本发明涉及暴力破解入侵检测技术领域,更具体地说,涉及一种识别攻击源信息的方法、装置、设备、系统及计算机可读存储介质。
背景技术:
暴力破解是指在一个服务上,用穷举法在一定的范围内对所有可能的情况逐一验证,直到全部情况验证完毕。现有方案对暴力破解的拦截是通过防火墙识别攻击源后进行拦截,但是这种方式只限于对本机,而其他服务器由于不识别该攻击源,还会继续受到暴力破解的攻击。
因此,如何对攻击源进行识别,从而提高所有服务器的防攻击能力,是本领域技术人员需要解决的问题。
技术实现要素:
本发明的目的在于提供一种识别攻击源信息的方法、装置、设备、系统及计算机可读存储介质,以实现所有服务器对攻击源的识别,提高所有服务器的防攻击能力。
为实现上述目的,本发明实施例提供了如下技术方案:
一种识别攻击源信息的方法,包括:
接收目标服务器上传的黑名单信息;所述黑名单信息为所述目标服务器识别的攻击源信息;
将所述黑名单信息下发至感知云平台下的所有服务器,以使所有服务器利用所述黑名单信息识别所述攻击源信息。
其中,所述接收目标服务器上传的黑名单信息之后,还包括:
利用所述黑名单信息更新黑名单规则。
其中,本方案还包括:
接收服务器发送的黑名单规则获取指令;
利用所述黑名单规则获取指令,将更新后的黑名单规则下发至所述服务器。
其中,所述接收目标服务器上传的黑名单信息,包括:接收目标服务器通过检测服务器上传的黑名单信息;
将所述黑名单信息下发至感知云平台下的所有服务器包括:将所述黑名单信息下发至感知云平台下的所有检测服务器,通过所有检测服务器将所述黑名单信息下发至所有服务器。
一种识别攻击源信息的装置,包括:
信息接收模块,用于接收目标服务器上传的黑名单信息;所述黑名单信息为所述目标服务器识别的攻击源信息;
信息下发模块,用于将所述黑名单信息下发至感知云平台下的所有服务器,以使所有服务器利用所述黑名单信息识别所述攻击源信息。
其中,本方案还包括:
更新模块,用于利用所述黑名单信息更新黑名单规则。
其中,本方案还包括:
指令接收模块,用于接收服务器发送的黑名单规则获取指令;
规则下发模块,用于利用所述黑名单规则获取指令,将更新后的黑名单规则下发至所述服务器。
其中,所述信息接收模块具体用于:接收目标服务器通过检测服务器上传的黑名单信息;
所述信息下发模块具体用于:将所述黑名单信息下发至感知云平台下的所有检测服务器,通过所有检测服务器将所述黑名单信息下发至所有服务器。
一种识别攻击源信息设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述识别攻击源信息的方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述识别攻击源信息的方法的步骤。
一种识别攻击源信息的系统,包括:
服务器,用于识别攻击源信息;若目标服务器检测到攻击源信息,则生成与检测到的攻击源信息对应的黑名单信息,并上传至感知云平台;
所述感知云平台,用于接收目标服务器上传的黑名单信息;将所述黑名单信息下发至感知云平台下的所有服务器,以使所有服务器利用所述黑名单信息识别所述攻击源信息。
其中,所述系统包括与所述感知云平台相连的至少一个检测服务器,每个检测服务器与对应的服务器相连;
每个检测服务器用于将与本检测服务器相连的目标服务器发送的黑名单信息上传至所述感知云平台;
每个检测服务器还用于将所述感知云平台下发的黑名单信息下发至与每个检测服务器相连的所有服务器。
通过以上方案可知,本发明实施例提供的一种识别攻击源信息的方法,包括:接收目标服务器上传的黑名单信息;所述黑名单信息为所述目标服务器识别的攻击源信息;将所述黑名单信息下发至感知云平台下的所有服务器,以使所有服务器利用所述黑名单信息识别所述攻击源信息。
可见,在本方案中,当存在目标服务器识别到攻击源信息生成黑名单信息之后,将该黑名单信息上传至感知云平台,感知云平台会将该黑名单信息下发至该平台下的所有服务器,从而使其他服务器提高防攻击的能力,形成一条完整的生态链;本发明还公开了一种识别攻击源信息的装置、设备、系统及计算机可读存储介质,同样能实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种识别攻击源信息的方法流程示意图;
图2为本发明实施例公开的识别攻击源信息的方法流程示意图;
图3为本发明实施例公开的识别攻击源信息系统结构示意图;
图4为本发明实施例公开的一种识别攻击源信息的装置结构示意图;
图5为本发明实施例公开的一种识别攻击源信息的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种识别攻击源信息的方法、装置、设备、系统及计算机可读存储介质,以实现所有服务器对攻击源的识别,提高所有服务器的防攻击能力。
参见图1,本发明实施例提供的一种识别攻击源信息的方法,包括:
s101、接收目标服务器上传的黑名单信息;所述黑名单信息为所述目标服务器识别的攻击源信息;
在本方案中,每个服务器需要检测本服务器是否有攻击源的攻击,如果有则生成黑名单信息,并将该黑名单信息上传至感知云平台;并且,本方案中的攻击方式可以为多种,在本方案中,以攻击方式为暴力破解为例对本方案进行详细描述。
若攻击源的攻击方式为暴力破解,那么参见图2,本方案提供的目标服务器识别攻击源信息的方法具体包括:
s201、读取本服务器的系统日志;
具体的,在本方案中,服务器可以定期读取系统日志,来检测日志中是否有暴力破解日志。
s202、判断系统日志中是否有登录日志;若否,则继续执行s201,若是,则执行s203;
在本方案中,判断是否有登录类型日志具体包括:判断是否有linux系统的ssh的22端口日志,windows系统的rdp的3389端口登录日志等,如果没有登录日志,继续获取下一条系统日志。
s203、判断登陆日志的登陆结果是否为登录失败;若否,则继续执行s201,若是,则执行s204;
s204、获取登录源ip,并统计登录失败次数;
具体的,在本方案中,若存在登录日志,则需要判断是否是登录失败,如果登录成功,清空错误累计计算。继续获取下一条系统日志。如果登录失败,则记录登录源地址,并累加该登录源ip的登录失败次数;
需要说明的是,分布式攻击会使用多个ip同时发起攻击,使单个ip登录失败次数减少,从而避开部分防火墙爆破攻击策略;因此在本方案中,如果存在单位时间段同一行为的登录源ip段,则判定该登录源ip段的攻击源是分布式攻击,同样需要记录该登录源ip段,以及该登录源ip段登陆失败的次数。
s205、判断是否存在登陆失败次数超于预定阈值的登录源ip;若不存在,则继续执行s201,若存在,则执行s206;
s206、将登陆失败次数超于预定阈值的登录源ip作为黑名单ip,封堵此ip黑名单并上报到感知云平台。
具体的,在本方案中,预定阈值可通过多次实际验证进行设置,在对登陆日志进行分析时,如果未分析完便发现登陆失败次数超于预定阈值的登录源ip,这时可在继续分析的基础上,直接将该登录源ip作为黑名单ip进行封堵及上报。
需要说明的是,在本方案中仅仅以攻击方式为暴力破解攻击为例进行描述,这时本方案中的黑名单信息为黑名单ip,若为其他形式的攻击方式,黑名单信息可以根据攻击方式的不同进行适应性改变,但是黑名单信息所起到的作用都是相同的,都是为了其他服务器根据该黑名单信息可以识别攻击源,有效的提高所有服务器的防攻击能力。
s102、将所述黑名单信息下发至感知云平台下的所有服务器,以使所有服务器利用所述黑名单信息识别所述攻击源信息。
具体的,感知云平台是指通信网络能够感知现存的网络环境,通过对所处环境的理解,实时调整通信网络的策略,智能地适应专业环境的变化。同时,它还具备从变化中学习的能力,且能把它们用到未来的决策中。在做所有决策的时候,网络都要把端对端目标(end-to-endgoals)考虑进去。
本方案中的感知云平台与服务器群相连接,每个服务器群中包括多个服务器,每个服务器都可以实现对攻击源的识别,并且每个服务器识别攻击源后,都会生成黑名单信息发送至感知云平台,以通过感知云平台将黑名单信息下发至每个服务器群中的每个服务器,也就是说,只要存在一个服务器识别出一个攻击源,那么通过感知云平台的下发,便可以使其他所有服务器识别出该攻击源,从而避免其他服务器再次接收到该攻击源的攻击。
基于上述识别攻击源信息的方法,在本实施例中,感知云平台接收目标服务器上传的黑名单信息之后,还包括:利用黑名单信息更新黑名单规则。
具体来说,感知云平台中存储了黑名单规则,该黑名单规则中包括了所有黑名单信息,并且,正常情况下,感知云平台中的黑名单规则与每个服务器中的黑名单规则应该是一致的,因此,若存在服务器检测到新的黑名单规则,则需要通过该黑名单信息更新黑名单规则。
进一步,为了保证每个服务器中的黑名单规则与感知云平台中的黑名单规则一致,这时,感知云平台可以接收服务器发送的黑名单规则获取指令;利用所述黑名单规则获取指令,将更新后的黑名单规则下发至所述服务器,从而实现每个服务器的黑名单规则与感知云平台中的黑名单规则一致;当然了,感知云平台也可以实现主动向每个服务器推送黑名单规则,在此并不具体限定。
基于上述任意识别攻击源信息的方法实施例,在本实施例中,所述接收目标服务器上传的黑名单信息,包括:接收目标服务器通过检测服务器上传的黑名单信息;
将所述黑名单信息下发至感知云平台下的所有服务器包括:将所述黑名单信息下发至感知云平台下的所有检测服务器,通过所有检测服务器将所述黑名单信息下发至所有服务器。
具体的,参见图3,在本方案中,每个服务器与感知云平台进行数据的传输时通过检测服务器作为代理,实现数据的上报及下发。具体来说,与感知云平台相连的每个服务器群中可以存在至少一个检测服务器,每个检测服务器连接了多个服务器,用于实现连接的服务器的黑名单信息的上报及下发。通过检测服务器的引入,不需要感知云平台维护所有服务器的连接关系,只需要维护与检测服务器的连接关系即可,并且感知云平台在对黑名单信息进行下发时,也不需要向每个服务器发送,只需要向每个检测服务器发送即可,从而大大的减少了感知云平台负载。需要说明的是,本方案中的检测服务器至少与两个服务器相连,如果连接的服务器太少,则不能体现出检测服务器的作用。
下面对本发明实施例提供的识别攻击源信息的装置进行介绍,下文描述的识别攻击源信息的装置与上文描述的识别攻击源信息的方法可以相互参照。
参见图4,本发明实施例提供的一种识别攻击源信息的装置,包括:
信息接收模块10,用于接收目标服务器上传的黑名单信息;所述黑名单信息为所述目标服务器识别的攻击源信息;
信息下发模块20,用于将所述黑名单信息下发至感知云平台下的所有服务器,以使所有服务器利用所述黑名单信息识别所述攻击源信息。
其中,本实施例还包括:
更新模块,用于利用所述黑名单信息更新黑名单规则;
指令接收模块,用于接收服务器发送的黑名单规则获取指令;
规则下发模块,用于利用所述黑名单规则获取指令,将更新后的黑名单规则下发至所述服务器。
基于上述识别攻击源信息的装置实施例,在本实施例中,信息接收模块具体用于:接收目标服务器通过检测服务器上传的黑名单信息;
信息下发模块具体用于:将所述黑名单信息下发至感知云平台下的所有检测服务器,通过所有检测服务器将所述黑名单信息下发至所有服务器。
在本实施例中还公开了一种识别攻击源信息设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述识别攻击源信息的方法的步骤。
在本实施例中还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述识别攻击源信息的方法的步骤。
具体的,该存储介质可以包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
参见图5,本发明实施例提供的一种识别攻击源信息的系统,包括:
服务器100,用于识别攻击源信息;若目标服务器检测到攻击源信息,则生成与检测到的攻击源信息对应的黑名单信息,并上传至感知云平台200;
感知云平台200,用于接收目标服务器上传的黑名单信息;将所述黑名单信息下发至感知云平台下的所有服务器,以使所有服务器利用所述黑名单信息识别所述攻击源信息;
以及,与所述感知云平台200相连的至少一个检测服务器300,每个检测服务器300与对应的服务器100相连;
每个检测服务器300用于将与本检测服务器相连的目标服务器发送的黑名单信息上传至所述感知云平台200;
每个检测服务器300还用于将所述感知云平台200下发的黑名单信息下发至与每个检测服务器相连的所有服务器。
可见,在本方案中,被攻击的服务器经分析后得出的攻击源,可以通过感知云平台共享给其他服务器,使其他服务器高效的防范被攻击可能,形成一条完整的生态链。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。