本發明公開了一種基于日志分析的防暴力破解方法，包括：檢測網絡設備的管理服務模塊日志是否發生變化；若發生變化，則從管理服務模塊日志中確定出新增日志；逐行讀取新增日志，并調用預先定義的正則表達式對新增日志進行掃描，獲得登錄日志；從登錄日志中提取登陸源IP和登錄結果；基于登陸源IP和登錄結果，統計每個登陸源IP對應的連續登錄失敗次數；如果某一登陸源IP對應的連續登錄失敗次數大于一錯誤次數閾值，則確定該登陸源IP屬于與暴力破解相關的目標IP；將目標IP加入過濾黑名單中。本方法實現方式簡單，可以無縫的與設備現有模塊集成，具有維護簡單，防護精準，節省資源的優點。同時，本發明還公開了一種基于日志分析的防暴力破解裝置。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于日志分析的防暴力破解方法及裝置。

背景技術

近年來，隨著因特網的高速發展，各種網絡設備層出不窮。這些網絡設備為了便于遠程管理，通常會開啟WEB、SSH、TELNET、FTP等服務作為遠程管理手段。當這些服務暴露在因特網當中時，就極有可能會被因特網上的掃描軟件掃描到，從而進一步遭到暴力破解。

暴力破解，是指黑客利用密碼字典，使用窮舉法猜測用戶口令，是目前最為廣泛使用的攻擊手法之一。通常，防暴力破解的方式包括防火墻、Web驗證碼、SSH證書登陸等方式，防火墻方式確實可以阻擋暴力破解，但把正常的遠程管理連接也阻擋在外；Web驗證碼和SSH證書登陸也在一定程度上能防止暴力破解，但無法直接拒絕這些暴力破解遠程連接，太多的遠程連接會消耗網絡設備的資源，從而影響網絡設備的正常功能及性能。

發明內容

本發明實施例通過提供一種基于日志分析的防暴力破解方法及裝置，實現方式簡單，可以方便地與網絡設備的現有模塊集成在一起，可有效地預防網絡設備遭到暴力破解，且不會對正常的遠程連接造成阻礙，具有維護簡單，防護精準，節省資源等優點。

第一方面，本發明通過本發明的一實施例提供如下技術方案：

一種基于日志分析的防暴力破解方法，包括：

檢測網絡設備的管理服務模塊日志是否發生變化；

若發生變化，則從所述管理服務模塊日志中確定出新增日志；

逐行讀取所述新增日志，并調用預先定義的正則表達式對所述新增日志進行掃描，獲得登錄日志；

從所述登錄日志中提取登陸源IP和登錄結果；

基于所述登陸源IP和登錄結果，統計每個登陸源IP對應的連續登錄失敗次數；

如果某一登陸源IP對應的連續登錄失敗次數大于一錯誤次數閾值，則確定該登陸源IP屬于與暴力破解相關的目標IP；

將所述目標IP加入過濾黑名單中。

優選地，在所述將所述目標IP加入過濾黑名單中之后，還包括：

啟用預先定義的定時器；

當所述定時器超時后，將所述目標IP從所述過濾黑名單中移除。

優選地，在所述檢測網絡設備的管理服務模塊日志是否發生變化之前，還包括：

基于所述管理服務模塊日志的路徑，查找所述管理服務模塊日志。

優選地，在所述基于所述管理服務模塊日志的路徑，查找所述管理服務模塊日志之前，還包括：

從配置文件中讀取所述管理服務模塊日志的路徑、所述正則表達式、所述錯誤次數閾值。

基于同一發明構思，第二方面，本發明通過本發明的一實施例，提供如下技術方案：

一種基于日志分析的防暴力破解裝置，包括：