當(dāng)前,互聯(lián)網(wǎng)安全領(lǐng)域?qū)β酚稍O(shè)備的重視程度日漸加深,但傳統(tǒng)的安全防護(hù)策略存在一定的局限性,特別是弱監(jiān)管的路由設(shè)備,難以有效地監(jiān)管和維護(hù)。提出一種輕量級的針對路由設(shè)備的惡意行為檢測系統(tǒng),利用加載于弱監(jiān)管路由設(shè)備的輕量級程序監(jiān)控其流量和配置的變化,識別惡意攻擊行為并告警。通過在Cisco路由器與Mikrotik路由器上部署監(jiān)測程序驗證該方法的有效性。測試結(jié)果表明本文研究的方法能有效發(fā)現(xiàn)針對路由設(shè)備的惡意行為,且適用于不同廠商、多種類型的設(shè)備,可快速、有效、便捷地監(jiān)測弱監(jiān)管路由設(shè)備,提升路由器的防護(hù)能力。 

【文章來源】：信息工程大學(xué)學(xué)報. 2020,21(03)

【文章頁數(shù)】：8 頁

【部分圖文】：

EEM攻擊原理

為更穩(wěn)定地控制路由設(shè)備，攻擊方在取得路由控制權(quán)限后，通常會設(shè)置后門。出于通用性考慮，多數(shù)是通過基于TCL/TBC的后門程序（TBC是TCL腳本加密為機(jī)器中間碼之后的文件）。該方法實(shí)際上是利用TCL在路由設(shè)備中的可執(zhí)行屬性，通過非法隱藏的后門用戶加載惡意腳本開啟特殊端口進(jìn)行監(jiān)聽，而攻擊者能夠通過telnet/ssh等命令直接從特殊端口以后門用戶權(quán)限對路由設(shè)備進(jìn)行訪問和操作，具體攻擊流程如圖3。圖3 路由設(shè)備后門攻擊原理

圖2 隱蔽篡改配置攻擊原理在研究惡意腳本及提取特征的過程中，發(fā)現(xiàn)利用CRON定時執(zhí)行惡意腳本程序開啟監(jiān)聽是TCL/TBC后門的重要特征，本文以圖4的Andy Davis[15]提供的原始攻擊腳本為例進(jìn)行分析。

【參考文獻(xiàn)】：
期刊論文
[1]日志異常檢測技術(shù)研究[J]. 楊瑞朋,屈丹,朱少衛(wèi),黃浩.  信息工程大學(xué)學(xué)報. 2019(05)



本文編號：3243594