[发明专利]一种基于公钥指纹的主机识别方法

说明书

本发明公开了一种基于公钥指纹的主机识别方法，包括以下步骤：向服务端发送通信连接请求，通过监听SSH服务记录访问者的来访信息，加密来访信息得到第一加密信息，并将第一加密信息传输给服务端，等待并接收服务端的回显结果，根据回显结果标记访问者和访问事件，并定制处置策略，有益效果在于将访问者的公钥收集起来经过处理后作为访问者的公钥指纹，上传到服务端的数据库中进行保存，若访问者为数据库中记录的攻击者时，当该攻击者再次试图连接服务器群组中的其他服务器时，将获取到的攻击者的公钥指纹上传到服务端中作对比，如果有相同的公钥指纹存在，则将两次访问事件判定为通过一个攻击者，达到精准识别攻击者的效果。

技术领域

本发明属于主机识别技术领域，更具体地说，本发明涉及一种基于公钥指纹的主机识别方法。

背景技术

网络层设备目前的识别方式为通过ip识别主机，对于不同ip判定为不同主机。网络安全产业受到各方关注，许多安全问题相继出现对应解决方案和技术,但是还有许多领域尚未解决，其中在网络攻击中收集大量攻击行为聚合确定识别为一个攻击者颇为困难，目前市场上的技术方案存在以下缺陷：

第一，当攻击者一旦使用伪装手段，例如跳板机等，就无法再次找到攻击者,导致大量安全产品的黑名单失效,攻击者可以绕过防护继续攻击。第二，抓取识别网络层的各种流量包已经没有强特征性,因为大部分流量包都已有模板规定并且进行了加密通信,无法通过流量做到识别定位为是否为同一个攻击者。

发明内容

本发明的目的在于提供一种基于公钥指纹的主机识别方法，以解决上述现有技术中存在的无法精准识别攻击者的技术问题。

为实现上述技术目的，本发明采用的技术方案如下：

一种基于公钥指纹的主机识别方法，其特征在于，包括以下步骤：

向服务端发送通信连接请求，接收从服务端返回的通信数据；

通过监听SSH服务记录访问者的来访信息，加密来访信息得到第一加密信息，并将第一加密信息传输给服务端；

等待并接收服务端的回显结果，根据回显结果标记访问者和访问事件，并定制处置策略。

优选地，所述向服务端发送通信连接请求，接收从服务端返回的通信成功的数据，具体包括以下步骤：

运行客户端设备，并通过网络通信接口加载服务端的连接，向服务端发送TCP包；

客户端设备接收从服务端返回的通信数据，若通信数据为连接失败，则继续向服务端发送TCP包，直到返回的通信数据为连接成功。

优选地，通过监听SSH服务记录访问者的来访信息，具体包括以下步骤：

更改OPENSSH工具代码，使得访问者的来访信息可以保存在日志中；

所述来访信息包括访问者的公钥、访问者的IP和访问者的端口。

优选地，加密来访信息得到第一加密信息，并将第一加密信息传输给服务端，具体包括以下步骤：

获取访问者的公钥，将所述访问者的公钥和固定的salt值进行加密，得到公钥指纹；

对所述公钥指纹、所述访问者的IP以及所述访问者的端口进行打包，得到第一加密信息，将第一加密信息传输给服务端。

优选地，所述回显结果包括访问者是否连接过其他IP、访问者是否是攻击者或者访问者是否是首次连接，所述处置策略包括联通或阻断。

一种基于公钥指纹的主机识别方法，包括以下步骤：

接收客户端的通信连接请求并响应于客户端的通信连接请求；

接收客户端的第一加密信息，在数据库中匹配所述第一加密信息，将匹配结果传输给客户端。