CN109936560A - 恶意软件防护方法及装置 - Google Patents
恶意软件防护方法及装置 Download PDFInfo
- Publication number
- CN109936560A CN109936560A CN201811609837.0A CN201811609837A CN109936560A CN 109936560 A CN109936560 A CN 109936560A CN 201811609837 A CN201811609837 A CN 201811609837A CN 109936560 A CN109936560 A CN 109936560A
- Authority
- CN
- China
- Prior art keywords
- domain name
- blacklist
- malware
- white list
- outside
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种恶意软件防护方法及装置,所述恶意软件防护方法基于DNS解析日志机器数据与内外部情报数据驱动的安全分析技术,综合交叉运用了大量的最新技术,如数据采集、数据归并、数据关联与机器学习等,完成域名访问行为分析的自动化与交叉置信度验证,检测出恶意软件所访问的黑名单域名,并以软件定义安全方式完成DNS解析联动,将恶意软件访问的黑名单域名指向到自行设置的IP地址,从而实现DNS黑洞功能。所述恶意软件防护方法的使用与终端类型、应用无关,不仅可以检测已知、未知恶意软件,还做到以自动化、实时的方式完成防护策略的定义,阻断攻击链,实现防护的同时可以提供多种安全增值服务。
Description
技术领域
本公开涉及信息安全技术领域,尤其是涉及一种恶意软件防护方法及装置。
背景技术
随着计算机技术和互联网络应用的快速发展,信息安全变得愈发重要,信息安全也成为一个备受关注的重要研究领域。面对层出不穷的安全问题和爆炸式增长的恶意软件及其变种,需要不断完善和提高对恶意软件的自动化发现与检测能力以及防护能力,让恶意软件无法产生不良后果。
恶意软件是一段计算机指令,由攻击者通过系统安全漏洞或其他方法植入被攻击的计算机中,使得被攻击者的计算机按照攻击者的意愿执行任务,任何能对计算机系统信息安全造成威胁的计算机指令序列和数据都可以归属于恶意软件。目前,PC终端、手机、平板电脑、物联网或工控设备均面临着感染恶意软件的风险。木马、勒索和挖矿等恶意软件通常均必须通过C&C回连域名访问其后台的服务器,从而接收服务器的控制命令或者传输敏感数据。
目前,检测与防范木马、勒索和挖矿等恶意软件的方法主要包括:一、通过在终端设备或主机上安装安全防护软件,通过特征码匹配方式来实现防护。但该方法是基于特征码黑名单,其更新有时间周期性,在防护效果上高度依赖安全厂商的更新速度,同时一旦恶意软件发生变异,原来的特征码将失效,丧失防护能力;同时随着物联网、工控设备的大量应用,其也会存在恶意软件,但因这些不常规操作系统和设备自身限制等原因将导致无法安装安全防护软件。
二、通过网络流量分析方式从中检测恶意软件所访问的C&C回连域名。该方法需要对海量网络数据进行大量的分析工作,其效率十分低下,投入产出比不高;受限于采集网络流量的探针部署位置,容易造成网络数据缺失从而无法发现恶意软件;通过网络流量来分析恶意域名,仅仅可以实现检测功能,无法实时阻断恶意软件的不良行为,没有防护功能。
发明内容
本公开的目的在于提供一种恶意软件防护方法及装置,以解决相关技术中的问题。
根据本公开的第一方面,提供一种恶意软件防护方法,包括:
采集访问域名的DNS解析日志机器数据;
对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;其中,所述黑名单域名为恶意域名,所述白名单为安全域名,所述灰名单域名为性质或信誉不明的域名;
获取多源内外部威胁情报,根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,并根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名;以及
调用DNS域名解析功能接口,将所述黑名单域名的解析指向自行设置的IP地址,阻止恶意软件的攻击以及提供安全增值服务。
可选的,所述自行设置的IP地址为虚假IP地址或人为构造的且部署有明确目的的应用IP地址。
可选的,所述应用IP地址在阻止所述恶意软件的攻击的同时提供所述安全增值服务。
可选的,所述安全增值服务包括应急处置,取证和分析。
可选的,所述调用DNS域名解析功能接口,将所述黑名单域名指向自行设置的IP地址,包括:通过API、SDK或脚本方式调用DNS服务开放的解析接口,将所述黑名单域名自动解析到所述自行设置的IP地址。
可选的,在所述对所述DNS解析日志机器数据进行分析的过程中结合DGA机器学习完成对所述访问域名的定性判断。
可选的,所述多源内外部威胁情报包括:内部其它途径产生的并经过验证的威胁情报以及行业、商业和开源威胁情报。
可选的,通过多源内外部情报平台获取所述多源内外部威胁情报,所述多源内外部情报平台以API或SDK的方式对外提供服务。
可选的,所述根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,包括:结合多源内外部威胁情报的交叉验证,指定多源内外部威胁情报的置信度规则定义与权重赋值对所述灰名单域名的性质或信誉进行分析。
可选的,所述对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名,包括:
对所述DNS解析日志机器数据进行数据归并与范式化处理;
根据历史递归产生的或者其他可信渠道获得的黑名单域名清单和白名单域名清单判断所述访问域名为黑名单域名或白名单域名;以及
若所述访问域名不属于黑名单域名或白名单域名,则将所述访问域名归类为灰名单域名,生成灰名单域名清单。
可选的,所述历史递归产生黑名单域名清单和白名单域名清单的过程包括:所述根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名之后,将所述定性得到的黑名单域名加入所述黑名单域名清单以及将所述定性得到的白名单域名加入所述白名单域名清单。
根据本公开的第二方面,提供一种恶意软件防护装置,所述装置包括,
DNS服务模块,用于提供访问域名的DNS解析日志机器数据;
安全数据分析模块,用于获取所述DNS解析日志机器数据并对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;所述安全数据分析模块调用所述DNS服务模块开放的域名解析功能接口,将所述黑名单域名的解析指向自行设置的IP地址,阻止恶意软件的攻击以及提供安全增值服务;其中,所述黑名单域名为恶意域名,所述白名单为安全域名,所述灰名单域名为性质或信誉不明的域名;
情报提供模块,用于提供多源内外部威胁情报;
域名定性分析模块,用于获取所述多源内外部威胁情报以及所述灰名单域名,根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,并根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名以及将所述定性的所述黑名单域名回供到所述安全数据分析模块加入黑名单域名中,将所述定性的所述白名单域名回供到所述安全数据分析模块加入白名单域名中,迭代到后续所述访问域名的分析过程中。
可选的,所述判断所述访问域名为黑名单域名,白名单域名或灰名单域名包括:
根据历史递归产生的或者其他可信渠道获得的黑名单域名清单和白名单域名清单判断所述访问域名为黑名单域名或白名单域名;
若所述访问域名不属于黑名单域名或白名单域名,则将所述访问域名归类为灰名单域名,生成灰名单域名清单。
可选的,所述历史递归产生所述黑名单域名清单和白名单域名清单,包括:将所述灰名单域名定性得到的黑名单域名回供到所述安全数据分析模块加入所述黑名单域名清单中以及将所述定性得到的白名单域名回供到所述安全数据分析模块加入所述白名单域名清单中。
可选的,所述安全数据分析模块包括:
安全数据分析单元,用于对所述DNS解析日志机器数据进行数据归并与范式化处理,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;
DGA智能分析单元,用于对所述安全数据分析单元判断出的灰名单域名进行过滤产生需要进一步验证的灰名单域名。
可选的,所述情报提供模块包括多源内外部情报平台,所述多源内外部情报平台包括内部的各内部情报平台以及外部的开源、商业和行业情报平台。
综上所述,在本公开提供的恶意软件防护方法及装置中,所述恶意软件防护方法包括:采集访问域名的DNS解析日志机器数据;对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;其中,所述黑名单域名为恶意域名,所述白名单为安全域名,所述灰名单域名为性质或信誉不明的域名;获取多源内外部威胁情报,根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,并根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名;以及调用DNS域名解析功能接口,将所述黑名单域名的解析指向自行设置的IP地址,阻止恶意软件的攻击以及提供安全增值服务。所述恶意软件防护方法基于DNS解析日志机器数据与内外部情报数据驱动的安全分析技术,检测出恶意软件所访问的黑名单域名。通过基于DNS解析日志机器数据的分析来判断访问域名是否为恶意域名的方式与目前的通过网络流量分析来判断访问域名是否为恶意域名的方式,DNS解析日志数据相对于网络流量数据而言,其体量十分小,前者的数据分析的数据量成指数级下降,在分析性能与资源消耗上有明显的优势。所述恶意软件防护方法在检测基础上通过软件定义安全方式(调用DNS服务开放的解析接口)实现与DNS的接口互联,以自动化、实时方式将黑名单域名(恶意域名)指向自行设置的IP地址,从而阻断恶意软件攻击链,通过这种持续快速分析方式,达到防护效果,提高响应能力;以及同时提供多种安全增值服务。所述恶意软件防护方法在检测与防护恶意软件时不依赖于终端、操作系统的类型,从恶意软件的网络访问行为进行分析,适用面更广,不仅适合于传统的应用场景,也适合于物联网、工控机等环境。同时摆脱了传统的基于终端安全防护软件的特征库检测方式,这种方法是实时的,其时效性更高,同时对于变异的未知的恶意软件也有检测与防护能力。
附图说明
图1是根据本公开一示例性实施例示出的一种恶意软件防护方法的流程图;
图2是根据本公开一示例性实施例示出的一种恶意软件防护装置的结构框图;
图3是根据本公开一示例性实施例示出的一种结合具体的应用场景以及所述恶意软件防护装置实现所述恶意软件防护方法的总体结构框图;
其中,11-DNS服务模块,12-安全数据分析模块,13-域名定性分析模块,14-情报提供模块,21-恶意软件控制服务器,22-潜在恶意软件的终端设备,221-PC终端,222-手机,223-物联网设备,224-工控设备,23-DNS服务器,24-安全数据分析平台,25-域名定性分析模块,26-内外部威胁情报源,27-DNS黑洞服务器,28-恶意软件终端清单。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本公开实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
相关技术中,检测与防范木马、勒索和挖矿等恶意软件的方法主要包括:一、通过在终端设备或主机上安装安全防护软件,通过特征码匹配方式来实现防护。但该方法是基于特征码黑名单,其更新有时间周期性,在防护效果上高度依赖安全厂商的更新速度,同时一旦恶意软件发生变异,原来的特征码将失效,丧失防护能力;同时随着物联网、工控设备的大量应用,其也会存在恶意软件,但因这些不常规操作系统和设备自身限制等原因将导致无法安装安全防护软件。二、通过网络流量分析方式从中检测恶意软件所访问的C&C回连域名。但该方法需要对海量网络数据进行大量的分析工作,其效率十分低下,投入产出比不高;受限于采集网络流量的探针部署位置,容易造成网络数据缺失从而无法发现恶意软件。同时,通过网络流量来分析恶意域名,仅仅可以实现检测功能,无法实时阻断恶意软件的不良行为,没有防护功能。
为了解决相关技术中存在的问题,本公开提供了一种恶意软件防护方法。
参阅图1,图1为根据本公开一示例性实施例示出一种恶意软件防护方法的流程图,如图1所示,所述恶意软件防护方法包括以下步骤:
步骤S1:采集访问域名的DNS解析日志机器数据;
步骤S2:对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;其中,所述黑名单域名为恶意域名(恶意软件访问域名),所述白名单为安全域名,所述灰名单域名为性质或信誉不明的域名;
步骤S3:获取多源内外部威胁情报,根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,并根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名;以及
步骤S4:调用DNS域名解析功能接口,将所述黑名单域名的解析指向自行设置的IP地址,阻止恶意软件的攻击以及提供安全增值服务。
下面结合具体的实施例对上述步骤进行详细的描述。
具体的,在步骤S1中,所述访问域名包括众多终端、物联网、工控设备或应用系统访问互联网时使用的访问域名,而DNS服务器则负责将众多终端、物联网、工控设备或应用系统访问互联网时使用的域名解析成网络通信过程中的IP地址从而实现网络与众多终端、物联网、工控设备或应用系统的互联互通。当众多终端、物联网、工控设备或应用系统通过访问域名访问互联网时经过DNS服务器会产生大量的DNS解析日志机器数据,每个访问域名都有与之对应的DNS解析日志机器数据,可以通过安全数据分析平台采集所有访问域名的DNS解析日志机器数据。
具体的,DNS服务器可以通过agent代理模式将所述DNS解析日志机器数据转送到所述安全数据分析平台,所述安全数据分析平台采集完所有访问域名对应的DNS解析日志机器数据,然后进行步骤S2,对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名,其中,所述黑名单域名为恶意域名,所述白名单为安全域名,所述灰名单域名为性质或信誉不明的域名。
进一步的,所述对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名的步骤包括:
步骤S21:对所述DNS解析日志机器数据进行数据归并与范式化处理;
步骤S22:根据历史递归产生的或者其他可信渠道获得的黑名单域名清单和白名单域名清单判断所述访问域名为黑名单域名或白名单域名;以及
步骤S23:若所述访问域名不属于黑名单域名或白名单域名,则将所述访问域名归类为灰名单域名,生成灰名单域名清单。
更进一步的,在所述对所述DNS解析日志机器数据进行分析的过程中结合DGA机器学习完成对所述访问域名的定性判断;具体的,包括:构造DGA分析智能模型,例如,SVM或隐式马尔科夫链等机器学习模型训练,使用所述DGA分析智能模型对步骤S23中得到的灰名单域名的性质或信誉进行分析,从而对步骤S23中得到的灰名单域名进行过滤,产生需要进一步验证的灰名单域名清单。
在所述步骤S2中,基于对访问域名的DNS解析日志机器数据的分析来判断访问域名是否为恶意域名的方式与目前的通过网络流量分析来判断访问域名是否为恶意域名的方式,前者的数据分析的数据量成指数级下降,在分析性能与资源消耗上有明显的优势,而且基于结合DGA机器学习算法在一定程度上可以发现未知威胁。
接着,进行步骤S3,先通过多源内外部情报平台获取所述多源内外部威胁情报;具体的,所述多源内外部情报平台可以以API或SDK的方式对外提供服务。然后根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,并根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名。
进一步的,在所述步骤S22中,所述历史递归产生黑名单域名清单和白名单域名清单的过程包括:将步骤S3中所述灰名单域名定性得到的黑名单域名叠加到所述黑名单域名清单中以及将所述定性得到的白名单域名叠加到所述白名单域名清单中,迭代到后续所述安全数据分析平台对新的访问域名的分析过程中,可以提高对所述访问域名的分析效率。
在一个实施例中,所述多源内外部情报平台包括但不仅仅限于内部的各内部情报平台以及外部的开源、商业和行业情报平台。则与多源内外部情报平台对应的所述多源内外部威胁情报包括:内部其它途径产生的并经过验证的威胁情报以及行业、商业和开源威胁情报。通过集成所述内部情报平台以及外部的开源、商业和行业情报平台,与所述内部情报平台以及外部的开源、商业和行业情报平台实现应用级别API或SDK整合,自动化判断灰名单域名清单中各灰名单域名性质或信誉。进一步的,所述自动化判断的维度尽可能多元化,如所述判断可以依据但不仅仅限于:域名历史IP变化度或C&C远控、网络钓鱼、Botnet僵尸网络、Zombie僵尸网络、Malware恶意软件的威胁指标IOC。
在一个实施例中,所述根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉的步骤还可以包括:结合多源内外部威胁情报的交叉验证,指定多源内外部威胁情报的置信度规则定义与权重赋值对所述灰名单域名的性质或信誉进行分析,实现对所述灰名单域名的全面分析,提高判断的准确度。
本示例性实施例的步骤S3中,采用结合多源内外部威胁情报对访问域名的性质或信誉进行分析判断的方式相对于相关技术中完全基于机器学习对访问域名的性质或信誉进行分析判断的方式来说,有效性更高。为了对抗机器学习算法,恶意软件会采取算法逃逸技术躲避检测,但是随着情报的多源化,内外部情报的整合循环精炼,采用结合多源内外部威胁情报对访问域名的性质或信誉进行分析判断的方式其分析的精确度与效率有明显优势。
具体的,在步骤S4中,所述调用DNS域名解析功能接口,将所述黑名单域名指向自行设置的IP地址具体包括:以API、SDK或脚本方式调用DNS服务开放的解析接口,将分析得出的所述黑名单域名自动解析到所述自行设置的IP地址,从而实现DNS黑洞功能,断绝了恶意软件的攻击链,阻止恶意软件的攻击。
进一步的,在本示例性实施例中,所述自行设置的IP地址可以为虚假IP地址或人为构造的且部署有明确目的的应用IP地址。
在一个实施例中,所述自行设置的IP地址为虚假IP地址,则将所述黑名单域名自动解析到所述虚假IP地址,可以切断恶意软件攻击链,阻止恶意软件的攻击行为达到防护目的。
在另一个实施例中,所述自行设置的IP地址为人为构造的且部署有明确目的的应用IP地址。则将所述黑名单域名自动解析到所述应用IP地址后,所述应用IP地址在防护所述恶意软件的攻击的同时还可以提供所述安全增值服务。进一步的,所述安全增值服务包括:应急处置、取证和分析。具体的,所述应急处置可以包括但不仅仅限于应急响应,公告通知,预警或统计,则当所述黑名单域名自动解析到所述应用IP地址时,所述应用IP地址在阻断所述恶意软件的攻击的同时可以实现应急响应,公告通知,预警或统计的功能,还可以捕获恶意软件所发送的数据包从而达到取证、进一步分析的效果。
在本示例性实施例的步骤S4中,通过软件定义安全方式(即通过调用DNS服务开放的解析接口将分析得出的所述黑名单域名自动解析到所述自行设置的IP地址)实现所述安全数据分析平台与DNS的实时互联,自动化修改黑名单域名的DNS域名解析记录,将黑名单域名指向自行设置的IP地址,从而阻断恶意软件攻击链,通过这种持续快速分析方式,达到防护效果,提高响应能力。
本示例性实施例中的所述恶意软件防护方法与相关技术中的恶意软件检测或防护方法相比,所述恶意软件防护方法与终端类型、应用无关,不仅可以检测已知、未知恶意软件,还做到以自动化、实时的方式完成防护策略的定义,阻断攻击链,实现了对恶意软件的防护、检测、应急、响应、取证等安全功能的集成。
本公开还提供了一种恶意软件防护装置,具体的,参阅图2,图2为根据本公开一示例性实施例示出的一种恶意软件防护装置的结构框图。如图3所示,所述恶意软件防护装置包括:
DNS服务模块11,用于提供访问域名的DNS解析日志机器数据;
安全数据分析模块12,用于获取所述DNS解析日志机器数据并对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;所述安全数据分析模块12调用所述DNS服务模块11开放的域名解析功能接口,将所述黑名单域名的解析指向自行设置的IP地址以阻止恶意软件的攻击以及提供安全增值服务;其中,所述黑名单域名为恶意域名,所述白名单为安全域名,所述灰名单域名为性质或信誉不明的域名;
情报提供模块14,用于提供多源内外部威胁情报;
域名定性分析模块13,用于获取所述多源内外部威胁情报以及所述灰名单域名,根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,并根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名以及将所述定性的所述黑名单域名回供到所述安全数据分析模块12加入黑名单域名中,将所述定性的所述白名单域名回供到所述安全数据分析模块12加入白名单域名中,迭代到后续所述访问域名的分析过程中。
进一步的,所述判断所述访问域名为黑名单域名,白名单域名或灰名单域名,包括:根据历史递归产生的或者其他可信渠道获得的黑名单域名清单和白名单域名清单判断所述访问域名为黑名单域名或白名单域名;若所述访问域名不属于黑名单域名或白名单域名,则将所述访问域名归类为灰名单域名,生成灰名单域名清单。具体的,所述历史递归产生所述黑名单域名清单和白名单域名清单,包括:将所述灰名单域名定性得到的黑名单域名回供到所述安全数据分析模块加入所述黑名单域名清单中以及将所述定性得到的白名单域名回供到所述安全数据分析模块加入所述白名单域名清单中。通过情报的不断整合、循环精炼,持续提升精确度与效率。
在一个实施例中,所述安全数据分析模块包括:
安全数据分析单元,用于对所述DNS解析日志机器数据进行数据归并与范式化处理,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;
DGA智能分析单元,用于对所述安全数据分析单元判断出的灰名单域名进行过滤产生需要进一步验证的灰名单域名。
在一个实施例中,所述情报提供模块包括多源内外部情报平台,所述多源内外部情报平台包括内部的各内部情报平台以及外部的开源、商业和行业威胁情报平台。则各内部情报平台以及外部的开源、商业和行业威胁情报平台对应的向外提供:内部其它途径产生的并经过验证的威胁情报以及行业、商业和开源的威胁情报。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
下面将结合具体的应用场景对本公开所提供的恶意软件防护方法及装置实现对恶意软件的防护的过程进行详细的描述。
参阅图3,图3为根据一示例性实施例示出的结合具体的应用场景以及所述恶意软件防护装置实现所述恶意软件防护方法的总体结构框图。
如图3所示,在一个实施例中,所述总体结构中包括:潜在恶意软件的终端设备22,例如,PC终端221,手机222,物联网设备223,工控设备224;恶意软件控制服务器21,DNS服务器23,安全数据分析平台24,域名定性分析模块25,内外部威胁情报源26,DNS黑洞服务器27以及恶意软件终端清单28。
实现所述恶意软件防护方法的具体过程如下所述:
所述恶意软件通过C&C域名方式和所述恶意软件控制服务器21连接;所述潜在恶意软件的终端设备22需要访问互联网时向所述DNS服务器23发送访问域名,所述DNS服务器23对所述访问域名进行解析,产生大量的DNS解析日志机器数据,每一个访问域名都有与之对应的DNS解析日志机器数据。然后所述DNS服务器23可以通过agent代理模式,将所述DNS解析日志机器数据实时传送到安全数据分析平台24。
所述安全数据分析平台24获取到所述DNS解析日志机器数据后,安全数据分析平台24对所述DNS解析日志机器数据进行数据归并与范式化处理,进一步大幅度减少数据总量提高分析性能;后续根据历史递归产生的或者其他可信渠道获得的黑名单域名清单和白名单域名清单判断所述访问域名为黑名单域名或白名单域名;以及若所述访问域名不属于黑名单域名或白名单域名,则将所述访问域名归类为灰名单域名,生成灰名单域名清单。然后构造DGA分析智能模型,结合DGA机器学习对所述安全数据分析平台24判断出的灰名单域名进行过滤产生需要进一步验证的灰名单域名。
然后安全数据分析平台24将需要进一步验证的灰名单域名发送到域名定性分析模块25,内外部威胁情报源26以API或SDK的方式向所述域名定性分析模块25提供多源内外部威胁情报,其中所述内外部威胁情报源26包括行业、商业和开源威胁情报服务提供商以及内部其他途径产生的并经过验证的情报。所述域名定性分析模块根据所述多源内外部威胁情报自动化从多个维度以及结合多源内外部威胁情报的交叉验证,指定多源内外部威胁情报的置信度规则定义与权重赋值对所述灰名单域名的性质或信誉进行分析,从而判断所述灰名单域名的性质或信誉,定性所述灰名单域名为黑名单域名或白名单域名。
所述域名定性分析模块25将所述灰名单域名最终定性得到的黑名单域名回供到所述安全数据分析平台24加入所述黑名单域名清单中以及将所述定性得到的白名单域名回供到所述安全数据分析平台24加入所述白名单域名清单中。安全数据分析平台通过24调用DNS服务器23开放的DNS域名解析功能接口,实现与DNS服务器23的实时互联。具体的,以API、SDK或脚本方式调用DNS服务开放的解析接口,将分析得出黑名单域名清单中的黑名单域名的解析指向自行设置的IP地址,即图3中将恶意软件的访问域名指向DNS黑洞服务器27,切断恶意软件攻击链,阻止恶意软件的攻击行为达到防护目的。
其中,所述自行设置的IP地址,即DNS黑洞服务器27中的黑洞IP地址包括虚假IP地址或人为构造的且部署有明确目的的应用IP地址,其中,所述应用IP地址可以构建为有明确目的的应用,则所述应用IP地址在防护所述恶意软件的攻击的同时可以提供安全增值服务。具体的,所述安全增值服务可以包括但不仅仅限于所述安全增值服务包括:应急处置、取证和分析。则当所述黑名单域名自动解析到所述应用IP地址时,所述应用IP地址在阻断所述恶意软件的攻击的同时可以实现应急响应,公告通知,预警或统计的功能,还可以捕获恶意软件所发送的数据包从而实现对恶意软件的取证、进一步分析的效果。
进一步的,经过数据和情报的实时分析所述安全数据分析平台24还可以得出恶意软件终端清单28,所述恶意软件终端清单28上列出了被恶意软件感染的终端。将所述恶意软件终端清单28用于风险排查与应急处理。
综上所述,在本公开提供的恶意软件防护方法及装置中,所述恶意软件防护方法包括:采集访问域名的DNS解析日志机器数据;对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;其中,所述黑名单域名为恶意域名,所述白名单为安全域名,所述灰名单域名为性质或信誉不明的域名;获取多源内外部威胁情报,根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,并根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名;以及调用DNS域名解析功能接口,将所述黑名单域名的解析指向自行设置的IP地址,阻止恶意软件的攻击以及提供安全增值服务。所述恶意软件防护方法基于DNS解析日志机器数据与内外部情报数据驱动的安全分析技术,检测出恶意软件所访问的黑名单域名。通过基于DNS解析日志机器数据的分析来判断访问域名是否为恶意域名的方式与目前的通过网络流量分析来判断访问域名是否为恶意域名的方式,DNS解析日志数据相对于网络流量数据而言,其体量十分小,前者的数据分析的数据量成指数级下降,在分析性能与资源消耗上有明显的优势。同时,传统的基于网络流量的恶意软件C&C回连域名分析仅仅可以实现对恶意软件的检测,没有防护功能,属于被动安全范畴;本公开所提供的恶意软件防护方法在检测基础上通过软件定义安全方式(调用DNS服务开放的解析接口)实现与DNS的接口互联,以自动化、实时方式将黑名单域名(恶意域名)指向自行设置的IP地址,从而阻断恶意软件攻击链,通过这种持续快速分析方式,达到防护效果,提高响应能力;同时还可以提供多种安全增值服务。本公开所提供所述恶意软件防护方法在检测与防护恶意软件时不依赖于终端、操作系统的类型,从恶意软件的网络访问行为进行分析,适用面更广,不仅适合于传统的应用场景,也适合于物联网、工控机等环境。同时摆脱了传统的基于终端安全防护软件的特征库检测方式,这种方法是实时的,其时效性更高,同时对于变异的未知的恶意软件也有检测与防护能力。
上述仅为本公开的优选实施例而已,并不对本公开起到任何限制作用。任何所属技术领域的技术人员,在不脱离本公开的技术方案的范围内,对本公开揭露的技术方案和技术内容做任何形式的等同替换或修改等变动,均属未脱离本公开的技术方案的内容,仍属于本公开的保护范围之内。
Claims (16)
1.一种恶意软件防护方法,其特征在于,包括:
采集访问域名的DNS解析日志机器数据;
对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;其中,所述黑名单域名为恶意域名,所述白名单为安全域名,所述灰名单域名为性质或信誉不明的域名;
获取多源内外部威胁情报,根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,并根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名;以及
调用DNS域名解析功能接口,将所述黑名单域名的解析指向自行设置的IP地址,阻止恶意软件的攻击以及提供安全增值服务。
2.如权利要求1所述的恶意软件防护方法,其特征在于,所述自行设置的IP地址为虚假IP地址或人为构造的且部署有明确目的的应用IP地址。
3.如权利要求2所述的恶意软件防护方法,其特征在于,所述应用IP地址在阻止所述恶意软件的攻击的同时提供所述安全增值服务。
4.如权利要求1或3所述的恶意软件防护方法,其特征在于,所述安全增值服务包括应急处置,取证和分析。
5.如权利要求1所述的恶意软件防护方法,其特征在于,所述调用DNS域名解析功能接口,将所述黑名单域名指向自行设置的IP地址,包括:通过API、SDK或脚本方式调用DNS服务开放的解析接口,将所述黑名单域名自动解析到所述自行设置的IP地址。
6.如权利要求1所述的恶意软件防护方法,其特征在于,在所述对所述DNS解析日志机器数据进行分析的过程中结合DGA机器学习完成对所述访问域名的定性判断。
7.如权利要求1所述的恶意软件防护方法,其特征在于,所述多源内外部威胁情报包括:内部其它途径产生的并经过验证的威胁情报以及行业、商业和开源威胁情报。
8.如权利要求7所述的恶意软件防护方法,其特征在于,通过多源内外部情报平台获取所述多源内外部威胁情报,所述多源内外部情报平台以API或SDK的方式对外提供服务。
9.如权利要求1所述的恶意软件防护方法,其特征在于,所述根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,包括:结合多源内外部威胁情报的交叉验证,指定多源内外部威胁情报的置信度规则定义与权重赋值对所述灰名单域名的性质或信誉进行分析。
10.如权利要求1所述的恶意软件防护方法,其特征在于,所述对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名,包括:
对所述DNS解析日志机器数据进行数据归并与范式化处理;
根据历史递归产生的或者其他可信渠道获得的黑名单域名清单和白名单域名清单判断所述访问域名为黑名单域名或白名单域名;以及
若所述访问域名不属于黑名单域名或白名单域名,则将所述访问域名归类为灰名单域名,生成灰名单域名清单。
11.如权利要求10所述的恶意软件防护方法,其特征在于,所述历史递归产生黑名单域名清单和白名单域名清单的过程包括:所述根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名之后,将所述定性得到的黑名单域名加入所述黑名单域名清单以及将所述定性得到的白名单域名加入所述白名单域名清单。
12.一种恶意软件防护装置,其特征在于,所述装置包括,
DNS服务模块,用于提供访问域名的DNS解析日志机器数据;
安全数据分析模块,用于获取所述DNS解析日志机器数据并对所述DNS解析日志机器数据进行分析,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;所述安全数据分析模块调用所述DNS服务模块开放的域名解析功能接口,将所述黑名单域名的解析指向自行设置的IP地址,阻止恶意软件的攻击以及提供安全增值服务;其中,所述黑名单域名为恶意域名,所述白名单为安全域名,所述灰名单域名为性质或信誉不明的域名;
情报提供模块,用于提供多源内外部威胁情报;
域名定性分析模块,用于获取所述多源内外部威胁情报以及所述灰名单域名,根据所述多源内外部威胁情报分析所述灰名单域名的性质或信誉,并根据所述分析的结果定性所述灰名单域名为黑名单域名或白名单域名以及将所述定性的所述黑名单域名回供到所述安全数据分析模块加入黑名单域名中,将所述定性的所述白名单域名回供到所述安全数据分析模块加入白名单域名中,迭代到后续所述访问域名的分析过程中。
13.如权利要求12所述的恶意软件防护装置,其特征在于,所述判断所述访问域名为黑名单域名,白名单域名或灰名单域名包括:
根据历史递归产生的或者其他可信渠道获得的黑名单域名清单和白名单域名清单判断所述访问域名为黑名单域名或白名单域名;
若所述访问域名不属于黑名单域名或白名单域名,则将所述访问域名归类为灰名单域名,生成灰名单域名清单。
14.如权利要求13所述的恶意软件防护装置,其特征在于,所述历史递归产生所述黑名单域名清单和白名单域名清单,包括:将所述灰名单域名定性得到的黑名单域名回供到所述安全数据分析模块加入所述黑名单域名清单中以及将所述定性得到的白名单域名回供到所述安全数据分析模块加入所述白名单域名清单中。
15.如权利要求12所述的恶意软件防护装置,其特征在于,所述安全数据分析模块包括:
安全数据分析单元,用于对所述DNS解析日志机器数据进行数据归并与范式化处理,判断所述访问域名为黑名单域名,白名单域名或灰名单域名;
DGA智能分析单元,用于对所述安全数据分析单元判断出的灰名单域名进行过滤产生需要进一步验证的灰名单域名。
16.如权利要求12所述的恶意软件防护装置,其特征在于,所述情报提供模块包括多源内外部情报平台,所述多源内外部情报平台包括内部的各内部情报平台以及外部的开源、商业和行业情报平台。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811609837.0A CN109936560A (zh) | 2018-12-27 | 2018-12-27 | 恶意软件防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811609837.0A CN109936560A (zh) | 2018-12-27 | 2018-12-27 | 恶意软件防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109936560A true CN109936560A (zh) | 2019-06-25 |
Family
ID=66984834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811609837.0A Pending CN109936560A (zh) | 2018-12-27 | 2018-12-27 | 恶意软件防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109936560A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110717183A (zh) * | 2019-12-09 | 2020-01-21 | 深信服科技股份有限公司 | 病毒查杀方法、装置、设备及存储介质 |
| CN111277585A (zh) * | 2020-01-16 | 2020-06-12 | 深信服科技股份有限公司 | 威胁处理方法、装置、设备和可读存储介质 |
| CN112437460A (zh) * | 2020-11-23 | 2021-03-02 | 中国联合网络通信集团有限公司 | Ip地址黑灰名单分析方法、服务器、终端及存储介质 |
| CN112668007A (zh) * | 2021-01-05 | 2021-04-16 | 浪潮软件股份有限公司 | 一种软件系统安全加固方法 |
| CN114244612A (zh) * | 2021-12-17 | 2022-03-25 | 成都星云智联科技有限公司 | 一种恶意进程阻断方法及相关组件 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
| CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
| CN106911717A (zh) * | 2017-04-13 | 2017-06-30 | 成都亚信网络安全产业技术研究院有限公司 | 一种域名检测方法及装置 |
| CN107786539A (zh) * | 2017-09-20 | 2018-03-09 | 杭州安恒信息技术有限公司 | 一种基于dns进行防cc攻击的方法 |
| CN108111526A (zh) * | 2017-12-29 | 2018-06-01 | 哈尔滨工业大学(威海) | 一种基于异常whois信息的非法网站挖掘方法 |
| KR20180075881A (ko) * | 2016-12-27 | 2018-07-05 | 한국인터넷진흥원 | 클라이언트 측 웹 취약점 분석 방법 및 장치 |
-
2018
- 2018-12-27 CN CN201811609837.0A patent/CN109936560A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
| CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
| KR20180075881A (ko) * | 2016-12-27 | 2018-07-05 | 한국인터넷진흥원 | 클라이언트 측 웹 취약점 분석 방법 및 장치 |
| CN106911717A (zh) * | 2017-04-13 | 2017-06-30 | 成都亚信网络安全产业技术研究院有限公司 | 一种域名检测方法及装置 |
| CN107786539A (zh) * | 2017-09-20 | 2018-03-09 | 杭州安恒信息技术有限公司 | 一种基于dns进行防cc攻击的方法 |
| CN108111526A (zh) * | 2017-12-29 | 2018-06-01 | 哈尔滨工业大学(威海) | 一种基于异常whois信息的非法网站挖掘方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110717183A (zh) * | 2019-12-09 | 2020-01-21 | 深信服科技股份有限公司 | 病毒查杀方法、装置、设备及存储介质 |
| CN111277585A (zh) * | 2020-01-16 | 2020-06-12 | 深信服科技股份有限公司 | 威胁处理方法、装置、设备和可读存储介质 |
| CN112437460A (zh) * | 2020-11-23 | 2021-03-02 | 中国联合网络通信集团有限公司 | Ip地址黑灰名单分析方法、服务器、终端及存储介质 |
| CN112437460B (zh) * | 2020-11-23 | 2023-07-04 | 中国联合网络通信集团有限公司 | Ip地址黑灰名单分析方法、服务器、终端及存储介质 |
| CN112668007A (zh) * | 2021-01-05 | 2021-04-16 | 浪潮软件股份有限公司 | 一种软件系统安全加固方法 |
| CN114244612A (zh) * | 2021-12-17 | 2022-03-25 | 成都星云智联科技有限公司 | 一种恶意进程阻断方法及相关组件 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109936560A (zh) | 恶意软件防护方法及装置 | |
| US7526806B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
| US20180205755A1 (en) | Systems and methods for adaptive vulnerability detection and management | |
| US20230351027A1 (en) | Intelligent adversary simulator | |
| CN105871850B (zh) | 爬虫检测方法和系统 | |
| US20040083129A1 (en) | Sdi-scam | |
| JP2018503203A (ja) | 許容可能なアクティビティルールに基づく許容可能なアクティビティの決定 | |
| CN110290114A (zh) | 一种基于预警信息的漏洞自动化防护方法及系统 | |
| CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
| Li et al. | Uncertainty and risk management in cyber situational awareness | |
| Chen et al. | Detection, traceability, and propagation of mobile malware threats | |
| CN117478433A (zh) | 一种网络与信息安全动态预警系统 | |
| Melo et al. | ISM-AC: An immune security model based on alert correlation and software-defined networking | |
| CN111314370A (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| Rouached et al. | An efficient formal framework for intrusion detection systems | |
| Dawkins et al. | A framework for unified network security management: Identifying and tracking security threats on converged networks | |
| Kotenko et al. | Experiments with simulation of attacks against computer networks | |
| Latha et al. | A novel architecture for detecting and preventing network intrusions | |
| KR102502539B1 (ko) | 사이버 위협 인텔리전스 시스템 | |
| Almutairi et al. | Predicting multi-stage attacks based on IP information | |
| Siadati | Prevention, detection, and reaction to cyber impersonation attacks | |
| Mattila | Integration of arctic node threat intelligence sharing platform with Suricata | |
| Beheshti et al. | Packet information collection and transformation for network intrusion detection and prevention | |
| Pala et al. | A Targeted Assessment of Cross-Site Scripting Detection Tools |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190625 |
|
| RJ01 | Rejection of invention patent application after publication |