Я хотел бы спросить превентивное (или параноидальный;) среди нас: Что Вы ищете, и как?
Я думаю главным образом о вещах, за которыми можно наблюдать программно, вместо того, чтобы вручную осмотреть журналы.
Например:
Просто задавшись вопросом, что большинство людей считало бы практичным и эффективным.
Профилактический материал (как санитария ввода данных пользователем), конечно, крайне важен, но в случае этого вопроса я больше интересуюсь обнаружением потенциальной угрозы. В этом случае я интересуюсь Сигнализацией, а не блокировками.
Пример вида вещи, о которой я говорю, существует здесь на ТАК. При создании слишком многих модификаций к вопросу в короткий промежуток времени он поднимает капчу, чтобы удостовериться, что Вы не бот.
Три указателя для вас:
Запомните и запомните хороший.
Приложение, которое ищет вредоносные http-запросы до того, как они попадут в веб-приложение, называется Web Application Firewall. Большинство WAF могут быть настроены на отправку электронных писем при обнаружении атак, таким образом, у вас есть "сигнализация от взломщика". WAF более полезны для предотвращения атак до того, как они достигнут вашего веб-приложения, которое больше похоже на кирпичную стену, которая приходит в ярость, когда вы к ней прикасаетесь.
Вы можете посмотреть статистические аномалии. Например, сохраните текущее среднее значение процента неудачных попыток входа в систему за каждый час за последний день. Если этот процент внезапно станет, скажем, в три раза больше, возможно, вы имеете дело с попыткой взлома пароля.
Невозможно заранее сказать, какими будут правильные параметры для такого алгоритма. Я бы сказал, что вы начнете с того, что сделаете их слишком чувствительными, а затем уменьшите их, пока количество ложных срабатываний не станет приемлемым.