基於FEA的暴力破解行爲分析

暴力破解，是一種經過不斷登錄嘗試而獲取正確的用戶帳號和密碼的攻擊方法。攻擊者系統地組合全部可能破解用戶的帳戶名、密碼的信息後，利用單機或控制的僵屍網絡進行大量的登錄嘗試，最終得到能夠成功登錄的帳號和密碼。

讀完暴力破解的概念，您是否是感受暴力破解就是一種體力活，拿一堆窮盡的用戶名和密碼去不斷的嘗試，直到找到能夠成功登錄的賬號和密碼爲止，好像跟黑客用的高科技攻擊手段相去甚遠。其實，經過分析一些監測點的數據，咱們發現暴力破解依然是網絡中主要的攻擊手段之一。

         那麼，暴力破解有什麼危害，值得咱們去研究呢？

    這是由於一旦密碼被破解，攻擊者就擁有了相應的帳號權限，就能進行提權、盜取信息或其餘破壞性操做，若是是擁有更大權限的管理員賬號（好比，root），那產生的危害就更大。

    目前，對暴力破解防禦的研究較多，但經過海量級數據來進行防禦分析的研究項目比較少見，而本文將經過大數據分析系統FEA，經過分析一些網絡審計設備的日誌，來判斷暴力破解的狀況。

分析的思路爲：通常登陸協議（好比，http\https\ftp\ssh）會有三種事件：登錄鏈接，登錄失敗，登錄成功。而一次登錄鏈接有兩種結果：登錄失敗或登錄成功。那麼，用登錄鏈接結果結合登錄的時間間隔進行分析，就能夠識別出一些暴力破解的行爲。好比，telnet訪問有telnet登錄鏈接、telnet登錄失敗、telnet登錄成功三種事件；遠程桌面鏈接訪問，也有遠程桌面鏈接、遠程桌面登陸失敗、遠程桌面登陸成功等不一樣事件。能夠看出，telnet、遠程桌面鏈接、ssh、ftp 等多個協議都有相關標識登錄鏈接，登錄結果是否成功的事件，所以，均可以用此思路進行相關分析。

如下是運用該分析思路，進行的典型的程序暴力破解分析和比較隱蔽的暴力破解行爲分析。

1、典型的程序暴力破解分析

攻擊者一般使用程序和腳原本進行登錄嘗試，經過嘗試不一樣的密碼，判斷登錄是否成功。表現的特色是鏈接的頻率較高，通常1分鐘內都會超過10次登錄操做。

根據這些特色，使用FEA進行建模分析，在一段時間（如1分鐘）內，登錄次數達到設定的閾值，並且其結果都是登錄失敗的，就定義爲暴力破解。

例如，某監測點其中一臺服務器一個月受到4795次暴力破解攻擊，每次攻擊有十幾回，幾十次連續的鏈接登錄行爲，總共受到接近十萬次的登錄鏈接嘗試。咱們分析後，得出以下分析結果。

 一、某服務器*.*.4.212一個月內，從1號到30號的暴力破解鏈接次數

二、攻擊者的源ip國家比例

2、比較隱蔽的暴力破解行爲分析

爲了躲避防火牆的阻斷，不少攻擊者在程序和腳本中增長了一些混淆的處理，使暴力破解行爲登陸鏈接頻率較低，或者時間間隔也不相等，相似於一種低速的、非勻速的暴力破解，沒有明顯的機器程序操做特性。 但這些行爲的相同特色是，登陸次數特別多，達到很大的值，並且登錄結果都是登錄失敗。

例如，某監測點發現某主機時間週期內前面有大量的TELNET_登陸失敗，TELNET_口令弱，TELNET_鏈接。而且，在很長的時間內，幾天或者一個月， 幾萬條或者是十幾萬條數據都沒有出現登錄成功。   

從上圖，能夠看出「登錄鏈接」次數和「登錄失敗」次數柱狀圖徹底一致，說明一直在嘗試登錄，且登錄失敗。

不少狀況下，部分IP一直沒有出現登錄成功事件，若是原始數據準確的話，說明暴力破解尚未成功。也有極少的ip前面「登錄成功」數值都爲零，大量的「登錄失敗」事件後， 最後出現幾回「登錄成功」事件。可是，只要您結合日誌中詳細信息中的賬號信息，就能發現哪些帳號被破解，哪些ip受到攻擊。