CN107454037B - 网络攻击的识别方法和系统 - Google Patents

网络攻击的识别方法和系统 Download PDF

Info

Publication number
CN107454037B
CN107454037B CN201610370315.4A CN201610370315A CN107454037B CN 107454037 B CN107454037 B CN 107454037B CN 201610370315 A CN201610370315 A CN 201610370315A CN 107454037 B CN107454037 B CN 107454037B
Authority
CN
China
Prior art keywords
address
domain name
feature library
target terminal
mapping relation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610370315.4A
Other languages
English (en)
Other versions
CN107454037A (zh
Inventor
张斌
陈海涛
王秋明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201610370315.4A priority Critical patent/CN107454037B/zh
Publication of CN107454037A publication Critical patent/CN107454037A/zh
Application granted granted Critical
Publication of CN107454037B publication Critical patent/CN107454037B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • H04L61/3025Domain name generation or assignment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及提出一种网络攻击的识别方法和系统,由于一个域名可对应多个IP地址,同理一个IP地址可对应多个域名,则可根据IP地址与域名的映射关系组中的其它IP地址或域名,来确定获取到的域名以及该域名所对应的IP地址,是否为恶意域名和恶意IP地址,并且在获取到的域名以及该域名所对应的IP地址为恶意域名和恶意IP地址时,将获取到的域名以及所述目标终端的域名对应的IP地址添加至命中特征库,以作为新的命中特征库来检测网络是否被攻击,通过该方案可持续发现新的恶意域名及/IP地址,使得对网络攻击的识别更加准确。

Description

网络攻击的识别方法和系统
技术领域
本发明涉及通信技术领域,尤其涉及一种网络攻击的识别方法和系统。
背景技术
网络病毒是网络安全的主要危害之一,攻击者可通过各种手段在大量计算机中植入特定的应用程序,使得攻击者可通过相对集中的若干计算机向大量植入特定的应用程序的计算机发送指令攻击网络,通过多台计算机形成攻击平台,利用该攻击平台可有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动;终端需要连接外网的控制端,必然会有相应的网络流量,因此理论上在网关处可以截获并识别这些流量。
传统的部署于网关的网络攻击检测设备,多是基于简单的网络特征,如目的IP地址、域名以及目标网址,再结合命中特征库中的IP地址以及目标网址来检测,当访问的IP地址、域名或目标网址命中了命中特征库,则认为本次网络行为是由感染了病毒的终端发起的。
但基于命中特征库的检测方法有其局限性,当某个IP地址被列入命中特征库中时,控制端可更改解析信息将该域名解析为其它的IP地址,以防止与命中特征库中的IP地址匹配,攻击的识别不准确。
发明内容
本发明的主要目的是提供一种网络攻击的识别方法,旨在提高网络攻击识别的准确性。
本发明提出一种网络攻击的识别方法,包括:
在侦测到终端发送的数据包时,获取数据包中的目标终端的信息;
当获取到的目标终端信息为所述目标终端的域名时,对域名进行解析获取域名所对应的IP地址;
将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对,以确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组;
若确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
优选地,在侦测到终端发送的数据包时,获取数据包中的目标终端的信息的步骤之后,该方法包括:
当获取到的目标终端的信息为所述目标终端的域名,且获取到的目标终端的域名与所述命中特征库中的域名匹配时,则拦截所述数据包;
解析目标终端的域名获取对应的IP地址,并将所述解析到的IP地址添加至所述命中特征库中;
将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对,以确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组;
将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
优选地,所述在侦测到终端发送的数据包时,获取数据包中的目标终端的信息的步骤之后,该方法包括:
当获取到的目标终端的信息为所述目标终端的IP地址时,获取数据包中的目标网址;
当获取到的IP地址及/或目标网址与所述命中特征库中的IP地址及/或目标网址匹配时,拦截所述数据包;
在所述IP地址与所述命中特征库中的IP地址匹配时,将所述目标网址添加到所述命中特征库中;
或者,在所述目标网址与所述命中特征库中的目标网址匹配时,将所述IP地址添加到所述命中特征库中。
优选地,所述将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中的步骤之前还包括:
若确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则将获取到的域名及IP地址,与预设的安全特征库中的域名及/或IP地址进行比对;
在获取到的域名及IP地址与所述安全特征库中的域名及/或IP地址不匹配时,执行所述将获取到的域名及IP地址添加至命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中的步骤;
所述将获取到的域名及IP地址,与预设的安全特征库中的域名及/或IP地址进行比对的步骤之后,该方法还包括:
在获取到的域名及IP地址与所述安全特征库中的域名及/或IP地址匹配时,转发接收到的数据包。
优选地,执行所述将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中的步骤的同时,拦截所述数据包。
优选地,所述将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对,以确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组的步骤之后,该方法还包括:
在获取到的IP地址及域名与预存的各个IP地址与域名的映射关系组均不匹配时,将获取到的IP地址及域名的映射关系作为新的IP地址与域名的映射关系组,并保存。
优选地,所述将获取到的IP地址及域名的映射关系作为新的IP地址与域名的映射关系组,并保存的步骤之前,该方法还包括:
在获取到的IP地址及/或域名与预存的各个IP地址与域名的映射关系组均不匹配时,则获取在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量;
在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量大于预设数量阈值时,将所述目标终端的IP地址及解析为所述目标终端的IP地址的域名添加至所述命中特征库中。
优选地,在执行所述将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中的步骤的同时或之后,执行以下步骤:
将获取的所述域名及IP地址上传至服务器,以供所述服务器将接收到的域名及IP地址下发至其它节点,其中,其它节点在接收到所述域名及IP地址时,更新预存的所述命中特征库以及预存的所述IP地址与域名的映射关系组。
优选地,该方法还包括:
在接收到服务器下发的所述域名及IP地址时,将接收到的所述域名及IP地址添加至预存的所述命中特征库中,并获取与接收到的IP地址及域名匹配的预存IP地址与域名的映射关系组;
将接收到的IP地址及域名添加至与其匹配的预存IP地址与域名的映射关系组。
此外,为实现上述目的,本发明还提出一种网络攻击的识别系统,包括:
获取模块,用于在侦测到终端发送的数据包时,获取数据包中的目标终端的信息;
解析模块,用于当获取到的目标终端的信息为所述目标终端的域名时,对域名进行解析获取域名所对应的IP地址;
比对模块,用于将预存的各个IP地址与域名的映射关系组依次与获取到的IP地址及域名进行比对;
确定模块,用于确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组;
添加模块,用于若确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则将获取的域名及IP地址添加至所述命中特征库中,以及获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
优选地,所述网络攻击的识别系统还包括第一拦截模块,用于当获取到的目标终端的信息为所述目标终端的域名,且获取到的目标终端的域名与所述命中特征库中的域名匹配时,则拦截所述数据包;所述解析模块还用于解析目标终端的域名获取对应的IP地址;所述添加模块还用于将解析到的IP地址添加至所述命中特征库中;所述比对模块还用于将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对;所述确定模块还用于确定与获取到的IP地址及域名,匹配的IP地址与域名的映射关系组;所述添加模块还用于将所述获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
优选地,所述获取模块还用于当获取到的目标终端的信息为所述目标终端的IP地址时,获取数据包中的目标网址;所述网络攻击的识别系统还包括第二拦截模块,用于当获取到的IP地址及目标网址,与所述命中特征库中的IP地址及/或目标网址匹配时,拦截所述数据包;所述添加模块,还用于在所述IP地址与所述命中特征库中的IP地址匹配时,将所述目标网址添加到所述命中特征库中;或者,在所述目标网址与所述命中特征库中的目标网址匹配时,将所述IP地址添加到所述命中特征库中。
优选地,所述比对模块还用于若确定的IP地址与域名的映射关系组中有域名及/或IP地址与命中特征库中的域名及/或IP地址匹配,则将获取到的目标终端的域名及/或对应的IP地址,与预设的安全特征库中的域名及/或IP地址进行比对;该系统还包括转发模块,用于当获取到的域名及IP地址与所述安全特征库中的域名及/或安全IP地址匹配时,转发接收到的数据包;所述添加模块还用于当获取到的域名及IP地址,与所述安全特征库中的域名及/或安全IP地址均不匹配时,将获取到的域名及IP地址添加至所述命中特征库中,以及将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
优选地,该系统还包括第三拦截模块,用于在确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配时,拦截所述数据包。
优选地,该系统还包括存储模块,用于在获取到的IP地址及域名与预存的各个IP地址与域名的映射关系组均不匹配时,将获取到的IP地址与域名之间的映射关系作为新的IP地址与域名的映射关系组,并保存。
优选地,所述获取模块,还用于在获取到的IP地址及/或域名与预存的各个IP地址与域名的映射关系组均不匹配时,则获取在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量;
所述添加模块,还用于在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量大于预设数量阈值时,将所述目标终端的IP地址及解析为所述目标终端的IP地址的域名添加至所述命中特征库中。
优选地,该系统还包括:
发送模块,用于在确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配时,将获取的所述域名及IP地址上传至服务器,以供所述服务器将接收到的域名及IP地址下发至其它节点,其中,其它节点在接收到所述域名及IP地址时,更新预存的所述命中特征库以及预存的所述IP地址与域名的映射关系组。
优选地,所述添加模块,还用于在接收到服务器下发的所述域名及IP地址时,将接收到的所述域名及IP地址添加至预存的所述命中特征库中;
所述获取模块,还用于获取与接收到的IP地址及域名匹配的预存IP地址与域名的映射关系组;
所述添加模块,还用于将接收到的IP地址及域名添加至与其匹配的预存IP地址与域名的映射关系组。
本发明提出的网络攻击的识别方法和系统,由于一个域名可对应多个IP地址,同理一个IP地址可对应多个域名,则可根据IP地址与域名的映射关系组中的其它IP地址或域名,来确定获取到的域名以及该域名所对应的IP地址,是否为恶意域名和恶意IP地址,并且在获取到的域名以及该域名所对应的IP地址为恶意域名和恶意IP地址时,将获取到的域名以及所述目标终端的域名对应的IP地址添加至命中特征库,以作为新的命中特征库来检测网络是否被攻击,通过该方案可持续发现新的恶意域名及/IP地址,使得对网络攻击的识别更加准确。
附图说明
图1为本发明网络攻击的识别方法第一实施例的流程示意图;
图2为本发明网络攻击的识别方法第二实施例的流程示意图;
图3为本发明网络攻击的识别方法第三实施例的流程示意图;
图4为本发明网络攻击的识别方法第四实施例的流程示意图;
图5为本发明网络攻击的识别方法第五实施例的流程示意图;
图6为本发明网络攻击的识别方法第六实施例的流程示意图;
图7为本发明网络攻击的识别方法第七实施例的流程示意图;
图8为各个节点共享命中特征库以及IP地址与域名的映射关系组的示意图;
图9为本发明网络攻击的识别系统第一和第二实施例的功能模块示意图;
图10为本发明网络攻击的识别系统第三实施例的功能模块示意图;
图11为本发明网络攻击的识别系统第四和第五实施例的功能模块示意图;
图12为本发明网络攻击的识别系统第六实施例的功能模块示意图;
图13为本发明中域名与IP地址映射关系组示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面结合附图及具体实施例就本发明的技术方案做进一步的说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明网络攻击的识别方法第一实施例的流程示意图。
本实施例提出网络攻击的识别方法,包括:
步骤S10,在侦测到终端发送的数据包时,获取数据包中的目标终端信息;
数据包中可为所要访问的网址信息,目的IP地址信息,或者包括目标终端的域名信息。
步骤S20,当获取到的目标终端信息为所述目标终端的域名时,对域名进行解析获取域名所对应的IP地址;
该目标终端信息可为目标终端的域名或者目标终端的IP地址,当终端信息为目标终端的域名时,将该目标终端的域名解析为目标终端的IP地址,多个域名可同时对应一个IP地址,在接收到的目标终端信息为目标终端的域名时,将该目标终端的域名发送至域名解析服务器,将域名解析为IP地址,该域名服务器上保存有域名和IP地址相互映射的分布式数据库,根据接收到的域名查询对应的IP地址。
步骤S30,将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对;
步骤S40,确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组;
用户可预存IP地址与域名的映射关系组,该预存的IP地址与域名的映射关系组可不断更新,在解析到新的IP地址与域名的映射关系组时,保存该解析到IP地址与域名的映射关系组。IP地址与域名的映射关系组如图13所示,在该映射关系组IP地址与域名为多对一或一对多的关系,例如域名A1同时对应IP地址B1和B2,IP地址B2同时对应域名A1和A2。在将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对时,可将目标终端的域名先与各个映射关系组中的域名进行比对,在目标终端中的域名与与各个映射关系组中的域名均不匹配时,再将目标终端的对应的IP地址与各个映射关系组中的IP地址进行比对;可以理解的是,也可先比对IP地址然后比对域名。
步骤S50,若确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
如图13所示,若映射关系组1中的域名A1与目标终端的域名匹配,或者组1中的IP地址B2与解析得到的IP地址匹配,则该映射关系组1与目标终端的域名以及解析得到的IP地址匹配,并将该映射关系组1中包含的域名A1和A2以及IP地址B1和B2与预设的命中特征库中域名和IP地址进行比对,若域名A1与预设的命中特征库中的域名匹配,则将目标终端的域名以及解析得到的IP地址添加到命中特征库中,并将该目标终端的域名以及解析得到的IP地址添加至映射关系组1中。
若与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则说明该域名及/或IP地址为恶意域名及/或IP地址,则需要拦截该数据包。在目标终端的域名与命中特征库中的域名匹配时,将该域名对应的IP地址添加至命中特征库中,同时将获取到的目标终端的域名及其对应的IP地址的映射关系,添加至与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中,以供在下次获取到目标终端的域名以及域名对应的IP地址时,确定获取到的域名以及域名对应的IP地址是否为恶意域名或者恶意IP地址;在目标终端的域名解析得到的IP地址与命中特征库中的IP地址匹配时,将该目标终端的域名添加至命中特征库中,同时将获取到的目标终端的域名及其对应的IP地址的映射关系,添加至与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中,以供在下次获取到目标终端的域名以及域名对应的IP地址时,确定获取到的域名以及域名对应的IP地址是否为恶意域名或者恶意IP地址。
在本实施例中,若与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中的域名及/或IP地址,与命中特征库中的域名及/或IP地址均不匹配,则说明接收到的数据包安全,即可直接转发该接收到的数据包,同时将获取到的目标终端的域名及其对应的IP地址添加至与其匹配域名与IP地址的映射组中,以便于下次进行比对。
可以理解的是,若获取到的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,说明目标终端的IP地址以及域名可能为恶意IP地址以及域名,则对接收到的数据包进行拦截操作,即执行步骤S50的同时,执行步骤拦截接收到的数据包。
本实施例提出的网络攻击的识别方法,由于一个域名可对应多个IP地址,同理一个IP地址可对应多个域名,则可根据IP地址与域名的映射关系组中的其它IP地址或域名,来确定获取到的域名以及该域名所对应的IP地址,是否为恶意域名和恶意IP地址,并且在获取到的域名以及该域名所对应的IP地址为恶意域名和恶意IP地址时,将获取到的域名以及所述目标终端的域名对应的IP地址添加至命中特征库,以作为新的命中特征库来检测网络是否被攻击,使得对网络攻击的识别更加准确。
参照图2,图2为本发明网络攻击的识别方法第二实施例的流程示意图。
基于第一实施例提出本发明网络攻击的识别方法第二实施例,在本实施例中步骤S10之后,该方法还包括:
步骤S60,当获取到的目标终端的信息为所述目标终端的域名,且获取到的目标终端的域名与所述命中特征库中的域名匹配时,则拦截所述数据包;
当获取到的目标终端的域名与所述命中特征库中的域名匹配时,可直接拦截数据包,以提高数据包的处理效率,同时节省系统开销。
步骤S70,解析目标终端的域名获取对应的IP地址,并将所述解析到的IP地址添加至所述命中特征库中;
可将获取到的目标终端的域名解析后得到的IP地址添加至所述命中特征库中,以提高网络攻击识别的准确性。
步骤S30,将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对;
步骤S40,确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组;
步骤S80,将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
在获取到的目标终端的域名与命中特征库中的域名匹配时,直接拦截该数据包,解析该域名获取对应的IP地址,并将解析到的IP地址添加至预存的命中特征库中,同时将获取到的目标终端的域名与IP地址的映射关系添加至,与目标终端的域名或IP地址匹配的IP地址与域名的映射关系组中,以更新该预存的映射关系组,供下次进行比对,提高比对成功的准确率。
而在获取到的目标终端的域名与命中特征库中的域名不匹配时,则解析获取到的域名并获取对应的IP地址,将获取到的IP地址与命中特征库中的IP地址进行比对:
(1)、当获取到的IP地址与命中特征库中的IP地址匹配时,拦截接收到的数据包,同时将该IP地址对应的域名添加至命中特征库中,以提高攻击识别的效率和准确性;然后确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组,并将目标终端的域名与IP地址的映射关系添加至该确定的映射关系组中,以供下次进行比对;
(2)、当获取到的IP地址与命中特征库中的IP地址不匹配时,则确定与获取到的目标终端的IP地址及域名匹配的IP地址与域名的映射关系组,若匹配的映射关系组中有域名及/或IP地址与命中特征库中的域名及/或IP地址匹配,则将目标终端的域名及IP地址添加至命中特征库中,并将目标终端的域名及IP地址的映射关系,添加至与目标终端的域名及IP地址匹配的IP地址与域名的映射关系组中,同时拦截所述数据包;若与目标终端的域名及IP地址匹配的映射关系组中的域名及/或IP地址与命中特征库中的域名及/或IP地址均不匹配,则转发该数据包至对应的终端,同时将获取到的目标终端与IP地址的映射关系添加至,与目标终端的域名及IP地址匹配的IP地址与域名的映射关系组中,以更新该预存的映射关系组,供下次进行比对,提高比对成功的准确率。例如,参见图13,若映射关系组1中的域名A1与目标终端的域名匹配,或者映射关系组1中的IP地址B2与解析得到的IP地址匹配,则该映射关系组1与目标终端的域名以及解析得到的IP地址匹配,并将该映射关系组1中包含的域名A1和A2以及IP地址B1和B2与预设的命中特征库中域名和IP地址进行比对,若域名A2与预设的命中特征库中的域名匹配,则将目标终端的域名以及解析得到的IP地址添加到命中特征库中,并将该目标终端的域名以及解析得到的IP地址添加至映射关系组1中,同时拦截该数据包;若映射关系组1中的IP地址以及域名与命中特征库中的域名及IP地址均不匹配,则转发该数据包至对应的终端,并将目标终端的域名或者IP地址添加至映射关系组1中。
参照图3,图3为本发明网络攻击的识别方法第三实施例的流程示意图。
基于第一或第二实施例提出本发明网络攻击的识别方法第三实施例,在本实施例中,步骤S10之后,该方法包括:
步骤S90,当获取到的目标终端的信息为所述目标终端的IP地址时,获取数据包中的目标网址;
步骤S100,当获取到的IP地址及目标网址与所述命中特征库中的IP地址及/或目标网址匹配时,拦截所述数据包;
步骤S110,在所述IP地址与所述命中特征库中的IP地址匹配时,将所述目标网址添加到所述命中特征库中;或者,在所述目标网址与所述命中特征库中的目标网址匹配时,将所述IP地址添加到所述命中特征库中。
可在命中特征库中预设恶意的IP地址、目标网址以及域名等信息,在获取到的目标终端的信息为所述目标终端的IP地址时,获取数据包中的目标网址,当获取到的IP地址及目标网址,与预设的命中特征库中的IP地址及/或目标网址匹配时,拦截所述数据包;而当获取到的IP地址及目标网址,与预设的命中特征库中的IP地址及目标网址均不匹配时,确定与目标终端的IP地址匹配的域名与IP地址映射关系组,当该确定的映射关系组中有域名及/或IP地址与命中特征库中的域名及/或IP地址匹配时,则拦截接收到的数据包,并将该IP地址添加至命中特征库中,可防止仅采用命中特征库判断网络攻击中出现错漏。如图13所示,映射关系组1中包括IP地址B1和B2,若目标终端的IP地址与映射关系组1中的IP地址B1匹配时,则映射关系组1与目标终端的IP地址匹配。
参照图4,图4为本发明网络攻击的识别方法第四实施例的流程示意图。
基于第一至第三任一实施例提出本发明网络攻击的识别方法第四实施例,在本实施例中步骤S50之前还包括:
步骤S120,若确定的IP地址与域名的映射关系组中,有域名及/或IP地址与命中特征库中的域名及/或IP地址匹配,则将获取到的域名及IP地址,与预设的安全特征库中的域名及/或IP地址进行比对;
步骤S130,判断获取到的域名及IP地址,与所述安全特征库中的域名及/或IP地址是否匹配;
在获取到的域名及IP地址与所述安全特征库中的域名及/或IP地址不匹配时,执行步骤S50;
步骤S130之后还包括步骤:
步骤S140,在获取到的域名及IP地址与所述安全特征库中的域名及/或IP地址匹配时,转发接收到的数据包。
在本实施例中,为减少误判,可设置安全域名及IP地址,即域名以及IP地址的安全特征库,在与目标终端的域名及/或IP地址匹配的IP地址和域名的映射关系组中有域名及/或IP地址与命中特征库匹配时,说明目标终端的域名及/或IP地址可能为恶意的,此时可将目标终端的域名及/或IP地址与安全特征库中的域名及IP地址进行比对,在目标终端的域名及/或IP地址与安全特征库中的域名及/或IP地址匹配时,说明该目标终端的域名及/或IP地址是安全的,此时直接转发接收到的数据包;当获取到的域名及IP地址,与预设的安全特征库中的域名及/或IP地址不匹配时,则执行步骤S50,在此不再赘述。
参照图5,图5为本发明网络攻击的识别方法第五实施例的流程示意图。
基于第一至第四任一实施例提出本发明网络攻击的识别方法第五实施例,在本实施例中步骤S30之后还包括:
步骤S150,若获取到的IP地址及域名,与预存的各个IP地址与域名的映射关系组均不匹配,则将获取到的IP地址与域名之间的映射关系作为新的IP地址与域名的映射关系组,并保存。
若目标终端的IP地址及域名与预存的各个IP地址与域名的映射关系组均不匹配,则不存在该IP地址与域名的映射关系组,此时需要新建一IP地址与域名的映射关系组,该新建的映射关系组中包括目标终端IP地址及域名,将该新建的IP地址与域名的映射关系组保存至预存的IP地址及域名映射关系组所在的存储位置,以便于下次比对。如图13所示,预存的映射关系组1、2以及3中的域名以及IP地址与目标终端的域名以及IP地址均不匹配时,则可将该目标终端的域名以及IP地址对应的映射关系作为新建的映射关系组4,该映射关系组4中包含目标终端的域名以及IP地址。
参照图6,图6为本发明网络攻击的识别方法第六实施例的流程示意图。
基于第五实施例提出本发明网络攻击的识别方法第六实施例,在本实施例中步骤S150之前还包括:
步骤S160,在获取到的IP地址及/或域名与预存的各个IP地址与域名的映射关系组均不匹配时,则获取在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量;
步骤S170,在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量大于预设数量阈值时,将所述目标终端的IP地址及解析为所述目标终端的IP地址的域名添加至所述命中特征库中。
在本实施例中,在每次根据目标终端的域名解析得到目标终端的IP地址时,均关联保存该域名以及IP地址,同时记录解析得到IP地址的时间点,将该时间点与域名以及IP地址关联保存,则根据该时间点即可得到预设时间间隔内解析为同一IP地址的数量。
由于域名可以大量免费申请,而IP地址是比较稳定的,则在预设时间间隔内大量不同域名均解析为同一IP地址,则说明该IP地址以及对应的域名可能为恶意的,此时将所述目标终端的IP地址及解析为所述目标终端的IP地址的域名添加至所述命中特征库中,以提高比对的准确性。
可以理解的是,在预设时间间隔内同一域名解析为大量不同IP地址也可认为该域名以及对应的IP地址是恶意的,即在本实施例中步骤S150之前还包括:在获取到的IP地址及/或域名与预存的各个IP地址与域名的映射关系组均不匹配时,则获取在预设时间间隔内所述目标终端的域名解析得到的不同IP地址的数量;在预设时间间隔内所述目标终端的域名解析得到的不同IP地址的数量大于预设数量阈值时,将所述目标终端的域名及所述目标终端的域名解析得到的IP地址添加至所述命中特征库中。
进一步地,图7,基于第一至第六任一实施例提出本发明网络攻击的识别方法第七实施例,在本实施例中,在执行步骤S50的同时,或者执行所述步骤S50之后执行步骤:
步骤S180,将获取的所述域名及IP地址的上传至服务器,以供所述服务器将接收到的域名及IP地址下发至其它节点,其中,其它节点在接收到所述域名及IP地址时,更新预存的所述命中特征库以及预存的所述IP地址与域名的映射关系组。
各个节点之间的关系如图8所示,每个节点均运行有检测引擎,以运行第一实施例至第六实施例的网络攻击的识别方法,在将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中后,即每个节点更新命中特征库以及预存的映射关系组之后将更新的域名及IP地址上传至服务器,由服务器共享至其它节点。
各个节点在接收到服务共享的域名及IP地址时,进行如下操作:
在接收到服务器下发的所述域名及IP地址时,将接收到的所述域名及IP地址添加至预存的所述命中特征库中,并获取与接收到的IP地址及域名匹配的预存IP地址与域名的映射关系组;
将接收到的IP地址及域名添加至与其匹配的预存IP地址与域名的映射关系组。
通过该方式即可实现各个节点之间的命中特征库和IP地址与域名的映射关系组的共享,保证各个节点的命中特征库和IP地址与域名的映射关系组均为最新,提高网络攻击的识别的准确性。
参照图9,图9为本发明网络攻击的识别系统第一实施例的功能模块示意图。
本实施例提出一种网络攻击的识别系统,包括:
获取模块10,用于在侦测到终端发送的数据包时,获取数据包中的目标终端的信息;
解析模块20,用于当获取到的目标终端的信息为所述目标终端的域名时,对域名进行解析获取域名所对应的IP地址;
数据包中可为所要访问的网址信息,目的IP地址信息,或者包括目标终端的域名信息。
该目标终端信息可为目标终端的域名或者目标终端的IP地址,当终端信息为目标终端的域名时,将该目标终端的域名解析为目标终端的IP地址,多个域名可同时对应一个IP地址,在接收到的目标终端信息为目标终端的域名时,将该目标终端的域名发送至域名解析服务器,将域名解析为IP地址,该域名服务器上保存有域名和IP地址相互映射的分布式数据库,根据接收到的域名查询对应的IP地址。
比对模块30,用于将预存的各个IP地址与域名的映射关系组依次与获取到的IP地址及域名进行比对;
确定模块40,用于确定与获取到的IP地址及域名,匹配的IP地址与域名的映射关系组;
用户可预存IP地址与域名的映射关系组,该预存的IP地址与域名的映射关系组可不断更新,在解析到新的IP地址与域名的映射关系组时,保存该解析到IP地址与域名的映射关系组。IP地址与域名的映射关系组如图13所示,在该映射关系组IP地址与域名为多对一或一对多的关系,例如域名A1同时对应IP地址B1和B2,域名B2同时对应域名A1。在将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对时,可将目标终端的域名先与各个映射关系组中的域名进行比对,在目标终端中的域名与与各个映射关系组中的域名均不匹配时,再将目标终端的对应的IP地址与各个映射关系组中的IP地址进行比对;可以理解的是,也可先比对IP地址然后比对域名。
添加模块50,用于若确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中;
如图13所示,若映射关系组1中的域名A1与目标终端的域名匹配,或者组1中的IP地址B2与解析得到的IP地址匹配,则该映射关系组1与目标终端的域名以及解析得到的IP地址匹配,并将该映射关系组1中包含的域名A1和A2以及IP地址B1和B2与预设的命中特征库中域名和IP地址进行比对,若域名A1与预设的命中特征库中的域名匹配,则将目标终端的域名以及解析得到的IP地址添加到命中特征库中,并将该目标终端的域名以及解析得到的IP地址添加至映射关系组1中。
若与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则说明该域名及/或IP地址为恶意域名及/或IP地址,则需要拦截该数据包。在目标终端的域名与命中特征库中的域名匹配时,将该域名对应的IP地址添加至命中特征库中,同时将获取到的目标终端的域名及其对应的IP地址的映射关系,添加至与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中,以供在下次获取到目标终端的域名以及域名对应的IP地址时,确定获取到的域名以及域名对应的IP地址是否为恶意域名或者恶意IP地址;在目标终端的域名解析得到的IP地址与命中特征库中的IP地址匹配时,将该目标终端的域名添加至命中特征库中,同时将获取到的目标终端的域名及其对应的IP地址的映射关系,添加至与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中,以供在下次获取到目标终端的域名以及域名对应的IP地址时,确定获取到的域名以及域名对应的IP地址是否为恶意域名或者恶意IP地址。。
若与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则说明该域名及/或IP地址为恶意域名及/或IP地址,则需要拦截该数据包。在目标终端的域名与命中特征库中的域名匹配时,将该域名对应的IP地址添加至命中特征库中,同时将获取到的目标终端的域名及其对应的IP地址的映射关系,添加至与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中,以供在下次获取到目标终端的域名以及域名对应的IP地址时,确定获取到的域名以及域名对应的IP地址是否为恶意域名或者恶意IP地址;在目标终端的域名解析得到的IP地址与命中特征库中的IP地址匹配时,将该目标终端的域名添加至命中特征库中,同时将获取到的目标终端的域名及其对应的IP地址的映射关系,添加至与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中,以供在下次获取到目标终端的域名以及域名对应的IP地址时,确定获取到的域名以及域名对应的IP地址是否为恶意域名或者恶意IP地址。
在本实施例中,若与目标终端的域名或者IP地址匹配的IP地址与域名的映射关系组中的域名及/或IP地址,与命中特征库中的域名及/或IP地址均不匹配,则说明接收到的数据包安全,即可直接转发该接收到的数据包,同时将获取到的目标终端的域名及其对应的IP地址添加至与其匹配域名与IP地址的映射组中,以便于下次进行比对。
本实施例提出的网络攻击的识别系统,由于一个域名可对应多个IP地址,同理一个IP地址可对应多个域名,则可根据IP地址与域名的映射关系组中的其它IP地址或域名,来确定获取到的域名以及该域名所对应的IP地址,是否为恶意域名和恶意IP地址,并且在获取到的域名以及该域名所对应的IP地址为恶意域名和恶意IP地址时,将获取到的域名以及所述目标终端的域名对应的IP地址添加至命中特征库,以作为新的命中特征库来检测网络是否被攻击,使得对网络攻击的识别更加准确。
可以理解的是,若获取到的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,说明目标终端的IP地址以及域名可能为恶意IP地址以及域名,则对接收到的数据包进行拦截操作,即该系统还包括第三拦截模块,用于在确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配时,拦截所述数据包。
在本实施例中,该网络攻击的识别系统还包括第一拦截模块,用于当获取到的目标终端的信息为所述目标终端的域名,且获取到的目标终端的域名与所述命中特征库中的域名匹配时,则拦截所述数据包;所述解析模块20还用于解析目标终端的域名获取对应的IP地址;所述添加模块50还用于将解析到的IP地址添加至所述命中特征库中;所述比对模块30还用于将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对;所述确定模块40还用于确定与获取到的IP地址及域名,匹配的IP地址与域名的映射关系组;所述添加模块50还用于将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。该第三拦截模块与第一拦截模块可相同也可不同。
在获取到的目标终端的域名与命中特征库中的域名匹配时,直接拦截该数据包,解析该域名获取对应的IP地址,并将解析到的IP地址添加至预存的命中特征库中,同时将获取到的目标终端与IP地址的映射关系添加至,与目标终端的域名或IP地址匹配的IP地址与域名的映射关系组中,以更新该预存的映射关系组,供下次进行比对,提高比对成功的准确率。
而在获取到的目标终端的域名与命中特征库中的域名不匹配时,则解析获取到的域名并获取对应的IP地址,将获取到的IP地址与命中特征库中的IP地址进行比对:
(1)、当获取到的IP地址与命中特征库中的IP地址匹配时,拦截接收到的数据包,同时将该IP地址对应的域名添加至命中特征库时,以提高攻击识别的效率和准确性;然后确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组,并将目的终端的域名与IP地址的映射关系添加至确定的映射关系组中,以供下次进行比对;
(2)、当获取到的IP地址与命中特征库中的IP地址不匹配时,则确定与获取到的目标终端的IP地址及域名匹配的IP地址与域名的映射关系组,若匹配的映射关系组中有域名及/或IP地址与命中特征库中的域名及/或IP地址匹配,则将目标终端的域名及IP地址添加至命中特征库中,并将目标终端的域名及IP地址的映射关系,添加至与目标终端的域名及IP地址匹配的IP地址与域名的映射关系组中,同时拦截所述数据包;若与目标终端的域名及IP地址匹配的映射关系组中的域名及/或IP地址与命中特征库中的域名及/或IP地址均不匹配,则转发该数据包至对应的终端,同时将获取到的目标终端与IP地址的映射关系添加至,与目标终端的域名及IP地址匹配的IP地址与域名的映射关系组中,以更新该预存的映射关系组,供下次进行比对,提高比对成功的准确率。例如,参见图13,若映射关系组1中的域名A1与目标终端的域名匹配,或者映射关系组1中的IP地址B2与解析得到的IP地址匹配,则该映射关系组1与目标终端的域名以及解析得到的IP地址匹配,并将该映射关系组1中包含的域名A1和A2以及IP地址B1和B2与预设的命中特征库中域名和IP地址进行比对,若域名A2与预设的命中特征库中的域名匹配,则将目标终端的域名以及解析得到的IP地址添加到命中特征库中,并将该目标终端的域名以及解析得到的IP地址添加至映射关系组1中,同时拦截该数据包;若映射关系组1中的IP地址以及域名与命中特征库中的域名及IP地址均不匹配,则转发该数据包至对应的终端,并将目标终端的域名或者IP地址添加至映射关系组1中。
进一步地,基于第一实施例提出本发明网络攻击的识别装置第二实施例,在本实施例中,为防止仅采用命中特征库判断网络攻击中出现错漏,所述获取模块10还用于当获取到的目标终端的信息为所述目标终端的IP地址时,获取数据包中的目标网址;该网络攻击的识别系统还包括第二拦截模块,用于当获取到的IP地址及目标网址,与所述命中特征库中的IP地址及/或目标网址匹配时,拦截所述数据包;所述添加模块50,还用于在所述IP地址与所述命中特征库中的IP地址匹配时,将所述目标网址添加到所述命中特征库中;或者,在所述目标网址与所述命中特征库中的目标网址撇皮时,将所述IP地址添加到所述命中特征库中。
可在命中特征库中预设恶意的IP地址、目标网址以及域名等信息,在获取到的目标终端的信息为所述目标终端的IP地址时,获取数据包中的目标网址,当获取到的IP地址及/或目标网址,与所述命中特征库中的IP地址及/或目标网址匹配时,拦截所述数据包;而当获取到的IP地址及/或目标网址,与所述命中特征库中的IP地址及/或目标网址均不匹配时,确定与目标终端的IP地址匹配的域名与IP地址映射关系组,当该确定的映射关系组中有域名及/或IP地址与所述命中特征库中的域名及/或IP地址匹配时,则拦截接收到的数据包,并将该IP地址添加至所述命中特征库中,可防止仅采用命中特征库判断网络攻击中出现错漏。如图13所示,映射关系组1中包括IP地址B1和B2,若目标终端的IP地址与映射关系组1中的IP地址B1匹配时,则映射关系组1与目标终端的IP地址匹配。本实施例所述的第二拦截模块与第一实施例中的第一拦截模块和第三拦截模块可为同一模块也可为不同模块。
参照图10,图10为本发明网络攻击的识别系统第三实施例的功能模块示意图。
基于第一或第二实施例提出本发明网络攻击的识别装置第三实施例,在本实施例中所述比对模块30还用于若确定的IP地址与域名的映射关系组中有域名及/或IP地址与命中特征库中的域名及/或IP地址匹配,则将获取到的目标终端的域名及/或对应的IP地址,与预设的安全特征库中的域名及/或IP地址进行比对;该系统还包括转发模块60,用于当获取到的域名及IP地址与所述安全特征库中的域名及/或安全IP地址匹配时,转发接收到的数据包;所述添加模块50还用于当获取到的域名及IP地址,与所述安全特征库中的域名及/或安全IP地址均不匹配时,将获取到的域名及IP地址添加至所述命中特征库中,以及将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
在本实施例中,为减少误判,可设置安全域名及IP地址,即域名以及IP地址的安全特征库,在与目标终端的域名及/或IP地址匹配的IP地址和域名的映射关系组中有域名及/或IP地址与命中特征库匹配时,说明目标终端的域名及/或IP地址可能为恶意的,此时可将目标终端的域名及/或IP地址与安全特征库中的域名及IP地址进行比对,在目标终端的域名及/或IP地址与安全特征库中的域名及/或IP地址匹配时,说明该目标终端的域名及/或IP地址是安全的,此时直接转发接收到的数据包;当获取到的域名及IP地址,与预设的安全特征库中的域名及/或IP地址不匹配时,则执行步骤S50,在此不再赘述。
参照图11,图11为本发明网络攻击的识别系统第四实施例的功能模块示意图。
基于第一至第三任一实施例提出本发明网络攻击的识别系统第四实施例,在本实施例中,该系统还包括存储模块70,用于若获取到的IP地址及域名与预存的各个IP地址与域名的映射关系组均不匹配时,则将获取到的IP地址与域名的映射关系作为新的IP地址与域名的映射关系组,并保存。
若目标终端的IP地址及域名与预存的各个IP地址与域名的映射关系组均不匹配,则不存在该IP地址与域名的映射关系组,此时需要新建一IP地址与域名的映射关系组,该新建的映射关系组中包括目标终端IP地址及域名,将该新建的IP地址与域名的映射关系组保存至预存的IP地址及域名映射关系组所在的存储位置,以便于下次比对。如图13所示,预存的映射关系组1、2以及3中的域名以及IP地址与目标终端的域名以及IP地址均不匹配时,则可将该目标终端的域名以及IP地址对应的映射关系作为新建的映射关系组4,该映射关系组4中包含目标终端的域名以及IP地址。
进一步地,基于第四实施例提出本发明网络攻击的识别系统第五实施例,
所述获取模块10,还用于在获取到的IP地址及/或域名与预存的各个IP地址与域名的映射关系组均不匹配时,则获取在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量;
所述添加模块50,还用于在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量大于预设数量阈值时,将所述目标终端的IP地址及解析为所述目标终端的IP地址的域名添加至所述命中特征库中。
在本实施例中,在每次根据目标终端的域名解析得到目标终端的IP地址时,均关联保存该域名以及IP地址,同时记录解析得到IP地址的时间点,将该时间点与域名以及IP地址关联保存,则根据该时间点即可得到预设时间间隔内解析为同一IP地址的数量。
由于域名可以大量免费申请,而IP地址是比较稳定的,则在预设时间间隔内大量不同域名均解析为同一IP地址,则说明该IP地址以及对应的域名可能为恶意的,此时将所述目标终端的IP地址及解析为所述目标终端的IP地址的域名添加至所述命中特征库中,以提高比对的准确性。
可以理解的是,在预设时间间隔内同一域名解析为大量不同IP地址也可认为该域名以及对应的IP地址是恶意的,即所述获取模块10,还用于在获取到的IP地址及/或域名与预存的各个IP地址与域名的映射关系组均不匹配时,则获取在预设时间间隔内所述目标终端的域名解析得到的不同IP地址的数量;所述添加模块50,还用于在预设时间间隔内所述目标终端的域名解析得到的不同IP地址的数量大于预设数量阈值时,将所述目标终端的域名及所述目标终端的域名解析得到的IP地址添加至所述命中特征库中。
进一步地,图12,基于第一至第五任一实施例提出本发明网络攻击的识别系统第六实施例,在本实施例中,该系统还包括:
发送模块80,用于在确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配时,将获取的所述域名及IP地址的上传至服务器,以供所述服务器将接收到的域名及IP地址下发至其它节点,其中,其它节点在接收到所述域名及IP地址时,更新预存的所述命中特征库以及预存的所述IP地址与域名的映射关系组。
各个节点之间的关系如图8所示,每个节点均运行有检测引擎,以运行第一实施例至第五实施例的网络攻击的识别方法,在将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中后,即每个节点更新命中特征库以及预存的映射关系组之后将更新的域名及IP地址上传至服务器,由服务器共享至其它节点。
各个节点在接收到服务共享的域名及IP地址时,进行如下操作:
所述添加模块50,还用于在接收到服务器下发的所述域名及IP地址时,将接收到的所述域名及IP地址添加至预存的所述命中特征库中;
所述获取模块10,还用于获取与接收到的IP地址及域名匹配的预存IP地址与域名的映射关系组;
所述添加模块50,还用于将接收到的IP地址及域名添加至与其匹配的预存IP地址与域名的映射关系组。
通过该方式即可实现各个节点之间的命中特征库和IP地址与域名的映射关系组的共享,保证各个节点的命中特征库和IP地址与域名的映射关系组均为最新,提高网络攻击的识别的准确性。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (18)

1.一种网络攻击的识别方法,其特征在于,包括:
在侦测到终端发送的数据包时,获取数据包中的目标终端的信息;
当获取到的目标终端信息为所述目标终端的域名时,对域名进行解析获取域名所对应的IP地址;
将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对,以确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组;
若确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
2.根据权利要求1所述的方法,其特征在于,在侦测到终端发送的数据包时,获取数据包中的目标终端的信息的步骤之后,该方法包括:
当获取到的目标终端的信息为所述目标终端的域名,且获取到的目标终端的域名与所述命中特征库中的域名匹配时,则拦截所述数据包;
解析目标终端的域名获取对应的IP地址,并将所述解析到的IP地址添加至所述命中特征库中;
将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对,以确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组;
将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
3.根据权利要求1所述的方法,其特征在于,所述在侦测到终端发送的数据包时,获取数据包中的目标终端的信息的步骤之后,该方法包括:
当获取到的目标终端的信息为所述目标终端的IP地址时,获取数据包中的目标网址;
当获取到的IP地址及/或目标网址与所述命中特征库中的IP地址及/或目标网址匹配时,拦截所述数据包;
在所述IP地址与所述命中特征库中的IP地址匹配时,将所述目标网址添加到所述命中特征库中;
或者,在所述目标网址与所述命中特征库中的目标网址匹配时,将所述IP地址添加到所述命中特征库中。
4.根据权利要求1所述的方法,其特征在于,所述将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中的步骤之前还包括:
若确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则将获取到的域名及IP地址,与预设的安全特征库中的域名及/或IP地址进行比对;
在获取到的域名及IP地址与所述安全特征库中的域名及/或IP地址不匹配时,执行所述将获取到的域名及IP地址添加至命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中的步骤;
所述将获取到的域名及IP地址,与预设的安全特征库中的域名及/或IP地址进行比对的步骤之后,该方法还包括:
在获取到的域名及IP地址与所述安全特征库中的域名及/或IP地址匹配时,转发接收到的数据包。
5.根据权利要求1所述的方法,其特征在于,执行所述将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中的步骤的同时,拦截所述数据包。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对,以确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组的步骤之后,该方法还包括:
在获取到的IP地址及域名与预存的各个IP地址与域名的映射关系组均不匹配时,将获取到的IP地址及域名的映射关系作为新的IP地址与域名的映射关系组,并保存。
7.根据权利要求6所述的方法,其特征在于,所述将获取到的IP地址及域名的映射关系作为新的IP地址与域名的映射关系组,并保存的步骤之前,该方法还包括:
在获取到的IP地址及/或域名与预存的各个IP地址与域名的映射关系组均不匹配时,则获取在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量;
在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量大于预设数量阈值时,将所述目标终端的IP地址及解析为所述目标终端的IP地址的域名添加至所述命中特征库中。
8.根据权利要求1所述的方法,其特征在于,在执行所述将获取到的域名及IP地址添加至所述命中特征库中,并将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中的步骤的同时或之后,执行以下步骤:
将获取的所述域名及IP地址上传至服务器,以供所述服务器将接收到的域名及IP地址下发至其它节点,其中,其它节点在接收到所述域名及IP地址时,更新预存的所述命中特征库以及预存的所述IP地址与域名的映射关系组。
9.如权利要求8所述的方法,其特征在于,该方法还包括:
在接收到服务器下发的所述域名及IP地址时,将接收到的所述域名及IP地址添加至预存的所述命中特征库中,并获取与接收到的IP地址及域名匹配的预存IP地址与域名的映射关系组;
将接收到的IP地址及域名添加至与其匹配的预存IP地址与域名的映射关系组。
10.一种网络攻击的识别系统,其特征在于,包括:
获取模块,用于在侦测到终端发送的数据包时,获取数据包中的目标终端的信息;
解析模块,用于当获取到的目标终端的信息为所述目标终端的域名时,对域名进行解析获取域名所对应的IP地址;
比对模块,用于将预存的各个IP地址与域名的映射关系组依次与获取到的IP地址及域名进行比对;
确定模块,用于确定与获取到的IP地址及域名匹配的IP地址与域名的映射关系组;
添加模块,用于若确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配,则将获取的域名及IP地址添加至所述命中特征库中,以及获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
11.根据权利要求10所述的系统,其特征在于,所述网络攻击的识别系统还包括第一拦截模块,用于当获取到的目标终端的信息为所述目标终端的域名,且获取到的目标终端的域名与所述命中特征库中的域名匹配时,则拦截所述数据包;所述解析模块还用于解析目标终端的域名获取对应的IP地址;所述添加模块还用于将解析到的IP地址添加至所述命中特征库中;所述比对模块还用于将预存的各个IP地址与域名的映射关系组,依次与获取到的IP地址及域名进行比对;所述确定模块还用于确定与获取到的IP地址及域名,匹配的IP地址与域名的映射关系组;所述添加模块还用于将所述获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
12.根据权利要求10所述的系统,其特征在于,所述获取模块还用于当获取到的目标终端的信息为所述目标终端的IP地址时,获取数据包中的目标网址;所述网络攻击的识别系统还包括第二拦截模块,用于当获取到的IP地址及目标网址,与所述命中特征库中的IP地址及/或目标网址匹配时,拦截所述数据包;所述添加模块,还用于在所述IP地址与所述命中特征库中的IP地址匹配时,将所述目标网址添加到所述命中特征库中,或者,在所述目标网址与所述命中特征库中的目标网址匹配时,将所述IP地址添加到所述命中特征库中。
13.根据权利要求10所述的系统,其特征在于,所述比对模块还用于若确定的IP地址与域名的映射关系组中有域名及/或IP地址与命中特征库中的域名及/或IP地址匹配,则将获取到的目标终端的域名及/或对应的IP地址,与预设的安全特征库中的域名及/或IP地址进行比对;该系统还包括转发模块,用于当获取到的域名及IP地址与所述安全特征库中的域名及/或安全IP地址匹配时,转发接收到的数据包;所述添加模块还用于当获取到的域名及IP地址,与所述安全特征库中的域名及/或安全IP地址均不匹配时,将获取到的域名及IP地址添加至所述命中特征库中,以及将获取到的域名及IP地址之间的映射关系,添加至确定的IP地址与域名的映射关系组中。
14.如权利要求10所述的系统,其特征在于,该系统还包括第三拦截模块,用于在确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配时,拦截所述数据包。
15.根据权利要求10-14任一项所述的系统,其特征在于,该系统还包括存储模块,用于在获取到的IP地址及域名与预存的各个IP地址与域名的映射关系组均不匹配时,将获取到的IP地址与域名之间的映射关系作为新的IP地址与域名的映射关系组,并保存。
16.根据权利要求15所述的系统,其特征在于,
所述获取模块,还用于在获取到的IP地址及/或域名与预存的各个IP地址与域名的映射关系组均不匹配时,则获取在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量;
所述添加模块,还用于在预设时间间隔内解析为所述目标终端的IP地址的不同域名的数量大于预设数量阈值时,将所述目标终端的IP地址及解析为所述目标终端的IP地址的域名添加至所述命中特征库中。
17.根据权利要求10所述的系统,其特征在于,该系统还包括:
发送模块,用于在确定的IP地址与域名的映射关系组中,有域名及/或IP地址与预设的命中特征库中的域名及/或IP地址匹配时,将获取的所述域名及IP地址上传至服务器,以供所述服务器将接收到的域名及IP地址下发至其它节点,其中,其它节点在接收到所述域名及IP地址时,更新预存的所述命中特征库以及预存的所述IP地址与域名的映射关系组。
18.如权利要求17所述的系统,其特征在于,
所述添加模块,还用于在接收到服务器下发的所述域名及IP地址时,将接收到的所述域名及IP地址添加至预存的所述命中特征库中;
所述获取模块,还用于获取与接收到的IP地址及域名匹配的预存IP地址与域名的映射关系组;
所述添加模块,还用于将接收到的IP地址及域名添加至与其匹配的预存IP地址与域名的映射关系组。
CN201610370315.4A 2016-05-30 2016-05-30 网络攻击的识别方法和系统 Active CN107454037B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610370315.4A CN107454037B (zh) 2016-05-30 2016-05-30 网络攻击的识别方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610370315.4A CN107454037B (zh) 2016-05-30 2016-05-30 网络攻击的识别方法和系统

Publications (2)

Publication Number Publication Date
CN107454037A CN107454037A (zh) 2017-12-08
CN107454037B true CN107454037B (zh) 2020-12-01

Family

ID=60484882

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610370315.4A Active CN107454037B (zh) 2016-05-30 2016-05-30 网络攻击的识别方法和系统

Country Status (1)

Country Link
CN (1) CN107454037B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959294B (zh) * 2016-06-17 2019-06-14 北京网康科技有限公司 一种恶意域名鉴别方法及装置
CN108600209B (zh) * 2018-04-16 2021-06-22 新华三信息安全技术有限公司 一种信息处理方法及装置
CN108848076B (zh) * 2018-05-31 2020-09-25 上海连尚网络科技有限公司 一种用于通过用户设备检测dns劫持的方法与设备
CN108683687B (zh) * 2018-06-29 2021-08-10 北京奇虎科技有限公司 一种网络攻击识别方法及系统
CN109088898A (zh) * 2018-10-26 2018-12-25 北京天融信网络安全技术有限公司 一种拒绝网络攻击的方法和装置
CN109388951B (zh) * 2018-10-30 2021-10-15 郑州市景安网络科技股份有限公司 一种非法信息的处理方法、装置、设备及可读存储介质
CN110336805B (zh) * 2019-06-27 2022-02-08 维沃移动通信有限公司 网络访问管理方法和移动终端
CN110430189A (zh) * 2019-08-02 2019-11-08 北京天融信网络安全技术有限公司 一种域名系统访问控制方法及装置
CN111314379B (zh) * 2020-03-20 2022-07-08 深圳市腾讯计算机系统有限公司 被攻击域名识别方法、装置、计算机设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102882889A (zh) * 2012-10-18 2013-01-16 珠海市君天电子科技有限公司 基于钓鱼网站ip集中性的收集与鉴定的方法和系统
CN102984177A (zh) * 2012-12-24 2013-03-20 珠海市君天电子科技有限公司 一种识别远控木马的方法及其装置
US9027128B1 (en) * 2013-02-07 2015-05-05 Trend Micro Incorporated Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8869272B2 (en) * 2010-08-13 2014-10-21 Mcafee, Inc. System, method, and computer program product for preventing a modification to a domain name system setting

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102882889A (zh) * 2012-10-18 2013-01-16 珠海市君天电子科技有限公司 基于钓鱼网站ip集中性的收集与鉴定的方法和系统
CN102984177A (zh) * 2012-12-24 2013-03-20 珠海市君天电子科技有限公司 一种识别远控木马的方法及其装置
US9027128B1 (en) * 2013-02-07 2015-05-05 Trend Micro Incorporated Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks

Also Published As

Publication number Publication date
CN107454037A (zh) 2017-12-08

Similar Documents

Publication Publication Date Title
CN107454037B (zh) 网络攻击的识别方法和系统
CN110719291B (zh) 一种基于威胁情报的网络威胁识别方法及识别系统
US11057404B2 (en) Method and apparatus for defending against DNS attack, and storage medium
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
US10218717B1 (en) System and method for detecting a malicious activity in a computing environment
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
CN108200068B (zh) 端口监控方法、装置、计算机设备及存储介质
CN110768999B (zh) 一种设备非法外联的检测方法及装置
EP3224984A1 (en) Determine vulnerability using runtime agent and network sniffer
CN107566420B (zh) 一种被恶意代码感染的主机的定位方法及设备
CN110855636B (zh) 一种dns劫持的检测方法和装置
CN106790189B (zh) 一种基于响应报文的入侵检测方法和装置
CN112600852B (zh) 漏洞攻击处理方法、装置、设备及存储介质
US10142359B1 (en) System and method for identifying security entities in a computing environment
CN111314379B (zh) 被攻击域名识别方法、装置、计算机设备和存储介质
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
CN106209907A (zh) 一种检测恶意攻击的方法及装置
US10097418B2 (en) Discovering network nodes
CN109547427B (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
CN112491817B (zh) 一种基于蜜罐技术的溯源方法、装置及蜜罐设备
US10237287B1 (en) System and method for detecting a malicious activity in a computing environment
CN105939321A (zh) 一种dns攻击检测方法及装置
CN109768949B (zh) 一种端口扫描处理系统、方法及相关装置
US20160189160A1 (en) System and method for deanonymization of digital currency users
CN112583827B (zh) 一种数据泄露检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer

Applicant after: SANGFOR TECHNOLOGIES Inc.

Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518052 No. 1001 Nanshan Chi Park building A1 layer

Applicant before: Sangfor Technologies Co.,Ltd.

GR01 Patent grant
GR01 Patent grant