CN111614617A - 一种基于dns缓存探测的物联网终端安全管控方法及装置 - Google Patents

一种基于dns缓存探测的物联网终端安全管控方法及装置 Download PDF

Info

Publication number
CN111614617A
CN111614617A CN202010303811.4A CN202010303811A CN111614617A CN 111614617 A CN111614617 A CN 111614617A CN 202010303811 A CN202010303811 A CN 202010303811A CN 111614617 A CN111614617 A CN 111614617A
Authority
CN
China
Prior art keywords
dns
cache
detection
domain name
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010303811.4A
Other languages
English (en)
Other versions
CN111614617B (zh
Inventor
孙歆
孙昌华
李霁远
李沁园
韩嘉佳
吕磅
汪自翔
周辉
戴桦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd filed Critical Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Priority to CN202010303811.4A priority Critical patent/CN111614617B/zh
Publication of CN111614617A publication Critical patent/CN111614617A/zh
Priority to PCT/CN2021/075288 priority patent/WO2021208570A1/zh
Application granted granted Critical
Publication of CN111614617B publication Critical patent/CN111614617B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/10Detection; Monitoring
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/30Control
    • G16Y40/35Management of things, i.e. controlling in accordance with a policy or in order to achieve specified objectives
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Medical Informatics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于DNS缓存探测的物联网终端安全管控方法及装置,属于电网终端安全技术领域。本发明基于DNS缓存探测的物联网终端安全管控方法,能够对DNS缓存进行探测,通过在DNS请求数据包中设置关闭递归查询标志位,再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求,并记录和处理探测结果;当前网络环境中不存在恶意域名解析请求,继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。本发明成果凭借DNS缓存探测技术,对网络面临的安全威胁和风险进行识别感知,实现无流量镜像条件下泛在终端威胁在线检测,满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求,提升公司内部网络安全威胁检测能力。

Description

一种基于DNS缓存探测的物联网终端安全管控方法及装置
技术领域
本发明涉及一种基于DNS缓存探测的物联网终端安全管控方法及装置,属于电网终端安全技术领域。
背景技术
传统windows、Linux等系统可以通过安装杀毒软件实现终端管控,但泛在物联网设备种类不同、型号各异、嵌入式系统各异,导致传统的补丁升级、病毒防御、端点保护等技术无法发挥防御效果。
中国专利(专利号CN105681482A)公开了一种DNS缓存探测误差修正方法,在不需要获得服务器的日志或者监听真实网络流量的前提下,给出服务器上用户规模的较准确估计值。
但是上述方法只公开了如何对用户规模进行估计,没有公开如何对物联网的安全管理控制,即如何对电力物联网终端恶意程序通信请求进行监控,如何发现威胁域名相关方案没有被公开。
进一步,上述方法在探测服务器上进行的DNS缓存探测方法在实际应用中会出现运营商DNS缓存劫持,运营商为了节省宽带结算费用,会将探测服务器发送的DNS请求拦截转发到运营商自建的DNS服务器,而后运营商通过修改目标地址的方法将解析请求返回给探测服务器。运营商DNS缓存劫持过程导致无法将探测数据发送到被监控的DNS服务器上,导致缓存探测结果准确性大大降低,无法获取实际需探测DNS服务器上的缓存数据。
发明内容
针对现有技术的缺陷,本发明的目的在于提供一种通过采用不依赖流量分析的轻量级DNS缓存探测技术,对电力物联网终端恶意程序通信请求进行监控,实现不受终端种类限制的威胁域名发现,满足泛在电力物联网环境下对跨平台、跨装备的检测的需求,提升对于潜在网络威胁和隐秘通信的检测能力的基于DNS缓存探测的物联网终端安全管控方法及装置。
本发明的另一目的在于提供一种在网络中架设缓存检测服务器并进行抓包,探测服务器首先向缓存检测服务器发送约定过的DNS请求数据,如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后,则判断通信链路中不存在运营商DNS缓存劫持,进而探测服务器向被检测DNS服务器发送缓存探测请求;
如缓存检测服务器在单位时间内未能收到约定的DNS请求数据,缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持,此时缓存探测服务器将开启全局代理模式,通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求的能够有效提高缓存探测结果准确性,能够准确获取实际需探测DNS服务器上的缓存数据的基于DNS缓存探测的物联网终端安全管控方法及装置。
为实现上述目的一和二,本发明的技术方案为:
一种基于DNS缓存探测的物联网终端安全管控方法,
主要包括以下步骤:
第一步,探测服务器向被检测DNS服务器发送缓存探测请求;
在网络中架设缓存检测服务器并进行抓包,探测服务器首先向缓存检测服务器发送约定过的DNS请求数据,如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后,则判断通信链路中不存在运营商DNS缓存劫持,进而探测服务器向被检测DNS服务器发送缓存探测请求;
如缓存检测服务器在单位时间内未能收到约定的DNS请求数据,缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持,此时缓存探测服务器将开启全局代理模式,通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求。
第二步,从可信威胁情报库获取待探测域名列表;
第三步,对DNS缓存进行探测,通过在DNS请求数据包中设置关闭递归查询标志位,再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求,并记录和处理探测结果;
如果探测结果发现,检测DNS服务器存在威胁域名以及恶意程序,则进行第四步;
否则进行第六步;
第四步,通过一系列缓存更新时间来计算出DNS查询的总发送速率;
通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率;
根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量;
第五步,进而评估出一段时间内网络中有多少终端访问了某一个威胁域名,或是感染了同类的恶意程序,便于客户及时确定影响范围,形成应急处理方案;
第六步,当前网络环境安全,继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。
本发明凭借DNS缓存探测技术,对网络面临的安全威胁和风险进行识别感知,实现无流量镜像条件下泛在终端威胁在线检测,满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求,提升公司内部网络安全威胁检测能力。
具体来说:
1、解决泛在电力物联网痛点,弥补泛终端管控短板。
随着物联网终端设备的激增,大量物联网设备产生大量网络流量,而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术,对电力物联网终端恶意程序通信请求进行监控,实现不受终端种类限制的恶意程序威胁发现,满足泛在电力物联网环境下对跨平台、跨装备的检测的需求,提升对于潜在网络威胁和隐秘通信的检测能力。
2、支撑护网行动,实现全网安全事件态势感知。
能够加强国网公司所属设备与系统的安全事件分析与处置,协助国网公司开展护网行动、重大活动及会议的网络安全保障,提升网络安全队伍快速响应处置能力,提高安全事件的态势感知。
3、向国家监管机关输出安全预警能力,提升工作亮点。
由于本发明不需要监控流量和日志的特性,部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用,向国家监管机关输出安全预警能力,提升工作亮点。
进一步,深度推断恶意通信的意图及内容,能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类型,本发明适用范围广。
本发明加入检测运营商DNS缓存劫持功能,能够有效提高缓存探测结果准确性,能够准确获取实际需探测DNS服务器上的缓存数据,进而提高物联网终端的安全性。
作为优选技术措施:
所述第四步,缓存的更新时间被记录在一个一维数组中,对数组中所有元素,计算数组后一个元素和前一个元素之间的差,并对这些差值求和。
作为优选技术措施:
为了测量域名的访问量,需要求出单个主机发送域名S的DNS查询速率;
这能够通过对DNS查询的到达间隔时间进行建模来得到;
对于一台DNS服务器服务范围内的所有客户主机来说,它们发送域名S的DNS查询的间隔时间是独立同分布的随机变量;
在得到建模数据集之后,使用以下步骤来估测单个主机发送域名S的DNS查询的速率c:
(1)根据建模数据集,计算出每个主机发送域名S的DNS查询间隔时间序列;
(2)绘制出DNS查询间隔时间序列的累积分布函数曲线;
(3)使用指数分布对画出的累积分布函数曲线进行拟合;
(4)曲线拟合完成后,指数分布函数的参数即为单个主机发送域名S的DNS查询的速率。
作为优选技术措施:
对于一台DNS服务器服务范围内的所有客户主机来说,它们发送域名q的DNS查询的间隔时间是独立同分布的随机变量;单个主机发送域名S的DNS查询的间隔时间符合指数分布。
作为优选技术措施:
n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量;
所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n,λ);
n表示访问域名的主机数量;因此伽马分布Gamma(n,λ)的总平均速率λ符合以下公式:
λ=nλc
根据公式来估测访问域名的主机数量;通过DNS缓存探测估测出了DNS查询的总发送速率λ,对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λc;推导主机数量为:
Figure BDA0002455014360000041
作为优选技术措施:
每台主机发送域名S的DNS查询的间隔时间是独立同分布的指数随机变量;通过指数随机变量的这个性质,能够推出一个结论:如果X1+…+Xn是具有均值1/λ的独立同分布的指数随机变量,则X1+…+Xn是具有参数为n和λ的伽马分布;
所述伽马分布的计算公式如下:
伽马分布的随机变量X的概率密度函数为:
Figure BDA0002455014360000042
其中伽马函数定义为:
Figure BDA0002455014360000043
指数分布是a=1的伽马分布,所以当n=1时即具有密度为:
Figure BDA0002455014360000051
则由指数随机变量可以推导为:
Figure BDA0002455014360000052
一种基于DNS缓存探测的物联网终端安全管控装置,
应用上述的一种基于DNS缓存探测的物联网终端安全管控方法;
主要包括:主控模块、DNS劫持检测模块、域名信息获取模块、探测模块和计算总发送速率模块;
主控模块用于处理命令行参数、检测DNS服务器状态,协调其它模块,以及控制程序的并发;
DNS劫持检测模块用于在网络中架设缓存检测服务器并进行抓包,探测服务器首先向缓存检测服务器发送约定过的DNS请求数据,约定的数据为dnsjiance98123dnsjian.xyz。如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后,则判断通信链路中不存在运营商DNS缓存劫持,探测服务器向被检测DNS服务器发送缓存探测请求。如缓存检测服务器在单位时间内未能收到约定的DNS请求数据,缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持,此时缓存探测服务器将开启全局代理模式;
域名信息获取模块用于从可信威胁情报库获取待探测域名列表,并将其通过列队的方式加载到主控制模块中;
探测模块用于对DNS缓存进行探测,通过在DNS请求数据包中设置关闭递归查询标志位,再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求,并记录和处理探测结果;
计算总发送速率模块根据探测结果计算域名的DNS查询总发送速率;该模块利用探测模块得到的一系列缓存更新时间来计算出DNS查询的总发送速率。
作为优选技术措施:缓存的更新时间被记录在一个一维数组中;整个模块的工作流程是对数组中所有元素,计算数组后一个元素和前一个元素之间的差,并对这些差值求和。
与现有技术相比,本发明具有以下有益效果:
本发明成果凭借DNS缓存探测技术,对网络面临的安全威胁和风险进行识别感知,实现无流量镜像条件下泛在终端威胁在线检测,满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求,提升公司内部网络安全威胁检测能力。
具体来说:
1、解决泛在电力物联网痛点,弥补泛终端管控短板。
随着物联网终端设备的激增,大量物联网设备产生大量网络流量,而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术,对电力物联网终端恶意程序通信请求进行监控,实现不受终端种类限制的恶意程序威胁发现,满足泛在电力物联网环境下对跨平台、跨装备的检测的需求,提升对于潜在网络威胁和隐秘通信的检测能力。
2、支撑护网行动,实现全网安全事件态势感知。
能够加强国网公司所属设备与系统的安全事件分析与处置,协助国网公司开展护网行动、重大活动及会议的网络安全保障,提升网络安全队伍快速响应处置能力,提高安全事件的态势感知。
3、向国家监管机关输出安全预警能力,提升工作亮点。
由于本发明不需要监控流量和日志的特性,部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用,向国家监管机关输出安全预警能力,提升工作亮点。
本发明加入检测运营商DNS缓存劫持功能,能够有效提高缓存探测结果准确性,能够准确获取实际需探测DNS服务器上的缓存数据,进而提高物联网终端的安全性。
附图说明
图1为本发明工作流程图;
图2为应用本发明的管控示图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
相反,本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
如图1-2所示,一种基于DNS缓存探测的物联网终端安全管控方法,
主要包括以下步骤:
第一步,探测服务器向被检测DNS服务器发送缓存探测请求;
第二步,从可信威胁情报库获取待探测域名列表;
第三步,对DNS缓存进行探测,通过在DNS请求数据包中设置关闭递归查询标志位,再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求,并记录和处理探测结果;
如果探测结果发现,检测DNS服务器存在威胁域名以及恶意程序,则进行第四步;
否则进行第六步;
第四步,通过一系列缓存更新时间来计算出DNS查询的总发送速率;
通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率;
根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量;
第五步,进而评估出一段时间内网络中有多少终端访问了某一个威胁域名,或是感染了同类的恶意程序,便于客户及时确定影响范围,形成应急处理方案;
第六步,当前网络环境中不存在恶意域名解析请求,继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。
本发明成果凭借DNS缓存探测技术,对网络面临的安全威胁和风险进行识别感知,实现无流量镜像条件下泛在终端威胁在线检测,满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求,提升公司内部网络安全威胁检测能力。
具体来说:
1、解决泛在电力物联网痛点,弥补泛终端管控短板。
随着物联网终端设备的激增,大量物联网设备产生大量网络流量,而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术,对电力物联网终端恶意程序通信请求进行监控,实现不受终端种类限制的恶意程序威胁发现,满足泛在电力物联网环境下对跨平台、跨装备的检测的需求,提升对于潜在网络威胁和隐秘通信的检测能力。
2、支撑护网行动,实现全网安全事件态势感知。
能够加强国网公司所属设备与系统的安全事件分析与处置,协助国网公司开展护网行动、重大活动及会议的网络安全保障,提升网络安全队伍快速响应处置能力,提高安全事件的态势感知。
3、向国家监管机关输出安全预警能力,提升工作亮点。
由于本发明不需要监控流量和日志的特性,部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用,向国家监管机关输出安全预警能力,提升工作亮点。
进一步,深度推断恶意通信的意图及内容,能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类型。
本发明增设检测运营商DNS缓存劫持功能的一种具体实施例:
所述第一步,在网络中架设缓存检测服务器并进行抓包,探测服务器首先向缓存检测服务器发送约定过的DNS请求数据,如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后,则判断通信链路中不存在运营商DNS缓存劫持,进而探测服务器向被检测DNS服务器发送缓存探测请求;
如缓存检测服务器在单位时间内未能收到约定的DNS请求数据,缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持,此时缓存探测服务器将开启全局代理模式,通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求。
本发明加入检测运营商DNS缓存劫持功能,能够有效提高缓存探测结果准确性,能够准确获取实际需探测DNS服务器上的缓存数据,进而提高物联网终端的安全性。
本发明数据处理的一种具体实施例:
所述第四步,缓存的更新时间被记录在一个一维数组中,对数组中所有元素,计算数组后一个元素和前一个元素之间的差,并对这些差值求和。
本发明计算单个主机发送域名S的DNS查询速率的一种具体实施例:
为了测量域名的访问量,需要求出单个主机发送域名S的DNS查询速率;
这能够通过对DNS查询的到达间隔时间进行建模来得到;
对于一台DNS服务器服务范围内的所有客户主机来说,它们发送域名S的DNS查询的间隔时间是独立同分布的随机变量;
在得到建模数据集之后,使用以下步骤来估测单个主机发送域名S的DNS查询的速率c:
(1)根据建模数据集,计算出每个主机发送域名S的DNS查询间隔时间序列;
(2)绘制出DNS查询间隔时间序列的累积分布函数曲线;
(3)使用指数分布对画出的累积分布函数曲线进行拟合;
(4)曲线拟合完成后,指数分布函数的参数即为单个主机发送域名S的DNS查询的速率。
对于一台DNS服务器服务范围内的所有客户主机来说,它们发送域名q的DNS查询的间隔时间是独立同分布的随机变量;单个主机发送域名S的DNS查询的间隔时间符合指数分布。
n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量;
所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n,λ);
n表示访问域名的主机数量;因此伽马分布Gamma(λ,λ)的总平均速率λ符合以下公式:
λ=nλc
根据公式来估测访问域名的主机数量;通过DNS缓存探测估测出了DNS查询的总发送速率λ,对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λc;推导主机数量为:
Figure BDA0002455014360000091
本发明伽马分布的一种具体实施例:
每台主机发送域名S的DNS查询的间隔时间是独立同分布的指数随机变量;通过指数随机变量的这个性质,能够推出一个结论:如果X1+…+Xn是具有均值1/λ的独立同分布的指数随机变量,则X1+…+Xn是具有参数为n和λ的伽马分布;
所述伽马分布的计算公式如下:
伽马分布的随机变量X的概率密度函数为:
Figure BDA0002455014360000092
其中伽马函数定义为:
Figure BDA0002455014360000093
指数分布是a=1的伽马分布,所以当n=1时即具有密度为:
Figure BDA0002455014360000094
则由指数随机变量可以推导为:
Figure BDA0002455014360000101
本发明一种基于DNS缓存探测的物联网终端安全管控装置的实施例:
应用上述的一种基于DNS缓存探测的物联网终端安全管控方法;
主要包括:主控模块、DNS劫持检测模块、域名信息获取模块、探测模块和计算总发送速率模块;
主控模块用于处理命令行参数、检测DNS服务器状态,协调其它模块,以及控制程序的并发;
DNS劫持检测模块用于在网络中架设缓存检测服务器并进行抓包,探测服务器首先向缓存检测服务器发送约定过的DNS请求数据,约定的数据为dnsjiance98123dnsjian.xyz;
域名信息获取模块用于从可信威胁情报库获取待探测域名列表,并将其通过列队的方式加载到主控制模块中;
探测模块用于对DNS缓存进行探测,通过在DNS请求数据包中设置关闭递归查询标志位,再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求,并记录和处理探测结果;
计算总发送速率模块根据探测结果计算域名的DNS查询总发送速率;该模块利用探测模块得到的一系列缓存更新时间来计算出DNS查询的总发送速率。
缓存的更新时间被记录在一个一维数组中;整个模块的工作流程是对数组中所有元素,计算数组后一个元素和前一个元素之间的差,并对这些差值求和。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于DNS缓存探测的物联网终端安全管控方法,其特征在于,
主要包括以下步骤:
第一步,探测服务器向被检测DNS服务器发送缓存探测请求;
在网络中架设缓存检测服务器并进行抓包,探测服务器首先向缓存检测服务器发送约定过的DNS请求数据,如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后,则判断通信链路中不存在运营商DNS缓存劫持,进而探测服务器向被检测DNS服务器发送缓存探测请求;
如缓存检测服务器在单位时间内未能收到约定的DNS请求数据,缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持,此时缓存探测服务器将开启全局代理模式,通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求;
第二步,从可信威胁情报库获取待探测域名列表;
第三步,对DNS缓存进行探测,通过在DNS请求数据包中设置关闭递归查询标志位,再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求,并记录和处理探测结果;
如果探测结果发现,检测DNS服务器存在威胁域名以及恶意程序,则进行第四步;
否则进行第六步;
第四步,通过一系列缓存更新时间来计算出DNS查询的总发送速率;
通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率;
根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量;
第五步,进而评估出一段时间内网络中有多少终端访问了某一个威胁域名,或是感染了同类的恶意程序;
第六步,当前网络环境安全,继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。
2.如权利要求1所述的一种基于DNS缓存探测的物联网终端安全管控方法,其特征在于,
所述第四步,缓存的更新时间被记录在一个一维数组中,对数组中所有元素,计算数组后一个元素和前一个元素之间的差,并对这些差值求和。
3.如权利要求1所述的一种基于DNS缓存探测的物联网终端安全管控方法,其特征在于,
为了测量域名的访问量,需要求出单个主机发送域名S的DNS查询速率;
这能够通过对DNS查询的到达间隔时间进行建模来得到;
对于一台DNS服务器服务范围内的所有客户主机来说,它们发送域名S的DNS查询的间隔时间是独立同分布的随机变量。
4.如权利要求3所述的一种基于DNS缓存探测的物联网终端安全管控方法,其特征在于,
在得到建模数据集之后,使用以下步骤来估测单个主机发送域名S的DNS查询的速率c:
(1)根据建模数据集,计算出每个主机发送域名S的DNS查询间隔时间序列;
(2)绘制出DNS查询间隔时间序列的累积分布函数曲线;
(3)使用指数分布对画出的累积分布函数曲线进行拟合;
(4)曲线拟合完成后,指数分布函数的参数即为单个主机发送域名S的DNS查询的速率。
5.如权利要求1所述的一种基于DNS缓存探测的物联网终端安全管控方法,其特征在于,
对于一台DNS服务器服务范围内的所有客户主机来说,它们发送域名q的DNS查询的间隔时间是独立同分布的随机变量;单个主机发送域名S的DNS查询的间隔时间符合指数分布。
6.如权利要求5所述的一种基于DNS缓存探测的物联网终端安全管控方法,其特征在于,
n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量;
所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n,λ);
n表示访问域名的主机数量;因此伽马分布Camma(n,λ)的总平均速率λ符合以下公式:
λ=nλc
根据公式来估测访问域名的主机数量;通过DNS缓存探测估测出了DNS查询的总发送速率λ,对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λc;推导主机数量为:
Figure FDA0002455014350000021
7.如权利要求6所述的一种基于DNS缓存探测的物联网终端安全管控方法,其特征在于,
所述伽马分布的计算公式如下:
伽马分布的随机变量X的概率密度函数为:
Figure FDA0002455014350000031
其中伽马函数定义为:
Γ(α)=∫0 e-xxα-1dx
指数分布是a=1的伽马分布,所以当n=1时即具有密度为:
Figure FDA0002455014350000032
则由指数随机变量可以推导为:
Figure FDA0002455014350000033
8.一种基于DNS缓存探测的物联网终端安全管控装置,其特征在于,
应用如权利要求1-7任一所述的一种基于DNS缓存探测的物联网终端安全管控方法;
主要包括:主控模块、DNS劫持检测模块、域名信息获取模块、探测模块和计算总发送速率模块;
主控模块用于处理命令行参数、检测DNS服务器状态,协调其它模块,以及控制程序的并发;
DNS劫持检测模块用于在网络中架设缓存检测服务器并进行抓包,探测服务器首先向缓存检测服务器发送约定过的DNS请求数据,约定的数据为dnsjiance98123dnsjian.xyz;如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后,则判断通信链路中不存在运营商DNS缓存劫持,探测服务器向被检测DNS服务器发送缓存探测请求;如缓存检测服务器在单位时间内未能收到约定的DNS请求数据,缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持,此时缓存探测服务器将开启全局代理模式;
域名信息获取模块用于从可信威胁情报库获取待探测域名列表,并将其通过列队的方式加载到主控制模块中;
探测模块用于对DNS缓存进行探测,通过在DNS请求数据包中设置关闭递归查询标志位,再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求,并记录和处理探测结果;
计算总发送速率模块根据探测结果计算域名的DNS查询总发送速率;该模块利用探测模块得到的一系列缓存更新时间来计算出DNS查询的总发送速率。
9.如权利要求8所述的一种基于DNS缓存探测的物联网终端安全管控装置,其特征在于,缓存的更新时间被记录在一个一维数组中;整个模块的工作流程是对数组中所有元素,计算数组后一个元素和前一个元素之间的差,并对这些差值求和。
CN202010303811.4A 2020-04-17 2020-04-17 一种基于dns缓存探测的物联网终端安全管控方法及装置 Active CN111614617B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202010303811.4A CN111614617B (zh) 2020-04-17 2020-04-17 一种基于dns缓存探测的物联网终端安全管控方法及装置
PCT/CN2021/075288 WO2021208570A1 (zh) 2020-04-17 2021-02-04 一种基于dns缓存探测的物联网终端安全管控方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010303811.4A CN111614617B (zh) 2020-04-17 2020-04-17 一种基于dns缓存探测的物联网终端安全管控方法及装置

Publications (2)

Publication Number Publication Date
CN111614617A true CN111614617A (zh) 2020-09-01
CN111614617B CN111614617B (zh) 2022-05-13

Family

ID=72201383

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010303811.4A Active CN111614617B (zh) 2020-04-17 2020-04-17 一种基于dns缓存探测的物联网终端安全管控方法及装置

Country Status (2)

Country Link
CN (1) CN111614617B (zh)
WO (1) WO2021208570A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112804369A (zh) * 2020-12-28 2021-05-14 深信服科技股份有限公司 一种网络系统及网络访问安全检测方法、装置和相关设备
WO2021208570A1 (zh) * 2020-04-17 2021-10-21 国网浙江省电力有限公司电力科学研究院 一种基于dns缓存探测的物联网终端安全管控方法及装置
CN115396397A (zh) * 2022-04-13 2022-11-25 中国人民解放军国防科技大学 基于转发关系确定缓存域名系统服务范围的方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152357A (zh) * 2013-03-22 2013-06-12 北京网御星云信息技术有限公司 一种针对dns服务的防御方法、装置和系统
CN103345605A (zh) * 2013-06-06 2013-10-09 西安交通大学 一种恶意代码感染主机规模估计系统和方法
CN104125238A (zh) * 2014-08-14 2014-10-29 互联网域名系统北京市工程研究中心有限公司 一种DNS递归服务器抗DoS、DDoS攻击的方法
CN105376344A (zh) * 2015-11-26 2016-03-02 中国互联网络信息中心 一种与源地址相关的递归域名服务器的解析方法及系统
CN105516383A (zh) * 2015-11-23 2016-04-20 中国互联网络信息中心 一种新型dns递归服务器缓存方法和系统
CN105681482A (zh) * 2015-12-28 2016-06-15 哈尔滨工业大学 Dns缓存探测误差修正方法
CN105871912A (zh) * 2016-06-03 2016-08-17 腾讯科技(深圳)有限公司 一种域名劫持的探测方法和服务器以及移动终端
CN106060046A (zh) * 2016-05-30 2016-10-26 努比亚技术有限公司 一种防止下载劫持的装置、移动终端和方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140059071A1 (en) * 2012-01-11 2014-02-27 Saguna Networks Ltd. Methods, circuits, devices, systems and associated computer executable code for providing domain name resolution
CN103327015B (zh) * 2013-06-06 2016-02-24 西安交通大学 基于dns缓存探测的恶意代码感染主机规模估计方法
CN104348669B (zh) * 2013-07-23 2019-04-23 深圳市腾讯计算机系统有限公司 一种域名劫持探测方法、系统及装置
CN111614617B (zh) * 2020-04-17 2022-05-13 国网浙江省电力有限公司电力科学研究院 一种基于dns缓存探测的物联网终端安全管控方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152357A (zh) * 2013-03-22 2013-06-12 北京网御星云信息技术有限公司 一种针对dns服务的防御方法、装置和系统
CN103345605A (zh) * 2013-06-06 2013-10-09 西安交通大学 一种恶意代码感染主机规模估计系统和方法
CN104125238A (zh) * 2014-08-14 2014-10-29 互联网域名系统北京市工程研究中心有限公司 一种DNS递归服务器抗DoS、DDoS攻击的方法
CN105516383A (zh) * 2015-11-23 2016-04-20 中国互联网络信息中心 一种新型dns递归服务器缓存方法和系统
CN105376344A (zh) * 2015-11-26 2016-03-02 中国互联网络信息中心 一种与源地址相关的递归域名服务器的解析方法及系统
CN105681482A (zh) * 2015-12-28 2016-06-15 哈尔滨工业大学 Dns缓存探测误差修正方法
CN106060046A (zh) * 2016-05-30 2016-10-26 努比亚技术有限公司 一种防止下载劫持的装置、移动终端和方法
CN105871912A (zh) * 2016-06-03 2016-08-17 腾讯科技(深圳)有限公司 一种域名劫持的探测方法和服务器以及移动终端

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021208570A1 (zh) * 2020-04-17 2021-10-21 国网浙江省电力有限公司电力科学研究院 一种基于dns缓存探测的物联网终端安全管控方法及装置
CN112804369A (zh) * 2020-12-28 2021-05-14 深信服科技股份有限公司 一种网络系统及网络访问安全检测方法、装置和相关设备
CN115396397A (zh) * 2022-04-13 2022-11-25 中国人民解放军国防科技大学 基于转发关系确定缓存域名系统服务范围的方法和装置
CN115396397B (zh) * 2022-04-13 2023-07-14 中国人民解放军国防科技大学 基于转发关系确定缓存域名系统服务范围的方法和装置

Also Published As

Publication number Publication date
CN111614617B (zh) 2022-05-13
WO2021208570A1 (zh) 2021-10-21

Similar Documents

Publication Publication Date Title
CN111614617B (zh) 一种基于dns缓存探测的物联网终端安全管控方法及装置
CN111600842B (zh) 一种可信威胁情报的物联网终端安全控制方法以及系统
US20200244689A1 (en) Detection and mitigation of recursive domain name system attacks
Kholidy et al. A finite state hidden markov model for predicting multistage attacks in cloud systems
US11509690B2 (en) Management of botnet attacks to a computer network
US9338187B1 (en) Modeling user working time using authentication events within an enterprise network
US7805762B2 (en) Method and system for reducing the false alarm rate of network intrusion detection systems
CN104778404A (zh) 信息处理装置及非法活动判定方法
CN110719299A (zh) 防御网络攻击的蜜罐构建方法、装置、设备及介质
US11785042B2 (en) Real time management of botnet attacks
Pomorova et al. Multi-agent based approach for botnet detection in a corporate area network using fuzzy logic
CN112491817B (zh) 一种基于蜜罐技术的溯源方法、装置及蜜罐设备
Soh et al. Setting optimal intrusion-detection thresholds
CN113726775B (zh) 一种攻击检测方法、装置、设备及存储介质
CN115102727A (zh) 基于动态ip黑名单的网络入侵主动防御系统及方法
KR101662530B1 (ko) 호스트의 악성 도메인 접근 탐지와 차단 시스템, 및 그 방법
US20210058414A1 (en) Security management method and security management apparatus
CN114024740A (zh) 一种基于密签诱饵的威胁诱捕方法
Fujimoto et al. Detecting attacks leveraging vulnerabilities fixed in MS17-010 from Event Log
CN114448690B (zh) 一种攻击组织分析方法、装置、设备及介质
Sun et al. Characterizing DNS Malicious Traffic in Big Data
Jayakrishnan et al. Internet of things forensics honeynetcloud investigation model
US20230208857A1 (en) Techniques for detecting cyber-attack scanners
Fu et al. A Study of Evaluation Methods of WEB Security Threats Based on Multi-stage Attack
Yagi et al. Analysis of blacklist update frequency for countering malware attacks on websites

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant