CN110572406A - 一种失陷主机确定方法、系统及相关装置 - Google Patents
一种失陷主机确定方法、系统及相关装置 Download PDFInfo
- Publication number
- CN110572406A CN110572406A CN201910867231.5A CN201910867231A CN110572406A CN 110572406 A CN110572406 A CN 110572406A CN 201910867231 A CN201910867231 A CN 201910867231A CN 110572406 A CN110572406 A CN 110572406A
- Authority
- CN
- China
- Prior art keywords
- domain name
- host
- dns server
- firewall
- internal dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种失陷主机确定方法,通过识别能力可有效避免防火墙再次将内部DNS服务器判定为失陷主机,通过联动机制让检测到恶意域名的防火墙将这一情况告知内部DNS服务器,使内部DNS服务器根据存储的域名解析请求找到发起该域名解析请求主机,从而定位到真实的失陷主机。应用本申请的方案,在确定失陷主机这一场景下,防火墙和内部DNS服务器不再各自为政,而是在识别能力、联动机制和存储能力的共同作用下,准确的将失陷主机定位了出来,避免了误判的产生和由于误判带来的一系列问题,提升了网络的安全性。本申请还同时公开了一种失陷主机确定系统、防火墙设备、内部DNS服务器及计算机可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种失陷主机确定方法、系统、防火墙、内部DNS服务器及计算机可读存储介质。
背景技术
黑客或恶意攻击者经常会选择控制他人计算机设备(主机)来实施恶意攻击,以此来逃避追踪和隐蔽自身,此类被控制执行恶意攻击操作的主机通常被称为失陷主机。
相比于单独的计算机设备,一旦内网环境下的内部主机成为失陷主机,将成为威胁整个内网环境的安全性的巨大安全隐患,因此如何确定内网环境下是否存在失陷主机,以及哪台内部主机为失陷主机,是十分重要的。
现有技术通常借助防火墙对外发数据包的检测来确定失陷主机。但实际情况下,经常会发现防火墙上报的失陷主机实际为内部DNS服务器(用于为内部主机提供小范围的域名解析服务)。但内部DNS服务器显然不可能为失陷主机,也就是说,在现有的失陷主机判定机制下,经常会错误的将内部DNS服务器判别为失陷主机,从而使得真实失陷主机得以逃过检测,安全隐患无法得到解决。
因此,如何解决现有失陷主机判定机制存在的误判现象,定位出真实的失陷主机,是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种失陷主机确定方法、系统、防火墙、内部DNS服务器及计算机可读存储介质,旨在准确的定位出真实的失陷主机。
为实现上述目的,本申请第一方面提供了一种应用于防火墙的失陷主机确定方法,包括:
从外发数据包中提取得到目标域名;
判断所述目标域名是否为恶意域名;
若所述目标域名为恶意域名,则判断所述外发数据包的发出者是否为内部DNS服务器;其中,所述防火墙中预存有内部DNS服务器的身份信息;
若所述外发数据包的发出者为所述内部DNS服务器,则向所述内部DNS服务器发送追溯指令,以使所述内部DNS服务器响根据保存的域名解析请求确定并返回请求解析所述目标域名的主机身份信息;
根据所述主机身份信息将对应的主机标记为失陷主机。
可选的,判断所述外发数据包的发出者是否为内部DNS服务器,包括:
从所述外发数据包中提取得到源IP;
判断预存的内部DNS服务器的IP是否与所述源IP一致;
若预存的内部DNS服务器的IP与所述源IP一致,则判定所述外发数据包的发出者为所述内部DNS服务器;
若预存的内部DNS服务器的IP与所述源IP不一致,则判定所述外发数据包的发出者不是所述内部DNS服务器。
可选的,在根据所述主机身份信息将对应的主机标记为失陷主机之后,还包括:
拦截所述失陷主机所有的外发数据包;
和/或,
向所述内部DNS服务器发送失陷主机屏蔽指令,以使所述内部DNS服务器根据所述失陷主机屏蔽指令不对所述失陷主机发来的任何域名解析请求进行处理。
为实现上述目的,本申请第二方面提供了一种应用于内部DNS服务器的失陷主机确定方法,包括:
接收并存储主机发来的域名解析请求;
当自身无法对所述域名解析请求对应的目标域名完成解析时,根据所述域名解析请求生成外发数据包,并将所述外发数据包发送至外部DNS服务器;其中,所述外发数据包在到达所述外部DNS服务器之前会首先通过防火墙;
接收所述防火墙发来的追溯指令;
根据保存的域名解析请求确定请求解析所述目标域名的主机身份信息,并向所述防火墙返回所述主机身份信息。
可选的,该应用于内部DNS服务器的失陷主机确定方法还包括:
接收所述防火墙发来的失陷主机屏蔽指令;
根据所述失陷主机屏蔽指令不对所述失陷主机发来的任何域名解析请求进行处理。
可选的,存储主机发来的域名解析请求,包括:
将所述域名解析请求保存为包括一条竖链和多条横链的链表;其中,各目标域名按时间先后顺序从上到下依次排列在所述竖链上,每个所述目标域名的右侧/左侧均连接有一条所述横链,每条所述横链上按时间先后顺序从左到右/从右到左依次排列有对相应目标域名发起域名解析请求的主机身份信息;所述目标域名和所述主机身份信息均从所述域名解析请求中提取得到。
可选的,该应用于内部DNS服务器的失陷主机确定方法还包括:
清理每条所述横链中距上次出现超过第一预设时长的主机身份信息;
和/或,
清理所述竖链上距上次出现超过第二预设时长的目标域名。
为实现上述目的,本申请第三方面提供了一种失陷主机确定系统,包括:
防火墙,用于从外发数据包中提取得到目标域名;判断所述目标域名是否为恶意域名;若所述目标域名为恶意域名,则判断所述外发数据包的发出者是否为内部DNS服务器;其中,所述防火墙中内置有内部DNS服务器的身份信息;若所述外发数据包为所述内部DNS服务器发出,则向所述内部DNS服务器发送追溯指令;根据接收到的主机身份信息将对应的主机标记为失陷主机;
所述内部DNS服务器,用于接收并存储主机发来的域名解析请求;当自身无法对所述域名解析请求对应的目标域名完成解析时,根据所述域名解析请求生成外发数据包,并将所述外发数据包发送至外部DNS服务器;其中,所述外发数据包在到达所述外部DNS服务器之前会首先通过防火墙;接收所述防火墙发来的追溯指令;根据保存的域名解析请求确定请求解析所述目标域名的主机身份信息,并向所述防火墙返回所述主机身份信息。
为实现上述目的,本申请第四方面提供了一种防火墙设备,包括:
存储器,用于存储防火墙安全程序;
处理器,用于执行所述防火墙安全程序时实现如上述内容所描述的应用于防火墙的失陷主机确定方法。
为实现上述目的,本申请第五方面提供了一种内部DNS服务器,包括:
存储器,用于存储内部DNS服务器安全程序;
处理器,用于执行所述内部DNS服务器安全程序时实现如上述内容所描述的应用于内部DNS服务器的失陷主机确定方法。
为实现上述目的,本申请第六方面提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有防火墙安全程序和/或内部DNS服务器安全程序,所述防火墙安全程序被处理器执行时实现如上述内容所描述的应用于防火墙的失陷主机确定方法,所述内部DNS服务器安全程序被处理器执行时实现如上述内容所描述的应用于内部DNS服务器的失陷主机确定方法。
根据上述内容可以看出,为防止防火墙错误的将内部DNS服务器判定为失陷主机,本申请增加了防火墙对内部DNS服务器的识别能力、内部DNS服务器对域名解析请求的存储能力,以及防火墙和内部DNS服务器之间的联动机制。识别能力克有效避免防火墙将内部DNS服务器错误的判定为失陷主机,联动机制让检测到恶意域名的防火墙能够将这一情况告知内部DNS服务器,使内部DNS服务器根据存储的域名解析请求找到向自身发起该域名解析请求的主机,从而定位到真实的失陷主机。应用本申请所提供的方案,在确定失陷主机这一场景下,防火墙和内部DNS服务器不再各自为政,而是在识别能力、联动机制和存储能力的共同作用下,准确的将真实的失陷主机定位了出来,避免了误判的产生和由于误判带来的一系列问题,提升了网络的安全性。
本申请同时还提供了一种失陷主机确定系统、防火墙设备、内部DNS服务器及计算机可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种失陷主机确定系统中各主体之间的拓扑示意图;
图2为本申请实施例提供的一种应用于防火墙的失陷主机确定方法的流程图;
图3为本申请实施例提供的一种应用于内部DNS服务器的失陷主机确定方法的流程图;
图4为本申请实施例提供的一种使用链表存储域名解析请求信息的示意图。
具体实施方式
本申请的目的是提供一种失陷主机确定方法、系统、防火墙、内部DNS服务器及计算机可读存储介质,旨在准确的定位出真实的失陷主机。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为便于理解本申请所提供的方案,首先对本申请方案所适用的应用场景进行介绍,请参见如图1所示的拓扑示意图:
图1包括主机10、内部DNS服务器20、防火墙30以及外部DNS服务器40,主机10与内部DNS服务器20、内部服务器20与防火墙30、以及防火墙30与外部DNS服务器40之间均建立有数据连接。
主机10在访问任何网站时,首先向内部DNS服务器20发起域名解析请求,若内部DNS服务器20可直接解析,将直接向主机10返回相应的IP地址;若内部DNS服务器20无法完成解析,则将在对该域名解析请求进行处理后生成外发数据包,并将该外发数据包发送给外部DNS服务器40请求帮助解析(这是由于内部DNS服务器往往仅针对内网内容提供小范围的域名解析服务,涉及的大多为内网网站,通常不涉及外部网站,因此在发现自身无法完成域名解析时,将转至外部DNS服务器寻求帮助)。防火墙30架设在内部DNS服务器20与外部DNS服务器40之间,以对外发数据包进行检测。
在图1所示的背景下,此处详细说明现有技术下,防火墙30判定内部DNS服务器20为失陷主机的原因:
假定域名a.com是一个恶意域名,防火墙已收录该恶意域名,内部DNS服务器未收录该恶意域名与其IP之间的对应关系,内网主机A为失陷主机。
步骤1:失陷主机A为了从a.com获取恶意攻击操作的具体内容,首先向内部DNS服务器发起用于得到a.com的IP地址的域名解析请求;
步骤2:内部DNS服务器由于未收录外网域名与IP地址之间的对应关系,无法解析出a.com的IP地址,因此需要询问外部DNS服务器,向外部DNS服务器发起询问包(外发数据包);
步骤3:防火墙检测到有外发数据包试图通过,并进一步判断出该外发数据包的目标域名a.com为恶意域名,因此基于现有失陷主机判定机制下:访问该恶意域名的设备应为失陷主机的原则,将生成该外部数据包的设备判定为失陷主机,从结论上来看,就是将内部DNS服务器判定为失陷主机。
根据上述过程可以看出,内部DNS服务器按照预定的域名解析请求方式正常处理接收到的每一个域名解析请求,防火墙也是按照的预定的失陷主机判定方式判定失陷主机。外发数据包中包含有生成该外发数据包的设备的身份信息(通常为IP地址),而内部DNS服务器的IP地址和主机A的IP地址只存在具体参数的差异,防火墙并不会根据IP地址进行区分,防火墙只会记录某个IP地址对应的设备为失陷主机,而不知道被自身标记为失陷主机的设备到底是不是内部DNS服务器。
也就是说,在上述对现有技术的描述过程中,内部DNS服务器变成了主机A的“替罪羊”,而导致这一情况发生的原因就是防火墙和内部DNS服务器各自为政,各自遵循自身的规则来执行和判断。没能考虑到在内部DNS服务器无法完成某个域名解析请求时,还会将自身作为源IP向外部DNS服务器发送询问包。
针对上述现有技术缺陷,本申请通过对防火墙和内部DNS服务器进行“改造”,使其可以有效的对上述情况进行准确识别,并准确的定位出真实的失陷主机。
以下将通过图2和图3分别站在防火墙侧和内部DNS服务器对其如何在此过程中进行处理,得以实现本申请的目的进行详细说明:
图2为本申请实施例提供的一种应用于防火墙的失陷主机确定方法的流程图,下述各步骤的执行主体均为防火墙,包括以下步骤:
S101:从外发数据包中提取得到目标域名;
S102:判断目标域名是否为恶意域名,若是,执行S104,否则执行S103;
防火墙中通常内置有恶意域名库,恶意域名库中包含有许多已知的恶意域名,通过判断恶意域名库中是否存在一个与目标域名一致的域名即可确定出该目标域名是否为恶意域名。
S103:继续通行;
本步骤建立在S102的判断结果为目标域名不是恶意域名的基础上,说明这是一次正常的外网访问,因此防火墙将允许该外发数据包继续向外网通行。
S104:判断外发数据包的发出者是否为内部DNS服务器,若是,执行S106,否则执行S105;
本步骤建立在S102的判断结果为目标域名为恶意域名的基础上,为避免误判,本步骤旨在由防火墙判断该外发数据包的发出者是否为内部DNS服务器。区别于无法实现这一步骤的现有技术,本申请预先在防火墙中内置了内网DNS服务器的身份信息(可以是IP地址、MAC地址或其它任何可以唯一标识身份的方式),以使防火墙可以通过预置的内网DNS服务器的身份信息确定出该外发数据包的发出者是否为内部DNS服务器。
以IP地址作为该身份信息为例,此处给出一种包括但不限于的实现方式:
从外发数据包中提取得到源IP;
判断预存的内部DNS服务器的IP是否与该源IP一致;
若预存的内部DNS服务器的IP与该源IP一致,则判定该外发数据包的发出者为内部DNS服务器;
若预存的内部DNS服务器的IP与该源IP不一致,则判定该外发数据包的发出者不是该内部DNS服务器。在外发数据包仅可能由主机或DNS服务器两类设备发出时,若确定该外发数据包的发出者不是内部DNS服务器,将确定该外发数据包的发出者为主机,且该主机为实现主机。
进一步的,考虑到内网规模较大且分散时可能不仅具有一个内网DNS服务器,还可以将各内网DNS服务器的IP汇总为一个IP集,在进行判定时只需要判断该IP集中是否包含有与源IP一致的IP即可。具体的,可以在判定时采用效率较高的并行判定法,也可以采用成本较低的串行判定法,此处不做具体限定。
S105:将对应的主机标记为失陷主机;
本步骤建立在S104的判定结果为该外发数据包的发出者不是内部DNS服务器的基础上,在外发数据包仅可能由主机或DNS服务器两类设备发出时,将可以确定该外发数据包由真实的失陷主机发出,因此防火墙可直接将对应的主机标记为失陷主机。
S106:向内部DNS服务器发送追溯指令,以使内部DNS服务器根据保存的域名解析请求确定并返回请求解析目标域名的主机身份信息;
本步骤建立在S104的判定结果为该外发数据包的发出者是内部DNS服务器的基础上,由于内部DNS服务器不应作为失陷主机,因此有必要进行进一步的追溯来确定真实的失陷主机,由于防火墙没有可确定出真实失陷主机的信息,因此需要及时告知内部DNS服务器这一情况,以使内部DNS服务器在获知这一情况后,基于自身保存的可用于定位真实失陷主机的信息来确定真实失陷主机。这一过程将在后续结合图3进行具体说明。
防火墙向内部DNS服务器发送追溯指令,体现了两者之间的关联,并通过这一关联共同完成真实失陷主机的确定。
S107:根据主机身份信息将对应的主机标记为失陷主机。
在S106的基础上,本步骤旨在由防火墙根据接收到的主机身份信息将对应的主机标记为失陷主机,至此,完成真实失陷主机的确定。
在确定访问恶意域名的真实失陷主机后,还可以为防范和处理失陷主机进行多种操作,以下提供两种可以尽可能缩小失陷主机后续危害的处理方式:
方式一:防火墙拦截后续所有由失陷主机生成的外发数据包;
方式二:防火墙向内部DNS服务器发送失陷主机屏蔽指令,以使内部DNS服务器响应于失陷主机屏蔽指令,不对失陷主机发来的任何域名解析请求进行处理。
上述方式一和方式二分别从两个方面对失陷主机可能执行的危害网络安全的操作进行屏蔽。上述两个方式并无冲突,可以根据实际情况单独选用或同时选用,此处并不做具体限定。
对应与上述站在防火墙角度如何实现最终目的进行阐述的内容,此处还通过图3对站在内部DNS服务器角度如何实现最终目的进行了阐述,以加深对方案的理解,下述各步骤的执行主体均为内部DNS服务器,包括以下步骤:
S201:接收并存储主机发来的域名解析请求;
区别于现有技术下的内部DNS服务器,本申请为了实现准确定位真实失陷主机的目的,还对内部DNS服务器增加了存储接收到的域名解析请求的功能,以使在需要时可以根据该域名解析请求确定出向自身发送恶意域名的域名解析请求的主机。
其中,为了便于后续查询发送恶意域名的域名查询的主机,且为了尽可能的不为内部DNS服务器增加负担,此处提供了一种较为精简的域名解析请求保存方式:
将解析请求保存为包括一条竖链和多条横链的链表;其中,各目标域名按时间先后顺序从上到下依次排列在竖链上,每个目标域名的右侧/左侧均连接有一条横链,每条横链上按时间先后顺序从左到右/从右到左依次排列有对相应目标域名发起域名解析请求的主机身份信息;目标域名和主机身份信息均从域名解析请求中提取得到。
可参见如图4所示的链表示意图,图4所示的链表中横链位于每个目标域名的右侧,因此各主机身份信息按时间先后顺序从左到右排列在横链上。还需要说明的是,在按时间顺序排序的基础上,图4中还标示了每次目标域名和每个主机的时间,即附加有时间戳(图4中为目标域名附加的时间戳类型为ta、tb、tc,为主机IP附加的时间戳的类型为t1、t2、t3)。
进一步的,为了减少存储负担,结合实际情况,可以定期清理无效的链表信息,例如:
清理每条横链中距上次出现超过第一预设时长的主机身份信息;
和/或
清理竖链上距上次出现超过第二预设时长的目标域名。例如可以将第一预设时长和第二预设时长均设置为10分钟。
一种具体的实现方式可以为:
假定当前系统时间为T,对于a.com,ta标识a.com最近的活跃时间,即取t1、t2、t3、t4中与当前系统时间最接近的值。t1标识源IP1的请求时间,其它以此类推。
当T-ta>10分钟时,a.com对应节点从链表中去除(包括其所关联IP);
当T-t1>10分钟时,源IP1对应节点从横链中抹掉,其它IP节点不变;
对于新生成的域名,重新分配新的域名节点和IP节点插入链表中。
通过上述给出的链表内容清理机制,在大多数实际应用场景下,可以有效保障链表的大小,使其尽可能的少的占用内部DNS服务器本就不多的存储空间,也降低了无效或失效信息对查询速度的影响。
S202:当自身无法对域名解析请求对应的目标域名完成解析时,根据域名解析请求生成外发数据包,并将外发数据包发送至外部DNS服务器;
S203:接收防火墙发来的追溯指令;
S204:根据保存的域名解析请求确定请求解析目标域名的主机身份信息,并向防火墙返回主机身份信息。
S203和S204作为衔接S106的步骤存在,旨在从内部DNS服务器侧描述具体的处理方式。
在采用上述链表的方式存储域名解析请求中的信息时,可直接返回当前保存的域名对应的横链即可。
基于上述内容,本实施例为防止防火墙错误的将内部DNS服务器判定为失陷主机,增加了防火墙对内部DNS服务器的识别能力、内部DNS服务器对域名解析请求的存储能力,以及防火墙和内部DNS服务器之间的联动机制。识别能力克有效避免防火墙将内部DNS服务器错误的判定为失陷主机,联动机制让检测到恶意域名的防火墙能够将这一情况告知内部DNS服务器,使内部DNS服务器根据存储的域名解析请求找到向自身发起该域名解析请求的主机,从而定位到真实的失陷主机。应用本申请所提供的方案,在确定失陷主机这一场景下,防火墙和内部DNS服务器不再各自为政,而是在识别能力、联动机制和存储能力的共同作用下,准确的将真实的失陷主机定位了出来,避免了误判的产生和由于误判带来的一系列问题,提升了网络的安全性。
因为情况复杂,无法一一列举进行阐述,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
基于上述方案,本申请实施例还提供了一种失陷主机确定系统,该系统可以包括:
防火墙,用于从外发数据包中提取得到目标域名;判断目标域名是否为恶意域名;若目标域名为恶意域名,则判断外发数据包的发出者是否为内部DNS服务器;其中,防火墙中内置有内部DNS服务器的身份信息;若外发数据包为内部DNS服务器发出,则向内部DNS服务器发送追溯指令;根据接收到的主机身份信息将对应的主机标记为失陷主机;
内部DNS服务器,用于接收并存储主机发来的域名解析请求;当自身无法对域名解析请求对应的目标域名完成解析时,根据域名解析请求生成外发数据包,并将外发数据包发送至外部DNS服务器;其中,外发数据包在到达外部DNS服务器之前会首先通过防火墙;接收防火墙发来的追溯指令;根据保存的域名解析请求确定请求解析目标域名的主机身份信息,并向防火墙返回主机身份信息。
基于上述实施例,本申请还分别提供与上述方法对应的防火墙设备和内部DNS服务器。其中,该防火墙设备可以包括存储器和处理器,其中,该存储器中存有防火墙安全程序,该处理器调用该存储器中的防火墙安全程序时,可以实现上述实施例所提供的应用于防火墙的失陷主机确定方法的步骤。
需要说明的是,在不同的场景下,该防火墙设备不仅可假设在内网的出口,也可以架设于内网的其它层级架构上(只要位于内网DNS服务器上层即可)。进一步的,除本申请所给出的防火墙设备之外,还可以换用其它可实现相同或类似功能的安全网关设备,或者是在不同应用场景下起到相同作用的其它名称,此处并不做具体限定。
该内部DNS服务器也可以包括存储器和处理器,其中,该存储器中存有内部DNS服务器安全程序,该处理器调用该存储器中的内部DNS服务器安全程序时,可以实现上述实施例所提供的应用于内部DNS服务器的失陷主机确定方法的步骤。
当然,该防火墙设备和内部DNS服务器还可以包括各种必要的网络接口、电源以及其它零部件等。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有防火墙安全程序和/或内部DNS服务器安全程序,防火墙安全程序被处理器执行时实现如上述内容所描述的应用于防火墙的失陷主机确定方法,内部DNS服务器安全程序被处理器执行时实现如上述内容所描述的应用于内部DNS服务器的失陷主机确定方法。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random AccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (11)
1.一种失陷主机确定方法,其特征在于,应用于防火墙,包括:
从外发数据包中提取得到目标域名;
判断所述目标域名是否为恶意域名;
若所述目标域名为恶意域名,则判断所述外发数据包的发出者是否为内部DNS服务器;其中,所述防火墙中预存有内部DNS服务器的身份信息;
若所述外发数据包的发出者为所述内部DNS服务器,则向所述内部DNS服务器发送追溯指令,以使所述内部DNS服务器根据保存的域名解析请求确定并返回请求解析所述目标域名的主机身份信息;
根据所述主机身份信息将对应的主机标记为失陷主机。
2.根据权利要求1所述的失陷主机确定方法,其特征在于,判断所述外发数据包的发出者是否为内部DNS服务器,包括:
从所述外发数据包中提取得到源IP;
判断预存的内部DNS服务器的IP是否与所述源IP一致;
若预存的内部DNS服务器的IP与所述源IP一致,则判定所述外发数据包的发出者为所述内部DNS服务器;
若预存的内部DNS服务器的IP与所述源IP不一致,则判定所述外发数据包的发出者不是所述内部DNS服务器。
3.根据权利要求1或2所述的失陷主机确定方法,其特征在于,在根据所述主机身份信息将对应的主机标记为失陷主机之后,还包括:
拦截所述失陷主机所有的外发数据包;
和/或,
向所述内部DNS服务器发送失陷主机屏蔽指令,以使所述内部DNS服务器根据所述失陷主机屏蔽指令不对所述失陷主机发来的任何域名解析请求进行处理。
4.一种失陷主机确定方法,其特征在于,应用于内部DNS服务器,包括:
接收并存储主机发来的域名解析请求;
若无法对所述域名解析请求对应的目标域名完成解析,则根据所述域名解析请求生成外发数据包,并将所述外发数据包发送至外部DNS服务器;其中,所述外发数据包在到达所述外部DNS服务器之前会首先通过防火墙;
接收所述防火墙发来的追溯指令;
根据保存的域名解析请求确定请求解析所述目标域名的主机身份信息,并向所述防火墙返回所述主机身份信息。
5.根据权利要求4所述的失陷主机确定方法,其特征在于,还包括:
接收所述防火墙发来的失陷主机屏蔽指令;
根据所述失陷主机屏蔽指令不对所述失陷主机发来的任何域名解析请求进行处理。
6.根据权利要求4或5所述的失陷主机确定方法,其特征在于,存储主机发来的域名解析请求,包括:
将所述域名解析请求保存为包括一条竖链和多条横链的链表;其中,各目标域名按时间先后顺序从上到下依次排列在所述竖链上,每个所述目标域名的右侧/左侧均连接有一条所述横链,每条所述横链上按时间先后顺序从左到右/从右到左依次排列有对相应目标域名发起域名解析请求的主机身份信息;所述目标域名和所述主机身份信息均从所述域名解析请求中提取得到。
7.根据权利要求6所述的失陷主机确定方法,其特征在于,还包括:
清理每条所述横链中距上次出现超过第一预设时长的主机身份信息;
和/或,
清理所述竖链上距上次出现超过第二预设时长的目标域名。
8.一种失陷主机确定系统,其特征在于,包括:
防火墙,用于从外发数据包中提取得到目标域名;判断所述目标域名是否为恶意域名;若所述目标域名为恶意域名,则判断所述外发数据包的发出者是否为内部DNS服务器;其中,所述防火墙中内置有内部DNS服务器的身份信息;若所述外发数据包为所述内部DNS服务器发出,则向所述内部DNS服务器发送追溯指令;根据接收到的主机身份信息将对应的主机标记为失陷主机;
所述内部DNS服务器,用于接收并存储主机发来的域名解析请求;当无法对所述域名解析请求对应的目标域名完成解析时,根据所述域名解析请求生成外发数据包,并将所述外发数据包发送至外部DNS服务器;其中,所述外发数据包在到达所述外部DNS服务器之前会首先通过防火墙;接收所述防火墙发来的追溯指令;根据保存的域名解析请求确定请求解析所述目标域名的主机身份信息,并向所述防火墙返回所述主机身份信息。
9.一种防火墙,其特征在于,包括:
存储器,用于存储防火墙安全程序;
处理器,用于执行所述防火墙安全程序时实现如权利要求1至3任一项所述的失陷主机确定方法。
10.一种内部DNS服务器,其特征在于,包括:
存储器,用于存储内部DNS服务器安全程序;
处理器,用于执行所述内部DNS服务器安全程序时实现如权利要求4至7任一项所述的失陷主机确定方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有防火墙安全程序和/或内部DNS服务器安全程序,所述防火墙安全程序被处理器执行时实现如权利要求1至3任一项所述的失陷主机确定方法,所述内部DNS服务器安全程序被处理器执行时实现如权利要求4至7任一项所述的失陷主机确定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910867231.5A CN110572406B (zh) | 2019-09-12 | 2019-09-12 | 一种失陷主机确定方法、系统及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910867231.5A CN110572406B (zh) | 2019-09-12 | 2019-09-12 | 一种失陷主机确定方法、系统及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110572406A true CN110572406A (zh) | 2019-12-13 |
| CN110572406B CN110572406B (zh) | 2022-03-22 |
Family
ID=68779864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910867231.5A Active CN110572406B (zh) | 2019-09-12 | 2019-09-12 | 一种失陷主机确定方法、系统及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110572406B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111641733A (zh) * | 2020-06-07 | 2020-09-08 | 深圳市乙辰科技股份有限公司 | 一种网桥设备管理方法、装置和可读存储介质 |
| CN111818073A (zh) * | 2020-07-16 | 2020-10-23 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、设备及介质 |
| CN111988447A (zh) * | 2020-09-01 | 2020-11-24 | 北京微步在线科技有限公司 | 网络安全防护方法及dns递归服务器 |
| CN113381962A (zh) * | 2020-02-25 | 2021-09-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置和存储介质 |
| WO2023050933A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| US9189626B1 (en) * | 2013-09-24 | 2015-11-17 | Symantec Corporation | Techniques for detecting malicious code |
| CN108076041A (zh) * | 2017-10-23 | 2018-05-25 | 中国银联股份有限公司 | 一种dns流量检测方法以及dns流量检测系统 |
| US20180351972A1 (en) * | 2017-05-31 | 2018-12-06 | Infoblox Inc. | Inline dga detection with deep networks |
| KR101961451B1 (ko) * | 2018-10-11 | 2019-03-22 | 주식회사 에프원시큐리티 | Dns 서버에 기반한 감염 시스템의 원점 추적 방법 및 시스템 |
| US20190215331A1 (en) * | 2018-01-10 | 2019-07-11 | AVAST Software s.r.o. | Cloud-based anomalous traffic detection and protection in a remote network via dns properties |
-
2019
- 2019-09-12 CN CN201910867231.5A patent/CN110572406B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| US9189626B1 (en) * | 2013-09-24 | 2015-11-17 | Symantec Corporation | Techniques for detecting malicious code |
| US20180351972A1 (en) * | 2017-05-31 | 2018-12-06 | Infoblox Inc. | Inline dga detection with deep networks |
| CN108076041A (zh) * | 2017-10-23 | 2018-05-25 | 中国银联股份有限公司 | 一种dns流量检测方法以及dns流量检测系统 |
| US20190215331A1 (en) * | 2018-01-10 | 2019-07-11 | AVAST Software s.r.o. | Cloud-based anomalous traffic detection and protection in a remote network via dns properties |
| KR101961451B1 (ko) * | 2018-10-11 | 2019-03-22 | 주식회사 에프원시큐리티 | Dns 서버에 기반한 감염 시스템의 원점 추적 방법 및 시스템 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113381962A (zh) * | 2020-02-25 | 2021-09-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置和存储介质 |
| CN111641733A (zh) * | 2020-06-07 | 2020-09-08 | 深圳市乙辰科技股份有限公司 | 一种网桥设备管理方法、装置和可读存储介质 |
| CN111641733B (zh) * | 2020-06-07 | 2021-04-02 | 深圳市乙辰科技股份有限公司 | 一种网桥设备管理方法、装置和可读存储介质 |
| CN111818073A (zh) * | 2020-07-16 | 2020-10-23 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、设备及介质 |
| CN111818073B (zh) * | 2020-07-16 | 2022-08-09 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、设备及介质 |
| CN111988447A (zh) * | 2020-09-01 | 2020-11-24 | 北京微步在线科技有限公司 | 网络安全防护方法及dns递归服务器 |
| WO2023050933A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110572406B (zh) | 2022-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110572406B (zh) | 一种失陷主机确定方法、系统及相关装置 | |
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CN112398782A (zh) | 网络资产的识别方法、装置、介质及设备 | |
| WO2015158193A1 (zh) | 提供根域名解析服务的方法和系统 | |
| US11509690B2 (en) | Management of botnet attacks to a computer network | |
| CN112929326A (zh) | 恶意域名访问的检测方法、装置及计算机可读存储介质 | |
| WO2017067443A1 (zh) | 一种安全域名系统及其故障处理方法 | |
| CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| CN111818073B (zh) | 一种失陷主机检测方法、装置、设备及介质 | |
| CN112738095A (zh) | 一种检测非法外联的方法、装置、系统、存储介质及设备 | |
| CN113472772B (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| CN105245550A (zh) | 域名劫持判定方法和装置 | |
| US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
| CN112073439A (zh) | 一种安全上网控制方法、网关设备及存储介质 | |
| CN108076003A (zh) | 会话劫持的检测方法及装置 | |
| CN103701816A (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| US20230291715A1 (en) | System and method for dns tunneling protection | |
| CN113411333A (zh) | 一种越权访问漏洞检测方法、装置、系统和存储介质 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| JP2003263376A (ja) | ファイアウォールのセキュリティ管理方法及びその管理プログラム | |
| US11811806B2 (en) | System and apparatus for internet traffic inspection via localized DNS caching | |
| US7664950B2 (en) | Method for dynamically changing intrusion detection rule in kernel level intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |