本发明专利技术属于电力信息安全技术领域,提供了一种电力应用系统账户安全防御系统、方法、介质及设备。其中该方法包括客户端、Web服务器、API服务器、数据库服务器和审计服务器;Web服务器和API服务器中均部署有jar包软探针;jar包软探针用于获取从客户端的浏览器开始到Web服务器、Web服务器到API服务器以及API服务器到数据库服务器整个过程中的所有数据请求以及Web服务器返回给客户端的请求响应内容,并传送至审计服务器;审计服务器内预存有电力应用系统的接口地址及登录用户相关信息;审计服务器用于通过比较当前用户行为与行为分析模型,来判断当前用户行为是否异常。来判断当前用户行为是否异常。来判断当前用户行为是否异常。
【技术实现步骤摘要】
一种电力应用系统账户安全防御系统、方法、介质及设备
[0001]本专利技术属于电力信息安全
,尤其涉及一种电力应用系统账户安全防御系统、方法、介质及设备。
技术介绍
[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
[0003]暴力破解是指攻击者通过遍历或字典的方式,向目标发起大量请求,通过判断返回数据包的特征来找出正确的验证信息,从而绕过验证机制。暴力破解的场景体现在用户登录处的账号密码暴力破解、人机验证机制容易绕过,如使用交易识别的验证码找回密码或二次身份验证等可能用到的手机短信验证码。其主要危害表现如下:(1)攻击者通过泄露账户非法登录主机,盗取用户数据;(2)Web应用信息和资产遭到泄露或更改;(3)主机服务泄露病毒注入,服务停止造成用户访问等。
[0004]针对暴力破解攻击,目前已有的解决方案包括(1)使用验证码进行验证登录,但由于电力信息系统很多部署在内网,无法通过互联网与验证码平台进行通信,存在与电力信息系统特性不相符的问题,无法在电力行业全面推广。(2)限定失败登录次数,但是需要在代码层面进行修改,而很多电力信息系统24小时运行,无法关停更新。(3)认证日志监控,也需要在代码层面进行修改,而很多电力信息系统24小时运行,无法关停更新。(4)判断用户登录IP,攻击者可以不断更换IP代理地址,从而逃避安全检查。
[0005]另外根据专利号CN107122408A所述的方法,提取UI层操作产生的会话标识符(http session),在数据访问层通过数据库的会话管或数据库协议链接报文中获取数据库访问层对应的唯一会话标识符(sql session)。专利中提及将sql请求与http请求关联中,采用登录的用户名方式进行关联。该方面核心是将用户登录的账户和和数据查询进行关联审计。此专利在没有做登录成功失败判定,可能存在登录的用户名是错误的情况下就无法进行关联。
[0006]根据专利号CN105930427B所述的方法,获取浏览器与WEB服务器之间的URL链接以及所述WEB服务器与数据库服务器之间的SQL语句。如id=1与select*from news where id=1关联,其中通过http请求时间和sql请求时间进行修正,而后通过sql模板进行对轮比对。最终通过http会话表示确定浏览器到web到数据库管理。此专利在多个用户同时访问同一个页面形成同一类的sql时,就无法进行关联判断,在实际应用中误报极大。
[0007]综上所述,专利技术人发现,现有技术大部分不适用于电力信息系统,即使适用电力信息系统也可能出现攻击者不断更换IP代理地址,无法避免电力应用系统账号的暴力破解威胁。
技术实现思路
[0008]为了解决上述
技术介绍
中存在的技术问题,本专利技术提供一种电力应用系统账户安
全防御系统、方法、介质及设备,其能够实现后台数据库访问与前台具体访问请求的精确关联,为事后安全事件的分析溯源提供精确的数据基础。
[0009]为了实现上述目的,本专利技术采用如下技术方案:
[0010]本专利技术的第一个方面提供一种电力应用系统账户安全防御系统。
[0011]在一个或多个实施例中,一种电力应用系统账户安全防御系统,其包括:客户端、Web服务器、API服务器、数据库服务器和审计服务器;
[0012]所述Web服务器和API服务器中均部署有jar包软探针;所述jar包软探针用于获取从客户端的浏览器开始到Web服务器、Web服务器到API服务器以及API服务器到数据库服务器整个过程中的所有数据请求以及Web服务器返回给客户端的请求响应内容,并传送至审计服务器;
[0013]所述审计服务器内预存有电力应用系统的接口地址及登录用户相关信息;所述审计服务器用于:
[0014]根据所述数据请求中访问应用系统的接口地址,且请求中包含用户相关信息,来判断当前用户行为是正在执行登录操作;其中,根据所述请求响应内容来判断登录是否成功;
[0015]通过比较当前用户行为与行为分析模型,来判断当前用户行为是否异常。
[0016]作为一种实施方式,所述jar包软探针用于基于Rasp技术监控API服务器中的JAVA虚拟机中的类,来获取所述电力应用系统登录过程中相关数据。
[0017]作为一种实施方式,所述JAVA虚拟机中监测http请求和sql语句。
[0018]作为一种实施方式,当用户发起http请求时,Web服务器创建请求处理线程,jar包软探针拦截http请求信息,生成请求标识,获取元数据;当API服务器中的JAVA虚拟机执行SQL请求时,通过jar包软探针记录SQL语句执行结果并记录http请求数据与SQL语句数据进行关联。
[0019]作为一种实施方式,所述用户相关信息包括用户数据表名和用户数据表列名。
[0020]作为一种实施方式,所述用户行为异常包括:IP查询突变、用户查询突变、超量查询、高频查询和非工作时间查询。
[0021]作为一种实施方式,所述行为分析模型包括:正常登陆模型、频繁登录模型、暴力破解模型、敏感的配置项作模型和高频操作模型。
[0022]本专利技术的第二个方面提供一种电力应用系统账户安全防御方法。
[0023]在一个或多个实施例中,一种基于如上述所述的电力应用系统账户安全防御系统的安全防御方法,该方法应用于审计服务器;包括:
[0024]根据所述数据请求中访问应用系统的接口地址,且请求中包含用户相关信息,来判断当前用户行为是正在执行登录操作;其中,根据所述请求响应内容来判断登录是否成功;
[0025]通过比较当前用户行为与行为分析模型,来判断当前用户行为是否异常。
[0026]本专利技术的第三个方面提供一种计算机可读存储介质。
[0027]一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述所述的电力应用系统账户安全防御方法中的步骤。
[0028]本专利技术的第四个方面提供一种计算机设备。
[0029]一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述所述的电力应用系统账户安全防御方法中的步骤。
[0030]与现有技术相比,本专利技术的有益效果是:
[0031](1)本专利技术通过非侵入软探针的形式部署,不受网络架构影响,支持虚拟化、云环境,满足分布式应用业务系统审计需求。实现了数据中台架构下,后台数据库访问与前台具体访问请求的精确关联,为事后安全事件的分析溯源提供精确的数据基础。
[0032](2)本专利技术针对暴力破解账户密码攻击的特点,设计了实现数据访问行为分析技术方案,采用大数据分析技术与机器学习技术,通过访问频次、访问时间、访问意图和访问行为识别检测。
[0033]本专利技术附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
附图说明
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种电力应用系统账户安全防御系统,其特征在于,包括:客户端、Web服务器、API服务器、数据库服务器和审计服务器;所述Web服务器和API服务器中均部署有jar包软探针;所述jar包软探针用于获取从客户端的浏览器开始到Web服务器、Web服务器到API服务器以及API服务器到数据库服务器整个过程中的所有数据请求以及Web服务器返回给客户端的请求响应内容,并传送至审计服务器;所述审计服务器内预存有电力应用系统的接口地址及登录用户相关信息;所述审计服务器用于:根据所述数据请求中访问应用系统的接口地址,且请求中包含用户相关信息,来判断当前用户行为是正在执行登录操作;其中,根据所述请求响应内容来判断登录是否成功;通过比较当前用户行为与行为分析模型,来判断当前用户行为是否异常。2.如权利要求1所述的电力应用系统账户安全防御系统,其特征在于,所述jar包软探针用于基于Rasp技术监控API服务器中的JAVA虚拟机中的类,来获取所述电力应用系统登录过程中相关数据。3.如权利要求2所述的电力应用系统账户安全防御系统,其特征在于,所述JAVA虚拟机中监测http请求和sql语句。4.如权利要求3所述的电力应用系统账户安全防御系统,其特征在于,当用户发起http请求时,Web服务器创建处理线程,jar包软探针拦截http请求,生成请求标识,获取元数据;当API服务器中的JAVA虚拟机执行SQL语句时,jar包...
【专利技术属性】
技术研发人员:刘新,刘冬兰,张昊,王睿,王勇,常英贤,陈剑飞,马雷,张方哲,孙莉莉,姚洪磊,于灏,秦佳峰,苏冰,赵勇,井俊双,赵夫慧,孙梦谦,
申请(专利权)人:国网山东省电力公司电力科学研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。