[发明专利]一种识别恶意代码弱口令入侵行为的方法及系统有效
| 申请号: | 201611228799.5 | 申请日: | 2016-12-27 |
| 公开(公告)号: | CN106911665B | 公开(公告)日: | 2020-08-18 |
| 发明(设计)人: | 康学斌;董建武;肖新光 | 申请(专利权)人: | 深圳市安之天信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 518000 广东省深圳市宝安区西乡街*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 识别 恶意代码 口令 入侵 行为 方法 系统 | ||
1.一种识别恶意代码弱口令入侵行为的方法,其特征在于,包括:
获取网络通信行为中的网络通信数据,所述网络通信数据包括通信IP、通信端口、通信内容;
对所述网络通信数据进行统计分类,产生统计分类数据;
基于所述统计分类数据,依据识别规则对恶意代码中存在的弱口令入侵行为进行识别;
所述识别规则包括以下任意两项:
任一个IP连接不少于一种服务端口;
同一端口的IP不少于5;
发送的数据包含超级用户、管理员用户名称信息;
发送统计学常规密码;
对所述弱口令入侵行为的通信数据进行统计分析,获取弱口令入侵行为的统计分析数据,基于所述弱口令入侵行为的统计分析数据获取所述弱口令入侵行为的情报数据。
2.根据权利要求1所述的方法,其特征在于,所述对所述网络通信数据进行统计分类,产生统计分类数据,包括:
访问同一个IP时,统计其对应的端口的数量;
访问同一个端口时,统计其对应的IP的数量;
发送的通信内容中,统计包含的用户名称信息;
发送的通信内容中,统计包含的登录密码类信息。
3.根据权利要求1所述的方法,其特征在于,包括:
所述情报数据包括目标端口、破解密码、目标设备、目标用户的信息。
4.根据权利要求3所述的方法,其特征在于,所述基于所述弱口令入侵行为的统计分析数据获取所述弱口令入侵行为的情报数据,包括:
提取在所述弱口令入侵行为的服务端口中出现的新被利用的端口;
提取和统计通信内容中包含的密码数据,获取新被利用于弱口令入侵的破解密码;
提取和统计被入侵的设备种类,通过所述通信端口和通信内容中包含的设备信息,判别目标设备的类型;
提取被入侵的目标用户的IP地址信息。
5.一种识别恶意代码弱口令入侵行为的系统,其特征在于,包括:
获取模块,用于获取网络通信行为的网络通信数据,所述网络通信数据包括通信IP、通信端口、通信内容;
统计分类模块,用于对所述网络通信数据进行统计分类,产生统计分类数据;
识别模块,用于基于所述统计分类数据,依据识别规则对恶意代码中存在的弱口令入侵行为进行识别;
所述识别规则包括以下任意两项:
任一个IP连接不少于一种服务端口;
同一端口的IP不少于5;
发送的数据包含超级用户、管理员用户名称信息;
发送统计学常规密码;
统计分析模块,用于对所述弱口令入侵行为的通信数据进行统计分析,获取弱口令入侵行为的统计分析数据;
情报收集模块,用于基于所述弱口令入侵行为的统计分析数据获取所述弱口令入侵行为的情报数据。
6.根据权利要求5所述的系统,其特征在于,所述统计分类模块:
用于访问同一个IP时,统计其对应的端口的数量;
用于访问同一个端口时,统计其对应的IP的数量;
用于发送的通信内容中,统计包含的用户名称信息;
用于发送的通信内容中,统计包含的登录密码类信息。
7.根据权利要求5所述的系统,其特征在于,包括:
所述情报数据包括目标端口、破解密码、目标设备、目标用户的信息。
8.根据权利要求7所述的系统,其特征在于,所述情报收集模块包括:
第一提取单元,用于提取在所述弱口令入侵行为的服务端口中出现的新被利用的端口;
第二提取单元,用于提取和统计通信内容中包含的密码数据,获取新被利用于弱口令入侵的破解密码;
第三提取单元,用于提取和统计被入侵的设备种类,通过所述通信端口和通信内容中包含的设备信息,判别目标设备的类型;
第四提取单元,用于提取被入侵的目标用户的IP地址信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深圳市安之天信息技术有限公司,未经深圳市安之天信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611228799.5/1.html,转载请声明来源钻瓜专利网。
