[发明专利]主机爆破攻击的防御方法、装置和计算机设备

权利要求书

1.一种主机爆破攻击的防御方法，其特征在于，所述方法包括：

获取网络数据包，所述网络数据包包括源IP地址和目的端口；

根据所述网络数据包，确定所述网络数据包是否为登录请求数据；

若是，则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数；

若所述登录请求次数超过预设阈值，则确定所述IP地址对应的主机为恶意登录，并控制本机的防火墙拒绝所述源IP地址对应主机的网络连接。

2.根据权利要求1所述的方法，其特征在于，所述根据所述网络数据包，确定所述网络数据包是否为登录请求数据包括：

针对每一目的端口，获取对应所述网络数据包中的登录协议和所述登录协议对应的数据包指纹特征；

将所述数据包指纹特征与所述目的端口的预设登录协议对应的指纹特征进行匹配；

根据匹配结果确定所述网络数据包是否为登录请求数据。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

对端口添加私有服务指纹，以防御私有协议服务被攻击。

4.根据权利要求1所述的方法，其特征在于，在所述获取网络数据包之后，所述方法还包括：

确定用户是否指定监听端口；

若是，则将指定端口对应的网络数据包传递至应用层。

5.根据权利要求1所述的方法，其特征在于，在根据所述网络数据包，确定所述网络数据包是否为登录请求数据之前，所述方法还包括：

根据所述源IP地址对所述网络数据包进行分组，并将每一所述源IP地址对应的网络数据包作为一个IP分组；

根据所述目的端口对所述IP分组内的网络数据包进行分组。

6.根据权利要求1所述的方法，其特征在于，在所述确定所述源IP地址对应的主机为恶意登录之后，所述方法还包括：发出告警信息。

7.根据权利要求1所述的方法，其特征在于，在所述确定所述源IP地址对应的主机为恶意登录之后，所述方法还包括：

记录所述源IP地址对应的主机的信息；所述信息包括：记录的时间、恶意登录的源IP地址、登录的次数以及网络数据包。

8.一种主机爆破攻击的防御装置，其特征在于，所述装置包括：

获取模块，用于获取网络数据包；所述网络数据包包括源IP地址和目的端口；

第一确定模块，用于根据所述网络数据包，确定所述网络数据包是否为登录请求数据；

记录模块，用于若所述网络数据包为登录请求数据，则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数；

第二确定模块，用于若所述登录请求次数超过预设阈值，则确定所述源IP地址对应的主机为恶意登录，并控制本机的防火墙拒绝所述源IP地址对应的主机的网络连接。

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。