检测撞库攻击方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种检测撞库攻击方法及系统。
【背景技术】
[0002]当前大部分允许用户发表言论的网站,在用户发表言论之前均需先进行注册。这种用户注册机制有助于企业进行用户管理,如监控用户所发表的言论及分享的信息;也利于用户与用户进行交流。用户在诸多网站上注册时,为了便于记忆,往往不会对每个网站使用不同的用户帐号和密码,而通常只采用I?3组用户帐号和密码。这种情况下往往会导致严重的安全问题,当某个网站用户信息(包括用户帐号和密码)泄露后,攻击者可能会利用已泄露的用户信息去尝试登陆别的网站,批量得到可正确认证的用户帐号和密码,这就是撞库行为。撞库是指黑客通过收集互联网已泄露的用户帐号和密码信息,生成对应字典表,尝试批量登陆目标系统后,得到一系列可登陆目标系统的用户,从而非法获取信息。
[0003]随着互联网技术及电子商务行业的蓬勃发展,撞库行为对生活的日常生活的影响日益显著。如2014年12月,互联网上流传出约13万12306网的用户账号和密码信息,经确认,这些用户信息是攻击者利用某些网站已泄露的数据对12306进行撞库攻击后得到的。又如京东之前的用户信息泄露事件,就是黑客利用“撞库”的方法,获取到了一些京东用户信息。
[0004]可以理解地,采用撞库方法获取到的用户帐号及密码,并在其他任何网站上均可登陆,若用户在不同网站上使用相同的用户帐号和密码,一旦被攻击者获取到该用户帐号和密码,后果不堪设想。如今,用户信息泄露成为互联网安全的一个焦点,撞库攻击也是愈演愈烈。然而普通用户并没有意识到这点,也没有正确的方法和途径的知道自己的用户信息是否已被泄露,企业在面对这种撞库攻击更是束手无策,一旦攻击者通过撞库攻击成功登陆用户系统,便可进行更高权限的攻击,对用户造成巨大的损失。
【发明内容】
[0005]本发明要解决的技术问题在于,针对现有技术的缺陷,提供一种检测撞库攻击方法及系统。
[0006]本发明解决其技术问题所采用的技术方案是:一种检测撞库攻击方法,包括如下步骤:
[0007]S1:接收用户的网络访问请求并解析,以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息,所述用户信息包括用户帐号和密码;
[0008]S2:配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值;
[0009]S3:根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作,若是,则记录所述网络访问请求的源IP、目的IP及用户信息;
[0010]S4:统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断所述登陆次数是否达到登陆次数阈值,若是,则认定所述网络访问请求为撞库攻击行为;若否,则认定所述网络访问请求为正常访问行为。
[0011]优选地,还包括步骤S5:若所述网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。
[0012]优选地,所述网络访问请求包括HTTP请求或HTTPS请求,所述步骤SI中根据预设的解密证书对所述HTTPS请求进行解析。
[0013]优选地,所述步骤S3中识别所述网络访问请求是否进行登陆操作包括:将所述网络访问请求的目的IP和登陆属性信息与预设登陆路径进行匹配,若一致则认定为进行登陆操作;或者
[0014]将所述网络访问请求的目的IP和登陆属性信息与登陆路径的预设格式进行匹配,若一致则认定为进行登陆操作。
[0015]优选地,所述登陆路径的预设格式包括登陆框架属性,所述登陆框架属性包括用户帐号输入框、密码输入框、验证码输入框以及登陆按钮。
[0016]本发明还提供一种检测撞库攻击系统,优选地,包括如下步骤:
[0017]协议解析模块,用于接收用户的网络访问请求并解析,以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息,所述用户信息包括用户帐号和密码;
[0018]用户配置模块,用于配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值;
[0019]登陆识别模块,用于根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作,若是,则记录所述网络访问请求的源IP、目的IP及用户信息;
[0020]攻击检测模块,用于统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断所述登陆次数是否达到登陆次数阈值,若是,则认定所述网络访问请求为撞库攻击行为;若否,则认定所述网络访问请求为正常访问行为。
[0021]优选地,还包括告警模块,用于在所述网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。
[0022]优选地,所述网络访问请求包括HTTP请求或HTTPS请求,所述协议解析模块根据预设的解密证书对所述HTTPS请求进行解析。
[0023]优选地,所述登陆识别模块用于将所述网络访问请求的目的IP和登陆属性信息与预设登陆路径进行匹配,若一致则认定为进行登陆操作;或者
[0024]用于将所述网络访问请求的目的IP和登陆属性信息与登陆路径的预设格式进行匹配,若一致则认定为进行登陆操作。
[0025]所述登陆路径的预设格式包括登陆框架属性,所述登陆框架属性包括用户帐号输入框、密码输入框、验证码输入框以及登陆按钮。
[0026]本发明与现有技术相比具有如下优点:实施本发明,通过对网络访问请求进行解析,并配置预设登陆路径和登陆次数阈值,或者根据系统默认内置识别登陆路径的预设格式和登陆次数阈值,识别网络访问请求是否进行登陆操作,根据登陆操作确定是否为撞库攻击行为,以实现对撞库攻击行为进行监测,以提高用户信息的安全性,避免用户信息泄露引发的不良后果。
【附图说明】
[0027]下面将结合附图及实施例对本发明作进一步说明,附图中:
[0028]图1是本发明实施例1中检测撞库攻击方法的流程图。
[0029]图2是本发明实施例2中检测撞库攻击方法的流程图。
[0030]图3是本发明实施例3中检测撞库攻击系统的原理框图。
[0031]图中:10、协议解析模块;20、用户配置模块;30、登陆识别模块;40、攻击检测模块;50、告警模块。
【具体实施方式】
[0032]为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的【具体实施方式】。
[0033]可以理解地,撞库攻击区别于弱口令攻击与密码爆破,攻击者在进行弱口令攻击与密码爆破时,若已匹配到成功认证的密码即停止攻击,而撞库攻击的目的在于大量收集可通过验证的用户信息,因此即使成功登陆,攻击者也会不断地进行下一组用户信息验证,使其收集到更多可成功登陆目的IP对应的服务器的用户信息,从而导致用户信息泄露。而现有的WEB防火墙不能识别撞库攻击,并进行进一步防御工作,为此,提供一种检测撞库攻击的方法及系统,以识别撞库攻击行为,以保障用户信息安全。
[0034]实施例1
[0035]如图1所示,本发明提供一种检测撞库攻击方法,该方法包括如下步骤:
[0036]Sll:服务器接收用户的网络访问请求并解析,以确定网络访问请求的源IP、目的IP、登陆属性信息及用户信息,用户信息包括用户帐号和密码,登陆属性信息为网络访问请求解析出的登陆路径。具体地,网络访问请求包括HTTP请求或HTTPS请求,如果是HTTPS请求,则客户需在系统中预设HTTPS请求的解密证书,以支持HTTPS解密操作。
[0037]S12:用户自行配置预设登陆路径和登陆次数阈值。具体地,用户可根据配置策略自行配置好预设登陆路径,以供后续监测过程中直接监控该预设登陆路径的登陆操作。可以理解地,登陆次数阈值也可以由系统默认。
[0038]可以理解