CN110401632B - 一种恶意域名感染主机溯源方法 - Google Patents

一种恶意域名感染主机溯源方法 Download PDF

Info

Publication number
CN110401632B
CN110401632B CN201910535056.XA CN201910535056A CN110401632B CN 110401632 B CN110401632 B CN 110401632B CN 201910535056 A CN201910535056 A CN 201910535056A CN 110401632 B CN110401632 B CN 110401632B
Authority
CN
China
Prior art keywords
virus
host
dns server
platform
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910535056.XA
Other languages
English (en)
Other versions
CN110401632A (zh
Inventor
张文杰
李巍
王鸥
于亮亮
周旭
程硕
郑善奇
杨明钰
金成明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201910535056.XA priority Critical patent/CN110401632B/zh
Publication of CN110401632A publication Critical patent/CN110401632A/zh
Application granted granted Critical
Publication of CN110401632B publication Critical patent/CN110401632B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明属于电力系统计算机领域,为一种恶意域名感染主机溯源方法,在平台上建立数据库,包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;获取来自主机的DNS服务器日志,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。本发明根据处置建议及时对受攻击主机进行处置,达到保证信息内网安全性,降低安全威胁的目的。

Description

一种恶意域名感染主机溯源方法
技术领域
本发明涉及电力系统计算机软件领域,具体来讲为一种恶意域名感染主机溯源方法。
背景技术
对于电力系统而言,数据庞大,一旦出现主机被感染的问题,由于多个主机相互的关联,随时数据的调用,会在多个主机间进行快速的感染,因此,需要对国家电网以及各相连的系统的DNS服务器的域名解析功能进行监控,需要快速定位访问恶意域名的主机IP地址及其主机的所属单位,便于各单位快速定位被感染主机,达到快速预警,并及时处置的效果,提升防护能力。
发明内容
本发明所要解决的技术问题在于提供一种恶意域名感染主机溯源方法,用于解决现有技术中感染主机定位不迅速,安全性低的问题。
本发明是这样实现的,
一种恶意域名感染主机溯源方法,该方法包括:
建立一个平台;
在平台上建立数据库,包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;
获取来自主机的DNS服务器日志,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,若对比失败则对数据进行清理;若对比成功则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。
进一步地,所述告警根据DNS服务器日志获取的地址信息从IP地址划分信息查找相应的地址信息。
进一步地,所述告警包括告警时间、告警源IP、告警源所属单位、感染病毒名称、感染病毒特征、风险等级以及处置建议。
进一步地,所述处理流程包括通过平台对感染的主机进行远程控制对该主机与其他关联的主机切断联系,并对感染的主机的病毒按照处理建议进行删除,删除成功后恢复该主机的对外关联;若无法成功删除,则发送至该主机进行告警。
进一步地,所述平台通过Syslog接入DNS服务器日志获取设备厂商、设备类型、设备IP、设备版本、事件时间、访问源IP、访问域名字段,通过API接口接入病毒库、DNS域名情报库、处置知识库并提取访问恶意URL的病毒特征与病毒查杀与处置建议方法进入平台数据库中。
进一步地,当比对成功时,与该主机的防病毒查杀日志进行关联分析,若此病毒在此IP上已被查杀且查杀时间比事件时间晚,则抛弃该条数据,如果此病毒无查杀记录,则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警。
进一步地,所述通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比包括:提取访问恶意URL的病毒特征在写入平台数据库后,特征对比阶段与解析后的DNS访问域名的日志进行比对,如果DNS访问的域名存在于恶意URL病毒特征表中时则判定为访问源IP受感染。
进一步地,感染的主机收到告警后,对告警进行处理后,向平台传送整改回单附在DNS服务器日志传送至平台,平台对DNS服务器日志进行解析分析后进行病毒感染的判断,若无,则将该时间段该主机加入到已处理列表内。
本发明与现有技术相比,有益效果在于:本发明通过采集主机的DNS服务器日志、DNS域名情报库、病毒库、处置知识库IP地址分配库等数据,利用关联分析等技术,发现利用恶意域名控制感染主机的网络攻击行为,并产生实时受攻击主机IP地址的溯源告警,并根据处置建议及时对受攻击主机进行处置,达到保证信息内网安全性,降低安全威胁的目的。
附图说明
图1为本发明方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例:
本发明一种恶意域名感染主机溯源方法,该方法包括:
建立一个平台,包括采集服务器以及大数据分析平台以及建立一个数据库,
建立数据库包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;
通过采集服务器获取来自被访问主机的DNS服务器日志,通过客户端访问作为触发条件,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,若对比失败则对数据进行清理;若对比成功则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。在另一实施例中,建立一个总服务器作为总主机,平台与总主机之间信息采集,各分主机与总主机进行关联发送给总主机DNS服务器日志,在分主机被访问时,平台采集总主机的上分主机的DNS服务器日志。平台通过Syslog接入DNS服务器日志获取设备厂商、设备类型、设备IP、设备版本、事件时间、访问源IP、访问域名字段,通过API接口接入病毒库、DNS域名情报库、处置知识库并提取访问恶意URL的病毒特征与病毒查杀与处置建议方法进入平台数据库中。
告警根据DNS服务器日志获取的地址信息从IP地址划分信息查找相应的地址信息。包括告警时间、告警源IP、告警源所属单位、感染病毒名称、感染病毒特征、风险等级以及处置建议。
处理流程包括通过平台对感染的主机进行远程控制对该主机与其他关联的主机切换联系,并对感染的主机的病毒按照处理建议进行删除,删除成功后恢复该主机的对外关联;若无法成功删除,则发送至该主机进行告警。
当比对成功时,与被访问的主机的防病毒查杀日志进行关联分析,若此病毒在此IP上已被查杀且查杀时间比事件时间晚,则抛弃该条数据,如果此病毒无查杀记录,则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警。
通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比包括:提取访问恶意URL的病毒特征在写入平台数据库后,特征对比阶段与解析后的DNS访问域名的日志进行比对,如果DNS访问的域名存在于恶意URL病毒特征表中时则判定为访问源IP受感染。感染的主机收到告警后,对告警进行处理后,向平台传送整改回单附在DNS服务器日志传送至平台,平台对DNS服务器日志进行解析分析后进行病毒感染的判断,若无,则将该时间段该主机加入到已处理列表内。
在一应用,包括总部DNS服务器作为总主机,按照省级的部署分主机服务器,当用户终端向分主机服务器发起域名访问,分主机服务器将DNS解析指向总部DNS服务器,可以接收到来自用户的访问,并进行解析工作。同时,总部DNS服务器需要将终端用户的DNS请求以日志(包括源IP、访问域名)形式记录并转发至平台的采集服务器,平台的采集服务器采集到相关日志后发送至大数据平台进行解析,大数据平台对采集到的数据进行处理,经与病毒访问URL特征信息对比分析后确定恶意域名及访问的源地址。同时,对比病毒查杀记录,进行关联分析,将获取到的恶意域名存储至总部总主机,并根据各分主机公司地址分配情况,总部总主机将相关恶意域名访问信息下发至分主机,在分主机公司页面中显示恶意域名的访问情况,并提供处置建议,可以使分主机快速定位受攻击主机,做到及时预警。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种恶意域名感染主机溯源方法,其特征在于,该方法包括:
建立一个平台;
在平台上建立数据库,包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;
获取来自主机的DNS服务器日志,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,若对比失败则对来自主机的DNS服务器日志以及对DNS服务器日志进行解析和规范化处理后的数据进行清理;若对比成功则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。
2.按照权利要求1所述的方法,其特征在于,所述告警根据DNS服务器日志获取的地址信息从IP地址划分信息查找相应的地址信息。
3.按照权利要求1所述的方法,其特征在于,所述告警包括告警时间、告警源IP、告警源所属单位、感染病毒名称、感染病毒特征、风险等级以及处置建议。
4.按照权利要求1所述的方法,其特征在于,所述处理流程包括通过平台对感染的主机进行远程控制对该主机与其他关联的主机切断联系,并对感染的主机的病毒按照处理建议进行删除,删除成功后恢复该主机的对外关联;若无法成功删除,则发送至该主机进行告警。
5.按照权利要求1所述的方法,其特征在于,所述平台通过Syslog接入DNS服务器日志获取设备厂商、设备类型、设备IP、设备版本、事件时间、访问源IP、访问域名字段,通过API接口接入病毒库、DNS域名情报库、处置知识库并提取访问恶意URL的病毒特征与病毒查杀与处置建议方法进入平台数据库中。
6.按照权利要求1所述的方法,其特征在于,当比对成功时,与该主机的防病毒查杀日志进行关联分析,若此病毒在此IP上已被查杀且查杀时间比事件时间晚,则抛弃处理建议表中的建议生成告警的数据,如果此病毒无查杀记录,则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警。
7.按照权利要求1所述的方法,其特征在于,所述通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比包括:提取访问恶意URL的病毒特征在写入平台数据库后,特征对比阶段与解析后的DNS访问域名的日志进行比对,如果DNS访问的域名存在于恶意URL病毒特征表中时则判定为访问源IP受感染。
8.按照权利要求4所述的方法,其特征在于,感染的主机收到告警后,对告警进行处理后,向平台传送整改回单附在DNS服务器日志传送至平台,平台对DNS服务器日志进行解析分析后进行病毒感染的判断,若无,则将该主机加入到已处理列表内。
CN201910535056.XA 2019-06-20 2019-06-20 一种恶意域名感染主机溯源方法 Active CN110401632B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910535056.XA CN110401632B (zh) 2019-06-20 2019-06-20 一种恶意域名感染主机溯源方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910535056.XA CN110401632B (zh) 2019-06-20 2019-06-20 一种恶意域名感染主机溯源方法

Publications (2)

Publication Number Publication Date
CN110401632A CN110401632A (zh) 2019-11-01
CN110401632B true CN110401632B (zh) 2022-02-15

Family

ID=68324190

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910535056.XA Active CN110401632B (zh) 2019-06-20 2019-06-20 一种恶意域名感染主机溯源方法

Country Status (1)

Country Link
CN (1) CN110401632B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110990830A (zh) * 2019-12-12 2020-04-10 国网新疆电力有限公司信息通信公司 终端取证溯源系统及方法
CN111400890B (zh) * 2020-03-11 2021-01-05 湖南大学 基于攻击-防御结构的抵御恶意数据攻击的电网升级方法
CN111818030A (zh) * 2020-06-29 2020-10-23 国网福建省电力有限公司 一种恶意域名请求终端的快速定位处置方法及系统
CN112532605B (zh) * 2020-11-23 2022-11-22 中信银行股份有限公司 一种网络攻击溯源方法及系统、存储介质、电子设备
CN112804369A (zh) * 2020-12-28 2021-05-14 深信服科技股份有限公司 一种网络系统及网络访问安全检测方法、装置和相关设备
CN112685214B (zh) * 2021-01-15 2023-07-14 浪潮软件科技有限公司 一种通过日志收集分析中毒机器并进行告警的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580249A (zh) * 2015-01-28 2015-04-29 北京润通丰华科技有限公司 一种基于日志的僵木蠕网络分析方法和系统
CN105827594A (zh) * 2016-03-08 2016-08-03 北京航空航天大学 一种基于域名可读性及域名解析行为的可疑性检测方法
CN106713312A (zh) * 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
US10171490B2 (en) * 2012-07-05 2019-01-01 Tenable, Inc. System and method for strategic anti-malware monitoring

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10574674B2 (en) * 2016-07-08 2020-02-25 Nec Corporation Host level detect mechanism for malicious DNS activities

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10171490B2 (en) * 2012-07-05 2019-01-01 Tenable, Inc. System and method for strategic anti-malware monitoring
CN104580249A (zh) * 2015-01-28 2015-04-29 北京润通丰华科技有限公司 一种基于日志的僵木蠕网络分析方法和系统
CN105827594A (zh) * 2016-03-08 2016-08-03 北京航空航天大学 一种基于域名可读性及域名解析行为的可疑性检测方法
CN106713312A (zh) * 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
" 基于大数据融合算法的DNS日志分析系统";廖明等;《电信科学》;20190423;全文 *

Also Published As

Publication number Publication date
CN110401632A (zh) 2019-11-01

Similar Documents

Publication Publication Date Title
CN110401632B (zh) 一种恶意域名感染主机溯源方法
CN106657001B (zh) 一种基于Netflow及DNS日志的僵尸网络检测方法
CN108460278B (zh) 一种威胁情报处理方法及装置
EP3171572B1 (en) Network security protection method and device
Kumar et al. Signature based intrusion detection system using SNORT
CN106650436B (zh) 一种基于局域网的安全检测方法和装置
US8201243B2 (en) Backwards researching activity indicative of pestware
US20130167236A1 (en) Method and system for automatically generating virus descriptions
US8667586B2 (en) Backward researching time stamped events to find an origin of pestware
US10757135B2 (en) Bot characteristic detection method and apparatus
CN103595732B (zh) 一种网络攻击取证的方法及装置
CN102571812B (zh) 一种网络威胁的跟踪识别方法及装置
Shabtai et al. F-sign: Automatic, function-based signature generation for malware
CN107247902B (zh) 恶意软件分类系统及方法
CN107547490B (zh) 一种扫描器识别方法、装置及系统
CN107360198B (zh) 可疑域名检测方法及系统
CN104580249A (zh) 一种基于日志的僵木蠕网络分析方法和系统
CN110417578B (zh) 一种异常ftp连接告警处理方法
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN111510463B (zh) 异常行为识别系统
CN112182587A (zh) Web漏洞扫描方法、系统、装置、存储介质和计算机设备
JP5752642B2 (ja) 監視装置および監視方法
CN114257403B (zh) 误报检测方法、设备及可读存储介质
CN113595981B (zh) 上传文件威胁检测方法及装置、计算机可读存储介质
KR20120137326A (ko) 악성도메인을 검출하기 위한 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant