[发明专利]检测撞库攻击方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种检测撞库攻击方法及系统。

背景技术

当前大部分允许用户发表言论的网站，在用户发表言论之前均需先进行注册。这种用户注册机制有助于企业进行用户管理，如监控用户所发表的言论及分享的信息；也利于用户与用户进行交流。用户在诸多网站上注册时，为了便于记忆，往往不会对每个网站使用不同的用户帐号和密码，而通常只采用1～3组用户帐号和密码。这种情况下往往会导致严重的安全问题，当某个网站用户信息(包括用户帐号和密码)泄露后，攻击者可能会利用已泄露的用户信息去尝试登陆别的网站，批量得到可正确认证的用户帐号和密码，这就是撞库行为。撞库是指黑客通过收集互联网已泄露的用户帐号和密码信息，生成对应字典表，尝试批量登陆目标系统后，得到一系列可登陆目标系统的用户，从而非法获取信息。

随着互联网技术及电子商务行业的蓬勃发展，撞库行为对生活的日常生活的影响日益显著。如2014年12月，互联网上流传出约13 万12306网的用户账号和密码信息，经确认，这些用户信息是攻击者利用某些网站已泄露的数据对12306进行撞库攻击后得到的。又如京东之前的用户信息泄露事件，就是黑客利用“撞库”的方法，获取到了一些京东用户信息。

可以理解地，采用撞库方法获取到的用户帐号及密码，并在其他任何网站上均可登陆，若用户在不同网站上使用相同的用户帐号和密码，一旦被攻击者获取到该用户帐号和密码。后果不堪设想。如今，用户信息泄露成为互联网安全的一个焦点，撞库攻击也是愈演愈烈。然而普通用户并没有意识到这点，也没有正确的方法和途径的知道自己的用户信息是否已被泄露，企业在面对这种撞库攻击更是束手无策，一旦攻击者通过撞库攻击成功登陆用户系统，便可进行更高权限的攻击，对用户造成巨大的损失。

发明内容

本发明要解决的技术问题在于，针对现有技术的缺陷，提供一种检测撞库攻击方法及系统。本发明解决其技术问题所采用的技术方案是：一种检测撞库攻击方法，包括如下步骤：

S1:接收用户的网络访问请求并解析，以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息，所述登陆 属性信息包括登陆 路径或登陆 路径的格式，所述用户信息包括用户帐号和密码；

S2：配置预设登陆路径和登陆次数阈值，或系统默认内置识别登陆路径的预设格式和登陆次数阈值；

S3：根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作，若是，则记录所述网络访问请求的源IP、目的IP及用户信息；

S4:统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数，判断所述登陆次数是否达到登陆次数阈值，若是，则认定所述网络访问请求为撞库攻击行为；若否，则认定所述网络访问请求为正常访问行为。

优选地，还包括步骤S5：若所述网络访问请求为撞库攻击行为，则统计成功登陆的用户信息，并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。

优选地，所述网络访问请求包括HTTP请求或HTTPS请求，所述步骤S1中根据预设的解密证书对所述HTTPS请求进行解析。

优选地，所述步骤S3中识别所述网络访问请求是否进行登陆操作包括：将所述网络访问请求的目的IP和登陆属性信息与预设登陆路径进行匹配，若一致则认定为进行登陆操作；或者

将所述网络访问请求的目的IP和登陆属性信息与登陆路径的预设格式进行匹配，若一致则认定为进行登陆操作。

优选地，所述登陆路径的预设格式包括登陆框架属性，所述登陆框架属性包括用户帐号输入框、密码输入框、验证码输入框以及登陆按钮。

本发明还提供一种检测撞库攻击系统，优选地，包括：

协议解析模块，用于接收用户的网络访问请求并解析，以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息，所述登陆 属性信息包括登陆 路径或登陆 路径的格式，所述用户信息包括用户帐号和密码；

用户配置模块，用于配置预设登陆路径和登陆次数阈值，或系统默认内置识别登陆路径的预设格式和登陆次数阈值；

登陆识别模块，用于根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作，若是，则记录所述网络访问请求的源IP、目的IP及用户信息；