弱口令判断方法、装置、设备及存储介质与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种弱口令判断方法、装置、设备及存储介质。


背景技术：

2.随着信息技术的飞速发展，计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径，信息安全变得越来越重要。作为计算机和网络使用者的用户，个人信息是否能够得到保障是一个问题。而弱口令爆破是黑客常用的手段，所以检测提取弱口令，并及时告警提醒用户所提取的溯源告警信息是一种尤为重要的防范手段。
3.然而，在用户实际应用场景中，，弱口令提取时通过公开的第三方库提取规则，存在无法命中，导致漏报的缺点。
4.另一方面，在用户实际应用场景中，会提取海量的登录信息，而判断海量的登录信息是否弱口令非常耗时和人力。


技术实现要素：

5.本技术实施例的目的在于提供一种弱口令判断方法、装置、设备及存储介质，用以从海量的登录信息中筛选出有效登录信息，进而降低弱口令判断的工作量和降低弱口令的处置成本。
6.为此本技术第一方面公开一种弱口令判断方法，所述方法包括：获取用户登录过程产生的网络流量；将所述网络流量还原为报文信息；根据所述报文信息将所述网络流量划分为请求包和响应包；基于预设口令提取规则在所述请求包的起始行、请求头部、消息正文提取所述登录信息；基于所述响应包判断所述登录信息是否能够登录成功，其中，当所述登录信息登录成功时，则将所述登录信息筛选出并作为有效登录信息。
7.判断所述有效登录信息是否弱口令。
8.在本技术第一方面中，作为一种可选的实施方式，所述将所述网络流量还原为报文信息，包括：通过sensor工具还原所述网络流量，并得到所述报文信息。
9.在本技术第一方面中，作为一种可选的实施方式，所述根据所述报文信息将所述网络流量划分为请求包和响应包，包括：通过网络流量的ip地址、端口号和syn标志将所述网络流量划分为所述请求包或所述响应包。
10.在本技术第一方面中，作为一种可选的实施方式，所述基于所述响应包判断所述登录信息是否能够登录成功，包括：
提取所述响应包的状态码和所述响应包的响应体；判断所述响应包的状态码是否为第一预设值；当所述响应包的状态码为所述第一预设值时，判断所述响应体是否包括第三字段，其中，所述第三字段表征所述登录信息登录成功；当所述响应体包括所述第三字段时，则确定所述登录信息登录成功，若否则确定所述登录信息登录失败。
11.在本技术第一方面中，作为一种可选的实施方式，所述判断所述有效登录信息是否弱口令，包括：将所述有效登录信息与第三方弱口令库进行匹配，以判断所述有效登录信息是否为纯数字，或位数少的数字字母组合，若是则确定所述登录信息为弱口令；或获取自定义弱口令字典，将所述有效登录信息与自定义弱口令字典进行匹配，当所述有效登录信息与所述自定义弱口令字典匹配成功时，确定所述有效登录信息为弱口令。
12.在本技术第一方面中，作为一种可选的实施方式，所述判断所述有效登录信息是否弱口令，包括：判断所述有效登录信息是否满足自定义弱口令匹配规则，若所述有效登录信息满足所述自定义弱口令匹配规则，则确定所述有效登录信息为弱口令。
13.在本技术第一方面中，作为一种可选的实施方式，所述基于预设口令提取规则在所述请求包的起始行、请求头部、消息正文提取所述登录信息包括：根据自定义提取规则在所述请求包的起始行、请求头部、消息正文提取所述登录信息。
14.本技术第二方面公开一种弱口令判断装置，所述装置包括：获取模块，用于获取用户登录过程产生的网络流量；报文还原模块，用于将所述网络流量还原为报文信息；划分模块，用于根据所述报文信息将所述网络流量划分为请求包和响应包；提取模块，用于基于预设口令提取规则在所述请求包的起始行、请求头部、消息正文提取所述登录信息；第一判断模块，用于基于所述响应包判断所述登录信息是否能够登录成功，其中，当所述登录信息登录成功时，则将所述登录信息筛选出并作为有效登录信息。
15.第二判断模块，用于判断所述有效登录信息是否弱口令。
16.本技术第三方面公开一种弱口令判断设备，所述设备包括：与所述存储器耦合的存储有可执行程序代码的存储器；处理器；所述处理器调用所述存储器中存储的所述可执行程序代码，执行本技术第一方面的弱口令判断方法。
17.本技术第四方面公开一种存储介质，所述存储介质存储有计算机指令，所述计算机指令被调用时，用于执行本技术一方面的弱口令判断方法。
18.与现有技术相比，本技术具有如下有益技术效果：本技术一方面能够通过从海量的登录信息中筛选出有效登录信息，进而降低弱口
令判断的工作量和降低弱口令的处置成本，另一方面本技术能够通过自定义规则，进一步判断登录信息是否为弱口令，从而降低弱口令漏报的概率。
附图说明
19.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
20.图1是本技术实施例公开的一种弱口令判断方法的流程示意图；图2是本技术实施例公开的一种弱口令判断装置的结构示意图；图3是本技术实施例公开的一种弱口令判断设备的结构示意图。
具体实施方式
21.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
22.实施例一请参阅图1，图1是本技术实施例公开的一种弱口令判断方法的流程示意图。如图1所示，本技术实施例的方法包括以下步骤：101、获取用户登录过程产生的网络流量；102、将网络流量还原为报文信息；103、根据报文信息将网络流量划分为请求包和响应包；104、基于预设口令提取规则在请求包的起始行、请求头部、消息正文提取登录信息；105、基于响应包判断登录信息是否能够登录成功，其中，当登录信息登录成功时，则将登录信息筛选出并作为有效登录信息；106、判断有效登录信息是否弱口令。
23.在本技术实施例中，通过获取用户登录过程产生的网络流量和将网络流量还原为报文信息，能够基于报文信息将网络流量划分为的请求包和响应包，进而能够基于请求包抓取用的登录信息，其中，由于登录信息一般存在于请求包中，因此需要基于请求包抓取登录信息。进一步地，在抓取登录信息后，就能够判断该登录信息是否为弱口令，即能够判断该登录信息是否容易泄露。
24.进一步地，在一些场景中，提取的登录信息有很多，且需要对每一个登录信息进行判断，以判断是否为弱口令，这样一来，由于登录信息的数量，进而需要安全运营人员花费巨大的时间和精力去处理，从而降低了安全运营人员的工作效率和处置成本。针对这些场景，本技术实施例的方法在判断登录信息是否为弱口令之前，基于响应包判断登录信息是否能够登录成功，能够从众多的登录信息中筛选中登录成功的登录信息，即将登录成功的登录信息作为有效登录信息，这样一来，就能够减少需要判断是否为弱口令的登录信息的数量，例如，假设提取的登录信息有100个，而被判定登录成功的登录信息有60个，这样一来，就只需要判断60个登录信息是否为弱口令。
25.在本技术实施例中，作为一种可选的实施方式，步骤101：将网络流量还原为报文
信息，包括以下子步骤：通过sensor工具还原网络流量，并得到报文信息。
26.在本可选的实施方式中，sensor工具可还原网络流量，即解析得到报文信息。
27.在本技术实施例中，作为一种可选的实施方式，步骤104：基于预设口令提取规则在请求包的起始行、请求头部、消息正文提取登录信息的具体方式为：基于ac状态机在起始行、请求头部、消息正文提取登录信息。
28.作为一个示例，使用ac状态机在请求报文中匹配username，password并得到登录信息。
29.在本技术实施例中，作为一种可选的实施式，步骤104：基于预设口令提取规则在请求包的起始行、请求头部、消息正文提取登录信息的另一具体方式为：根据自定义提取规则在请求包的起始行、请求头部、消息正文提取登录信息。
30.具体地，作为一种可选的实施式，根据自定义提取规则在请求包的起始行、请求头部、消息正文提取登录信息的具体方式为：根据个性化设置字段或者脱敏处理的结果字段，在请求包的起始行、请求头部、消息正文提取登录信息。
31.在一些场景中，登录信息为脱敏处理后的用户名密码，这些登录信息由于经过脱敏处理，进而无法被第三方数据库匹配而被识别，从而可能导致漏报，然而，本技术实施例通过用于匹配脱敏处理后的结果字段，能够识别脱敏处理后的用户名密码，从而降低脱敏处理后的用户名密码漏报的概率。例如，如果用户对原密码进行脱敏处理，进而将密码的字段处理为“d55b”，而不是“password”,此时就无法识别脱敏处理后密码字段“d55b”，然而如果输入“d55b”，而能够将提取字段“d55b”，从而降低漏报概率，提高弱口令识别准确性。
32.在本技术实施例中，脱敏处理后的登录信息可以是经过转码加密操作的登录信息。
33.在本技术第一方面中，作为一种可选的实施方式中，步骤103：根据报文信息将网络流量划分为请求包和响应包，包括以下子步骤：通过网络流量的ip地址、端口号和syn标志将网络流量划分为请求包或响应包。
34.在本可选的实施方式中，作为一个示例，如果网络流量的目标ip地址是服务器的ip地址，则可确定网络流量为客户端向服务器发送的请求包，而如果网络流量的目标ip地址是客户端的ip地址，则可确定网络流量为服务器向客户端返回的响应包。
35.在本可选的实施方式中，网络流量包括源ip地址、源端口、目的ip地址、目的端口、应用协议、syn标志等，其中，通过网络流量的ip地址、端口号和syn标志将网络流量划分为请求包或响应包，可以是指通过网络流量的源ip地址、源端口和syn标志将网络流量划分为请求包或响应包。
36.需要说明是的，网络流量中还可以包括其他可用于划分网络流量是请求包还是响应包的数据，本可选的实施方式只是一种优选实施方式。
37.在本技术实施例中，作为一种可选的实施方式，步骤105：基于响应包判断登录信息是否能够登录成功，包括以下子步骤：提取响应包的状态码和响应包的响应体；判断响应包的状态码是否为第一预设值；
当响应包的状态码为第一预设值时，判断响应体是否包括第三字段，其中，第三字段表征登录信息登录成功；当响应体包括第三字段时，则确定登录信息登录成功，若否则确定登录信息登录失败。
38.在本可选的实施方式中，具体地，第三字段可以是“response_code:0”，也可以是“success”。
39.在本技术实施例中，作为一种可选的实施方式，步骤106：判断有效登录信息是否弱口令，包括以下子步骤：将有效登录信息与第三方弱口令库进行匹配，以判断有效登录信息是否为纯数字，或位数少的数字字母组合，若是则确定登录信息为弱口令；或获取自定义弱口令字典，将有效登录信息与自定义弱口令字典进行匹配，当有效登录信息与自定义弱口令字典匹配成功时，确定有效登录信息为弱口令。
40.在本可选的实施方式中，通过将有效登录信息与第三方弱口令库进行匹配，进而能够判断有效登录信息是否为纯数字，或位数少的数字字母组合，其中，若是则确定登录信息为弱口令。作为一个示例，例如，如果有效登录信息为“666666”，则确定该有效登录信息为弱口令，再例如，如果有效登录信息为“123abc”，则确定该有效登录信息为弱口令。
41.需要说明的是，第三方弱口令库还包括其他匹配规则，例如，当登录信息为纯字母时，也将登录信息确定为弱口令。
42.在本可选的实施方式中，通过获取自定义弱口令字典，可将所述有效登录信息与自定义弱口令字典进行匹配，进而当所述有效登录信息与所述自定义弱口令字典匹配成功时，能够确定所述有效登录信息为弱口令，其中，自定义弱口令字典是用户自定义并上传的弱口令字典。
43.在本技术实施例中，作为一种可选的实施方式，步骤106：判断有效登录信息是否弱口令，包括以下子步骤：判断有效登录信息是否满足自定义弱口令匹配规则，若有效登录信息满足自定义弱口令匹配规则，则确定有效登录信息为弱口令。
44.在本可选的实施方式中，通过判断有效登录信息是否满足自定义弱口令匹配规则，能够确定有效登录信息为弱口令。
45.在本可选的实施方式中，自定义弱口令匹配规则是根据接入的用户数据自定义的匹配规则，其中，自定义弱口令匹配规则可以是当口令不包含特殊符时，该口令为弱口令。
46.在本可选的实施方式中，进一步可选地，判断有效登录信息是否满足自定义弱口令匹配规则，若有效登录信息满足自定义弱口令匹配规则，则确定有效登录信息为弱口令，包括：判断有效登录信息中是否包括公司名称、或员工姓名、或管理员信息，若是，则确定有效登录信息为弱口令。
47.在本可选的实施方式中，如果包括有效登录信息包括公司名称、或员工姓名、或管理员信息，则表示该有效登录信息为弱口令，即表示该有效登录信息容易泄露，进而恶意第三方可能会利用该有效登录信息去攻击企业系统或利用该有效登录信息完成其他恶意行为，例如，恶意第三方会利用该有效登录信息登录企业系统，从而基于企业系统获取企业的
数据，进一步地，恶意第三方会利用该有效登录信息破解其他系统的登录信息，从而对更多的系统数据造成破坏，例如，利用有效登录信息的姓名、公司名称等信息完整相关系统的密码恶意修改等。另一方面，当有效登录信息为弱口令时，也表示该口令容易被破解，例如，如果有效登录信息中的密码为“66666”，则很容易被恶意第三方利用密码库碰撞出。
48.在本可选的实施方式，作为另一可选方式，判断有效登录信息是否满足自定义弱口令匹配规则，若有效登录信息满足自定义弱口令匹配规则，则确定有效登录信息为弱口令，包括：判断有效登录信息中是否包括登录者的亲人名字，若是，则确定有效登录信息为弱口令。
49.在本技术实施例中，可基于多种弱口令的判断方式之间的先后关系综合判断有效登录信息是否为弱口令，例如，在判断出有效登录信息中不包括公司名称、或员工姓名、或管理员信息时，可进一步判断有效登录信息是否与第三方弱口令库进行匹配，进而实现级联判断。
50.在本技术实施例中，作为一种可选的实施方式中，在步骤106：判断有效登录信息是否弱口令之后，本技术实施例还包括以下步骤：当有效登录信息为弱口令时，基于有效登录信息，生成告警信息，并将告警信息发送给用户。
51.在本可选的实施方式中，基于有效登录信息，生成告警信息的具体方式为：获取有效登录信息在预设周期内的登录网站的ip地址、登录时间、登录次数，并基于预设周期内的登录网站的ip地址、登录时间、登录次数生成告警信息，其中，告警信息除了包括登录网站的ip地址、登录时间、登录次数，还可以包括威胁等级等其他用于通知用户的数据。
52.实施例二请参阅图2，图2是本技术实施例公开的一种弱口令判断装置的结构示意图。如图2所示，本技术实施例的装置包括以下功能模块：获取模块201，用于获取用户登录过程产生的网络流量；报文还原模块202，用于将网络流量还原为报文信息；划分模块203，用于根据报文信息将网络流量划分为请求包和响应包；提取模块204，用于基于预设口令提取规则在请求包的起始行、请求头部、消息正文提取登录信；第一判断模块205，用于基于响应包判断登录信息是否能够登录成功，其中，当登录信息登录成功时，则将登录信息筛选出并作为有效登录信息；第二判断模块206，用于判断有效登录信息是否弱口令。
53.本技术实施例的装置通过弱口令判断方法，一方面能够通过从海量的登录信息中筛选出有效登录信息，进而降低弱口令判断的工作量和降低弱口令的处置成本，另一方面，本技术实施例能够通过自定义数据，进一步判断登录信息是否为弱口令，从而降低弱口令漏报的概率。
54.需要说明是，关于本技术实施例的装置的其他详细说明，请参阅本技术实施例一的相关内容，本技术实施例对此不作赘述。
55.实施例三请参阅图3，图3是本技术实施例公开的一种弱口令判断设备的结构示意图。如图3所示，本技术实施例的设备包括：存储有可执行程序代码的存储器301；与存储器301耦合的处理器302；处理器302调用存储器301中存储的可执行程序代码，执行本技术实施例一的弱口令判断方法。
56.本技术实施例的设备通过弱口令判断方法，一方面能够通过从海量的登录信息中筛选出有效登录信息，进而降低弱口令判断的工作量和降低弱口令的处置成本，另一方面，本技术实施例能够通过自定义数据，进一步判断登录信息是否为弱口令，从而降低弱口令漏报的概率。
57.需要说明是，关于本技术实施例的设备的其他详细说明，请参阅本技术实施例一的相关内容，本技术实施例对此不作赘述。
58.实施例四本技术实施例公开一种存储介质，存储介质存储有计算机指令，计算机指令被调用时，用于执行本技术实施例一的弱口令判断方法。
59.本技术实施例的存储介质通过弱口令判断方法，一方面能够通过从海量的登录信息中筛选出有效登录信息，进而降低弱口令判断的工作量和降低弱口令的处置成本，另一方面，本技术实施例能够通过自定义数据，进一步判断登录信息是否为弱口令，从而降低弱口令漏报的概率。
60.需要说明是，关于本技术实施例的存储介质的其他详细说明，请参阅本技术实施例一的相关内容，本技术实施例对此不作赘述。
61.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
62.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
63.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
64.需要说明的是，功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本技术各个实施例所述方法的全部或
部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（read-only memory，rom）随机存取存储器（random access memory，ram）、磁碟或者光盘等各种可以存储程序代码的介质。
65.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
66.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。