网络攻击的预警方法及装置与流程

本发明涉及网络安全技术领域，特别是涉及一种网络攻击的预警方法及装置。

背景技术：

安全外壳协议(Secure Shell，SSH)，由互联网工程任务组(Internet Engineering Task Force，IETF)的网络工作小组(Network Working Group)所制定；SSH为建立在应用层和传输层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

但是，目前暴露在互联网下的linux服务器，每天都在不同程度上遭受恶意的SSH暴力攻击，少则几十次，多则上万次。由于初始安装的linux服务器没有任何遭受恶意SSH暴力攻击时的通知预警服务，对于一般的系统管理人员，linux服务器在遭受恶意SSH暴力攻击时，根本没有任何感知，不能及时有效的对遭受SSH暴力攻击的linux系统作出有效防治措施。

技术实现要素：

有鉴于此，本发明提供的一种网络攻击的预警方法，主要目的在于解决遭受恶意SSH暴力攻击时无法感知，不能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治措施的问题。

为了解决上述问题，本发明主要提供如下技术方案：

一方面，本发明提供了一种网络攻击的预警方法，包括：

在通过安全外壳协议SSH远程登录终端操作系统时，检测所述终端操作系统登录日志中是否存在登录失败的日志；

若存在登录失败的日志，则分析所述登录失败的日志确定是否存在SSH暴力攻击；

若存在SSH暴力攻击，则将存在SSH暴力攻击的信息发送给网络管理人员，以便网络管理人员对SSH暴力攻击进行防治。

另一方面，本发明还提供一种网络攻击的预警装置，包括：

检测单元，用于在通过安全外壳协议SSH远程登录终端操作系统时，检测所述终端操作系统登录日志中是否存在登录失败的日志；

分析确定单元，用于在检测存在登录失败的日志时，分析所述登录失败的日志确定是否存在SSH暴力攻击；

预警单元，用于在确定存在SSH暴力攻击时，将存在SSH暴力攻击的信息发送给网络管理人员，以便网络管理人员对SSH暴力攻击进行防治。

借由上述技术方案，本发明提供的网络攻击的预警方法及装置，在通过安全外壳协议SSH远程登录终端操作系统时，通过检测和分析终端操作系统登录失败日志确定是否存在SSH暴力攻击，在确定存在SSH暴力攻击时，将存在SSH暴力攻击的信息发送给网络管理人员，以便网络管理人员对SSH暴力攻击进行防治。使得在终端操作系统遭受SSH暴力攻击，网络管理人员能够感知，能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治措施。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种网络攻击的预警方法的流程图；

图2示出了本发明实施例提供的l inux系统在/var/log/auth.log记录登录过程的日志；

图3示出了本发明实施例提供的另一种网络攻击的预警方法的流程图；

图4示出了本发明实施例提供的分析登录失败的日志记录的分析结果示意图；

图5示出了本发明实施例提供的一种网络攻击的预警装置的组成框图；

图6示出了本发明实施例提供的另一种网络攻击的预警装置的组成框图；

图7示出了本发明实施例提供的另一种网络攻击的预警装置的组成框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例提供一种网络攻击的预警方法，如图1所示，包括：

101、在通过SSH远程登录终端操作系统时，检测所述终端操作系统登录日志中是否存在登录失败的日志。

这里需要说明的是，在SSH远程登录终端操作系统时，会在一定的日志存储路径下记录登录过程的日志。例如，在SSH远程登录linux系统时，会在/var/log/auth.log记录登录过程的日志。其中，若SSH正常登录,不会产生登录失败的日志；若SSH登录失败，会产生登录失败的日志；若SSH暴力攻击，会大量产生登录失败的日志。故若想知道在通过SSH远程登录终端操作系统时，是否存在SSH暴力攻击，只要检测所述终端操作系统登录日志中是否存在登录失败的日志即可。

102、若存在登录失败的日志，则分析所述登录失败的日志确定是否存在SSH暴力攻击。

如上所述，若存在SSH暴力攻击，则会存在大量的登录失败的日志，故本发明实施例中在分析所述登录失败的日志，根据登录失败的数量便可确定是否存在SSH暴力攻击。具体的本发明实施例也不进行限定，也可以采用别的方法确认。

103、若存在SSH暴力攻击，则将存在SSH暴力攻击的信息发送给网络管理人员，以便网络管理人员对SSH暴力攻击进行防治。

在将存在SSH暴力攻击的信息发送给网络管理人员时，可以将SSH暴力攻击的IP地址、失败次数、时间以及攻击终端的标识发送给网络管理人员，以便网络管理人员根据该信息快速的做出有效的防治措施。在发送时，可以通过邮件、短信、界面提示信息、或者即时通信等方式发送，具体的，本发明实施例对此不进行限制。

本发明实施例中，在通过安全外壳协议SSH远程登录终端操作系统时，通过检测和分析终端操作系统登录失败日志确定是否存在SSH暴力攻击，在确定存在SSH暴力攻击时，将存在SSH暴力攻击的信息发送给网络管理人员，以便网络管理人员对SSH暴力攻击进行防治。使得在终端操作系统遭受SSH暴力攻击，网络管理人员能够感知，能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治措施。

基于上述描述，本发明实施例以下将以linux系统作为终端操作系统为例，在ssh远程登录linux系统时，会在/var/log/auth.log记录登录过程的日志。具体如图2所示。以下具体说明当linux系统遭受SSH暴力攻击时及时通知的方法，如图3所示，该方法包括：

201、在初始的linux服务器上部署及时预警程序。

其中，在初始的linux服务器上部署及时预警程序包括设置预警的执行逻辑、参数阈值以及预警通知消息的发送方式等。设置预警的执行逻辑如图1对应的实施例，本发明实施例在此将不再赘述；预警通知消息本发明实施例采用邮件通知的方式进行，故需要设置系统管理人员的邮箱地址。该邮箱的设置可以通过但不局限于以下的方式设置：

MAIL()

{

mail-s$1xxxx1@163.com,xxxx2@sina.com,xxxx3@qq.com}

基于上述设置具体的检测程序可以通过但不局限于以下的方式设置：

本发明实施例对此都不做限定，也可以通过其他实现方式实现。

202、在通过安全外壳协议SSH远程登录终端操作系统时，检测所述终端操作系统登录日志中是否存在登录失败的日志。若存在登录失败的日志，则执行203；若不存在登录失败的日志，则什么也不执行，不做任何动作。

其中，本发明实施例中检测所述终端操作系统登录日志中是否存在登录失败的日志，可以在通过安全外壳协议SSH远程登录终端操作系统的过程中持续进行，也可以周期性的进行，具体的本发明实施例对此不进行限制。当周期性的进行时，可以使用linux系统自带的任务计划，每隔10分钟自动扫描检测一遍。

203、分析所述登录失败的日志确定是否存在SSH暴力攻击。若存在SSH暴力攻击，则执行204；若不存在SSH暴力攻击，则什么也不执行，不做任何动作。

其中，在分析所述登录失败的日志确定是否存在SSH暴力攻击时，可以采用但不局限于以下的方法显示，该方法包括：分析所述登录失败的日志，记录登录失败的参数，所述参数包括IP地址、失败次数、时间中的一个或任意多个；根据所述参数与预定对应规则之间的关系确定是否存在SSH暴力攻击。

在分析所述登录失败的日志，记录登录失败的参数，若所述参数包括IP地址、失败次数时，记录的分析结果可以如图4所示，左边两位为失败次数，右边为IP地址。

其中，需要说明的是，本发明实施例中的预定对应规则基于参数的不同而不同，例如，若该参数为失败次数，则该预定对应规则为失败次数超多预设阈值次数为存在SSH暴力攻击，该阈值次数可以根据经验设置，例如为10次，具体的本发明实施例对此不进行限制，也可以是其他的次数。又例如，若该参数为时间，则预定对应规则需要统计用户正常登录时的时间范围，若在非正常时间范围内的登录，确定为SSH暴力攻击。再例如，若参数为IP地址，则预定对应规则需要统计用户正常登录时的IP地址，若确定通过用户非经常使用的IP进行登录，确定为SSH暴力攻击。

本发明实施例中以参数为失败次数为例进行说明，具体的为：

确定所述失败次数与预设失败次数阈值10次之间的关系；若所述失败次数超过所述预设失败次数阈值10次，则确定存在安全外壳协议SSH暴力攻击；若所述失败次数没有超过所述预设失败次数阈值10次，则确定不存在安全外壳协议SSH暴力攻击。

204、记录SSH暴力攻击的IP地址、失败次数、时间以及攻击终端的标识，得到记录信息。

205、将记录信息包含的SSH暴力攻击的IP地址、失败次数、时间以及攻击终端的标识发送给网络管理人员。

在实现上述实施例时，为了节省网络资源，在确定存在登录失败的日志之后，可以先确定所述登录失败的日志的数量，在登录失败的日志的数量超过预定预置之后，才执行所述分析所述登录失败的日志确定是否存在SSH暴力攻击。在不超过预定数量阈值时，不执行所述分析所述登录失败的日志确定是否存在SSH暴力攻击。

本发明实施例中，在通过安全外壳协议SSH远程登录终端操作系统时，通过检测和分析终端操作系统登录失败日志确定是否存在SSH暴力攻击，在确定存在SSH暴力攻击时，将存在SSH暴力攻击的信息发送给网络管理人员，以便网络管理人员对SSH暴力攻击进行防治。使得在终端操作系统遭受SSH暴力攻击，网络管理人员能够感知，能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治措施。

并且，在执行本发明实施例时，会对登录失败的日志数量进行统计，当又打了登录失败的日志时，才进行分析确认是否为遭受SSH暴力攻击，在一定程度上节省了网络分析资源。

基于上述方法实施的实现，本发明实施例还提供了一种网络攻击的预警装置，如图5所示，该装置包括：

检测单元31，用于在通过安全外壳协议SSH远程登录终端操作系统时，检测所述终端操作系统登录日志中是否存在登录失败的日志；这里需要说明的是，在SSH远程登录终端操作系统时，会在一定的日志存储路径下记录登录过程的日志。例如，在SSH远程登录linux系统时，会在/var/log/auth.log记录登录过程的日志。其中，若SSH正常登录,不会产生登录失败的日志；若SSH登录失败，会产生登录失败的日志；若SSH暴力攻击，会大量产生登录失败的日志。故若想知道在通过SSH远程登录终端操作系统时，是否存在SSH暴力攻击，只要检测所述终端操作系统登录日志中是否存在登录失败的日志即可。

分析确定单元32，用于在检测存在登录失败的日志时，分析所述登录失败的日志确定是否存在SSH暴力攻击。

预警单元33，用于在确定存在SSH暴力攻击时，将存在SSH暴力攻击的信息发送给网络管理人员，以便网络管理人员对SSH暴力攻击进行防治。在将存在SSH暴力攻击的信息发送给网络管理人员时，其中，该预警单元33可以将SSH暴力攻击的IP地址、失败次数、时间以及攻击终端的标识发送给网络管理人员，以便网络管理人员根据该信息快速的做出有效的防治措施。在发送时，可以通过邮件、短信、界面提示信息、或者即时通信等方式发送，具体的，本发明实施例对此不进行限制。

进一步的，如图6所示，所述分析确定单元32包括：

分析模块321，用于分析所述登录失败的日志，记录登录失败的参数，所述参数包括IP地址、失败次数、时间中的一个或任意多个；

确定模块322，用于根据所述参数与预定对应规则之间的关系确定是否存在安全外壳协议SSH暴力攻击。当所述参数为失败次数时，所述确定模块322用于：确定所述失败次数与预设失败次数阈值之间的关系；若所述失败次数超过所述预设失败次数阈值，则确定存在安全外壳协议SSH暴力攻击；若所述失败次数没有超过所述预设失败次数阈值，则确定不存在安全外壳协议SSH暴力攻击。

在实现上述实施例时，为了节省网络资源，该装置如图7所示，还包括：

确定单元34，用于在确定存在登录失败的日志之后，确定所述登录失败的日志的数量；

所述分析确定单元32还用于，在确定所述数量超过预定数量阈值时，分析所述登录失败的日志确定是否存在SSH暴力攻击。

本发明实施例中，在通过安全外壳协议SSH远程登录终端操作系统时，通过检测和分析终端操作系统登录失败日志确定是否存在SSH暴力攻击，在确定存在SSH暴力攻击时，将存在SSH暴力攻击的信息发送给网络管理人员，以便网络管理人员对SSH暴力攻击进行防治。使得在终端操作系统遭受SSH暴力攻击，网络管理人员能够感知，能及时有效的对遭受SSH暴力攻击的操作系统作出有效防治措施。

并且，在执行本发明实施例时，会对登录失败的日志数量进行统计，当又打了登录失败的日志时，才进行分析确认是否为遭受SSH暴力攻击，在一定程度上节省了网络分析资源。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。