[发明专利]一种暴力破解的识别方法及相关组件

说明书

本发明公开了一种暴力破解的识别方法及相关组件，涉及通信安全技术领域，包括在目标服务器内核层获取各个登录账户的登录数据包，在登录数据包中记录的目的端口为目标服务器中的风险端口时进一步确定登录账户在当前时刻之后的预设时间段内的登录状态为登录失败的失败次数，当失败次数大于预设次数阈值时识别该登录账户为暴力破解账户。从内核层获取登录数据包能够实时反映登录账户的信息，并且在根据登录账户在当前时刻之后的预设时间段内的失败次数识别暴力破解账户的方式更加准确，确保了目标服务器的安全。

技术领域

本发明涉及通信安全技术领域，特别是涉及一种暴力破解的识别方法及相关组件。

背景技术

暴力破解是指攻击者穷举出目标服务器的用户名和密码等敏感信息的所有可能，并依此进行尝试直至破解成功的行为。暴力破解具有操作简单和成本低的优点，因此成为攻击者首选的攻击手段。为了保证目标服务器的安全，需要对暴力破解行为进行识别，现有技术中通过读取目标服务器的系统日志中记录的登录账户、登录账户的登录次数以及是否登录成功来识别该登录账户是否为攻击者使用的账户。但是目标服务器生成系统日志需要一定的时间，且目标服务器运行过程中有时会将系统日志关闭，这会导致无法快速且准确地识别暴力破解。此外，现有技术中还会通过winpcap等第三方库获取目标服务器的系统流量进而识别暴力破解，但是开源的第三方库具有潜在的安全风险，不利于维护目标服务器的安全。

发明内容

本发明的目的是提供一种暴力破解的识别方法及相关组件，能够实时且准确的识别暴力破解，确保目标服务器的安全。

为解决上述技术问题，本发明提供了一种暴力破解的识别方法，包括：

在目标服务器的内核层获取各个登录账户的登录数据包，其中，所述登录数据包包括所述登录账户访问的目的端口以及所述登录账户的登录状态；

在所述目的端口为所述目标服务器中的风险端口时，确定所述登录账户在当前时刻之后的预设时间段内的登录状态为登录失败的失败次数；

在所述失败次数大于预设次数阈值时，识别所述登录账户为暴力破解账户。

优选的，所述登录数据包还包括所述登录账户访问所述目标服务器使用的传输层协议；

在确定所述登录账户在当前时刻之后的预设时间段内的登录状态为登录失败的失败次数之前，还包括：

确定所述传输层协议为所述目标服务器对应的风险传输层协议时，进入确定所述登录账户在当前时刻之后的预设时间段内的登录状态为登录失败的失败次数的步骤。

优选的，所述风险端口包括：

所述目标服务器中用于进行远程桌面连接的RDP端口、所述目标服务器中用于共享所述目标服务器内的文件的端口以及所述目标服务器中用于连接共享输出设备的端口中的任意一个或多个的组合。

优选的，所述登录数据包还包括所述登录账户使用的源IP以及源端口；

在识别所述登录账户为暴力破解账户之后，还包括：

在所述内核层拦截IP为所述源IP和/或端口为所述源端口的登录账户。

优选的，在识别所述登录账户为暴力破解账户之后，还包括：

生成用于提示用户所述目标服务器受到暴力破解的提示信息。

优选的，确定所述登录账户在当前时刻之后的预设时间段内的登录状态为登录失败的失败次数，包括：

在所述登录状态为登录成功时，将首次登录失败时间清除；

在所述登录状态为登录失败时，将登录失败次数加一；