基于FEA的暴力破解行为分析

暴力破解，是一种经过不断登录尝试而获取正确的用户帐号和密码的攻击方法。攻击者系统地组合全部可能破解用户的帐户名、密码的信息后，利用单机或控制的僵尸网络进行大量的登录尝试，最终得到能够成功登录的帐号和密码。

读完暴力破解的概念，您是否是感受暴力破解就是一种体力活，拿一堆穷尽的用户名和密码去不断的尝试，直到找到能够成功登录的账号和密码为止，好像跟黑客用的高科技攻击手段相去甚远。其实，经过分析一些监测点的数据，咱们发现暴力破解依然是网络中主要的攻击手段之一。

         那么，暴力破解有什么危害，值得咱们去研究呢？

    这是由于一旦密码被破解，攻击者就拥有了相应的帐号权限，就能进行提权、盗取信息或其余破坏性操做，若是是拥有更大权限的管理员账号（好比，root），那产生的危害就更大。

    目前，对暴力破解防御的研究较多，但经过海量级数据来进行防御分析的研究项目比较少见，而本文将经过大数据分析系统FEA，经过分析一些网络审计设备的日志，来判断暴力破解的状况。

分析的思路为：通常登陆协议（好比，http\https\ftp\ssh）会有三种事件：登录链接，登录失败，登录成功。而一次登录链接有两种结果：登录失败或登录成功。那么，用登录链接结果结合登录的时间间隔进行分析，就能够识别出一些暴力破解的行为。好比，telnet访问有telnet登录链接、telnet登录失败、telnet登录成功三种事件；远程桌面链接访问，也有远程桌面链接、远程桌面登陆失败、远程桌面登陆成功等不一样事件。能够看出，telnet、远程桌面链接、ssh、ftp 等多个协议都有相关标识登录链接，登录结果是否成功的事件，所以，均可以用此思路进行相关分析。

如下是运用该分析思路，进行的典型的程序暴力破解分析和比较隐蔽的暴力破解行为分析。

1、典型的程序暴力破解分析

攻击者一般使用程序和脚原本进行登录尝试，经过尝试不一样的密码，判断登录是否成功。表现的特色是链接的频率较高，通常1分钟内都会超过10次登录操做。

根据这些特色，使用FEA进行建模分析，在一段时间（如1分钟）内，登录次数达到设定的阈值，并且其结果都是登录失败的，就定义为暴力破解。

例如，某监测点其中一台服务器一个月受到4795次暴力破解攻击，每次攻击有十几回，几十次连续的链接登录行为，总共受到接近十万次的登录链接尝试。咱们分析后，得出以下分析结果。

 一、某服务器*.*.4.212一个月内，从1号到30号的暴力破解链接次数

二、攻击者的源ip国家比例

2、比较隐蔽的暴力破解行为分析

为了躲避防火墙的阻断，不少攻击者在程序和脚本中增长了一些混淆的处理，使暴力破解行为登陆链接频率较低，或者时间间隔也不相等，相似于一种低速的、非匀速的暴力破解，没有明显的机器程序操做特性。 但这些行为的相同特色是，登陆次数特别多，达到很大的值，并且登录结果都是登录失败。

例如，某监测点发现某主机时间周期内前面有大量的TELNET_登陆失败，TELNET_口令弱，TELNET_链接。而且，在很长的时间内，几天或者一个月， 几万条或者是十几万条数据都没有出现登录成功。   

从上图，能够看出“登录链接”次数和“登录失败”次数柱状图彻底一致，说明一直在尝试登录，且登录失败。

不少状况下，部分IP一直没有出现登录成功事件，若是原始数据准确的话，说明暴力破解尚未成功。也有极少的ip前面“登录成功”数值都为零，大量的“登录失败”事件后， 最后出现几回“登录成功”事件。可是，只要您结合日志中详细信息中的账号信息，就能发现哪些帐号被破解，哪些ip受到攻击。