面试题答案
一键面试关键指标
- 认证失败率:较高的认证失败率可能意味着暴力破解攻击或异常的用户行为。比如,短时间内大量无效的用户名/密码尝试。
- 授权码泄露频率:授权码若频繁被泄露,表明授权流程存在漏洞,可能被中间人攻击获取。
- 令牌过期率异常情况:若令牌过期时间与设定的策略不符,或者大量令牌同时过期,可能存在人为篡改或系统故障。
- 异常IP访问频率:来自异常地理位置或大量非预期IP地址的访问请求,可能是恶意攻击者在探测系统。
- 重放攻击检测率:检测到重放攻击的次数,反映了系统对重放攻击的防御能力。若该指标上升,说明系统在这方面的防护可能存在问题。
- 客户端应用的异常请求率:特定客户端应用发出的请求与正常模式偏差较大,可能该客户端已被攻破或存在恶意代码。
监控与分析潜在威胁
- 实时监控:
- 利用日志系统实时记录所有认证、授权相关操作,包括时间、用户、IP、操作结果等。
- 通过监控工具对上述关键指标设置阈值,如认证失败率超过10%(可根据实际业务调整)发出警报。
- 趋势分析:
- 分析关键指标在一段时间内的趋势,如认证失败率是否持续上升,若有上升趋势可能预示着攻击正在进行。
- 对于授权码泄露频率,观察是否有周期性变化,若有规律的泄露,可能存在内部人员违规操作或系统存在固定漏洞被反复利用。
- 关联分析:
- 将异常IP访问频率与认证失败率关联,若异常IP伴随着高认证失败率,很可能是恶意IP在进行暴力破解。
- 结合客户端应用的异常请求率和令牌过期率异常情况,若某个客户端应用的异常请求伴随着大量令牌过期异常,可能是该客户端应用对令牌管理存在问题或遭受攻击。