CN113660216B - 口令攻击检测方法、装置、电子装置和存储介质 - Google Patents

口令攻击检测方法、装置、电子装置和存储介质 Download PDF

Info

Publication number
CN113660216B
CN113660216B CN202110846285.0A CN202110846285A CN113660216B CN 113660216 B CN113660216 B CN 113660216B CN 202110846285 A CN202110846285 A CN 202110846285A CN 113660216 B CN113660216 B CN 113660216B
Authority
CN
China
Prior art keywords
attack
password
suspected
child node
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110846285.0A
Other languages
English (en)
Other versions
CN113660216A (zh
Inventor
殷中宏
范渊
黄进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202110846285.0A priority Critical patent/CN113660216B/zh
Publication of CN113660216A publication Critical patent/CN113660216A/zh
Application granted granted Critical
Publication of CN113660216B publication Critical patent/CN113660216B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种一种口令攻击检测方法,其中,该口令攻击检测方法包括:获取子节点端发送的疑似口令攻击信息,所述疑似口令攻击信息包括口令数据以及口令时间戳;基于所述口令时间戳对所述疑似口令攻击信息进行排列,得到疑似攻击队列;基于预设规则对所述疑似攻击队列进行口令攻击识别,并输出攻击识别结果。通过本申请,解决了相关技术中存在针对点块式攻击手法缺少一种有效的防护手段的问题,实现了对点块式攻击手法的有效识别。

Description

口令攻击检测方法、装置、电子装置和存储介质
技术领域
本申请涉及网络安全防护领域,特别是涉及口令攻击检测方法、装置、电子装置和存储介质。
背景技术
随着社会以及企业信息化程度的不断推进,越来越多的信息化系统建成并投入使用,信息化极大地提升了社会效率。信息化系统承载着关键数据,容易成为不法分子的攻击目标,进而对关键数据进行变现,因此,信息化系统自身的安全问题是一个长久且恒远的话题。目前信息化系统安全防护建设中,使用最为频繁和最为广泛的防御手段为口令认证。攻击者可以通过类似“穷举”的攻击手段,对待攻击目标实施口令爆破,进而获取系统口令,从而获得系统权限,基于此,也存在越来越多的对于系统的防护方法,用来防护攻击者的攻击。
攻击者倘若连续持续地对某一单一目标实施暴力破解,很容易被安全防护产品识别出,为了避免被安全防护产品识别,点块式攻击为攻击者提供了新的攻击策略,针对某一单一目标的持续性暴力破解,可以简单归纳为“深度优先攻击策略”,而点块式攻击手法,是通过均匀算法将攻击流量平均的分布在多个 IP地址上 ,进而绕过现有的防护算法,可以归纳为“广度优先攻击策略”,目前针对这种方法还没有一个有效的防护手段。
针对相关技术中存在针对点块式攻击手法缺少一种有效的防护手段,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种口令攻击检测方法、装置、电子装置和存储介质,以解决相关技术中存在针对点块式攻击手法缺少一种有效的防护手段的问题。
第一个方面,在本实施例中提供了一种口令攻击检测方法,应用于中心节点端,包括:
获取子节点端发送的疑似口令攻击信息,所述疑似口令攻击信息包括口令数据以及口令时间戳;基于所述口令时间戳对所述疑似口令攻击信息进行排列,得到疑似攻击队列;基于预设规则对所述疑似攻击队列进行口令攻击识别,并输出攻击识别结果。
在其中一个实施例中,所述获取子节点端发送的疑似口令攻击信息包括:向所述子节点端发送疑似口令信息获取指令,使所述子节点端接收登录记录,输出基于所述登录记录生成的检测结果,并将所述检测结果中的疑似口令攻击信息发送到所述中心节点端,所述检测结果包括所述登录记录是否为疑似口令攻击信息,以及所述口令攻击信息。
在另一个实施例中,所述基于所述时间戳对所述疑似口令攻击信息进行排列,生成疑似攻击队列包括:基于网络时间协议对所述时间戳进行时间还原,获取还原结果;基于所述还原结果对所述疑似口令攻击信息进行排列,得到所述疑似攻击队列。
在其中一个实施例中,所述疑似口令攻击信息还包括子节点身份信息,所述获取所述子节点端发送的疑似口令攻击信息之前还包括:向所述子节点端发送子节点身份信息生成指令,使所述子节点端获取子节点地址数据,并基于所述子节点地址数据进行密码加密处理,得到子节点身份信息,所述子节点地址数据包括媒体存取控制位址、磁盘身份信息、安全芯片身份信息中至少一种。
在另一个实施例中,所述获取所述子节点端发送的疑似口令攻击信息还包括:基于所述子节点身份信息对所述子节点端进行身份识别,并获取身份识别结果;若所述身份识别结果为识别失败,将所述子节点身份信息标记为未知身份信息,并拒绝接受所述子节点身份信息为未知身份信息的疑似口令攻击信息。
在其中一个实施例中,所述基于预设规则,对所述疑似攻击队列进行口令攻击识别包括:判断预设时间段内一个或多个所述子节点端发送的多个所述疑似口令攻击信息是否满足预设数量阈值以及预设频率阈值,若满足则所述攻击识别结果为存在口令攻击;若不满足则所述攻击识别结果为不存在口令攻击。
在另一个实施例中,所述基于预设规则对所述疑似攻击队列进行口令攻击识别,并输出攻击识别结果之后还包括:若所述攻击识别结果为存在口令攻击,则报警和/或获取所述口令数据的发送端地址,并将所述发送端地址进行屏蔽。
第二个方面,在本实施例中提供了一种口令攻击检测装置,应用于中心节点端,包括:口令攻击信息获取模块:用于获取子节点端发送的疑似口令攻击信息,所述疑似口令攻击信息包括所述疑似口令攻击信息的口令数据、时间戳以及子节点身份信息;疑似攻击队列生成模块:用于基于所述时间戳对所述疑似口令攻击信息进行排列,生成疑似攻击队列;口令攻击识别模块:用于基于预设规则对所述疑似攻击队列进行口令攻击识别,并输出攻击识别结果。
第三个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述第一个方面所述的口令攻击检测方法。
第四个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的口令攻击检测方法。
与相关技术相比,在本实施例中提供的口令攻击识别方法,通过获取子节点端发送的疑似口令攻击信息,所述疑似口令攻击信息包括口令数据以及口令时间戳;基于所述口令时间戳对所述疑似口令攻击信息进行排列,得到疑似攻击队列;基于预设规则对所述疑似攻击队列进行口令攻击识别,并输出攻击识别结果。解决了相关技术中存在针对点块式攻击手法缺少一种有效的防护手段的问题,实现了对点块式攻击手法的有效识别。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请一实施例的口令攻击检测方法的终端的硬件结构框图。
图2是本申请一实施例的口令攻击检测方法的流程图。
图3是本申请中一实施例的口令攻击检测方法的各节点关系示意图。
图4是本申请一实施例的口令攻击识别装置的结构框图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本申请一实施例的口令攻击检测方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的口令攻击检测方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频 (Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种口令攻击检测方法,图2是本申请一实施例的口令攻击检测方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取子节点端发送的疑似口令攻击信息,疑似口令攻击信息包括口令数据以及口令时间戳。
在本实施例中,首先获取子节点端发送的疑似口令攻击信息,可以理解的,在本实施例中,存在子节点端以及中心节点端,子节点为业务处理端,可以进行基本业务交互功能,中心节点端是主节点,用于收集来自各子节点端上报的信息,并基于信息进行判断,因此,在本实施例中,中心节点端需要对口令攻击进行检测,即需要获取各子节点端发送到中心节点端的疑似口令攻击信息,容易理解的,疑似口令攻击信息是子节点端基于自身的节点数据进行判断并生成的,当存在疑似口令攻击时,则生成疑似口令攻击信息,口令攻击信息需要包括基础的口令数据,也就是子节点端获取到的具体数据,另外,基于点块式攻击手法的随机性和离散性,为了保证中心节点可以更准确的作出判断,疑似口令攻击信息还需要有口令时间戳,也就是口令数据的具体时间信息,基于此,使中心节点对各子节点端是否存在口令攻击进行检测。
步骤S202,基于口令时间戳对疑似口令攻击信息进行排列,得到疑似攻击队列。
可以理解的,本申请的目的是对点块式攻击手法进行检测,而点块式攻击手法是通过均匀算法将 攻击流量平均地分布在多个IP地址上,也就是平均且分散的向多个子节点端进行攻击,进而绕过对普通口令攻击的检测算法,实现对服务器的攻击爆破,可以理解的,仅基于子节点端发送的疑似口令攻击信息并对口令攻击进行判断是非常困难的,并且极难识别,因此,当中心节点端开始获取到子节点端发送的疑似口令攻击信息时,开始进行检测模式,基于各子节点端的发送的疑似口令攻击信息中的口令时间戳,接着生成一个疑似攻击队列,该疑似攻击队列中包括来个各节点端发送的疑似口令攻击信息,且按照各个疑似口令攻击信息中的口令时间戳,按时间顺序进行排列,基于此,通过疑似攻击队列,可以通过全局视角获取各个子节点的疑似口令攻击情况,可以使中心节点通过全局视角对口令攻击情况进行检测。
步骤S203,基于预设规则对疑似攻击队列进行口令攻击识别,并输出攻击识别结果。
首先,通过上述步骤,基于口令时间戳对各子节点端发送的疑似口令攻击信息进行排列后得到疑似攻击队列,接着便可以通过全局视角,整体对各子节点端接收到的疑似口令攻击信息进行口令攻击识别,可以理解的,通过点块式攻击手法的攻击特性可以看出,虽然对子节点端的口令攻击是离散的非规律性的,但在中心节点生成的疑似攻击队列中,是整体的连续的,因此,通过预设的规则,当识别到疑似攻击队列中存在满足基于点块式攻击手法特性预设的规则的疑似口令攻击信息后,则判断存在通过点块式攻击手法的口令攻击,再输出攻击识别结果。另外,在其他实施例中,还可以通过其他攻击手法特性,预设相应的规则,并基于相应的规则通过疑似攻击队列判断是否存在该攻击手法特性的口令攻击,并输出攻击识别结果。
通过上述步骤,首先获取子节点端发送的疑似口令攻击信息,疑似口令攻击信息中包括口令数据以及口令时间戳,接着基于口令时间戳对疑似口令攻击信息进行排列,得到基于时间进行排列的疑似攻击队列;再通过基于点块式攻击手法预设的识别规则,对基于各子节点端的疑似口令攻击信息生成的疑似攻击队列进行口令攻击识别,并识别攻击结果。解决了相关技术中存在针对点块式攻击手法缺少一种有效的防护手段的问题,实现了对点块式攻击手法的有效识别。
在其中一个实施例中,获取子节点端发送的疑似口令攻击信息包括:向子节点端发送疑似口令信息获取指令,使子节点端接收登录记录,输出基于登录记录生成的检测结果,并将检测结果中的疑似口令攻击信息发送到中心节点端,检测结果包括登录记录是否为疑似口令攻击信息,以及口令攻击信息。
在本实施例中,获取子节点端发送的疑似口令攻击信息是首先向子节点端发送一个疑似口令信息获取指令,接着使子节点端将基于登录记录生成的疑似口令攻击信息发送到中心节点端,可以理解的,子节点端可以基于登录记录生成关于获取的登录记录是否为疑似口令攻击记录的检测结果,并将检测结果中的疑似口令攻击信息发送到中心节点端,在本实施例中,子节点端中检测疑似口令攻击信息的原理是基行为差异检测原理进行识别,基于此,可以区分出是人为登录还是恶意程序进行口令尝试,可以理解的,正常情况下人为登录是不会出现连续多次输入错误密码的情况,但恶意程序是通过实现预设好用户名和密码的组合,自动化尝试组合是否正确,因此出现连续密码校验失败的情况概率比较高。但基于多次输入错误密码的行为并不一定完全可以判断为恶意程序攻击行为,还需要进行进一步确认,因此,子节点端会基于登录记录中疑似恶意程序进行口令尝试的行为记录为疑似口令攻击信息,并将疑似口令攻击信息发送至中心节点端,使中心节点端进一步对口令攻击行为进行判断,相对于通过校验错误信息判断口令攻击信息的方法来说,提高了识别效率,整体通过疑似攻击信息识别口令攻击的准确率。
在另一个实施例中,基于时间戳对疑似口令攻击信息进行排列,生成疑似攻击队列包括:基于网络时间协议对时间戳进行时间还原,获取还原结果;基于还原结果对疑似口令攻击信息进行排列,得到疑似攻击队列。
可以理解的,IP地址不同的各子节点端可能会存在网络环境不同,网络速度不同的情况,为了防止不同的子节点端由于网络延迟、网络故障等原因,出现先向A子节点端发送口令,再向B子节点端发送口令B子节点端先接收到口令,A子节点端后接收到口令的情况,基于此,通过NTP(网络时间协议),提供一个统一的时间,将时间不统一的疑似口令攻击信息进行还原,以及使中心节点和各子节点的时间信息保持一致,保证各子节点端发送到中心节点端的疑似口令攻击信息时间标准是统一的,消除延迟造成的干扰,以及保证基于时间戳进行排列的疑似攻击队列的可信度,基于此对时间戳进行还原后再进行疑似口令攻击信息排列,得到的疑似攻击队列,可以提高对疑似口令攻击信息排列的容错率,以及对口令攻击识别的准确率。
在其中一个实施例中,疑似口令攻击信息还包括子节点身份信息,获取子节点端发送的疑似口令攻击信息之前还包括:向子节点端发送子节点身份信息生成指令,使子节点端获取子节点地址数据,并基于子节点地址数据进行密码加密处理,得到子节点身份信息,子节点地址数据包括媒体存取控制位址、磁盘身份信息、安全芯片身份信息中至少一种。
在本实施例中,将疑似口令攻击信息发送到中心节点并通过中心节点进行识别之前还需要对子节点进行身份识别,容易理解的,在一些情况下,可能会存在仿冒节点发出混淆数据,导致检测方法失效,或误识别、漏识别的情况,当误识别后,若对误识别的IP地址采取防护手段,可能会影响服务器的正常工作以及整体系统的正常运行,因此,在接收来自该子节点发送的疑似口令攻击信息之前,还需要对子节点进行身份识别,在本实施例中,子节点可以通过对 MAC地址(媒体存取控制位址)、磁盘ID(磁盘身份信息)、安全芯片唯一ID(安全芯片唯一身份信息等)进行密码加密处理,得到一个子节点身份信息,密码加密处理可以是首先通过sm3(国产哈希算法)进行密码加密处理,然后通过sm4(无线局域网标准的分组数据算法)进行加密,得到该子节点的唯一身份信息,可以理解的,在这之前,中心节点也会获取该子节点的信息,经过同样的密码加密处理方法,进行加密,存到本地数据库中,作为比对的基准,基于此,通过获取子节点发送的疑似口令攻击信息中的子节点身份信息,与中心节点中的子节点身份信息进行比对,可以确认该疑似口令身份信息是来自可信任的子节点发送的疑似口令攻击信息,基于此,通过疑似口令攻击信息进行口令攻击的识别,可以提高识别的准确性和可信度。
在另一个实施例中,获取子节点端发送的疑似口令攻击信息还包括:基于子节点身份信息对子节点端进行身份识别,并获取身份识别结果;若身份识别结果为识别失败,将子节点身份信息标记为未知身份信息,并拒绝接受子节点身份信息为未知身份信息的疑似口令攻击信息。
在本实施例中,中心节点接收到来自子节点端发送的包括子节点身份信息的疑似口令攻击信息后,需要对子节点端进行身份识别,并获取身份结果,容易理解的,对子节点端进行身份识别的方式是通过预先存储在中心节点端的子节点身份信息与获取到的子节点身份信息进行比对匹配,若可以比对成功,则证明该子节点可信,若无法比对,则识别失败,确认该疑似口令攻击信息是通过仿冒节点发送的,为了混淆数据而发送的信息,基于此,需要屏蔽发送该疑似口令攻击信息的IP地址,不再获取来自该IP地址发送的疑似口令攻击信息,可以保证对口令攻击识别的可信度和准确性。
在其中一个实施例中,基于预设规则,对疑似攻击队列进行口令攻击识别包括:判断预设时间段内一个或多个子节点端发送的多个疑似口令攻击信息是否满足预设数量阈值以及预设频率阈值,若满足则攻击识别结果为存在口令攻击;若不满足则攻击识别结果为不存在口令攻击。
可以理解的,在本实施例中,基于疑似攻击队列识别是否存在口令攻击的识别方法的是通过预设规则进行识别,而本实施例的疑似攻击队列是基于各个子节点端发送的疑似口令攻击信息,再基于时间戳按照时间进行排列的,基于此可以通过全局视角对口令攻击进行识别,因此,只需要判断预设时间内,在该疑似攻击队列中是否存在一个时间段内,存在足够多数量,满足预设频率的多个疑似口令攻击信息,若存在,则可以判定存在口令攻击行为,若不存在,则判定不存在口令攻击行为,预设时间段、预设数量数值以及预设频率阈值可以通过相关技术人员来设置,还可以通过获取云端的相关规则设置,可以理解的,通过设置不同的时间段、不同数量阈值、以及不同频率阈值可以判断不同种类的口令攻击行为,基于此,可以提高对口令攻击识别的识别准确率。
在另一个实施例中,基于预设规则对疑似攻击队列进行口令攻击识别,并输出攻击识别结果之后还包括:若攻击识别结果为存在口令攻击,则报警和/或获取口令数据的发送端地址,并将发送端地址进行屏蔽。
在本实施例中,若存在口令攻击,则为了保证服务器的安全以及系统的正常运行,则需要立刻报警,提醒工作人员当前服务器正在被攻击,以及获取口令数据的发送端地址,可以理解的,口令数据中应当包括登录的用户名和密码,以及登录的IP地址,基于此,对发送端地址进行IP屏蔽,不再接受来自该IP 地址的登录请求,可以有效的避免攻击源继续攻击,可以及时保证服务器的安全正常运行,通过自动屏蔽,相对于认为设置来说还提高了对口令攻击识别后的响应效率。
在本实施例中还提供了一种口令攻击检测方法。图3是本申请中一实施例的口令攻击检测方法的各节点关系示意图,如图3所示,该示意图中包括如下部分:
首先,在与服务器端进行信息交互的是节点群中的各子节点端,包括节点1、节点2……节点n,各子节点端中包括检测agent(检测软件),该检测agent是一种检测口令爆破,也就是口令攻击的专用软件,主要基于行为差异检测原理进行识别,进而区分出是人为登录还是恶意程序进行口令尝试的自动化探测。正常情况下,人为登录一般不会出现连续多次输入错误密码的情况;而恶意程序则是通过事先预置好的用户名和密码的组合,自动化尝试口令是否正确,出现连续密码校验失败的情况的概率较高。当检测agent识别出疑似恶意程序进行口令爆破,则会将可疑信息发送至中心节点;另外,在获取可疑信息时,还需要基于中心节点对子节点进行身份识别,通过对比密文唯一ID,对子节点的身份进行识别,其中密文ID的生成方式可以是通过MAC地址、磁盘ID、安全芯片唯一ID等,通过sm3算法进行salt处理,然后进行sm4加密生成的,可以理解的,若身份对比失败,为了防止是恶意发送可疑信息混淆节点判断,则对发送可疑信息的IP地址进行屏蔽操作,以防止错判断和误判断。
在中心节点端获取到各子节点端发送的可疑信息后,中心节点端会通过 NTP服务器(网络时间协议),对各子节点端发送给中心节点的可疑信息根据时间戳进行随机访问还原,形成基于时间的全局排列,可以保证各节点与中心节点的时间是一致的,并保证可疑信息的时间戳也是一致的,通过对可疑信息进行时间还原,再基于时间进行全局排列,可以将所有的子节点看成是一个大节点,获取到的可疑信息也都是来自于同一个大节点的可疑信息,即可以对大节点进行口令攻击检测。
当中心节点端得到基于时间将可疑信息进行全局排列的队列后,即根据可疑信息在全局排列中的口令发送频率、口令发送间隔进行人机识别判断,进行判别点块式攻击,判断的规则通过技术人员进行预先设置,可以理解的,当识别到存在点块式攻击时,则对识别结果为存在攻击行为的IP地址进行屏蔽,不允许攻击源继续对系统进行任何形式的访问,从根本上消除风险源。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。在本实施例中还提供了一种口令攻击识别装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本申请一实施例的口令攻击识别装置的结构框图,如图4所示,该装置包括:口令攻击信息获取模块10、疑似攻击队列生成模块20、口令攻击识别模块30、子节点身份识别模块。
口令攻击信息获取模块10:用于获取子节点端发送的疑似口令攻击信息,疑似口令攻击信息包括疑似口令攻击信息的口令数据、时间戳以及子节点身份信息。
口令攻击信息获取模块10:还用于获取子节点端基于检测软件检测并发送到中心节点端的疑似口令攻击信息,检测软件用于接收子节点端发送的登录记录,输出检测结果,并将检测结果中的疑似口令攻击信息发送到中心节点端,检测结果包括登录记录是否为疑似口令攻击信息,以及疑似口令攻击信息。
疑似攻击队列生成模块20:用于基于时间戳对疑似口令攻击信息进行排列,生成疑似攻击队列。
疑似攻击队列生成模块20:还用于基于网络时间协议对时间戳进行时间还原,获取还原结果;基于还原结果对疑似口令攻击信息进行排列,得到疑似攻击队列。
口令攻击识别模块30:用于基于预设规则对疑似攻击队列进行口令攻击识别,并输出攻击识别结果。
口令攻击识别模块30:还用于判断预设时间段内一个或多个子节点端发送的多个疑似口令攻击信息是否满足预设数量阈值以及预设频率阈值,若满足则攻击识别结果为存在口令攻击;若不满足则攻击识别结果为不存在口令攻击。
口令攻击识别模块30:还用于若攻击识别结果为存在口令攻击,则报警和/ 或获取口令数据的发送端地址,并将发送端地址进行屏蔽。
子节点身份识别模块:用于向子节点端发送子节点身份信息生成指令,使子节点端获取子节点地址数据,并基于子节点地址数据进行密码加密处理,得到子节点身份信息,子节点地址数据包括媒体存取控制位址、磁盘身份信息、安全芯片身份信息中至少一种。
子节点身份识别模块:还用于基于子节点身份信息对子节点端进行身份识别,并获取身份识别结果;若身份识别结果为识别失败,将子节点身份信息标记为未知身份信息,并拒绝接受子节点身份信息为未知身份信息的疑似口令攻击信息。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取子节点端发送的疑似口令攻击信息,疑似口令攻击信息包括口令数据以及口令时间戳。
S2,基于口令时间戳对疑似口令攻击信息进行排列,得到疑似攻击队列。
S3,基于预设规则对疑似攻击队列进行口令攻击识别,并输出攻击识别结果。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的口令攻击检测方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种口令攻击检测方法。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种口令攻击检测方法,应用于中心节点端,其特征在于,包括:
获取子节点端发送的疑似口令攻击信息,所述疑似口令攻击信息包括口令数据以及口令时间戳;
基于所述口令时间戳对所述疑似口令攻击信息进行排列,得到疑似攻击队列;
基于预设规则对所述疑似攻击队列进行口令攻击识别,并输出攻击识别结果。
2.根据权利要求1所述的口令攻击检测方法,其特征在于,所述获取子节点端发送的疑似口令攻击信息包括:
向所述子节点端发送疑似口令信息获取指令,使所述子节点端接收登录记录,输出基于所述登录记录生成的检测结果,并将所述检测结果中的疑似口令攻击信息发送到所述中心节点端,所述检测结果包括所述登录记录是否为疑似口令攻击信息,以及所述口令攻击信息。
3.根据权利要求1所述的口令攻击检测方法,其特征在于,所述基于所述时间戳对所述疑似口令攻击信息进行排列,生成疑似攻击队列包括:
基于网络时间协议对所述时间戳进行时间还原,获取还原结果;
基于所述还原结果对所述疑似口令攻击信息进行排列,得到所述疑似攻击队列。
4.根据权利要求1所述的口令攻击检测方法,其特征在于,所述疑似口令攻击信息还包括子节点身份信息,所述获取所述子节点端发送的疑似口令攻击信息之前还包括:
向所述子节点端发送子节点身份信息生成指令,使所述子节点端获取子节点地址数据,并基于所述子节点地址数据进行密码加密处理,得到子节点身份信息,所述子节点地址数据包括媒体存取控制位址、磁盘身份信息、安全芯片身份信息中至少一种。
5.根据权利要求4所述的口令攻击检测方法,其特征在于,所述获取所述子节点端发送的疑似口令攻击信息还包括:
基于所述子节点身份信息对所述子节点端进行身份识别,并获取身份识别结果;
若所述身份识别结果为识别失败,将所述子节点身份信息标记为未知身份信息,并拒绝接受所述子节点身份信息为未知身份信息的疑似口令攻击信息。
6.根据权利要求1所述的口令攻击检测方法,其特征在于,所述基于预设规则,对所述疑似攻击队列进行口令攻击识别包括:
判断预设时间段内一个或多个所述子节点端发送的多个所述疑似口令攻击信息是否满足预设数量阈值以及预设频率阈值,若满足则所述攻击识别结果为存在口令攻击;
若不满足则所述攻击识别结果为不存在口令攻击。
7.根据权利要求1所述的口令攻击检测方法,其特征在于,所述基于预设规则对所述疑似攻击队列进行口令攻击识别,并输出攻击识别结果之后还包括:
若所述攻击识别结果为存在口令攻击,则报警和/或获取所述口令数据的发送端地址,并将所述发送端地址进行屏蔽。
8.一种口令攻击检测装置,应用于中心节点端,其特征在于,包括:
口令攻击信息获取模块:用于获取子节点端发送的疑似口令攻击信息,所述疑似口令攻击信息包括所述疑似口令攻击信息的口令数据、时间戳以及子节点身份信息;
疑似攻击队列生成模块:用于基于所述时间戳对所述疑似口令攻击信息进行排列,生成疑似攻击队列;
口令攻击识别模块:用于基于预设规则对所述疑似攻击队列进行口令攻击识别,并输出攻击识别结果。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的口令攻击检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的口令攻击检测方法的步骤。
CN202110846285.0A 2021-07-26 2021-07-26 口令攻击检测方法、装置、电子装置和存储介质 Active CN113660216B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110846285.0A CN113660216B (zh) 2021-07-26 2021-07-26 口令攻击检测方法、装置、电子装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110846285.0A CN113660216B (zh) 2021-07-26 2021-07-26 口令攻击检测方法、装置、电子装置和存储介质

Publications (2)

Publication Number Publication Date
CN113660216A CN113660216A (zh) 2021-11-16
CN113660216B true CN113660216B (zh) 2022-10-21

Family

ID=78478721

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110846285.0A Active CN113660216B (zh) 2021-07-26 2021-07-26 口令攻击检测方法、装置、电子装置和存储介质

Country Status (1)

Country Link
CN (1) CN113660216B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116633527A (zh) * 2022-02-11 2023-08-22 三六零数字安全科技集团有限公司 弱口令爆破攻击的防护方法、装置、介质、电子设备
CN114491611B (zh) * 2022-04-15 2022-06-21 广州万协通信息技术有限公司 基于备份数据的安全芯片防攻击方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534196A (zh) * 2016-12-22 2017-03-22 国云科技股份有限公司 一种抗口令猜测重放攻击的身份验证方法
CN108833186A (zh) * 2018-06-29 2018-11-16 北京奇虎科技有限公司 一种网络攻击预测方法及装置
CN110166464A (zh) * 2019-05-27 2019-08-23 北京信息科技大学 一种内容中心网络兴趣泛洪攻击的检测方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10972498B2 (en) * 2018-10-08 2021-04-06 International Business Machines Corporation Dynamic protection from detected to brute force attack

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534196A (zh) * 2016-12-22 2017-03-22 国云科技股份有限公司 一种抗口令猜测重放攻击的身份验证方法
CN108833186A (zh) * 2018-06-29 2018-11-16 北京奇虎科技有限公司 一种网络攻击预测方法及装置
CN110166464A (zh) * 2019-05-27 2019-08-23 北京信息科技大学 一种内容中心网络兴趣泛洪攻击的检测方法及系统

Also Published As

Publication number Publication date
CN113660216A (zh) 2021-11-16

Similar Documents

Publication Publication Date Title
US10826684B1 (en) System and method of validating Internet of Things (IOT) devices
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
CN105939326B (zh) 处理报文的方法及装置
CN106302328B (zh) 敏感用户数据处理系统和方法
CN113660216B (zh) 口令攻击检测方法、装置、电子装置和存储介质
CN107800678B (zh) 检测终端异常注册的方法及装置
CN110417717B (zh) 登录行为的识别方法及装置
CN106713061B (zh) 监测攻击报文的方法、系统及装置
CN110224998B (zh) 一种微服务注册方法及装置
CN113379420B (zh) 区块链的执行智能合约方法、计算机设备及区块链系统
Chang et al. P2P botnet detection using behavior clustering & statistical tests
CN104980449B (zh) 网络请求的安全认证方法及系统
US10091249B2 (en) Method and system for synchronization of two databases in a lawful interception network by comparing checksum values
CN117155716B (zh) 访问校验方法和装置、存储介质及电子设备
CN112583789B (zh) 被非法登录的登录接口确定方法、装置及设备
CN112713996B (zh) 基于区块链的故障验证方法、服务器和终端
CN114157492A (zh) 一种can总线入侵检测方法及装置
CN112671603A (zh) 故障检测方法和服务器
CN114499995B (zh) 一种防止重放攻击的方法、装置和系统
CN109040137A (zh) 用于检测中间人攻击的方法、装置以及电子设备
CN113961920A (zh) 可疑进程处理方法、装置、存储介质及电子设备
CN102136956A (zh) 检测网络通讯行为的监测方法及其系统
CN112187720B (zh) 一种二级攻击链的生成方法、装置、电子装置和存储介质
Murvay et al. A brief look at the security of DeviceNet communication in industrial control systems
CN114205169A (zh) 网络安全防御方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant