CN111813752A - 一种获取rdp爆破攻击来源的方法和系统 - Google Patents
一种获取rdp爆破攻击来源的方法和系统 Download PDFInfo
- Publication number
- CN111813752A CN111813752A CN202010619997.4A CN202010619997A CN111813752A CN 111813752 A CN111813752 A CN 111813752A CN 202010619997 A CN202010619997 A CN 202010619997A CN 111813752 A CN111813752 A CN 111813752A
- Authority
- CN
- China
- Prior art keywords
- rdp
- source
- log
- port
- ports
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种获取rdp爆破攻击来源的方法,在日志监控中增加抓包流程,抓取目的端口为rdp服务端口的流量,并记录流量的来源ip和端口;日志监控过程中发现rdp登录成功事件发生时,提取来源ip和端口并记录;定时取出所有发起过rdp请求的来源ip和端口以及所有rdp登录成功事件的来源ip和端口,求差集得到rdp登录失败事件的来源ip和端口。还公开了一种系统,包括日志监控模块、抓包模块、判断模块和定时处理模块。本发明将windows事件日志分析和轻量级抓包结合,在所有的rdp爆破事件中过滤掉登录成功的事件,从而获取到攻击者的来源ip和端口,能准确的获取到大量爆破行为的攻击来源。
Description
技术领域
本发明涉及计算机网络及信息安全技术领域,具体的说,是一种获取rdp 爆破攻击来源的方法和系统。
背景技术
RDP(Remote Desktop Protocol)称为“远程桌面登录协议”,即当某台计算机 开启了远程桌面连接功能后(在windows系统中这个功能是默认打开的),我们 就可以在网络的另一端控制这台机器了。通过远程桌面功能,我们可以实时地 操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该 计算机上操作一样。RDP攻击就是利用RDP功能登录到远程机器上,把该远程 机器作为“肉鸡”,在上面种植木马、偷窃信息、发起DDOS攻击等行为。要实 现将远程机器作为RDP肉鸡,必须知道远程机器的登录密码。所以常规方式是 利用RDP协议来暴力破解远程机器的密码。
Rdp暴力破解攻击的危害十分显著,在攻击者爆破过程中产生的大量rdp请 求会使系统性能降低,可能影响服务器的正常运行,并且一旦爆破成功,本台 机器就会完全沦陷,彻底落入攻击者的掌控之中,因此,作为受攻击的一方, 我们除了加固系统密码以外,还要尝试对rdp爆破攻击进行溯源,分析攻击的来 源地址和端口,并根据这些信息配置相应的防火墙规则,避免系统受到危害;
Windows事件日志记录着Windows系统中发生的各类事件。通过事件日志, 可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此 外也可以了解用户的各种操作行为。事件日志包含9个元素:日期/时间、事件 级别、用户、计算机、事件ID、来源、任务类别、描述、数据等信息,因此, 它可以为调查提供很多关键信息;
目前,网络上主流的rdp攻击分析方案绝大部分是基于windows事件日志; 主要是对事件id为4624(表示账号登录成功)和1149(表示用户认证成功)的 日志进行分析,分析方式分为两种:实时解析和离线解析,下面简述两种方式 的流程:
实时解析:1.编写日志监控程序,调用windows提供的事件监控api,实时 的对事件日志变化进行监控;2.每一次获取到日志变化时,取出新增的日志条目, 判断事件id是否为4624或1149;3.若是登录事件,分析日志内容,返回相关连 接信息(ip,端口)。
离线解析:1.编写程序,利用windows powershell自带的日志导出命令将windows事件日志导出为csv文件;2.调用相关的解析库读取整个文件内容获取 逐条日志,判断事件id是否为4624或1149;3.若是登录事件,分析日志内容, 提取相关连接信息(ip,端口)。
两种分析方案存在明显缺陷,由于rdp爆破攻击绝大部分都是登录失败,被windows记录为事件id为4625(表示账号登陆失败)的事件日志,两种方案的 本质都是对rdp登录成功的事件进行解析,当一次持续的rdp爆破攻击未能成功 时,不会产生id为4624和1149的事件日志,只会产生大量的4625事件日志, 若用现有的方案进行分析则无法进行溯源;而对于爆破攻击,大量的登录请求 都是失败的,仅有极低的概率爆破成功,故该方案仅适用于爆破成功后的事后 记录,对于溯源爆破行为本身作用不大,导致rdp爆破事件溯源困难。
发明内容
本发明的目的在于提供一种获取rdp爆破攻击来源的方法和系统,用于解决 现有技术中溯源rdp爆破行为困难的问题。
本发明通过下述技术方案解决上述问题:
一种获取rdp爆破攻击来源的方法,包括:
步骤S100:在日志监控中,增加抓包流程,用于抓取目的端口为rdp服务 端口的流量,并记录流量的来源ip和端口;
步骤S200:日志监控过程中发现rdp登录成功事件发生时,从日志中提取 来源ip和端口并记录;
步骤S300:定时取出所有发起过rdp请求的来源ip和端口以及所有rdp登 录成功事件的来源ip和端口,对这两个集合求差集,得到rdp登录失败事件的 来源ip和端口。
主程序触发事件回调函数时,获取事件日志的详细信息,提取事件id并进 行判断,若是rdp登录成功日志,则从事件详情中提取来源ip和端口,存放在 初始化的全局字典A中;
主程序启动子进程用于抓包,指定抓包规则抓取本机当前网卡下目的端口 为rdp服务端口的所有流量;
当进程的流量监控触发事件回调函数时,从抓取的数据包中提取rdp登录成 功事件的请求来源ip地址和端口信息,存放在初始化的全局字典B中;
主程序启动子进程用于两个全局字典的分析:子进程启动定时任务每间隔 固定时间,对全局字典A和全局字典B中的数据进行分析,判断全局字典B中 存放的rdp登录成功事件的来源ip和端口是否在全局字典A中存在,若存在, 则从全局字典A中剔除这部分rdp登录成功事件的来源ip和端口,全局字典A 中剩余的来源ip和端口即为全部的rdp登录失败事件的来源ip和端口。
一种获取rdp爆破攻击来源的系统,包括日志监控模块、抓包模块、判断模 块和定时处理模块,其中:
日志监控模块,用于调用事件监控api,实时对日志变化进行监控;
抓包模块,用于抓取目的端口为rdp服务端口的流量,并记录流量的来源ip 和端口;
判断模块,用于在日志监控模块监测到日志变化时,取出新增的日志条目, 并判断是否有rdp登录成功事件发生;
定时处理模块,用于定时取出所有发起过rdp请求的来源ip和端口以及所 有rdp登录成功事件的来源ip和端口,对这两个集合求差集,得到rdp登录失 败事件的来源ip和端口;
日志处理模块,对rdp登录失败事件的来源ip和端口进行统计和处理。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明将windows事件日志分析和轻量级抓包结合,在所有的rdp爆 破事件中过滤掉登录成功的事件,从而获取到攻击者的来源ip和端口,跟现有 技术相比能准确的获取到大量爆破行为的攻击来源,对于安全分析和系统安全 策略制定有很大帮助。
(2)本发明不局限于windows系统自身收集的有限数据(即事件日志), 采用了已有数据(事件日志)结合额外数据收集的方式,实现了对rdp爆破事件 的准确过滤和来源记录。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限 于此。
实施例:
一种获取rdp爆破攻击来源的方法,包括:
1.对当前网卡上所有目的端口为rdp服务端口的流量进行抓包,记录所有rdp 连接的来源ip和端口、连接发生时间和登录成功状态(true或者false,抓包获 取到的地址该字段默认为false,即所有抓包得到的请求都默认是登录失败)并 保存在集合A中;
2.监控windows事件日志的变化情况,判断是否有rdp事件相关的日志产生;
3.若出现rdp事件相关日志,提取日志的事件id,判断事件是否为rdp登录 成功,若是,解析该条事件日志,从日志中提取该次连接的来源ip和端口,记 录在集合B中;若不是则跳过该日志;
4.每隔固定的时间,对两个集合中的数据进行分析:遍历集合B,对每一个 集合B中的来源ip和端口,判断其是否在集合A中,若在,则在集合A中将该 来源ip和端口的登录成功状态改为true,表示这是一次登录成功事件;循环直 到所有集合B中的元素都被判断过;
5.初始化一个集合C用于存放要被删除的ip和端口;随后遍历集合A,对 于集合A中的每个ip和端口,判断其登录成功状态是否为true,若是,将ip和 端口添加至集合C中;循环直到所有集合A中的元素都被判断过;
6.对于每个在集合C中存在的ip和端口,从集合A中将这些ip和端口删除; 至此集合A中剩余的ip和端口全部为rdp登录失败事件的ip和端口;
上述方案对rdp登录日志的分析过程进行了改造,通过日志分析和网络抓包 的方式实现了对rdp登录失败事件的来源ip地址和端口记录;为rdp爆破攻击 溯源提供了重要的分析数据。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅 为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该 理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实 施方式将落在本申请公开的原则范围和精神之内。
Claims (2)
1.一种获取rdp爆破攻击来源的方法,其特征在于,包括:
步骤S100:在日志监控中,增加抓包流程,用于抓取目的端口为rdp服务端口的流量,并记录流量的来源ip和端口;
步骤S200:日志监控过程中发现rdp登录成功事件发生时,从日志中提取来源ip和端口并记录;
步骤S300:定时取出所有发起过rdp请求的来源ip和端口以及所有rdp登录成功事件的来源ip和端口,对这两个集合求差集,得到rdp登录失败事件的来源ip和端口。
2.一种获取rdp爆破攻击来源的系统,其特征在于,包括日志监控模块、抓包模块、判断模块和定时处理模块,其中:
日志监控模块,用于调用事件监控api,实时对日志变化进行监控;
抓包模块,用于抓取目的端口为rdp服务端口的流量,并记录流量的来源ip和端口;
判断模块,用于在日志监控模块监测到日志变化时,取出新增的日志条目,并判断是否有rdp登录成功事件发生;
定时处理模块,用于定时取出所有发起过rdp请求的来源ip和端口以及所有rdp登录成功事件的来源ip和端口,对这两个集合求差集,得到rdp登录失败事件的来源ip和端口;
日志处理模块,对rdp登录失败事件的来源ip和端口进行统计和处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010619997.4A CN111813752A (zh) | 2020-07-01 | 2020-07-01 | 一种获取rdp爆破攻击来源的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010619997.4A CN111813752A (zh) | 2020-07-01 | 2020-07-01 | 一种获取rdp爆破攻击来源的方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111813752A true CN111813752A (zh) | 2020-10-23 |
Family
ID=72856542
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010619997.4A Pending CN111813752A (zh) | 2020-07-01 | 2020-07-01 | 一种获取rdp爆破攻击来源的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111813752A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113395278A (zh) * | 2021-06-10 | 2021-09-14 | 北京顶象技术有限公司 | BurpSuite抓包工具抓取数据包检测方法和系统 |
CN114598740A (zh) * | 2022-03-04 | 2022-06-07 | 北京优炫软件股份有限公司 | 一种微隔离数据抓取方法以及系统 |
CN117112873A (zh) * | 2023-10-25 | 2023-11-24 | 北京华云安信息技术有限公司 | 基于代码注入的api爆破方法、装置、设备以及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656640A (zh) * | 2017-03-14 | 2017-05-10 | 北京深思数盾科技股份有限公司 | 网络攻击的预警方法及装置 |
CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
CN109743325A (zh) * | 2019-01-11 | 2019-05-10 | 北京中睿天下信息技术有限公司 | 一种暴力破解攻击检测方法、系统、设备及存储介质 |
CN110012011A (zh) * | 2019-04-03 | 2019-07-12 | 北京奇安信科技有限公司 | 防止恶意登录的方法、装置、计算机设备及存储介质 |
CN110417717A (zh) * | 2018-12-06 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 登录行为的识别方法及装置 |
CN110866246A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种恶意代码攻击的检测方法、装置及电子设备 |
CN111125649A (zh) * | 2019-10-31 | 2020-05-08 | 苏州浪潮智能科技有限公司 | 一种远程桌面登录暴力破解的防护方法与装置 |
CN111245793A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 网络数据的异常分析方法及装置 |
-
2020
- 2020-07-01 CN CN202010619997.4A patent/CN111813752A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656640A (zh) * | 2017-03-14 | 2017-05-10 | 北京深思数盾科技股份有限公司 | 网络攻击的预警方法及装置 |
CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
CN110417717A (zh) * | 2018-12-06 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 登录行为的识别方法及装置 |
CN110866246A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种恶意代码攻击的检测方法、装置及电子设备 |
CN109743325A (zh) * | 2019-01-11 | 2019-05-10 | 北京中睿天下信息技术有限公司 | 一种暴力破解攻击检测方法、系统、设备及存储介质 |
CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
CN110012011A (zh) * | 2019-04-03 | 2019-07-12 | 北京奇安信科技有限公司 | 防止恶意登录的方法、装置、计算机设备及存储介质 |
CN111125649A (zh) * | 2019-10-31 | 2020-05-08 | 苏州浪潮智能科技有限公司 | 一种远程桌面登录暴力破解的防护方法与装置 |
CN111245793A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 网络数据的异常分析方法及装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113395278A (zh) * | 2021-06-10 | 2021-09-14 | 北京顶象技术有限公司 | BurpSuite抓包工具抓取数据包检测方法和系统 |
CN113395278B (zh) * | 2021-06-10 | 2022-10-18 | 北京顶象技术有限公司 | BurpSuite抓包工具抓取数据包检测方法和系统 |
CN114598740A (zh) * | 2022-03-04 | 2022-06-07 | 北京优炫软件股份有限公司 | 一种微隔离数据抓取方法以及系统 |
CN114598740B (zh) * | 2022-03-04 | 2024-02-02 | 北京优炫软件股份有限公司 | 一种微隔离数据抓取方法以及系统 |
CN117112873A (zh) * | 2023-10-25 | 2023-11-24 | 北京华云安信息技术有限公司 | 基于代码注入的api爆破方法、装置、设备以及存储介质 |
CN117112873B (zh) * | 2023-10-25 | 2024-01-26 | 北京华云安信息技术有限公司 | 基于代码注入的api爆破方法、装置、设备以及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108494746B (zh) | 一种网络端口流量异常检测方法及系统 | |
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
CN111813752A (zh) | 一种获取rdp爆破攻击来源的方法和系统 | |
US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
EP1490768B1 (en) | Adaptive behavioural intrusion detection | |
EP2040435B1 (en) | Intrusion detection method and system | |
US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
US20030084328A1 (en) | Method and computer-readable medium for integrating a decode engine with an intrusion detection system | |
KR20000057209A (ko) | 자동화된 광역 네트워크 감시 및 보안 침해 개입 방법 및 장치 | |
CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
CN108337266B (zh) | 一种高效的协议客户端漏洞发掘方法与系统 | |
CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
US7836503B2 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
US7451145B1 (en) | Method and apparatus for recursively analyzing log file data in a network | |
CN113542311B (zh) | 一种实时检测失陷主机并回溯的方法 | |
Fatemi et al. | Threat hunting in windows using big security log data | |
Bolzoni et al. | ATLANTIDES: An Architecture for Alert Verification in Network Intrusion Detection Systems. | |
Herrerias et al. | A log correlation model to support the evidence search process in a forensic investigation | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
Amrouche et al. | Graph-based malicious login events investigation | |
CN112104628A (zh) | 一种自适应特征规则匹配的实时恶意流量检测方法 | |
RU186198U1 (ru) | Средство обнаружения вторжений уровня узла сети |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201023 |