一種賬戶威脅識別和防御方法及系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡安全領域,特別涉及一種賬戶威脅識別和防御方法及系統(tǒng)��。
【背景技術】
[0002]當前網(wǎng)絡攻擊方法中,基于系統(tǒng)帳戶的攻擊是一種常見的攻擊手段����。用戶的業(yè)務系統(tǒng)往往存在多種管理上的問題,如配置了弱口令����、隨意明文保存或傳輸密碼、公開場合口述相傳告知密碼等問題��。開發(fā)人員的安全意識不足����,導致系統(tǒng)存在注入漏洞,口令明文存儲漏洞等多種系統(tǒng)自身的安全隱患��。一旦攻擊者掌握了帳戶及口令�����,其登錄過程也屬于理論上的正常行為����,防火墻等產(chǎn)品也無能為力。
[0003]在系統(tǒng)層面上,口令被反復探測是無法避免的�,尤其是在現(xiàn)在密碼字典在網(wǎng)上隨處可得,用戶名可被輕松猜到的情況下����。一般只能通過管理手段強制解決,但其成本極高�,而且攻擊者的長期潛伏不定期的攻擊而加大了檢測的難度。
[0004]而應用級蜜罐可以從側面上吸引攻擊者的行為并留下操作證據(jù)���,對于利用系統(tǒng)漏洞的攻擊行為���,可以達到非常有效的檢測能力。但登錄過程的帳戶暴力破解過程�����,對于系統(tǒng)來說����,由于其屬于正常的業(yè)務行為����,所以無法被蜜罐所識別為惡意行為。
【發(fā)明內容】
[0005]基于上述問題,本發(fā)明提出一種賬戶威脅識別和防御方法及系統(tǒng)��,在應用級蜜罐基礎上�����,在客戶端與服務器之間的網(wǎng)絡流上檢測登錄過程的有效性����,一經(jīng)發(fā)現(xiàn)攻擊行為,即將流量轉入到蜜罐系統(tǒng)中�����,從而完成攻擊者行為的采樣和取證�����。
[0006]一種賬戶威脅識別和防御方法���,包括:蜜罐賬戶信息建立過程及賬戶威脅識別過程;
所述蜜罐賬戶信息建立過程包括:
獲取待保護服務器的賬戶信息�,所述賬戶信息包括賬戶名及對應密碼�;
修改所述賬戶名對應的密碼為弱口令,并保存到蜜罐中��;弱口令可保證攻擊者在進行少量嘗試即可滿足登陸蜜罐的需要;
所述賬戶威脅識別過程包括:
步驟a�����,接收客戶端的網(wǎng)絡數(shù)據(jù)包�����,并判斷是否為建立初始連接請求�,如果是,則放行所述數(shù)據(jù)包到服務器���,否則執(zhí)行步驟b ;
步驟b����,判斷所述數(shù)據(jù)包是否為系統(tǒng)登錄請求�����,如果是���,則放行所述數(shù)據(jù)包到服務器,并標記所述數(shù)據(jù)包的網(wǎng)絡連接����,否則執(zhí)行步驟c ;
步驟c�����,判斷所述數(shù)據(jù)包的網(wǎng)絡連接是否為被標記的網(wǎng)絡連接��,如果是��,則繼續(xù)執(zhí)行步驟d���,否則放行所述數(shù)據(jù)包到服務器;
步驟d���,判斷所述數(shù)據(jù)包是否為服務器返回的登錄正確的信息��,如果是����,則放行所述數(shù)據(jù)包�����,并取消所述數(shù)據(jù)包的網(wǎng)絡連接的標記����,否則執(zhí)行步驟e �����;
步驟e��,判斷所述數(shù)據(jù)包的網(wǎng)絡連接是否符合惡意登錄判定規(guī)則��,如果是��,則執(zhí)行步驟f���,否則放行所述數(shù)據(jù)包;
步驟f����,單向斷開數(shù)據(jù)庫與客戶端的連接,并修改服務器返回的信息�����,并代理建立客戶端與蜜罐服務器的網(wǎng)絡連接����。斷開連接可通過發(fā)送fin或reset數(shù)據(jù)包。
[0007]所述的方法中����,所述賬戶名對應密碼數(shù)量不小于1。
[0008]所述的方法中����,所述惡意登錄判定規(guī)則包括:
系統(tǒng)登錄請求中的賬戶名與服務器賬戶列表中的賬戶名均不相同,或相似度低于預設值�����;或
系統(tǒng)登錄請求中的賬戶名與服務器賬戶表中的賬戶名相同��,但密碼不匹配超過預設次數(shù)��;或
同一賬戶名在預設時間內登錄超過預設次數(shù)����。
[0009]所述的方法中,所述修改服務器返回的信息包括:將服務器返回的登陸錯誤的信息修改為登陸正確的信息�����。
[0010]所述的方法中��,還包括:代理客戶端與蜜罐之間數(shù)據(jù)包的過濾和轉發(fā)。
[0011]—種賬戶威脅識別和防御系統(tǒng)�����,包括:蜜罐服務器及賬戶威脅識別代理模塊����; 所述蜜罐服務器用于:
獲取待保護服務器的賬戶信息,所述賬戶信息包括賬戶名及對應密碼�����;
修改所述賬戶名對應的密碼為弱口令����,并保存到蜜罐中;
所述賬戶威脅識別代理模塊包括:
數(shù)據(jù)接收子模塊���,用于接收客戶端的網(wǎng)絡數(shù)據(jù)包�,并判斷是否為建立初始連接請求�,如果是,則放行所述數(shù)據(jù)包到服務器����,否則進入登陸判斷子模塊�����;
登陸判斷子模塊,用于判斷所述數(shù)據(jù)包是否為系統(tǒng)登錄請求���,如果是�,則放行所述數(shù)據(jù)包到服務器���,并標記所述數(shù)據(jù)包的網(wǎng)絡連接��,否則進入標記判斷子模塊����;
標記判斷子模塊��,用于判斷所述數(shù)據(jù)包的網(wǎng)絡連接是否為被標記的網(wǎng)絡連接��,如果是��,則進入登陸確認子模塊�����,否則放行所述數(shù)據(jù)包到服務器;
登陸確認子模塊����,用于判斷所述數(shù)據(jù)包是否為服務器返回的登錄正確的信息,如果是��,則放行所述數(shù)據(jù)包��,并取消所述數(shù)據(jù)包的網(wǎng)絡連接的標記�����,否則進入惡意登陸判斷子模塊���;
惡意登陸判斷子模塊�����,用于判斷所述數(shù)據(jù)包的網(wǎng)絡連接是否符合惡意登錄判定規(guī)則�,如果是�,則進入連接處理子模塊,否則放行所述數(shù)據(jù)包�����;
連接處理子模塊,用于單向斷開數(shù)據(jù)庫與客戶端的連接���,并修改服務器返回的信息�,并代理建立客戶端與蜜罐服務器的網(wǎng)絡連接���。
[0012]所述的系統(tǒng)中,所述賬戶名對應密碼數(shù)量不小于1���。
[0013]所述的系統(tǒng)中���,所述惡意登錄判定規(guī)則包括:
系統(tǒng)登錄請求中的賬戶名與服務器賬戶列表中的賬戶名均不相同,或相似度低于預設值�����;或
系統(tǒng)登錄請求中的賬戶名與服務器賬戶表中的賬戶名相同�,但密碼不匹配超過預設次數(shù);或
同一賬戶名在預設時間內登錄超過預設次數(shù)����。
[0014]所述的系統(tǒng)中,所述修改服務器返回的信息包括:將服務器返回的登陸錯誤的信息修改為登陸正確的信息。
[0015]所述的系統(tǒng)中����,還包括:代理客戶端與蜜罐之間數(shù)據(jù)包的過濾和轉發(fā)。
[0016]通過本發(fā)明的方法及系統(tǒng)���,能夠在不修改當前業(yè)務系統(tǒng)服務器的前提下�,檢測攻擊者的賬戶探測和暴力破解賬戶密碼行為���;并且通過將惡意流量重定向到蜜罐系統(tǒng)中����,可以更好的保護當前業(yè)務系統(tǒng)服務器的同時�����,從蜜罐中記錄攻擊者的行為�。
【附圖說明】
[0017]為了更清楚地說明本發(fā)明或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例�,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下���,還可以根據(jù)這些附圖獲得其他的附圖���。
[0018]圖1為本發(fā)明賬戶威脅識別和防御方法蜜罐建立過程流程圖����;
圖2為本發(fā)明賬戶威脅識別和防御方法賬戶威脅識別過程流程圖�;
圖3為本發(fā)明賬戶威脅識別和防御系統(tǒng)結構示意圖。
【具體實施方式】
[0019]為了使本技術領域的人員更好地理解本發(fā)明實施例中的技術方案���,并使本發(fā)明的上述目的��、特征和優(yōu)點能夠更加明顯易懂,下面結合附圖對本發(fā)明中技術方案作進一步詳細的說明�����。
[0020]基于上述問題��,本發(fā)明提出一種賬戶威脅識別和防御方法及系統(tǒng)�����,在應用級蜜罐基礎上����,在客戶端與服務器之間的網(wǎng)絡流上檢測登錄過程的有效性�,一經(jīng)發(fā)現(xiàn)攻擊行為���,即將流量轉入到蜜罐系統(tǒng)中�,從而完成攻擊者行為的采樣和取證��。
[0021]一種賬戶威脅識別和防御方法����,包括:蜜罐賬戶信息建立過程及賬戶威脅識別過程;
所述蜜罐賬戶信息建立過程如圖1所示包括:
5101:獲取待保護服務器的賬戶信息,所述賬戶信息包括賬戶名及對應密碼����;
5102:修改所述賬戶名對應的密碼為弱口令,并保存到蜜罐中�;弱口令可保證攻擊者在進行少量嘗試即可滿足登陸蜜罐的需要;
舉例來說明�����,所述獲取帶保護服務器的賬戶信息可以為�,在蜜罐賬戶信息建立過程中,識別系統(tǒng)登錄服務器過程中需要檢驗的賬戶信息���,其中可以包括賬戶所在數(shù)據(jù)表或試圖�,并將其結構復制到蜜罐數(shù)據(jù)庫中。
[0022]所述賬戶威脅識別過程如圖2所示����,包括:
S201,接收客戶端的網(wǎng)絡數(shù)據(jù)包���,并判斷是否為建立初始連接請求�����,如果是�����,則放行所述數(shù)據(jù)包到服務器,否則執(zhí)行S202 �;
S202,判斷所述數(shù)據(jù)包是否為系統(tǒng)登錄請求,如果是���,則放行所述數(shù)據(jù)包到服務器���,并標記所述數(shù)據(jù)包的網(wǎng)絡連接��,否則執(zhí)行S203 ����;
S203����,判斷所述數(shù)據(jù)包的網(wǎng)絡連接是否為被標記的網(wǎng)絡連接,如果是�����,則繼續(xù)執(zhí)行S204��,否則放行所述數(shù)據(jù)包到服務器����;
S204,判斷所述數(shù)據(jù)包是否為服務器返回的登錄正確的信息���,如果是����,則放行所述數(shù)據(jù)包到服務器���,并取消所述數(shù)據(jù)包的網(wǎng)絡連接的標記�����,否則執(zhí)行S205 ����;
S205,判斷所述數(shù)據(jù)包的網(wǎng)絡連接是否符合惡意登錄判定規(guī)則���,如果是�,則執(zhí)行S206�,否則放行所述數(shù)據(jù)包到服務器;
S206����,單向斷開數(shù)據(jù)庫與客戶端的連接,并修改服務器返回的信息�����,并代理建立客戶端與蜜罐服務器的網(wǎng)絡連接��。斷開連接可通過發(fā)送fin或reset數(shù)據(jù)包�。
[0023]所述的方法中,所述賬戶名對應密碼數(shù)量不小于1