计算设备的安全防御、实现方法、装置及系统与流程

本申请涉及信息安全领域，具体而言，涉及一种计算设备的安全防御、实现方法、装置及系统。

背景技术：

传统的windows防止远程桌面协议(remotedesktopprotocol，简称rdp)暴力破解系统，需要windows开发人员从驱动层做拦截，开发成本较大，很难做到稳定，且这种防御只能及时地防御单台计算设备，而其他计算设备依然暴露在攻击者面前，攻击者可以继续进行破解，同时如果攻击者进行广度爆破，很可能导致任何一台计算设备都不会触发防御机制。因而，相关技术开发成本较高，是单点防御，即只在满足设置次数的情况下，对单独的计算设备进行防御，而无法对多台计算设备进行有效的防御。

技术实现要素：

根据本申请实施例的一个方面，提供了一种计算设备的安全防御实现方法，包括：服务器接收计算设备发送的登录信息；其中，该登录信息为请求登录计算设备的源工作站的信息；服务器判断登录信息所对应源工作站的指定行为是否合法，上述指定行为为源工作站请求登录计算设备的行为；在指定行为不合法的情况下，服务器通知计算设备阻止源工作站登录计算设备。

根据本申请实施例的另一方面，还提供了一种计算设备的安全防御方法，包括：计算设备向服务器发送登录信息；其中，登录信息为请求登录计算设备的源工作站信息；计算设备接收服务器发送的通知信息；其中，通知信息为服务器在判定登录信息所对应源工作站的指定行为不合法情况下发送的信息；计算设备根据通知信息阻止源工作站登录计算设备。

根据本申请实施例的另一方面，还提供了一种计算设备的安全防御实现装置，应用于服务器，包括：接收模块，用于接收计算设备发送的登录信息；其中，登录信息为请求登录计算设备的源工作站的信息；判断模块，用于判断登录信息所对应源工作站的指定行为是否合法，指定行为为源工作站请求登录计算设备的行为；通知模块， 用于在指定行为不合法的情况下，通知计算设备阻止源工作站登录计算设备。

根据本申请实施例的另一方面，还提供了一种计算设备的安全防御装置，应用于计算设备，包括：发送模块，用于向服务器发送登录信息；其中，登录信息为请求登录计算设备的源工作站信息；接收模块，用于接收服务器发送的通知信息；其中，通知信息为服务器在判定登录信息所对应源工作站的指定行为不合法情况下发送的；处理模块，用于根据通知信息阻止源工作站登录计算设备。

根据本申请实施例的另一方面，还提供了一种计算设备的安全防御系统，包括：服务器，计算设备；计算设备，用于将登录信息发送给服务器；其中，登录信息为请求登录计算设备的源工作站的信息；服务器，用于判断登录信息所对应源工作站的指定行为是否合法，指定行为为源工作站请求登录计算设备的行为；以及在指定行为不合法的情况下，通知计算设备阻止源工作站登录计算设备。

在本申请实施例中，采用服务器接收计算设备发送的登录信息，判断该登录信息对应源工作站请求登录计算设备的行为是否合法，在不合法的情况下，通知计算设备阻止该源工作站登录该计算设备的方式，通过服务器获取到源工作站请求登录计算设备的登录信息，并对该登录信息进行分析判断，在判断得出源工作站请求登录计算设备的行为不合法的情况下，能够及时通知计算设备进行拦截，即由于通过服务器的分析判断实现对源工作站登录计算设备的行为进行拦截，因此可以实现对多台计算设备进行有效的防御，进而解决了相关技术中无法防御多台计算设备被源工作站暴力破解的技术问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本申请实施例的一种计算设备的安全防御实现方法的计算机终端的硬件结构框图；

图2是根据本申请实施例1的计算设备的安全防御实现方法的流程图；

图3是本申请可选实施例的场景1中的计算设备安全防御实现方法的示意图；

图4是本申请实施例的计算设备的安全防御方法的流程图；

图5是本申请实施例的计算设备的安全防御实现装置的结构框图；

图6是本申请实施例的计算设备的安全防御装置的结构框图；

图7是本申请实施例的计算设备的安全防御系统的结构框图；

图8是本申请可选实施例的计算设备的安全防御系统的结构框图；

图9是根据本申请实施例的一种计算机终端的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1

根据本申请实施例，还提供了一种计算设备的安全防御实现方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例1所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图1是本申请实施例的一种计算设备的安全防御实现方法的计算机终端的硬件结构框图。如图1所示，计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1 中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储应用软件的软件程序以及模块，如本申请实施例中的计算设备的安全防御实现方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的计算设备的安全防御实现方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(networkinterfacecontroller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(radiofrequency，rf)模块，其用于通过无线方式与互联网进行通讯。

在上述运行环境下，本申请提供了如图2所示的计算设备的安全防御实现方法。图2是根据本申请实施例1的计算设备的安全防御实现方法的流程图，该方法包括步骤s202-步骤s206：

步骤s202，服务器接收计算设备发送的登录信息；其中，该登录信息为请求登录计算设备的源工作站的信息；

在本申请的一个可选实施例中，上述登录信息包括以下至少之一信息：请求登录上述计算设备的源工作站的ip地址信息，请求登录上述计算设备的源工作站所采用的用户名信息。该登录信息可以是由计算设备进行采集后，然后通过计算设备的网络模块发送给服务器。

需要说明的是，上述步骤可以应用于windows防暴力破解系统，也可以应用于其他操作系统的防暴力破解系统，比如安卓系统，ios系统等。以应用于window防暴力破解系统为例，上述步骤s202可以表现为：在源工作站请求登录该计算设备的登录过程中，该计算设备中的子授权模块(即subauthmodule)采集上述登录信息后，通过计算设备的网络模块(即networker)上报给服务器。

需要说明的是，上述服务器可以为图1所示的计算机终端，可以是类似的运算装置，并不限于此。上述服务器可以连接有多台计算设备，通过服务器连接多台计算设备使得服务器可以对多台计算设备进行安全防御；上述计算设备可以表现为客户端设 备，或者服务器设备，但并不限于此；上述源工作站为登录上述计算设备的一个请求者，其可以表现为计算机设备，移动终端，但并不限于此。

步骤s204，服务器判断登录信息所对应源工作站的指定行为是否合法，上述指定行为为源工作站请求登录计算设备的行为；

在本申请的一个实施例中，上述步骤s204可以表现为以下至少之一：方式一：服务器在服务器的数据库中查找登录信息对应的记录，以及根据记录确定指定行为是否合法；方式二：服务器根据所述服务器在预定时间内接收到的登录信息的数量是否超过第一预定阈值；并在数量超过第一预定阈值的情况下，服务器确定指定行为不合法。当然，也可以将方式一和方式二相结合来确定上述指定行为是否合法，例如，服务器在预定时间内接收到超过第一预定阈值的数量的登录信息，则服务器认为该指定行为可能是不合法的，进一步，服务器再在数据库中查找登录信息对应的记录，根据该记录来确定上述指定行为是否确实不合法；但并不限于此。

需要说明的是，上述数据库中存储有源工作站信息以及与该源工作站对应的登录计算设备失败信息和/或登录计算设备成功信息，该登录计算设备失败信息和/或登录计算设备成功信息可以通过计算设备的日志采集模块进行采集后通过计算设备的网络模块上传给服务器的。上述方式一通过查找数据库中与该登录信息对应的记录，能够迅速查出该源工作站在登录本计算设备或者登录其他计算设备时是否存在登录失败的信息，即迅速查出该源工作站是否存在不良记录，该不良记录即为该源工作站对其他计算设备或者本计算设备进行恶意攻击或者暴力破解，进而可以得出上述指定行为不合法。

具体地，在本申请的一个实施例中，方式一中还可以通过以下之一方式确定该指定行为是否合法：第一种方式：在记录的内容为源工作站登录失败的情况下，服务器确定指定行为不合法；第二种方式：服务器在查找到的记录中，统计记录的内容为源工作站登录失败的记录的个数；在记录的个数超过第二预定阈值的情况下，服务器确定指定行为不合法。对于第一种方式，只要存在源工作站登录失败的内容，就认为该指定行为不合法，即只要该源工作站存在过不良记录，就认为与该源工作站对应的该指定行为就是不合法的。对于第二种方式，数据库中查找到的与该登录信息对应的记录可能不止一个，通过统计源工作站登录失败的记录的个数，通过该个数与预先设定好的阈值(即第二预定阈值)比较来确定该指定行为是否合法，即通过对与该源工作站对应的不良记录的统计分析、匹配比较来确定指定行为是否合法。第二种方式相比于第一种方式，能够更加准确判断上述指定行为的合法性。

需要说明的是，上述对记录进行查找统计的过程可以是通过服务器中的逻辑分析 模块来执行，上述第二预定阈值可以是在服务器中的规则匹配模块中进行预先设定，具体地，可以基于配置文件进行预先设定，进而可以通过对配置文件的修改来调整第二预定阈值，增加了更好的灵活性，便于进行维护和升级。

在上述方式一中，可以应用于以下场景：一个源工作站对一个计算设备进行不合法行为之后，再对其他计算设备进行不合法行为，也可以应用于：一个源工作站对一个计算设备进行不合法行为后再继续对该计算设备进行不合法行为，但并不限于此。

在上述方式二中，通过预定时间内收到的登录信息的数量与第一预定阈值的比较来得到指定行为是否合法，该方式可以应用于广度的不合法行为，比如一台源工作站对一群计算设备同时进行不合法行为，也可以应用于一台源工作站对一群计算设备不同时进行不合法行为，但对每台计算设备所作的不合法行为次数很少(即不合法行为次数小于一个预设阈值)的情况，并不限于此。如果在服务器在一定的时间内收到一定数量的登录信息时，可以认为上述指定行为并不合法。

步骤s206，在指定行为不合法的情况下，服务器通知计算设备阻止源工作站登录计算设备。

在本申请的一个实施例中，在指定行为不合法的情况下，服务器可以通过向计算设备下发拦截要求来通知计算设备阻止源工作站登录计算设备。

通过上述方法，服务器获取到源工作站请求登录计算设备的登录信息，并对该登录信息进行分析判断，在判断得出源工作站请求登录计算设备的行为不合法的情况下，能够及时通知计算设备进行拦截，即通过服务器的分析判断可以实现对多台计算设备进行有效的防御，进而解决了相关技术中无法防御多台计算设备被源工作站暴力破解的技术问题。

在本申请的一个实施例中，在上述步骤s206之后，还可以执行以下处理步骤：服务器接收计算设备发送的登录失败信息，其中，该登录失败信息用于指示源工作站登录计算设备失败；以及将登录失败信息记录到服务器的数据库中。通过上述处理步骤，由于将登录失败信息记录到服务器的数据库中，因此可以在后续源工作站再次对该计算设备或者其他计算设备进行不合法行为时，服务器能够快速判断出不合法行为，进而能够阻止该不合法行为。

在本申请的一个实施例中，上述不合法的行为可以为源工作站对计算设备的暴力破解行为，也可以是源工作站对计算设备的恶意攻击行为，并不限于此。以下以不合法的行为为源工作站对计算设备的暴力破解行为为例进行说明：

场景1：某一源工作站恶意对某一计算设备进行暴力破解，计算设备将从计算设 备中的日志收集模块中收集到的登录失败的事件(相当于实施例1中的登录失败信息)上报给服务器，服务器进行数据库中数据进行分析，发现是暴力破解，从而通知计算设备上的subauthmodule模块对登录行为进行阻止，同时当其他该源工作站尝试攻击其他计算设备时，其他计算设备上的subauthmodule将登录请求信息发送给服务器，服务器可以直接下发拦截要求(相当于实施例1中的步骤s206)，从而直接阻止登录请求。

场景2：某一源工作站对一群计算设备进行暴力破解，但是对每台计算设备的暴力破解次数都很少，当服务器收到多次登录信息的时候，根据设置的规则进行匹配，发现满足暴力破解的一些行为规则之后，认为该源工作站的登录应该拦截(相当于上述实施例1中方式1和/或方式2)，之后当其他计算设备的subauthmodule发现该源工作站有登录请求发送给服务器时，服务器将会下发拦截要求(相当于实施例1中的步骤s206)，从而阻止更多的暴力破解请求。

场景3：当某源工作站的暴力破解被计算设备发现之后继续对计算设备进行暴力破解，计算设备的subauthmodule模块将登录请求信息发送给服务器，同时对登录过程进行延时处理，在一定时间之后再返回失败信息，从而加大破解的成本，进而能够阻止该暴力破解。

图3是本申请可选实施例的场景1中的计算设备安全防御实现方法的示意图，如图3所示，主机(计算设备)上源工作站的登录失败信息通过主机中的网络模块(networker)上传到服务器中的数据库(database)，当服务器获知源工作站可能对其他主机进行暴力破解时，服务器中的逻辑模块(logicmodule)从database中提取数据进行分析，得到分析结果(比如，得到与该源工作站对应的登录失败的记录个数)，分析结果输入到服务器中的规则匹配模块(rulematch)中进行规则匹配(比如，将得到的该记录个数与规则匹配模块中预先设置的阈值进行比较)，规则匹配模块通过比较结果得到源工作站对其他主机进行的是暴力破解行为，因而通过logicmodule向其他主机的subauth模块下发拦截指令，进行拦截。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存 储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

实施例2

根据本申请实施例，还提供了一种计算设备的安全防御方法，图4是本申请实施例的计算设备的安全防御方法的流程图，如图4所示，该方法包括步骤s402至步骤s406：

步骤s402，计算设备向服务器发送登录信息；其中，登录信息为请求登录计算设备的源工作站信息；

需要说明的是，上述计算设备可以是图1所示的计算机终端，也可以是移动终端，但并不限于此。

上述登录信息包括以下至少之一信息：请求登录上述计算设备的源工作站的ip地址信息，请求登录上述计算设备的源工作站所采用的用户名信息。该登录信息可以是计算设备的一个模块采集后，通过计算设备的网络模块发送给服务器。

需要说明的是，上述方法可以应用于windows防暴力破解系统，也可以应用于其他操作系统的防暴力破解系统，比如安卓系统，ios系统等。以应用于window防暴力破解系统为例，上述步骤s402可以表现为：在源工作站请求登录该计算设备的登录过程中，该计算设备中的subauthormodule采集上述登录信息后，通过计算设备的网络模块(即networker)上报给服务器。

上述服务器可以连接有多个上述计算设备，在服务器可以实现对多个计算设备的安全防御；上述计算设备可以表现为客户端设备，或者服务器设备，但并不限于此；上述源工作站为登录上述计算设备的一个请求者，其可以表现为计算机设备，移动终端，但并不限于此。

步骤s404，计算设备接收服务器发送的通知信息；其中，通知信息为服务器在判定登录信息所对应源工作站的指定行为不合法情况下发送的信息；

需要说明的是，服务器判断登录信息所对应源工作站的指定行为是否合法的方法，与上述实施例1的方法是相同的，此处不再赘述。

步骤s406，计算设备根据通知信息阻止源工作站登录计算设备。

通过上述方法，通过服务器对计算设备发送的登录信息进行分析判断，在判断得 出源工作站请求登录计算设备的行为不合法的情况下，计算设备接收服务器发送的通知信息来通知计算设备进行拦截，即通过服务器的分析判断可以实现对多台计算设备进行有效的防御，进而解决了相关技术中无法防御多台计算设备被源工作站暴力破解的技术问题。

在本申请的一个实施例中，在步骤s406之后，上述方法还可以包括：计算设备向服务器发送登录失败信息；其中，该登录失败信息用于指示源工作站登录计算设备失败。将登录失败信息发送给服务器之后，将登录失败信息存储在服务器中的数据库中，通过将登录失败信息记录到服务器的数据库中，可以在后续源工作站再次对该计算设备或者其他计算设备进行不合法行为的时候，服务器能够快速判断出不合法行为，进而能够快速通知计算设备阻止该不合法行为。

实施例3

根据本申请实施例，还提供了一种用于实施上述计算设备的安全防御实现方法的装置，图5是本申请实施例的计算设备的安全防御实现装置的结构框图，如图5所示，该装置包括：

接收模块52，用于接收计算设备发送的登录信息；其中，该登录信息为请求登录计算设备的源工作站的信息；

在本申请的一个实施例中，上述登录信息包括以下至少之一信息：请求登录上述计算设备的源工作站的ip地址信息，请求登录上述计算设备的源工作站所采用的用户名信息。

上述装置可以位于服务器中，该服务器可以连接有多个计算设备，能够对多台计算设备进行安全防御；上述计算设备可以表现为客户端设备，或者服务器设备，但并不限于此；上述源工作站为登录上述计算设备的一个请求者，其可以表现为计算机设备，移动终端，但并不限于此。

判断模块54，与上述接收模块52连接，用于判断上述登录信息所对应源工作站的指定行为是否合法，上述指定行为为上述源工作站请求登录所述计算设备的行为；

在本申请的一个实施例中，判断模块54还用于在服务器的数据库中查找登录信息对应的记录，以及根据记录确定指定行为是否合法，和/或根据在预定时间内接收到的登录信息的数量是否超过第一预定阈值；并在数量超过第一预定阈值的情况下，服务器确定指定行为不合法。

需要说明的是，上述数据库中存储有源工作站信息以及与该源工作站对应的登录 计算设备失败信息和/或登录计算设备成功信息。通过上述判断模块54通过查找该数据库中与该登录信息对应的记录，能够迅速查出该源工作站在登录本计算设备或者登录其他计算设备时是否存在登录失败的信息，即上述判断模块54能够迅速查出该源工作站是否存在不良记录，该不良记录即为该源工作站对其他计算设备或者本计算设备进行恶意攻击或者暴力破解，进而可以判断得出上述指定行为可能不合法。

具体地，在本申请的一个实施例中，上述判断模块54还用于在记录的内容为源工作站登录失败的情况下，确定指定行为不合法。即只要判断模块54得到的记录内容为源工作站登录失败的内容，就认为该指定行为不合法，即只要判断模块54得到该源工作站存在过不良记录，就认为与该源工作站对应的该指定行为就是不合法的。

上述判断模块54还用于在查找到的记录中，统计记录的内容为源工作站登录失败的记录的个数；在记录的个数超过第二预定阈值的情况下，确定指定行为不合法。上述判断模块54通过对与该源工作站对应的不良记录的统计分析、匹配比较来确定指定行为是否合法。

需要说明的是，上述装置还可以包括规则匹配模块，用于对上述第二预定阈值进行预先设定。上述规则匹配模块可以基于配置文件进行预先设定，进而可以通过对配置文件的修改来调整第二预定阈值，增加了更好的灵活性，便于进行维护和升级。

上述判断模块54还用于根据在预定时间内接收到的登录信息的数量是否超过第一预定阈值；并在数量超过第一预定阈值的情况下，确定指定行为不合法。

通知模块56，与上述判断模块54连接，用于在上述指定行为不合法的情况下，通知上述计算设备阻止所述源工作站登录所述计算设备。

需要说明的是，上述通知模块56可以通过发送拦截要求来阻止源工作站登录计算设备。

通过上述装置，接收模块52获取到源工作站请求登录计算设备的登录信息，判断模块54对该登录信息进行分析判断，在判断得出源工作站请求登录计算设备的行为不合法的情况下，通知模块56能够及时通知计算设备进行拦截，即上述装置通过服务器的分析判断可以实现对多台计算设备进行有效的防御，进而解决了相关技术中无法防御多台计算设备被源工作站暴力破解的技术问题。

在本申请的一个实施例中，上述装置还可以包括:数据库模块，用于接收并存储计算设备发送的登录失败信息，其中，该登录失败信息用于指示源工作站登录计算设备失败。登录失败信息被存储在数据库模块中，可以在后续源工作站再次对该计算设备或者其他计算设备进行不合法行为的时候，能够快速判断出不合法行为，进而能够阻 止该不合法行为。

需要说明的是，上述装置可以应用于上述方法可以应用于windows防暴力破解系统，也可以应用于其他操作系统的防暴力破解系统，比如安卓系统，ios系统等，并不限于此。在本申请的一个实施例中，上述不合法的行为可以为源工作站对计算设备的暴力破解行为，也可以是源工作站对计算设备的恶意攻击行为，并不限于此。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述各个模块(比如接收模块52、判断模块54、通知模块56)均可以处于同一处理器中，或者上述各个模块分别位于不同的处理器中。

实施例4

根据本申请实施例，还提供了一种用于实施上述计算设备的安全防御方法的装置，图6是本申请实施例的计算设备的安全防御装置的结构框图，如图6所示，该装置包括：

发送模块62，用于向服务器发送登录信息；其中，所述登录信息为请求登录所述计算设备的源工作站信息；

需要说明的是，该装置可以应用于计算设备中，该计算设备可以是图1所示的计算机终端，也可以是移动终端，但并不限于此；该计算设备可以表现为客户端设备，或者服务器设备，但并不限于此；上述源工作站为登录上述计算设备的一个请求者，其可以表现为计算机设备，移动终端，但并不限于此。。

上述登录信息包括以下至少之一信息：请求登录上述计算设备的源工作站的ip地址信息，请求登录上述计算设备的源工作站所采用的用户名信息。该登录信息可以是上述计算设备的一个采集模块采集，再通过发送模块62发送给服务器。上述服务器可以连接有多个上述计算设备，在服务器可以实现对多个计算设备的安全防御。

接收模块64，与上述发送模块62连接，用于接收服务器发送的通知信息；其中，该通知信息为服务器在判定登录信息所对应源工作站的指定行为不合法情况下发送的；

需要说明的是，上述服务器判断登录信息所对应源工作站的指定行为是否合法可以通过实施例3中的判断模块54来实现，具体实现方式详见实施例3的描述，此处不再赘述。

处理模块66，与上述接收模块64连接，用于根据所述通知信息阻止所述源工作站登录所述计算设备。

上述装置通过发送模块62、接收模块64和处理模块66，接收服务器发送的通知信息来通知计算设备进行拦截，其中，该通知信息为服务器对计算设备发送的登录信息进行分析判断，在判断得出源工作站请求登录计算设备的行为不合法的情况下服务器发送的，即上述装置通过服务器的分析判断可以实现对多台计算设备进行有效的防御，进而解决了相关技术中无法防御多台计算设备被源工作站暴力破解的技术问题。

在本申请的一个实施例中，上述装置还可以包括：日志采集模块，用于从日志系统中收集登录失败信息，并通过发送模块62发送给服务器的数据库中，以备后续源工作站再次对该计算设备或者其他计算设备进行不合法行为的时候，服务器进行分析时使用。

需要说明的是，上述装置还可以应用于windows防暴力破解系统，也可以应用于其他操作系统的防暴力破解系统，比如安卓系统，ios系统等，并不限于此。在本申请的一个实施例中，上述不合法的行为可以为源工作站对计算设备的暴力破解行为，也可以是源工作站对计算设备的恶意攻击行为，并不限于此。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述各个模块(比如发送块62、接收模块64、处理模块66)均可以处于同一处理器中，或者上述各个模块分别位于不同的处理器中。

实施例5

根据本申请实施例，还提供了一种计算设备的安全防御系统，图7是本申请实施例的计算设备的安全防御系统的结构框图，如图7所示，该系统包括：服务器，计算设备；

计算设备72，用于将登录信息发送给服务器；其中，该登录信息为请求登录计算设备的源工作站的信息；

服务器74，与计算设备72连接，用于判断登录信息所对应源工作站的指定行为是否合法，该指定行为为源工作站请求登录计算设备的行为；以及在该指定行为不合法的情况下，通知计算设备阻止源工作站登录计算设备。

需要说明的是，上述登录信息包括以下至少之一信息：请求登录上述计算设备的源工作站的ip地址信息，请求登录上述计算设备的源工作站所采用的用户名信息。

需要说明的是，上述计算设备72可以包含实施例4中的计算设备的安全防御装置，上述服务器74可以包含实施例3中的计算设备的安全防御实现装置。具体详见实施例 3和实施例4的介绍，此处不再赘述。服务器74可以连接有多个计算设备72，实现对多台计算设备的安全防御。

通过上述系统，服务器获取到源工作站请求登录计算设备的登录信息，并对该登录信息进行分析判断，在判断得出源工作站请求登录计算设备的行为不合法的情况下，能够及时通知计算设备进行拦截，即通过服务器的分析判断可以实现对多台计算设备进行有效的防御，进而解决了相关技术中无法防御多台计算设备被源工作站暴力破解的技术问题。

以下结合可选的实施例对计算设备的安全防御系统做进一步解释。

本申请可选实施例提供了一种windows中计算设备的安全防御系统，图8是本申请可选实施例的计算设备的安全防御系统的结构框图，如图8所示，上述系统主要包括计算设备(主机)82(host,相当于计算设备72)，服务器84(server,相当于服务器74)。

主机还可以包括：rdploginproc822(rdp登录处理器)：windowsrdp登录处理：subauthmodule824(子授权模块，相当于采集模块和处理模块66)，用于采集登录的源工作站、用户名信息，从登录验证的串行处理的过程中拦截登录行为，即用于接入到windowsrdp登录过程中，对登录的ip、用户名进行收集后通过网络模块上传到服务器，同时根据服务器返回的处理结果决定对本次登录放行或者阻止；networkworker826(网络模块，相当于发送模块62和接收模块64)：主机网络通讯部分，用于和server(服务器)端进行网络通讯发送接收数据；logcollectmodule828(日志采集模块，相当于实施4中的日志采集模块)，用于采集登录成功与否的结果信息，即用于从windows日志系统中收集相关登录成功以及失败的信息，同时通过网络模块发送给服务器。

服务器还可以包括：logicmodule842(逻辑模块)，用于处理主机上传的登录信息，同时根据数据库中数据以及规则等决定是否放过或者拦截，即以主机登录信息为基础进行分析，判断登录请求是否是恶意攻击行为，分析过程是基于多个简单的登录信息以及结果进行综合分析，当发现源工作站在进行暴力破解的时候，在其他主机上报行为之后下发拦截命令拦截登录；databasemodule844(数据库模块，相当于实施例3中的数据库)：server中数据库模块，用来保存登录数据等信息。logmodule846(日志模块)；rulematch(规则匹配)模块848，用于实现规则的匹配逻辑，即根据逻辑模块分析出的可以行为进行规则匹配规则是基于配置文件的，因此具有高度的灵活性，可以通过配置文件的修改进行规则的维护和升级。rulemanager8410(规则管理模块),用于对规则的管理，更新等；whitelist8412(白名单模块)，用于避免特殊 情况下的误判。上述逻辑模块、规则匹配模块相当于实施例3中的判断模块54.

上述系统中，subauthmodule提供了可靠的登录流程控制。logcollectmodule提供了可靠的信息采集方式。logicmodule基于大数据处理，可以有效的分析登录请求的行为目的，有别于简单的单主机信息记录判断。rulematch通过灵活的可配方式，基于logicmodule的行为分析做出最终的检测结果。并且基于大数据的分析，能够自动实现登录目的的判定。

需要说明的是，在本申请的可选实施例中，上述服务器可以连接多个主机，通过连接到统一的服务器(server)，对登录信息进行分析，及时的防御可能发生的攻击。当一台连接到server的机器发现这台机器的源工作站有暴力破解行为的时候，可以及时通知server，server对数据进行记录，当这个源工作站对其他机器也进行暴力破解的时候，server可以及时的通知该被破解机器来防御这个源工作站进行的破解行为。同时，如果攻击者进行基于广度的暴力破解行为时，server也能及时的发现该源工作站对多台主机进行登录行为，对于通常的用户来说这是一个异常的行为，在一定的规则的情况下可以将这种行为归类于暴力破解，同时触发主机的防御机制。能够极大地提高攻击者的成本以及难度，更好地保护主机的安全性。

实施例6

本申请的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。

在本实施例中，上述计算机终端可以执行应用程序的计算设备的安全防御实现方法中以下步骤的程序代码：接收计算设备发送的登录信息；其中，该登录信息为请求登录计算设备的源工作站的信息；判断登录信息所对应源工作站的指定行为是否合法，上述指定行为为源工作站请求登录计算设备的行为；在指定行为不合法的情况下，通知计算设备阻止源工作站登录计算设备。

需要说明的是，该计算机终端可以连接有多台计算设备，以实现对多台计算设备的安全防御。具体地，可参见实施例1的描述，此处不再赘述。

可选地，图9是根据本申请实施例的一种计算机终端的结构框图。如图9所示， 该计算机终端a可以包括：一个或多个(图中仅示出一个)处理器92、存储器94、以及传输装置96。

其中，存储器94可用于存储软件程序以及模块，如本申请实施例中的计算设备的安全防御实现方法和装置对应的程序指令/模块，处理器92通过运行存储在存储器94内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的计算设备的安全防御实现方法。存储器94可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器94可进一步包括相对于处理器92远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端a。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

处理器可以通过传输装置96调用存储器存储的信息及应用程序，以执行下述步骤：接收计算设备发送的登录信息；其中，该登录信息为请求登录计算设备的源工作站的信息；判断登录信息所对应源工作站的指定行为是否合法，上述指定行为为源工作站请求登录计算设备的行为；在指定行为不合法的情况下，通知计算设备阻止源工作站登录计算设备。

采用本申请实施例，提供了一种计算设备的安全防御实现的计算机终端的方案。通过该计算机终端获取到源工作站请求登录计算设备的登录信息，并对该登录信息进行分析判断，在判断得出源工作站请求登录计算设备的行为不合法的情况下，能够及时通知计算设备进行拦截，即通过分析判断可以实现对多台计算设备进行有效的防御，进而解决了相关技术中无法防御多台计算设备被源工作站暴力破解的技术问题。

本领域普通技术人员可以理解，图9所示的结构仅为示意，计算机终端也可以是智能手机(如android手机、ios手机等)、平板电脑、掌声电脑以及移动互联网设备(mobileinternetdevices，mid)、pad等终端设备。图9其并不对上述电子装置的结构造成限定。例如，计算机终端a还可包括比图9中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图9所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read-onlymemory，rom)、随机存取器(randomaccessmemory，ram)、磁盘或光盘等。

实施例7

本申请的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质 可以用于保存上述实施例1所提供的计算设备的安全防御实现方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：接收计算设备发送的登录信息；其中，该登录信息为请求登录计算设备的源工作站的信息；判断登录信息所对应源工作站的指定行为是否合法，上述指定行为为源工作站请求登录计算设备的行为；在指定行为不合法的情况下，通知计算设备阻止源工作站登录计算设备。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘 等各种可以存储程序代码的介质。

以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。