[发明专利]一种撞库攻击的告警系统

权利要求书

1.一种撞库攻击的告警系统，其特征在于，所述撞库攻击的告警系统包括：用户端、应用服务器、网络设备和撞库攻击分析设备，其中，

所述用户端和所述网络设备通过互联网连接，所述网络设备分别和所述应用服务器、所述撞库攻击分析设备连接；

所述网络设备，用于对所述用户端和所述应用服务器之间传输的通信数据进行镜像处理从而生成所述通信数据对应的镜像数据，并将所述镜像数据发送给所述撞库攻击分析设备；

所述撞库攻击分析设备，用于从所述网络设备获取到所述镜像数据；根据所述镜像数据获取到所述通信数据对应的用户访问动作；根据所述用户访问动作判断所述应用服务器是否正在受到撞库攻击，当所述应用服务器正在受到撞库攻击时，实时的发出告警；

其中，所述撞库攻击分析设备，包括：数据捕获模块、传输控制协议TCP还原模块、应用层协议解析模块、动作分析模块、攻击判断模块和告警模块，其中，

所述数据捕获模块和所述TCP还原模块连接，所述TCP还原模块和所述应用层协议解析模块连接，所述应用层协议解析模块和所述动作分析模块连接，所述动作分析模块和所述攻击判断模块连接，所述攻击判断模块和所述告警模块连接；

所述数据捕获模块，用于从所述网络设备捕获到所述网络设备发送的镜像数据；

所述TCP还原模块，用于对所述数据捕获模块捕获到的镜像数据进行TCP还原处理和整合处理从而生成会话数据流；

所述应用层协议解析模块，用于根据应用层协议规范对所述会话数据流进行解析，从所述会话数据流中过滤出用于解析动作的会话数据；

所述动作分析模块，用于根据应用层协议规范对所述会话数据进行动作提取，以得到所述用户访问动作；

所述攻击判断模块，用于判断所述用户访问动作是否为登陆所述应用服务器的动作，当所述用户访问动作是登陆所述应用服务器的动作时，根据预置的安全防护策略判断所述用户端是否正在对所述应用服务器进行撞库攻击，当所述应用服务器正在受到撞库攻击时，触发所述告警模块实时的发出告警。

2.根据权利要求1所述的一种撞库攻击的告警系统，其特征在于，所述数据捕获模块具体为网络嗅探器，所述TCP还原模块具体为会话整合器，所述应用层协议解析模块具体为应用分析器。

3.根据权利要求1所述的一种撞库攻击的告警系统，其特征在于，所述撞库攻击分析设备，还包括：数据重组模块，其中，

所述数据捕获模块通过所述数据重组模块和所述TCP还原模块连接起来；

所述数据重组模块，用于对所述网络设备发送的镜像数据进行分片重组，并将分片重组后的镜像数据发送给所述TCP还原模块。

4.根据权利要求1所述的一种撞库攻击的告警系统，其特征在于，所述撞库攻击的告警系统还包括：数据库，其中，

所述数据库和所述撞库攻击分析设备连接；

所述数据库，用于存储所述撞库攻击分析设备获取到的用户访问动作；存储所述应用服务器的历史访问数据；

所述撞库攻击分析设备，具体用于从所述数据库获取到所述应用服务器的历史访问数据，将所述用户访问动作与所述历史访问数据进行对比分析，确定所述应用服务器是否正在受到撞库攻击。

5.根据权利要求1所述的一种撞库攻击的告警系统，其特征在于，所述撞库攻击的告警系统还包括：防火墙设备，其中，

所述用户端和所述防火墙设备通过互联网连接，所述防火墙设备和所述网络设备连接。

6.根据权利要求1所述的一种撞库攻击的告警系统，其特征在于，所述撞库攻击的告警系统还包括的应用服务器为多个，多个的应用服务器构成应用服务器集群，所述应用服务器集群中的每一个应用服务器分别和所述网络设备连接。