CN113852625B - 一种弱口令监测方法、装置、设备及存储介质 - Google Patents
一种弱口令监测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113852625B CN113852625B CN202111115308.7A CN202111115308A CN113852625B CN 113852625 B CN113852625 B CN 113852625B CN 202111115308 A CN202111115308 A CN 202111115308A CN 113852625 B CN113852625 B CN 113852625B
- Authority
- CN
- China
- Prior art keywords
- login
- data packet
- source
- behavior
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000012544 monitoring process Methods 0.000 title claims abstract description 34
- 238000012216 screening Methods 0.000 claims abstract description 30
- 230000006399 behavior Effects 0.000 claims description 139
- 238000005336 cracking Methods 0.000 claims description 38
- 230000008569 process Effects 0.000 claims description 29
- 238000001514 detection method Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 6
- 238000012806 monitoring device Methods 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种弱口令监测方法、装置、设备及存储介质。该方法包括:采集网络流量,并从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包;获取目标公司业务系统对应的安全域参数信息,将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,以判断所述目标流量数据包是否与所述目标公司业务系统相关联;若所述目标流量数据包与所述目标公司业务系统相关联,则识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示。通过安全域参数信息识别需要监测的资产,只针对涉及目标公司业务系统的弱口令进行风险识别,避免无关噪声数据的干扰,大幅度提高监测及分析效率。
Description
技术领域
本发明涉及弱口令识别领域,特别涉及一种弱口令监测方法、装置、设备及存储介质。
背景技术
信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源,数据正日益对全球经济运行机制、社会生活方式和国家治理能力产生重要影响。但是随着互联网建设的加快,数据的保护也越来越重要。当前每个人在网络上都有很多账号,其背后存放的是隐私数据,如果账号无法起到保护作用,隐私数据就会泄露,对个人和集体都会造成很大影响。通常网站都有一个门户界面,登陆成功后网站里面才是有价值的内容,包括一些其他漏洞的利用也是在登录成功的基础上进行的。目前不少企业都花高价来部署安全设备,用以监测发现黑客攻击。但在实际场景中的问题主要表现如下:1.安全产品功能复杂,力求监测尽可能多的攻击种类,但每天产生的数据过大,种类繁多,人工分析效率太低,产品使用感觉臃肿;2.在监测过程中通常会监测到很多正常访问网站的行为,噪声数据多;3.访问网站的用户数量庞大,其中有恶意的和正常的,难以区分。现有技术中,通过弱口令检测发现弱口令问题,避免因为弱口令问题带来的后续损失,弱口令即简单的容易被猜出的密码,但因为数据量过大,且种类繁多,往往不能及时有效地发现问题,更不能解决根本问题,降低了弱口令问题检测的能力。
发明内容
有鉴于此,本发明的目的在于提供一种弱口令监测方法、装置、设备及介质,能够提高弱口令监测效率和能力。其具体方案如下:
第一方面,本申请公开了一种弱口令监测方法,包括:
采集网络流量,并从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包;
获取目标公司业务系统对应的安全域参数信息,将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,以判断所述目标流量数据包是否与所述目标公司业务系统相关联;
若所述目标流量数据包与所述目标公司业务系统相关联,则识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示。
可选的,所述从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包,包括:
根据WEB登录行为特征从所述网络流量中筛选出WEB登录数据包;
根据弱口令判断条件对所述WEB登录数据包进行筛选,以得到符合所述弱口令判断条件的目标流量数据包;其中,所述弱口令判断条件包括基于弱口令字典的匹配和基于弱口令规则的检测。
可选的,所述根据WEB登录行为特征从所述网络流量中筛选出WEB登录数据包,包括:
基于WEB登录行为数据中账号和密码分别对应的参数名,以及所述参数名对应的变形体配置生成多条登录检测规则;
利用所述登录检测规则通过正则匹配,从所述网络流量中筛选出WEB登录数据包。
可选的,所述识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示,包括:
根据所述目标流量数据包内来源IP对应的操作数据识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示;所述操作行为包括所述来源IP是否登录成功以及所述来源IP的登录过程是否存在暴力破解行为。
可选的,所述根据所述目标流量数据包内来源IP对应的操作数据识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示,包括:
提取所述目标流量数据包内的来源IP,并判断所述来源IP是否属于安全域IP;
若所述来源IP属于安全域IP,则判断所述来源IP是否登录成功,并在判断结果为登录成功时生成弱口令登录成功告警;
若所述来源IP不属于安全域IP,则统计所述来源IP的登录行为次数,并根据所述登录行为次数和预设登录频率阈值判断所述来源IP的登录过程是否存在暴力破解行为;
若所述来源IP的登录过程不存在暴力破解行为,且所述来源IP没有登录成功则生成弱口令登录成功告警;
若所述来源IP的登录过程存在暴力破解行为,且所述来源IP没有登录成功则生成暴力破解告警;
若所述来源IP的登录过程存在暴力破解行为,且所述来源IP登录成功则生成暴力破解成功告警。
可选的,所述获取目标公司业务系统对应的安全域参数信息,包括:
获取目标公司业务系统对应的安全域参数信息;所述安全域参数信息包括服务器网段、域名、公司名称中的任意一项或多项。
可选的,所述将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,包括:
提取所述目标流量数据包内的Host值,将所述服务器网段与所述Host值进行匹配,判断所述Host值是否在所述服务器网段内;
和/或,提取所述目标流量数据包内统一资源定位符的域名字段,将所述安全域参数信息内的域名与所述域名字段进行匹配;
和/或,提取所述目标流量数据包内请求数据和响应数据中包含的标题字段,将所述安全域参数信息内的公司名称与所述标题字段进行匹配。
第二方面,本申请公开了一种弱口令监测装置,包括:
流量采集模块,用于采集网络流量,并从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包;
业务关联判断模块,用于获取目标公司业务系统对应的安全域参数信息,将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,以判断所述目标流量数据包是否与所述目标公司业务系统相关联;
行为识别模块,用于若所述目标流量数据包与所述目标公司业务系统相关联,则识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的弱口令监测方法。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中计算机程序被处理器执行时实现前述的弱口令监测方法。
本申请中,通过采集网络流量,并从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包;获取目标公司业务系统对应的安全域参数信息,将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,以判断所述目标流量数据包是否与所述目标公司业务系统相关联;若所述目标流量数据包与所述目标公司业务系统相关联,则识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示。可见,首选筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包,然后根据目标公司业务系统对应的安全域参数信息,判断目标流量数据包是否与目标公司业务系统相关联,并在确定目标流量数据包与目标公司业务系统相关联后,识别目标流量数据包对应的操作行为,并根据操作行为生成相应的告警提示。由此,通过安全域参数信息识别需要监测的资产,只针对涉及目标公司业务系统的弱口令进行风险识别,避免无关噪声数据的干扰,大幅度提高监测及分析效率,并根据弱口令行为生成相应的告警提示,快速识别弱口令行为带来的危害,从而有效地有针对性地解决弱口令问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种弱口令监测方法流程图;
图2为本申请提供的一种具体的网络流量内容示意图;
图3为本申请提供的一种具体的告警提示流程图;
图4为本申请提供的一种弱口令监测装置结构示意图;
图5为本申请提供的一种电子设备结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术中,通过弱口令检测发现弱口令问题,避免因为弱口令问题带来的后续损失,弱口令即简单的容易被猜出的密码,但因为数据量过大,且种类繁多,往往不能及时有效地发现问题,更不能解决根本问题,降低了弱口令问题检测的能力。为克服上述技术问题,本申请提供了一种针对业务的弱口令监测方法,能够提高监测及分析效率。
本申请实施例公开了一种弱口令监测方法,参见图1所示,该方法可以包括以下步骤:
步骤S11:采集网络流量,并从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包。
本实施例中,首先采集网络流量,然后从网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包。即对采集的网络流量数据进行匹配,从网络流量中识别出采用弱口令登录系统的目标流量数据包,以便后续通过对该目标流量数据包的分析,识别弱口令相关的操作行为。
本实施例中,所述从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包,可以包括:根据WEB登录行为特征从所述网络流量中筛选出WEB登录数据包;根据弱口令判断条件对所述WEB登录数据包进行筛选,以得到符合所述弱口令判断条件的目标流量数据包;其中,所述弱口令判断条件包括基于弱口令字典的匹配和基于弱口令规则的检测。即首先根据WEB登录行为特征从网络流量中筛选出WEB登录数据包,WEB登录行为特征包括登录时流量中的一些固定参数名,如账号密码等,然后,再用弱口令字典匹配方法和弱口令规则监测方法,判断WEB登录数据包是否满足弱口令条件,保留满足条件的数据包以得到上述目标流量数据包。
本实施例中,所述根据WEB登录行为特征从所述网络流量中筛选出WE B登录数据包,可以包括:基于WEB登录行为数据中账号和密码分别对应的参数名,以及所述参数名对应的变形体配置生成多条登录检测规则;利用所述登录检测规则通过正则匹配,从所述网络流量中筛选出WEB登录数据包。例如,采集到的网络流量如图2所示,由于WEB登录行为的数据包中一定存在username、password等类似的表征账号密码的参数字段,因此可以匹配数据包中的账号参数名和密码参数名,并获取参数对应的值,以python写法为例:“matchObj=re.match(r'(.*?)pass(.*?)\=[\s\S]+&(.*?)user(.*?)\=[\s\S]+',line,re.M|re.I);password=line.split('&')[0].split('=')[1];username=line.split('&')[1].split('=')[1]”;其中,“matchObj”可以提取到“password=111111&use rName=admin”这条字符串,这样就识别出存在WEB登录行为的数据包,“password”和“username”可以提取到账号和密码的值。并且,为了准确检测到登录行为的数据,可以配置多条检测规则来识别账号密码参数的不同变形体。
步骤S12:获取目标公司业务系统对应的安全域参数信息,将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,以判断所述目标流量数据包是否与所述目标公司业务系统相关联。
本实施例中,确定出目标流量数据包后,获取目标公司业务系统对应的安全域参数信息,然后将上述安全域参数信息与目标流量数据包内的相关参数进行匹配,以判断目标流量数据包是否与目标公司业务系统相关联。即根据需要进行弱口令监测的目标公司业务系统的特征,对目标流量数据包进行过滤,筛选出有价值的数据,以便只对识别出的与目标公司业务系统相关的弱口令数据进行行为检测。具体可以通过获取用户输入的安全域,识别业务系统范围内的安全域,提取登录时数据包中的目的IP字段、目的域名字段、访问WEB页面的源码,如果符合安全域内系统的特征,则保留这些数据包进行后续的行为识别。由此自动化识别目标公司业务系统的弱口令漏洞,力求快速准确地发现监测对象的问题,避免浪费时间在无关数据上。
本实施例中,所述获取目标公司业务系统对应的安全域参数信息,可以包括:获取目标公司业务系统对应的安全域参数信息;所述安全域参数信息包括服务器网段、域名、公司名称中的任意一项或多项。
本实施例中,所述将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,可以包括:提取所述目标流量数据包内的Host值,将所述服务器网段与所述Host值进行匹配,判断所述Host值是否在所述服务器网段内;和/或,提取所述目标流量数据包内统一资源定位符的域名字段,将所述安全域参数信息内的域名与所述域名字段进行匹配;和/或,提取所述目标流量数据包内请求数据和响应数据中包含的标题字段,将所述安全域参数信息内的公司名称与所述标题字段进行匹配。例如获取到的用户输入的安全域参数信息包括:WEB服务器网段:10.20.8.0/24",域名"xx.com"和公司名称"XX有限公司",以此为标准进行数据匹配。匹配Host参数并提取其中的值,如图2数据中的Host值为10.20.8.12,则可以判断属于内网的WEB服务器网段,因此属于目标公司业务系统;匹配统一资源定位符中的域名,如图2数据中的统一资源定位符存在"XX.com"字样,认定为目标公司业务系统相关数据;同时,匹配请求和响应内容,以python为例,可以用'<title>(.*?)XX(.*?)</title>'匹配标题内容,如果在请求包和响应包中匹配成功,认定为目标公司业务系统相关数据。通过对上述三种规则逐渐优化丰富,可以匹配到目标公司的所有业务系统,做到对目标公司的弱口令行为全面监测。
步骤S13:若所述目标流量数据包与所述目标公司业务系统相关联,则识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示。
本实施例中,若目标流量数据包与目标公司业务系统相关联,则识别目标流量数据包对应的操作行为,并根据操作行为生成相应的告警提示。即通过安全域参数信息匹配目标流量数据包,然后保留目标流量数据包中匹配成功的数据,并对该数据进行操作行为识别,若通过安全域参数信息检测到某部分流量不匹配,则判定该部分流量不是目标公司业务系统相关的流量,不进行后续的行为分析,节约检测时间。
本实施例中,所述识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示,可以包括:根据所述目标流量数据包内来源IP对应的操作数据识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示;所述操作行为包括所述来源IP是否登录成功以及所述来源IP的登录过程是否存在暴力破解行为。即根据目标流量数据包中来源IP相关的源码和响应码,判定是否登录成功以及登录过程是否存在暴力破解行为,得出行为分析结果。
本实施例中,所述根据所述目标流量数据包内来源IP对应的操作数据识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示,可以包括:提取所述目标流量数据包内的来源IP,并判断所述来源IP是否属于安全域IP;若所述来源IP属于安全域IP,则判断所述来源IP是否登录成功,并在判断结果为登录成功时生成弱口令登录成功告警;若所述来源IP不属于安全域IP,则统计所述来源IP的登录行为次数,并根据所述登录行为次数和预设登录频率阈值判断所述来源IP的登录过程是否存在暴力破解行为;若所述来源IP的登录过程不存在暴力破解行为,且所述来源IP没有登录成功则生成弱口令登录成功告警;若所述来源IP的登录过程存在暴力破解行为,且所述来源IP没有登录成功则生成暴力破解告警;若所述来源IP的登录过程存在暴力破解行为,且所述来源IP登录成功则生成暴力破解成功告警。例如图3所示,若目标流量数据包与目标公司业务系统相关联,则即提取登录时数据包中的来源IP字段,根据该来源IP字段判断是正常用户还是攻击者,进一步根据登录是否成功,以及登录频率确定是否存在暴力破解行为,例如1分钟内登录次数超过20次的认定存在暴力破解行为,最终生成不同等级的告警提示。
由上可见,本实施例中通过首选筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包,然后根据目标公司业务系统对应的安全域参数信息,判断目标流量数据包是否与目标公司业务系统相关联,并在确定目标流量数据包与目标公司业务系统相关联后,识别目标流量数据包对应的操作行为,并根据操作行为生成相应的告警提示。由此,通过安全域参数信息识别需要监测的资产,只针对涉及目标公司业务系统的弱口令进行风险识别,避免无关噪声数据的干扰,大幅度提高监测及分析效率,并根据弱口令行为生成相应的告警提示,快速识别弱口令行为带来的危害,从而有效地有针对性地解决弱口令问题。
相应的,本申请实施例还公开了一种弱口令监测装置,参见图4所示,该装置包括:
流量采集模块11,用于采集网络流量,并从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包;
业务关联判断模块12,用于获取目标公司业务系统对应的安全域参数信息,将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,以判断所述目标流量数据包是否与所述目标公司业务系统相关联;
行为识别模块13,用于若所述目标流量数据包与所述目标公司业务系统相关联,则识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示。
由上可见,本实施例中通过首选筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包,然后根据目标公司业务系统对应的安全域参数信息,判断目标流量数据包是否与目标公司业务系统相关联,并在确定目标流量数据包与目标公司业务系统相关联后,识别目标流量数据包对应的操作行为,并根据操作行为生成相应的告警提示。由此,通过安全域参数信息识别需要监测的资产,只针对涉及目标公司业务系统的弱口令进行风险识别,避免无关噪声数据的干扰,大幅度提高监测及分析效率,并根据弱口令行为生成相应的告警提示,快速识别弱口令行为带来的危害,从而有效地有针对性地解决弱口令问题。
在一些具体实施例中,所述流量采集模块11具体可以包括:
WEB登录数据包确定单元,用于根据WEB登录行为特征从所述网络流量中筛选出WEB登录数据包;
弱口令筛选单元,用于根据弱口令判断条件对所述WEB登录数据包进行筛选,以得到符合所述弱口令判断条件的目标流量数据包;其中,所述弱口令判断条件包括基于弱口令字典的匹配和基于弱口令规则的检测。
在一些具体实施例中,所述WEB登录数据包确定单元具体可以包括:
登录检测规则生成单元,用于基于WEB登录行为数据中账号和密码分别对应的参数名,以及所述参数名对应的变形体配置生成多条登录检测规则;
WEB登录数据包筛选单元,用于利用所述登录检测规则通过正则匹配,从所述网络流量中筛选出WEB登录数据包。
在一些具体实施例中,所述业务关联判断模块12具体可以包括:
安全域参数信息获取单元,用于获取目标公司业务系统对应的安全域参数信息;所述安全域参数信息包括服务器网段、域名、公司名称中的任意一项或多项。
在一些具体实施例中,所述业务关联判断模块12具体可以包括:
第一匹配单元,用于提取所述目标流量数据包内的Host值,将所述服务器网段与所述Host值进行匹配,判断所述Host值是否在所述服务器网段内;
第二匹配单元,用于提取所述目标流量数据包内统一资源定位符的域名字段,将所述安全域参数信息内的域名与所述域名字段进行匹配;
第三匹配单元,用于提取所述目标流量数据包内请求数据和响应数据中包含的标题字段,将所述安全域参数信息内的公司名称与所述标题字段进行匹配。
在一些具体实施例中,所述行为识别模块13具体可以包括:
行为判断及告警单元,用于根据所述目标流量数据包内来源IP对应的操作数据识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示;所述操作行为包括所述来源IP是否登录成功以及所述来源IP的登录过程是否存在暴力破解行为。
在一些具体实施例中,所述行为判断及告警单元具体可以包括:
安全域IP判断单元,用于提取所述目标流量数据包内的来源IP,并判断所述来源IP是否属于安全域IP;
第一告警单元,用于若所述来源IP属于安全域IP,则判断所述来源IP是否登录成功,并在判断结果为登录成功时生成弱口令登录成功告警;
第二告警单元,用于若所述来源IP不属于安全域IP,则统计所述来源IP的登录行为次数,并根据所述登录行为次数和预设登录频率阈值判断所述来源IP的登录过程是否存在暴力破解行为;
第三告警单元,用于若所述来源IP的登录过程不存在暴力破解行为,且所述来源IP没有登录成功则生成弱口令登录成功告警;
第四告警单元,用于若所述来源IP的登录过程存在暴力破解行为,且所述来源IP没有登录成功则生成暴力破解告警;
第五告警单元,用于若所述来源IP的登录过程存在暴力破解行为,且所述来源IP登录成功则生成暴力破解成功告警。
进一步的,本申请实施例还公开了一种电子设备,参见图5所示,图中的内容不能被认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的弱口令监测方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及包括网络流量在内的数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的弱口令监测方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述任一实施例公开的弱口令监测方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种弱口令监测方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种弱口令监测方法,其特征在于,包括:
采集网络流量,并从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包;
获取目标公司业务系统对应的安全域参数信息,将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,以判断所述目标流量数据包是否与所述目标公司业务系统相关联;
若所述目标流量数据包与所述目标公司业务系统相关联,则识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示;
其中,所述识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示,包括:
根据所述目标流量数据包内来源IP对应的操作数据识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示;所述操作行为包括所述来源IP是否登录成功以及所述来源IP的登录过程是否存在暴力破解行为;
其中,所述根据所述目标流量数据包内来源IP对应的操作数据识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示,包括:
提取所述目标流量数据包内的来源IP,并判断所述来源IP是否属于安全域IP;
若所述来源IP属于安全域IP,则判断所述来源IP是否登录成功,并在判断结果为登录成功时生成弱口令登录成功告警;
若所述来源IP不属于安全域IP,则统计所述来源IP的登录行为次数,并根据所述登录行为次数和预设登录频率阈值判断所述来源IP的登录过程是否存在暴力破解行为;
若所述来源IP的登录过程不存在暴力破解行为,且所述来源IP没有登录成功则生成弱口令登录成功告警;
若所述来源IP的登录过程存在暴力破解行为,且所述来源IP没有登录成功则生成暴力破解告警;
若所述来源IP的登录过程存在暴力破解行为,且所述来源IP登录成功则生成暴力破解成功告警。
2.根据权利要求1所述的弱口令监测方法,其特征在于,所述从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包,包括:
根据WEB登录行为特征从所述网络流量中筛选出WEB登录数据包;
根据弱口令判断条件对所述WEB登录数据包进行筛选,以得到符合所述弱口令判断条件的目标流量数据包;其中,所述弱口令判断条件包括基于弱口令字典的匹配和基于弱口令规则的检测。
3.根据权利要求2所述的弱口令监测方法,其特征在于,所述根据WEB登录行为特征从所述网络流量中筛选出WEB登录数据包,包括:
基于WEB登录行为数据中账号和密码分别对应的参数名,以及所述参数名对应的变形体配置生成多条登录检测规则;
利用所述登录检测规则通过正则匹配,从所述网络流量中筛选出WEB登录数据包。
4.根据权利要求1至3任一项所述的弱口令监测方法,其特征在于,所述获取目标公司业务系统对应的安全域参数信息,包括:
获取目标公司业务系统对应的安全域参数信息;所述安全域参数信息包括服务器网段、域名、公司名称中的任意一项或多项。
5.根据权利要求4所述的弱口令监测方法,其特征在于,所述将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,包括:
提取所述目标流量数据包内的Host值,将所述服务器网段与所述Host值进行匹配,判断所述Host值是否在所述服务器网段内;
和/或,提取所述目标流量数据包内统一资源定位符的域名字段,将所述安全域参数信息内的域名与所述域名字段进行匹配;
和/或,提取所述目标流量数据包内请求数据和响应数据中包含的标题字段,将所述安全域参数信息内的公司名称与所述标题字段进行匹配。
6.一种弱口令监测装置,其特征在于,包括:
流量采集模块,用于采集网络流量,并从所述网络流量中筛选出使用弱口令登录WEB页面的行为对应的目标流量数据包;
业务关联判断模块,用于获取目标公司业务系统对应的安全域参数信息,将所述安全域参数信息与所述目标流量数据包内的相关参数进行匹配,以判断所述目标流量数据包是否与所述目标公司业务系统相关联;
行为识别模块,用于若所述目标流量数据包与所述目标公司业务系统相关联,则识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示;
其中,所述行为识别模块,还用于根据所述目标流量数据包内来源IP对应的操作数据识别所述目标流量数据包对应的操作行为,并根据所述操作行为生成相应的告警提示;所述操作行为包括所述来源IP是否登录成功以及所述来源IP的登录过程是否存在暴力破解行为;
其中,所述行为识别模块,还用于提取所述目标流量数据包内的来源IP,并判断所述来源IP是否属于安全域IP;若所述来源IP属于安全域IP,则判断所述来源IP是否登录成功,并在判断结果为登录成功时生成弱口令登录成功告警;若所述来源IP不属于安全域IP,则统计所述来源IP的登录行为次数,并根据所述登录行为次数和预设登录频率阈值判断所述来源IP的登录过程是否存在暴力破解行为;若所述来源IP的登录过程不存在暴力破解行为,且所述来源IP没有登录成功则生成弱口令登录成功告警;若所述来源IP的登录过程存在暴力破解行为,且所述来源IP没有登录成功则生成暴力破解告警;若所述来源IP的登录过程存在暴力破解行为,且所述来源IP登录成功则生成暴力破解成功告警。
7.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至5任一项所述的弱口令监测方法。
8.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中计算机程序被处理器执行时实现如权利要求1至5任一项所述的弱口令监测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111115308.7A CN113852625B (zh) | 2021-09-23 | 2021-09-23 | 一种弱口令监测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111115308.7A CN113852625B (zh) | 2021-09-23 | 2021-09-23 | 一种弱口令监测方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113852625A CN113852625A (zh) | 2021-12-28 |
CN113852625B true CN113852625B (zh) | 2024-04-30 |
Family
ID=78978904
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111115308.7A Active CN113852625B (zh) | 2021-09-23 | 2021-09-23 | 一种弱口令监测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113852625B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115086017A (zh) * | 2022-06-14 | 2022-09-20 | 杭州安恒信息安全技术有限公司 | 基于安全域的网络数据处理方法、装置、系统和电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109361518A (zh) * | 2018-10-16 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 一种弱口令检测方法、装置和计算机可读存储介质 |
CN112084487A (zh) * | 2020-09-10 | 2020-12-15 | 北京天融信网络安全技术有限公司 | 一种弱口令分析方法、装置、存储介质及电子设备 |
CN112583789A (zh) * | 2020-11-04 | 2021-03-30 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
CN112613029A (zh) * | 2021-01-06 | 2021-04-06 | 深信服科技股份有限公司 | 一种弱口令检测方法、装置、计算机存储介质以及设备 |
CN112800415A (zh) * | 2021-04-13 | 2021-05-14 | 深圳市云盾科技有限公司 | 一种基于贪婪算法模型的弱口令检测方法和系统 |
CN112804199A (zh) * | 2020-12-30 | 2021-05-14 | 傅昱皓 | 一种基于流量的摄像头弱口令发现的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7581245B2 (en) * | 2004-03-05 | 2009-08-25 | Sap Ag | Technique for evaluating computer system passwords |
-
2021
- 2021-09-23 CN CN202111115308.7A patent/CN113852625B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109361518A (zh) * | 2018-10-16 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 一种弱口令检测方法、装置和计算机可读存储介质 |
CN112084487A (zh) * | 2020-09-10 | 2020-12-15 | 北京天融信网络安全技术有限公司 | 一种弱口令分析方法、装置、存储介质及电子设备 |
CN112583789A (zh) * | 2020-11-04 | 2021-03-30 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
CN112804199A (zh) * | 2020-12-30 | 2021-05-14 | 傅昱皓 | 一种基于流量的摄像头弱口令发现的方法 |
CN112613029A (zh) * | 2021-01-06 | 2021-04-06 | 深信服科技股份有限公司 | 一种弱口令检测方法、装置、计算机存储介质以及设备 |
CN112800415A (zh) * | 2021-04-13 | 2021-05-14 | 深圳市云盾科技有限公司 | 一种基于贪婪算法模型的弱口令检测方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113852625A (zh) | 2021-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8392963B2 (en) | Techniques for tracking actual users in web application security systems | |
CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
US20180309772A1 (en) | Method and device for automatically verifying security event | |
CN110351248B (zh) | 一种基于智能分析和智能限流的安全防护方法及装置 | |
CN111726364B (zh) | 一种主机入侵防范方法、系统及相关装置 | |
US20140289856A1 (en) | Method and Device for Optimizing and Configuring Detection Rule | |
CN103379099A (zh) | 恶意攻击识别方法及系统 | |
CN111478920A (zh) | 一种隐蔽信道通信检测方法、装置及设备 | |
CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
US10320823B2 (en) | Discovering yet unknown malicious entities using relational data | |
CN113852625B (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
CN112367340B (zh) | 一种内网资产风险评估方法、装置、设备及介质 | |
CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
CN112738068B (zh) | 一种网络脆弱性扫描方法及装置 | |
WO2022222270A1 (zh) | 一种恶意挖矿行为识别方法、装置、设备及存储介质 | |
CN115085956A (zh) | 入侵检测方法、装置、电子设备及存储介质 | |
CN112436969A (zh) | 一种物联网设备管理方法、系统、设备及介质 | |
CN112785130B (zh) | 一种网站风险等级识别方法、装置、设备及存储介质 | |
CN115174270B (zh) | 一种行为异常检测方法、装置、设备及介质 | |
CN114826959B (zh) | 一种针对音频数据反爬虫技术脆弱性分析方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |