一种弱口令扫描方法及装置与流程

本发明涉及电力信息安全领域，具体涉及一种弱口令扫描方法及装置。

背景技术：

随着智能电网和能源互联网的快速推进，电力系统自动化的程度越来越高，为更加有效的分析电力业务，提高业务水平，在变电、输电、用电、配电等电力业务中，大量采用智能终端设备。

智能终端设备由于生产成果控制，在设计过程中，安全方面投入不多；其次，由于设备数量大，出厂配置统一，大量运行中的智能终端都是出厂口令，甚至是统一的简单出厂口令，大部分出厂口令基本都属于弱口令，弱口令通常指容易被别人猜测到或被破解工具破解服务的口令。由于终端位置分布分散，数量庞大，生产终端的厂家有限，因此，存在大量同类型终端，而终端现场检查或运维困难，大量分散的终端，进行现场检查或运维，人力成本太高，甚至不太现实。因此需要一种高效的弱口令扫描方法，及时发现口令设置比较弱的终端，并对这些终端及时进行口令更改，提高终端安全性。

技术实现要素：

有鉴于此，本发明实施例提供了一种弱口令扫描方法及装置，以解决现有技术中对终端进行弱口令扫描，扫描效率低的问题。

为此，本发明实施例提供了如下技术方案：

本发明实施例提供了一种弱口令扫描方法，包括：获取同一类型的待检查终端，根据预设的用户名和弱口令组合的数量对所述同一类型的待检查终端进行随机采样，生成待检查终端采样样本，通过所述预设的用户名和弱口令组合对所述待检查终端采样样本进行扫描，将登录成功的用户名和弱口令组合对所述同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量，当所述登录成功的待检查终端数量大于预定阈值时，判定所述同一类型的待检查终端存在安全性问题。

可选地，所述根据预设的用户名和弱口令组合的数量对所述同一类型的待检查终端进行随机采样，生成待检查终端采样样本，包括：获取所述预设的用户名和弱口令组合的数量n；将所述同一类型的待检查终端平均分为n等份，每一等份所述同一类型的待检查终端包括从所述同一类型的待检查终端中随机选择的m个终端；将所述m个终端作为一份所述待检查终端采样样本，所述n与m的乘积为所述同一类型的待检查终端的总数量。

可选地，通过所述预设的用户名和弱口令组合对所述待检查终端采样样本进行扫描，将登录成功的用户名和弱口令组合对所述同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量，包括：步骤a：将一组所述用户名和弱口令的组合对其中一份所述待检查终端采样样本进行扫描，记录登录成功的用户名和弱口令组合；步骤b：选取下一组所述用户名和弱口令的组合对下一份所述待检查终端采样样本进行扫描，记录登录成功的用户名和弱口令组合；步骤c：循环执行所述步骤b，直至第n组所述用户名和弱口令的组合对第n份所述待检查终端采样样本扫描完成；步骤d：将登录成功的用户名和弱口令组合对所述同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量。

本发明实施例还提供了一种弱口令扫描装置，包括：获取模块，用于获取同一类型的待检查终端；第一处理模块，用于根据预设的用户名和弱口令组合的数量对所述同一类型的待检查终端进行随机采样，生成待检查终端采样样本；第二处理模块，用于通过所述预设的用户名和弱口令组合对所述待检查终端采样样本进行扫描，将登录成功的用户名和弱口令组合对所述同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量；判断模块，用于在所述登录成功的待检查终端数量大于预定阈值时，判定所述同一类型的待检查终端存在安全性问题。

可选地，所述第一处理模块包括：获取单元，用于获取所述预设的用户名和弱口令组合的数量n；第一处理单元，用于计算所述用户名和弱口令的组合数量n将所述同一类型的待检查终端平均分为n等份，每一等份所述同一类型的待检查终端包括从所述同一类型的待检查终端中随机选择的m个终端；第二处理单元，用于将所述m个终端作为一份所述待检查终端采样样本，所述n与m的乘积为所述同一类型的待检查终端的总数量。

可选地，所述第二处理模块具体用于执行以下步骤：步骤a：将一组所述用户名和弱口令的组合对其中一份所述待检查终端采样样本进行扫描，记录登录成功的用户名和弱口令组合；步骤b：选取下一组所述用户名和弱口令的组合对下一份所述待检查终端采样样本进行扫描，记录登录成功的用户名和弱口令组合；步骤c：循环执行所述步骤b，直至第n组所述用户名和弱口令的组合对第n份所述待检查终端采样样本扫描完成；步骤d：将登录成功的用户名和弱口令组合对所述同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述弱口令扫描方法。

本发明实施例还提供了一种计算机设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器执行上述弱口令扫描方法。

本发明实施例具有如下优点：

本发明实施例提供了一种弱口令扫描方法及装置，该方法包括获取同一类型的待检查终端，根据预设的用户名和弱口令组合的数量对上述同一类型的待检查终端进行随机采样，生成待检查终端采样样本，通过预设的用户名和弱口令组合对待检查终端采样样本进行扫描，将登录成功的用户名和弱口令组合对同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量，当登录成功的待检查终端数量大于预定阈值时，判定该同一类型的待检查终端存在安全性问题。本发明实施例提供的弱口令扫描方法，对大量终端且存在大量同类型终端时，将同类型终端进行随机划分，对每一划分使用一个用户名和弱口令的组合进行远程安全检查，并使用发现的可以登录终端的弱口令再次重新对该同类型终端进行远程扫描，最终根据登录成功的终端数量来判定该同类型终端是否存在安全性问题，该方法显著提高了终端扫描效率，降低了宽带占用，使用远程扫描，避免了人工去现场检查终端。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的弱口令扫描方法的一个流程图；

图2是根据本发明实施例的弱口令扫描方法的另一个流程图；

图3是根据本发明实施例的弱口令扫描装置的一个结构框图；

图4是根据本发明实施例的弱口令扫描装置的另一个结构框图；

图5是根据本发明实施例的弱口令扫描方法的计算机设备的硬件结构示意图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

实施例1

图1是根据本发明实施例的弱口令扫描方法的一个流程图，如图1所示，该弱口令扫描方法包括如下步骤：

s101：获取同一类型的待检查终端；具体地，通过资产数据表对电力智能终端进行分类统计，资产数据表中保存有终端的基本信息，如终端的id、类型、ip地址等信息，从大量待检查终端中将同一类型的待检查终端归为一类。

s102：根据预设的用户名和弱口令组合的数量对上述同一类型的待检查终端进行随机采样，生成待检查终端采样样本；例如针对电力智能终端，选择典型常用的用户名u和弱口令p，组合用户名和弱口令(u,p)，并计算其数量n，将上述同一类型的待检查终端平分n份，每一份包括从上述同一类型的待检查终端中随机选择的m个终端，将该m个终端作为一份待检查终端采样样本，n与m的乘积为上述同一类型的待检查终端的总数量。

s103：通过预设的用户名和弱口令组合对待检查终端采样样本进行扫描，将登录成功的用户名和弱口令组合对该同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量；具体地，预设的用户名和弱口令组合的数量和待检查终端采样样本的份数是一样的，通过将每一个用户名和弱口令组合对应扫描一份待检查终端采样样本，每一个待检查终端的只扫描一次，极大地提高了扫描效率，将能够登录成功的用户名和弱口令组合记录下来，重复的组合只记录一次，然后使用此组合再次对该同一类型的待检查终端全部进行扫描，将能被此用户名和弱口令组合登录的终端记录下来，统计其数量。

s104：当登录成功的待检查终端数量大于预定阈值时，判定该同一类型的待检查终端存在安全性问题。该弱口令扫描方法针对的是同一类型的终端进行检查，如果该同一类型的终端中，有一半数量的终端被同一用户名和弱口令组合登录成功，则说明该同一类型的终端存在安全性问题，需要对其修改口令。其中，上述预定阈值可以根据实际情况确定。

通过上述步骤，获取同一类型的待检查终端，根据预设的用户名和弱口令组合的数量对该同一类型的待检查终端进行随机采样，生成待检查终端采样样本，通过预设的用户名和弱口令组合对待检查终端采样样本进行扫描，将登录成功的用户名和弱口令组合对同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量，当登录成功的待检查终端数量大于预定阈值时，判定该同一类型的待检查终端存在安全性问题。本发明实施例提供的弱口令扫描方法，对大量终端且存在大量同类型终端时，将同类型终端进行随机划分，对每一划分使用一个用户名和弱口令的组合进行远程安全检查，并使用发现的可以登录终端的弱口令再次重新对该同类型终端进行远程扫描，最终根据登录成功的终端数量来判定该同类型终端是否存在安全性问题，该方法显著提高了终端扫描效率，降低了宽带占用，使用远程扫描，避免了人工去现场检查终端。

上述步骤s103涉及到通过预设的用户名和弱口令组合对待检查终端采样样本进行扫描，将登录成功的用户名和弱口令组合对该同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量，在一个优选实施方式中，该步骤具体包括：

步骤a：将一组用户名和弱口令的组合对其中一份待检查终端采样样本进行扫描，记录登录成功的用户名和弱口令组合；

步骤b：选取下一组用户名和弱口令的组合对下一份待检查终端采样样本进行扫描，记录登录成功的用户名和弱口令组合；

步骤c：循环执行步骤b，直至第n组用户名和弱口令的组合对第n份待检查终端采样样本扫描完成；

步骤d：将登录成功的用户名和弱口令组合对同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量。

通过上述步骤，实现一组随机的用户名和弱口令组合对一份随机的待检查终端采样样本进行扫描，在第一组扫描完成后，从剩下的用户名和弱口令组合里选取下一组对从剩下的待检查终端采样样本里选取的下一份待检查终端采样样本进行扫描，直至第n组用户名和弱口令组合对第n份待检查终端扫描完成，这样就实现了将同一类型的待检查终端进行随机采样，且每一个终端在初次扫描时只扫描一次，提高了扫描效率。

图2是根据本发明实施例的弱口令扫描方法的另一个流程图，如图2所示，在一个具体实施方式中，该方法包括以下步骤：

s201：从包含了设备基本信息的资产数据表中，对电力智能终端进行分类统计，例如待检查终端包含的终端类型为集合c；

s202：获取各终端类型ci，及其数量ni；例如待检查终端一共有c1，c2，c3…cn类，对终端类型c1，获取其数量n1，对终端类型c2，获取其数量n2，对终端类型c3，获取其数量n3，……对终端类型cn，获取其数量nn，例如终端类型c1共有10万个终端；

s203：选择典型常用的用户名u及其数量nu，选择典型常用的弱口令p及其数量np，则可获取用户名和弱口令的组合(u,p)及其数量np，其中np＝nu×np；例如有10个用户名，30个弱口令，则np＝10×30＝300；

s204：取c中的同一类型终端ci，在初始时，例如选择终端类型为c1的终端执行下述s205至s213的步骤进行扫描；

s205：对终端类型ci(在此实施例中，以c1为例)，计算n＝n1/np，即n＝100000/300，约为340；

s206：选取用户名和弱口令的组合(u,p)的下一个元素(u,p)，在初始时，随机选取一个元素(u,p)；

s207：从n1中随机选取下一份n个终端，具体地，将n1平均分为np等份，每一份都包括n个终端，在初始时，从n1中随机选取n个终端；如从10万台终端中选取340个终端；

s208：使用(u,p)对n个终端进行弱口令扫描，即s206中选取的一组用户名和弱口令组合对s207中选取的n个终端进行一一扫描，即一个组合(u,p)对340台终端一一扫描；

s209：记录所有登录成功的(c1,(u,p))，即当第一个元素(u,p)对第一份n个终端扫描完成之后，再返回步骤s206，继续执行步骤s206至s209，直至将所有的终端c1扫描完成，记录所有登录成功的(c1,(u,p))，其中重复登录成功的(u,p)只记录一次；

s210：遍历c1中的所有终端，即s209执行完之后，完成将c1中的所有终端扫描一次；即完成c1中所有的中的终端扫描之后，每一个终端只扫描了一次，即一共扫描10万次；

s211：使用成功的(u,p)扫描，将s209中记录的登录成功的(u,p)对c1中的所有终端进行扫描；假如发现了一个口令组合(u,p)，则使这个组合(u,p)再对c1中的所有终端进行扫描；

s212：记录登录成功的(t,(u,p))，t为终端标识，即为了统计被登录成功的终端数量，而对每一个被登录成功的终端都进行标记；

s213：统计同一类型的终端，若有相似的(u,p)成功率在50％以上，则认为存在同一弱口令现象，例如对于终端类型c1，如果s212中被同一(u,p)登录成功的终端数量大于n1/2，则认为终端类型c1存在安全性问题。在对c1执行完上述步骤之后，从集合c中选择下一类型的终端，例如c2，并返回步骤s205，对下一类型的终端继续进行s205至s213的操作。

其中，在步骤s205中，如果n＝n1/np<10，则随机选择一个用户名和弱口令组合(u,p)对所有终端进行扫描，此时的扫描方法同现有的弱口令扫描方法，在此不再赘述。

本发明实施例提供的弱口令扫描方法，通过终端分类，随机划分同类型终端，使得一个弱口令去扫描一个划分，在大量或海量终端的条件下，能够显著提高扫描效率；随机划分的扫描方法，在提高扫描效率的同时，也显著的降低了带宽的占用，做到尽量少的影响电力智能终端的业务能力；使用远程扫描的方法，避免了人工去现场检查终端，间接的提高了电力人员的工作效率。

实施例2

在本实施例中还提供了一种弱口令扫描装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

本发明实施例提供一种弱口令扫描装置，如图3所示，包括获取模块31，用于获取同一类型的待检查终端；第一处理模块32，用于根据预设的用户名和弱口令组合的数量对该同一类型的待检查终端进行随机采样，生成待检查终端采样样本；第二处理模块33，用于通过预设的用户名和弱口令组合对待检查终端采样样本进行扫描，将登录成功的用户名和弱口令组合对同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量；判断模块34，用于在登录成功的待检查终端数量大于预定阈值时，判定该同一类型的待检查终端存在安全性问题。

图4是根据本发明实施例的弱口令扫描装置的另一个结构框图，如图4所示，在一个可选实施方式中，上述的第一处理模块32包括：获取单元321，用于获取预设的用户名和弱口令组合的数量n；第一处理单元322，用于计算用户名和弱口令的组合数量n将上述同一类型的待检查终端平均分为n等份，每一等份同一类型的待检查终端包括从该同一类型的待检查终端中随机选择的m个终端；第二处理单元323，用于将上述m个终端作为一份待检查终端采样样本，n与m的乘积为该同一类型的待检查终端的总数量。

在一个优选实施方式中，上述第二处理模块33具体用于进行以下步骤：步骤a：将一组用户名和弱口令的组合对其中一份待检查终端采样样本进行扫描，记录登录成功的用户名和弱口令组合；步骤b：选取下一组用户名和弱口令的组合对下一份待检查终端采样样本进行扫描，记录登录成功的用户名和弱口令组合；步骤c：循环执行步骤b，直至第n组用户名和弱口令的组合对第n份待检查终端采样样本扫描完成；步骤d：将登录成功的用户名和弱口令组合对该同一类型的待检查终端进行扫描，记录登录成功的待检查终端数量。

上述各个模块的更进一步的功能描述与上述对应实施例相同，在此不再赘述。

实施例3

图5是根据本发明实施例的弱口令扫描方法的计算机设备的硬件结构示意图，如图5所示，该设备包括一个或多个处理器510以及存储器520，图5中以一个处理器510为例。

执行弱口令扫描方法的设备还可以包括：输入装置530和输出装置540。

处理器510、存储器520、输入装置530和输出装置540可以通过总线或者其他方式连接，图5中以通过总线连接为例。

处理器510可以为中央处理器(centralprocessingunit，cpu)。处理器510还可以为其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器520作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本申请实施例中的弱口令扫描方法对应的程序指令/模块(例如，附图3所示的获取模块31、第一处理模块32、第二处理模块33和判断模块34)。处理器510通过运行存储在存储器520中的非暂态软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例弱口令扫描方法。

存储器520可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储弱口令扫描装置的使用所创建的数据等。此外，存储器520可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器520可选包括相对于处理器510远程设置的存储器，这些远程存储器可以通过网络连接至弱口令扫描的处理装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置530可接收输入的数字或字符信息，以及产生与弱口令扫描的处理装置的用户设置以及功能控制有关的键信号输入。输出装置540可包括显示屏等显示设备。

所述一个或者多个模块存储在所述存储器520中，当被所述一个或者多个处理器510执行时，执行如图1至图2所示的方法。

上述产品可执行本发明实施例所提供的方法，具备执行方法相应的功能模块和有益效果以及未在本实施例中详尽描述的技术细节，具体可参见如图1至图4所示的实施例中的相关描述。

实施例4

本发明实施例还提供了一种计算机可读存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的弱口令扫描方法。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)、随机存储记忆体(randomaccessmemory，ram)、快闪存储器(flashmemory)、硬盘(harddiskdrive，缩写：hdd)或固态硬盘(solid-statedrive，ssd)等；所述存储介质还可以包括上述种类的存储器的组合。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。