2013
Flow-based detection of RDP brute-force attacks
VIZVÁRY, Martin a Jan VYKOPALZákladní údaje
Originální název
Flow-based detection of RDP brute-force attacks
Název česky
Detekce útoků hrubou silou na autentizaci RDP
Autoři
VIZVÁRY, Martin a Jan VYKOPAL
Vydání
Brno, Security and Protection of Information 2013, od s. 131-138, 8 s. 2013
Nakladatel
Univerzita obrany
Další údaje
Jazyk
angličtina
Typ výsledku
Stať ve sborníku
Obor
10201 Computer sciences, information science, bioinformatics
Stát vydavatele
Česká republika
Utajení
není předmětem státního či obchodního tajemství
Forma vydání
tištěná verze "print"
Označené pro přenos do RIV
Ano
Kód RIV
RIV/00216224:14610/13:00065720
Organizační jednotka
Ústav výpočetní techniky
ISBN
978-80-7231-922-0
Klíčová slova anglicky
Remote Desktop Protocol; RDP; brute-force attack; intrusion detection; NetFlow; NfSen; bidirectional flow; dictionary attack
Štítky
Příznaky
Mezinárodní význam, Recenzováno
Změněno: 27. 4. 2018 04:41, doc. RNDr. Jan Vykopal, Ph.D.
Anotace
V originále
This paper describes a design and evaluation of a network-based detection of brute-force attacks on authentication of Microsoft Windows RDP. The network flow data provides sufficient information about communication of two nodes in network, even though the RDP communication is encrypted. An analysis was based on the network flow data collected in the Masaryk University network and host-based data from logs of a server with opened Remote Desktop Connection. These data helped us to improve the flow detection using the information gathered from the server event log. Despite the fact that RDP is encrypted, flow data gives us a sufficient amount of information to determine whether the connection is an authentication or regular remote desktop session. We implemented the attacks detection as a plugin for the widely used NfSen collector. The plugin is involved in the active defense of the network of Masaryk University.
Návaznosti
| VG20132015103, projekt VaV |
|