CN110401632A - 一种恶意域名感染主机溯源方法 - Google Patents

一种恶意域名感染主机溯源方法 Download PDF

Info

Publication number
CN110401632A
CN110401632A CN201910535056.XA CN201910535056A CN110401632A CN 110401632 A CN110401632 A CN 110401632A CN 201910535056 A CN201910535056 A CN 201910535056A CN 110401632 A CN110401632 A CN 110401632A
Authority
CN
China
Prior art keywords
virus
host
characteristic
platform
dns server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910535056.XA
Other languages
English (en)
Other versions
CN110401632B (zh
Inventor
张文杰
李巍
王鸥
于亮亮
周旭
程硕
郑善奇
杨明钰
金成明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201910535056.XA priority Critical patent/CN110401632B/zh
Publication of CN110401632A publication Critical patent/CN110401632A/zh
Application granted granted Critical
Publication of CN110401632B publication Critical patent/CN110401632B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于电力系统计算机领域,为一种恶意域名感染主机溯源方法,在平台上建立数据库,包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;获取来自主机的DNS服务器日志,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。本发明根据处置建议及时对受攻击主机进行处置,达到保证信息内网安全性,降低安全威胁的目的。

Description

一种恶意域名感染主机溯源方法
技术领域
本发明涉及电力系统计算机软件领域,具体来讲为一种恶意域名感染主机溯源方法。
背景技术
对于电力系统而言,数据庞大,一旦出现主机被感染的问题,由于多个主机相互的关联,随时数据的调用,会在多个主机间进行快速的感染,因此,需要对国家电网以及各相连的系统的DNS服务器的域名解析功能进行监控,需要快速定位访问恶意域名的主机IP地址及其主机的所属单位,便于各单位快速定位被感染主机,达到快速预警,并及时处置的效果,提升防护能力。
发明内容
本发明所要解决的技术问题在于提供一种恶意域名感染主机溯源方法,用于解决现有技术中感染主机定位不迅速,安全性低的问题。
本发明是这样实现的,
一种恶意域名感染主机溯源方法,该方法包括:
建立一个平台;
在平台上建立数据库,包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;
获取来自主机的DNS服务器日志,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,若对比失败则对数据进行清理;若对比成功则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。
进一步地,所述告警根据DNS服务器日志获取的地址信息从IP地址划分信息查找相应的地址信息。
进一步地,所述告警包括告警时间、告警源IP、告警源所属单位、感染病毒名称、感染病毒特征、风险等级以及处置建议。
进一步地,所述处理流程包括通过平台对感染的主机进行远程控制对该主机与其他关联的主机切换联系,并对感染的主机的病毒按照处理建议进行删除,删除成功后恢复该主机的对外关联;若无法成功删除,则发送至该主机进行告警。
进一步地,所述平台通过Syslog接入DNS服务器日志获取设备厂商、设备类型、设备IP、设备版本、事件时间、访问源IP、访问域名字段,通过API接口接入病毒库、DNS域名情报库、处置知识库并提取访问恶意URL的病毒特征与病毒查杀与处置建议方法进入平台数据库中。
进一步地,当比对成功时,与该主机的防病毒查杀日志进行关联分析,若此病毒在此IP上已被查杀且查杀时间比事件时间晚,则抛弃该条数据,如果此病毒无查杀记录,则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警。
进一步地,所述通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比包括:提取访问恶意URL的病毒特征在写入平台数据库后,特征对比阶段与解析后的DNS访问域名的日志进行比对,如果DNS访问的域名存在于恶意URL病毒特征表中时则判定为访问源IP受感染。
进一步地,感染的主机收到告警后,对告警进行处理后,向平台传送整改回单附在DNS服务器日志传送至平台,平台对DNS服务器日志进行解析分析后进行病毒感染的判断,若无,则将该时间段该主机加入到已处理列表内。
本发明与现有技术相比,有益效果在于:本发明通过采集主机的DNS服务器日志、DNS域名情报库、病毒库、处置知识库IP地址分配库等数据,利用关联分析等技术,发现利用恶意域名控制感染主机的网络攻击行为,并产生实时受攻击主机IP地址的溯源告警,并根据处置建议及时对受攻击主机进行处置,达到保证信息内网安全性,降低安全威胁的目的。
附图说明
图1为本发明方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例:
本发明一种恶意域名感染主机溯源方法,该方法包括:
建立一个平台,包括采集服务器以及大数据分析平台以及建立一个数据库,
建立数据库包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;
通过采集服务器获取来自被访问主机的DNS服务器日志,通过客户端访问作为触发条件,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,若对比失败则对数据进行清理;若对比成功则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。在另一实施例中,建立一个总服务器作为总主机,平台与总主机之间信息采集,各分主机与总主机进行关联发送给总主机DNS服务器日志,在分主机被访问时,平台采集总主机的上分主机的DNS服务器日志。平台通过Syslog接入DNS服务器日志获取设备厂商、设备类型、设备IP、设备版本、事件时间、访问源IP、访问域名字段,通过API接口接入病毒库、DNS域名情报库、处置知识库并提取访问恶意URL的病毒特征与病毒查杀与处置建议方法进入平台数据库中。
告警根据DNS服务器日志获取的地址信息从IP地址划分信息查找相应的地址信息。包括告警时间、告警源IP、告警源所属单位、感染病毒名称、感染病毒特征、风险等级以及处置建议。
处理流程包括通过平台对感染的主机进行远程控制对该主机与其他关联的主机切换联系,并对感染的主机的病毒按照处理建议进行删除,删除成功后恢复该主机的对外关联;若无法成功删除,则发送至该主机进行告警。
当比对成功时,与被访问的主机的防病毒查杀日志进行关联分析,若此病毒在此IP上已被查杀且查杀时间比事件时间晚,则抛弃该条数据,如果此病毒无查杀记录,则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警。
通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比包括:提取访问恶意URL的病毒特征在写入平台数据库后,特征对比阶段与解析后的DNS访问域名的日志进行比对,如果DNS访问的域名存在于恶意URL病毒特征表中时则判定为访问源IP受感染。感染的主机收到告警后,对告警进行处理后,向平台传送整改回单附在DNS服务器日志传送至平台,平台对DNS服务器日志进行解析分析后进行病毒感染的判断,若无,则将该时间段该主机加入到已处理列表内。
在一应用,包括总部DNS服务器作为总主机,按照省级的部署分主机服务器,当用户终端向分主机服务器发起域名访问,分主机服务器将DNS解析指向总部DNS服务器,可以接收到来自用户的访问,并进行解析工作。同时,总部DNS服务器需要将终端用户的DNS请求以日志(包括源IP、访问域名)形式记录并转发至平台的采集服务器,平台的采集服务器采集到相关日志后发送至大数据平台进行解析,大数据平台对采集到的数据进行处理,经与病毒访问URL特征信息对比分析后确定恶意域名及访问的源地址。同时,对比病毒查杀记录,进行关联分析,将获取到的恶意域名存储至总部总主机,并根据各分主机公司地址分配情况,总部总主机将相关恶意域名访问信息下发至分主机,在分主机公司页面中显示恶意域名的访问情况,并提供处置建议,可以使分主机快速定位受攻击主机,做到及时预警。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种恶意域名感染主机溯源方法,其特征在于,该方法包括:
建立一个平台;
在平台上建立数据库,包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;
获取来自主机的DNS服务器日志,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,若对比失败则对数据进行清理;若对比成功则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。
2.按照权利要求1所述的方法,其特征在于,所述告警根据DNS服务器日志获取的地址信息从IP地址划分信息查找相应的地址信息。
3.按照权利要求1所述的方法,其特征在于,所述告警包括告警时间、告警源IP、告警源所属单位、感染病毒名称、感染病毒特征、风险等级以及处置建议。
4.按照权利要求1所述的方法,其特征在于,所述处理流程包括通过平台对感染的主机进行远程控制对该主机与其他关联的主机切换联系,并对感染的主机的病毒按照处理建议进行删除,删除成功后恢复该主机的对外关联;若无法成功删除,则发送至该主机进行告警。
5.按照权利要求1所述的方法,其特征在于,所述平台通过Syslog接入DNS服务器日志获取设备厂商、设备类型、设备IP、设备版本、事件时间、访问源IP、访问域名字段,通过API接口接入病毒库、DNS域名情报库、处置知识库并提取访问恶意URL的病毒特征与病毒查杀与处置建议方法进入平台数据库中。
6.按照权利要求1所述的方法,其特征在于,当比对成功时,与该主机的防病毒查杀日志进行关联分析,若此病毒在此IP上已被查杀且查杀时间比事件时间晚,则抛弃该条数据,如果此病毒无查杀记录,则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警。
7.按照权利要求1所述的方法,其特征在于,所述通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比包括:提取访问恶意URL的病毒特征在写入平台数据库后,特征对比阶段与解析后的DNS访问域名的日志进行比对,如果DNS访问的域名存在于恶意URL病毒特征表中时则判定为访问源IP受感染。
8.按照权利要求4所述的方法,其特征在于,感染的主机收到告警后,对告警进行处理后,向平台传送整改回单附在DNS服务器日志传送至平台,平台对DNS服务器日志进行解析分析后进行病毒感染的判断,若无,则将该时间段该主机加入到已处理列表内。
CN201910535056.XA 2019-06-20 2019-06-20 一种恶意域名感染主机溯源方法 Active CN110401632B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910535056.XA CN110401632B (zh) 2019-06-20 2019-06-20 一种恶意域名感染主机溯源方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910535056.XA CN110401632B (zh) 2019-06-20 2019-06-20 一种恶意域名感染主机溯源方法

Publications (2)

Publication Number Publication Date
CN110401632A true CN110401632A (zh) 2019-11-01
CN110401632B CN110401632B (zh) 2022-02-15

Family

ID=68324190

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910535056.XA Active CN110401632B (zh) 2019-06-20 2019-06-20 一种恶意域名感染主机溯源方法

Country Status (1)

Country Link
CN (1) CN110401632B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110990830A (zh) * 2019-12-12 2020-04-10 国网新疆电力有限公司信息通信公司 终端取证溯源系统及方法
CN111400890A (zh) * 2020-03-11 2020-07-10 湖南大学 基于攻击-防御结构的抵御恶意数据攻击的电网升级方法
CN111818030A (zh) * 2020-06-29 2020-10-23 国网福建省电力有限公司 一种恶意域名请求终端的快速定位处置方法及系统
CN112532605A (zh) * 2020-11-23 2021-03-19 中信银行股份有限公司 一种网络攻击溯源方法及系统、存储介质、电子设备
CN112685214A (zh) * 2021-01-15 2021-04-20 山东浪潮商用系统有限公司 一种通过日志收集分析中毒机器并进行告警的方法
CN112804369A (zh) * 2020-12-28 2021-05-14 深信服科技股份有限公司 一种网络系统及网络访问安全检测方法、装置和相关设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580249A (zh) * 2015-01-28 2015-04-29 北京润通丰华科技有限公司 一种基于日志的僵木蠕网络分析方法和系统
CN105827594A (zh) * 2016-03-08 2016-08-03 北京航空航天大学 一种基于域名可读性及域名解析行为的可疑性检测方法
CN106713312A (zh) * 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
US20180013775A1 (en) * 2016-07-08 2018-01-11 Nec Laboratories America, Inc. Host level detect mechanism for malicious dns activities
US10171490B2 (en) * 2012-07-05 2019-01-01 Tenable, Inc. System and method for strategic anti-malware monitoring

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10171490B2 (en) * 2012-07-05 2019-01-01 Tenable, Inc. System and method for strategic anti-malware monitoring
CN104580249A (zh) * 2015-01-28 2015-04-29 北京润通丰华科技有限公司 一种基于日志的僵木蠕网络分析方法和系统
CN105827594A (zh) * 2016-03-08 2016-08-03 北京航空航天大学 一种基于域名可读性及域名解析行为的可疑性检测方法
US20180013775A1 (en) * 2016-07-08 2018-01-11 Nec Laboratories America, Inc. Host level detect mechanism for malicious dns activities
CN106713312A (zh) * 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
廖明等: "" 基于大数据融合算法的DNS日志分析系统"", 《电信科学》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110990830A (zh) * 2019-12-12 2020-04-10 国网新疆电力有限公司信息通信公司 终端取证溯源系统及方法
CN111400890A (zh) * 2020-03-11 2020-07-10 湖南大学 基于攻击-防御结构的抵御恶意数据攻击的电网升级方法
CN111818030A (zh) * 2020-06-29 2020-10-23 国网福建省电力有限公司 一种恶意域名请求终端的快速定位处置方法及系统
CN112532605A (zh) * 2020-11-23 2021-03-19 中信银行股份有限公司 一种网络攻击溯源方法及系统、存储介质、电子设备
CN112532605B (zh) * 2020-11-23 2022-11-22 中信银行股份有限公司 一种网络攻击溯源方法及系统、存储介质、电子设备
CN112804369A (zh) * 2020-12-28 2021-05-14 深信服科技股份有限公司 一种网络系统及网络访问安全检测方法、装置和相关设备
CN112685214A (zh) * 2021-01-15 2021-04-20 山东浪潮商用系统有限公司 一种通过日志收集分析中毒机器并进行告警的方法
CN112685214B (zh) * 2021-01-15 2023-07-14 浪潮软件科技有限公司 一种通过日志收集分析中毒机器并进行告警的方法

Also Published As

Publication number Publication date
CN110401632B (zh) 2022-02-15

Similar Documents

Publication Publication Date Title
CN110401632A (zh) 一种恶意域名感染主机溯源方法
Wang et al. Automatically Traceback RDP‐Based Targeted Ransomware Attacks
CN101605074B (zh) 基于网络通讯行为特征监测木马的方法与系统
CN114598525A (zh) 一种针对网络攻击的ip自动封禁的方法和装置
CN112383546A (zh) 一种处理网络攻击行为的方法、相关设备及存储介质
CN111600856A (zh) 数据中心运维的安全系统
CN107547490B (zh) 一种扫描器识别方法、装置及系统
CN102594825A (zh) 一种内网木马的检测方法和装置
JP5650617B2 (ja) 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム
EP3275151A1 (en) Collecting domain name system traffic
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
KR101788410B1 (ko) 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법
CN111510463B (zh) 异常行为识别系统
CN111585956B (zh) 一种网址防刷验证方法与装置
JP2016033690A (ja) 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体
CN109409089B (zh) 一种基于虚拟机自省的Windows加密型勒索软件检测方法
JP2011193343A (ja) 通信ネットワーク監視システム
CN113595981B (zh) 上传文件威胁检测方法及装置、计算机可读存储介质
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
CN114969450B (zh) 一种用户行为分析方法、装置、设备及存储介质
CN112714118A (zh) 网络流量检测方法和装置
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
Udiyono et al. Botnet Detection Using DNS and HTTP Traffic Analysis
KR20180044658A (ko) 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant