发明内容
本发明的目的在于提供一种基于企业域名安全的监控方法及装置,能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力。
第一方面,本发明实施例提供了一种基于企业域名安全的监控方法,包括:
在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;所述目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
结合第一方面,本发明实施例提供了上述第一方面的第一种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
利用扫描脚本对互联网进行定期扫描,得到与参考域名地址相似的嫌疑目标域名地址,并将所述嫌疑目标域名地址记录成钓鱼嫌疑列表。
结合第一方面的第一种可能的实施方式,本发明实施例提供了上述第一方面的第二种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备;所述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
利用预设扫描辅助工具依次扫描所述目标域名设备的端口信息、漏洞信息以及业务类型信息,并记录扫描结果。
结合第一方面的第一种可能的实施方式,本发明实施例提供了上述第一方面的第三种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的嫌疑目标域名设备;所述嫌疑目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
利用查询工具侦测嫌疑目标域名设备的业务负载信息、网络之间互连的协议IP地址信息和地理位置信息,并记录侦测结果。
结合第一方面的第二种可能的实施方式或第一方面的第三种可能的实施方式,本发明实施例提供了上述第一方面的第四种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
获取参考域名地址对应的展示信息的数据内容;
利用扫描工具搜索互联网中与所述展示信息的数据内容相似的网站页面的横幅httpbanner信息,确定所述httpbanner信息对应的嫌疑目标域名的数据信息。
结合第一方面的第四种可能的实施方式,本发明实施例提供了上述第一方面的第五种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
利用查询工具实时查询参考NS记录上的解析地址,并实时记录查询的所述解析地址;所述解析地址包括以下信息中的一种或多种:各地区的DNS服务列表信息、各地区对应的企业的DNS服务信息和各地区异常的DNS服务信息。
结合第一方面的第五种可能的实施方式,本发明实施例提供了上述第一方面的第六种可能的实施方式,其中,所述对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库,包括:
获取所述数据信息中所有数据的数据类型、采集时间和信息条目数;
根据所有数据的数据类型、采集时间和信息条目数,对获取的所有数据进行信息事件化处理,并将事件化处理后的结果入库存储,形成事件数据库;所述所有数据至少包括:扫描结果、所述侦测结果、所述httpbanner信息对应的嫌疑目标域名的数据信息以及所述解析地址。
结合第一方面的第六种可能的实施方式,本发明实施例提供了上述第一方面的第七种可能的实施方式,其中,所述对所述事件数据库进行相关分析,包括:
将所述事件数据库中的事件数据进行数据碰撞,根据数据碰撞的结果建立事件树模型,以形成风险轨迹记录;
和/或,根据所述事件数据库中的历史事件数据,对所述事件数据库中的事件数据进行基于时间的趋势预测和基于空间的趋势预测,得到趋势分析结果;
和/或,对所述事件数据库中的实时事件数据与正常事件数据进行动作对比,记录具有异常动作行为的所述事件数据;所述异常动作行为包括:钓鱼攻击行为和劫持攻击行为。
结合第一方面的第七种可能的实施方式,本发明实施例提供了上述第一方面的第八种可能的实施方式,其中,所述对得到的所述目标事件实时进行主动防御处理,包括:
在网管监控中,对得到的所述目标事件进行实时监控展示;
和\或,在参考域名地址对应的网站上,对得到的所述目标事件攻击所述参考域名地址的行为进行通告;
和/或,将所述得到的所述目标事件及对应的攻击所述参考域名地址的行为发送至网络安全监管服务器,以实现企业域名服务安全监控主动运维。
第二方面,本发明实施例还提供了一种基于企业域名安全的监控装置,包括:
获取单元,用于在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
信息事件化处理单元,用于对所述获取单元获取的嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
相关分析单元,用于对所述信息事件化处理单元得到的事件数据库进行相关分析;
确定单元,用于根据所述相关分析单的分析结果确定准确的和嫌疑的目标事件;相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
主动防御处理单元,用于对所述确定单元确定的目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
本发明实施例提供的一种基于企业域名安全的监控方法及装置,包括:在目标对象中,获取与参考域名地址相似的目标域名的数据信息;对获取的所述目标域名的数据信息进行信息事件化处理,得到事件数据库;对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维,与现有技术中没有相应的防御手段解决企业域名的安全问题相比,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据的分析处理方式,使得分析结果准确性和可靠性均较高。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,网络界现在面临的域名安全主要体现在网络钓鱼、域名劫持和解析垄断等三个方面;其中,网络钓鱼是一种网络犯罪行为,钓鱼者往往利用仿冒域名或者相似网页来诱惑用户,诱骗用户登录恶意网站并泄露个人账户密码等重要信息。网络钓鱼犯罪不仅会给用户造成巨大的经济损失,也会破坏健康有序的互联网环境。
域名劫持,可以理解为域名被劫持,就是将原本准备访问某网站的用户,在不知不觉中通过采用黑客手段控制域名管理密码和域名管理邮箱,然后将该域名的NS(NameServer,域名服务器)纪录指向到黑客可以控制的DNS(DomainNameSystem,域名系统)服务器,然后通过在该DNS服务器上添加相应域名纪录,使用户访问该域名时,进入了黑客所指向的内容。通过上述方法,黑客也较容易窃取用户的个人账户密码等重要信息。
解析垄断即“域名解析”,其是指计算机专家通过DNS技术在域名和IP地址之间建立对应关系,并由解析服务器来完成将域名转换成IP地址的任务,用以帮助人们方便地找到网站。然而,在这一至关重要的领域,美国不仅拥有网络域名的专控权和否决权,还拥有国际互联网高速公路的主干线,而其他任何国家和地区的支干线间的通信都要经过美国的主线。目前,美国的ICANN(TheInternetCorporationforAssignedNamesandNumbers,互联网名称与数字地址分配机构)是全球互联网的最高管理机构,该机构决定着互联网技术的取舍、网络通信协议的制定、域名和IP地址的分配、域名登记与出售以及相关政策的制定等。2005年7月,美国商务部宣布无限期保留对13台域名根服务器的监控权。从安全角度看,美国垄断了“域名解析”的根服务器,也就控制了相应的所有域名,这对于其他使用域名的通信都要受到美国的监控,在一定程度上存在安全隐患。
考虑到上述三个方面的域名安全情况,相关技术中的网络安全技术几乎没有相应的防御手段,使得整个网络的抗攻击和风险的能力严重不足,并且缺乏健全的网络运行规范,导致网络安全的监控和分析能力均不足。
基于此,本发明实施例提供了一种基于企业域名安全的监控方法和装置,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据作为核心算法的分析处理方式,也使得分析结果准确性和可靠性均较高。
为了便于对本发明实施例提供的基于企业域名安全的监控方法进行理解,首先对该方法的应用场景进行简要说明:该方法主要用于对社会企业(或者称为社会单位)的域名信息进行监控,以监控他人钓鱼或者劫持社会企业的域名信息行为。
参见图1所示的基于企业域名安全的监控的方法流程图,具体包括以下步骤:
S101、在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;所述目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录。
上述步骤中,参考域名地址则为社会企业在相应的管理认证机构中注册的域名地址,用户通过该地址可以查看该社会企业对应的信息资源;
上述目标对象则可以是互联网,如Internet网;还可以是嫌疑目标域名设备,即钓鱼或者劫持所述参考域名地址的实际域名地址对应终端设备,在实际扫描时,可以扫描该终端设备的端口信息和漏洞信息以及该终端设备结合其实际域名地址可以进行的业务类型等其他相关信息。
实际中,社会企业在运营商的域名服务器上注册的参考域名地址是标准的单一地址,而在社会企业应用该参考域名地址时,该参考域名地址可能会发生改变,而改变的原因一方面是社会企业自身进行的更改,另一方面则是钓鱼网站的恶意篡改;其中,社会企业在对注册的参考域名地址进行变更时,其可能不会告知对应的参考域名服务器,恶意网站在劫持参考域名地址时会也会恶意篡改参考域名地址;在上述两种参考域名地址被更改的情况下,参考域名服务器不会分析该社会企业的参考域名地址变化的原因,其只会对该变化情况进行记录;上述参考NS记录即运营商的参考域名服务器对注册的社会企业的域名地址的更改信息的记录信息;
本实施例中的监控方法,其首先通过扫描、检测、调取等技术对上述目标对象进行处理,以获取与上述参考域名地址对应的嫌疑目标域名的数据信息;其中,上述嫌疑目标域名的数据信息可以为劫持所述参考域名地址对应的域名地址、域名地址列表、该嫌疑目标域名对应的终端设备(如设备端口、漏洞信息、业务类型信息业务负载、IP地址、地理位置信息等)。
S102、对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库。
采用核心的大数据分析算法(简称为关联挖掘)对上述数据信息进行处理;具体的,首先提取上述嫌疑目标域名的数据信息中的所有数据,确定上述所有数据对应的数据类型,各个类型对应的数据的信息条目数以及所有数据对应的采集时间,并根据确定的上述信息将所有数据存储在对应的数据库中,以建立事件数据库。
S103、对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测。
本实施例中,采用核心的大数据分析算法(简称为关联挖掘)对上述数据信息进行处理;具体的事件化处理过程包括:本方法中根据上述数据信息中的所有数据的类型、时间和信息条数目等信息,分析上述所有数据之间的关系,根据分析得到的数据之间的关联关系构建有效的算法和模型,然后将上述所有数据对应的实际数据值代入到上述模型中,并根据有效的算法进行计算,即可得到对应的展示结果,并将这些展示结果进行存储即可得到事件数据库;
其中,上述构建有效的算法和模型对应的相关分析方式包括:数据碰撞、趋势预测和动作异常检测等;对应的,上述展示结果为根据不同的模型和算法得到的多个不同的结果,如风险轨迹记录、基于时间的趋势预测、基于空间的趋势预测和钓鱼攻击行为和劫持攻击行为的分析结果。
然后,对上述事件数据库中存储的所有展示结果进行综合进行分析并设立评分制,综合上述所有展示结果对应的得分值之和,如根据得分值确定准确的(确定的时间/地点和行为特征)入侵事件和劫持事件和疑似的入侵事件和劫持事件;如得分值达到最高阈值,则确定为入侵事件和劫持事件;如得分值处于异常阈值与最高阈值范围内,则确定为疑似的入侵事件和劫持事件。
S104、对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
具体的,在确定了准确的(确定的时间/地点和行为特征)入侵事件和劫持事件和疑似的入侵事件和劫持事件后,可以在网管监控中做实时监控展示,以及在社会企业对应的网页页面对用户进行通告(如通告有钓鱼网址劫持或者篡改参考域名地址的行为),或者向用户发送短信/微信/微博等提示(如提示有钓鱼网址劫持或者篡改参考域名地址的行为)等主动防御动作,实现企业域名服务安全监控主动运维。
本发明实施例提供的一种基于企业域名安全的监控方法,与现有技术中没有相应的防御手段解决企业域名的安全问题相比,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据的分析处理方式,使得分析结果准确性和可靠性均较高。
考虑到上述目标对象的不同,无法用一种方法获取所有目标对象进行监控的问题,本实施例中,针对不同的目标对象对应有特定的监控方式,下面对所有的监控方式进行一一说明:
第一,在所述目标对象为互联网时,上述步骤101的监控方式具体为:利用扫描脚本对互联网进行定期扫描,得到与参考域名地址相似的嫌疑目标域名地址,并将所述嫌疑目标域名地址记录成钓鱼嫌疑列表。
本实施例中预先定制化扫描脚本,并使用上述定制化的扫描脚本对Internet网进行定期扫描,扫描与社会企业的参考域名地址相似的域名服务地址,并扫描上述地址、扫描时间、该地址的出现时间及维持时间以列表的形式进行记录。
第二,在所述目标对象为嫌疑目标域名设备时,上述步骤101的监控方式具体为:获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备,并利用预设扫描辅助工具依次扫描所述目标域名设备的端口信息、漏洞信息以及业务类型信息,并记录扫描结果;其中,所述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息。
本实施例中,根据钓鱼嫌疑列表的域名信息,使用入侵行为检测和漏洞检测等一系列扫描辅助工具依次扫描目标域名设备的端口信息、漏洞信息以及其他业务类型等相关信息,并将所有的扫描结果记录成文件;上述扫描结果可以包括:扫描时间、目标域名设备的端口类型、端口的位置、目标域名设备的漏洞信息以及目标域名设备的业务类型信息等。
第三,在所述目标对象为参考域名服务器记录NS记录时,上述步骤101的监控方式具体为:包括:获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备,并利用查询工具侦测目标域名设备的业务负载信息、IP地址信息和地理位置信息,并记录查询结果。其中,所述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息。
具体的,根据第一步中的钓鱼嫌疑列表的信息,通过常规的检测技术方法(如网络信息检测脚本)等侦测目标主机业务负载、IP地址、地理位置等相关信息。
其中,上述常规的检测技术方法主要用于查询相关数据,其检测的信息都是可以通过直接查询得到的。
第四,在所述目标对象为互联网时,上述步骤101的监控方式还可为:获取参考域名地址对应的展示信息的数据内容,并利用扫描工具搜索互联网中与所述展示信息的数据内容相似的网站页面的横幅httpbanner信息,确定所述httpbanner信息对应的嫌疑目标域名的数据信息。
具体的,上述数据内容可以为公司的简介、发布的新产品的数据信息、或者一些新闻事件等信息;社会单位通过其注册的参考域名地址对应的网页将上述公司的简介或者产品的数据信息等相关信息进行展示;而一些钓鱼网站会根据社会单位展示的上述数据内容制作与上述数据内容相似的httpbanner信息。故本实施例中通过预设的扫描工具(其中,该扫描工具涉及多种工具,其可以是自定义的脚本工具相似的脚本,也包含一些现有的扫描工具)搜索互联网中与上述展示信息的数据内容相似的httpbanner信息,确定所述httpbanner信息对应的嫌疑目标域名的数据信息;其中,根据httpbanner确定的嫌疑目标域名的数据信息可以包括上面所述的嫌疑目标域名地址、目标域名设备的端口信息、漏洞信息以及业务类型信息等。
第五,在所述目标对象为NS记录时,上述步骤101的监控方式还可以为:利用查询工具实时查询域名服务器记录NS记录上的解析地址,并实时记录查询的所述解析地址;所述解析地址包括以下信息中的一种或多种:各地区的DNS服务列表信息、各地区对应的企业的DNS服务信息和各地区异常的DNS服务信息,以便根据上述预设的DNS服务信息实时监测嫌疑目标域名的数据信息。
本实施例中是采用核心的大数据分析算法对上述数据信息进行处理,参考图2,基于大数据的分析算法,上述步骤102具体包括:
S201、确定所述数据信息中所有数据的数据类型、采集时间和信息条目数;所述所有数据至少包括:扫描结果、所述侦测结果、所述httpbanner信息对应的嫌疑目标域名的数据信息以及所述解析地址。
S202、根据所有数据的数据类型、采集时间和信息条目数,对获取的所有数据进行信息事件化处理。
S203、将事件化处理后的结果入库存储,形成事件数据库。
具体的,采用核心的大数据分析算法(简称为关联挖掘)对上述数据信息进行处理;具体的,首先提取上述嫌疑目标域名的数据信息中的所有数据,确定上述所有数据对应的数据类型,各个类型对应的数据的信息条目数以及所有数据对应的采集时间,并根据确定的上述信息将所有数据存储在对应的数据库中,以建立事件数据库。
基于上述大数据算法,本实施例中对事件数据库进行相关分析主要采用三种方式,具体包括:
将所述事件数据库中的事件数据进行数据碰撞等相关分析,根据数据碰撞的结果建立事件树模型,以形成风险轨迹记录;
和/或,根据所述事件数据库中的历史事件数据,对所述事件数据库中的事件数据进行基于时间的趋势预测和基于空间的趋势预测,得到趋势分析结果;
和/或,对所述事件数据库中的实时事件数据与正常事件数据进行动作对比,记录具有异常动作行为的所述事件数据;所述异常动作行为包括:钓鱼攻击行为和劫持攻击行为。
本实施例中,上述步骤103可以使用上述三种方式中的一种,也可以使用上述三种方式中任意两种的组合或者上述三种方式的组合;其中,本实施例中步骤103的处理方式不限于上述三种方式。
根据上述大数据算法对上述采集的大数据进行分析处理得到的分析结果,对确定嫌疑入侵事件和劫持事件和/或准确的入侵事件和劫持事件进行相应的防护处理;
故上述步骤104具体包括:根据上述分析结果在网管监控中,对得到的所述目标事件进行实时监控展示;和\或,在参考域名地址对应的网站上,对得到的所述目标事件攻击所述参考域名地址的行为进行通告;和/或,将所述得到的所述目标事件及对应的攻击所述参考域名地址的行为发送至网络安全监管服务器,以实现企业域名服务安全监控主动运维。
具体的,确定准确的(确定的时间/地点和行为特征)入侵事件和劫持事件和疑似的入侵事件和劫持事件,在网管监控中做实时监控展示,以及在社会企业对应的网页页面对用户进行通告(如通告有钓鱼网址劫持或者篡改参考域名地址的行为),或者向用户发送短信/微信/微博等提示(如提示有钓鱼网址劫持或者篡改参考域名地址的行为)等主动防御动作;
或者,将目标事件及对应的攻击所述参考域名地址的行为发送至网络安全监管服务器,以便负责的工作人员对该事件进行处理。具体如图3所示的一种基于企业域名安全的监控方法的整体流程图。
本发明实施例提供的一种基于企业域名安全的监控方法,包括:在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维,与现有技术中没有相应的防御手段解决企业域名的安全问题相比,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据的分析处理方式,使得分析结果准确性和可靠性均较高。
基于上述方法,参考图4,本发明实施例提供了一种基于企业域名安全的监控装置,包括:
获取单元11,用于在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
信息事件化处理单元22,用于对获取单元获取的嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
相关分析单元33,用于对信息事件化处理单元得到的事件数据库进行相关分析,并根据上述分析结果确定准确的和嫌疑的目标事件;相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
主动防御处理单元44,用于对确定单元确定的目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
考虑到上述目标对象的不同,无法用一种方法获取所有目标对象进行监控的问题,本实施例中,针对不同的目标对象对应有特定的监控方式,具体的,参考图5,上述获取单元11包括:
第一扫描子单元111,用于利用扫描脚本对互联网进行定期扫描,得到与参考域名地址相似的嫌疑目标域名地址;
第一记录子单元112,用于将第一扫描子单元扫描的嫌疑目标域名地址记录成钓鱼嫌疑列表。
进一步的,参考图6,上述获取单元11还包括:
第一获取子单元113,用于获取第一记录子单元记录的钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备;上述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
第二扫描子单元114,用于利用预设扫描辅助工具依次扫描第一获取子单元获取的目标域名设备的端口信息、漏洞信息以及业务类型信息;
第二记录子单元115,用于记录第二扫描子单元的扫描结果。
进一步的,参考图7,上述获取单元还包括:
第二获取子单元116,用于获取第一记录子单元记录的钓鱼嫌疑列表中嫌疑目标域名地址对应的嫌疑目标域名设备;嫌疑目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
侦测子单元117,用于利用查询工具侦测第二获取子单元获取的嫌疑目标域名设备的业务负载信息、网络之间互连的协议IP地址信息和地理位置信息;
第三记录子单元118,用于并记录侦测子单元的侦测结果。
进一步的,参考图8,上述获取单元还包括:
第三获取子单元119,用于获取参考域名地址对应的展示信息的数据内容;
搜索子单元120,用于利用扫描工具搜索互联网中与第三获取子单元获取的展示信息的数据内容相似的网站页面的横幅httpbanner信息;
确定子单元121,用于确定搜索子单元搜索的httpbanner信息对应的嫌疑目标域名的数据信息。
进一步的,参考图9,上述获取单元还包括:
查询子单元122,用于利用查询工具实时查询参考NS记录上的解析地址;
第四记录子单元123,用于实时记录查询子单元查询的解析地址;所述解析地址包括以下信息中的一种或多种:各地区的DNS服务列表信息、各地区对应的企业的DNS服务信息和各地区异常的DNS服务信息。
进一步,参考图10,上述基于企业域名安全的监控装置中,事件化处理单元22,包括:
第四获取子单元221,用于确定数据信息中所有数据的数据类型、采集时间和信息条目数;
事件化处理子单元222,用于根据第四获取子单元获取的所有数据的数据类型、采集时间和信息条目数,对获取的所有数据进行信息事件化处理;
入库存储子单元223,用于将事件化处理子单元事件化处理后的结果入库存储,形成事件数据库;所有数据至少包括:扫描结果、侦测结果、httpbanner信息对应的嫌疑目标域名的数据信息以及解析地址。
进一步,参考图11和图12,上述基于企业域名安全的监控装置中,相关分析单元33,包括:
数据碰撞子单元331,用于将事件数据库中的事件数据进行数据碰撞;
建立子单元332,用于根据数据碰撞子单元的数据碰撞结果建立事件树模型,以形成风险轨迹记录;
和/或,趋势预测子单元333,用于根据事件数据库中的历史事件数据,对事件数据库中的事件数据进行基于时间的趋势预测和基于空间的趋势预测;设置子单元334,用于趋势预测子单元333的得到的预测结果设置为趋势分析结果;
和/或,对比子单元335,用于对事件数据库中的实时事件数据与正常事件数据进行动作对比;第六记录子单元336,用于记录对比子单元的对比结果中具有异常动作行为的事件数据;异常动作行为包括:钓鱼攻击行为和劫持攻击行为。
进一步,参考图13,上述基于企业域名安全的监控装置中,主动防御处理单元44,包括:
监控展示子单元441,用于在网管监控中,对得到的目标事件进行实时监控展示;
和\或,通告子单元442,用于在参考域名地址对应的网站上,对得到的目标事件攻击参考域名地址的行为进行通告;
和/或,发送子单元443,用于将得到的目标事件及对应的攻击参考域名地址的行为发送至网络安全监管服务器,以实现企业域名服务安全监控主动运维。
本发明实施例提供的一种基于企业域名安全的监控装置,与现有技术中没有相应的防御手段解决企业域名的安全问题相比,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据的分析处理方式,使得分析结果准确性和可靠性均较高。
本发明实施例所提供的进行基于企业域名安全的监控方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。