,如图2所示,本发明另一实施例提供的暴力破解行为的识别方法包括:
步骤201、远程登录服务开启后,获取远程登录服务所启用的端口的端口号。
步骤202、获取操作系统中的事件日志。
步骤203、从事件日志中确定带有IP地址的事件日志。
在本发明之前的实施例中已经提到,某些事件日志由于IP地址的缺失,使得它们无法被用于识别暴力破解行为。这影响了对暴力破解行为识别的准确性。因此,在本发明实施例中,对这一问题进行修复,通过网络驱动程序接口规范(NDIS)驱动日志将不带有IP地址的事件日志转换为带有IP地址的事件日志。
具体的说,首先,获取网络驱动程序接口规范驱动日志;其中,网络驱动程序接口规范驱动日志包含有通过远程登录服务所启用的端口所进行的登录行为的信息。获取网络驱动程序接口规范驱动日志可通过现有技术中的驱动通信方法实现,例如,读取驱动设备文件。
然后,解析网络驱动程序接口规范驱动日志,根据事件日志中不带有IP地址的事件日志的标识号从网络驱动程序接口规范驱动日志中获取IP地址,将所获取的IP地址添加到不带有IP地址的事件日志中,从而将不带有IP地址的事件日志转换为带有IP地址的事件日志。
步骤204、从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数。
步骤205、根据IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。
本发明实施例提供的暴力破解行为的识别方法将事件日志与NDIS驱动日志相结合,能够得到更为全面的IP地址,有助于更为全面地识别可能发生的暴力破解行为。
进一步地,基于上述实施例的内容,在本发明实施例中,所述获取远程登录服务所启用的端口的端口号包括:
步骤S1、获得远程登录服务的进程,根据远程登录服务的进程ID获得该进程所监听端口的端口号;
在本步骤中,获得远程登录服务的进程可通过命令行的方式获取。
步骤S2、查找注册表,获得远程登录服务服务所监听端口的端口号;
注册表(Registry)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息,其中包括远程登录服务服务所监听端口的端口号。因此通过查找注册表能够获得远程登录服务服务所监听端口的端口号。
步骤S3、将远程登录服务进程所监听端口的端口号与查找注册表得到的端口号合并、去重,得到远程登录服务所启用的端口的端口号。
远程登录服务所启用的端口是动态变化的,因此在监听远程登录服务所启用的端口时,需要知道远程登录服务当前启用的端口是哪一个或哪一些。在本发明实施例中给出了获取远程登录服务所启用端口的实现过程。
在获取远程登录服务所启用端口时,采用了两种方式分别获取端口号。一是通过远程登录服务的进程得到进程监听端口的端口号,二是通过查找注册表获得远程登录服务服务所监听端口的端口号。在多数情况下,这两种方式所得到的结果是一样的,但在少数情况下,两种方式所得到的结果之间存在差别,因此将两种方式所得到的结果进行合并,合并、去重后所得到的所有端口号就是远程登录服务所启用的端口的端口号。
本发明实施例提供的暴力破解行为的识别方法通过监听端口和注册表查询双重方式获得远程登录服务的端口,使得对端口的监听更为全面,有助于更为全面地识别可能发生的暴力破解行为。
基于上述任一实施例,图3为本发明实施例提供的一种暴力破解行为的拦截方法的流程图,如图3所示,本发明实施例提供的暴力破解行为的拦截方法包括:
步骤301、远程登录服务开启后,采用暴力破解行为的识别方法得到产生暴力破解行为的IP地址以及远程登录服务所启用的端口的端口号;
步骤302、对登录请求数据包予以拦截,所述登录请求数据包由产生暴力破解行为的IP地址所发出,且所述登录请求数据包的目的端口号为远程登录服务所启用的端口的端口号。
本发明实施例提供的暴力破解行为的拦截方法在实时识别暴力破解行为的基础上,对产生暴力破解行为的IP地址所发出的、目的端口号为远程登录服务所启用的端口的端口号的登录请求数据包进行有针对性的拦截,具有实时性高、资源消耗小的优点。
图4为本发明实施例提供的暴力破解行为的识别装置的示意图,如图4所示,本发明实施例提供的暴力破解行为的识别装置包括:
事件日志获取模块401,用于在远程登陆服务开启后,获取操作系统中的事件日志;
事件日志筛选模块402,用于从所述事件日志中确定带有IP地址的事件日志;
计算模块403,用于从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数;
暴力破解行为确定模块404,用于根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。
本发明实施例提供的暴力破解行为的识别装置通过对事件日志的实时解析能够及时、快速地识别暴力破解行为,具有实时性强、识别效率高的优点。
进一步地,基于上述实施例的内容,在本发明实施例中,暴力破解行为的识别装置还包括:
端口号获取模块,用于获取远程登录服务所启用的端口的端口号;
相应地,所述事件日志筛选模块还用于:
判断每个所述事件日志中是否带有IP地址;
若存在不带有IP地址的事件日志,则获取网络驱动程序接口规范驱动日志;其中,所述网络驱动程序接口规范驱动日志包含有通过远程登录服务所启用的端口所进行的登录行为的信息;
解析网络驱动程序接口规范驱动日志,根据所述事件日志中不带有IP地址的事件日志的标识号从所述网络驱动程序接口规范驱动日志中获取IP地址,将所述不带有IP地址的事件日志转换为带有IP地址的事件日志。
本发明实施例提供的暴力破解行为的识别装置将事件日志与NDIS驱动日志相结合,能够得到更为全面的IP地址,有助于更为全面地识别可能发生的暴力破解行为。
进一步地,基于上述实施例的内容,在本发明实施例中,所述端口号获取模块包括:
监听端口端口号获取单元,用于获取远程登录服务的进程,根据远程登录服务的进程的标识号获得所述进程所监听端口的端口号;
注册表查找单元,用于查找注册表,获取远程登录服务服务所监听端口的端口号;
合并与去重单元,用于将远程登录服务进程所监听端口的端口号与查找注册表得到的端口号合并与去重,得到远程登录服务所启用的端口的端口号。
本发明实施例提供的暴力破解行为的识别装置通过监听端口和注册表查询双重方式获得远程登录服务的端口,使得对端口的监听更为全面,有助于更为全面地识别可能发生的暴力破解行为。
进一步地,基于上述实施例的内容,在本发明实施例中,在所述计算模块中,所述计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数包括:
将所述与登录行为有关的事件日志分为登录失败的事件日志与登录成功的事件日志;
计算登录失败的事件日志中的IP地址在当前时刻之前第一时间长度内发生登录失败行为的次数;
将登录成功的事件日志中的IP地址在当前时刻之前第一时间长度内发生登录失败行为的次数清零。
进一步地,基于上述实施例的内容,在本发明实施例中,在所述计算模块中,所述计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数包括:
将所述与登录行为有关的事件日志分为登录失败的事件日志与登录成功的事件日志;
计算登录失败的事件日志中的IP地址在预设时刻之前的第一时间长度内发生登录失败行为的次数;
将登录成功的事件日志中的IP地址在预设时刻之前的第一时间长度内发生登录失败行为的次数清零。
进一步地,基于上述实施例的内容,在本发明实施例中,所述暴力破解行为确定模块进一步用于:
IP地址在第一时间长度内发生登录失败行为的次数超出检测阈值,确定所述IP地址是产生暴力破解行为的IP地址。
图5为本发明实施例提供的暴力破解行为的拦截装置的示意图,如图5所示,本发明实施例提供的暴力破解行为的拦截装置包括:
暴力破解行为识别模块501,用于远程登录服务开启后,采用暴力破解行为的识别装置获得远程登录服务所启用的端口的端口号以及产生暴力破解行为的IP地址;
拦截模块502,用于对登录请求数据包予以拦截,所述登录请求数据包由产生暴力破解行为的IP地址所发出,且所述登录请求数据包的目的端口号为远程登录服务所启用的端口的端口号。
本发明实施例提供的暴力破解行为的拦截装置在实时识别暴力破解行为的基础上,对产生暴力破解行为的IP地址所发出的、目的端口号为远程登录服务所启用的端口的端口号的登录请求数据包进行有针对性的拦截,具有实时性高、资源消耗小的优点。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行如下方法:远程登陆服务开启后,获取操作系统中的事件日志;从所述事件日志中确定带有IP地址的事件日志;从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数;根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。或执行如下方法:远程登录服务开启后,采用暴力破解行为的识别方法获得远程登录服务所启用的端口的端口号以及产生暴力破解行为的IP地址;对登录请求数据包予以拦截,所述登录请求数据包由产生暴力破解行为的IP地址所发出,且所述登录请求数据包的目的端口号为远程登录服务所启用的端口的端口号。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:远程登陆服务开启后,获取操作系统中的事件日志;从所述事件日志中确定带有IP地址的事件日志;从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数;根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。或例如包括:远程登录服务开启后,采用暴力破解行为的识别方法获得远程登录服务所启用的端口的端口号以及产生暴力破解行为的IP地址;对登录请求数据包予以拦截,所述登录请求数据包由产生暴力破解行为的IP地址所发出,且所述登录请求数据包的目的端口号为远程登录服务所启用的端口的端口号。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (12)

1.一种暴力破解行为的识别方法,其特征在于,包括:
远程登陆服务开启后,获取操作系统中的事件日志;
从所述事件日志中确定带有IP地址的事件日志;
从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数;
根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。
2.根据权利要求1所述的暴力破解行为的识别方法,其特征在于,还包括:
获取远程登录服务所启用的端口的端口号;
相应地,所述从所述事件日志中确定带有IP地址的事件日志包括:
判断每个所述事件日志中是否带有IP地址;
若存在不带有IP地址的事件日志,则获取网络驱动程序接口规范驱动日志;其中,所述网络驱动程序接口规范驱动日志包含有通过远程登录服务所启用的端口所进行的登录行为的信息;
解析网络驱动程序接口规范驱动日志,根据所述事件日志中不带有IP地址的事件日志的标识号从所述网络驱动程序接口规范驱动日志中获取IP地址,将所述不带有IP地址的事件日志转换为带有IP地址的事件日志。
3.根据权利要求2所述的暴力破解行为的识别方法,其特征在于,所述获取远程登录服务所启用的端口的端口号包括:
获取远程登录服务的进程,根据远程登录服务的进程的标识号获得所述进程所监听端口的端口号;
查找注册表,获取远程登录服务所监听端口的端口号;
将远程登录服务的进程所监听端口的端口号与查找注册表得到的端口号合并与去重,得到远程登录服务所启用的端口的端口号。
4.根据权利要求1所述的暴力破解行为的识别方法,其特征在于,所述计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数包括:
将所述与登录行为有关的事件日志分为登录失败的事件日志与登录成功的事件日志;
计算登录失败的事件日志中的IP地址在当前时刻之前的第一时间长度内发生登录失败行为的次数;
将登录成功的事件日志中的IP地址在当前时刻之前的第一时间长度内发生登录失败行为的次数清零。
5.根据权利要求1所述的暴力破解行为的识别方法,其特征在于,所述计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数包括:
将所述与登录行为有关的事件日志分为登录失败的事件日志与登录成功的事件日志;
计算登录失败的事件日志中的IP地址在预设时刻之前的第一时间长度内发生登录失败行为的次数;
将登录成功的事件日志中的IP地址在预设时刻之前的第一时间长度内发生登录失败行为的次数清零。
6.根据权利要求1所述的暴力破解行为的识别方法,其特征在于,所述根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址包括:
若IP地址在第一时间长度内发生登录失败行为的次数超出检测阈值,则所述IP地址是产生暴力破解行为的IP地址。
7.一种暴力破解行为的拦截方法,其特征在于,包括:
远程登录服务开启后,采用权利要求2或3的暴力破解行为的识别方法获得远程登录服务所启用的端口的端口号以及采用权利要求1至6之一的暴力破解行为的识别方法获得产生暴力破解行为的IP地址;
对登录请求数据包予以拦截,所述登录请求数据包由产生暴力破解行为的IP地址所发出,且所述登录请求数据包的目的端口号为远程登录服务所启用的端口的端口号。
8.一种暴力破解行为的识别装置,其特征在于,包括:
事件日志获取模块,用于在远程登陆服务开启后,获取操作系统中的事件日志;
事件日志筛选模块,用于从所述事件日志中确定带有IP地址的事件日志;
计算模块,用于从带有IP地址的事件日志中确定与登录行为有关的事件日志,计算所述与登录行为有关的事件日志中的IP地址在第一时间长度内发生登录失败行为的次数;
暴力破解行为确定模块,用于根据所述IP地址在第一时间长度内发生登录失败行为的次数,确定产生暴力破解行为的IP地址。
9.一种暴力破解行为的拦截装置,其特征在于,包括:
暴力破解行为识别模块,用于远程登录服务开启后,采用权利要求8的暴力破解行为的识别装置获得远程登录服务所启用的端口的端口号以及产生暴力破解行为的IP地址;
拦截模块,用于对登录请求数据包予以拦截,所述登录请求数据包由产生暴力破解行为的IP地址所发出,且所述登录请求数据包的目的端口号为远程登录服务所启用的端口的端口号。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述暴力破解行为的识别方法的步骤,或实现如权利要求7所述暴力破解行为的拦截方法的步骤。
11.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述暴力破解行为的识别方法的步骤,或实现如权利要求7所述暴力破解行为的拦截方法的步骤。
12.一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,其特征在于,所述指令在被执行时用于实现根据权利要求1至6中任一项所述暴力破解行为的识别方法的步骤,或实现如权利要求7所述暴力破解行为的拦截方法的步骤。
CN202010034083.1A 2020-01-13 2020-01-13 暴力破解行为的识别与拦截方法及装置 Pending CN113110980A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010034083.1A CN113110980A (zh) 2020-01-13 2020-01-13 暴力破解行为的识别与拦截方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010034083.1A CN113110980A (zh) 2020-01-13 2020-01-13 暴力破解行为的识别与拦截方法及装置

Publications (1)

Publication Number Publication Date
CN113110980A true CN113110980A (zh) 2021-07-13

Family

ID=76709044

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010034083.1A Pending CN113110980A (zh) 2020-01-13 2020-01-13 暴力破解行为的识别与拦截方法及装置

Country Status (1)

Country Link
CN (1) CN113110980A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115189930A (zh) * 2022-06-27 2022-10-14 珠海豹趣科技有限公司 一种防止账户爆破的方法、装置和电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097408A (ko) * 2000-04-22 2001-11-08 이태균 사용자 행동 분석 방법 및 장치
CN106686014A (zh) * 2017-03-14 2017-05-17 北京深思数盾科技股份有限公司 网络攻击的防治方法及装置
CN107800724A (zh) * 2017-12-08 2018-03-13 北京百度网讯科技有限公司 云主机防破解方法、系统及处理设备
CN109040112A (zh) * 2018-09-04 2018-12-18 北京明朝万达科技股份有限公司 网络控制方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097408A (ko) * 2000-04-22 2001-11-08 이태균 사용자 행동 분석 방법 및 장치
CN106686014A (zh) * 2017-03-14 2017-05-17 北京深思数盾科技股份有限公司 网络攻击的防治方法及装置
CN107800724A (zh) * 2017-12-08 2018-03-13 北京百度网讯科技有限公司 云主机防破解方法、系统及处理设备
CN109040112A (zh) * 2018-09-04 2018-12-18 北京明朝万达科技股份有限公司 网络控制方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115189930A (zh) * 2022-06-27 2022-10-14 珠海豹趣科技有限公司 一种防止账户爆破的方法、装置和电子设备

Similar Documents

Publication Publication Date Title
CN109525558B (zh) 数据泄露检测方法、系统、装置及存储介质
CN108040493B (zh) 基于低置信度安全事件来检测安全事故的方法和装置
US8931096B2 (en) Detecting malicious use of computer resources by tasks running on a computer system
CN109347827B (zh) 网络攻击行为预测的方法、装置、设备及存储介质
US9813451B2 (en) Apparatus and method for detecting cyber attacks from communication sources
CN108683687B (zh) 一种网络攻击识别方法及系统
CN109302426B (zh) 未知漏洞攻击检测方法、装置、设备及存储介质
US20170104771A1 (en) Network monitoring device, network monitoring method, and network monitoring program
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN111866016A (zh) 日志的分析方法及系统
US20210117538A1 (en) Information processing apparatus, information processing method, and computer readable medium
CN112953917B (zh) 一种网络攻击源识别方法、装置、计算机设备及存储介质
CN110798428A (zh) 一种账号暴力破解行为的检测方法、系统及相关装置
CN114050937B (zh) 邮箱服务不可用的处理方法、装置、电子设备及存储介质
RU2630415C2 (ru) Способ обнаружения аномальной работы сетевого сервера (варианты)
CN110955890B (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
CN111327632B (zh) 一种僵尸主机检测方法、系统、设备及存储介质
CN113110980A (zh) 暴力破解行为的识别与拦截方法及装置
CN115314322A (zh) 基于流量的漏洞检测确认方法、装置、设备以及存储介质
CN111800409B (zh) 接口攻击检测方法及装置
CN116415142A (zh) 网络攻击行为检测方法及系统
CN114422186A (zh) 一种攻击检测方法、装置、电子设备及存储介质
CN113810351A (zh) 网络攻击的攻击者确定方法及装置和计算机可读存储介质
US20220131884A1 (en) Non-transitory computer-readable recording medium, information processing method, and information processing device
CN112600825B (zh) 一种基于隔离网络的攻击事件检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Country or region after: China

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: Qianxin Technology Group Co.,Ltd.

Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant before: Qianxin Technology Group Co.,Ltd.

Country or region before: China

Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.