一种针对弱监管路由设备的恶意行为检测方法
发布时间:2021-06-22 21:58
当前,互联网安全领域对路由设备的重视程度日渐加深,但传统的安全防护策略存在一定的局限性,特别是弱监管的路由设备,难以有效地监管和维护。提出一种轻量级的针对路由设备的恶意行为检测系统,利用加载于弱监管路由设备的轻量级程序监控其流量和配置的变化,识别恶意攻击行为并告警。通过在Cisco路由器与Mikrotik路由器上部署监测程序验证该方法的有效性。测试结果表明本文研究的方法能有效发现针对路由设备的恶意行为,且适用于不同厂商、多种类型的设备,可快速、有效、便捷地监测弱监管路由设备,提升路由器的防护能力。
【文章来源】:信息工程大学学报. 2020,21(03)
【文章页数】:8 页
【部分图文】:
EEM攻击原理
为更稳定地控制路由设备,攻击方在取得路由控制权限后,通常会设置后门。出于通用性考虑,多数是通过基于TCL/TBC的后门程序(TBC是TCL脚本加密为机器中间码之后的文件)。该方法实际上是利用TCL在路由设备中的可执行属性,通过非法隐藏的后门用户加载恶意脚本开启特殊端口进行监听,而攻击者能够通过telnet/ssh等命令直接从特殊端口以后门用户权限对路由设备进行访问和操作,具体攻击流程如图3。图3 路由设备后门攻击原理
图2 隐蔽篡改配置攻击原理在研究恶意脚本及提取特征的过程中,发现利用CRON定时执行恶意脚本程序开启监听是TCL/TBC后门的重要特征,本文以图4的Andy Davis[15]提供的原始攻击脚本为例进行分析。
【参考文献】:
期刊论文
[1]日志异常检测技术研究[J]. 杨瑞朋,屈丹,朱少卫,黄浩. 信息工程大学学报. 2019(05)
本文编号:3243594
【文章来源】:信息工程大学学报. 2020,21(03)
【文章页数】:8 页
【部分图文】:
EEM攻击原理
为更稳定地控制路由设备,攻击方在取得路由控制权限后,通常会设置后门。出于通用性考虑,多数是通过基于TCL/TBC的后门程序(TBC是TCL脚本加密为机器中间码之后的文件)。该方法实际上是利用TCL在路由设备中的可执行属性,通过非法隐藏的后门用户加载恶意脚本开启特殊端口进行监听,而攻击者能够通过telnet/ssh等命令直接从特殊端口以后门用户权限对路由设备进行访问和操作,具体攻击流程如图3。图3 路由设备后门攻击原理
图2 隐蔽篡改配置攻击原理在研究恶意脚本及提取特征的过程中,发现利用CRON定时执行恶意脚本程序开启监听是TCL/TBC后门的重要特征,本文以图4的Andy Davis[15]提供的原始攻击脚本为例进行分析。
【参考文献】:
期刊论文
[1]日志异常检测技术研究[J]. 杨瑞朋,屈丹,朱少卫,黄浩. 信息工程大学学报. 2019(05)
本文编号:3243594
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3243594.html
