机构名称:
¥ 12.0
远程桌面协议 (RDP) 因支持远程访问和管理 Windows 系统而广受欢迎;然而,攻击者可以利用 RDP 对使用它的关键系统造成危害。检测和分类 RDP 攻击是一项挑战,因为大多数 RDP 流量都是加密的,并且在手动解密 RDP 流量后,并不总是清楚哪些系统连接是恶意的。在这项研究中,我们使用开源工具,使用我们控制的电网蜜罐生成和分析 RDP 攻击数据。我们开发了通过恶意签名、Windows 事件日志条目和网络流量元数据检测和表征 RDP 攻击的方法。对我们的蜜罐的四个实例收集的实际攻击数据进行表征方法的测试和评估表明,我们可以有效地划分良性和恶意 RDP 流量,并对未受保护或配置错误的 Windows 系统上的 RDP 攻击的严重程度进行分类。攻击模式和严重程度级别的分类可以让防御者了解 RDP 攻击中的对抗行为。我们的结果还可以帮助保护国家关键基础设施,包括国防部系统。
远程桌面协议攻击的行为特征
主要关键词
相关文件推荐
