CN116633527A - 弱口令爆破攻击的防护方法、装置、介质、电子设备 - Google Patents

弱口令爆破攻击的防护方法、装置、介质、电子设备 Download PDF

Info

Publication number
CN116633527A
CN116633527A CN202210127726.6A CN202210127726A CN116633527A CN 116633527 A CN116633527 A CN 116633527A CN 202210127726 A CN202210127726 A CN 202210127726A CN 116633527 A CN116633527 A CN 116633527A
Authority
CN
China
Prior art keywords
data packet
identity verification
weak password
condition
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210127726.6A
Other languages
English (en)
Inventor
任鹏
谭合力
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
360 Digital Security Technology Group Co Ltd
Original Assignee
360 Digital Security Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 360 Digital Security Technology Group Co Ltd filed Critical 360 Digital Security Technology Group Co Ltd
Priority to CN202210127726.6A priority Critical patent/CN116633527A/zh
Priority to PCT/CN2022/113827 priority patent/WO2023151256A1/zh
Publication of CN116633527A publication Critical patent/CN116633527A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种弱口令爆破攻击的防护方法、装置、介质、电子设备,所述方法包括:抓取当前连接的网络数据包;判断当前所述网络数据包是否为身份验证数据包;在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;在当前连接为爆破攻击的情况下,断开当前连接。该方法通过核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行防护,针对性强,提高了弱口令识别的准确率与有效性。

Description

弱口令爆破攻击的防护方法、装置、介质、电子设备
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种弱口令爆破攻击的防护方法、装置、介质、电子设备。
背景技术
随着社会信息化的不断发展,各种恶意网络攻击层出不穷。每种不同的恶意程序都会有自身的攻击、驻留方式,但是其最初进入终端获得权限的方式大都相同,便是进行弱口令爆破攻击。为了降低恶意程序入侵终端的成功率,需要对弱口令爆破攻击进行通用防护。
现有的针对弱口令的防护方法为:通过组策略限制口令复杂程度,减少弱口令的使用。同时限制口令生命周期,通常为三个月进行一次口令变更。
现有的针对弱口令爆破的防护方法以用户为主体,需要依赖于组策略和用户对复杂口令的设置与记忆。而大部分用户为了防止忘记密码,习惯性使用弱口令,多个平台使用同一个密码,不定期更换密码等,大大降低了账号密码的安全性。此外用户设置的符合域策略的“复杂口令”很大概率仍然为弱口令,如“!@#$qwer1234”这种依照键盘顺序设置的口令。而对于口令的变更,大多数用户只是在原有口令上添加一个数字或字母,如“!@#$qwer1234”更改为“!@#$qwer12345”,仍然为弱口令,防护性差。
发明内容
针对现有技术的不足,本发明提出一种弱口令爆破攻击的防护方法、装置、介质、电子设备,该方法通过核验当前连接是否使用弱口令,识别出弱口令,对弱口令爆破攻击进行防护。
为了实现上述目的,本发明一方面提供一种弱口令爆破攻击的防护方法,包括:
抓取当前连接的网络数据包;
判断当前所述网络数据包是否为身份验证数据包;
在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在当前连接为爆破攻击的情况下,断开当前连接。
可选的,所述判断所述身份验证数据包是否为弱口令,包括:
获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;
获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;
根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;
判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
可选的,所述的方法还包括:
在所述身份验证数据包合法的情况下,确定所述身份验证数据包的数据包类型。
可选的,所述的方法还包括:
获取当前连接远程IP信息;
在所述身份验证数据包为弱口令的情况下,根据当前连接的所述远程IP 信息与主机名唯一标识当前连接发起方;
在当前连接为爆破攻击的情况下,将所述远程IP信息拉入黑名单。
可选的,所述的方法还包括:
在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;
在所述数据包类型为随机类型的情况下,保存所述身份验证数据包。
可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
在驱动层过滤所述网络数据包。
可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
通过判断SMB包的标志确定当前所述网络数据包是否为SMB数据包;
在所述网络数据包为SMB数据包的情况下,基于SMB协议对所述SMB数据包进行解析,判断所述SMB数据包是否合法;
在所述SMB数据包合法的情况下,判断当前所述网络数据包是否为身份验证数据包。
可选的,所述身份验证协议采用NTLM协议;
通过判断NTLM包的标志确定当前所述网络数据包是否为身份验证数据包。
本发明另一方面还提供一种弱口令爆破攻击的防护装置,包括:
抓取模块,用于抓取当前连接的网络数据包;
身份验证数据包判断模块,用于判断当前所述网络数据包是否为身份验证数据包;
在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
弱口令判断模块,用于在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
防护模块,用户在在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在当前连接为爆破攻击的情况下,断开当前连接。
可选的,所述判断所述身份验证数据包是否为弱口令,包括:
获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;
获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;
根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;
判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
可选的,所述的装置还包括:
在所述身份验证数据包合法的情况下,确定所述身份验证数据包的数据包类型。
可选的,所述的装置还包括:
获取当前连接远程IP信息;
在所述身份验证数据包为弱口令的情况下,根据当前连接的所述远程IP 信息与主机名唯一标识当前连接发起方;
在当前连接为爆破攻击的情况下,将所述远程IP信息拉入黑名单。
可选的,所述的装置还包括:
在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;
在所述数据包类型为随机类型的情况下,保存所述身份验证数据包。
可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
在驱动层过滤所述网络数据包。
可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
通过判断SMB包的标志确定当前所述网络数据包是否为SMB数据包;
在所述网络数据包为SMB数据包的情况下,基于SMB协议对所述SMB数据包进行解析,判断所述SMB数据包是否合法;
在所述SMB数据包合法的情况下,判断当前所述网络数据包是否为身份验证数据包。
可选的,所述身份验证协议采用NTLM协议;
通过判断NTLM包的标志确定当前所述网络数据包是否为身份验证数据包。
本发明另一方面还提供一种存储介质,用于存储一种用于执行上述的所述的弱口令爆破攻击的防护方法的计算机程序。
本发明另一方面还提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的弱口令爆破攻击的防护方法。
由以上方案可知,本发明的优点在于:
本发明提供的弱口令爆破攻击的防护方法,通过抓取当前连接的网络数据包,判断当前所述网络数据包是否为身份验证数据包,并在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,判断所述身份验证数据包是否为弱口令,在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击,针对爆破攻击进行防护。该方法通过核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行维护,对其中的爆破攻击进行防护,针对性强,提高了弱口令识别的准确率与有效性。同时,免去了用户设置记忆复杂口令的过程,且不再需要定期更改口令,防护过程对用户完全透明,不会影响任何操作。
附图说明
图1为本发明实施例一提供的弱口令爆破攻击的防护方法的流程示意图;
图2为本发明的弱口令爆破攻击的防护方法步骤S4的具体流程图;
图3为本发明实施例二提供的弱口令爆破攻击的防护方法的流程示意图;
图4为本发明实施例提供的弱口令爆破攻击的防护装置的结构示意图;
图5为电子设备的结构示意图;
图6为电子设备的硬件结构示意图;
其中:
400-弱口令爆破攻击的防护装置;
401-抓取模块;
402-身份验证数据包判断模块;
403-弱口令判断模块;
404-防护模块;
500-电子设备;
501-处理器;
502-存储器;
600-电子设备;
601-射频单元;
602-网络模块;
603-音频输出单元;
604-输入单元;
6041-图形处理器;
6042-麦克风;
605-传感器;
606-显示单元;
6061-显示面板;
607-用户输入单元;
6071-触控面板;
6072-其他输入设备;
608-接口单元;
609-存储器;
610-处理器。
具体实施方式
为让本发明的上述特征和效果能阐述的更明确易懂,下文特举实施例,并配合说明书附图作详细说明如下。
网络攻击是指网络攻击者通过非法的手段(如破译密码、电子欺骗等)获得非法的权限并通过使用这些非法的权限使网络攻击者能够对被攻击的主机进行非授权的操作。网络攻击的主要途径有:破译口令、IP欺骗等。口令是计算机系统抵御攻击者的一种重要手段,所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动,这种方法的前提是必须先得到该主机的某个合法用户的账号,然后再进行合法用户指令的破译。IP 欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机已达到蒙混过关的目的。它能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪的状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。本发明针对口令入侵的网络攻击,考虑针对弱口令爆破进行防护。
如前所述,现有的针对弱口令爆破的防护方法以用户为主体,需要依赖于组策略和用户对复杂口令的设置与记忆。而大部分用户习惯性使用弱口令,多个平台使用同一个密码,不定期更换密码等,账号密码的安全性低。此外用户设置的符合域策略的“复杂口令”很大概率仍然为弱口令。
针对此,本发明实施例提供了一种弱口令爆破攻击的防护方法,具体的,参考图1所示,图1示出了本发明实施例一提供的弱口令爆破攻击的防护方法流程示意图。
一种弱口令爆破攻击的防护方法,包括:
S1、抓取当前连接的网络数据包;
在具体实现中,可以采用tcpdump和Wireshark等常用的网络抓包和分析工具,抓取当前连接的远程IP信息及网络数据包。通过抓取当前连接网络数据包,可以获取当前连接的远程IP地址、协议、端口、主机名等信息。
S2、判断当前所述网络数据包是否为身份验证数据包;
在一些实施例中,采用NTLM问询/应答身份验证协议,通过判断NTLM包的头标志确定当前所述网络数据包是否为身份验证数据包。
S3、在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
本实施例中,基于NTLM问询/应答身份验证协议,提供了三种数据包类型,在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;在所述数据包类型为随机类型的情况下,保存所述身份验证数据包,暂不处理;在所述数据包类型为验证消息类型的情况下,进行弱口令判断。具体为:
S4、在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令。
在具体实现中,图2示出了步骤S4的具体流程示意图;
所述判断所述身份验证数据包是否为弱口令,具体包括:
S41、获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;
S42、获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;
S43、根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;
S44、判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
本实施例中通过验证根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密生成的第一响应值与身份验证数据包中的响应头字段是否一致来判定弱口令,进而核验当前连接是否使用弱口令,识别出弱口令,对弱口令爆破攻击进行防护,针对性强,提高了弱口令识别的准确率与有效性。
S5、在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在具体实现中,可以通过自定义的条件区别爆破攻击与正常连接。例如,针对sniper模式、Battering ram模式、Pitchfork模式、Cluster bomb模式等常见的攻击模式可以根据具体模式的特点设置爆破攻击与正常连接的区分条件,本实施例对此并不做具体限定。
S6、在当前连接为爆破攻击的情况下,断开当前连接。
此外,在一些实施例中,在所述身份验证数据包为弱口令的情况下,还根据当前连接的所述远程IP信息与主机名唯一标识当前连接发起方,判断当前连接是否为爆破攻击;并在当前连接为爆破攻击的情况下,断开当前连接,即断开当前连接发起方的IP地址,同时将所述远程IP信息拉入黑名单。
同时,在验证所述身份验证数据包为弱口令的情况下的情况下,可以考虑加入token机制,使用tokens生成form_hash,然后验证;或者使用随机数时,要确保用户无法获取随机数生成算法、以及采用账号锁定机制等方式进行防护。
本实施例中通过抓取当前连接的网络数据包,判断当前所述网络数据包是否为身份验证数据包,并在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,判断所述身份验证数据包是否为弱口令,在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击,针对爆破攻击进行防护。该方法通过验证根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密生成的第一响应值与身份验证数据包中的响应头字段是否一致来判定弱口令,进而核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行维护,对其中的爆破攻击进行防护,针对性强,提高了弱口令识别的准确率与有效性。同时,免去了用户设置记忆复杂口令的过程,且不再需要定期更改口令,防护过程对用户完全透明,不会影响任何操作。
需要说明的是,本实施例中弱口令爆破攻击防护方法可以具体针对boss 弱口令、grafana弱口令、Weblogic弱口令、Cisco_WEB弱口令、SQL Server 弱口令、FTP弱口令、Jboss弱口令、Redis弱口令、Glassfish弱口令、 Wordpress弱口令、PostgresSQL弱口令、SMB弱口令、SSH弱口令、MySQL弱口令、Resin控制台弱口令、Tomcat弱口令等,本实施例对弱口令的类型并不做具体限定。上述弱口令均可适用于本实施例的弱口令爆破攻击防护方法。
下面具体针对SMB弱口令爆破攻击的防护进行说明,参考图3所示,图 3示出了本发明实施例二提供的弱口令爆破攻击的防护方法流程示意图。
SMB服务器信息块是一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源。SMB协议可以用在因特网的TCP/IP 协议之上,也可以用在其它网络协议如IPX和NetBEUI之上。SMB一种客户机/服务器、请求/响应协议。通过SMB协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。此外通过 SMB协议,应用程序可以访问远程服务器端的文件、以及打印机、邮件槽(mailslot)、命名管道(named pipe)等资源。在TCP/IP环境下,客户机通过NetBIOSoverTCP/IP(或NetBEUI/TCP或SPX/IPX)连接服务器。一旦连接成功,客户机可发送SMB命令到服务器上,从而客户机能够访问共享目录、打开文件、读写文件,以及一切在文件系统上能做的所有事情。
本实施例中具体针对SMB协议的弱口令防护,一种SMB协议的弱口令防护方法,包括:
S1、抓取当前连接的网络数据包;
在具体实现中,可以采用tcpdump和Wireshark等常用的网络抓包和分析工具,抓取当前连接的远程IP信息及网络数据包。通过抓取当前连接网络数据包,可以获取当前连接的远程IP地址、协议、端口、主机名等信息。
S2、在驱动层过滤所述网络数据包。
在具体实现中,过滤的方法可以但不限于选择WFP(Windows FilteringPlatform,Windows过滤平台)、NDIS(Network Driver Interface Specification,网络驱动程序接口规范)、TDI(Transport Driver Interface,传输驱动接口)等。
S3、通过判断SMB包的标志确定当前所述网络数据包是否为SMB数据包;
在所述网络数据包为SMB数据包的情况下,基于SMB协议对所述SMB数据包进行解析,判断所述SMB数据包是否合法;
本实施例中针对SMB弱口令防护,通过对抓取的网络数据包中SMB包的头标志确定当前所述网络数据包是否为SMB数据包;进而对合法的SMB数据包判断是否为身份验证数据包。具体为:
S4、在所述SMB数据包合法的情况下,判断当前所述网络数据包是否为身份验证数据包。
在一些实施例中,采用NTLM问询/应答身份验证协议,通过判断NTLM包的头标志确定当前所述网络数据包是否为身份验证数据包。
S5、在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
本实施例中,基于NTLM问询/应答身份验证协议,提供了三种数据包类型,在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;在所述数据包类型为随机类型的情况下,保存所述身份验证数据包,暂不处理;在所述数据包类型为验证消息类型的情况下,进行弱口令判断。具体为:
S6、在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令。
对于弱口令的判断方式,可以采用上述实施例中图2的判断方式,即:获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
S7、在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在具体实现中,可以通过自定义的条件区别爆破攻击与正常连接。例如,针对sniper模式、Battering ram模式、Pitchfork模式、Cluster bomb模式等常见的攻击模式可以根据具体模式的特点设置爆破攻击与正常连接的区分条件,本实施例对此并不做具体限定。
S8、在当前连接为爆破攻击的情况下,断开当前连接。
此外,在一些实施例中,在所述身份验证数据包为弱口令的情况下,还根据当前连接的所述远程IP信息与主机名唯一标识当前连接发起方,判断当前连接是否为爆破攻击;并在当前连接为爆破攻击的情况下,断开当前连接,即断开当前连接发起方的IP地址,同时将所述远程IP信息拉入黑名单。
同时,在验证所述身份验证数据包为弱口令的情况下的情况下,可以考虑加入token机制,使用tokens生成form_hash,然后验证;或者使用随机数时,要确保用户无法获取随机数生成算法、以及采用账号锁定机制等方式进行防护。
本实施例中针对SMB弱口令防护,通过对抓取的网络数据包中SMB包的头标志确定当前所述网络数据包是否为SMB数据包;进而对合法的SMB数据包判断是否为身份验证数据包。并在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,判断所述身份验证数据包是否为弱口令,在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击,针对爆破攻击进行防护。该方法具体针对SMB弱口令防护,通过核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行维护,对其中的爆破攻击进行防护,针对性强,提高了弱口令识别的准确率与有效性,不再需要定期更改口令,免去了用户设置记忆复杂口令的过程,且防护过程对用户完全透明,不会影响任何操作。
本发明上述实施例可以应用于弱口令爆破攻击的防护方法功能的终端设备中,该终端设备可以包括个人终端、以及上位机终端等,本发明实施例对此不加以限制。该终端可以支持Windows、Android(安卓)、IOS、WindowsPhone 等操作系统。
参照图4,图4示出了一种弱口令爆破攻击的防护装置400,应用于弱口令爆破攻击的防护方法可应用于个人终端、以及上位机终端设备中,其可实现通过如图1-图3所示的弱口令爆破攻击的防护方法,本申请实施例提供的设置装置能够实现上述弱口令爆破攻击的防护方法实现的各个过程,至少包括抓取模块401、身份验证数据包判断模块402、弱口令判断模块403、防护模块 404,即具体为:
一种弱口令爆破攻击的防护装置400,包括:
抓取模块401,用于抓取当前连接的网络数据包;
身份验证数据包判断模块402,用于判断当前所述网络数据包是否为身份验证数据包;
在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
弱口令判断模块403,用于在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
防护模块404,用户在在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在当前连接为爆破攻击的情况下,断开当前连接。
可选的,所述判断所述身份验证数据包是否为弱口令,包括:
获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;
获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;
根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;
判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
可选的,所述的装置还包括:
在所述身份验证数据包合法的情况下,确定所述身份验证数据包的数据包类型。
可选的,所述的装置还包括:
获取当前连接远程IP信息;
在所述身份验证数据包为弱口令的情况下,根据当前连接的所述远程IP 信息与主机名唯一标识当前连接发起方;
在当前连接为爆破攻击的情况下,将所述远程IP信息拉入黑名单。
可选的,所述的装置还包括:
在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;
在所述数据包类型为随机类型的情况下,保存所述身份验证数据包。
可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
在驱动层过滤所述网络数据包。
可选的,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
通过判断SMB包的标志确定当前所述网络数据包是否为SMB数据包;
在所述网络数据包为SMB数据包的情况下,基于SMB协议对所述SMB数据包进行解析,判断所述SMB数据包是否合法;
在所述SMB数据包合法的情况下,判断当前所述网络数据包是否为身份验证数据包。
可选的,所述身份验证协议采用NTLM协议;
通过判断NTLM包的标志确定当前所述网络数据包是否为身份验证数据包。
因此,根据本申请实施例的弱口令爆破攻击的防护装置400,该装置通过核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行维护,对其中的爆破攻击进行防护,针对性强,提高了弱口令识别的准确率与有效性,不再需要定期更改口令。
应当理解,对弱口令爆破攻击的防护方法的各描述同样适用于根据本申请实施例的弱口令爆破攻击的防护装置400,为避免重复,不再详细描述。
此外,应当理解,在根据本申请实施例的弱口令爆破攻击的防护装置400 中,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即弱口令爆破攻击的防护装置400 可划分为与上述例示出的模块不同的功能模块,以完成以上描述的全部或者部分功能。
图5是本申请实施例提供的电子设备的结构示意图。
如图5中所示,本申请实施例还提供了一种电子设备500,包括处理器501,存储器502,存储在存储器502上并可在所述处理器501上运行的程序或指令,该程序或指令被处理器501执行时实现上述弱口令爆破攻击的防护方法的步骤,且能达到相同的技术效果。
因此,根据本申请实施例的电子设备500,通过核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行维护,对其中的爆破攻击进行防护,针对性强,提高了弱口令识别的准确率与有效性,不再需要定期更改口令。
对于根据本申请实施例的电子设备500的其他技术效果,为避免重复,这里不再详细描述。
需要注意的是,本申请实施例中的电子设备可包括移动电子设备和非移动电子设备。
图6是本申请实施例提供的电子设备的硬件具体结构示意图。
参照图6,电子设备600包括但不限于:射频单元601、网络模块602、音频输出单元603、输入单元604、传感器605、显示单元606、用户输入单元 607、接口单元608、存储器609、以及处理器610等部件。
应理解的是,本申请实施例中,射频单元601可用于收发信息或通话过程中,信号的接收和发送,具体的,将来自基站的下行数据接收后,给处理器 610处理;另外,将上行的数据发送给基站。通常,射频单元601包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元601还可以通过无线通信系统与网络和其他设备通信。
电子设备600通过网络模块602为用户提供了无线的宽带互联网访问,如帮助用户收发电子邮件、浏览网页和访问流式媒体等。
音频输出单元603可以将射频单元601或网络模块602接收的或者在存储器609中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元603还可以提供与电子设备600执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元603包括扬声器、蜂鸣器以及受话器等。
输入单元604用于接收音频或视频信号。应理解的是,本申请实施例中,输入单元604可以包括图形处理器(Graphics Processing Unit,GPU)6041和麦克风6042,图形处理器6041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。
电子设备600还包括至少一种传感器605,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板6061的亮度,接近传感器可在电子设备600移动到耳边时,关闭显示面板6061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别电子设备姿态(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;传感器605还可以包括指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等,在此不再赘述。
显示单元606用于显示由用户输入的信息或提供给用户的信息。显示单元 606可包括显示面板6061,可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板 6061。
用户输入单元607可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元607 包括触控面板6071以及其他输入设备6072。触控面板6071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板6071上或在触控面板6071附近的操作)。触控面板6071 可包括触摸检测装置和触摸控制器两个部分。其他输入设备6072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。接口单元608为外部装置与电子设备600连接的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元 608可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到电子设备600内的一个或多个元件或者可以用于在电子设备600和外部装置之间传输数据。
存储器609可用于存储软件程序以及各种数据。存储器609可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器609 可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器610是电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器609内的软件程序和/或模块,以及调用存储在存储器609内的数据,执行电子设备的各种功能和处理数据,从而对电子设备进行整体监控。处理器610可包括一个或多个处理单元;优选的,处理器610可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器610中。本领域技术人员可以理解,电子设备600还可以包括给各个部件供电的电源(比如电池),电源可以通过电源管理系统与处理器610逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图6中示出的电子设备结构并不构成对电子设备的限定,电子设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置,在此不再赘述。在本申请实施例中,电子设备包括但不限于手机、平板电脑、笔记本电脑、掌上电脑、车载终端、可穿戴设备(例如手环、眼镜)、以及计步器等。
具体地,处理器610,用于:
抓取当前连接的网络数据包;
判断当前所述网络数据包是否为身份验证数据包;
在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在当前连接为爆破攻击的情况下,断开当前连接。
因此,根据本申请实施例的电子设备600,通过核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行维护,对其中的爆破攻击进行防护,针对性强,提高了弱口令识别的准确率与有效性,不再需要定期更改口令。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有程序或指令,该程序或指令被处理器执行时实现上述弱口令爆破攻击的防护方法的步骤,且能达到相同的技术效果。
因此,根据本申请实施例的可读存储介质,通过核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行维护,对其中的爆破攻击进行防护,针对性强,提高了弱口令识别的准确率与有效性,不再需要定期更改口令。
对于根据本申请实施例的可读存储介质的其他技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-OnlyMemory, ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等。
本申请实施例还提供了一种芯片,芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行程序或指令,实现上述弱口令爆破攻击的防护方法的步骤,且能达到相同的技术效果。
因此,根据本申请实施例的芯片,通过核验当前连接是否使用弱口令,识别出弱口令,只需要对弱口令序列进行维护,对其中的爆破攻击进行防护,针对性强,提高了弱口令识别的准确率与有效性,不再需要定期更改口令。
对于根据本申请实施例的芯片的其他技术效果,为避免重复,这里不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以施加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘) 中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
本发明公开A1、一种弱口令爆破攻击的防护方法,包括:
抓取当前连接的网络数据包;
判断当前所述网络数据包是否为身份验证数据包;
在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在当前连接为爆破攻击的情况下,断开当前连接。
A2.根据A1所述的方法,所述判断所述身份验证数据包是否为弱口令,包括:
获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;
获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;
根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;
判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
A3.根据A1所述的方法,还包括:
在所述身份验证数据包合法的情况下,确定所述身份验证数据包的数据包类型。
A4.根据A1所述的方法,还包括:
获取当前连接远程IP信息;
在所述身份验证数据包为弱口令的情况下,根据当前连接的所述远程IP 信息与主机名唯一标识当前连接发起方;
在当前连接为爆破攻击的情况下,将所述远程IP信息拉入黑名单。
A5.根据A1所述的方法,还包括:
在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;
在所述数据包类型为随机类型的情况下,保存所述身份验证数据包。
A6.根据A1所述的方法,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
在驱动层过滤所述网络数据包。
A7.根据A6所述的方法,
所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
通过判断SMB包的标志确定当前所述网络数据包是否为SMB数据包;
在所述网络数据包为SMB数据包的情况下,基于SMB协议对所述SMB数据包进行解析,判断所述SMB数据包是否合法;
在所述SMB数据包合法的情况下,判断当前所述网络数据包是否为身份验证数据包。
A8.根据A1所述的方法,所述身份验证协议采用NTLM协议;
通过判断NTLM包的标志确定当前所述网络数据包是否为身份验证数据包。
本发明还公开B9.一种弱口令爆破攻击的防护装置,包括:
抓取模块,用于抓取当前连接的网络数据包;
身份验证数据包判断模块,用于判断当前所述网络数据包是否为身份验证数据包;
在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
弱口令判断模块,用于在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
防护模块,用户在在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在当前连接为爆破攻击的情况下,断开当前连接。
B10.根据B9所述的装置,所述判断所述身份验证数据包是否为弱口令,包括:
获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;
获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;
根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;
判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
B11.根据B9所述的装置,还包括:
在所述身份验证数据包合法的情况下,确定所述身份验证数据包的数据包类型。
B12.根据B9所述的装置,还包括:
获取当前连接远程IP信息;
在所述身份验证数据包为弱口令的情况下,根据当前连接的所述远程IP 信息与主机名唯一标识当前连接发起方;
在当前连接为爆破攻击的情况下,将所述远程IP信息拉入黑名单。
B13.根据B9所述的装置,还包括:
在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;
在所述数据包类型为随机类型的情况下,保存所述身份验证数据包。
B14.根据B9所述的装置,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
在驱动层过滤所述网络数据包。
B15.根据B14所述的装置,
所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
通过判断SMB包的标志确定当前所述网络数据包是否为SMB数据包;
在所述网络数据包为SMB数据包的情况下,基于SMB协议对所述SMB数据包进行解析,判断所述SMB数据包是否合法;
在所述SMB数据包合法的情况下,判断当前所述网络数据包是否为身份验证数据包。
B16.根据B9所述的装置,所述身份验证协议采用NTLM协议;
通过判断NTLM包的标志确定当前所述网络数据包是否为身份验证数据包。
本发明还公开C17.一种存储介质,用于存储一种用于执行A1-A8中任一项所述的弱口令爆破攻击的防护方法的计算机程序。
本发明还公开D18.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现A1-A8中任一项所述的弱口令爆破攻击的防护方法。

Claims (10)

1.一种弱口令爆破攻击的防护方法,其特征在于,包括:
抓取当前连接的网络数据包;
判断当前所述网络数据包是否为身份验证数据包;
在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在当前连接为爆破攻击的情况下,断开当前连接。
2.根据权利要求1所述的方法,其特征在于,所述判断所述身份验证数据包是否为弱口令,包括:
获取所述身份验证数据包中用户密码信息,使用单向哈希算法计算出所述用户密码信息对应的哈希值;
获取所述身份验证数据包的用户名信息,根据所述用户名信息产生一个用户名对应的随机数;
根据所述用户密码对应的哈希值对所述用户名对应的随机数进行加密,生成第一响应值;
判断计算得到的所述第一响应值与所述身份验证数据包中的响应头字段是否相同,若相同,则判定所述身份验证数据包为弱口令。
3.根据权利要求1所述的方法,其特征在于,还包括:
在所述身份验证数据包合法的情况下,确定所述身份验证数据包的数据包类型。
4.根据权利要求1所述的方法,其特征在于,还包括:
获取当前连接远程IP信息;
在所述身份验证数据包为弱口令的情况下,根据当前连接的所述远程IP信息与主机名唯一标识当前连接发起方;
在当前连接为爆破攻击的情况下,将所述远程IP信息拉入黑名单。
5.根据权利要求1所述的方法,其特征在于,还包括:
在所述数据包类型为可信类型的情况下,对所述身份验证数据包不进行处理;
在所述数据包类型为随机类型的情况下,保存所述身份验证数据包。
6.根据权利要求1所述的方法,其特征在于,所述判断当前所述网络数据包是否为身份验证数据包之前,还包括:
在驱动层过滤所述网络数据包;
通过判断SMB包的标志确定当前所述网络数据包是否为SMB数据包;
在所述网络数据包为SMB数据包的情况下,基于SMB协议对所述SMB数据包进行解析,判断所述SMB数据包是否合法;
在所述SMB数据包合法的情况下,判断当前所述网络数据包是否为身份验证数据包。
7.根据权利要求1所述的方法,其特征在于,所述身份验证协议采用NTLM协议;
通过判断NTLM包的标志确定当前所述网络数据包是否为身份验证数据包。
8.一种弱口令爆破攻击的防护装置,其特征在于,包括:
抓取模块,用于抓取当前连接的网络数据包;
身份验证数据包判断模块,用于判断当前所述网络数据包是否为身份验证数据包;
在所述网络数据包为身份验证数据包的情况下,基于身份验证协议对所述身份验证数据包解析,确定所述身份验证数据包的数据包类型;
弱口令判断模块,用于在所述数据包类型为验证消息类型的情况下,判断所述身份验证数据包是否为弱口令;
防护模块,用户在在所述身份验证数据包为弱口令的情况下,判断当前连接是否为爆破攻击;
在当前连接为爆破攻击的情况下,断开当前连接。
9.一种存储介质,其特征在于,用于存储一种用于执行权利要求1-7中任一项所述的弱口令爆破攻击的防护方法的计算机程序。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-7中任一项所述的弱口令爆破攻击的防护方法。
CN202210127726.6A 2022-02-11 2022-02-11 弱口令爆破攻击的防护方法、装置、介质、电子设备 Pending CN116633527A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210127726.6A CN116633527A (zh) 2022-02-11 2022-02-11 弱口令爆破攻击的防护方法、装置、介质、电子设备
PCT/CN2022/113827 WO2023151256A1 (zh) 2022-02-11 2022-08-22 弱口令爆破攻击的防护方法、装置、介质、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210127726.6A CN116633527A (zh) 2022-02-11 2022-02-11 弱口令爆破攻击的防护方法、装置、介质、电子设备

Publications (1)

Publication Number Publication Date
CN116633527A true CN116633527A (zh) 2023-08-22

Family

ID=87563515

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210127726.6A Pending CN116633527A (zh) 2022-02-11 2022-02-11 弱口令爆破攻击的防护方法、装置、介质、电子设备

Country Status (2)

Country Link
CN (1) CN116633527A (zh)
WO (1) WO2023151256A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116992433A (zh) * 2023-09-28 2023-11-03 江苏友谱信息科技有限公司 一种基于web应用系统的密码破解攻击检测方法及组件

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117112873B (zh) * 2023-10-25 2024-01-26 北京华云安信息技术有限公司 基于代码注入的api爆破方法、装置、设备以及存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426203A (zh) * 2017-07-13 2017-12-01 四川长虹电器股份有限公司 弱口令检测系统及实现方法与web平台
CN109905361A (zh) * 2019-01-08 2019-06-18 深圳大学 物联网DDoS攻击防御方法、装置、系统及存储介质
CN111181911B (zh) * 2019-08-23 2022-04-01 腾讯科技(深圳)有限公司 一种口令爆破攻击的防护方法、服务器、设备及介质
CN111786971A (zh) * 2020-06-19 2020-10-16 杭州安恒信息技术股份有限公司 主机爆破攻击的防御方法、装置和计算机设备
CN113542227A (zh) * 2021-06-18 2021-10-22 杭州安恒信息技术股份有限公司 账号安全防护方法、装置、电子装置和存储介质
CN113660216B (zh) * 2021-07-26 2022-10-21 杭州安恒信息技术股份有限公司 口令攻击检测方法、装置、电子装置和存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116992433A (zh) * 2023-09-28 2023-11-03 江苏友谱信息科技有限公司 一种基于web应用系统的密码破解攻击检测方法及组件
CN116992433B (zh) * 2023-09-28 2023-12-01 江苏友谱信息科技有限公司 一种基于web应用系统的密码破解攻击检测方法及组件

Also Published As

Publication number Publication date
WO2023151256A1 (zh) 2023-08-17

Similar Documents

Publication Publication Date Title
US11985163B2 (en) Security appliance
US20210336780A1 (en) Key updating method, apparatus, and system
CN109417553B (zh) 经由内部网络监视来检测使用泄漏证书的攻击
US9672360B2 (en) Secure computer architectures, systems, and applications
CN108510022B (zh) 一种二维码生成、验证方法及服务器
CN109768977B (zh) 流媒体数据处理方法、装置以及相关设备和介质
WO2023151256A1 (zh) 弱口令爆破攻击的防护方法、装置、介质、电子设备
US11336684B2 (en) Mobile device security using a secure execution context
US11343233B2 (en) Node control method and related apparatus in distributed system
WO2018223797A1 (zh) 数据响应方法、终端设备以及服务器
WO2014172063A1 (en) Methods and systems for reciprocal generation of watch-lists and malware signatures
CN111563251B (zh) 一种终端设备中私密信息的加密方法和相关装置
CN107466041B (zh) 识别伪基站方法、装置及移动终端
CN109873794B (zh) 一种拒绝服务攻击的防护方法及服务器
CN106657165B (zh) 一种网络攻击的防御方法、服务器及终端
CN104683301B (zh) 一种密码保存的方法及装置
CN111314085B (zh) 数字证书验证方法及装置
CN107347059B (zh) 一种漏洞检测的方法及检测终端
CN113037741A (zh) 一种鉴权方法和相关装置
BalaGanesh et al. Smart devices threats, vulnerabilities and malware detection approaches: a survey
US10284530B1 (en) Secure computer peripheral devices
CN113221150A (zh) 一种数据防护方法及装置
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
WO2014198118A1 (en) Method and device for protecting privacy information with browser
US20140366156A1 (en) Method and device for protecting privacy information with browser

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication