(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211166067.3 (22)申请日 2022.09.23 (71)申请人 北京知道创宇信息技 术股份有限公 司 地址 100000 北京市朝阳区阜通 东大街1号 院5号楼1单 元311501室 (72)发明人 尹俊　杨冀龙　赵伟　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 张萍 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 防爆破方法、 装置、 电子设备和可读存储介 质 (57)摘要 本申请提供一种防爆破方法、 装置、 电子设 备和可读存储介质， 在系统启 动后， 扫描系统中 的syslog日志， 并提取出日志中的IP地址。 基于 预先配置的正则匹配规则将IP地址与黑名单和 白名单进行匹配。 若IP地址满足白名单的正则匹 配规则， 正常处理来自该IP地址的访问数据。 若 IP地址满足黑名单的正则匹配规则， 对该IP地址 进行封禁处理， 并通过配置的iptables规则， 拒 绝来自该IP地址的访问数据。 本方案所有命令使 用openwrt标准命令， 实现了一个小型的、 轻量级 的日志检测器， 可以有效的阻止ssh攻击， 并且通 过与iptables联动， 编辑防火墙规则， 设置访问 黑名单， 具有体积小、 内存占用少 、 无需外部依 赖 等优点。 权利要求书2页 说明书9页 附图3页 CN 115550016 A 2022.12.30 CN 115550016 A 1.一种防爆破方法， 其特 征在于， 所述方法包括： 在openwrt系统上的防爆破程序启动 后， 扫描系统中的sysl og日志； 提取出所述sysl og日志中的IP地址； 基于预先配置的正则匹配规则并采用所述openwrt系统中 防爆破程序的sed命令， 将提 取出的IP地址与预先配置的黑名单和白名单进 行匹配， 若 所述IP地址满足所述白名单对应 的正则匹配规则， 则正常处 理来自所述 IP地址的访问数据； 若所述IP地址满足所述黑名单对应的正则匹配规则， 则对所述IP地址进行封禁处理， 并通过预先配置的iptables规则， 拒绝 来自所述 IP地址的访问数据。 2.根据权利要求1所述的防爆破方法， 其特征在于， 所述在openwrt系 统上的防爆破程 序启动后， 扫描系统中的sysl og日志的步骤， 包括： 在openwrt系统上的防爆破程序启动后， 获取所述op enwrt系统上的防爆破程序的启动 模式； 根据所述启动模式确定所需扫描的sysl og日志的扫描范围； 根据确定的所述扫描范围对系统中的sysl og日志进行扫描。 3.根据权利要求2所述的防爆破方法， 其特征在于， 所述openwrt系 统上的防爆破程序 的启动模式包括用于实时扫描syslog日志的普通启动模式、 用于扫描指定时间段内的 syslog日志的定时启动模式、 用于遍历全扫描syslog日志的全量启动模式和用于扫描当天 产生的sysl og日志的当天模式。 4.根据权利要求1所述的防爆破方法， 其特 征在于， 所述方法还 包括： 根据所述syslog日志获取满足所述黑名单对应的正则匹配规则的IP地址发起的访问 信息以及 访问次数； 检测发起的访问信 息中存在异常信 息的访问的访问次数是否超过预设次数， 若超过预 设次数， 则将所述IP地址加入所述黑名单中， 并执行所述对所述IP地址进行封禁处理的步 骤。 5.根据权利要求1所述的防爆破方法， 其特征在于， 所述对所述IP地址进行封禁处理 的 步骤， 包括： 设置封禁模式， 所述封禁模式 中包括封禁时间； 按照所述封禁模式对所述IP地址进行封禁处理， 并在所述封禁时间结束后对所述IP地 址解封处 理。 6.根据权利要求5所述的防爆破方法， 其特 征在于， 所述方法还 包括： 记录满足所述黑名单对应的正则匹配规则的各IP地址发起攻击访问的时间、 封禁的时 间和解封的时间； 将所述发起 攻击访问的时间、 封禁的时间和解封的时间记录在程序日志中。 7.根据权利要求6所述的防爆破方法， 其特 征在于， 所述方法还 包括： 在到达设置的程序日志的释放 时间后， 将到达所述释放 时间的程序日志中的内容进行 清除处理。 8.一种防爆破 装置， 其特 征在于， 所述装置包括： 扫描模块， 用于在open wrt系统上的防爆破程序启动 后， 扫描系统中的sysl og日志； 提取模块， 用于提取 出所述sysl og日志中的IP地址；权　利　要　求　书 1/2 页 2 CN 115550016 A 2匹配模块， 用于基于预先配置的正则 匹配规则 并采用所述openwrt系 统中防爆破程序 的sed命令， 将提取 出的IP地址与预 先配置的黑名单和白名单进行匹配； 处理模块， 用于在所述IP地址满足所述白名单对应的正则匹配规则时， 正常处理来自 所述IP地址的访问数据； 拒绝模块， 用于在所述IP地址满足所述黑名单对应的正则匹配规则时， 对所述IP地址 进行封禁处 理， 并通过 预先配置的iptables规则， 拒绝 来自所述 IP地址的访问数据。 9.一种电子设备， 其特征在于， 包括一个或多个存储介质和一个或多个与存储介质通 信的处理器， 一个或多个存储介质存储有处理器可执行 的机器可执行指令， 当电子设备运 行时， 处理器执行所述机器可 执行指令， 以执 行权利要求1 ‑7中任意一项所述的方法步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有机器可执 行指令， 所述机器可 执行指令被执 行时实现权利要求1 ‑7中任意一项所述的方法步骤。权　利　要　求　书 2/2 页 3 CN 115550016 A 3