文档章节

基于FEA的暴力破解行为分析

openfea
 openfea
发布于 2017/02/23 15:14
字数 1249
阅读 42
收藏 0

暴力破解,是一种通过不断登陆尝试而获取正确的用户账号和密码的攻击方法。攻击者系统地组合所有可能破解用户的账户名、密码的信息后,利用单机或控制的僵尸网络进行大量的登陆尝试,最终获得可以成功登陆的账号和密码。

读完暴力破解的概念,您是不是感觉暴力破解就是一种体力活,拿一堆穷尽的用户名和密码去不断的尝试,直到找到可以成功登陆的帐号和密码为止,好像跟黑客用的高科技攻击手段相去甚远。其实,通过分析一些监测点的数据,我们发现暴力破解依然是网络中主要的攻击手段之一。

         那么,暴力破解有什么危害,值得我们去研究呢?

    这是因为一旦密码被破解,攻击者就拥有了相应的账号权限,就能进行提权、盗取信息或其他破坏性操作,如果是拥有更大权限的管理员帐号(比如,root),那产生的危害就更大。

    目前,对暴力破解防护的研究较多,但通过海量级数据来进行防护分析的研究项目比较少见,而本文将通过大数据分析系统FEA,通过分析一些网络审计设备的日志,来判断暴力破解的情况。

分析的思路为:一般登录协议(比如,http\https\ftp\ssh)会有三种事件:登陆连接,登陆失败,登陆成功。而一次登陆连接有两种结果:登陆失败或登陆成功。那么,用登陆连接结果结合登陆的时间间隔进行分析,就可以识别出一些暴力破解的行为。比如,telnet访问有telnet登陆连接、telnet登陆失败、telnet登陆成功三种事件;远程桌面连接访问,也有远程桌面连接、远程桌面登录失败、远程桌面登录成功等不同事件。可以看出,telnet、远程桌面连接、ssh、ftp 等多个协议都有相关标识登陆连接,登陆结果是否成功的事件,因此,都可以用此思路进行相关分析。

以下是运用该分析思路,进行的典型的程序暴力破解分析和比较隐蔽的暴力破解行为分析。

一、典型的程序暴力破解分析

攻击者通常使用程序和脚本来进行登陆尝试,通过尝试不同的密码,判断登陆是否成功。表现的特点是连接的频率较高,一般1分钟内都会超过10次登陆操作。

根据这些特点,使用FEA进行建模分析,在一段时间(如1分钟)内,登陆次数达到设定的阈值,而且其结果都是登陆失败的,就定义为暴力破解。

例如,某监测点其中一台服务器一个月受到4795次暴力破解攻击,每次攻击有十几次,几十次连续的连接登陆行为,总共受到接近十万次的登陆连接尝试。我们分析后,得出如下分析结果。

 1、某服务器*.*.4.212一个月内,从1号到30号的暴力破解连接次数

2、攻击者的源ip国家比例

二、比较隐蔽的暴力破解行为分析

为了躲避防火墙的阻断,很多攻击者在程序和脚本中增加了一些混淆的处理,使暴力破解行为登录连接频率较低,或者时间间隔也不相等,类似于一种低速的、非匀速的暴力破解,没有明显的机器程序操作特性。 但这些行为的相同特点是,登录次数特别多,达到很大的值,而且登陆结果都是登陆失败。

例如,某监测点发现某主机时间周期内前面有大量的TELNET_登录失败,TELNET_口令弱,TELNET_连接。并且,在很长的时间内,几天或者一个月, 几万条或者是十几万条数据都没有出现登陆成功。   

从上图,可以看出“登陆连接”次数和“登陆失败”次数柱状图完全一致,说明一直在尝试登陆,且登陆失败。

很多情况下,部分IP一直没有出现登陆成功事件,如果原始数据准确的话,说明暴力破解还没有成功。也有极少的ip前面“登陆成功”数值都为零,大量的“登陆失败”事件后, 最后出现几次“登陆成功”事件。但是,只要您结合日志中详细信息中的帐号信息,就能发现哪些账号被破解,哪些ip受到攻击。

© 著作权归作者所有

openfea
粉丝 18
博文 86
码字总数 95615
作品 1
杭州
其他
私信 提问
2018年9月杭州云栖大会Workshop - 基于日志的安全分析实战

基于日志的安全分析实战 背景 越来越多的企业开始重视构建基于日志的安全分析与防护系统。我们会讲述如何使用日志服务从0到1收集海量日志,并从中实时筛选、甄别出可疑操作并快速分析,进一步...

成喆
2018/09/19
0
0
淘汰验证码,Google推出人工智能用户验证技术

Google近日开始向网站提供一种全新的,基于人工智能技术的用户验证工具。 目前网站普遍使用的登录验证码不但令人烦恼,而且作用也越来越有限。 据Google官方介绍,最新的人工智能系统对传统验...

李辉
2014/12/04
0
0
董祎铖:建立企业安全应急响应“急救箱”

  前言   攻防对抗是企业安全治理工作中的常态。一方面,安全团队在实际攻击场景中不断提升技术水平和对抗能力;另一方面,红蓝对抗、攻防演练可以有效检验安全工作成果,验证安全机制有...

FreeBuf
2018/08/23
0
0
态势感知攻击链分析-Redis未授权访问检测

      Redis未授权访问漏洞介绍   1、Redis应用介绍   Redis是key-value数据库,一般企业级使用场景为内部查询缓存。支持的value值包括string、list、set、zset和hash,为了保证效率...

嘶吼RoarTalk
2018/09/08
0
0
SSH 暴力破解趋势:从云平台向物联网设备迁移 云鼎实验室出品

  导语:近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过溯源还原攻击者手法,让企业用户与其他用户在应对...

FreeBuf
2018/07/13
0
0

没有更多内容

加载失败,请刷新页面

加载更多

哪些情况下适合使用云服务器?

我们一直在说云服务器价格适中,具备弹性扩展机制,适合部署中小规模的网站或应用。那么云服务器到底适用于哪些情况呢?如果您需要经常原始计算能力,那么使用独立服务器就能满足需求,因为他...

云漫网络Ruan
今天
10
0
Java 中的 String 有没有长度限制

转载: https://juejin.im/post/5d53653f5188257315539f9a String是Java中很重要的一个数据类型,除了基本数据类型以外,String是被使用的最广泛的了,但是,关于String,其实还是有很多东西...

低至一折起
今天
22
0
OpenStack 简介和几种安装方式总结

OpenStack :是一个由NASA和Rackspace合作研发并发起的,以Apache许可证授权的自由软件和开放源代码项目。项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenSta...

小海bug
昨天
11
0
DDD(五)

1、引言 之前学习了解了DDD中实体这一概念,那么接下来需要了解的就是值对象、唯一标识。值对象,值就是数字1、2、3,字符串“1”,“2”,“3”,值时对象的特征,对象是一个事物的具体描述...

MrYuZixian
昨天
9
0
解决Mac下VSCode打开zsh乱码

1.乱码问题 iTerm2终端使用Zsh,并且配置Zsh主题,该主题主题需要安装字体来支持箭头效果,在iTerm2中设置这个字体,但是VSCode里这个箭头还是显示乱码。 iTerm2展示如下: VSCode展示如下: 2...

HelloDeveloper
昨天
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部