CN110868381B - 基于dns解析结果触发的流量数据收集方法、装置及电子设备 - Google Patents
基于dns解析结果触发的流量数据收集方法、装置及电子设备 Download PDFInfo
- Publication number
- CN110868381B CN110868381B CN201811561121.8A CN201811561121A CN110868381B CN 110868381 B CN110868381 B CN 110868381B CN 201811561121 A CN201811561121 A CN 201811561121A CN 110868381 B CN110868381 B CN 110868381B
- Authority
- CN
- China
- Prior art keywords
- dns
- record
- library
- matched
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例公开一种基于DNS解析结果触发的流量数据收集方法、装置及电子设备,能够解决现有技术中无法提供足够多的有效线索对Ioc检测结果进行分析研判的问题。所述方法包括:对DNS流量进行DNS解析;判断DNS解析结果是否是DNS响应;若所述DNS解析结果是DNS响应,则对所述DNS解析结果进行入侵威胁指标判断;若判定所述DNS解析结果命中入侵威胁指标,则生成关于所述DNS解析结果的记录;从所述记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据。本发明收集可能具有威胁的解析对象的相关流量数据,适用于各种网络安全防护产品。
Description
技术领域
本发明涉及安全防护技术领域,尤其涉及一种基于DNS解析结果触发的流量数据收集方法、装置及电子设备。
背景技术
当前常用的入侵威胁指标(IoC:Indicator of Compromise)的判断方法,依赖于对主机产生的DNS解析结果进行检测,例如检测DNS解析结果中的解析对象是否能在预先设置的入侵威胁指标匹配库中匹配到,若能匹配到,则判定相关解析对象具有威胁(例如被恶意代码感染)。目前,若DNS解析结果被IoC检测方法进行判定为具有威胁,还需要人工介入进一步确认判定是否准确,而此时威胁流量已经流过了,可用于研判的数据源有限。
可见,现有技术中对DNS解析结果进行IoC检测后,由于只记录了DNS解析信息,通常无法提供足够多的有效线索进行进一步的分析研判,对是否误报、是否感染往往得不到充分证据。
发明内容
有鉴于此,本发明实施例提供一种基于DNS解析结果触发的流量数据收集方法、装置及电子设备,能够解决现有技术中无法提供足够多的有效线索对Ioc检测结果进行分析研判的问题。
第一方面,本发明实施例提供一种基于DNS解析结果触发的流量数据收集方法,包括:对DNS流量进行DNS解析;判断DNS解析结果是否是DNS响应;若所述DNS解析结果是DNS响应,则对所述DNS解析结果进行入侵威胁指标判断;若判定所述DNS解析结果命中入侵威胁指标,则生成关于所述DNS解析结果的记录;从所述记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据。
结合第一方面,在第一方面的第一种实施方式中,所述对所述DNS解析结果进行入侵威胁指标判断,包括:判断所述DNS解析结果中的解析对象是否命中预先设置的入侵威胁指标匹配库;所述入侵威胁指标匹配库中存储有入侵威胁指标。
结合第一方面,在第一方面的第二种实施方式中,所述生成关于所述DNS解析结果的记录,包括:获取所述DNS解析结果中的解析类型;若所述DNS解析结果中的解析类型为A记录或AAAA记录,则将所述DNS解析结果中的解析对象、A记录或AAAA记录的IP地址、录入时间作为一条记录写入预先设置的待匹配IP库。
结合第一方面的第二种实施方式,在第一方面的第三种实施例中,所述从所述记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据,包括:根据所述待匹配IP库中的记录,收集录入时间与当前时间之间的时间间隔小于所述预设时长的记录对应IP地址流过的流量数据。
结合第一方面的第二种实施方式,在第一方面的第四种实施例中,在获取所述DNS解析结果中的解析类型之后,还包括:若所述DNS解析结果中的解析类型为CNAME记录,则将所述DNS解析结果中的解析对象、CNAME记录的域名、录入时间作为一条记录写入预先设置的待匹配域名库;跟踪所述待匹配域名库中记录的域名返回的DNS解析结果;判断所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型的值是否为IP地址;当所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型的值为IP地址时,将该IP地址及其对应的DNS解析结果中的解析对象、录入时间作为一条记录写入所述待匹配IP库,同时删除所述待匹配域名库中的相应记录。
结合第一方面的第二实施例、第一方面的第三实施例或第一方面的第四实施例,在第一方面的第五种实施例中,还包括:在录入时间与当前时间之间的时间间隔达到所述预设时长时,删除所述待匹配IP库和/或待匹配域名库中的相应记录及已收集的该记录对应的流量数据;或者,在每个预设检查周期到达时,删除所述待匹配IP库和/或待匹配域名库中录入时间与检查周期到达时刻之间的时间间隔达到所述预设时长的记录及已收集的该记录对应的流量数据。
结合第一方面,在第一方面的第六种实施例中,所述从所述记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据之后,还包括:通过预设界面接收对已收集的流量数据的操作请求;根据所述操作请求进行相应的操作。
第二方面,本发明实施例提供一种基于DNS解析结果触发的流量数据收集装置,包括:DNS解析模块,用于对DNS流量进行DNS解析;DNS响应类型判断模块,用于判断DNS解析结果是否是DNS响应;入侵判断模块,用于在所述DNS响应类型判断模块的判断结果为是时,对所述DNS解析结果进行入侵威胁指标判断;记录模块,用于在所述入侵判断模块判定所述DNS解析结果命中入侵威胁指标时,生成关于所述DNS解析结果的记录;流量数据收集模块,用于从所述记录模块生成的每条记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据。
结合第二方面,在第二方面的第一种实施方式中,所述入侵判断模块,具体用于判断所述DNS解析结果中的解析对象是否命中预先设置的入侵威胁指标匹配库;所述入侵威胁指标匹配库中存储有入侵威胁指标。
结合第二方面,在第二方面的第二种实施方式中,所述记录模块,包括:解析类型获取子模块,用于获取所述DNS解析结果中的解析类型;第一写入子模块,用于在所述解析类型获取子模块获取的所述DNS解析结果中的解析类型为A记录或AAAA记录时,将所述DNS解析结果中的解析对象、A记录或AAAA记录的IP地址、录入时间作为一条记录写入预先设置的待匹配IP库。
结合第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述流量数据收集模块,具体用于根据所述待匹配IP库中的记录,收集录入时间与当前时间之间的时间间隔小于所述预设时长的记录对应IP地址流过的流量数据。
结合第二方面的第二种实施方式,在第二方面的第四种实施方式中,所述记录模块,包括:第二写入子模块,用于在所述解析类型获取子模块获取的所述DNS解析结果中的解析类型为CNAME记录时,将所述DNS解析结果中的解析对象、CNAME记录的域名、录入时间作为一条记录写入预先设置的待匹配域名库;跟踪子模块,用于跟踪所述待匹配域名库中记录的域名返回的DNS解析结果;判断子模块,用于判断跟踪子模块跟踪到的所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型的值是否为IP地址;其中,所述第一写入子模块,还用于在所述判断子模块的判断结果为是时,将所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型对应的IP地址及解析对象、录入时间作为一条记录写入所述待匹配IP库,同时删除所述待匹配域名库中的相应记录。
结合第二方面的第二种实施方式或第三种实施方式或第四种实施方式,在第二方面的第五种实施方式中,所述装置还包括:删除模块,用于在录入时间与当前时间之间的时间间隔达到所述预设时长时,删除所述待匹配IP库和/或待匹配域名库中的相应记录及已收集的该记录对应的流量数据;或者,用于在每个预设检查周期到达时,删除所述待匹配IP库和/或待匹配域名库中录入时间与检查周期到达时刻之间的时间间隔达到所述预设时长的记录及已收集的该记录对应的流量数据。
结合第二方面,在第二方面的第六种实施方式中,所述装置还包括:接收模块,用于通过预设界面接收对已收集的流量数据的操作请求;操作模块,用于根据所述操作请求进行相应的操作。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施方式所述的基于DNS解析结果触发的流量数据收集方法。
本发明实施例提供的基于DNS解析结果触发的流量数据收集方法、装置及电子设备,当DNS解析结果中的解析对象命中预先设置的入侵威胁指标匹配库时,即DNS解析结果被IoC检查方法判定为威胁后,在预设时间内持续的采集DNS解析结果(如A记录、AAAA记录的IP地址)的流量信息,从而能提供足够多的有效线索对DNS解析结果进行进一步分析和研判,提高判断的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明基于DNS解析结果触发的流量数据收集方法实施例一的流程示意图;
图2为本发明基于DNS解析结果触发的流量数据收集方法实施例二的流程示意图;
图3为本发明基于DNS解析结果触发的流量数据收集装置实施例一的结构示意图;
图4为本发明基于DNS解析结果触发的流量数据收集装置实施例二的结构示意图;
图5为本发明基于DNS解析结果触发的流量数据收集装置实施例三的结构示意图;
图6为本发明基于DNS解析结果触发的流量数据收集装置实施例四的结构示意图;
图7为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明基于DNS解析结果触发的流量数据收集方法实施例一的流程示意图。参看图1,本发明基于DNS解析结果触发的流量数据收集方法实施例,包括如下步骤:
如图1所示,本实施例的方法可以包括:
步骤101、对DNS流量进行DNS解析;
此步骤中,在可以通过解析DNS流量,获取DNS解析结果,此解析结果包括:待解析的对象、请求/响应类型、解析类型、值(如IP地址)等信息。解析的主要方法为依据DNS的RFC文档,如RFC 1035。可利用snort等开源项目的代码进行DNS解析。
步骤102、判断DNS解析结果是否是DNS响应;是则执行步骤103;
此步骤中,当DNS为响应类型时,即DNS服务端向DNS客户端发送所述客户端请求域名的解析结果。
步骤103、判断所述DNS解析结果是否命中入侵威胁指标;是则执行步骤104;
此步骤中,在当前的威胁环境下,威胁信息的快速传播是快速检测、响应和遏制目标攻击的关键。寻找入侵威胁指标是对付高级攻击者的有效方法。入侵威胁指标在主机或网络上被识别的入侵的鉴证物。因此,若DNS解析结果命中入侵威胁指标,则可以判定其为威胁。
在一可选实施例中,预先设置存储有入侵威胁指标的入侵威胁指标匹配库,则此步骤通过判断所述DNS解析结果中的解析对象是否命中预先设置的入侵威胁指标匹配库来判断所述DNS解析结果的相关对象是否具有威胁。
步骤104、生成关于所述DNS解析结果的记录;
优选地,此步骤可先获取所述DNS解析结果中的解析类型,若所述DNS解析结果中的解析类型为A记录或AAAA记录,则将所述DNS解析结果中的解析对象、A记录或AAAA记录的IP地址、录入时间作为一条记录写入预先设置的待匹配IP库。
步骤105、从所述记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据。
优选地,若上一步骤在待匹配IP库中写入记录,则此步骤根据所述待匹配IP库中的记录,收集录入时间与当前时间之间的时间间隔小于所述预设时长的记录对应IP地址流过的流量数据。例如:若在2018年10月1日8:00往待匹配IP库中写入了关于IP地址1.1.1.1的记录,预设时长为1小时,则从2018年10月1日8∶00开始直至2018年10月1日9:00,持续收集IP地址1.1.1.1流过的流量数据。
本实施例,当DNS解析结果中的解析对象命中预先设置的入侵威胁指标匹配库时,即DNS解析结果被IoC检查方法判定为威胁后,在预设时间内持续的采集DNS解析结果(如A记录、AAAA记录的IP地址)的流量信息,从而能提供足够多的有效线索对DNS解析结果进行进一步分析和研判,从而提高判断的准确性。
图2为本发明基于DNS解析结果触发的流量数据收集方法实施例二的流程示意图。如图2所示,本实施例的方法包括如下步骤:
步骤201、对DNS流量进行DNS解析。
本实施例中,步骤201的实施方法和上述步骤101类似,此处不再赘述。
步骤202、判断DNS解析结果是否是DNS响应;若是,则执行步骤203。
本实施例中,步骤202的实施方法和上述步骤102类似,此处不再赘述。
步骤203、判断所述DNS解析结果中的解析对象是否命中预先设置的入侵威胁指标匹配库;若是,则执行步骤204。
其中,所述入侵威胁指标匹配库中存储有入侵威胁指标。
步骤204、获取所述DNS解析结果中的解析类型。
其中,根据现有DNS解析结果中的解析类型定义,解析类型可包括:A记录、AAAA记录、CNAME记录等。此步骤中,获取当前DNS解析结果中的解析类型,若所述DNS解析结果中的解析类型为A记录或AAAA记录,则执行步骤205,若所述DNS解析结果中的解析类型为CNAME记录,则执行步骤206。
步骤205、将所述DNS解析结果中的解析对象、A记录或AAAA记录的IP地址、录入时间作为一条记录写入预先设置的待匹配IP库,并跳转执行步骤210。
步骤206、将所述DNS解析结果中的解析对象、CNAME记录的域名、录入时间作为一条记录写入预先设置的待匹配域名库。
步骤207、跟踪待匹配域名库中记录的域名返回的DNS解析结果。
步骤208、判断待匹配域名库中记录的域名返回的DNS解析结果中的解析类型的值是否为IP地址;若是,则执行步骤209,否则,返回执行本步骤。
本实施例中,若步骤205中获取到当前操作的DNS解析结果中的解析类型为CNANE,则将该域名写入待匹配域名库,并持续跟踪该域名返回的DNS解析结果,直至该域名返回的DNS解析结果中为IP地址时才停止跟踪。
例如:一个DNS客户端到DNS服务器的请求1中,直接请求xxx.example.com,则接收请求1的DNS服务器反馈该DNS客户端响应1,通过本实施例步骤201-204后,在步骤205中获知该DSN响应1的解析类型为CNAME,CNAME的值为a.xxx.example.com,则随后跟踪到该DNS客户端向DNS服务器发送的请求2为a.xxx.example.com,DNS服务器向该DNS客户端的响应2的解析类型为A,对应的值为IP地址1.1.1.1,则执行步骤210,在待匹配IP库中记录IP地址1.1.1.1及其相应的DNS解析信息。
步骤209、将所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型的值为IP地址的DNS解析结果中的解析对象、IP地址、录入时间作为一条记录写入所述待匹配IP库,同时删除所述待匹配域名库中的相应记录。
步骤210、根据所述待匹配IP库中的记录,收集录入时间与当前时间之间的时间间隔小于所述预设时长的记录对应IP地址流过的流量数据。
本实施例中,步骤211的实施方法和上述步骤105类似,此处不再赘述。
本实施例,对DNS解析结果进行IoC判断,当DNS解析结果被判定为恶意时,其A记录、CNAME记录、AAAA记录被记录下来,并自动在可配置时间内对A记录、AAAA记录流过的数据包进行捕获,同时对CNAME返回的记录进行跟踪,直到其返回的记录为A记录或AAAA记录为止。不仅可以对判断出具有威胁的DNS解析结果对应的对象的流量数据包进行收集,还可以对CNAME返回的记录进行持续跟踪,进一步降低了网络安全威胁。
在一可选实施例中,在上述方法实施例一或实施例二的基础上,本发明实施例提供的方法还可包括对待匹配IP库和/或待匹配域名库中的记录进行管理的步骤,具体可以包括:在录入时间与当前时间之间的时间间隔达到所述预设时长时,删除所述待匹配IP库和/或待匹配域名库中的相应记录及已收集的该记录对应的流量数据;或者,在每个预设检查周期到达时,删除所述待匹配IP库和/或待匹配域名库中录入时间与检查周期到达时刻之间的时间间隔达到所述预设时长的记录及已收集的该记录对应的流量数据。本实施例,可以实时或定期删除录入时间达到预设时长的记录及流量数据,降低用于存储记录及流量数据的存储单元负载,提高运行效率。
在另一可选实施例中,在上述步骤105/211之后,还可包括步骤:通过预设界面接收对已收集的流量数据的操作请求;根据所述操作请求进行相应的操作。根据本实施例,用户可以通过预设界面(例如WEB界面)对已收集的流量数据进行管理,管理可包括添加、删除、下载操作等。进一步地,还可以使用户涌过预设界面对待匹配IP库、待匹配域名库中存储的信息进行直接管理。
对应于本发明实施例提供的基于DNS解析结果触发的流量数据收集方法,本发明实施例还提供基于DNS解析结果触发的流量数据收集装置,图3为本发明基于DNS解析结果触发的流量数据收集装置实施例一的结构示意图。如图3所示,该装置可以包括:DNS解析模块11、DNS响应类型判断模块12、入侵判断模块13、记录模块14和流量数据收集模块15;其中:DNS解析模块11,用于对DNS流量进行DNS解析;DNS响应类型判断模块12,用于判断DNS解析模块11得到的DNS解析结果是否是DNS响应;入侵判断模块13,用于在DNS响应类型判断模块12的判断结果为是时,对DNS解析模块11得到的DNS解析结果进行入侵威胁指标判断;记录模块14,用于在入侵判断模块13判定所述DNS解析结果命中入侵威胁指标时,生成关于所述DNS解析结果的记录;流量数据收集模块15,用于从记录模块14生成的每条记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据。流量数据收集模块15有众多开源实现,在网络流量安全领域也属于周知知识。通常的IP地址提取方法为依据IP协议报文进行检测。通常的流量信息收集方法为使用pcap形式写入磁盘,可参考libpcap等开源项目,此处不再赘述。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
优选地,图3所示装置中,入侵判断模块13,具体用于判断DNS解析结果中的解析对象是否命中预先设置的入侵威胁指标匹配库;所述入侵威胁指标匹配库中存储有入侵威胁指标。
图4为本发明基于DNS解析结果触发的流量数据收集装置实施例二的结构示意图。如图4所示,本实施例的装置在图3所示装置结构的基础上,进一步地,记录模块块14可以包括:解析类型获取子模块141和第一写入子模块142;其中,解析类型获取子模块141,用于获取所述DNS解析结果中的解析类型;第一写入子模块142,用于在解析类型获取子模块141获取的所述DNS解析结果中的解析类型为A记录或AAAA记录时,将所述DNS解析结果中的解析对象、A记录或AAAA记录的IP地址、录入时间作为一条记录写入预先设置的待匹配IP库。
进一步地,图4所示实施例中,流量数据收集模块15,具体用于根据所述待匹配IP库中的记录,收集录入时间与当前时间之间的时间间隔小于所述预设时长的记录对应IP地址流过的流量数据。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图5为本发明基于DNS解析结果触发的流量数据收集装置实施例三的结构示意图。如图5所示,本实施例的装置在图4所示装置结构的基础上,进一步地,记录模块14还可以包括:第二写入子模块143、跟踪子模块144和判断子模块145;其中,第二写入子模块143,用于在解析类型获取子模块141获取的所述DNS解析结果中的解析类型为CNAME记录时,将所述DNS解析结果中的解析对象、CNAME记录的域名、录入时间作为一条记录写入预先设置的待匹配域名库;跟踪子模块144,用于跟踪所述待匹配域名库中记录的域名返回的DNS解析结果;判断子模块145,用于判断跟踪子模块144跟踪到的所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型的值是否为IP地址;第一写入子模块142,还用于在判断子模块145的判断结果为是时,将所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型对应的IP地址及解析对象、录入时间作为一条记录写入所述待匹配IP库,同时删除所述待匹配域名库中的相应记录。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
优选地,在一可选实施例中,图4或图5所示装置还可以包括:删除模块,用于在录入时间与当前时间之间的时间间隔达到所述预设时长时,删除所述待匹配IP库和/或待匹配域名库中的相应记录及已收集的该记录对应的流量数据;或者,用于在每个预设检查周期到达时,删除所述待匹配IP库和/或待匹配域名库中录入时间与检查周期到达时刻之间的时间间隔达到所述预设时长的记录及已收集的该记录对应的流量数据。
图6为本发明基于DNS解析结果触发的流量数据收集装置实施例四的结构示意图。如图6所示,本实施例的装置在图3所示装置结构的基础上,进一步地,还可包括:接收模块16和操作模块17;其中,接收模块16,用于通过预设界面接收对流量数据收集模块15已收集的流量数据的操作请求;操作模块17,用于根据所述操作请求对相应的流量数据进行相应的操作。从而可使用户通过预设界面对已收集的流量数据或者进一步对待匹配IP库和待匹配域名库进行数据管理。
本发明实施例还提供一种电子设备。图7为本发明电子设备一个实施例的结构示意图,可以实现本发明图1或图2所示实施例的流程,如图7所示,上述电子设备可以包括:壳体21、处理器22、存储器23、电路板24和电源电路25,其中,电路板24安置在壳体21围成的空间内部,处理器22和存储器23设置在电路板24上;电源电路25,用于为上述电子设备的各个电路或器件供电;存储器23用于存储可执行程序代码;处理器22通过读取存储器23中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的基于DNS解析结果触发的流量数据收集方法。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放模块(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的防护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的防护范围之内。因此,本发明的防护范围应以权利要求的防护范围为准。
Claims (13)
1.一种基于DNS解析结果触发的流量数据收集方法,其特征在于,包括:
对DNS流量进行DNS解析;
判断DNS解析结果是否是DNS响应;
若所述DNS解析结果是DNS响应,则对所述DNS解析结果进行入侵威胁指标判断;
若判定所述DNS解析结果命中入侵威胁指标,则生成关于所述DNS解析结果的记录;
从所述记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据;
其中,所述生成关于所述DNS解析结果的记录,包括:
获取所述DNS解析结果中的解析类型;
若所述DNS解析结果中的解析类型为A记录或AAAA记录,则将所述DNS解析结果中的解析对象、A记录或AAAA记录的IP地址、录入时间作为一条记录写入预先设置的待匹配IP库。
2.根据权利要求1所述的基于DNS解析结果触发的流量数据收集方法,其特征在于,所述对所述DNS解析结果进行入侵威胁指标判断,包括:
判断所述DNS解析结果中的解析对象是否命中预先设置的入侵威胁指标匹配库;所述入侵威胁指标匹配库中存储有入侵威胁指标。
3.根据权利要求1所述的基于DNS解析结果触发的流量数据收集方法,其特征在于,所述从所述记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据,包括:
根据所述待匹配IP库中的记录,收集录入时间与当前时间之间的时间间隔小于所述预设时长的记录对应IP地址流过的流量数据。
4.根据权利要求1所述的基于DNS解析结果触发的流量数据收集方法,其特征在于,在获取所述DNS解析结果中的解析类型之后,还包括:
若所述DNS解析结果中的解析类型为CNAME记录,则将所述DNS解析结果中的解析对象、CNAME记录的域名、录入时间作为一条记录写入预先设置的待匹配域名库;
跟踪所述待匹配域名库中记录的域名返回的DNS解析结果;
判断所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型的值是否为IP地址;
当所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型的值为IP地址时,将该IP地址及其对应的DNS解析结果中的解析对象、录入时间作为一条记录写入所述待匹配IP库,同时删除所述待匹配域名库中的相应记录。
5.根据权利要求1或3或4所述的基于DNS解析结果触发的流量数据收集方法,其特征在于,还包括:
在录入时间与当前时间之间的时间间隔达到所述预设时长时,删除所述待匹配IP库和/或待匹配域名库中的相应记录及已收集的该记录对应的流量数据;或者,
在每个预设检查周期到达时,删除所述待匹配IP库和/或待匹配域名库中录入时间与检查周期到达时刻之间的时间间隔达到所述预设时长的记录及已收集的该记录对应的流量数据。
6.根据权利要求1所述的基于DNS解析结果触发的流量数据收集方法,其特征在于,所述从所述记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据之后,还包括:
通过预设界面接收对已收集的流量数据的操作请求;
根据所述操作请求进行相应的操作。
7.一种基于DNS解析结果触发的流量数据收集装置,其特征在于,包括:
DNS解析模块,用于对DNS流量进行DNS解析;
DNS响应类型判断模块,用于判断DNS解析结果是否是DNS响应;
入侵判断模块,用于在所述DNS响应类型判断模块的判断结果为是时,对所述DNS解析结果进行入侵威胁指标判断;
记录模块,用于在所述入侵判断模块判定所述DNS解析结果命中入侵威胁指标时,生成关于所述DNS解析结果的记录;
流量数据收集模块,用于从所述记录模块生成的每条记录的录入时间开始至预设时长届满前,收集所述记录对应IP地址流过的流量数据;
其中,所述记录模块,包括:
解析类型获取子模块,用于获取所述DNS解析结果中的解析类型;
第一写入子模块,用于在所述解析类型获取子模块获取的所述DNS解析结果中的解析类型为A记录或AAAA记录时,将所述DNS解析结果中的解析对象、A记录或AAAA记录的IP地址、录入时间作为一条记录写入预先设置的待匹配IP库。
8.根据权利要求7所述的基于DNS解析结果触发的流量数据收集装置,其特征在于,所述入侵判断模块,具体用于判断所述DNS解析结果中的解析对象是否命中预先设置的入侵威胁指标匹配库;所述入侵威胁指标匹配库中存储有入侵威胁指标。
9.根据权利要求7所述的基于DNS解析结果触发的流量数据收集装置,所述流量数据收集模块,具体用于根据所述待匹配IP库中的记录,收集录入时间与当前时间之间的时间间隔小于所述预设时长的记录对应IP地址流过的流量数据。
10.根据权利要求7所述的基于DNS解析结果触发的流量数据收集装置,其特征在于,所述记录模块,还包括:
第二写入子模块,用于在所述解析类型获取子模块获取的所述DNS解析结果中的解析类型为CNAME记录时,将所述DNS解析结果中的解析对象、CNAME记录的域名、录入时间作为一条记录写入预先设置的待匹配域名库;
跟踪子模块,用于跟踪所述待匹配域名库中记录的域名返回的DNS解析结果;
判断子模块,用于判断跟踪子模块跟踪到的所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型的值是否为IP地址;
其中,所述第一写入子模块,还用于在所述判断子模块的判断结果为是时,将所述待匹配域名库中记录的域名返回的DNS解析结果中的解析类型对应的IP地址及解析对象、录入时间作为一条记录写入所述待匹配IP库,同时删除所述待匹配域名库中的相应记录。
11.根据权利要求7或9或10所述的基于DNS解析结果触发的流量数据收集装置,其特征在于,还包括:
删除模块,用于在录入时间与当前时间之间的时间间隔达到所述预设时长时,删除所述待匹配IP库和/或待匹配域名库中的相应记录及已收集的该记录对应的流量数据;或者,用于在每个预设检查周期到达时,删除所述待匹配IP库和/或待匹配域名库中录入时间与检查周期到达时刻之间的时间间隔达到所述预设时长的记录及已收集的该记录对应的流量数据。
12.如权利要求7所述的基于DNS解析结果触发的流量数据收集装置,其特征在于,还包括:
接收模块,用于通过预设界面接收对已收集的流量数据的操作请求;
操作模块,用于根据所述操作请求进行相应的操作。
13.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-6任一项所述的基于DNS解析结果触发的流量数据收集方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811561121.8A CN110868381B (zh) | 2018-12-19 | 2018-12-19 | 基于dns解析结果触发的流量数据收集方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811561121.8A CN110868381B (zh) | 2018-12-19 | 2018-12-19 | 基于dns解析结果触发的流量数据收集方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110868381A CN110868381A (zh) | 2020-03-06 |
| CN110868381B true CN110868381B (zh) | 2022-04-19 |
Family
ID=69651593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811561121.8A Active CN110868381B (zh) | 2018-12-19 | 2018-12-19 | 基于dns解析结果触发的流量数据收集方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110868381B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101640679A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 域名解析代理方法和装置 |
| CN102035696A (zh) * | 2010-12-22 | 2011-04-27 | 中国工商银行股份有限公司 | 一种网站访问性能监测方法、装置及系统 |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN110913032A (zh) * | 2019-11-18 | 2020-03-24 | 国家电网有限公司 | 一种电网威胁情报实现dns域名请求分析方法及其平台 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10819724B2 (en) * | 2017-04-03 | 2020-10-27 | Royal Bank Of Canada | Systems and methods for cyberbot network detection |
| US20180324207A1 (en) * | 2017-05-05 | 2018-11-08 | Servicenow, Inc. | Network security threat intelligence sharing |
-
2018
- 2018-12-19 CN CN201811561121.8A patent/CN110868381B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101640679A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 域名解析代理方法和装置 |
| CN102035696A (zh) * | 2010-12-22 | 2011-04-27 | 中国工商银行股份有限公司 | 一种网站访问性能监测方法、装置及系统 |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN110913032A (zh) * | 2019-11-18 | 2020-03-24 | 国家电网有限公司 | 一种电网威胁情报实现dns域名请求分析方法及其平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110868381A (zh) | 2020-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10867034B2 (en) | Method for detecting a cyber attack | |
| CN107465651B (zh) | 网络攻击检测方法及装置 | |
| Liu et al. | Cloudy with a chance of breach: Forecasting cyber security incidents | |
| CN107342913B (zh) | 一种cdn节点的探测方法和装置 | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| EP3852327A1 (en) | Exception access behavior identification method and server | |
| CN108322350B (zh) | 业务监控方法及装置和电子设备 | |
| CN110868379B (zh) | 基于dns解析报文的入侵威胁指标拓展方法、装置及电子设备 | |
| CN107800686B (zh) | 一种钓鱼网站识别方法和装置 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
| EP3913888A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
| CN106354725B (zh) | 一种事件防刷方法、装置、服务器及系统 | |
| CN107135199B (zh) | 网页后门的检测方法和装置 | |
| CN110891071A (zh) | 一种网络流量信息获取方法、装置及其相关设备 | |
| CN114189378A (zh) | 一种网络安全事件分析方法、装置、电子设备及存储介质 | |
| CN107612946B (zh) | Ip地址的检测方法、检测装置和电子设备 | |
| CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
| CN110868381B (zh) | 基于dns解析结果触发的流量数据收集方法、装置及电子设备 | |
| CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 | |
| CN107332856B (zh) | 地址信息的检测方法、装置、存储介质和电子装置 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
| CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
| CN108881151B (zh) | 一种无关节点确定方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |