[发明专利]主机爆破攻击的防御方法、装置和计算机设备

说明书

本申请涉及一种主机爆破攻击的防御方法、装置和计算机设备，其中方法包括：获取网络数据包，网络数据包包括源IP地址和目的端口；根据网络数据包，确定网络数据包是否为登录请求数据；若是，则记录源IP地址对应的主机在预设时间内对每一目的端口的登录请求次数；若登录请求次数超过预设阈值，则确定IP地址对应的主机为恶意登录，并控制本机的防火墙拒绝源IP地址对应主机的网络连接。上述方法通过监听网卡的网络连接情况确定是否为恶意登录请求，并在检测到恶意登录请求时，通过防火墙阻断对应IP的连接请求。通过统一配置，监听主机上需要防御的所有服务协议，可以对所有需要防御的服务协议的恶意攻击进行快速防御。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种主机爆破攻击的防御方法、装置和计算机设备。

背景技术

物联网技术的出现，使我们的生活更加方便、快捷的同时，也不可避免地带来了一些安全问题。物联网中的很多应用都与我们的生活息息相关，通过对应用的采集，可直接或间接地暴露用户的隐私信息。如果不对其进行加密、认证、访问控制管理的安全措施，物联网中的数据很容易被窃取或非法访问，造成数据泄露。当前网络攻击方法中，通常采用弱口令爆破的方式来攻击服务器，弱口令爆破即通过口令字典不断尝试登陆的方式得到登陆口令。

但是，目前防止系统被弱口令爆破的方法主要依赖于自身服务端内置的防御弱口令爆破机制，但只有少数网络服务提供该防御机制，且各个服务的防御机制需要单独配置，操作繁琐，因此无法快速防御主机中所有服务协议的恶意登录。

发明内容

本申请提供一种主机爆破攻击的防御方法、装置和计算机设备，以至少解决相关技术中无法快速防御主机中所有服务协议的恶意登录问题。

第一方面，本申请实施例提供了一种主机爆破攻击的防御方法，所述方法包括：

获取网络数据包，所述网络数据包包括源IP地址和目的端口；

根据所述网络数据包，确定所述网络数据包是否为登录请求数据；

若是，则记录所述源IP地址对应的主机在预设时间内对每一所述目的端口的登录请求次数；

若所述登录请求次数超过预设阈值，则确定所述IP地址对应的主机为恶意登录，并控制本机的防火墙拒绝所述源IP地址对应主机的网络连接。

在其中一些实施例中，所述根据所述网络数据包，确定所述网络数据包是否为登录请求数据包括：

针对每一目的端口，获取对应所述网络数据包中的登录协议和所述登录协议对应的数据包指纹特征；

将所述数据包指纹特征与所述目的端口的预设登录协议对应的指纹特征进行匹配；

根据匹配结果确定所述网络数据包是否为登录请求数据。

在其中一些实施例中，所述方法还包括：

对所述端口添加私有服务指纹，以防御私有协议服务被攻击。

在其中一些实施例中，在所述获取网络数据包之后，所述方法还包括：

确定用户是否指定监听端口；

若是，则将指定端口对应的网络数据包传递至应用层。

在其中一些实施例中，在根据所述网络数据包，确定所述网络数据包是否为登录请求数据之前，所述方法还包括：

根据所述源IP地址对所述网络数据包进行分组，并将每一所述源IP地址对应的网络数据包作为一个IP分组；

根据所述目的端口对所述IP分组内的网络数据包进行分组。

在其中一些实施例中，在所述确定所述源IP地址对应的主机为恶意登录之后，所述方法还包括：发出告警信息。