一種賬戶威脅識(shí)別和防御方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�����,特別涉及一種賬戶威脅識(shí)別和防御方法及系統(tǒng)�����。
【背景技術(shù)】
[0002]當(dāng)前網(wǎng)絡(luò)攻擊方法中��,基于系統(tǒng)帳戶的攻擊是一種常見的攻擊手段�����。用戶的業(yè)務(wù)系統(tǒng)往往存在多種管理上的問題���,如配置了弱口令、隨意明文保存或傳輸密碼����、公開場合口述相傳告知密碼等問題�。開發(fā)人員的安全意識(shí)不足�,導(dǎo)致系統(tǒng)存在注入漏洞,口令明文存儲(chǔ)漏洞等多種系統(tǒng)自身的安全隱患��。一旦攻擊者掌握了帳戶及口令��,其登錄過程也屬于理論上的正常行為�����,防火墻等產(chǎn)品也無能為力���。
[0003]在系統(tǒng)層面上����,口令被反復(fù)探測是無法避免的�����,尤其是在現(xiàn)在密碼字典在網(wǎng)上隨處可得�,用戶名可被輕松猜到的情況下����。一般只能通過管理手段強(qiáng)制解決�,但其成本極高����,而且攻擊者的長期潛伏不定期的攻擊而加大了檢測的難度。
[0004]而應(yīng)用級蜜罐可以從側(cè)面上吸引攻擊者的行為并留下操作證據(jù)����,對于利用系統(tǒng)漏洞的攻擊行為,可以達(dá)到非常有效的檢測能力�����。但登錄過程的帳戶暴力破解過程����,對于系統(tǒng)來說,由于其屬于正常的業(yè)務(wù)行為��,所以無法被蜜罐所識(shí)別為惡意行為�����。
【發(fā)明內(nèi)容】
[0005]基于上述問題��,本發(fā)明提出一種賬戶威脅識(shí)別和防御方法及系統(tǒng),在應(yīng)用級蜜罐基礎(chǔ)上�����,在客戶端與服務(wù)器之間的網(wǎng)絡(luò)流上檢測登錄過程的有效性�����,一經(jīng)發(fā)現(xiàn)攻擊行為��,即將流量轉(zhuǎn)入到蜜罐系統(tǒng)中����,從而完成攻擊者行為的采樣和取證。
[0006]一種賬戶威脅識(shí)別和防御方法����,包括:蜜罐賬戶信息建立過程及賬戶威脅識(shí)別過程;
所述蜜罐賬戶信息建立過程包括:
獲取待保護(hù)服務(wù)器的賬戶信息,所述賬戶信息包括賬戶名及對應(yīng)密碼�����;
修改所述賬戶名對應(yīng)的密碼為弱口令��,并保存到蜜罐中�;弱口令可保證攻擊者在進(jìn)行少量嘗試即可滿足登陸蜜罐的需要;
所述賬戶威脅識(shí)別過程包括:
步驟a���,接收客戶端的網(wǎng)絡(luò)數(shù)據(jù)包����,并判斷是否為建立初始連接請求����,如果是,則放行所述數(shù)據(jù)包到服務(wù)器�,否則執(zhí)行步驟b ;
步驟b,判斷所述數(shù)據(jù)包是否為系統(tǒng)登錄請求���,如果是��,則放行所述數(shù)據(jù)包到服務(wù)器�����,并標(biāo)記所述數(shù)據(jù)包的網(wǎng)絡(luò)連接����,否則執(zhí)行步驟c ;
步驟c�,判斷所述數(shù)據(jù)包的網(wǎng)絡(luò)連接是否為被標(biāo)記的網(wǎng)絡(luò)連接����,如果是����,則繼續(xù)執(zhí)行步驟d,否則放行所述數(shù)據(jù)包到服務(wù)器���;
步驟d�����,判斷所述數(shù)據(jù)包是否為服務(wù)器返回的登錄正確的信息��,如果是�,則放行所述數(shù)據(jù)包����,并取消所述數(shù)據(jù)包的網(wǎng)絡(luò)連接的標(biāo)記,否則執(zhí)行步驟e �;
步驟e,判斷所述數(shù)據(jù)包的網(wǎng)絡(luò)連接是否符合惡意登錄判定規(guī)則���,如果是����,則執(zhí)行步驟f���,否則放行所述數(shù)據(jù)包�;
步驟f���,單向斷開數(shù)據(jù)庫與客戶端的連接����,并修改服務(wù)器返回的信息���,并代理建立客戶端與蜜罐服務(wù)器的網(wǎng)絡(luò)連接�����。斷開連接可通過發(fā)送fin或reset數(shù)據(jù)包�����。
[0007]所述的方法中�����,所述賬戶名對應(yīng)密碼數(shù)量不小于1����。
[0008]所述的方法中,所述惡意登錄判定規(guī)則包括:
系統(tǒng)登錄請求中的賬戶名與服務(wù)器賬戶列表中的賬戶名均不相同�,或相似度低于預(yù)設(shè)值;或
系統(tǒng)登錄請求中的賬戶名與服務(wù)器賬戶表中的賬戶名相同��,但密碼不匹配超過預(yù)設(shè)次數(shù)����;或
同一賬戶名在預(yù)設(shè)時(shí)間內(nèi)登錄超過預(yù)設(shè)次數(shù)。
[0009]所述的方法中���,所述修改服務(wù)器返回的信息包括:將服務(wù)器返回的登陸錯(cuò)誤的信息修改為登陸正確的信息�����。
[0010]所述的方法中�,還包括:代理客戶端與蜜罐之間數(shù)據(jù)包的過濾和轉(zhuǎn)發(fā)����。
[0011]—種賬戶威脅識(shí)別和防御系統(tǒng),包括:蜜罐服務(wù)器及賬戶威脅識(shí)別代理模塊; 所述蜜罐服務(wù)器用于:
獲取待保護(hù)服務(wù)器的賬戶信息�,所述賬戶信息包括賬戶名及對應(yīng)密碼;
修改所述賬戶名對應(yīng)的密碼為弱口令����,并保存到蜜罐中;
所述賬戶威脅識(shí)別代理模塊包括:
數(shù)據(jù)接收子模塊���,用于接收客戶端的網(wǎng)絡(luò)數(shù)據(jù)包,并判斷是否為建立初始連接請求�����,如果是���,則放行所述數(shù)據(jù)包到服務(wù)器����,否則進(jìn)入登陸判斷子模塊��;
登陸判斷子模塊�����,用于判斷所述數(shù)據(jù)包是否為系統(tǒng)登錄請求,如果是�,則放行所述數(shù)據(jù)包到服務(wù)器,并標(biāo)記所述數(shù)據(jù)包的網(wǎng)絡(luò)連接���,否則進(jìn)入標(biāo)記判斷子模塊��;
標(biāo)記判斷子模塊�,用于判斷所述數(shù)據(jù)包的網(wǎng)絡(luò)連接是否為被標(biāo)記的網(wǎng)絡(luò)連接��,如果是���,則進(jìn)入登陸確認(rèn)子模塊����,否則放行所述數(shù)據(jù)包到服務(wù)器�����;
登陸確認(rèn)子模塊���,用于判斷所述數(shù)據(jù)包是否為服務(wù)器返回的登錄正確的信息���,如果是�����,則放行所述數(shù)據(jù)包�����,并取消所述數(shù)據(jù)包的網(wǎng)絡(luò)連接的標(biāo)記���,否則進(jìn)入惡意登陸判斷子模塊;
惡意登陸判斷子模塊�,用于判斷所述數(shù)據(jù)包的網(wǎng)絡(luò)連接是否符合惡意登錄判定規(guī)則��,如果是����,則進(jìn)入連接處理子模塊,否則放行所述數(shù)據(jù)包����;
連接處理子模塊,用于單向斷開數(shù)據(jù)庫與客戶端的連接����,并修改服務(wù)器返回的信息,并代理建立客戶端與蜜罐服務(wù)器的網(wǎng)絡(luò)連接。
[0012]所述的系統(tǒng)中����,所述賬戶名對應(yīng)密碼數(shù)量不小于1。
[0013]所述的系統(tǒng)中����,所述惡意登錄判定規(guī)則包括:
系統(tǒng)登錄請求中的賬戶名與服務(wù)器賬戶列表中的賬戶名均不相同,或相似度低于預(yù)設(shè)值����;或
系統(tǒng)登錄請求中的賬戶名與服務(wù)器賬戶表中的賬戶名相同,但密碼不匹配超過預(yù)設(shè)次數(shù)��;或
同一賬戶名在預(yù)設(shè)時(shí)間內(nèi)登錄超過預(yù)設(shè)次數(shù)����。
[0014]所述的系統(tǒng)中,所述修改服務(wù)器返回的信息包括:將服務(wù)器返回的登陸錯(cuò)誤的信息修改為登陸正確的信息����。
[0015]所述的系統(tǒng)中,還包括:代理客戶端與蜜罐之間數(shù)據(jù)包的過濾和轉(zhuǎn)發(fā)�。
[0016]通過本發(fā)明的方法及系統(tǒng),能夠在不修改當(dāng)前業(yè)務(wù)系統(tǒng)服務(wù)器的前提下��,檢測攻擊者的賬戶探測和暴力破解賬戶密碼行為;并且通過將惡意流量重定向到蜜罐系統(tǒng)中���,可以更好的保護(hù)當(dāng)前業(yè)務(wù)系統(tǒng)服務(wù)器的同時(shí)����,從蜜罐中記錄攻擊者的行為��。
【附圖說明】
[0017]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例�����,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他的附圖����。
[0018]圖1為本發(fā)明賬戶威脅識(shí)別和防御方法蜜罐建立過程流程圖����;
圖2為本發(fā)明賬戶威脅識(shí)別和防御方法賬戶威脅識(shí)別過程流程圖��;
圖3為本發(fā)明賬戶威脅識(shí)別和防御系統(tǒng)結(jié)構(gòu)示意圖���。
【具體實(shí)施方式】
[0019]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案�,并使本發(fā)明的上述目的����、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明�。
[0020]基于上述問題,本發(fā)明提出一種賬戶威脅識(shí)別和防御方法及系統(tǒng)�,在應(yīng)用級蜜罐基礎(chǔ)上,在客戶端與服務(wù)器之間的網(wǎng)絡(luò)流上檢測登錄過程的有效性����,一經(jīng)發(fā)現(xiàn)攻擊行為,即將流量轉(zhuǎn)入到蜜罐系統(tǒng)中�,從而完成攻擊者行為的采樣和取證。
[0021]一種賬戶威脅識(shí)別和防御方法�����,包括:蜜罐賬戶信息建立過程及賬戶威脅識(shí)別過程;
所述蜜罐賬戶信息建立過程如圖1所示包括:
5101:獲取待保護(hù)服務(wù)器的賬戶信息,所述賬戶信息包括賬戶名及對應(yīng)密碼��;
5102:修改所述賬戶名對應(yīng)的密碼為弱口令��,并保存到蜜罐中����;弱口令可保證攻擊者在進(jìn)行少量嘗試即可滿足登陸蜜罐的需要;
舉例來說明�,所述獲取帶保護(hù)服務(wù)器的賬戶信息可以為,在蜜罐賬戶信息建立過程中��,識(shí)別系統(tǒng)登錄服務(wù)器過程中需要檢驗(yàn)的賬戶信息�����,其中可以包括賬戶所在數(shù)據(jù)表或試圖�����,并將其結(jié)構(gòu)復(fù)制到蜜罐數(shù)據(jù)庫中���。
[0022]所述賬戶威脅識(shí)別過程如圖2所示,包括:
S201�,接收客戶端的網(wǎng)絡(luò)數(shù)據(jù)包����,并判斷是否為建立初始連接請求��,如果是���,則放行所述數(shù)據(jù)包到服務(wù)器���,否則執(zhí)行S202 ;
S202,判斷所述數(shù)據(jù)包是否為系統(tǒng)登錄請求�����,如果是����,則放行所述數(shù)據(jù)包到服務(wù)器,并標(biāo)記所述數(shù)據(jù)包的網(wǎng)絡(luò)連接��,否則執(zhí)行S203 �����;
S203����,判斷所述數(shù)據(jù)包的網(wǎng)絡(luò)連接是否為被標(biāo)記的網(wǎng)絡(luò)連接�����,如果是���,則繼續(xù)執(zhí)行S204,否則放行所述數(shù)據(jù)包到服務(wù)器����;
S204,判斷所述數(shù)據(jù)包是否為服務(wù)器返回的登錄正確的信息���,如果是�,則放行所述數(shù)據(jù)包到服務(wù)器��,并取消所述數(shù)據(jù)包的網(wǎng)絡(luò)連接的標(biāo)記��,否則執(zhí)行S205 ��;
S205�,判斷所述數(shù)據(jù)包的網(wǎng)絡(luò)連接是否符合惡意登錄判定規(guī)則�����,如果是,則執(zhí)行S206���,否則放行所述數(shù)據(jù)包到服務(wù)器�;
S206��,單向斷開數(shù)據(jù)庫與客戶端的連接�����,并修改服務(wù)器返回的信息�,并代理建立客戶端與蜜罐服務(wù)器的網(wǎng)絡(luò)連接。斷開連接可通過發(fā)送fin或reset數(shù)據(jù)包�。
[0023]所述的方法中,所述賬戶名對應(yīng)密碼數(shù)量不小于1