CN110401632B - 一种恶意域名感染主机溯源方法 - Google Patents
一种恶意域名感染主机溯源方法 Download PDFInfo
- Publication number
- CN110401632B CN110401632B CN201910535056.XA CN201910535056A CN110401632B CN 110401632 B CN110401632 B CN 110401632B CN 201910535056 A CN201910535056 A CN 201910535056A CN 110401632 B CN110401632 B CN 110401632B
- Authority
- CN
- China
- Prior art keywords
- virus
- host
- dns server
- platform
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 241000700605 Viruses Species 0.000 claims abstract description 66
- 238000004458 analytical method Methods 0.000 claims abstract description 7
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 7
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000010219 correlation analysis Methods 0.000 claims description 5
- 238000004140 cleaning Methods 0.000 claims description 3
- 238000010835 comparative analysis Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 3
- 230000009385 viral infection Effects 0.000 claims description 3
- 238000005192 partition Methods 0.000 claims 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明属于电力系统计算机领域,为一种恶意域名感染主机溯源方法,在平台上建立数据库,包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;获取来自主机的DNS服务器日志,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。本发明根据处置建议及时对受攻击主机进行处置,达到保证信息内网安全性,降低安全威胁的目的。
Description
技术领域
本发明涉及电力系统计算机软件领域,具体来讲为一种恶意域名感染主机溯源方法。
背景技术
对于电力系统而言,数据庞大,一旦出现主机被感染的问题,由于多个主机相互的关联,随时数据的调用,会在多个主机间进行快速的感染,因此,需要对国家电网以及各相连的系统的DNS服务器的域名解析功能进行监控,需要快速定位访问恶意域名的主机IP地址及其主机的所属单位,便于各单位快速定位被感染主机,达到快速预警,并及时处置的效果,提升防护能力。
发明内容
本发明所要解决的技术问题在于提供一种恶意域名感染主机溯源方法,用于解决现有技术中感染主机定位不迅速,安全性低的问题。
本发明是这样实现的,
一种恶意域名感染主机溯源方法,该方法包括:
建立一个平台;
在平台上建立数据库,包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;
获取来自主机的DNS服务器日志,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,若对比失败则对数据进行清理;若对比成功则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。
进一步地,所述告警根据DNS服务器日志获取的地址信息从IP地址划分信息查找相应的地址信息。
进一步地,所述告警包括告警时间、告警源IP、告警源所属单位、感染病毒名称、感染病毒特征、风险等级以及处置建议。
进一步地,所述处理流程包括通过平台对感染的主机进行远程控制对该主机与其他关联的主机切断联系,并对感染的主机的病毒按照处理建议进行删除,删除成功后恢复该主机的对外关联;若无法成功删除,则发送至该主机进行告警。
进一步地,所述平台通过Syslog接入DNS服务器日志获取设备厂商、设备类型、设备IP、设备版本、事件时间、访问源IP、访问域名字段,通过API接口接入病毒库、DNS域名情报库、处置知识库并提取访问恶意URL的病毒特征与病毒查杀与处置建议方法进入平台数据库中。
进一步地,当比对成功时,与该主机的防病毒查杀日志进行关联分析,若此病毒在此IP上已被查杀且查杀时间比事件时间晚,则抛弃该条数据,如果此病毒无查杀记录,则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警。
进一步地,所述通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比包括:提取访问恶意URL的病毒特征在写入平台数据库后,特征对比阶段与解析后的DNS访问域名的日志进行比对,如果DNS访问的域名存在于恶意URL病毒特征表中时则判定为访问源IP受感染。
进一步地,感染的主机收到告警后,对告警进行处理后,向平台传送整改回单附在DNS服务器日志传送至平台,平台对DNS服务器日志进行解析分析后进行病毒感染的判断,若无,则将该时间段该主机加入到已处理列表内。
本发明与现有技术相比,有益效果在于:本发明通过采集主机的DNS服务器日志、DNS域名情报库、病毒库、处置知识库IP地址分配库等数据,利用关联分析等技术,发现利用恶意域名控制感染主机的网络攻击行为,并产生实时受攻击主机IP地址的溯源告警,并根据处置建议及时对受攻击主机进行处置,达到保证信息内网安全性,降低安全威胁的目的。
附图说明
图1为本发明方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例:
本发明一种恶意域名感染主机溯源方法,该方法包括:
建立一个平台,包括采集服务器以及大数据分析平台以及建立一个数据库,
建立数据库包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;
通过采集服务器获取来自被访问主机的DNS服务器日志,通过客户端访问作为触发条件,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,若对比失败则对数据进行清理;若对比成功则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。在另一实施例中,建立一个总服务器作为总主机,平台与总主机之间信息采集,各分主机与总主机进行关联发送给总主机DNS服务器日志,在分主机被访问时,平台采集总主机的上分主机的DNS服务器日志。平台通过Syslog接入DNS服务器日志获取设备厂商、设备类型、设备IP、设备版本、事件时间、访问源IP、访问域名字段,通过API接口接入病毒库、DNS域名情报库、处置知识库并提取访问恶意URL的病毒特征与病毒查杀与处置建议方法进入平台数据库中。
告警根据DNS服务器日志获取的地址信息从IP地址划分信息查找相应的地址信息。包括告警时间、告警源IP、告警源所属单位、感染病毒名称、感染病毒特征、风险等级以及处置建议。
处理流程包括通过平台对感染的主机进行远程控制对该主机与其他关联的主机切换联系,并对感染的主机的病毒按照处理建议进行删除,删除成功后恢复该主机的对外关联;若无法成功删除,则发送至该主机进行告警。
当比对成功时,与被访问的主机的防病毒查杀日志进行关联分析,若此病毒在此IP上已被查杀且查杀时间比事件时间晚,则抛弃该条数据,如果此病毒无查杀记录,则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警。
通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比包括:提取访问恶意URL的病毒特征在写入平台数据库后,特征对比阶段与解析后的DNS访问域名的日志进行比对,如果DNS访问的域名存在于恶意URL病毒特征表中时则判定为访问源IP受感染。感染的主机收到告警后,对告警进行处理后,向平台传送整改回单附在DNS服务器日志传送至平台,平台对DNS服务器日志进行解析分析后进行病毒感染的判断,若无,则将该时间段该主机加入到已处理列表内。
在一应用,包括总部DNS服务器作为总主机,按照省级的部署分主机服务器,当用户终端向分主机服务器发起域名访问,分主机服务器将DNS解析指向总部DNS服务器,可以接收到来自用户的访问,并进行解析工作。同时,总部DNS服务器需要将终端用户的DNS请求以日志(包括源IP、访问域名)形式记录并转发至平台的采集服务器,平台的采集服务器采集到相关日志后发送至大数据平台进行解析,大数据平台对采集到的数据进行处理,经与病毒访问URL特征信息对比分析后确定恶意域名及访问的源地址。同时,对比病毒查杀记录,进行关联分析,将获取到的恶意域名存储至总部总主机,并根据各分主机公司地址分配情况,总部总主机将相关恶意域名访问信息下发至分主机,在分主机公司页面中显示恶意域名的访问情况,并提供处置建议,可以使分主机快速定位受攻击主机,做到及时预警。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种恶意域名感染主机溯源方法,其特征在于,该方法包括:
建立一个平台;
在平台上建立数据库,包括:在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息,根据所采集的病毒访问URL特征信息建立病毒特征表,根据处置知识库建立处理建议表以及存储IP地址划分信息;
获取来自主机的DNS服务器日志,通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比,若对比失败则对来自主机的DNS服务器日志以及对DNS服务器日志进行解析和规范化处理后的数据进行清理;若对比成功则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。
2.按照权利要求1所述的方法,其特征在于,所述告警根据DNS服务器日志获取的地址信息从IP地址划分信息查找相应的地址信息。
3.按照权利要求1所述的方法,其特征在于,所述告警包括告警时间、告警源IP、告警源所属单位、感染病毒名称、感染病毒特征、风险等级以及处置建议。
4.按照权利要求1所述的方法,其特征在于,所述处理流程包括通过平台对感染的主机进行远程控制对该主机与其他关联的主机切断联系,并对感染的主机的病毒按照处理建议进行删除,删除成功后恢复该主机的对外关联;若无法成功删除,则发送至该主机进行告警。
5.按照权利要求1所述的方法,其特征在于,所述平台通过Syslog接入DNS服务器日志获取设备厂商、设备类型、设备IP、设备版本、事件时间、访问源IP、访问域名字段,通过API接口接入病毒库、DNS域名情报库、处置知识库并提取访问恶意URL的病毒特征与病毒查杀与处置建议方法进入平台数据库中。
6.按照权利要求1所述的方法,其特征在于,当比对成功时,与该主机的防病毒查杀日志进行关联分析,若此病毒在此IP上已被查杀且查杀时间比事件时间晚,则抛弃处理建议表中的建议生成告警的数据,如果此病毒无查杀记录,则根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警。
7.按照权利要求1所述的方法,其特征在于,所述通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比包括:提取访问恶意URL的病毒特征在写入平台数据库后,特征对比阶段与解析后的DNS访问域名的日志进行比对,如果DNS访问的域名存在于恶意URL病毒特征表中时则判定为访问源IP受感染。
8.按照权利要求4所述的方法,其特征在于,感染的主机收到告警后,对告警进行处理后,向平台传送整改回单附在DNS服务器日志传送至平台,平台对DNS服务器日志进行解析分析后进行病毒感染的判断,若无,则将该主机加入到已处理列表内。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910535056.XA CN110401632B (zh) | 2019-06-20 | 2019-06-20 | 一种恶意域名感染主机溯源方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910535056.XA CN110401632B (zh) | 2019-06-20 | 2019-06-20 | 一种恶意域名感染主机溯源方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110401632A CN110401632A (zh) | 2019-11-01 |
CN110401632B true CN110401632B (zh) | 2022-02-15 |
Family
ID=68324190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910535056.XA Active CN110401632B (zh) | 2019-06-20 | 2019-06-20 | 一种恶意域名感染主机溯源方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110401632B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
CN111400890B (zh) * | 2020-03-11 | 2021-01-05 | 湖南大学 | 基于攻击-防御结构的抵御恶意数据攻击的电网升级方法 |
CN111818030A (zh) * | 2020-06-29 | 2020-10-23 | 国网福建省电力有限公司 | 一种恶意域名请求终端的快速定位处置方法及系统 |
CN112532605B (zh) * | 2020-11-23 | 2022-11-22 | 中信银行股份有限公司 | 一种网络攻击溯源方法及系统、存储介质、电子设备 |
CN112804369A (zh) * | 2020-12-28 | 2021-05-14 | 深信服科技股份有限公司 | 一种网络系统及网络访问安全检测方法、装置和相关设备 |
CN112685214B (zh) * | 2021-01-15 | 2023-07-14 | 浪潮软件科技有限公司 | 一种通过日志收集分析中毒机器并进行告警的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104580249A (zh) * | 2015-01-28 | 2015-04-29 | 北京润通丰华科技有限公司 | 一种基于日志的僵木蠕网络分析方法和系统 |
CN105827594A (zh) * | 2016-03-08 | 2016-08-03 | 北京航空航天大学 | 一种基于域名可读性及域名解析行为的可疑性检测方法 |
CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
US10171490B2 (en) * | 2012-07-05 | 2019-01-01 | Tenable, Inc. | System and method for strategic anti-malware monitoring |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10574674B2 (en) * | 2016-07-08 | 2020-02-25 | Nec Corporation | Host level detect mechanism for malicious DNS activities |
-
2019
- 2019-06-20 CN CN201910535056.XA patent/CN110401632B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10171490B2 (en) * | 2012-07-05 | 2019-01-01 | Tenable, Inc. | System and method for strategic anti-malware monitoring |
CN104580249A (zh) * | 2015-01-28 | 2015-04-29 | 北京润通丰华科技有限公司 | 一种基于日志的僵木蠕网络分析方法和系统 |
CN105827594A (zh) * | 2016-03-08 | 2016-08-03 | 北京航空航天大学 | 一种基于域名可读性及域名解析行为的可疑性检测方法 |
CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
Non-Patent Citations (1)
Title |
---|
" 基于大数据融合算法的DNS日志分析系统";廖明等;《电信科学》;20190423;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110401632A (zh) | 2019-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110401632B (zh) | 一种恶意域名感染主机溯源方法 | |
CN106657001B (zh) | 一种基于Netflow及DNS日志的僵尸网络检测方法 | |
CN108460278B (zh) | 一种威胁情报处理方法及装置 | |
EP3171572B1 (en) | Network security protection method and device | |
Kumar et al. | Signature based intrusion detection system using SNORT | |
CN106650436B (zh) | 一种基于局域网的安全检测方法和装置 | |
US8201243B2 (en) | Backwards researching activity indicative of pestware | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
US8667586B2 (en) | Backward researching time stamped events to find an origin of pestware | |
US10757135B2 (en) | Bot characteristic detection method and apparatus | |
CN103595732B (zh) | 一种网络攻击取证的方法及装置 | |
CN102571812B (zh) | 一种网络威胁的跟踪识别方法及装置 | |
Shabtai et al. | F-sign: Automatic, function-based signature generation for malware | |
CN107247902B (zh) | 恶意软件分类系统及方法 | |
CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
CN107360198B (zh) | 可疑域名检测方法及系统 | |
CN104580249A (zh) | 一种基于日志的僵木蠕网络分析方法和系统 | |
CN110417578B (zh) | 一种异常ftp连接告警处理方法 | |
EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
CN111510463B (zh) | 异常行为识别系统 | |
CN112182587A (zh) | Web漏洞扫描方法、系统、装置、存储介质和计算机设备 | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
CN114257403B (zh) | 误报检测方法、设备及可读存储介质 | |
CN113595981B (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
KR20120137326A (ko) | 악성도메인을 검출하기 위한 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |