暴力破解作为网络入侵、横向传播阶段中常见的攻击手段,是指对应用系统通过使用大量的认证信息在目标认证接口进行反复尝试登录的攻击行为。业内常用检测方式主要采用基于登录频率的规则来识别并阻断暴力破解攻击,上述方式无法解决加密协议和低频慢速暴破场景下的安全问题,如RDP远程桌面登陆协议、SSH协议访问等。由于交互细节被加密,通过规则匹配仅能识别出采用的协议类型,无法审计是否登录成功。攻击者为逃避安全检测,往往采用更加隐蔽的分布式、低频暴破攻击而不是传统的高频暴破攻击,此时单IP在单位时间内的暴破次数很可能低于预定设置的阈值,导致无法准确定位攻击者。
深信服下一代防火墙应用专项账号暴破检测引擎,该引擎采用创新的登录状态分析和暴破检测算法,能够检测加密协议、慢速暴破以及异常登录,及时发现攻击者违规越权的网络访问行为。其工作流程如下所示:
进行协议识别,对于加密协议,进行加密登录认证状态判定,然后进入慢速暴破判定引擎处理,对于非加密协议,直接进入慢速暴破判定引擎。
对于加密协议采用基于多特征模型的登录认证状态判定,根据会话时长、协议交互、流量和工具等多维度特征,综合判断本次登录是否成功。
采用基于指纹的异常登录检测,识别非标准程序登录、暴破攻击登录和漏洞攻击登录等异常登录行为。
识别登录状态后,进入基于多尺度时间窗口序列化的慢速暴破检测引擎,识别隐蔽的慢速暴破行为。
建议使用Chrome浏览器访问!
