CN107800724A - 云主机防破解方法、***及处理设备 - Google Patents
云主机防破解方法、***及处理设备 Download PDFInfo
- Publication number
- CN107800724A CN107800724A CN201711296214.8A CN201711296214A CN107800724A CN 107800724 A CN107800724 A CN 107800724A CN 201711296214 A CN201711296214 A CN 201711296214A CN 107800724 A CN107800724 A CN 107800724A
- Authority
- CN
- China
- Prior art keywords
- attack
- shielding
- suspicious
- time
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提出一种云主机防破解方法、***及终端设备,所述方法包括:定位云主机的***日志位置并实时获取***日志;截取***日志中登录失败的IP,并标记为可疑IP;跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP;以及在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,阻断所述攻击IP的登录。根据本发明的云主机防破解的方法,能够在占用很少的***资源的情况下,及时主动防御暴力破解。
Description
技术领域
本发明涉及计算机处理技术领域,尤其涉及一种云主机防破解方法、***及处理设备。
背景技术
云计算***中存在海量的云主机资源。这些云主机相比较传统的物理主机而言是新兴产物,缺乏***的安全管理***,极易受到黑客的攻击。最常见的攻击手段是暴力破解,即黑客通过软件不断更换密码尝试登录云主机,直至登录成功。一旦登录成功,黑客可以对云主机做破坏,也可以利用大量云主机一起对外发起攻击,造成巨大危害。
暴力破解攻击往往表现为一个网络之间互连的协议(IP)地址多次尝试登录云主机,且连续多次登录失败。目前,主流操作***,如Windows***和Linux***,都会记录相应的失败日志。用户可以通过主动查看这些日志,判断哪些IP为可疑IP,进而设置防火墙规则,阻断这些IP地址的登录请求。
但是,这种方法对用户的专业能力要求较高,并不适合作为一个广泛的解决方案。
发明内容
本发明实施例提供一种云主机防破解方法、***及处理设备,以解决或缓解现有技术中的一个或多个技术问题,至少提供一种有益的选择。
第一方面,本发明实施例提供了一种云主机防破解的方法,包括:
定位云主机的***日志位置并实时获取***日志;
截取***日志中登录失败的IP,并标记为可疑IP;
跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP;以及
在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
结合第一方面,本发明在第一方面的第一种实施方式中,所述方法还包括:
预先设定所述连续登录失败次数的阈值;
所述根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP包括:
基于可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。
结合第一方面,本发明在第一方面的第二实施方式中,到达所述屏蔽时间后,在所述防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表。
结合第一方面的第二种实施方式,所述方法还包括:
跟踪所述观察列表中的所述攻击IP,并判断其登录状态;以及
基于所述观察列表中的所述攻击IP再次登录失败,跳转进行:
在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
优选地,跳转进行增加屏蔽规则并设置屏蔽时间时,所设置的屏蔽时间为前一次设置的屏蔽时间的两倍。
结合第一方面的第二种实施方式,所述方法还包括:
基于所述攻击IP登录成功,向云端发送报警信号。
第二方面,本发明实施例提供了一种云主机防破解的***,包括:
日志获取单元,配置用于云主机的定位***日志位置,并实时获取***日志;
可疑IP标记单元,配置用于截取***日志中登录失败的IP,并标记为可疑IP;
攻击IP确定单元,配置用于跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP;以及
攻击IP屏蔽单元,配置用于在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
结合第二方面,本发明在第二方面的第一种实施方式中,所述***中预先设定有所述连续登录失败次数的阈值;
所述攻击IP确定单元,还配置用于跟踪所述可疑IP,基于所述可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。
结合第二方面,本发明在第二方面的第二种实施方式中,所述***还包括:
攻击IP解除单元,配置用于到达所述屏蔽时间后,在防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表。
结合第二方面的第二种实施方式,所述***还包括:
状态跟踪及判断单元,配置用于跟踪所述观察列表中的所述攻击IP,并判断其登录状态;以及
返回单元,配置用于基于所述观察列表中的所述攻击IP再次登录失败,跳转至所述攻击IP屏蔽单元并进行:
在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
优选地,当跳转至所述攻击IP屏蔽单元时,所设置的屏蔽时间为前一次设置的屏蔽时间的两倍。
结合第二方面的第二种实施方式,所述***还包括:
报警信号发送单元,配置用于基于所述观察列表中的所述攻击IP登录成功,向云端发送报警信号。
第三方面,本发明实施例提供了一种云主机防破解的终端设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
通信接口,配置为在存储器和处理器之间进行通信;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述任一所述的方法。
所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。
上述技术方案中的一个技术方案具有如下优点或有益效果:能够在占用很少的***资源的情况下,及时主动防御暴力破解。
上述概述仅仅是为了说明书的目的,并不意图以任何方式进行限制。除上述描述的示意性的方面、实施方式和特征之外,通过参见附图和以下的详细描述,本发明进一步的方面、实施方式和特征将会是容易明白的。
附图说明
在附图中,除非另外规定,否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解,这些附图仅描绘了根据本发明公开的一些实施方式,而不应将其视为是对本发明范围的限制。
图1示出了根据本发明一个实施例的云主机防破解的方法100的流程图;
图2示出了根据本发明另一个实施例的云主机防破解的方法200的流程图;
图3示出了根据本发明另一个实施例的云主机防破解的方法300的流程图;
图4示出了根据本发明另一个实施例的云主机防破解的方法400的流程图;
图5示出了根据本发明一个实施例的云主机防破解的***500的结构框图;
图6示出了根据本发明另一个实施例的云主机防破解的***600的结构框图;
图7示出了根据本发明另一个实施例的云主机防破解的***700的结构框图;
图8示出了根据本发明另一个实施例的云主机防破解的***800的结构框图;以及
图9示出了根据本发明的终端设备900的示意图。
具体实施方式
在下文中,仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样,在不脱离本发明的精神或范围的情况下,可通过各种不同方式修改所描述的实施例。因此,附图和描述被认为本质上是示例性的而非限制性的。
参见图1所示,本发明第一方面,在本发明一个示例中提供了一种云主机防破解的方法100。
云主机防破解的方法100,具体包括以下步骤S101-S104。
日志获取步骤S101,定位云主机的***日志位置并实时获取***日志。
在一种实施例中,具体地,云主机的操作***大多数都提供日志功能,***日志可以记录所有的登录事件。首先,可以先将***初始化操作,确定此时防火墙处于正常的工作状态,定位***日志,并实时获取***日志。
可疑IP标记步骤S102,截取***日志中登录失败的IP,并标记为可疑IP。
在一种实施例中,具体地,分析出登录日志中登录失败的IP,并将登录失败的IP标记为可疑IP。
攻击IP确定步骤S103,跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP。
在一种实施例中,具体地,对每一个可疑IP,从其第一次登录失败的时间开始计时,在接下来的一定时间内,例如5分钟,如果该可以IP连续尝试登录,并且都登录失败,那么判定该IP正在进行攻击,可以将该IP判定为攻击IP,并列入屏蔽列表。
更具体地,预先设定所述连续登录失败次数的阈值,基于可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。例如阈值设定为5次,那么,如果可疑IP连续5次登录失败,可以判定可疑IP为攻击IP。
攻击IP屏蔽步骤S104,在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽掉所述攻击IP的登录。
在一种实施例中,具体地,一般操作***提供防火墙基础设置,例如Linux***的
Iptables和Windows的防火墙。可以通过在防火墙中设置相应的屏蔽规则,对屏蔽列表中的
攻击IP进行屏蔽。并且可以设置屏蔽时间,例如24小时,在设置的屏蔽时间内,屏蔽规则可
以屏蔽掉攻击IP的登录。
根据步骤S101至步骤S104的云主机防破解的方法100,云主机具有完全的主动防护能力,能够在只利用防火墙设置的情况下,针对攻击IP灵活修改屏蔽规则,不仅占用很少的***资源,而且能够有效防御暴力破解的攻击,适应不同场景。
参见图2所示,在本发明的另一实施例中提供了一种云主机防破解的方法200。如图2所示,方法200与方法100的区别在于,方法200在步骤S104后提供了攻击IP解除步骤S105。
攻击IP解除步骤S105,到达所述屏蔽时间后,在所述防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表。
在一种实施例中,具体地,屏蔽时间经过后,可以将屏蔽规则从防火墙设置中删除。此时,可以解除对攻击IP的屏蔽,并将解除屏蔽后的攻击IP列入观察列表。之后,观察列表中的攻击IP可以再次尝试登录云主机。
参见图3所示,在本发明的另一实施例中提供了一种云主机防破解的方法300。如图3所示,方法300与方法200的区别在于,方法300在步骤S105后提供了步骤S106-S107。
状态跟踪及判断步骤S106,跟踪所述观察列表中的所述攻击IP,并判断其登录状态。
返回步骤S107,基于所述观察列表中的所述攻击IP再次登录失败,跳转进行:
在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
在一种实施例中,具体地,处于观察列表中的攻击IP,即解除屏蔽后的攻击IP,再次登录失败,那么,则再次将此攻击IP屏蔽。此时,可以跳转回到S104,在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
优选地,当跳转到步骤S104时,可以对攻击IP再次屏蔽,此时,所设置的屏蔽时间可以为前一次设置的屏蔽时间的两倍,但并不仅限于两倍。
参见图4所示,在本发明的另一实施例中提供了一种云主机防破解的方法400。如图4所示,方法400与方法300的区别在于,方法400在步骤S106后还提供了步骤S108。
报警信号发送步骤S108,基于所述观察列表中的所述攻击IP登录成功,向云端发送报警信号。
在一种实施例中,具体地,如果处在观察列表中的攻击IP登录成功,可能是用户登录成功,也有可能是攻击IP经过尝试破解了云主机密码。此时,可以向云端发送信息,由云端向用户提供警示信息。发送报警信号能够有效提示风险,在云主机被破解的情况下能及时提醒用户,降低损失。
参见图5所示,本发明第二方面,在本发明一个实施例中提供了一种云主机防破解的***500,包括日志获取单元501、可疑IP标记单元502、攻击IP确定单元503和攻击IP屏蔽单元504。
日志获取单元501,配置用于定位云主机的***日志位置,并实时获取***日志。
在一种实施例中,具体地,云主机的操作***大多数都提供日志功能,***日志可以记录所有的登录事件。首先,可以通过定位单元先将***初始化操作,确定此时防火墙处于正常的工作状态,并定位***日志,并实时获取***日志。
可疑IP标记单元502,配置用于截取***日志中登录失败的IP,并标记为可疑IP。
在一种实施例中,具体地,实时获取***日志后,可以截取登录失败的IP,并将登录失败的IP标记为可疑IP。
攻击IP确定单元503,配置用于跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP。
在一种实施例中,具体地,判定单元可以对每一个可疑IP,从其第一次登录失败的时间开始计时,在接下来的一定时间内,例如5分钟,如果该可以IP连续尝试登录,并且都登录失败,那么判定该IP正在进行攻击,可以将该IP判定为攻击IP,并列入屏蔽列表。
更具体地,预先设定所述连续登录失败次数的阈值,判定单元基于可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。例如阈值设定为5次,那么,如果可疑IP连续5次登录失败,可以判定可疑IP为攻击IP。
攻击IP屏蔽单元504,配置用于在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
在一种实施例中,具体地,禁封单元可以设置相应的屏蔽规则,对屏蔽列表中的攻击IP进行屏蔽。并且可以设置屏蔽时间,例如24小时,在设置的屏蔽时间内,屏蔽规则可以屏蔽攻击IP的登录。
根据上述的云主机防破解的***500,云主机具有完全的主动防护能力,能够在只利用防火墙设置的情况下,针对攻击IP灵活修改屏蔽规则,不仅占用很少的***资源,而且能够有效防御暴力破解的攻击,适应不同场景。
参见图6所示,本发明第二方面,在本发明另一个实施例中提供了一种云主机防破解的***600,包括日志获取单元501、可疑IP标记单元502、攻击IP确定单元503和攻击IP屏蔽单元504和攻击IP解除单元505。
其中,日志获取单元501、可疑IP标记单元502、攻击IP确定单元503和攻击IP屏蔽单元504的功能和实现方式已在上文描述,在这不再赘述。
攻击IP解除单元505,配置用于到达所述屏蔽时间后,在防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表。
在一种实施例中,具体地,屏蔽时间经过后,解封单元可以将屏蔽规则从防火墙设置中删除。此时,解封单元撤销对攻击IP的屏蔽,并将解除屏蔽后的攻击IP列入观察列表。此时,观察列表中的攻击IP可以再次尝试登录云主机。
参见图7所示,本发明第二方面,在本发明另一个实施例中提供了一种云主机防破解的***700,包括日志获取单元501、可疑IP标记单元502、攻击IP确定单元503和攻击IP屏蔽单元504、攻击IP解除单元505、状态跟踪及判断单元506和返回单元507。
其中,日志获取单元501、可疑IP标记单元502、攻击IP确定单元503和攻击IP屏蔽单元504和攻击IP解除单元505的功能和实现方式已在上文描述,在这不再赘述。
状态跟踪及判断单元506,配置用于跟踪解除屏蔽后的所述攻击IP,并判断其登录状态。
返回单元507,配置用于基于所述观察列表中的所述攻击IP再次登录失败,跳转回到攻击IP屏蔽单元504。
在一种实施例中,具体地,处于观察列表中的攻击IP,即解除屏蔽后的攻击IP,再次登录失败,那么,则再次将此攻击IP屏蔽。此时,可以跳转至攻击IP屏蔽单元,并再次进行如下操作:在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
优选地,跳转至攻击IP屏蔽单元,再次进行对攻击IP的屏蔽操作时,所设置的屏蔽时间可以为前一次设置的所屏蔽时间的两倍。
参见图8所示,本发明第二方面,在本发明另一个实施例中提供了一种云主机防破解的***800,包括日志获取单元501、可疑IP标记单元502、攻击IP确定单元503和攻击IP屏蔽单元504、攻击IP解除单元505、状态跟踪及判断单元506、返回单元507和报警信号发送单元508。
其中,日志获取单元501、可疑IP标记单元502、攻击IP确定单元503和攻击IP屏蔽单元504、攻击IP解除单元505、状态跟踪及判断单元506和返回单元507的功能和实现方式已在上文描述,在这不再赘述。
报警信号发送单元508,配置用于基于所述观察列表中的所述攻击IP登录成功,向云端发送报警信号。
在一种实施例中,具体地,如果解除屏蔽后的攻击IP登录成功,可能是用户登录成功,也有可能是攻击IP经过尝试破解了云主机密码。此时,报警单元向云端发送信息,由云端向用户提供警示信息。报警单元能够有效提示风险,在云主机被破解的情况下能及时提醒用户,降低损失。
参见图9所示,本发明的第三方面,在本发明一个实施例中提供了一种多轮状态追踪的终端设备900。所述终端设备包括一个或多个处理器901;存储器902,用于存储一个或多个程序。当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述方法100至方法400中任一所述的方法。
其中,存储器902和处理器901数量可以为一个或多个。
该设备还包括:
通信接口903,配置为使处理器和存储器与外部设备进行通信。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
如果存储器、处理器和通信接口独立实现,则存储器、处理器和通信接口可以通过总线相互连接并完成相互间的通信。所述总线可以是工业标准体系结构(ISA,IndustryStandard Architecture)总线、外部设备互连(PCI,Peripheral Component)总线或扩展工业标准体系结构(EISA,Extended Industry Standard Component)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本说明书的描述中,参见术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行***、装置或设备(如基于计算机的***、包括处理器的***或其他可以从指令执行***、装置或设备取指令并执行指令的***)使用,或结合这些指令执行***、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行***、装置或设备或结合这些指令执行***、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中。所述存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到其各种变化或替换,这些都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (13)
1.一种云主机防破解的方法,其特征在于,所述方法包括:
定位云主机的***日志位置并实时获取***日志;
截取***日志中登录失败的IP,并标记为可疑IP;
跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP;以及
在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
预先设定所述连续登录失败次数的阈值;
所述根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP包括:
基于可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
到达所述屏蔽时间后,在所述防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
跟踪所述观察列表中的所述攻击IP,并判断其登录状态;以及
基于所述观察列表中的所述攻击IP再次登录失败,跳转进行:
在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
5.根据权利要求4所述的方法,其特征在于,当跳转进行增加屏蔽规则并设置屏蔽时间时,所设置的屏蔽时间为前一次设置的屏蔽时间的两倍。
6.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
基于所述观察列表中的所述攻击IP登录成功,向云端发送报警信号。
7.根一种云主机防破解的***,其特征在于,所述***包括:
日志获取单元,配置用于定位云主机的***日志位置,并实时获取***日志;
可疑IP标记单元,配置用于截取***日志中登录失败的IP,并标记为可疑IP;
攻击IP确定单元,配置用于跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP;以及
攻击IP屏蔽单元,配置用于在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
8.根据权利要求7所述的***,其特征在于,所述***中预先设定有所述连续登录失败次数的阈值;
所述攻击IP确定单元,还配置用于跟踪所述可疑IP,基于所述可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。
9.根据权利要求7所述的***,其特征在于,所述***还包括:
攻击IP解除单元,配置用于到达所述屏蔽时间后,在防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表。
10.根据权利要求9所述的***,其特征在于,所述***还包括:
状态跟踪及判断单元,配置用于跟踪所述观察列表中的所述攻击IP,并判断其登录状态;以及
返回单元,配置用于基于所述观察列表中的所述攻击IP再次登录失败,跳转至所述攻击IP屏蔽单元并进行:
在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录。
11.根据权利要求10所述的***,其特征在于,当跳转至所述攻击IP屏蔽单元时,所设置的屏蔽时间为前一次设置的屏蔽时间的两倍。
12.根据权利要求10或11所述的***,其特征在于,所述***还包括:
报警信号发送单元,配置用于基于所述观察列表中的所述攻击IP登录成功,向云端发送报警信号。
13.一种云主机防破解的终端设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
通信接口,配置为在存储器和处理器之间进行通信;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711296214.8A CN107800724A (zh) | 2017-12-08 | 2017-12-08 | 云主机防破解方法、***及处理设备 |
| US16/129,778 US10944718B2 (en) | 2017-12-08 | 2018-09-12 | Anti-cracking method and system for a cloud host, as well as terminal device |
| US17/165,737 US11470043B2 (en) | 2017-12-08 | 2021-02-02 | Anti-cracking method and system for a cloud host, as well as terminal device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711296214.8A CN107800724A (zh) | 2017-12-08 | 2017-12-08 | 云主机防破解方法、***及处理设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107800724A true CN107800724A (zh) | 2018-03-13 |
Family
ID=61538252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711296214.8A Pending CN107800724A (zh) | 2017-12-08 | 2017-12-08 | 云主机防破解方法、***及处理设备 |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US10944718B2 (zh) |
| CN (1) | CN107800724A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667846A (zh) * | 2018-05-18 | 2018-10-16 | 新华三信息安全技术有限公司 | 一种处理登录请求的方法和装置 |
| CN108965316A (zh) * | 2018-08-01 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 基于驱动层报文检测技术的防***方法和*** |
| CN109862029A (zh) * | 2019-03-01 | 2019-06-07 | 论客科技(广州)有限公司 | 一种使用大数据分析的应对暴力破解行为的方法及*** |
| CN109981647A (zh) * | 2019-03-27 | 2019-07-05 | 北京百度网讯科技有限公司 | 用于检测暴力破解的方法和装置 |
| CN111464502A (zh) * | 2020-03-10 | 2020-07-28 | 湖南文理学院 | 一种基于大数据平台的网络安全防护方法及*** |
| CN111654499A (zh) * | 2020-06-03 | 2020-09-11 | 哈尔滨工业大学(威海) | 一种基于协议栈的暴破攻击识别方法和装置 |
| CN111800432A (zh) * | 2020-07-20 | 2020-10-20 | 博为科技有限公司 | 一种基于日志分析的防暴力破解方法及装置 |
| CN113110980A (zh) * | 2020-01-13 | 2021-07-13 | 奇安信科技集团股份有限公司 | 暴力破解行为的识别与拦截方法及装置 |
| CN113489726A (zh) * | 2021-07-06 | 2021-10-08 | 中国联合网络通信集团有限公司 | 流量限制方法及设备 |
| CN114124525A (zh) * | 2021-11-22 | 2022-03-01 | 秦皇岛泰和安科技有限公司 | 恶意ip封禁方法、装置、设备及计算机可读存储介质 |
| CN116633681A (zh) * | 2023-07-13 | 2023-08-22 | 北京立思辰安科技术有限公司 | 一种阻断防火墙网络通信的方法、电子设备及存储介质 |
| CN117118753A (zh) * | 2023-10-23 | 2023-11-24 | 深圳市科力锐科技有限公司 | 网络攻击的防护方法、装置、设备及存储介质 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111371774A (zh) * | 2020-02-28 | 2020-07-03 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
| IT202000006265A1 (it) * | 2020-03-25 | 2021-09-25 | Cleafy Spa | Metodo per monitorare e proteggere l’accesso ad un servizio online |
| IT202000006343A1 (it) | 2020-03-25 | 2021-09-25 | Cleafy Spa | Metodo per monitorare e proteggere l’accesso ad un servizio online |
| US20230199022A1 (en) * | 2021-12-16 | 2023-06-22 | Paypal, Inc. | Security engine audit rules to prevent incorrect network address blocking |
| CN114793168B (zh) * | 2022-03-15 | 2024-04-23 | 上海聚水潭网络科技有限公司 | 基于登录日志和ip的失陷用户溯源方法、***及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| US20090063371A1 (en) * | 2007-08-30 | 2009-03-05 | Fortinet, Inc. | Reconfigurable spam detection system based on global intelligence |
| CN101494639A (zh) * | 2008-01-25 | 2009-07-29 | 华为技术有限公司 | 一种分组通信***中防止攻击的方法及装置 |
| CN105704146A (zh) * | 2016-03-18 | 2016-06-22 | 四川长虹电器股份有限公司 | Sql防注入的***与方法 |
| CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102957706A (zh) | 2012-11-14 | 2013-03-06 | 苏州薇思雨软件科技有限公司 | 一种数据服务器的安全防破解方法 |
| WO2015001970A1 (ja) * | 2013-07-05 | 2015-01-08 | 日本電信電話株式会社 | 不正アクセス検知システム及び不正アクセス検知方法 |
| US10063654B2 (en) * | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
| CN106161395B (zh) | 2015-04-20 | 2020-03-06 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及*** |
| US10630708B2 (en) * | 2016-01-08 | 2020-04-21 | Cyber Detection Services Inc | Embedded device and method of processing network communication data |
| CN107070940B (zh) | 2017-05-03 | 2020-02-21 | 微梦创科网络科技(中国)有限公司 | 一种从流式登录日志中判断恶意登录ip地址的方法及装置 |
-
2017
- 2017-12-08 CN CN201711296214.8A patent/CN107800724A/zh active Pending
-
2018
- 2018-09-12 US US16/129,778 patent/US10944718B2/en active Active
-
2021
- 2021-02-02 US US17/165,737 patent/US11470043B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090063371A1 (en) * | 2007-08-30 | 2009-03-05 | Fortinet, Inc. | Reconfigurable spam detection system based on global intelligence |
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN101494639A (zh) * | 2008-01-25 | 2009-07-29 | 华为技术有限公司 | 一种分组通信***中防止攻击的方法及装置 |
| CN105704146A (zh) * | 2016-03-18 | 2016-06-22 | 四川长虹电器股份有限公司 | Sql防注入的***与方法 |
| CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667846A (zh) * | 2018-05-18 | 2018-10-16 | 新华三信息安全技术有限公司 | 一种处理登录请求的方法和装置 |
| CN108965316A (zh) * | 2018-08-01 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 基于驱动层报文检测技术的防***方法和*** |
| CN109862029A (zh) * | 2019-03-01 | 2019-06-07 | 论客科技(广州)有限公司 | 一种使用大数据分析的应对暴力破解行为的方法及*** |
| CN109981647B (zh) * | 2019-03-27 | 2021-07-06 | 北京百度网讯科技有限公司 | 用于检测暴力破解的方法和装置 |
| CN109981647A (zh) * | 2019-03-27 | 2019-07-05 | 北京百度网讯科技有限公司 | 用于检测暴力破解的方法和装置 |
| CN113110980B (zh) * | 2020-01-13 | 2024-06-11 | 奇安信科技集团股份有限公司 | 暴力破解行为的识别与拦截方法及装置 |
| CN113110980A (zh) * | 2020-01-13 | 2021-07-13 | 奇安信科技集团股份有限公司 | 暴力破解行为的识别与拦截方法及装置 |
| CN111464502A (zh) * | 2020-03-10 | 2020-07-28 | 湖南文理学院 | 一种基于大数据平台的网络安全防护方法及*** |
| CN111654499A (zh) * | 2020-06-03 | 2020-09-11 | 哈尔滨工业大学(威海) | 一种基于协议栈的暴破攻击识别方法和装置 |
| CN111800432A (zh) * | 2020-07-20 | 2020-10-20 | 博为科技有限公司 | 一种基于日志分析的防暴力破解方法及装置 |
| CN113489726A (zh) * | 2021-07-06 | 2021-10-08 | 中国联合网络通信集团有限公司 | 流量限制方法及设备 |
| CN113489726B (zh) * | 2021-07-06 | 2023-05-12 | 中国联合网络通信集团有限公司 | 流量限制方法及设备 |
| CN114124525A (zh) * | 2021-11-22 | 2022-03-01 | 秦皇岛泰和安科技有限公司 | 恶意ip封禁方法、装置、设备及计算机可读存储介质 |
| CN116633681A (zh) * | 2023-07-13 | 2023-08-22 | 北京立思辰安科技术有限公司 | 一种阻断防火墙网络通信的方法、电子设备及存储介质 |
| CN116633681B (zh) * | 2023-07-13 | 2024-02-20 | 北京立思辰安科技术有限公司 | 一种阻断防火墙网络通信的方法、电子设备及存储介质 |
| CN117118753A (zh) * | 2023-10-23 | 2023-11-24 | 深圳市科力锐科技有限公司 | 网络攻击的防护方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190182214A1 (en) | 2019-06-13 |
| US20210160216A1 (en) | 2021-05-27 |
| US10944718B2 (en) | 2021-03-09 |
| US11470043B2 (en) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107800724A (zh) | 云主机防破解方法、***及处理设备 | |
| US9392017B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| CN104023034B (zh) | 一种基于软件定义网络的安全防御***及防御方法 | |
| KR101535502B1 (ko) | 보안 내재형 가상 네트워크 제어 시스템 및 방법 | |
| CN106295355B (zh) | 一种面向Linux服务器的主动安全保障方法 | |
| US20150052520A1 (en) | Method and apparatus for virtual machine trust isolation in a cloud environment | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| CN102999716B (zh) | 虚拟机器监控***及方法 | |
| US20200014705A1 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US11863570B2 (en) | Blockchain-based network security system and processing method | |
| CN106682529A (zh) | 一种防篡改方法和防篡改终端 | |
| CN106203093A (zh) | 进程保护方法、装置以及终端 | |
| CN107563192A (zh) | 一种勒索软件的防护方法、装置、电子设备及存储介质 | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| TW201926107A (zh) | 計算機裝置及辨識其軟體容器行為是否異常的方法 | |
| CN108989294A (zh) | 一种准确识别网站访问的恶意用户的方法及*** | |
| CN108183901B (zh) | 基于fpga的主机安全防护物理卡及其数据处理方法 | |
| CN111262815A (zh) | 一种虚拟主机管理*** | |
| CN103430153B (zh) | 用于计算机安全的接种器和抗体 | |
| US10216924B1 (en) | System and methods for providing security to an endpoint device and for combating electromagnetic pulse (EMP) attacks | |
| EP2815350B1 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| CN110222508A (zh) | 勒索病毒防御方法、电子设备、***及介质 | |
| CN110213301A (zh) | 一种转移网络攻击面的方法、服务器和*** | |
| CN113518055B (zh) | 数据安全防护的处理方法及装置、存储介质、终端 | |
| TW202239178A (zh) | 偵測駭客攻擊的方法及電腦程式產品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180313 |