一种防止暴力破解的方法、装置及系统与流程

本发明涉及计算机技术领域，特别涉及一种防止暴力破解的方法、装置及系统。

背景技术：

传统的Linux安全外壳协议(Secure Shell，SSH)登陆验证系统的防止暴力破解系统，是通过配置本机的Linux登陆验证模块(Pam)，进行单点防御，即对单独的主机进行防御，只有当满足次数设置的暴力破解行为发生时，将攻击者的IP和账号加入到黑名单中，阻止攻击者继续尝试。例如，通过配置一定的规则，设置一定时间阈值内登陆超过一定的次数，则将攻击者的IP和账号加入黑名单。

但是在大集群的环境中，这种防御只能及时的防御单台主机，而其他主机依然暴露在攻击者面前，攻击者可以继续进行破解，如果攻击者的进行广度爆破,很可能导致任何一台主机都不会触发防御机制。

另外，现有技术中，在整个集群外部架设数据过滤设备，可以对外围的恶意攻击进行防御，但是集群内部的数据包并不会走外部网关，所以对来自集群内部的攻击数据无法进行防御。

综上所述，现有的Linux防止SSH暴力破解机制在满足次数设置的情况下，对单独的主机进行防御，无法实现在大集群环境下整个集群的多台主机立即对恶意攻击者进行有效的防御，或者，一些网关防御设备只能够防御外部攻击数据，无法实现对集群内部主机之间相互暴力破解的防御，并且实现成本高，不易普及。

技术实现要素：

本发明实施例提供一种防止暴力破解的方法、装置及系统，用以解决现有技术中存在的针对集群主机防止暴力破解机制的防御效率低下，无法使整个集群的主机及时对恶意攻击者进行防御并且无法对集群内主机之间的相互暴力破解进行防御的问题。

本发明实施例提供的具体技术方案如下：

一种防止暴力破解的方法，包括：

服务器每当接收到集群内的一个主机上报的登陆信息后，基于预设规则和数据库中记录的所述集群内设定数目的主机的登陆相关信息，对每一个登陆信息进行分析与规则匹配，其中，所述登陆信息至少包括登陆用户的互联网协议IP地址以及登陆用户标识信息；

所述服务器根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，指示上报所述任意一个登陆信息的主机对相应的登陆用户进行拦截，以及在进一步接收到所述集群内任意一个主机上报的与所述任意一个登陆信息相似的登陆信息时，直接指示所述任意一个主机对相应的登陆用户进行拦截。

这样，通过服务器对集群内主机的统一管理，提高了集群主机防止暴力破解的效率，使整个集群内的主机能够对恶意攻击者进行及时防御，大大降低了暴力破解的成功率，有效的防止了集群内的主机的相互暴力破解，并且实现成本低，易于实现。

较佳地，根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为，具体包括：

将从数据库中提取到的所述任意一个登陆信息涉及的登陆用户的登陆事件进行分析；

在根据分析结果初步判定基于所述任意一个登陆信息发生暴力破解行为时，将所述任意一个登陆信息涉及的登陆用户的登陆事件与所述预设规则进行 规则匹配；

在确定所述任意一个登陆信息涉及的登陆用户符合预设的暴力破解行为的规则时，最终判定基于所述任意一个登陆信息发生暴力破解行为。

较佳地，进一步包括：

若所述服务器根据分析与规则匹配结果判定基于所述任意一个登陆信息发生正常登陆行为，则指示上报所述任意一个登陆信息的主机允许相应的登陆用户进行登陆，以及在进一步接收到所述集群内其他主机上报的与所述任意一个登陆信息相似的登陆信息时，重新基于所述预设规则和所述数据库中记录的所述集群内设定数目的主机的登陆相关信息，对所述任意一个登陆信息进行分析与规则匹配，以及根据分析与规则匹配结果判断基于所述任意一个登陆信息是否发生暴力破解行为。

较佳地，根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为，至少包括以下方式中的任意一种或任意组合：

若所述任意一个登陆信息涉及的登陆用户在第一预设时间门限内登陆集群内主机的数目超过设定数目阈值，则判定基于所述任意一个登陆信息发生暴力破解行为；

若所述任意一个登陆信息涉及的登陆用户在第二预设时间门限内登陆同一个主机的次数超过设定次数阈值，则判定基于所述任意一个登陆信息发生暴力破解行为。

较佳地，所述服务器在指示主机对登陆用户进行拦截的过程中，指示主机向相应登陆用户延时反馈登陆失败信息。

这样，通过向进行暴力破解行为的登陆用户延时反馈登陆失败信息，加大了该登陆用户的破解成本及难度，从而在一定程度上增强了集群内主机的防御能力，提高了系统整体的防御性能。

一种防止暴力破解的方法，包括：

集群内的主机将当前采集到的登陆信息向服务器上报，在接收到所述服务 器下发的拦截指示后，对上报所述登陆信息的用户进行拦截；

其中，所述拦截指示是所述服务器基于预设规则和数据库中记录的所述集群内设定数目的主机的登陆相关信息，对所述登陆信息进行分析与规则匹配后，判定基于所述登陆信息发生暴力破解行为时，向所述主机下发的。

这样，通过服务器对集群内主机的统一管理，提高了集群主机防止暴力破解的效率，使整个集群内的主机能够对恶意攻击者进行及时防御，大大降低了暴力破解的成功率，有效的防止了集群内的主机的相互暴力破解，并且实现成本低，易于实现。

较佳地，所述主机在对上报所述登陆信息的用户进行拦截之后，进一步包括：

若所述主机再次接收到所述登陆信息的涉及的登陆用户的登陆请求，则向所述服务器上报所述登陆信息，并针对相应的登陆用户的登陆过程进行延时处理以及延时反馈登陆失败信息。

这样，通过向进行暴力破解行为的登陆用户延时反馈登陆失败信息，加大了该登陆用户的破解成本及难度，从而在一定程度上增强了集群内主机的防御能力，提高了系统整体的防御性能。

一种防止暴力破解的装置，包括：

接收单元，用于接收到集群内的主机上报的登陆信息；

匹配单元，用于在每当接收单元接收到集群内的一个主机上报的登陆信息后，基于预设规则和数据库中记录的所述集群内设定数目的主机的登陆相关信息，对每一个登陆信息进行分析与规则匹配，其中，所述登陆信息至少包括登陆用户的IP地址以及登陆用户标识信息；

指示单元，用于根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，指示上报所述任意一个登陆信息的主机对相应的登陆用户进行拦截，以及在进一步接收到所述集群内任意一个主机上报的与所述任意一个登陆信息相似的登陆信息时，直接指示所述任意一个主机对相应的登陆用户进 行拦截。

这样，通过服务器对集群内主机的统一管理，提高了集群主机防止暴力破解的效率，使整个集群内的主机能够对恶意攻击者进行及时防御，大大降低了暴力破解的成功率，有效的防止了集群内的主机的相互暴力破解，并且实现成本低，易于实现。

较佳地，在根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，所述指示单元具体用于：

将从数据库中提取到的所述任意一个登陆信息涉及的登陆用户的登陆事件进行分析；

在根据分析结果初步判定基于所述任意一个登陆信息发生暴力破解行为时，将所述任意一个登陆信息涉及的登陆用户的登陆事件与所述预设规则进行规则匹配；

在确定所述任意一个登陆信息涉及的登陆用户符合预设的暴力破解行为的规则时，最终判定基于所述任意一个登陆信息发生暴力破解行为。

较佳地，所述指示单元进一步用于：

若所述指示单元根据分析与规则匹配结果判定基于所述任意一个登陆信息发生正常登陆行为，则指示上报所述任意一个登陆信息的主机允许相应的登陆用户进行登陆，以及在进一步接收到所述集群内其他主机上报的与所述任意一个登陆信息相似的登陆信息时，重新基于所述预设规则和所述数据库中记录的所述集群内设定数目的主机的登陆相关信息，对所述任意一个登陆信息进行分析与规则匹配，以及根据分析与规则匹配结果判断基于所述任意一个登陆信息是否发生暴力破解行为。

较佳地，在根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，所述指示单元至少根据以下方式中的任意一种或任意组合进行判定：

若所述任意一个登陆信息涉及的登陆用户在第一预设时间门限内登陆集 群内主机的数目超过设定数目阈值，则判定基于所述任意一个登陆信息发生暴力破解行为；

若所述任意一个登陆信息涉及的登陆用户在第二预设时间门限内登陆同一个主机的次数超过设定次数阈值，则判定基于所述任意一个登陆信息发生暴力破解行为。

较佳地，所述指示单元在指示主机对登陆用户进行拦截的过程中，指示主机向相应登陆用户延时反馈登陆失败信息。

这样，通过向进行暴力破解行为的登陆用户延时反馈登陆失败信息，加大了该登陆用户的破解成本及难度，从而在一定程度上增强了集群内主机的防御能力，提高了系统整体的防御性能。

一种防止暴力破解的装置，包括：

上报单元，用于将当前采集到的登陆信息向服务器上报；

拦截单元，用于在接收到所述服务器下发的拦截指示后，对上报所述登陆信息的用户进行拦截；

其中，所述拦截指示是所述服务器基于预设规则和数据库中记录的所述集群内设定数目的主机的登陆相关信息，对所述登陆信息进行分析与规则匹配后，判定基于所述登陆信息发生暴力破解行为时，向所述装置下发的。

这样，通过服务器对集群内主机的统一管理，提高了集群主机防止暴力破解的效率，使整个集群内的主机能够对恶意攻击者进行及时防御，大大降低了暴力破解的成功率，有效的防止了集群内的主机的相互暴力破解，并且实现成本低，易于实现。

较佳地，在对上报所述登陆信息的用户进行拦截之后，进一步包括：

延时单元，用于在所述装置再次接收到所述登陆信息的涉及的登陆用户的登陆请求的情况下，所述上报单元向所述服务器上报所述登陆信息后，针对相应的登陆用户的登陆过程进行延时处理以及延时反馈登陆失败信息。

这样，通过向进行暴力破解行为的登陆用户延时反馈登陆失败信息，加大 了该登陆用户的破解成本及难度，从而在一定程度上增强了集群内主机的防御能力，提高了系统整体的防御性能。

一种防止暴力破解的系统，包括服务器和主机，其中：

所述主机将当前采集到的登陆信息向所述服务器上报，在接收到所述服务器下发的拦截指示后，对所述登陆信息涉及的用户进行拦截，其中，所述登陆信息至少包括登陆用户的IP地址以及登陆用户标识信息；

所述服务器每当接收到集群内的一个主机上报的登陆信息后，基于预设规则和数据库中记录的所述集群内设定数目的主机的登陆相关信息，对每一个登陆信息进行分析与规则匹配，根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，指示上报所述任意一个登陆信息的主机对相应的登陆用户进行拦截，以及在进一步接收到所述集群内任意一个主机上报的与所述任意一个登陆信息相似的登陆信息时，直接指示所述任意一个主机对相应的登陆用户进行拦截。

这样，通过服务器对集群内主机的统一管理，提高了集群主机防止暴力破解的效率，使整个集群内的主机能够对恶意攻击者进行及时防御，大大降低了暴力破解的成功率，有效的防止了集群内的主机的相互暴力破解，并且实现成本低，易于实现。

附图说明

图1为本发明实施例中防止暴力破解流程图；

图2为本发明实施例中防止暴力破解系统结构图；

图3为本发明实施例中防止广度暴力破解示意图；

图4a和图4b为本发明实施例中防止暴力破解装置的结构图；

图5为本发明实施例中另一种防止暴力破解系统结构图。

具体实施方式

本发明实施例提供了一种防止暴力破解的方法、装置及系统，该系统为基于Linux系统登陆验证模块(Pam)实现的防暴力破解云系统，通过将集群内的所有主机连接到统一的服务器，对所有主机的登陆事件统一记录到数据库，并将数据库中的所有用户登陆事件进行统计，分析，当某一个主机将某一个登陆信息上报给服务器后，服务器针对该登陆信息进行分析与规则匹配，确定基于该登陆信息发生暴力破解行为时，向该主机下发针对相应登陆用户的拦截指令，指示所述主机对相应用户的登陆进行拦截，并且，当该登陆用户继续攻击其他主机时，服务器在接收到其他主机上报的该登陆用户的登陆信息时，不需再针对该登陆用户的登陆信息进行分析与规则匹配，直接向该其他用户下发针对该登陆用户的拦截指令，指示该其他主机对相应用户的登陆直接进行拦截，这样，通过统一服务器的集体管理，当判定一个登陆用户对集群内的一个主机进行恶意攻击后，可以防止该登陆用户继续对集群内的其他主机进行恶意攻击，大大降低了暴力破解的成功率，有效地防止了暴力破解，另外，由于Pam验证模块时Linux系统登陆所必然经过的调用过程，因此，即使该恶意攻击的登陆用户为集群内的某一个主机，也可以对其进行防御，有效的防止了集群内的主机的恶意攻击，并且，基于Pam验证模块实现的防暴力破解的方法成本较低，不需要额外开发，易于实现。

下面结合说明书附图对本发明优选的实施例进行详细介绍。

参阅图1所示，本发明实施例中，防止暴力破解的具体流程如下：

步骤100：服务器每当接收到集群内的一个主机上报的登陆信息后，基于预设规则和数据库中记录的集群内设定数目的主机的登陆相关信息，对每一个登陆信息进行分析与规则匹配，其中，登陆信息至少包括登陆用户的IP地址以及登陆用户标识信息。

具体地，服务器管辖的集群内的每一个主机在接收到登陆请求时，采集登陆用户的IP以及用户名信息等登陆信息，并将采集到的登陆信息通过网络通讯接口上报给服务器，服务器在接收到集群内主机上报的登陆信息后，判断接 收到的登陆信息中涉及的登陆事件是否是恶意攻击行为，即判断接收到的登陆信息中涉及的登陆用户是否对上报该登陆信息的主机进行暴力破解行为。

具体判断过程为：

1)从数据库中记录的集群内设定数目的主机的登陆相关信息中提取该登陆信息的相关数据。其中，设定数目可以为数据库中最近记录的N个，也可以为数据库中记录的所有数目。具体数值可根据需要进行配置。

其中，数据库中记录了所有主机上报的登陆事件的相关信息，包括主机上报的登陆信息、登陆信息对应的登陆用户是否登陆成功以及登陆时刻等登陆事件的相关信息。例如，用户G在主机A上登陆失败，用户G在主机B上登陆失败，用户G在主机C上登陆失败，用户F在主机E上登陆成功，……，用户I在主机H上登陆成功。

从数据库中记录的数据中，提取该登陆信息涉及的登陆用户的登陆事件的相关信息，并执行后续的判断，如果数据库中没有记录该登陆信息中涉及的登陆用户的登陆事件的相关信息，则服务器直接向上报该登陆信息的主机下发针对该登陆用户的放行指令。

例如，该登陆信息涉及登陆用户G，则服务器提取设定数目的有关登陆用户G的登陆事件的相关信息，并执行后续的判断，如果数据库中没有任何记录登陆用户G的登陆事件的相关信息，则服务器直接向上报该登陆信息的主机下发针对登陆用户G的放行指令。

2)针对提取的该登陆信息的相关数据进行分析与规则匹配。

具体地，服务器预先设定规则，针对提取的该登陆信息涉及的登陆用户的登陆事件进行分析，在根据分析结果初步判定基于该登陆信息发生暴力破解行为时，将该登陆信息涉及的登陆用户的登陆事件按照预先设定的规则进行规则匹配，在确定该登陆信息涉及的登陆用户符合预设的暴力破解行为的规则时，最终判定基于该登陆信息发生了暴力破解行为；若该登陆信息涉及的登陆用户不符合预设的暴力破解行为的规则，则判定基于该登陆信息发生正常登陆行 为。

规则是基于配置文件的，可以通过配置文件的修改设定任意的规则，并对规则进行维护和升级，具有高度的灵活性，对于规则的设定可以但不限于采取以下方式：

若同一个登陆用户在第一预设时间门限内登陆主机的数目超过设定数目阈值，则判定该登陆用户在针对其登陆的所有主机进行暴力破解行为；

若一个登陆用户在第二预设时间门限内登陆同一个主机的次数超过设定次数阈值，则判定该登陆用户在针对其登陆的主机进行暴力破解行为。

上述规则只是进行举例说明，实际应用中，可针对登陆时间的相关信息设定任意的规则执行暴力破解行为的判断，例如，还可针对某登陆用户登陆成功的事件设定相关规则，又例如，还可针对某登陆用户在判定为发生暴力破解行为之后，将该登陆用户设定一定时长的锁定，即在设定时长内一旦接收到其他主机上报的涉及该登陆用户的登陆信息时，直接向该其他用户下发针对该登陆用户的拦截指令，在超过设定时长时，将该登陆用户解锁，即在再次接收到主机上报的涉及该登陆用户的登陆信息时，重新针对涉及该登陆用户的登陆信息与数据库中的数据进行分析与规则匹配过程。

针对规则的设定可随时进行补充与更新，可灵活设置。

步骤110：服务器根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，指示上报任意一个登陆信息的主机对相应用户进行拦截，以及在进一步接收到集群内任意一个主机上报的与该任意一个登陆信息相似的登陆信息时，直接指示该任意一个主机对相应用户进行拦截。

具体地，服务器针对接收到的每一个登陆信息在步骤100中都执行了判断，对于任意一个登陆信息，将获得的判断结果向上报该登陆信息的主机下发指令，若判定是基于该登陆信息的暴力破解行为，则向上报该登陆信息的主机下发针对该登陆用户的拦截指令，否则，向上报该登陆信息的主机下发针对该登陆用户的放行指令(即同意登陆指令)。并且，在判定基于该登陆信息的暴力 破解行为后，若进一步接收到集群内任意一个主机在后续过程中上报该登陆信息(包括上报该登陆信息的主机再次上报该登陆信息的情况和集群内其他主机上报该登陆信息)，则直接向该任意一个主机下发针对该登陆用户的拦截指令。

其中，基于该登陆信息正常登陆的行为也是根据规则判定的。可能有以下几种情况可以判定为正常登陆。例如，数据库中没有记录该登陆信息涉及的登陆用户的登陆事件的相关信息；数据库中有记录该登陆信息涉及的登陆用户的登陆事件的相关信息，将从数据库中提取到的该登陆信息涉及的登陆用户的登陆事件进行分析，根据分析结果直接判定基于该登陆信息发生正常登陆行为，例如，数据库中记录的该登陆信息涉及的登陆用户在某一个主机或某多个主机上登陆成功，可判定基于该登陆信息发生正常登陆行为，当然可以设置多种规则执行判断。也或者，在根据数据库的分析结果初步判定基于该登陆信息发生正常登陆行为时，基于预设规则进行规则匹配后确定该登陆信息涉及的登陆用户不符合预设的暴力破解行为的规则时，最终判定基于该登陆信息发生正常登陆行为。

这样，通过本发明实施例设计的防暴力破解方法，在主机的每一次登陆事件发生时，都经过服务器对该登陆事件涉及的登陆用户进行暴力破解行为的判断，通过服务器下发放行或拦截指令，指示主机对该登陆用户进行放行或拦截，能够基于数据库信息的处理，分析某登陆用户的整体登陆行为，在判定某登陆用户对一个主机进行暴力破解行为后，有效防止该登陆用户继续对集群内其他主机进行暴力破解，并且有效防止该登陆用户再次对这个主机进行暴力破解行为，有效的降低暴力破解行为的成功率，甚至完全阻止了暴力破解行为的成功。

基于同一发明构思，本发明实施例提供了另一种防止暴力破解的方法，流程如下：

集群内的主机将当前采集到的登陆信息向服务器上报，在接收到所述服务器下发的拦截指示后，对上报所述登陆信息的用户进行拦截；

其中，所述拦截指示是所述服务器基于预设规则和数据库中记录的所述集 群内设定数目的主机的登陆相关信息，对所述登陆信息进行分析与规则匹配后，判定基于所述登陆信息发生暴力破解行为时，向所述主机下发的。其中，设定数目可以为数据库中最近记录的N个，也可以为数据库中记录的所有数目。具体数值可根据需要进行配置。

基于同一发明构思，本发明实施例中还提供了一种防止暴力破解的系统，如图2所示，本发明实施例防止暴力破解的系统包括：服务器20，和主机21。

主机21将当前采集到的登陆信息向服务器20上报，在接收到服务器20下发的拦截指示后，对登陆信息涉及的用户进行拦截，其中，登陆信息至少包括登陆用户的IP地址以及登陆用户标识信息；

服务器20每当接收到集群内的一个主机21上报的登陆信息后，基于预设规则和数据库中记录的集群内设定数目的主机21的登陆相关信息，对每一个登陆信息进行分析与规则匹配，根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，指示上报任意一个登陆信息的主机21对相应的登陆用户进行拦截，以及在进一步接收到集群内任意一个主机21上报的与任意一个登陆信息相似的登陆信息时，直接指示任意一个主机21对相应的登陆用户进行拦截。

其中，任意一个主机21在接收到服务器20下发的拦截指令后，对登陆信息涉及的用户进行拦截之后，若该主机21再次接收到该登陆信息的涉及的登陆用户的登陆请求，则向服务器20上报该登陆信息，服务器20直接向主机21下发拦截指令，主机21直接针对该登陆用户进行拦截，并针对该登陆用户的登陆过程进行延时处理以及延时反馈登陆失败信息。这样，通过向进行暴力破解行为的登陆用户延时反馈登陆失败信息，加大了该登陆用户的破解成本及难度，从而在一定程度上增强了集群内主机的防御能力，提高了系统整体的防御性能。

下面针对具体的应用场景对本发明实施例作进一步详细的说明。

场景一、登陆用户(假设用IP A表示)对主机B进行暴力破解，主机B 在接收到IP A的登陆请求后，采集IP A的登陆信息，并通过网络接口将IP A的登陆信息上报服务器，服务器在接收后，根据数据库中记录的设定数目的主机的登陆事件进行针对IP A的登陆行为进行分析，并与预设的规则进行匹配，若根据规则匹配结果发现IP A的登陆行为为暴力破解，也就是IP A对主机B进行恶意攻击，则服务器向主机B下发针对IP A的拦截指令，主机B接收到拦截指令后，对IP A的登陆进行拦截，以防止IP A对其暴力破解。

在这种场景下，IP A在第一次针对主机B进行暴力破解失败以后，还可能再次针对主机B持续进行暴力破解，或者继续针对集群内其他主机进行暴力破解，不管哪种情况，因为此时服务器已经判定IP A在恶意攻击集群内的主机，在服务器再次接收到IP A的登陆信息或者IP A相似的登陆信息时，直接向上报该登陆信息的主机下发拦截指令，以防止IP A的再次恶意攻击。

场景二、登陆用户(假设用IP B表示)对集群内的多个主机执行广度暴力破解行为，参阅图3所示，为服务器统一管理集群内主机的防止IP B广度暴力破解的示意图。IP B登陆的每一个主机在接收到其登陆请求后，采集IP B的登陆信息，并通过网络接口将IP B的登陆信息上报服务器，服务器将设定数目的主机的登陆事件进行统计，根据数据库记录的数据，可得到IP B的整体登陆行为，并于预设的规则进行匹配，若根据规则匹配结果发现IP B的登陆行为为暴力破解，也就是IP B对多个主机进行广度暴力破解，则服务器向上报IP B登陆信息的所有主机下发针对IP B的拦截指令，每一个主机在接收到拦截指令后，对IP B的登陆进行拦截，以防止IP B对其进行暴力破解，这样，可通过服务器对集群内的主机进行统一管理，及时发现某个登陆用户的广度暴力破解行为，以有效的防御针对多个主机的广度暴力破解行为。

基于同一发明构思，本发明实施例中还提供了一种防止暴力破解的装置，参阅图4a所示，该装置包括：

接收单元40a，用于接收到集群内的主机上报的登陆信息；

匹配单元41a，用于在每当接收单元40a接收到集群内的一个主机上报的 登陆信息后，基于预设规则和数据库中记录的集群内设定数目的主机的登陆相关信息，对每一个登陆信息进行分析与规则匹配，其中，登陆信息至少包括登陆用户的IP地址以及登陆用户标识信息；

指示单元42a，用于根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，指示上报任意一个登陆信息的主机对相应的登陆用户进行拦截，以及在进一步接收到集群内任意一个主机上报的与任意一个登陆信息相似的登陆信息时，直接指示任意一个主机对相应的登陆用户进行拦截。

这样，通过服务器对集群内主机的统一管理，提高了集群主机防止暴力破解的效率，使整个集群内的主机能够对恶意攻击者进行及时防御，大大降低了暴力破解的成功率，有效的防止了集群内的主机的相互暴力破解，并且实现成本低，易于实现。

较佳地，在根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，指示单元42a具体用于：

将从数据库中提取到的任意一个登陆信息涉及的登陆用户的登陆事件进行分析；

在根据分析结果初步判定基于任意一个登陆信息发生暴力破解行为时，将任意一个登陆信息涉及的登陆用户的登陆事件与预设规则进行规则匹配；

在确定任意一个登陆信息涉及的登陆用户符合预设的暴力破解行为的规则时，最终判定基于任意一个登陆信息发生暴力破解行为。

较佳地，指示单元42a进一步用于：

若指示单元42a根据分析与规则匹配结果判定基于任意一个登陆信息发生正常登陆行为，则指示上报任意一个登陆信息的主机允许相应的登陆用户进行登陆，以及在进一步接收到集群内其他主机上报的与任意一个登陆信息相似的登陆信息时，重新基于预设规则和数据库中记录的集群内设定数目的主机的登陆相关信息，对任意一个登陆信息进行分析与规则匹配，以及根据分析与规则匹配结果判断基于任意一个登陆信息是否发生暴力破解行为。

较佳地，在根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，指示单元42a至少根据以下方式中的任意一种或任意组合进行判定：

若任意一个登陆信息涉及的登陆用户在第一预设时间门限内登陆集群内主机的数目超过设定数目阈值，则判定基于任意一个登陆信息发生暴力破解行为；

若任意一个登陆信息涉及的登陆用户在第二预设时间门限内登陆同一个主机的次数超过设定次数阈值，则判定基于任意一个登陆信息发生暴力破解行为。

较佳地，指示单元42a在指示主机对登陆用户进行拦截的过程中，指示主机向相应登陆用户延时反馈登陆失败信息。

这样，通过向进行暴力破解行为的登陆用户延时反馈登陆失败信息，加大了该登陆用户的破解成本及难度，从而在一定程度上增强了集群内主机的防御能力，提高了系统整体的防御性能。

基于同一发明构思，本发明实施例中还提供了一种防止暴力破解的装置，参阅图4b所示，该装置包括：

上报单元40b，用于将当前采集到的登陆信息向服务器上报；

拦截单元41b，用于在接收到所述服务器下发的拦截指示后，对上报该登陆信息的用户进行拦截；

其中，拦截指示是服务器基于预设规则和数据库中记录的集群内设定数目的主机的登陆相关信息，对登陆信息进行分析与规则匹配后，判定基于登陆信息发生暴力破解行为时，向该装置下发的。

如图5所示，基于同一发明构思，本发明实施例还设计了一种防止暴力破解的系统。其中：服务器中的逻辑处理模块相当于图4a中的接收单元以及指示单元，规则匹配模块相当于图4a中的匹配单元。具体的防止暴力破解的方法与上述实施例中所述的方法类似，重复之处不再赘述。

具体地，主机中的SSH登陆处理流程50主要负责Linux SSH登陆过程的基础流程的处理；登陆验证模块51主要用于采集登陆用户的IP地址以及用户名信息等登陆信息以及接收服务器下发的放行或拦截指令并根据指令对登陆用户执行相应的操作；网络接口52用于与服务器之间进行网络通讯，发送、接收数据。

服务器中的逻辑处理模块53用于在接收到主机通过网络接口发送的登陆信息后，针对登陆信息进行处理，同时根据与服务器中其他模块的交互决定是否放行或拦截登陆信息，并将结果通过网络接口反馈给主机；

规则匹配模块54用于实现规则匹配逻辑；

白名单55用于设置登陆用户的白名单，以避免特殊情况下的误判；

日志模块56用于记录登陆事件的日志；

规则管理模块57用于执行规则的管理、更新等工作；

数据库模块58用于用于记录的主机的登陆事件相关信息。

其中，主机中的登陆验证模块51的安装只需要修改SSH登录配置文件，即，将登陆验证模块拷贝到指定的目录，修改SSH登录配置文件，添加相应配置项，重启SSH服务器，使配置文件生效，通过这样简单的过程即可使登陆验证模块生效，操作简单，易于实现。

综上所述，本发明实施例中，服务器每当接收到集群内的一个主机上报的登陆信息后，基于预设规则和数据库中记录的集群内设定数目的主机的登陆相关信息，对每一个登陆信息进行分析与规则匹配，其中，登陆信息至少包括登陆用户的IP地址以及登陆用户标识信息，服务器根据分析与规则匹配结果判定基于任意一个登陆信息发生暴力破解行为时，指示上报该任意一个登陆信息的主机对相应的登陆用户进行拦截，以及在进一步接收到集群内任意一个主机上报的与该任意一个登陆信息相似的登陆信息时，直接指示该任意一个主机对相应的登陆用户进行拦截。这样，通过服务器对集群内主机的统一管理，提高了集群主机防止暴力破解的效率，使整个集群内的主机能够对恶意攻击者进行 及时防御，大大降低了暴力破解的成功率，有效的防止了集群内的主机的相互暴力破解，并且实现成本低，易于实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱 离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。