CN111813752A - 一种获取rdp爆破攻击来源的方法和系统 - Google Patents

一种获取rdp爆破攻击来源的方法和系统 Download PDF

Info

Publication number
CN111813752A
CN111813752A CN202010619997.4A CN202010619997A CN111813752A CN 111813752 A CN111813752 A CN 111813752A CN 202010619997 A CN202010619997 A CN 202010619997A CN 111813752 A CN111813752 A CN 111813752A
Authority
CN
China
Prior art keywords
rdp
source
log
port
ports
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010619997.4A
Other languages
English (en)
Inventor
杨川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN202010619997.4A priority Critical patent/CN111813752A/zh
Publication of CN111813752A publication Critical patent/CN111813752A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/1734Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/1805Append-only file systems, e.g. using logs or journals to store data
    • G06F16/1815Journaling file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种获取rdp爆破攻击来源的方法,在日志监控中增加抓包流程,抓取目的端口为rdp服务端口的流量,并记录流量的来源ip和端口;日志监控过程中发现rdp登录成功事件发生时,提取来源ip和端口并记录;定时取出所有发起过rdp请求的来源ip和端口以及所有rdp登录成功事件的来源ip和端口,求差集得到rdp登录失败事件的来源ip和端口。还公开了一种系统,包括日志监控模块、抓包模块、判断模块和定时处理模块。本发明将windows事件日志分析和轻量级抓包结合,在所有的rdp爆破事件中过滤掉登录成功的事件,从而获取到攻击者的来源ip和端口,能准确的获取到大量爆破行为的攻击来源。

Description

一种获取rdp爆破攻击来源的方法和系统
技术领域
本发明涉及计算机网络及信息安全技术领域,具体的说,是一种获取rdp 爆破攻击来源的方法和系统。
背景技术
RDP(Remote Desktop Protocol)称为“远程桌面登录协议”,即当某台计算机 开启了远程桌面连接功能后(在windows系统中这个功能是默认打开的),我们 就可以在网络的另一端控制这台机器了。通过远程桌面功能,我们可以实时地 操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该 计算机上操作一样。RDP攻击就是利用RDP功能登录到远程机器上,把该远程 机器作为“肉鸡”,在上面种植木马、偷窃信息、发起DDOS攻击等行为。要实 现将远程机器作为RDP肉鸡,必须知道远程机器的登录密码。所以常规方式是 利用RDP协议来暴力破解远程机器的密码。
Rdp暴力破解攻击的危害十分显著,在攻击者爆破过程中产生的大量rdp请 求会使系统性能降低,可能影响服务器的正常运行,并且一旦爆破成功,本台 机器就会完全沦陷,彻底落入攻击者的掌控之中,因此,作为受攻击的一方, 我们除了加固系统密码以外,还要尝试对rdp爆破攻击进行溯源,分析攻击的来 源地址和端口,并根据这些信息配置相应的防火墙规则,避免系统受到危害;
Windows事件日志记录着Windows系统中发生的各类事件。通过事件日志, 可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此 外也可以了解用户的各种操作行为。事件日志包含9个元素:日期/时间、事件 级别、用户、计算机、事件ID、来源、任务类别、描述、数据等信息,因此, 它可以为调查提供很多关键信息;
目前,网络上主流的rdp攻击分析方案绝大部分是基于windows事件日志; 主要是对事件id为4624(表示账号登录成功)和1149(表示用户认证成功)的 日志进行分析,分析方式分为两种:实时解析和离线解析,下面简述两种方式 的流程:
实时解析:1.编写日志监控程序,调用windows提供的事件监控api,实时 的对事件日志变化进行监控;2.每一次获取到日志变化时,取出新增的日志条目, 判断事件id是否为4624或1149;3.若是登录事件,分析日志内容,返回相关连 接信息(ip,端口)。
离线解析:1.编写程序,利用windows powershell自带的日志导出命令将windows事件日志导出为csv文件;2.调用相关的解析库读取整个文件内容获取 逐条日志,判断事件id是否为4624或1149;3.若是登录事件,分析日志内容, 提取相关连接信息(ip,端口)。
两种分析方案存在明显缺陷,由于rdp爆破攻击绝大部分都是登录失败,被windows记录为事件id为4625(表示账号登陆失败)的事件日志,两种方案的 本质都是对rdp登录成功的事件进行解析,当一次持续的rdp爆破攻击未能成功 时,不会产生id为4624和1149的事件日志,只会产生大量的4625事件日志, 若用现有的方案进行分析则无法进行溯源;而对于爆破攻击,大量的登录请求 都是失败的,仅有极低的概率爆破成功,故该方案仅适用于爆破成功后的事后 记录,对于溯源爆破行为本身作用不大,导致rdp爆破事件溯源困难。
发明内容
本发明的目的在于提供一种获取rdp爆破攻击来源的方法和系统,用于解决 现有技术中溯源rdp爆破行为困难的问题。
本发明通过下述技术方案解决上述问题:
一种获取rdp爆破攻击来源的方法,包括:
步骤S100:在日志监控中,增加抓包流程,用于抓取目的端口为rdp服务 端口的流量,并记录流量的来源ip和端口;
步骤S200:日志监控过程中发现rdp登录成功事件发生时,从日志中提取 来源ip和端口并记录;
步骤S300:定时取出所有发起过rdp请求的来源ip和端口以及所有rdp登 录成功事件的来源ip和端口,对这两个集合求差集,得到rdp登录失败事件的 来源ip和端口。
主程序触发事件回调函数时,获取事件日志的详细信息,提取事件id并进 行判断,若是rdp登录成功日志,则从事件详情中提取来源ip和端口,存放在 初始化的全局字典A中;
主程序启动子进程用于抓包,指定抓包规则抓取本机当前网卡下目的端口 为rdp服务端口的所有流量;
当进程的流量监控触发事件回调函数时,从抓取的数据包中提取rdp登录成 功事件的请求来源ip地址和端口信息,存放在初始化的全局字典B中;
主程序启动子进程用于两个全局字典的分析:子进程启动定时任务每间隔 固定时间,对全局字典A和全局字典B中的数据进行分析,判断全局字典B中 存放的rdp登录成功事件的来源ip和端口是否在全局字典A中存在,若存在, 则从全局字典A中剔除这部分rdp登录成功事件的来源ip和端口,全局字典A 中剩余的来源ip和端口即为全部的rdp登录失败事件的来源ip和端口。
一种获取rdp爆破攻击来源的系统,包括日志监控模块、抓包模块、判断模 块和定时处理模块,其中:
日志监控模块,用于调用事件监控api,实时对日志变化进行监控;
抓包模块,用于抓取目的端口为rdp服务端口的流量,并记录流量的来源ip 和端口;
判断模块,用于在日志监控模块监测到日志变化时,取出新增的日志条目, 并判断是否有rdp登录成功事件发生;
定时处理模块,用于定时取出所有发起过rdp请求的来源ip和端口以及所 有rdp登录成功事件的来源ip和端口,对这两个集合求差集,得到rdp登录失 败事件的来源ip和端口;
日志处理模块,对rdp登录失败事件的来源ip和端口进行统计和处理。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明将windows事件日志分析和轻量级抓包结合,在所有的rdp爆 破事件中过滤掉登录成功的事件,从而获取到攻击者的来源ip和端口,跟现有 技术相比能准确的获取到大量爆破行为的攻击来源,对于安全分析和系统安全 策略制定有很大帮助。
(2)本发明不局限于windows系统自身收集的有限数据(即事件日志), 采用了已有数据(事件日志)结合额外数据收集的方式,实现了对rdp爆破事件 的准确过滤和来源记录。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限 于此。
实施例:
一种获取rdp爆破攻击来源的方法,包括:
1.对当前网卡上所有目的端口为rdp服务端口的流量进行抓包,记录所有rdp 连接的来源ip和端口、连接发生时间和登录成功状态(true或者false,抓包获 取到的地址该字段默认为false,即所有抓包得到的请求都默认是登录失败)并 保存在集合A中;
2.监控windows事件日志的变化情况,判断是否有rdp事件相关的日志产生;
3.若出现rdp事件相关日志,提取日志的事件id,判断事件是否为rdp登录 成功,若是,解析该条事件日志,从日志中提取该次连接的来源ip和端口,记 录在集合B中;若不是则跳过该日志;
4.每隔固定的时间,对两个集合中的数据进行分析:遍历集合B,对每一个 集合B中的来源ip和端口,判断其是否在集合A中,若在,则在集合A中将该 来源ip和端口的登录成功状态改为true,表示这是一次登录成功事件;循环直 到所有集合B中的元素都被判断过;
5.初始化一个集合C用于存放要被删除的ip和端口;随后遍历集合A,对 于集合A中的每个ip和端口,判断其登录成功状态是否为true,若是,将ip和 端口添加至集合C中;循环直到所有集合A中的元素都被判断过;
6.对于每个在集合C中存在的ip和端口,从集合A中将这些ip和端口删除; 至此集合A中剩余的ip和端口全部为rdp登录失败事件的ip和端口;
上述方案对rdp登录日志的分析过程进行了改造,通过日志分析和网络抓包 的方式实现了对rdp登录失败事件的来源ip地址和端口记录;为rdp爆破攻击 溯源提供了重要的分析数据。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅 为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该 理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实 施方式将落在本申请公开的原则范围和精神之内。

Claims (2)

1.一种获取rdp爆破攻击来源的方法,其特征在于,包括:
步骤S100:在日志监控中,增加抓包流程,用于抓取目的端口为rdp服务端口的流量,并记录流量的来源ip和端口;
步骤S200:日志监控过程中发现rdp登录成功事件发生时,从日志中提取来源ip和端口并记录;
步骤S300:定时取出所有发起过rdp请求的来源ip和端口以及所有rdp登录成功事件的来源ip和端口,对这两个集合求差集,得到rdp登录失败事件的来源ip和端口。
2.一种获取rdp爆破攻击来源的系统,其特征在于,包括日志监控模块、抓包模块、判断模块和定时处理模块,其中:
日志监控模块,用于调用事件监控api,实时对日志变化进行监控;
抓包模块,用于抓取目的端口为rdp服务端口的流量,并记录流量的来源ip和端口;
判断模块,用于在日志监控模块监测到日志变化时,取出新增的日志条目,并判断是否有rdp登录成功事件发生;
定时处理模块,用于定时取出所有发起过rdp请求的来源ip和端口以及所有rdp登录成功事件的来源ip和端口,对这两个集合求差集,得到rdp登录失败事件的来源ip和端口;
日志处理模块,对rdp登录失败事件的来源ip和端口进行统计和处理。
CN202010619997.4A 2020-07-01 2020-07-01 一种获取rdp爆破攻击来源的方法和系统 Pending CN111813752A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010619997.4A CN111813752A (zh) 2020-07-01 2020-07-01 一种获取rdp爆破攻击来源的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010619997.4A CN111813752A (zh) 2020-07-01 2020-07-01 一种获取rdp爆破攻击来源的方法和系统

Publications (1)

Publication Number Publication Date
CN111813752A true CN111813752A (zh) 2020-10-23

Family

ID=72856542

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010619997.4A Pending CN111813752A (zh) 2020-07-01 2020-07-01 一种获取rdp爆破攻击来源的方法和系统

Country Status (1)

Country Link
CN (1) CN111813752A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113395278A (zh) * 2021-06-10 2021-09-14 北京顶象技术有限公司 BurpSuite抓包工具抓取数据包检测方法和系统
CN114598740A (zh) * 2022-03-04 2022-06-07 北京优炫软件股份有限公司 一种微隔离数据抓取方法以及系统
CN117112873A (zh) * 2023-10-25 2023-11-24 北京华云安信息技术有限公司 基于代码注入的api爆破方法、装置、设备以及存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656640A (zh) * 2017-03-14 2017-05-10 北京深思数盾科技股份有限公司 网络攻击的预警方法及装置
CN106686014A (zh) * 2017-03-14 2017-05-17 北京深思数盾科技股份有限公司 网络攻击的防治方法及装置
CN109587179A (zh) * 2019-01-28 2019-04-05 南京云利来软件科技有限公司 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
CN109743325A (zh) * 2019-01-11 2019-05-10 北京中睿天下信息技术有限公司 一种暴力破解攻击检测方法、系统、设备及存储介质
CN110012011A (zh) * 2019-04-03 2019-07-12 北京奇安信科技有限公司 防止恶意登录的方法、装置、计算机设备及存储介质
CN110417717A (zh) * 2018-12-06 2019-11-05 腾讯科技(深圳)有限公司 登录行为的识别方法及装置
CN110866246A (zh) * 2018-12-28 2020-03-06 北京安天网络安全技术有限公司 一种恶意代码攻击的检测方法、装置及电子设备
CN111125649A (zh) * 2019-10-31 2020-05-08 苏州浪潮智能科技有限公司 一种远程桌面登录暴力破解的防护方法与装置
CN111245793A (zh) * 2019-12-31 2020-06-05 西安交大捷普网络科技有限公司 网络数据的异常分析方法及装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656640A (zh) * 2017-03-14 2017-05-10 北京深思数盾科技股份有限公司 网络攻击的预警方法及装置
CN106686014A (zh) * 2017-03-14 2017-05-17 北京深思数盾科技股份有限公司 网络攻击的防治方法及装置
CN110417717A (zh) * 2018-12-06 2019-11-05 腾讯科技(深圳)有限公司 登录行为的识别方法及装置
CN110866246A (zh) * 2018-12-28 2020-03-06 北京安天网络安全技术有限公司 一种恶意代码攻击的检测方法、装置及电子设备
CN109743325A (zh) * 2019-01-11 2019-05-10 北京中睿天下信息技术有限公司 一种暴力破解攻击检测方法、系统、设备及存储介质
CN109587179A (zh) * 2019-01-28 2019-04-05 南京云利来软件科技有限公司 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
CN110012011A (zh) * 2019-04-03 2019-07-12 北京奇安信科技有限公司 防止恶意登录的方法、装置、计算机设备及存储介质
CN111125649A (zh) * 2019-10-31 2020-05-08 苏州浪潮智能科技有限公司 一种远程桌面登录暴力破解的防护方法与装置
CN111245793A (zh) * 2019-12-31 2020-06-05 西安交大捷普网络科技有限公司 网络数据的异常分析方法及装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113395278A (zh) * 2021-06-10 2021-09-14 北京顶象技术有限公司 BurpSuite抓包工具抓取数据包检测方法和系统
CN113395278B (zh) * 2021-06-10 2022-10-18 北京顶象技术有限公司 BurpSuite抓包工具抓取数据包检测方法和系统
CN114598740A (zh) * 2022-03-04 2022-06-07 北京优炫软件股份有限公司 一种微隔离数据抓取方法以及系统
CN114598740B (zh) * 2022-03-04 2024-02-02 北京优炫软件股份有限公司 一种微隔离数据抓取方法以及系统
CN117112873A (zh) * 2023-10-25 2023-11-24 北京华云安信息技术有限公司 基于代码注入的api爆破方法、装置、设备以及存储介质
CN117112873B (zh) * 2023-10-25 2024-01-26 北京华云安信息技术有限公司 基于代码注入的api爆破方法、装置、设备以及存储介质

Similar Documents

Publication Publication Date Title
CN108494746B (zh) 一种网络端口流量异常检测方法及系统
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
CN111813752A (zh) 一种获取rdp爆破攻击来源的方法和系统
US7903566B2 (en) Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
EP1490768B1 (en) Adaptive behavioural intrusion detection
EP2040435B1 (en) Intrusion detection method and system
US7995496B2 (en) Methods and systems for internet protocol (IP) traffic conversation detection and storage
US8762515B2 (en) Methods and systems for collection, tracking, and display of near real time multicast data
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
KR20000057209A (ko) 자동화된 광역 네트워크 감시 및 보안 침해 개입 방법 및 장치
CN112114995A (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
CN108337266B (zh) 一种高效的协议客户端漏洞发掘方法与系统
CN110958231A (zh) 基于互联网的工控安全事件监测平台及其方法
CN113660115B (zh) 基于告警的网络安全数据处理方法、装置及系统
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
US7451145B1 (en) Method and apparatus for recursively analyzing log file data in a network
CN113542311B (zh) 一种实时检测失陷主机并回溯的方法
Fatemi et al. Threat hunting in windows using big security log data
Bolzoni et al. ATLANTIDES: An Architecture for Alert Verification in Network Intrusion Detection Systems.
Herrerias et al. A log correlation model to support the evidence search process in a forensic investigation
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
Amrouche et al. Graph-based malicious login events investigation
CN112104628A (zh) 一种自适应特征规则匹配的实时恶意流量检测方法
RU186198U1 (ru) Средство обнаружения вторжений уровня узла сети

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201023