[发明专利]一种密码破解行为的拦截方法及系统

说明书

本申请涉及通信领域，公开了一种密码破解行为的拦截方法及系统。用以提高密码破解行为的拦截效率以及拦截准确性，以及避免给云服务器造成运行负荷。该方法为：在云计算环境中获取云服务器侧的镜像数据流，并对镜像数据流进行分析，通过符合指定协议格式的传输消息，识别出对应用服务存在密码暴力破解行为的攻击源IP，再通过伪造数据包对这种密码暴力破解行为进行阻断。这样，一旦确定攻击源IP，便可以对攻击源IP进行全网拦截，有效提高了密码破解行为的拦截效率以及拦截准确性；并且，攻击源IP并不能感知到拦截系统的存在，进而有效保障了拦截系统的可靠性；以及由于拦截系统独立于云服务器集群运行，因此不会给给云服务器造成运行负荷。

技术领域

本申请涉及通信领域，特别涉及一种密码破解行为的拦截方法及系统。

背景技术

在云计算环境中，暴露在公网环境的云服务器，每天都面临着大量的攻击。其中，以针对云服务器上部署的应用服务进行密码暴力破解的攻击类型最为常见，例如，针对文件传输协议(File Transfer Protocol，FTP)应用服务的密码暴力破解、关系型数据库管理系统(mysql)应用服务的密码暴力破解。

所谓暴力破解，即是攻击者对这些应用服务的密码进行穷举式扫描，如果用户配置的密码强度不够，则很容易被攻击者的密码字典命中，那么，这些应用服务器的密码将极有可能被破解。而应用服务的密码被破解，会导致用户的数据泄露甚至服务器被攻击者完全控制，因此，有效的阻断这些密码破解攻击行为对云服务器的安全而言是非常重要的。

现有技术下，一般的密码破解行为拦截是在主机层面进行的，即通过监控应用服务的密码错误日志，发现攻击行为，确认攻击者后通过云服务器本地的防火墙工具，如iptables对攻击者的源ID进行拦截。然而，现有的方法却有以下不足之处：

首先，通过主机层面进行拦截的方案对攻击者来说是可以感知到的，因此，攻击者可能会修改云服务器的防火墙策略，从而绕过防火墙继续攻击。

其次，通过主机层面进行拦截的方案需要在云服务器上部署日志监控程序，从而增加了云服务器的运行负荷，占用了云服务器的资源。

再次，基于云服务器本地日志的分析不能汇聚全网的数据，在发现攻击者的速度与准确性方面都存在缺失。另外，云服务器只能对攻击者进行一对一拦截，不能做到一点发现，全网(整个云计算环境)拦截。

申请内容

本申请实施例提供一种密码破解行为的拦截方法及系统，用以提高密码破解行为的拦截效率以及拦截准确性，以及避免给云服务器造成运行负荷。

本申请实施例提供的具体技术方案如下：

一种密码破解行为的拦截方法，包括：

获得服务器侧的镜像数据流；

对获得的镜像数据流进行解析，筛选出符合指定协议格式的传输消息，以及基于筛选出的所有传输消息的传输方式，筛选出具有密码破解行为的攻击源IP；

在获得的镜像数据流中，抓取所述攻击源IP发往服务器侧的数据包，基于抓取的数据包，分别向所述攻击源IP和相应的至少一台服务器发送伪造数据包，阻断所述攻击源IP和相应的至少一台服务器之间的连接。

可选的，对获得的镜像数据流进行解析，筛选出符合指定协议格式的传输消息，包括：

对获得的镜像数据流进行解析，基于所述指定协议格式，在镜像数据流中筛选出表征执行密码认证流程的传输消息。

可选的，在镜像数据流中筛选出用于表征密码认证流程的传输消息，包括：

在镜像数据流中筛选出用于表征触发密码认证的传输消息；

或/和