CN111800432A - 一种基于日志分析的防暴力破解方法及装置 - Google Patents
一种基于日志分析的防暴力破解方法及装置 Download PDFInfo
- Publication number
- CN111800432A CN111800432A CN202010696294.1A CN202010696294A CN111800432A CN 111800432 A CN111800432 A CN 111800432A CN 202010696294 A CN202010696294 A CN 202010696294A CN 111800432 A CN111800432 A CN 111800432A
- Authority
- CN
- China
- Prior art keywords
- login
- log
- management service
- service module
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000005336 cracking Methods 0.000 title claims abstract description 43
- 238000001914 filtration Methods 0.000 claims abstract description 27
- 230000002265 prevention Effects 0.000 claims abstract description 18
- 230000008859 change Effects 0.000 claims abstract description 12
- 238000004590 computer program Methods 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims 1
- 238000000605 extraction Methods 0.000 claims 1
- 238000012423 maintenance Methods 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 9
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于日志分析的防暴力破解方法,包括:检测网络设备的管理服务模块日志是否发生变化;若发生变化,则从管理服务模块日志中确定出新增日志;逐行读取新增日志,并调用预先定义的正则表达式对新增日志进行扫描,获得登录日志;从登录日志中提取登陆源IP和登录结果;基于登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;将目标IP加入过滤黑名单中。本方法实现方式简单,可以无缝的与设备现有模块集成,具有维护简单,防护精准,节省资源的优点。同时,本发明还公开了一种基于日志分析的防暴力破解装置。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于日志分析的防暴力破解方法及装置。
背景技术
近年来,随着因特网的高速发展,各种网络设备层出不穷。这些网络设备为了便于远程管理,通常会开启WEB、SSH、TELNET、FTP等服务作为远程管理手段。当这些服务暴露在因特网当中时,就极有可能会被因特网上的扫描软件扫描到,从而进一步遭到暴力破解。
暴力破解,是指黑客利用密码字典,使用穷举法猜测用户口令,是目前最为广泛使用的攻击手法之一。通常,防暴力破解的方式包括防火墙、Web验证码、SSH证书登陆等方式,防火墙方式确实可以阻挡暴力破解,但把正常的远程管理连接也阻挡在外;Web验证码和SSH证书登陆也在一定程度上能防止暴力破解,但无法直接拒绝这些暴力破解远程连接,太多的远程连接会消耗网络设备的资源,从而影响网络设备的正常功能及性能。
发明内容
本发明实施例通过提供一种基于日志分析的防暴力破解方法及装置,实现方式简单,可以方便地与网络设备的现有模块集成在一起,可有效地预防网络设备遭到暴力破解,且不会对正常的远程连接造成阻碍,具有维护简单,防护精准,节省资源等优点。
第一方面,本发明通过本发明的一实施例提供如下技术方案:
一种基于日志分析的防暴力破解方法,包括:
检测网络设备的管理服务模块日志是否发生变化;
若发生变化,则从所述管理服务模块日志中确定出新增日志;
逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;
从所述登录日志中提取登陆源IP和登录结果;
基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;
如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;
将所述目标IP加入过滤黑名单中。
优选地,在所述将所述目标IP加入过滤黑名单中之后,还包括:
启用预先定义的定时器;
当所述定时器超时后,将所述目标IP从所述过滤黑名单中移除。
优选地,在所述检测网络设备的管理服务模块日志是否发生变化之前,还包括:
基于所述管理服务模块日志的路径,查找所述管理服务模块日志。
优选地,在所述基于所述管理服务模块日志的路径,查找所述管理服务模块日志之前,还包括:
从配置文件中读取所述管理服务模块日志的路径、所述正则表达式、所述错误次数阈值。
基于同一发明构思,第二方面,本发明通过本发明的一实施例,提供如下技术方案:
一种基于日志分析的防暴力破解装置,包括:
检测网络设备的管理服务模块日志是否发生变化;
若发生变化,则从所述管理服务模块日志中确定出新增日志;
逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;
从所述登录日志中提取登陆源IP和登录结果;
基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;
如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;
将所述目标IP加入过滤黑名单中。
优选地,在所述将所述目标IP加入过滤黑名单中之后,还包括:
启用预先定义的定时器;
当所述定时器超时后,将所述目标IP从所述过滤黑名单中移除。
优选地,在所述检测网络设备的管理服务模块日志是否发生变化之前,还包括:
基于所述管理服务模块日志的路径,查找所述管理服务模块日志。
优选地,在所述基于所述管理服务模块日志的路径,查找所述管理服务模块日志之前,还包括:
从配置文件中读取所述管理服务模块日志的路径、所述正则表达式、所述错误次数阈值。
基于同一发明构思,第三方面,本发明通过本发明的一实施例,提供如下技术方案:
一种基于日志分析的防暴力破解装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时可以实现上述第一方面中的任一方法步骤。
基于同一发明构思,第四方面,本发明通过本发明的一实施例,提供如下技术方案:
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可以实现上述第一方面中的任一方法步骤。
本发明实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
在本发明实施例中,公开了一种基于日志分析的防暴力破解方法,包括:检测网络设备的管理服务模块日志是否发生变化;若发生变化,则从所述管理服务模块日志中确定出新增日志;逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;从所述登录日志中提取登陆源IP和登录结果;基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;将所述目标IP加入过滤黑名单中。本方法实现方式简单,可以方便地与网络设备的现有模块集成在一起,可有效地预防网络设备遭到暴力破解,且不会对正常的远程连接造成阻碍,具有维护简单,防护精准,节省资源等优点。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种基于日志分析的防暴力破解方法的流程图;
图2为本发明实施例中一种基于日志分析的防暴力破解装置的结构图;
图3为本发明实施例中一种基于日志分析的防暴力破解装置的结构图;
图4为本发明实施例中一种计算机可读存储介质的结构图。
具体实施方式
本发明实施例通过提供一种基于日志分析的防暴力破解方法及装置,实现方式简单,可以方便地与网络设备的现有模块集成在一起,可有效地预防网络设备遭到暴力破解,且不会对正常的远程连接造成阻碍,具有维护简单,防护精准,节省资源等优点。
本发明实施例的技术方案为解决上述技术问题,总体思路如下:
一种基于日志分析的防暴力破解方法,包括:检测网络设备的管理服务模块日志是否发生变化;若发生变化,则从所述管理服务模块日志中确定出新增日志;逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;从所述登录日志中提取登陆源IP和登录结果;基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;将所述目标IP加入过滤黑名单中。本方法实现方式简单,可以方便地与网络设备的现有模块集成在一起,可有效地预防网络设备遭到暴力破解,且不会对正常的远程连接造成阻碍,具有维护简单,防护精准,节省资源等优点。
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
实施例一
如图1所示,本实施例提供了一种基于日志分析的防暴力破解方法,可以应用在网络设备中,包括:
步骤S101:检测网络设备的管理服务模块日志是否发生变化。
在具体实施过程中,在配置文件中存储有管理服务模块日志的路径、预先定义的正则表达式、错误次数阈值、定时器的超时时间、等等。
在具体实施过程中,日志扫描进程可以预先从配置文件中读取需要监视的管理服务模块日志的路径,再基于该路径查找管理服务模块日志。
一般来讲,网络设备的管理服务模块本身具有日志记录功能,当有远程连接尝试登入管理服务时,该管理服务模块会记录一条日志,通常包含:登陆账号、登陆时间、登陆源IP、登陆源端口、登陆结果(成功还是失败)、等等。
本实施例对日志的格式不做要求,但日志中至少应包含登陆源IP和登陆结果,如果没有包含这两项,可以对管理服务模块稍作修改,在日志中包含这两项。
在具体实施过程中,在找到管理服务模块日志之后,即可执行步骤S101,即:检测网络设备的管理服务模块日志是否发生变化。
在具体实施过程中,若管理服务模块日志发生变化,则代表有新增的日志,也就是说,可能发生了远程连接。
步骤S102:若发生变化,则从管理服务模块日志中确定出新增日志。
在具体实施过程中,若确定了管理服务模块日志发生变化,则获取其中新增的那部分日志(即:新增日志)。
步骤S103逐行读取新增日志,并调用预先定义的正则表达式对新增日志进行扫描,获得登录日志。
在具体实施过程中,在正则表达式中设置有预先准备的过滤字段,可以用于判断每行新增日志中是否包含登陆相关信息,也就是说,可以判断每行新增日志是否为登陆日志。
步骤S104:从登录日志中提取登陆源IP和登录结果。
在具体实施过程中,如果通过正则表达式识别出某行日志为登陆日志,则提取出登陆源IP和登陆结果。
步骤S105:基于登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数。
在具体实施过程中,可以将登陆源IP和登陆结果保存到列表中,如果登陆结果是成功,则将该源IP的连续登陆错误次数置为0,否则,将连续登陆错误次数增加1。如此,统计出每个登陆源IP对应的连续登录失败次数。
在具体实施过程中,对于同一个登陆源IP非连续的登陆失败,不能认定为暴力破解,这通常是由于管理人员输入了错误的账号密码导致。考虑到这种情况,所以只要有一次登陆成功,就将连续登陆失败次数清零,从而避免发生误判。
步骤S106:如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP。
在具体实施过程中,可以提前从配置文件中读取错误次数阈值。其中,错误次数阈值的取值范围为4~6(例如:4、或5、或6),其可以由用户自定义。
步骤S107:将目标IP加入过滤黑名单中。
在具体实施过程中,在确定某一登陆源IP与暴力破解相关时,则将该登陆源IP加入过滤黑名单中,如此,即可禁止该登陆源IP再进行远程连接。对于加入地址过滤黑名单的IP,可做到精准防控,可以在该IP在连接建立阶段就被禁止,以节约系统资源。
作为一种可选的实施例,在步骤S107之后,还包括:
启用预先定义的定时器;当定时器超时后,将目标IP从过滤黑名单中移除。
在具体实施过程中,可以提前从配置文件中读取定时器的超时时间,再基于该超时时间来定义定时器。其中,超时时间可以为:24小时、48小时、72小时、等等,其可以由用户自定义。
在具体实施过程中,定时器的主要作用是防止过滤黑名单满额,通过定时器来定期删除目标IP,可以保证功能的正常运行。
本发明具有易于扩展的优点:可以同时监控多个模块日志,对于不同日志文件,只需修改正则表达式去匹配其中的登陆信息即可,非常灵活。
本发明具有维护简单的优点:对于现有的管理服务模块,只要日志满足要求,几乎可以不加修改就获得防暴力破解功能。
本发明具有防控精准的优点:对于加入地址过滤黑名单的目标IP,可做到精准防控,避免对网段或端口过滤影响正常远程管理功能。
本发明具有节约资源的优点:由于目标IP地址在连接建立阶段就被禁止连入,节约了系统资源。
上述本发明实施例中的技术方案,至少具有如下的技术效果或优点:
在本发明实施例中,公开了一种基于日志分析的防暴力破解方法,包括:检测网络设备的管理服务模块日志是否发生变化;若发生变化,则从所述管理服务模块日志中确定出新增日志;逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;从所述登录日志中提取登陆源IP和登录结果;基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;将所述目标IP加入过滤黑名单中。本方法实现方式简单,可以方便地与网络设备的现有模块集成在一起,可有效地预防网络设备遭到暴力破解,且不会对正常的远程连接造成阻碍,具有维护简单,防护精准,节省资源等优点。
实施例二
基于同一发明构思,如图2所示,本实施例提供了一种基于日志分析的防暴力破解装置200,包括:
检测单元201,用于检测网络设备的管理服务模块日志是否发生变化;
第一确定单元202,用于若发生变化,则从所述管理服务模块日志中确定出新增日志;
扫描单元203,用于逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;
提取单元204,用于从所述登录日志中提取登陆源IP和登录结果;
统计单元205,用于基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;
第二确定单元206,用于如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;
添加单元207,用于将所述目标IP加入过滤黑名单中。
作为一种可选的实施例,装置200,还包括:
启用单元,用于在所述将所述目标IP加入过滤黑名单中之后,启用预先定义的定时器;
移除单元,用于当所述定时器超时后,将所述目标IP从所述过滤黑名单中移除。
作为一种可选的实施例,装置200,还包括:
查找单元,用于在所述检测网络设备的管理服务模块日志是否发生变化之前,基于所述管理服务模块日志的路径,查找所述管理服务模块日志。
作为一种可选的实施例,装置200,还包括:
读取单元,用于在所述基于所述管理服务模块日志的路径,查找所述管理服务模块日志之前,从配置文件中读取所述管理服务模块日志的路径、所述正则表达式、所述错误次数阈值。
由于本实施例所介绍的基于日志分析的防暴力破解装置为实施本发明实施例一中基于日志分析的防暴力破解方法所采用的装置,故而基于本发明实施例一中所介绍的基于日志分析的防暴力破解方法,本领域所属技术人员能够了解本实施例的基于日志分析的防暴力破解装置的具体实施方式以及其各种变化形式,所以在此对于该基于日志分析的防暴力破解装置如何实现本发明实施例中的方法不再详细介绍。只要本领域所属技术人员实施本发明实施例中基于日志分析的防暴力破解方法所采用的装置,都属于本发明所欲保护的范围。
上述本发明实施例中的技术方案,至少具有如下的技术效果或优点:
本装置的实现方式简单,可以方便地与网络设备的现有模块集成在一起,可有效地预防网络设备遭到暴力破解,且不会对正常的远程连接造成阻碍,具有维护简单,防护精准,节省资源等优点。
实施例三
基于同一发明构思,如图3所示,本实施例提供了一种基于日志分析的防暴力破解装置,包括存储器310、处理器320及存储在存储器310上并可在处理器320上运行的计算机程序311,处理器320执行计算机程序311时实现以下步骤:
检测网络设备的管理服务模块日志是否发生变化;若发生变化,则从所述管理服务模块日志中确定出新增日志;逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;从所述登录日志中提取登陆源IP和登录结果;基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;将所述目标IP加入过滤黑名单中。
在具体实施过程中,处理器320执行计算机程序311时,可以实现实施例一中的任一实施方式。
实施例四
基于同一发明构思,如图4所示,本实施例提供了一种计算机可读存储介质400,其上存储有计算机程序411,计算机程序411被处理器执行时实现以下步骤:
检测网络设备的管理服务模块日志是否发生变化;若发生变化,则从所述管理服务模块日志中确定出新增日志;逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;从所述登录日志中提取登陆源IP和登录结果;基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;将所述目标IP加入过滤黑名单中。
在具体实施过程中,计算机程序411被处理器执行时,可以实现实施例一中的任一实施方式。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于日志分析的防暴力破解方法,其特征在于,包括:
检测网络设备的管理服务模块日志是否发生变化;
若发生变化,则从所述管理服务模块日志中确定出新增日志;
逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;
从所述登录日志中提取登陆源IP和登录结果;
基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;
如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;
将所述目标IP加入过滤黑名单中。
2.如权利要求1所述的方法,其特征在于,在所述将所述目标IP加入过滤黑名单中之后,还包括:
启用预先定义的定时器;
当所述定时器超时后,将所述目标IP从所述过滤黑名单中移除。
3.如权利要求2所述的方法,其特征在于,在所述检测网络设备的管理服务模块日志是否发生变化之前,还包括:
基于所述管理服务模块日志的路径,查找所述管理服务模块日志。
4.如权利要求3所述的方法,其特征在于,在所述基于所述管理服务模块日志的路径,查找所述管理服务模块日志之前,还包括:
从配置文件中读取所述管理服务模块日志的路径、所述正则表达式、所述错误次数阈值。
5.一种基于日志分析的防暴力破解装置,其特征在于,包括:
检测单元,用于检测网络设备的管理服务模块日志是否发生变化;
第一确定单元,用于若发生变化,则从所述管理服务模块日志中确定出新增日志;
扫描单元,用于逐行读取所述新增日志,并调用预先定义的正则表达式对所述新增日志进行扫描,获得登录日志;
提取单元,用于从所述登录日志中提取登陆源IP和登录结果;
统计单元,用于基于所述登陆源IP和登录结果,统计每个登陆源IP对应的连续登录失败次数;
第二确定单元,用于如果某一登陆源IP对应的连续登录失败次数大于一错误次数阈值,则确定该登陆源IP属于与暴力破解相关的目标IP;
添加单元,用于将所述目标IP加入过滤黑名单中。
6.如权利要求5所述的装置,其特征在于,还包括:
启用单元,用于在所述将所述目标IP加入过滤黑名单中之后,启用预先定义的定时器;
移除单元,用于当所述定时器超时后,将所述目标IP从所述过滤黑名单中移除。
7.如权利要求6所述的装置,其特征在于,还包括:
查找单元,用于在所述检测网络设备的管理服务模块日志是否发生变化之前,基于所述管理服务模块日志的路径,查找所述管理服务模块日志。
8.如权利要求7所述的装置,其特征在于,还包括:
读取单元,用于在所述基于所述管理服务模块日志的路径,查找所述管理服务模块日志之前,从配置文件中读取所述管理服务模块日志的路径、所述正则表达式、所述错误次数阈值。
9.一种基于日志分析的防暴力破解装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时可以实现如权利要求1~4任一权项所述的方法步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时可以实现如权利要求1~4所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010696294.1A CN111800432A (zh) | 2020-07-20 | 2020-07-20 | 一种基于日志分析的防暴力破解方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010696294.1A CN111800432A (zh) | 2020-07-20 | 2020-07-20 | 一种基于日志分析的防暴力破解方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111800432A true CN111800432A (zh) | 2020-10-20 |
Family
ID=72807666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010696294.1A Pending CN111800432A (zh) | 2020-07-20 | 2020-07-20 | 一种基于日志分析的防暴力破解方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111800432A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113315791A (zh) * | 2021-07-30 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种基于代理模块的主机防护方法和电子装置 |
| CN113489726A (zh) * | 2021-07-06 | 2021-10-08 | 中国联合网络通信集团有限公司 | 流量限制方法及设备 |
| CN114793168A (zh) * | 2022-03-15 | 2022-07-26 | 上海聚水潭网络科技有限公司 | 基于登录日志和ip的失陷用户溯源方法、系统及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017036336A1 (zh) * | 2015-09-01 | 2017-03-09 | 阿里巴巴集团控股有限公司 | 一种基于云平台的业务数据的处理方法和装置 |
| CN106528619A (zh) * | 2016-09-30 | 2017-03-22 | 国家电网公司 | 一种基于关键字段的交换机日志快速聚合方法 |
| CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
| CN107800724A (zh) * | 2017-12-08 | 2018-03-13 | 北京百度网讯科技有限公司 | 云主机防破解方法、系统及处理设备 |
| CN108494735A (zh) * | 2018-02-13 | 2018-09-04 | 北京明朝万达科技股份有限公司 | 一种非法破解登录分析告警方法及装置 |
| CN110166476A (zh) * | 2019-05-30 | 2019-08-23 | 中国联合网络通信集团有限公司 | 一种反暴力破解方法及装置 |
-
2020
- 2020-07-20 CN CN202010696294.1A patent/CN111800432A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017036336A1 (zh) * | 2015-09-01 | 2017-03-09 | 阿里巴巴集团控股有限公司 | 一种基于云平台的业务数据的处理方法和装置 |
| CN106528619A (zh) * | 2016-09-30 | 2017-03-22 | 国家电网公司 | 一种基于关键字段的交换机日志快速聚合方法 |
| CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
| CN107800724A (zh) * | 2017-12-08 | 2018-03-13 | 北京百度网讯科技有限公司 | 云主机防破解方法、系统及处理设备 |
| CN108494735A (zh) * | 2018-02-13 | 2018-09-04 | 北京明朝万达科技股份有限公司 | 一种非法破解登录分析告警方法及装置 |
| CN110166476A (zh) * | 2019-05-30 | 2019-08-23 | 中国联合网络通信集团有限公司 | 一种反暴力破解方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113489726A (zh) * | 2021-07-06 | 2021-10-08 | 中国联合网络通信集团有限公司 | 流量限制方法及设备 |
| CN113489726B (zh) * | 2021-07-06 | 2023-05-12 | 中国联合网络通信集团有限公司 | 流量限制方法及设备 |
| CN113315791A (zh) * | 2021-07-30 | 2021-08-27 | 杭州安恒信息技术股份有限公司 | 一种基于代理模块的主机防护方法和电子装置 |
| CN114793168A (zh) * | 2022-03-15 | 2022-07-26 | 上海聚水潭网络科技有限公司 | 基于登录日志和ip的失陷用户溯源方法、系统及设备 |
| CN114793168B (zh) * | 2022-03-15 | 2024-04-23 | 上海聚水潭网络科技有限公司 | 基于登录日志和ip的失陷用户溯源方法、系统及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10291630B2 (en) | Monitoring apparatus and method | |
| US7832010B2 (en) | Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus | |
| CN110866246B (zh) | 一种恶意代码攻击的检测方法、装置及电子设备 | |
| US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
| KR20190075861A (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| US20200396201A1 (en) | C&c domain name analysis-based botnet detection method, device, apparatus and mediumc&c domain name analysis-based botnet detection method, device, apparatus and medium | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| CN111800432A (zh) | 一种基于日志分析的防暴力破解方法及装置 | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| CN109684833B (zh) | 使程序危险行为模式适应用户计算机系统的系统和方法 | |
| KR102130582B1 (ko) | 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치 및 방법 | |
| CN110417717A (zh) | 登录行为的识别方法及装置 | |
| US20160352573A1 (en) | Method and System for Detecting Network Upgrades | |
| GB2544608A (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| KR102040371B1 (ko) | 네트워크 공격 패턴 분석 및 방법 | |
| CN114422186A (zh) | 一种攻击检测方法、装置、电子设备及存储介质 | |
| US10972500B2 (en) | Detection system, detection apparatus, detection method, and detection program | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
| CN109981573B (zh) | 安全事件响应方法及装置 | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| CN115834109A (zh) | 一种通过日志分析实现ssh暴力破解防御的方法及装置 | |
| CN115459962A (zh) | 一种基于统计的暴力破解检测方法和系统 | |
| CN117390707B (zh) | 一种基于数据存储设备的数据安全检测系统及检测方法 | |
| RU2800739C1 (ru) | Система и способ определения уровня опасности событий информационной безопасности |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201020 |
|
| RJ01 | Rejection of invention patent application after publication |