CN111600842B - 一种可信威胁情报的物联网终端安全控制方法以及系统 - Google Patents

Abstract

本发明公开了一种可信威胁情报的物联网终端安全控制方法以及系统，属于电网终端安全技术领域。本发明一种可信威胁情报的物联网终端安全控制方法，评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序，便于客户及时确定影响范围，形成应急处理方案。本发明利用DNS缓存探测技术，结合泛在电力物联网威胁情报，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

Description

一种可信威胁情报的物联网终端安全控制方法以及系统

技术领域

本发明涉及一种可信威胁情报的物联网终端安全控制方法以及系统，属于电网终端安全技术领域。

背景技术

中国专利(授权公告号CN103327015B)公开了一种基于DNS缓存探测的特定区域恶意代码感染主机规模估计方法。该方法通过对特定区域范围内DNS解析器进行探测，收集恶意域名在各个DNS解析器中的缓存信息，并基于该信息构建贝叶斯预测滤波模型，估计恶意代码在相应网络域中感染主机的规模。

但上述专利中并未提及如何维护威胁情报使其长期有效，在实际应用中存在威胁情报可信的问题。

进一步，上述方法在探测服务器上进行的DNS缓存探测方法在实际应用中会出现运营商DNS缓存劫持，运营商为了节省宽带结算费用，会将探测服务器发送的DNS请求拦截转发到运营商自建的DNS服务器，而后运营商通过修改目标地址的方法将解析请求返回给探测服务器。运营商DNS缓存劫持过程导致无法将探测数据发送到被监控的DNS服务器上，导致缓存探测结果准确性大大降低，无法获取实际需探测DNS服务器上的缓存数据。

发明内容

针对现有技术的缺陷，本发明的目的在于提供一种通过机器学习的方法实现威胁情报可信评估，包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互等功能；通过威胁情报可信评估获取准确的威胁情报，极大的提高了终端威胁告警精准性，减少误报、漏报等问题的物联网终端安全控制方法以及系统。

本发明的另一目的在于提供一种在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；

如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求的能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据的可信威胁情报的物联网终端安全控制方法以及系统。

为实现上述目的一，本发明的技术方案为：

一种可信威胁情报的物联网终端安全控制方法，

主要包括以下步骤：

第一步，探测服务器向被检测DNS服务器发送缓存探测请求；

第二步，从可信威胁情报库获取待探测域名列表；

第三步，对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

如果探测结果发现，检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；

否则进行第七步；

第四步，对探测到的存在威胁域名以及恶意程序的情报，

利用机器算法进行威胁情报可信评估，进而区分是可信情报还是不可信威胁情报，如果是可信情报，则进行第五步；

否则进行第七步；

威胁情报可信评估主要包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互；

第五步，通过一系列缓存更新时间来计算出DNS查询的总发送速率；

通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率；

根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量；

第六步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序，便于客户及时确定影响范围，形成应急处理方案；

第七步，当前网络环境安全，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。

当物联网终端感染僵尸网络等恶意程序后，受感染终端往往会通过恶意程序中预置的域名与黑客主控端建立通信连接，从而受到黑客控制，给企业网络安全带来更进一步的威胁。

本发明利用DNS缓存探测技术，结合泛在电力物联网威胁情报，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

具体来说：

1、解决泛在电力物联网痛点，弥补泛终端管控短板。

随着物联网终端设备的激增，大量物联网设备产生大量网络流量，而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的恶意程序威胁发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜在网络威胁和隐秘通信的检测能力。

2、提升公司泛在物联网终端主动防护能力

传统windows、Linux等系统可以通过安装杀毒软件实现终端管控，但泛在物联网设备种类不同、型号各异、嵌入式系统各异，导致传统的补丁升级、病毒防御、端点保护等技术无法发挥防御效果。通过引入泛在电力物联网威胁情报技术，实现对僵尸网络、蠕虫病毒、C&C节点、Tor节点、匿名代理、DGA域名、挖矿木马、间谍软件、勒索软件、攻击页面、钓鱼网站、垃圾邮件等多种类型高级威胁进行实时监测。

3、支撑护网行动，实现全网安全事件态势感知。

能够加强国网公司所属设备与系统的安全事件分析与处置，协助国网公司开展护网行动、重大活动及会议的网络安全保障，提升网络安全队伍快速响应处置能力，提高安全事件的态势感知。

4、向国家监管机关输出安全预警能力，提升工作亮点。

由于本工具不需要监控流量和日志的特性，部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用，向国家监管机关输出安全预警能力，提升工作亮点。

进一步，能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类型，深度推断恶意通信的意图及内容。

为实现上述目的二，本发明的技术方案为：

所述第一步，在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；

如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求。

本发明加入检测运营商DNS缓存劫持功能，能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据，进而提高物联网终端的安全性。

作为优选技术措施：

所述第四步，所述机器算法为TransE算法和RNN算法；利用TransE算法和RNN算法来区分可信情报和不可信威胁情报，从而达到威胁情报置信度判断。

作为优选技术措施：

可信威胁情报判断实现步骤如下：

步骤1：对多个共享平台的威胁情报文档进行分析和数据预处理，划分训练样本和测试样本集；

步骤2：将威胁情报转化为三元组结构化数据，从时间、内容和领域知识三个维度，结合TransE计算方法提取特征向量，构造输入特征空间中；

步骤3：训练集通过非监督贪婪逐层方法预训练，其中RNN算法逐层进行训练，得到每一层的参数用于初始化，顶层设置BP网络，通过反向传播网络将误差自顶向下传播，微调整个TransE网络直至收敛，得到基于TransE算法和RNN算法结合的可信判别分类器；

步骤4：将得到的特征空间输入到可信判别分类器中，得到威胁情报的二分类可信判别结果。

进一步，同时在威胁情报的基础上，利用本发明的电力物联网威胁域名推断算法，结合不同网络中域名的共生特性，将已知恶意域名的恶意行传递给未知域名，推断所有未知域名的恶意似然性，减少未知威胁域名漏报情况。

作为优选技术措施：

所述第五步，缓存的更新时间被记录在一个一维数组中，对数组中所有元素，计算数组后一个元素和前一个元素之间的差，并对这些差值求和。

作为优选技术措施：

为了测量域名的访问量，需要求出单个主机发送域名S的DNS查询速率；

这能够通过对DNS查询的到达间隔时间进行建模来得到；

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名S的DNS查询的间隔时间是独立同分布的随机变量；

在得到建模数据集之后，使用以下步骤来估测单个主机发送域名S的DNS查询的速率C：

(1)根据建模数据集，计算出每个主机发送域名S的DNS查询间隔时间序列；

(2)绘制出DNS查询间隔时间序列的累积分布函数曲线；

(3)使用指数分布对画出的累积分布函数曲线进行拟合；

(4)曲线拟合完成后，指数分布函数的参数即为单个主机发送域名S的DNS查询的速率。

作为优选技术措施：

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名q的DNS查询的间隔时间是独立同分布的随机变量；单个主机发送域名S的DNS查询的间隔时间符合指数分布。

作为优选技术措施：

n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量；

所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n，λ)；

n表示访问域名的主机数量；因此伽马分布Gamma(n，λ)的总平均速率λ符合以下公式：

λ＝nλ_c

根据公式来估测访问域名的主机数量；通过DNS缓存探测估测出了DNS查询的总发送速率λ，对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λ_c；推导主机数量为：

作为优选技术措施：

每台主机发送域名S的DNS查询的间隔时间是独立同分布的指数随机变量；通过指数随机变量的这个性质，能够推出一个结论：如果X₁+…+X_n是具有均值1/λ的独立同分布的指数随机变量，则X₁+…+X_n是具有参数为n和λ的伽马分布；

所述伽马分布的计算公式为：

伽马分布的随机变量X的概率密度函数为：

其中伽马函数定义为：

指数分布是a＝1的伽马分布，所以当n＝1时即具有密度为：

则由指数随机变量可以推导为：

一种可信威胁情报的物联网终端安全控制系统，

应用上述的一种可信威胁情报的物联网终端安全控制方法；

主要包括：信息采集层、数据分析层、功能层、展示层；

1、信息采集层

提供数据采集及处理功能，对系统基础数据进行预处理，完成DNS缓存记录探测、DNS解析日志收集、威胁情报数据接入、外部API接口数据接入等多种处理环节，然后上传到大数据处理平台进行统一分析处理；

2、数据分析层

主要提供系统实时与异步计算服务功能以及安全大数据分析服务；主要包含对信息采集层的数据预处理、数据存储，通过威胁情报匹配、日志分析、威胁评估算法等技术手段对元数据进行综合分析，分析结果结合原始记录及威胁摘要信息进行威胁确认，更新至系统告警事件库和威胁信誉库；

3、功能层

提供系统安全功能服务，主要包含DNS缓存探测服务、恶意威胁监测算法、威胁规模评估算法、失陷资产追溯服务、关联威胁推断算法等功能，支撑系统安全功能实现；

4、展示层

提供一套B/S架构的综合应用系统，实现对系统分析结果展示与数据分析业务；包含威胁态势感知、风险预警、统计分析、威胁处置等可视化呈现功能。

与现有技术相比，本发明具有以下有益效果：

本发明利用DNS缓存探测技术，结合泛在电力物联网威胁情报，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

具体来说：

1、解决泛在电力物联网痛点，弥补泛终端管控短板。

随着物联网终端设备的激增，大量物联网设备产生大量网络流量，而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的恶意程序威胁发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜在网络威胁和隐秘通信的检测能力。

2、提升公司泛在物联网终端主动防护能力

传统windows、Linux等系统可以通过安装杀毒软件实现终端管控，但泛在物联网设备种类不同、型号各异、嵌入式系统各异，导致传统的补丁升级、病毒防御、端点保护等技术无法发挥防御效果。通过引入泛在电力物联网威胁情报技术，实现对僵尸网络、蠕虫病毒、C&C节点、Tor节点、匿名代理、DGA域名、挖矿木马、间谍软件、勒索软件、攻击页面、钓鱼网站、垃圾邮件等多种类型高级威胁进行实时监测。

3、支撑护网行动，实现全网安全事件态势感知。

能够加强国网公司所属设备与系统的安全事件分析与处置，协助国网公司开展护网行动、重大活动及会议的网络安全保障，提升网络安全队伍快速响应处置能力，提高安全事件的态势感知。

4、向国家监管机关输出安全预警能力，提升工作亮点。

由于本工具不需要监控流量和日志的特性，部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用，向国家监管机关输出安全预警能力，提升工作亮点。

进一步，能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类型，深度推断恶意通信的意图及内容。

附图说明

图1为本发明DNS缓存探测工作流程图；

图2为本发明威胁情报可信判别原理图；

图3为本发明威胁情报可信判别流程图；

图4为应用本发明的管控示图；

图5为本发明恶意程序在线感知监测系统总体架构。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

相反，本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步，为了使公众对本发明有更好的了解，在下文对本发明的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。

如图1-5所示，一种可信威胁情报的物联网终端安全控制方法，

主要包括以下步骤：

第一步，探测服务器向被检测DNS服务器发送缓存探测请求；

第二步，从可信威胁情报库获取待探测域名列表；

第三步，对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再向等待检测威胁情报列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

如果探测结果发现，检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；

否则进行第七步；

第四步，对探测到的存在威胁域名以及恶意程序的情报，利用机器算法区分是可信情报还是不可信威胁情报，如果是可信情报，则进行第五步；

否则进行第七步；

第五步，通过一系列缓存更新时间来计算出DNS查询的总发送速率；

通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率；

根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量；

第六步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序，便于客户及时确定影响范围，形成应急处理方案；

第七步，当前网络环境安全，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。

当物联网终端感染僵尸网络等恶意程序后，受感染终端往往会通过恶意程序中预置的域名与黑客主控端建立通信连接，从而受到黑客控制，给企业网络安全带来更进一步的威胁。

本发明利用DNS缓存探测技术，结合泛在电力物联网威胁情报，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

具体来说：

1、解决泛在电力物联网痛点，弥补泛终端管控短板。

随着物联网终端设备的激增，大量物联网设备产生大量网络流量，而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的恶意程序威胁发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜在网络威胁和隐秘通信的检测能力。

2、提升公司泛在物联网终端主动防护能力

传统windows、Linux等系统可以通过安装杀毒软件实现终端管控，但泛在物联网设备种类不同、型号各异、嵌入式系统各异，导致传统的补丁升级、病毒防御、端点保护等技术无法发挥防御效果。通过引入泛在电力物联网威胁情报技术，实现对僵尸网络、蠕虫病毒、C&C节点、Tor节点、匿名代理、DGA域名、挖矿木马、间谍软件、勒索软件、攻击页面、钓鱼网站、垃圾邮件等多种类型高级威胁进行实时监测。

3、支撑护网行动，实现全网安全事件态势感知。

能够加强国网公司所属设备与系统的安全事件分析与处置，协助国网公司开展护网行动、重大活动及会议的网络安全保障，提升网络安全队伍快速响应处置能力，提高安全事件的态势感知。

4、向国家监管机关输出安全预警能力，提升工作亮点。

由于本工具不需要监控流量和日志的特性，部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用，向国家监管机关输出安全预警能力，提升工作亮点。

进一步，能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类型，深度推断恶意通信的意图及内容。

本发明增设检测运营商DNS缓存劫持功能的一种具体实施例：

所述第一步，在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；

如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求。

本发明加入检测运营商DNS缓存劫持功能，能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据，进而提高物联网终端的安全性。

本发明机器算法的一种具体实施例：

所述第四步，所述机器算法为TransE算法和RNN算法；利用TransE算法和RNN算法来区分可信情报和不可信威胁情报，从而达到威胁情报置信度判断。

本发明可信威胁情报判断的一种具体实施例：

可信威胁情报判断实现步骤如下：

步骤1：对多个共享平台的威胁情报文档进行分析和数据预处理，划分训练样本和测试样本集；

步骤2：将威胁情报转化为三元组结构化数据，从时间、内容和领域知识三个维度，结合TransE计算方法提取特征向量，构造输入特征空间中；

步骤3：训练集通过非监督贪婪逐层方法预训练，其中RNN算法逐层进行训练，得到每一层的参数用于初始化，顶层设置BP网络，通过反向传播网络将误差自顶向下传播，微调整个TransE网络直至收敛，得到基于TransE算法和RNN算法结合的可信判别分类器；

步骤4：将得到的特征空间输入到可信判别分类器中，得到威胁情报的二分类可信判别结果。

进一步，同时在威胁情报的基础上，利用本发明的电力物联网威胁域名推断算法，结合不同网络中域名的共生特性，将已知恶意域名的恶意行传递给未知域名，推断所有未知域名的恶意似然性，减少未知威胁域名漏报情况。

本发明数据处理的一种具体实施例：

所述第五步，缓存的更新时间被记录在一个一维数组中，对数组中所有元素，计算数组后一个元素和前一个元素之间的差，并对这些差值求和。

本发明计算单个主机发送域名S的DNS查询速率的一种具体实施例：

为了测量域名的访问量，需要求出单个主机发送域名S的DNS查询速率；

这能够通过对DNS查询的到达间隔时间进行建模来得到；

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名S的DNS查询的间隔时间是独立同分布的随机变量；

在得到建模数据集之后，使用以下步骤来估测单个主机发送域名S的DNS查询的速率c：

(1)根据建模数据集，计算出每个主机发送域名S的DNS查询间隔时间序列；

(2)绘制出DNS查询间隔时间序列的累积分布函数曲线；

(3)使用指数分布对画出的累积分布函数曲线进行拟合；

(4)曲线拟合完成后，指数分布函数的参数即为单个主机发送域名S的DNS查询的速率。

本发明计算主机数量的一种具体实施例：

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名q的DNS查询的间隔时间是独立同分布的随机变量；单个主机发送域名S的DNS查询的间隔时间符合指数分布。

n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量；

所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n，λ)；

n表示访问域名的主机数量；因此伽马分布Gamma(n，λ)的总平均速率λ符合以下公式：

λ＝nλ_c

根据公式来估测访问域名的主机数量；通过DNS缓存探测估测出了DNS查询的总发送速率λ，对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λ_c；推导主机数量为：

本发明伽马分布的一种具体实施例：

每台主机发送域名S的DNS查询的间隔时间是独立同分布的指数随机变量；通过指数随机变量的这个性质，能够推出一个结论：如果X₁+…+X_n是具有均值1/λ的独立同分布的指数随机变量，则X₁+…+X_n是具有参数为n和λ的伽马分布；

所述伽马分布的计算公式为：

伽马分布的随机变量X的概率密度函数为：

其中伽马函数定义为：

指数分布是a＝1的伽马分布，所以当n＝1时即具有密度为：

则由指数随机变量可以推导为：

本发明系统的一种具体实施例：

一种可信威胁情报的物联网终端安全控制系统，

应用上述的一种可信威胁情报的物联网终端安全控制方法；

主要包括：信息采集层、数据分析层、功能层、展示层；

1、信息采集层

提供数据采集及处理功能，对系统基础数据进行预处理，完成DNS缓存记录探测、DNS解析日志收集、威胁情报数据接入、外部API接口数据接入等多种处理环节，然后上传到大数据处理平台进行统一分析处理；

2、数据分析层

主要提供系统实时与异步计算服务功能以及安全大数据分析服务；主要包含对信息采集层的数据预处理、数据存储，通过威胁情报匹配、日志分析、威胁评估算法等技术手段对元数据进行综合分析，分析结果结合原始记录及威胁摘要信息进行威胁确认，更新至系统告警事件库和威胁信誉库；

3、功能层

提供系统安全功能服务，主要包含DNS缓存探测服务、恶意威胁监测算法、威胁规模评估算法、失陷资产追溯服务、关联威胁推断算法等功能，支撑系统安全功能实现；

4、展示层

提供一套B/S架构的综合应用系统，实现对系统分析结果展示与数据分析业务；包含威胁态势感知、风险预警、统计分析、威胁处置等可视化呈现功能。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种可信威胁情报的物联网终端安全控制方法，其特征在于，

主要包括以下步骤：

第一步，探测服务器向被检测DNS服务器发送缓存探测请求；

第二步，从可信威胁情报库获取待探测域名列表；

第三步，对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向被检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

如果探测结果发现，被检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；

否则进行第七步；

第四步，对探测到的存在威胁域名以及恶意程序的情报，利用机器算法进行威胁情报可信评估，进而区分是可信情报还是不可信威胁情报，如果是可信情报，则进行第五步；

否则进行第七步；

威胁情报可信评估主要包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互；

第五步，通过一系列缓存更新时间来计算出DNS查询的总平均速率；

通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率；

根据DNS查询的总平均速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量；

第六步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序；

第七步，当前网络环境安全，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。

2.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，

所述第一步，在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探测服务器发送的约定过的DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；

如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS服务器发送缓存探测请求。

3.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，

所述第四步，所述机器算法为TransE算法和RNN算法；利用TransE算法和RNN算法来区分可信情报和不可信威胁情报，从而达到威胁情报置信度判断。

4.如权利要求3所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，

可信威胁情报判断实现步骤如下：

步骤1：对多个共享平台的威胁情报文档进行分析和数据预处理，划分训练样本和测试样本集；

步骤2：将威胁情报转化为三元组结构化数据，从时间、内容和领域知识三个维度，结合TransE计算方法提取特征向量，构造输入特征空间中；

步骤3：训练集通过非监督贪婪逐层方法预训练，其中RNN算法逐层进行训练，得到每一层的参数用于初始化，顶层设置BP网络，通过反向传播网络将误差自顶向下传播，微调整个TransE网络直至收敛，得到基于TransE算法和RNN算法结合的可信判别分类器；

步骤4：将得到的特征空间输入到可信判别分类器中，得到威胁情报的二分类可信判别结果。

5.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，

所述第五步，缓存的更新时间被记录在一个一维数组中，对数组中所有元素，计算数组后一个元素和前一个元素之间的差，并对这些差值求和。

6.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，

为了测量域名的访问量，需要求出单个主机发送域名S的DNS查询速率；

这能够通过对DNS查询的到达间隔时间进行建模来得到；

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名S的DNS查询的间隔时间是独立同分布的随机变量；

在得到建模数据集之后，使用以下步骤来估测单个主机发送域名S的DNS查询的速率c：

(1)根据建模数据集，计算出每个主机发送域名S的DNS查询间隔时间序列；

(2)绘制出DNS查询间隔时间序列的累积分布函数曲线；

(3)使用指数分布对画出的累积分布函数曲线进行拟合；

(4)曲线拟合完成后，指数分布函数的参数即为单个主机发送域名S的DNS查询的速率。

7.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名q的DNS查询的间隔时间是独立同分布的随机变量；单个主机发送域名S的DNS查询的间隔时间符合指数分布。

8.如权利要求7所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，

n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量；

所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n，λ)；

n表示访问域名的主机数量；因此伽马分布Gamma(n，λ)的总平均速率λ符合以下公式：

λ＝nλ_c

根据公式来估测访问域名的主机数量；通过DNS缓存探测估测出了DNS查询的总平均速率λ，对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λ_c；推导主机数量为：

9.如权利要求8所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，

所述伽马分布的计算公式为：

伽马分布的随机变量x的概率密度函数为：

其中伽马函数定义为：

Γ(α)＝∫₀ ^∞e^-xx^α-1dx

指数分布是a＝1的伽马分布，所以当n＝1时即具有密度为：

则由指数随机变量可以推导为：

10.一种可信威胁情报的物联网终端安全控制系统，其特征在于，

应用如权利要求1-9任一所述的一种可信威胁情报的物联网终端安全控制方法；

主要包括：信息采集层、数据分析层、功能层、展示层；

1、信息采集层

提供数据采集及处理功能，对系统基础数据进行预处理，完成DNS缓存记录探测、DNS解析日志收集、威胁情报数据接入、外部API接口数据接入处理环节，然后上传到大数据处理平台进行统一分析处理；

2、数据分析层

主要提供系统实时与异步计算服务功能以及安全大数据分析服务；主要包含对信息采集层的数据预处理、数据存储，通过威胁情报匹配、日志分析、威胁评估算法对元数据进行综合分析，分析结果结合原始记录及威胁摘要信息进行威胁确认，更新至系统告警事件库和威胁信誉库；

3、功能层

提供系统安全功能服务，主要包含DNS缓存探测服务、恶意威胁监测算法、威胁规模评估算法、失陷资产追溯服务、关联威胁推断算法，支撑系统安全功能实现；

4、展示层

提供一套B/S架构的综合应用系统，实现对系统分析结果展示与数据分析业务，包含威胁态势感知、风险预警、统计分析、威胁处置的可视化呈现功能。

Images