8]可以理解地,针对同一目的IP的服务器,用户可配置多条预设登陆路径,在检测过程中,分别检测每一条预设登陆路径是否存在撞库攻击行为。登陆次数阈值,用于统计在预设时间内,相同源IP而用户信息不同的用户,通过同一登陆路径对目的IP的服务器的登陆次数达到一定值则认定为撞库攻击行为,该一定值为登陆次数阈值。
[0059]登陆识别模块30,用于根据网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别网络访问请求是否进行登陆操作,若是,则记录网络访问请求的源IP、目的IP及用户信息。
[0060]具体地,登陆识别模块30可采用如下两种方式识别登陆操作:在网络访问请求解析出的登陆属性信息为登陆路径时,将网络访问请求的目的IP和登陆路径与预设登陆路径进行匹配,若一致,则认定为进行登陆操作。具体地,可先根据目的IP查询该目的IP对应的所有预设登陆路径,并将查询到的每一预设登陆路径分别与该网络访问请求解析出的登陆路径进行匹配,若一致,则认定为进行登陆操作。在网络访问请求解析出的登陆属性信息为登陆路径的格式时,将网络访问请求的目的IP和登陆路径的格式与登陆路径的预设格式进行匹配,若一致,则认定为进行登陆操作,具体地,可先根据目的IP查询该目的IP对应系统默认内置的识别登陆路径的预设格式,与该网络访问请求解析出的访问路径、访问内容进行比较,若与系统内置的识别登陆路径的预设格式(即其登陆识别框架)相匹配,则认定为进行登陆操作。可以理解地,无论用户是否成功登陆,只要进行登陆操作,均需记录成功登陆的网络访问请求的源IP、目的IP和用户信息,以便于后续提醒相关用户,以保护信息安全。
[0061]攻击检测模块40,用于统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断登陆次数是否达到登陆次数阈值,若是,则认定网络访问请求为撞库攻击行为;若否,则认定网络访问请求为正常访问行为。可以理解地,采用该方法可检测出撞库攻击行为,以进一步保护用户信息安全,避免信息泄露。
[0062]告警模块50,用于在网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。可以理解地,当存在撞库攻击行为时,系统及时通知管理员该撞库攻击行为,提醒管理员对攻击源进行检查,以查看是否存在其他攻击行为,同时告知管理员本次攻击中已成功登陆的用户信息,其用户信息可能已被泄露,并及时通知相关用户修改密码,以保障用户信息安全。
[0063]本发明所提供的检测撞库行为系统,可实现对撞库行为进行有效监测,并可得知已被撞库的用户信息,从而采取进一步的防御方法,如封锁攻击源IP的访问权限,使攻击者无法通过源IP继续进行访问,使攻击者目的不能达成;或通知已被撞库的用户修改用户信息的密码,防止被攻击者利用,从而提高用户信息的安全性,避免用户信息泄露引发的不良后果。
[0064]本发明是通过几个具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换和等同替代。另外,针对特定情形或具体情况,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
【主权项】
1.一种检测撞库攻击方法,其特征在于:包括如下步骤: Si:接收用户的网络访问请求并解析,以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息,所述用户信息包括用户帐号和密码; 52:配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值; 53:根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作,若是,则记录所述网络访问请求的源IP、目的IP及用户信息; S4:统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断所述登陆次数是否达到登陆次数阈值,若是,则认定所述网络访问请求为撞库攻击行为;若否,则认定所述网络访问请求为正常访问行为。
2.根据权利要求1所述的检测撞库攻击方法,其特征在于:还包括步骤S5:若所述网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。
3.根据权利要求1所述的检测撞库攻击方法,其特征在于:所述网络访问请求包括HTTP请求或HTTPS请求,所述步骤SI中根据预设的解密证书对所述HTTPS请求进行解析。
4.根据权利要求1所述的检测撞库攻击方法,其特征在于:所述步骤S3中识别所述网络访问请求是否进行登陆操作包括:将所述网络访问请求的目的IP和登陆属性信息与预设登陆路径进行匹配,若一致则认定为进行登陆操作;或者 将所述网络访问请求的目的IP和登陆属性信息与登陆路径的预设格式进行匹配,若一致则认定为进行登陆操作。
5.根据权利要求1所述的检测撞库攻击方法,其特征在于,所述登陆路径的预设格式包括登陆框架属性,所述登陆框架属性包括用户帐号输入框、密码输入框、验证码输入框以及登陆按钮。
6.一种检测撞库攻击系统,其特征在于:包括如下步骤: 协议解析模块(10),用于接收用户的网络访问请求并解析,以确定所述网络访问请求的源IP、目的IP、登陆属性信息及用户信息,所述用户信息包括用户帐号和密码; 用户配置模块(20),用于配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值; 登陆识别模块(30),用于根据所述网络访问请求的目的IP和登陆属性信息、以及预设登陆路径或登陆路径的预设格式识别所述网络访问请求是否进行登陆操作,若是,则记录所述网络访问请求的源IP、目的IP及用户信息; 攻击检测模块(40),用于统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断所述登陆次数是否达到登陆次数阈值,若是,则认定所述网络访问请求为撞库攻击行为;若否,则认定所述网络访问请求为正常访问行为。
7.根据权利要求6所述的检测撞库攻击系统,其特征在于:还包括告警模块(50),用于在所述网络访问请求为撞库攻击行为,则统计成功登陆的用户信息,并向管理员和/或已成功登陆的用户信息对应的用户发出告警信息。
8.根据权利要求6所述的检测撞库攻击系统,其特征在于:所述网络访问请求包括HTTP请求或HTTPS请求,所述协议解析模块(10)根据预设的解密证书对所述HTTPS请求进行解析。
9.根据权利要求6所述的检测撞库攻击系统,其特征在于:所述登陆识别模块(30)用于将所述网络访问请求的目的IP和登陆属性信息与预设登陆路径进行匹配,若一致则认定为进行登陆操作;或者 用于将所述网络访问请求的目的IP和登陆属性信息与登陆路径的预设格式进行匹配,若一致则认定为进行登陆操作。
10.根据权利要求6所述的检测撞库攻击系统,其特征在于:所述登陆路径的预设格式包括登陆框架属性,所述登陆框架属性包括用户帐号输入框、密码输入框、验证码输入框以及登陆按钮。
【专利摘要】本发明公开一种检测撞库攻击方法及系统,该方法包括如下步骤:接收用户的网络访问请求并解析,以确定其源IP、目的IP、登陆属性信息及用户信息;配置预设登陆路径和登陆次数阈值,或系统默认内置识别登陆路径的预设格式和登陆次数阈值;根据目的IP和登陆属性信息、预设登陆路径或登陆路径的预设格式识别是否进行登陆操作,若是,则记录其源IP、目的IP及用户信息;统计预设时间内同一目的IP的服务器接收到的源IP相同而用户信息不同的登陆次数,判断登陆次数是否达到登陆次数阈值,若是,则认定其为撞库攻击行为;若否,则认定其为正常访问行为。本发明可实现对撞库攻击行为进行监测,以提高用户信息的安全性,避免用户信息泄露引发的不良后果。
【IPC分类】H04L9-32, H04L29-06
【公开号】CN104811449
【申请号】CN201510191691
【发明人】曾加良
【申请人】深信服网络科技(深圳)有限公司
【公开日】2015年7月29日
【申请日】2015年4月21日