CN109313676A - 基于安全级别和访问历史的ip地址访问 - Google Patents
基于安全级别和访问历史的ip地址访问 Download PDFInfo
- Publication number
- CN109313676A CN109313676A CN201680086090.8A CN201680086090A CN109313676A CN 109313676 A CN109313676 A CN 109313676A CN 201680086090 A CN201680086090 A CN 201680086090A CN 109313676 A CN109313676 A CN 109313676A
- Authority
- CN
- China
- Prior art keywords
- domain name
- security level
- access
- security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004044 response Effects 0.000 claims abstract description 58
- 238000006116 polymerization reaction Methods 0.000 claims description 38
- 238000000034 method Methods 0.000 claims description 16
- 230000000694 effects Effects 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 claims description 3
- 230000002265 prevention Effects 0.000 abstract description 3
- 238000001914 filtration Methods 0.000 description 16
- 238000004458 analytical method Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000000151 deposition Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000018199 S phase Effects 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000011469 building brick Substances 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本文公开的示例涉及基于安全级别和域名访问信息来确定是否允许对IP地址的访问。在一个实施方式中,处理器拦截对与域名相关的域名系统请求的响应,并且基于请求和/或响应来更新安全级别。处理器可以基于安全级别以及域名与存储的与先前域名访问相关的信息的比较来确定是转发还是阻止响应。
Description
背景技术
恶意软件可以使用命令和控制渗透技术,其中,受感染设备上的恶意软件与将指令发送到恶意软件的命令和控制中心进行通信,例如以搜索或发送存储在设备上的数据。在一些情况下,域生成算法可以用于生成一组域名,恶意软件可以使用其与命令中心进行通信,以使得当域名的子集被阻止时恶意软件仍然能够与命令中心通信。
附图说明
附图描述了示例性实施例。以下详细描述参考了附图,其中:
图1是示出用于基于安全级别和访问历史来确定IP地址访问的计算系统的一个示例的框图。
图2是示出用于基于安全级别和访问历史来确定IP地址访问的方法的一个示例的流程图。
图3是示出用于基于安全级别和访问历史来确定IP地址访问的方法的一个示例的流程图。
图4是示出基于不同安全级别的IP地址访问差异的一个示例的图。
具体实施方式
在一个实施方式中,计算系统拦截对域名服务(DNS)请求的响应,所述DNS请求针对与域名相关的IP地址。计算系统可以基于安全级别以及域名与存储的与先前域名访问相关的信息的比较来确定是转发IP地址还是阻止IP地址。可以基于聚合网络业务信息来确定安全级别,并且先前域名访问信息可以包括在特定时间段期间先前由电子设备和/或用户访问的域名。
作为示例,计算系统可以确定与电子设备相关联的安全级别,例如安全级别是否在网络业务过滤级别上。计算系统可以基于DNS请求和/或响应来确定是否增加、维持或降低安全级别。如果在网络过滤模式下,则计算系统可以将与DNS请求相关联的域名与先前访问的域名的列表进行比较。如果域名不在列表上或者不满足其他先前的访问标准,则可以发送NXDOMAIN响应来代替作为DNS响应而被接收的IP地址,以使得电子设备不能访问IP地址。如果域名满足访问标准,则计算系统可以发送作为DNS响应而被接收的IP地址,以使得电子设备可以使用IP地址进行通信。
使用基于对可疑活动和新域名请求的检测来确定是否选择性地阻止网络业务的系统可以高效地防止或减轻一些网络攻击。阻止对新域名的访问可以防止恶意软件使用一组潜在域名中的任何一个来与命令和控制中心进行通信。自动化系统可以减少IT人员监测的参与和时间,且并减轻用户的负担。例如,当系统在低安全级别中而没有网络过滤时,用户可以不经历任何变化,并且在较高安全级别期间的效果可以限于无法访问新网站。用户可以是能够继续执行与先前访问的网站(例如,作为用户工作的一部分而频繁访问的网站)相关的任务的。
图1是示出用于基于安全级别和访问历史来确定IP地址访问的计算系统的一个示例的框图。例如,计算系统100可以基于安全级别来确定是否过滤网络业务。如果安全级别处于网络过滤级别,则DNS域名请求可以与历史访问信息(例如,先前访问的域名的列表)相比较,以确定是否允许对作为DNS响应而被接收的IP地址的访问。计算系统100可以包括存储装置104、DNS服务器103、处理器101和安全模块102。
DNS服务器103可以是任何合适的DNS服务器。例如,DNS服务器103可以使用DNS协议来解析域名以将IP地址与域名相关联。DNS服务器103可以从处理器101接收请求,例如在处理器101执行用于与DNS服务器103进行通信的安全模块102指令的情况下。处理器101可以经由网络与DNS服务器103进行通信。DNS服务器103可以从处理器101接收包括域名的请求,并且用相关联的IP地址来对处理器101进行响应。
存储装置104可以存储历史域名访问信息105和安全级别信息106。存储装置104可以是与处理器101通信的任何合适的存储装置。在一个实施方式中,处理器101经由网络与存储装置104通信。
历史域名访问信息105可以包括与历史域名访问相关的任何合适的信息。例如,历史域名访问信息105可以包括域名、相关IP地址、访问时间和/或访问频率。当另外的域名被访问时,历史域名访问信息105可以被更新。历史域名访问信息105可以与特定电子设备的访问、特定用户的访问和/或一组用户的访问相关联。历史域名访问信息105可以通过用户或电子设备先前未访问的另外的域名来增强。例如,可以基于机器学习、外部域列表和/或用户输入来增强历史域名访问信息105。作为示例,历史域名访问信息105可以在用户了访问域名A并且机器学习指示访问了域名A的用户中的90%也访问另外的域名的情况下包括该另外的域名。
安全级别信息106可以包括关于当前安全级别的信息。安全级别信息106可以包括用于确定与处理器101相关联的安全级别的度量。例如,可以存储和更新关于域名访问模式的聚合安全度量,以使得基于聚合安全度量与门限的比较来更新安全级别。
处理器101可以是中央处理单元(CPU)、基于半导体的微处理器或适合于检索和执行指令的任何其他设备。替代或附加于提取、解码和执行指令,处理器101可以包括一个或多个集成电路(IC)或其他电子电路,其包括用于执行以下描述的功能的多个电子组件。以下描述的功能可以由多个处理器执行。处理器101可以与任何合适的计算设备相关联,例如膝上型计算机或移动计算设备。
处理器101可以与安全模块102通信。安全模块102可以用硬件、固件和/或软件来体现。安全模块102可以存储在存储装置104中或单独的存储设备或分区中。安全模块102可以存储在机器可读存储介质中。机器可读存储介质可以是任何合适的机器可读介质,例如存储可执行指令或其他数据的电、磁、光或其他物理存储设备(例如,硬盘驱动器、随机存取存储器、闪速存储器等等)。机器可读存储介质可以是例如计算机可读的非暂时性介质。
安全模块102可以在计算系统100内具有与DNS服务器103相关的任何合适的配置。安全模块102可以存储在软件栈中与请求客户端应用和DNS解析器相比较低的错误控制层处。安全模块可以拦截去往DNS服务器103的请求和/或来自DNS服务器103的响应。在错误控制层中,安全模块102可以通过阻止业务在软件栈中上下移动来阻止去往和/或来自DNS服务器103的业务。在一个实施方式中,安全模块102驻留在应用层处,以使得安全模块102拦截、监测和/或控制去往和/或来自DNS服务器103的业务。在一个实施方式中,安全模块驻留在网络上,以使得其在DNS服务器103的请求和/或响应跨网络被转发时监测DNS服务器103的请求和/或响应。在一个实施方式中,安全模块102存储在DNS服务器103上。例如,安全模块102可以对将请求发送到DNS服务器103的多个电子设备执行安全监测,所述多个电子设备例如在相同公司环境中的多个电子设备。
安全模块102可以包括可由处理器101和/或另一处理器执行的指令。例如,安全模块102可以包括DNS响应访问指令107、安全级别更新指令108、域名访问确定指令109和访问确定输出指令110。
DNS响应接收指令107可以包括用于访问与IP地址相关的信息的指令,所述IP地址作为去往DNS服务器103的DNS请求的响应而被接收。例如,处理器101可以在转发IP地址之前分析接收的响应,以允许处理器101经由IP地址进行通信。
安全级别更新指令108可以包括用于基于去往DNS服务器103的DNS请求和/或来自DNS服务器103的响应来更新安全级别信息105的指令。安全级别信息106可以包括与当前安全级别相关的信息和用于确定安全级别的网络业务摘要信息。安全级别可以是指示要对DNS请求和/或响应执行的过滤或其他分析的量或类型的级别。例如,较高的安全级别可以指示应当发生更多的过滤,以使得来自DNS服务器103的更多响应被过滤或阻止到达处理器101,以防止IP地址被访问。
可以基于请求和/或响应来更新指示网络业务模式的聚合安全度量,并且可以将聚合安全度量与一组标准进行比较以确定是否改变或维持安全级别。可以将聚合安全度量和与一时间段相关的标准进行比较,并且/或者可以周期性地重置聚合安全度量。例如,标准可以与一时间段期间的事件发生的数量或百分比(例如,每分钟的DNS请求的数量)相关。可以基于聚合安全度量超过门限的量、聚合度量超过门限的次数和/或聚合安全度量被超过的频率来更新安全级别。可以基于对与不同时间段相关的聚合安全度量中的异常的检测来更新安全级别。可以将聚合安全度量与标准进行比较以确定是否改变安全级别。用于降低或提高安全性的标准可以取决于另外的信息,例如安全级别已被提高的时间量。
聚合安全度量可以包括与来自处理器101的或者除了其他设备之外还来自处理器101去往DNS服务器103的请求相关的信息。例如,聚合安全度量可以包括关于以下DNS请求的量(例如,数量或百分比)的信息:去往DNS服务器103的DNS请求、与未被包括在域名先前访问信息105中的域名相关的DNS请求、与相同域的子域相关的DNS请求和/或非重复域名DNS请求。聚合安全度量可以包括与来自DNS服务器103的响应相关的任何合适的信息,例如来自DNS服务器103的指示没有响应或没有相关联的IP地址的响应的数量。在一些情况下,可以将多个度量类型的值与不同的门限进行比较以确定安全级别。
域名访问确定指令109可以包括用于基于安全级别以及域名与域名先前访问信息105的比较来确定是否允许对IP地址的访问的指令。如果安全级别被设置为与网络业务过滤无关的级别,则可以向DNS服务器103响应提供访问,以使得处理器101可以使用接收的IP地址进行通信。如果安全级别被设置为网络过滤级别,则如果从DNS服务器103请求的域名被包括在历史域名访问信息105中,则处理器101可以允许对DNS服务器103响应的访问。例如,当在过滤模式下时,可以为先前已被访问的域名提供IP地址。在一个实施方式中,可以存在多个安全级别,以使得用于将域名请求与历史域名访问信息105进行比较的标准与安全级别相关联,例如在这样的情况下:当安全级别较高时,访问仅限于满足较严格标准的域名。
访问确定输出指令110可以包括用于输出与访问确定相关的信息的指令。例如,可以存储、发送和/或显示关于访问的信息。在一个实施方式中,响应于用于允许访问的访问确定来访问IP地址。在一个实施方式中,处理器101更新历史域名访问信息105以包括关于已访问的域名的信息。例如,如果不是在过滤模式下,则可以访问新域名并将其添加到域名先前访问信息105。
图2是示出用于基于安全级别和访问历史来确定IP地址访问的方法的一个示例的流程图。例如,处理器可以基于网络业务模式信息与安全级别门限信息的比较来自动确定安全级别。处理器可以基于安全级别来确定是否过滤网络业务,以使得当在提高的安全级别中时,IP地址访问可以限于针对先前访问的域名解析的IP地址。方法可以例如由图1的计算系统100实现。
在200处开始,处理器访问与IP地址相关的信息,所述IP地址作为对与域名相关的DNS请求的响应而被接收。例如,可以接收域名作为用于访问具有特定域名的网页的用户输入。例如,域名可以由诸如网络浏览器之类的应用接收,所述应用向DNS服务器发出用于解析接收的域名的请求。可以将域名与本地高速缓存进行比较,以确定是否可以用本地存储的IP地址信息来解析所述域名,并且如果IP地址信息没有本地存储,则处理器可以经由网络与远程DNS服务通信。可以递归地查询DNS服务器,直到IP地址响应被接收或者请求被终止并且与NXDOMAIN响应相关联。
在一些情况下,处理器可以接收对DNS请求的非解析响应,例如NXDOMAIN响应。处理器可以更新摘要网络业务信息(例如,聚合安全度量)以指示响应的接收。例如,当NXDOMAIN响应的数量在特定时间帧期间达到门限时,可以提高安全级别。然后,处理器可以将NXDOMAIN响应转发给请求应用以指示缺少响应。
继续到201,处理器基于请求和响应中的至少一个来更新与电子设备相关联的安全级别。安全级别可以与任何合适的设备和/或用户相关联。例如,安全级别可以与用户相关联并且在用户登录时与电子设备相关联。安全级别可以与用于防止或减轻网络攻击的安全措施相关联。例如,安全措施可以与过滤DNS服务器请求和/或响应相关。安全级别可以与任何合适的过滤方法相关,并且可以存在多个安全级别,以使得更多或更少的过滤基于级别而被执行。
安全级别更新可以在任何合适的时间发生,例如在确定是否过滤接收的DNS响应之前或之后。例如,可以基于当前安全级别进行访问确定,以使得在访问完成时基于请求和响应二者来更新安全级别。作为另一示例,处理器可以过滤DNS请求,以使得访问确定基于当前安全级别,并且域名请求不被发送到其中访问被拒绝的DNS服务器。可以在访问批准或拒绝之后更新安全级别。
处理器可以基于聚合安全信息与关联于安全级别分类的标准(例如,门限)的比较来更新安全级别。例如,可以基于DNS请求和/或响应来更新聚合安全信息,并且可以使用聚合安全信息来更新安全级别。可以基于指示网络威胁的模式的聚合安全信息标准来确定安全级别,所述模式例如指示与命令和控制中心通信的恶意软件的模式。
聚合安全信息可以指示网络业务的形式和/或频率。聚合安全信息可以是关于一时间段期间的一组DNS请求和/或响应的摘要信息。例如,聚合安全信息可以与以下各项的数量或百分比相关:DNS请求、没有返回响应的DNS请求、与未被包括在域名访问列表中的所请求的域名相关的请求、与相同域的子域的子域相关的域名请求、不在访问历史列表中的非解析域名和/或非重复的域名。
可以降低、增加或维持安全级别。可以以任何合适的方式基于聚合安全信息来更新安全级别。例如,可以基于以下各项来更新安全级别:聚合安全信息超过门限的量、聚合安全信息已超过门限的次数、安全级别已处于特定级别的时间量、和/或聚合安全信息超过门限的频率。在一个实施方式中,使用不同的标准来确定安全级别是否应当被改变而不是被使用以确定是否维持安全级别,例如在这样的情况下:与用于从较低的警报状态进入高警戒状态的标准相比使用提高的标准来将安全级别从高警报降低。安全级别可以基于特定时间帧,例如在这样的情况下:将聚合安全度量与用于特定时间帧的门限进行比较以确定降低安全级别。
在一个实施方式中,处理器输出警报以指示安全级别是否增加,例如通过显示、存储或发送信息。例如,可以自动向管理员发送消息,以指示用于设备或设备组的安全级别的变化。
继续到202,处理器确定安全级别是否在域名过滤级别中。例如,可以存在多个安全级别。第一安全级别可以指示系统处于低风险,并且不执行网络业务过滤。第二安全级别可以指示系统处于较高风险。
如果在域名过滤级别中,则继续到203,处理器将域名和与先前访问的域名相关的信息进行比较。例如,处理器可以确定域名是否在先前访问的域名的列表中。处理器可以分析与先前访问相关的任何合适的标准,例如域名是否先前在特定时间帧或频率内被访问,或者域名是否先前由特定用户组访问。
与先前访问的域名相关的信息可以包括任何合适的域名列表,例如先前由电子设备、用户和/或组织访问的域名。可以增强先前访问的域名的列表以包括被认为访问是安全的另外的域名,例如基于在多个用户之间的共享访问信息而添加的域名。
继续到204,处理器基于比较来确定是否允许对IP地址的访问。可以将先前的访问信息和与针对特定安全级别的访问相关的标准进行比较。例如,在第一安全级别中,如果先前在特定时间段内访问了域名,则处理器可以确定允许对DNS响应的访问。
继续到205,处理器输出与访问确定相关的信息。例如,可以发送或存储关于访问确定的信息。在一个实施方式中,如果访问被允许,则处理器转发IP地址以用于通信。
在一个实施方式中,如果在没有过滤的安全级别中,处理器可以将域名添加到先前域名访问列表,以使得如果安全级别增加到过滤级别,则将继续允许针对域名的访问。处理器可以基于确定来更新先前的域名访问列表。例如,如果访问被允许,则处理器可以更新访问时间和日期信息。
处理器可以基于访问信息来更新聚合安全信息,例如以指示访问不被允许。例如,如果DNS响应是NXDOMAIN响应,则可以使用关于响应的信息来更新聚合安全信息。在一个实施方式中,域被存储,以使得如果发生合法访问,则与批准的请求相关的信息(例如,时间)与域名相关联。
图3是示出用于基于安全级别和访问历史来确定IP地址访问的方法的一个示例的流程图。方法可以例如由图1的计算系统100实现。在300处开始,处理器接收对DNS请求的响应。响应可以是与域名相对应的IP地址。继续到301,处理器基于域名和/或接收的响应来更新聚合安全度量。继续到302,处理器确定聚合安全度量是否超过门限。例如,处理器可以确定每分钟NXDOMAIN响应的数量是否超过门限。
如果确定聚合安全度量超过门限,则继续到303,处理器增加或维持安全级别。例如,安全级别可以被设置为业务过滤级别或维持处于业务过滤级别。
如果确定聚合安全度量未超过门限,则继续到304,处理器降低或维持安全级别。例如,安全级别可以被设置为其中过滤被关闭并且DNS响应被自动转发以用于访问的级别。
继续到305,处理器确定安全级别是否被设置为过滤安全级别。如果确定安全级别未被设置为过滤安全级别,则继续到306,处理器转发DNS响应,以使得电子设备可以使用作为DNS响应而被接收的IP地址进行通信。
如果确定安全级别被设置为过滤安全级别,则继续到308,处理器确定域名是否在地址列表中。例如,处理器可以确定域名是否先前已被访问或先前根据一组标准而被访问。如果确定域名在地址列表中,则继续到306,处理器转发DNS响应,以使得IP地址可以被访问。继续到307,处理器更新域地址列表。例如,处理器可以将关于访问的信息添加到域名先前访问信息。如果域名不在地址列表中,则处理器可以将域名添加到地址列表中。
如果确定域名不在地址列表中,则继续到309,处理器发送NXDOMAIN响应,以使得电子设备不能访问作为DNS响应而被接收的IP地址。
图4是示出基于不同安全级别的IP地址访问差异的一个示例的图。例如,可以存在多个安全级别,其中,每个安全级别与用于确定是否允许电子设备访问作为DNS响应而被接收的IP地址的不同标准相关联。方法可以例如由图1的处理器101实现。
框400示出了域名列表和先前的访问信息。例如,先前已访问的域名www.x.com和www.y.com,并且与www.y.com相比,www.x.com已被访问得更频繁且更近期。
流程图410示出了用于基于先前的访问信息和安全级别信息来确定是否允许对IP地址的访问的方法。在401处开始,处理器响应于对域名www.x.com的IP地址的请求而从DNS服务器接收IP 14.14.2.5。继续到402,处理器确定电子设备是否在无过滤级别中。如果是,则移动至406,处理器访问IP地址14.14.2.5,这是因为过滤不被执行。
继续到403,如果处理器不在无过滤安全级别中,则处理器确定电子设备是否在第一安全级别中,其中,IP地址根据域名是否在先前访问列表400中而被过滤。继续到407,处理器访问IP地址14.14.2.5,这是因为域名www.x.com在IP地址访问列表400中。
继续到404,如果安全级别不在第一安全级别中,则处理器确定电子设备是否在第二安全级别中,以使得如果域名在上周内被访问,则访问被允许。继续到408,处理器允许对IP地址14.14.2.5的访问,这是因为www.x.com最近在3天前被访问,这是在上周内的。
继续到405,如果安全级别不在第二安全级别中,则处理器确定电子设备是否在第三安全级别中,以使得如果域名在上个月被访问超过15次,则访问被允许。继续到409,IP地址被阻止,并且NXDOMAIN响应被返回,这是因为www.x.com在过去一个月中被访问少于15次。
基于网络威胁的可能性水平和先前访问信息来自动地针对电子设备进行IP地址访问确定提供了减轻网络攻击同时考虑对用户继续使用电子设备的能力的影响的高效方法。
Claims (15)
1.一种计算系统,包括:
存储装置,其用于存储:历史域名访问信息和安全级别信息;
安全模块,其包括用于执行以下操作的指令:
访问与IP地址相关的信息,所述IP地址作为对与域名相关的域名系统请求的响应而被接收;
基于所述请求和所述响应中的至少一个来更新安全级别;
基于所述安全级别以及对所述域名与所述历史域名访问信息的比较来确定是否允许对所述IP地址的访问;以及
输出与访问确定相关的信息;以及
处理器,其用于执行安全模块指令。
2.如权利要求1所述的计算系统,其中,所述存储装置还用于存储聚合安全度量,并且其中,更新所述安全级别包括:
基于所述请求和所述响应中的至少一个来更新所述聚合安全度量;以及
基于所述聚合安全度量与安全级别标准相比较来更新所述安全级别。
3.如权利要求2所述的计算系统,其中,所述聚合安全度量与以下各项中的至少一项的数量相关:域名系统请求、没有返回响应的域名系统请求、与未被包括在域名访问列表中的域名相关的域名系统请求、与相同域的子域相关的域名系统请求、具有不在域名访问列表历史列表中的非解析域名的域名系统请求、以及非重复域名系统请求。
4.如权利要求2所述的计算系统,其中,更新所述安全级别包括基于以下各项中的至少一项来更新所述安全级别:所述聚合安全度量超过门限的量、所述聚合安全度量超过门限的频率、以及所述安全等级已被提高的时间量。
5.如权利要求1所述的计算系统,其中,所述处理器还用于基于以下各项中的至少一项来增强所述历史域名访问信息:机器学习、外部域名列表、以及用户输入。
6.如权利要求1所述的计算系统,其中,所述安全级别可以包括以下各项中的至少一项:域名非过滤级别、域名过滤的第一级别、以及域名过滤的第二级别。
7.如权利要求1所述的计算系统,其中,确定是否允许访问包括:基于与所述历史域名访问信息相关联的时间帧来确定是否允许访问。
8.一种方法,包括:
访问与IP地址相关的信息,所述IP地址作为对与域名相关的域名系统请求的响应而被接收;
基于所述请求和所述响应中的至少一个来更新与电子设备相关联的安全级别;以及
如果所述安全级别包括域名过滤安全级别,则:
将与所述响应一起接收的所述域名和与先前访问的域名相关的信息进行比较;
基于所述比较来确定是否允许对所述IP地址的访问;以及
输出与访问确定相关的信息。
9.如权利要求8所述的方法,还包括:如果更新所述安全级别引起增加所述安全级别,则输出警报。
10.如权利要求8所述的方法,其中,更新所述安全级别包括:
基于所述请求和所述响应中的至少一个来更新聚合安全度量;以及
基于所述聚合安全度量来更新所述安全级别。
11.如权利要求8所述的方法,其中,更新所述安全级别包括:
确定是否进入域名过滤级别。
12.如权利要求8所述的方法,还包括将所述域名添加到先前访问的域名信息。
13.一种包括指令的机器可读的非暂时性存储介质,所述指令能够由处理器执行以执行以下操作:
拦截对来自电子设备的与域名相关的域名系统请求的响应;
基于所述请求和所述响应中的至少一个来更新与所述电子设备相关联的安全级别;
基于所述安全级别以及对所述域名与存储的与先前域名访问相关的信息的比较来确定是转发还是阻止所述响应;
输出与所述确定相关的信息。
14.如权利要求13所述的机器可读的非暂时性存储介质,其中,用于更新所述安全级别的指令包括用于执行以下操作的指令:
将一时间段期间的域名系统活动与安全级别标准进行比较;以及
基于所述比较的结果来更新所述安全级别。
15.如权利要求13所述的机器可读的非暂时性存储介质,其中,用于更新安全级别的指令包括用于确定是否执行以下操作中的至少一个的指令:进入、离开或维持域名过滤模式。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2016/053517 WO2018057008A1 (en) | 2016-09-23 | 2016-09-23 | Ip address access based on security level and access history |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109313676A true CN109313676A (zh) | 2019-02-05 |
| CN109313676B CN109313676B (zh) | 2022-01-25 |
Family
ID=61690569
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680086090.8A Active CN109313676B (zh) | 2016-09-23 | 2016-09-23 | 基于安全级别和访问历史的ip地址访问 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11223602B2 (zh) |
| EP (1) | EP3449406B1 (zh) |
| JP (1) | JP6731075B2 (zh) |
| KR (1) | KR102303312B1 (zh) |
| CN (1) | CN109313676B (zh) |
| BR (1) | BR112018074592A2 (zh) |
| WO (1) | WO2018057008A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818107A (zh) * | 2020-09-14 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 网络请求的响应方法、装置、设备及可读存储介质 |
| CN112765502A (zh) * | 2021-01-13 | 2021-05-07 | 上海派拉软件股份有限公司 | 恶意访问检测方法、装置、电子设备和存储介质 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018141432A1 (en) * | 2017-01-31 | 2018-08-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and attack detection function for detection of a distributed attack in a wireless network |
| CN112055956B (zh) * | 2018-02-23 | 2023-01-10 | 诺基亚技术有限公司 | 用于网络安全性的装置和方法 |
| US11394746B2 (en) * | 2019-03-07 | 2022-07-19 | Lookout, Inc. | DNS prefetching based on triggers for increased security |
| US11470099B2 (en) * | 2020-10-19 | 2022-10-11 | Cycraft Singapore Pte. Ltd. | Cyber security protection system and related proactive suspicious domain alert system |
| US11870813B2 (en) * | 2021-04-30 | 2024-01-09 | Docusign, Inc. | Security operation selection using machine-learned model in document management system |
| CN114401246A (zh) * | 2021-12-27 | 2022-04-26 | 中国电信股份有限公司 | 访问域名的方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
| CN103312716A (zh) * | 2013-06-20 | 2013-09-18 | 北京蓝汛通信技术有限责任公司 | 一种访问互联网信息的方法及系统 |
| CN104125209A (zh) * | 2014-01-03 | 2014-10-29 | 腾讯科技(深圳)有限公司 | 恶意网址提示方法和路由器 |
| CN104378452A (zh) * | 2013-08-14 | 2015-02-25 | 阿里巴巴集团控股有限公司 | 一种用于域名解析的方法、装置及系统 |
| CN104506538A (zh) * | 2014-12-26 | 2015-04-08 | 北京奇虎科技有限公司 | 机器学习型域名系统安全防御方法和装置 |
| CN104579773A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 域名系统分析方法及装置 |
| US20150150079A1 (en) * | 2013-11-26 | 2015-05-28 | Bluecat Networks Inc. | Methods, systems and devices for network security |
| CN105338123A (zh) * | 2014-05-28 | 2016-02-17 | 国际商业机器公司 | 用于在网络中解析域名的方法、装置和系统 |
| US20160119282A1 (en) * | 2014-10-23 | 2016-04-28 | Go Daddy Operating Company, LLC | Domain name registration verification |
| CN105580333A (zh) * | 2013-08-14 | 2016-05-11 | 丹尼尔·钱 | 评估可疑网络通信 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6961783B1 (en) * | 2001-12-21 | 2005-11-01 | Networks Associates Technology, Inc. | DNS server access control system and method |
| US20060036720A1 (en) | 2004-06-14 | 2006-02-16 | Faulk Robert L Jr | Rate limiting of events |
| US20070180090A1 (en) | 2006-02-01 | 2007-08-02 | Simplicita Software, Inc. | Dns traffic switch |
| US8578497B2 (en) | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
| US8516585B2 (en) | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
| US9245121B1 (en) | 2013-08-09 | 2016-01-26 | Narus, Inc. | Detecting suspicious network behaviors based on domain name service failures |
| WO2015138519A1 (en) | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Method and system for detecting algorithm-generated domains |
| US10469514B2 (en) | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
-
2016
- 2016-09-23 BR BR112018074592A patent/BR112018074592A2/pt unknown
- 2016-09-23 EP EP16916974.5A patent/EP3449406B1/en active Active
- 2016-09-23 KR KR1020197005962A patent/KR102303312B1/ko active IP Right Grant
- 2016-09-23 WO PCT/US2016/053517 patent/WO2018057008A1/en unknown
- 2016-09-23 US US16/074,110 patent/US11223602B2/en active Active
- 2016-09-23 JP JP2018562306A patent/JP6731075B2/ja not_active Expired - Fee Related
- 2016-09-23 CN CN201680086090.8A patent/CN109313676B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
| CN103312716A (zh) * | 2013-06-20 | 2013-09-18 | 北京蓝汛通信技术有限责任公司 | 一种访问互联网信息的方法及系统 |
| CN104378452A (zh) * | 2013-08-14 | 2015-02-25 | 阿里巴巴集团控股有限公司 | 一种用于域名解析的方法、装置及系统 |
| CN105580333A (zh) * | 2013-08-14 | 2016-05-11 | 丹尼尔·钱 | 评估可疑网络通信 |
| US20150150079A1 (en) * | 2013-11-26 | 2015-05-28 | Bluecat Networks Inc. | Methods, systems and devices for network security |
| CN104125209A (zh) * | 2014-01-03 | 2014-10-29 | 腾讯科技(深圳)有限公司 | 恶意网址提示方法和路由器 |
| CN105338123A (zh) * | 2014-05-28 | 2016-02-17 | 国际商业机器公司 | 用于在网络中解析域名的方法、装置和系统 |
| US20160119282A1 (en) * | 2014-10-23 | 2016-04-28 | Go Daddy Operating Company, LLC | Domain name registration verification |
| CN104506538A (zh) * | 2014-12-26 | 2015-04-08 | 北京奇虎科技有限公司 | 机器学习型域名系统安全防御方法和装置 |
| CN104579773A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 域名系统分析方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818107A (zh) * | 2020-09-14 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 网络请求的响应方法、装置、设备及可读存储介质 |
| CN112765502A (zh) * | 2021-01-13 | 2021-05-07 | 上海派拉软件股份有限公司 | 恶意访问检测方法、装置、电子设备和存储介质 |
| CN112765502B (zh) * | 2021-01-13 | 2024-03-19 | 上海派拉软件股份有限公司 | 恶意访问检测方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11223602B2 (en) | 2022-01-11 |
| CN109313676B (zh) | 2022-01-25 |
| BR112018074592A2 (pt) | 2019-04-09 |
| EP3449406A1 (en) | 2019-03-06 |
| JP6731075B2 (ja) | 2020-07-29 |
| US20210105251A1 (en) | 2021-04-08 |
| EP3449406B1 (en) | 2022-08-17 |
| WO2018057008A1 (en) | 2018-03-29 |
| EP3449406A4 (en) | 2019-10-23 |
| KR102303312B1 (ko) | 2021-09-16 |
| KR20190034618A (ko) | 2019-04-02 |
| JP2019523476A (ja) | 2019-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109313676A (zh) | 基于安全级别和访问历史的ip地址访问 | |
| CN105471823B (zh) | 一种敏感信息处理方法、装置、服务器及安全判定系统 | |
| CN104917779B (zh) | 一种基于云的cc攻击的防护方法、装置及系统 | |
| CN105892444A (zh) | 通过虚拟机自省进行安全事件检测 | |
| US11438368B2 (en) | Security risk evaluation across user devices | |
| US20170193249A1 (en) | System and method for securing personal data elements | |
| CN108353079A (zh) | 对针对基于云的应用的网络威胁的检测 | |
| KR102024142B1 (ko) | 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템 | |
| CA2934627C (en) | Communications security | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN102624677A (zh) | 一种网络用户行为监控方法及服务器 | |
| JP2016146114A (ja) | ブラックリストの管理方法 | |
| US11481478B2 (en) | Anomalous user session detector | |
| CN106685899A (zh) | 用于识别恶意访问的方法和设备 | |
| CN110959158A (zh) | 信息处理装置、信息处理方法和信息处理程序 | |
| JP6756224B2 (ja) | ネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法 | |
| JP7100607B2 (ja) | 異常検知システム、及び異常検知方法 | |
| JP2023010181A (ja) | 情報管理システム、情報管理方法、及び情報共有システム | |
| CN106878247A (zh) | 一种攻击识别方法和装置 | |
| JP7037628B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法およびコンピュータプログラム | |
| CN114499998B (zh) | 安全防护方法、装置、电子设备和存储介质 | |
| JP7235109B2 (ja) | 評価装置、システム、制御方法、及びプログラム | |
| CN116074217A (zh) | 网络检测方法、系统、存储介质及电子设备 | |
| CN109150863A (zh) | 桌面云的访问控制方法、装置和桌面云终端设备 | |
| JP2019021094A (ja) | Webアクセス制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |