(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211027137.7 (22)申请日 2022.08.25 (71)申请人 济南浪潮数据技 术有限公司 地址 250101 山东省济南市自由贸易试验 区济南片区浪潮路1036号 浪潮科技园 S05楼S311室 (72)发明人 刘庆功　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 付丽 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种暴力破解的识别方法及相关组件 (57)摘要 本发明公开了一种暴力破解的识别方法及 相关组件， 涉及通信安全技术领域， 包括在 目标 服务器内核层获取各个登录账户的登录数据包， 在登录数据包中记录的目的端口为目标服务器 中的风险端口时进一步确定登录账户在当前时 刻之后的预设时间段内的登录状态为登录失败 的失败次数， 当失败次数大于预设次数阈值时识 别该登录 账户为暴力破解账户。 从内核层获取登 录数据包能够实时反映登录账户的信息， 并且在 根据登录账户在当前时刻之后的预设时间段内 的失败次数识别暴力破解账户的方式更加准确， 确保了目标服 务器的安全。 权利要求书2页 说明书8页 附图3页 CN 115396202 A 2022.11.25 CN 115396202 A 1.一种暴力破解的识别方法， 其特 征在于， 包括： 在目标服务器的内核层获取各个登录账户的登录数据包， 其中， 所述登录数据包包括 所述登录账户访问的目的端口以及所述登录账户的登录状态； 在所述目的端口为所述目标服务器中的风险端口时， 确定所述登录账户在 当前时刻 之 后的预设时间段内的登录状态为登录失败的失败次数； 在所述失败次数 大于预设次数阈值时， 识别所述登录账户为 暴力破解账户。 2.如权利要求1所述的暴力破解的识别方法， 其特征在于， 所述登录数据包还包括所述 登录账户访问所述目标服 务器使用的传输层协议； 在确定所述登录账户在当前时刻之后的预设时间段内的登录状态为登录失败的失败 次数之前， 还 包括： 确定所述传输层协议为所述目标服务器对应的风险传输层协议 时， 进入确定所述登录 账户在当前时刻之后的预设时间段内的登录状态为登录失败的失败次数的步骤。 3.如权利要求1所述的暴力破解的识别方法， 其特 征在于， 所述 风险端口包括： 所述目标服务器中用于进行远程桌面连接的RDP端口、 所述目标服务器中用于共享所 述目标服务器内的文件的端口以及所述目标服务器中用于连接共享输出设备的端口中的 任意一个或多个的组合。 4.如权利要求1所述的暴力破解的识别方法， 其特征在于， 所述登录数据包还包括所述 登录账户使用的源IP以及源端口； 在识别所述登录账户为 暴力破解账户之后， 还 包括： 在所述内核层拦截IP为所述源IP和/或端口为所述源端口 的登录账户。 5.如权利要求4所述的暴力破解的识别方法， 其特征在于， 在识别所述登录账户为暴力 破解账户之后， 还 包括： 生成用于提 示用户所述目标服 务器受到暴力破解的提 示信息。 6.如权利要求1至5任一项所述的暴力破解的识别方法， 其特征在于， 确定所述登录账 户在当前时刻之后的预设时间段内的登录状态为登录失败的失败次数， 包括： 在所述登录状态为登录成功时， 将首次登录失败时间清除； 在所述登录状态为登录失败时， 将登录失败次数加一； 在确定所述首次登录失败时间不为空时， 将所述登录账户当前的登录状态为登录失败 时的时间减去所述首次登录失败时间得到登录持续时间； 在确定所述首次登录失败时间为空时， 记录所述登录账户当前的登录状态为登录失败 时的时间为所述首次登录失败时间， 并将所述登录失败次数加一； 在所述登录持续 时间小于所述预设时间段时， 进入在所述失败次数大于预设次数阈值 时， 识别所述登录账户为 暴力破解账户的步骤； 在所述登录持续 时间大于所述预设时间段时， 将所述首次登录失败时间清除并将所述 登录账户当前的登录状态为登录失败时的时间作为所述首次登录失败时间。 7.一种暴力破解的识别系统， 其特 征在于， 包括： 登录数据包获取单元， 用于在目标服务器的内核层获取各个登录账户的登录数据包， 其中， 所述登录数据包 包括所述登录账户访问的目的端口以及所述登录账户的登录状态； 失败次数确定单元， 用于在所述目的端口为所述目标服务器中的风险端口时， 确定所权　利　要　求　书 1/2 页 2 CN 115396202 A 2述登录账户在当前时刻之后的预设时间段内的登录状态为登录失败的失败次数； 识别单元， 用于在所述失败次数大于预设次数阈值时， 识别所述登录账户为暴力破解 账户。 8.一种暴力破解的识别装置， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至6任一项所述暴力破解的识别 方法的步骤。 9.一种服 务器， 其特 征在于， 包括如权利要求8所述的暴力破解的识别装置 。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至6任一项 所述暴力破解的识别方 法的步骤。权　利　要　求　书 2/2 页 3 CN 115396202 A 3