地,针对同一目的IP的服务器,用户可配置多条预设登陆路径,在检测过程中,分别检测每一条预设登陆路径是否存在撞库攻击行为。即将用户配置的预设登陆路径结合网络访问请求中解析出的登陆路径,识别该网络访问请求是否进行登陆操作。登陆次数阈值,用于统计在预设时间内,相同源IP而用户信息不同的用户,通过同一登陆路径对目的IP的服务器的登陆次数达到一定值则认定为撞库攻击行为,该一定值为登陆次数阈值。可以理解地,还可配置登陆成功或失败的响应特征,以便于检测是否成功登陆。
[0039]S13:根据网络访问请求的目的IP和登陆属性信息、以及预设登陆路径识别该网络访问请求是否进行登陆操作,若是,则记录网络访问请求的源IP、目的IP及用户信息。具体地,可先根据目的IP查询该目的IP对应的所有预设登陆路径,并将查询到的每一预设登陆路径分别与该网络访问请求解析出的登陆路径进行比较,若一致,则认定为进行登陆操作。
[0040]可以理解地,无论用户是否成功登陆,只要进行登陆操作,均需记录成功登陆的网络访问请求的源IP、目的IP和用户信息,以便于后续提醒相关用户,以保护用户信息安全。
[0041]S14:统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断登陆次数是否达到登陆次数阈值,若是,则认定网络访问请求为撞库攻击行为;若否,则认定网络访问请求为正常访问行为。可以理解地,用户可根据其配置策略,配置登陆次数阈值或者采用系统默认的登陆次数阈值。
[0042]具体地,若在预设时间(如Imin)内,利用相同的源IP地址(如192.168.1.9)访问同一目的IP的服务器(如http://www.taoba0.com/)的多个不同网络访问请求中的用户信息不同的登陆次数(如5次),其用户信息可显示其用户分别为usenameA、usenameB,usenameC……,判断该登陆次数是否达到登陆次数阈值,若是则认为进行撞库攻击行为,若否,则认定为正常访问信息。
[0043]S15:若网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。可以理解地,当存在撞库攻击行为时,系统及时通知管理员该撞库攻击行为,提醒管理员对攻击源进行检查,以查看是否存在其他攻击行为,同时告知管理员本次攻击中已成功登陆的用户信息,其用户信息可能已被泄露,并及时通知相关用户修改密码,以保障用户信息安全。
[0044]可以理解地,采用本发明所提供的检测撞库行为的方法,可实现对撞库行为进行有效监测,并可得知已被撞库的用户信息,从而采取进一步的防御方法,如封锁攻击源IP的访问权限,使攻击者无法通过源IP继续进行访问,使攻击者目的不能达成;或通知已被撞库的用户修改用户信息的密码,防止被攻击者利用,从而提高用户信息的安全性。
[0045]实施例2
[0046]如图2所示,本发明提供另一种检测撞库攻击方法,该方法包括如下步骤:
[0047]S21:服务器接收用户的网络访问请求并解析,以确定网络访问请求的源IP、目的IP、登陆属性信息及用户信息,用户信息包括用户帐号和密码,登陆属性信息为网络访问请求解析出的登陆路径的格式。具体地,网络访问请求包括HTTP请求或HTTPS请求,如果是HTTPS请求,则客户需在系统中预设HTTPS请求的解密证书,以支持HTTPS解密操作。
[0048]S22:系统默认内置识别登陆路径的预设格式和登陆次数阈值。具体地,用户无需自行配置好预设登陆路径,而是采用系统默认内置的识别登陆路径的预设格式,并将系统默认内置的识别登陆路径的预设格式与该网络访问请求解析出的访问路径、访问内容进行比较,若与系统内置的识别登陆路径的预设格式(即其登陆识别框架)相匹配,则认定为进行登陆操作一致,则认定为该网络访问请求为登陆操作。具体地,登陆路径的预设格式包括登陆框架属性,该登陆框架属性可以包括但不限于用户帐号输入框(即usename输入框)、密码输入框(即password输入框)、验证码输入框(即check code输入框)以及登陆按钮(即login按钮)等属性。
[0049]可以理解地,针对同一目的IP的服务器,用户可配置多条预设登陆路径,在检测过程中,分别检测每一条预设登陆路径是否存在撞库攻击行为。即将采用系统默认内置的识别登陆路径的预设格式,结合网络访问请求中解析出的登陆路径的格式确定是否进行登陆操作。登陆次数阈值,用于统计在预设时间内,相同源IP而用户信息不同的用户,通过同一登陆路径对目的IP的服务器的登陆次数达到一定值则认定为撞库攻击行为,该一定值为登陆次数阈值。可以理解地,还可配置登陆成功或失败的响应特征,以便于检测是否成功登陆。
[0050]S23:根据网络访问请求的目的IP和登陆属性信息、以及登陆路径的预设格式识别该网络访问请求是否进行登陆操作,若是,则记录网络访问请求的源IP、目的IP及用户信息。具体地,可先根据目的IP查询该目的IP对应系统默认内置的识别登陆路径的预设格式,与该网络访问请求解析出的访问路径、访问内容进行比较,若与系统内置的识别登陆路径的预设格式(即其登陆识别框架)相匹配,则认定为进行登陆操作。可以理解地,无论用户是否成功登陆,只要进行登陆操作,均需记录成功登陆的网络访问请求的源IP、目的IP和用户信息,以便于后续提醒相关用户,以保护用户信息安全。
[0051]S24:统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断登陆次数是否达到登陆次数阈值,若是,则认定网络访问请求为撞库攻击行为;若否,则认定网络访问请求为正常访问行为。可以理解地,用户可根据其配置策略,配置登陆次数阈值或者采用系统默认的登陆次数阈值。
[0052]S25:若网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。可以理解地,当存在撞库攻击行为时,系统及时通知管理员该撞库攻击行为,提醒管理员对攻击源进行检查,以查看是否存在其他攻击行为,同时告知管理员本次攻击中已成功登陆的用户信息,其用户信息可能已被泄露,并及时通知相关用户修改密码,以保障用户信息安全。
[0053]本发明所提供的检测撞库攻击方法,通过对网络访问请求进行解析,并配置预设登陆路径和登陆次数阈值,或者根据系统默认内置识别登陆路径的预设格式和登陆次数阈值,识别网络访问请求是否进行登陆操作,根据登陆操作确定是否为撞库攻击行为,以实现对撞库攻击行为进行监测,以提高用户信息的安全性,避免用户信息泄露引发的不良后果。
[0054]实施例3
[0055]如图3所示,本发明还提供一种检测撞库攻击系统,该系统包括:
[0056]协议解析模块10,用于接收用户的网络访问请求并解析,以确定网络访问请求的源IP、目的IP、登陆属性信息及用户信息,用户信息包括用户帐号和密码。具体地,网络访问请求包括HTTP请求或HTTPS请求,如果是HTTPS请求,则客户需在系统中预设HTTPS请求的解密证书,以支持HTTPS解密操作。可以理解地,登陆属性信息可以为登陆路径,也可以为登陆路径的格式。
[0057]用户配置模块20,可以用于配置预设登陆路径和登陆次数阈值;也可以通过系统默认内置识别登陆路径的预设格式和登陆次数阈值。具体地,可通过用户配置模块20根据用户配置策略自行配置好预设登陆路径,以供后续监测过程中直接监控该预设登陆路径的登陆操作,即网络访问请求中的登陆属性信息为登陆路径时,结合预设登陆路径即可监控该预设登陆路径的登陆操作。可以理解地,系统也可不直接配置预设登陆路径,而采用系统默认内置的识别登陆路径的预设格式,将该登陆路径的预设格式与该网络访问请求解析出的访问路径、访问内容进行比较,若与系统内置的识别登陆路径的预设格式(即其登陆识别框架)相匹配,则认定为进行登陆操作。具体地,登陆路径的预设格式包括登陆框架属性,该登陆框架属性可以包括但不限于用户帐号输入框(即usename输入框)、密码输入框(即password输入框)、验证码输入框(即check code输入框)以及登陆按钮(即login按钮)等特性。可以理解地,还可配置登陆成功或失败的响应特征,以便于检测是否成功登陆。
[005