CN111818073A

CN111818073A - 一种失陷主机检测方法、装置、设备及介质

Info

Publication number: CN111818073A
Application number: CN202010686256.8A
Authority: CN
Inventors: 吕晓滨
Original assignee: Sangfor Technologies Co Ltd
Current assignee: Sangfor Technologies Co Ltd
Priority date: 2020-07-16
Filing date: 2020-07-16
Publication date: 2020-10-23
Anticipated expiration: 2040-07-16
Also published as: CN111818073B

Abstract

本申请公开了一种失陷主机检测方法、装置、设备、介质，该方法包括：在监听到的DNS流量请求中存在威胁信息的情况下，提取所述DNS流量请求中的目标信息；利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文并将所述DNS回复报文原路返回；向预设的终端安全应用管理平台发送包括所述追踪IP地址的通知信息，以便所述终端安全应用管理平台向目标终端发送所述追踪IP地址，并根据所述目标终端反馈的查询结果确定出失陷主机。这样能够检测出失陷主机，且不会影响DNS的性能，因此不会出现转发延迟以及影响业务体验，且适用性高，成本也较低。

Description

一种失陷主机检测方法、装置、设备及介质

技术领域

本申请涉及网络安全技术领域，特别涉及一种失陷主机检测方法、装置、设备、介质。

背景技术

越来越多的网络安全设备，如态势感知、下一代防火墙等都增加了通过威胁情报来检测流量中是否存在访问外部恶意威胁服务器地址的通信，以此来发现内网的失陷主机。其中，用的最多的威胁情报是DNS(Domain Name Server，域名服务器)类情报，通过采集DNS协议流量来发现威胁。但由于通用的网络架构内部是通过一台或多台DNS服务器来转发内网主机的DNS请求，而DNS服务器在转发内网主机的DNS请求时，会将流量发包中的源IP(Internet Protocol，互联网协议)地址改为DNS服务器自身的IP地址，这就会导致网络安全设备错误地检测到失陷主机是DNS服务器。

针对以上问题，目前的解决方法主要有以下几种，一是通过在DNS服务器植入代理来复制DNS原始流量给网络安全设备，但是这会消耗DNS服务器的性能，DNS服务器会因性能不足，造成转发延迟以及影响业务体验；二是改装DNS服务器，安装可采集DNS请求日志的装置，并将日志转发给网络安全设备，但很多DNS服务器的配置是不支持日志里面记录真实请求源IP的，所以会造成此方式适用性低，且改造后不一定适用DNS服务器环境，即存在兼容性风险，容易引起DNS服务器宕机等风险，导致业务不可用，影响内网正常上网；三是改造网络，在DNS请求到达DNS服务器前将流量镜像给网络安全设备。但是此方式下若内网网络结构较大或分区分域做的细，则需要多个流量镜像设备，成本会很高。

发明内容

有鉴于此，本申请的目的在于提供一种失陷主机检测方法、装置、设备、介质，能够检测出失陷主机，且不会影响DNS的性能，因此不会出现转发延迟以及影响业务体验，且适用性高，成本也较低。其具体方案如下：

第一方面，本申请公开了一种失陷主机检测方法，应用于网络安全设备，包括：

在监听到的DNS流量请求中存在威胁信息的情况下，提取所述DNS流量请求中的目标信息；

利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文并将所述DNS回复报文原路返回；

向预设的终端安全应用管理平台发送包括所述追踪IP地址的通知信息，以便所述终端安全应用管理平台向目标终端发送所述追踪IP地址，并根据所述目标终端反馈的查询结果确定出失陷主机，其中，所述查询结果为所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定出的结果。

可选地，所述提取所述DNS流量请求中的目标信息，包括：

提取所述DNS流量请求中的目标信息，其中，所述目标信息包括所述DNS流量请求中的源IP地址、目的IP地址以及DNS域名；

相应地，所述利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文，包括：

将所述DNS流量请求中的源IP地址作为所述DNS回复报文中的目的IP地址，所述DNS流量请求中的目的IP地址作为所述DNS回复报文中的源IP地址，所述追踪IP地址及所述DNS域名作为所述DNS回复报文中的预设字段的内容。

第二方面，本申请公开了一种失陷主机检测方法，应用于终端安全应用管理平台，包括：

接收网络安全设备发送的通知信息，其中，所述通知信息包括追踪IP地址，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址；

向目标终端发送所述追踪IP地址，以便所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定查询结果；

根据所述目标终端反馈的查询结果确定出失陷主机。

可选地，所述根据所述目标终端反馈的查询结果确定出失陷主机之后，还包括：

接收所述目标终端反馈的失陷主机检测结果；

向所述网络安全设备反馈所述失陷主机检测结果，以便所述网络安全设备根据所述失陷主机检测结果进行相应的处理。

第三方面，本申请公开了一种失陷主机检测方法，应用于目标终端，包括：

接收终端安全应用管理平台在接收到网络安全设备发送的通知信息后发送的追踪IP地址，其中，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址；

查询已记录的域名和IP地址记录表是否包括所述追踪IP地址，以确定出查询结果，其中，所述域名和IP地址记录表为所述目标终端对本地接收到的DNS回复报文进行解析并记录得到的；

将所述查询结果反馈给所述终端安全应用管理平台，以便所述终端安全应用管理平台根据所述查询结果确定出失陷主机。

可选地，所述将所述查询结果反馈给所述终端安全应用管理平台之后，还包括：

如果所述域名和IP地址记录表包括所述追踪IP地址，则利用预设进程查询指令和所述追踪IP地址确定威胁进程的进程PID，其中，所述威胁进程为发起所述DNS流量请求的进程；

利用所述进程PID杀死所述威胁进程。

可选地，所述利用预设进程查询指令和所述追踪IP地址确定威胁进程的进程PID之后，还包括：

利用所述进程PID和预设路径查询指令确定所述威胁进程对应的威胁文件路径；

利用所述威胁文件路径删除威胁文件。

第四方面，本申请公开了一种失陷主机检测装置，应用于网络安全设备，包括：

信息提取模块，用于在监听到的DNS流量请求中存在威胁信息的情况下，提取所述DNS流量请求中的目标信息；

报文构造模块，用于利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文；

报文发送模块，用于将所述DNS回复报文原路返回；

第一信息发送模块，用于向预设的终端安全应用管理平台发送包括所述追踪IP地址的通知信息，以便所述终端安全应用管理平台向目标终端发送所述追踪IP地址，并根据所述目标终端反馈的查询结果确定出失陷主机，其中，所述查询结果为所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定出的结果。

第五方面，本申请公开了一种失陷主机检测装置，应用于终端安全应用管理平台，包括：

第一信息接收模块，用于接收网络安全设备发送的通知信息，其中，所述通知信息包括追踪IP地址，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址；

第二信息发送模块，用于向目标终端发送所述追踪IP地址，以便所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定查询结果；

失陷主机确定模块，用于根据所述目标终端反馈的查询结果确定出失陷主机。

第六方面，本申请公开了一种失陷主机检测装置，应用于目标终端，包括：

第二信息接收模块，用于接收终端安全应用管理平台在接收到网络安全设备发送的通知信息后发送的追踪IP地址，其中，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址；

查询模块，用于查询已记录的域名和IP地址记录表是否包括所述追踪IP地址，以确定出查询结果，其中，所述域名和IP地址记录表为所述目标终端对本地接收到的DNS回复报文进行解析并记录得到的；

第三信息发送模块，用于将所述查询结果反馈给所述终端安全应用管理平台，以便所述终端安全应用管理平台根据所述查询结果确定出失陷主机。

第七方面，本申请公开了一种电子设备，包括：

存储器和处理器；

其中，所述存储器，用于存储计算机程序；

所述处理器，用于执行所述计算机程序，以实现前述公开的失陷主机检测方法。

第八方面，本申请公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述公开的失陷主机检测方法。

可见，本申请在监听到的DNS流量请求中存在威胁信息的情况下，提取所述DNS流量请求中的目标信息，然后利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文并将所述DNS回复报文原路返回，再向预设的终端安全应用管理平台发送包括所述追踪IP地址的通知信息，以便所述终端安全应用管理平台向目标终端发送所述追踪IP地址，并根据所述目标终端反馈的查询结果确定出失陷主机，其中，所述查询结果为所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定出的结果。由此可见，本申请在监听到的DNS流量请求中存在威胁信息的情况下，利用预设的追踪IP地址构造对应的DNS回复报文，再将包括所述追踪IP地址的通知信息发送到对应的终端安全应用管理平台，终端安全应用管理平台通知对应的目标终端，并根据所述目标终端反馈的查询结果确定出失陷主机，这样通过终端安全应用管理平台实现网络安全设备和目标终端之间的通信，获取到要定位的追踪IP地址，再利用目标终端对追踪IP地址进行查询，得到查询结果，终端安全应用管理平台根据查询结果，便能够准确确定出失陷主机，且追踪IP地址的查询由各个终端完成，不会影响DNS的性能，因此不会出现转发延迟以及影响业务体验，且适用性高，相比于多个流量镜像设备，终端安全应用管理平台成本也较低。且每个目标终端只需要检测自身收到的DNS回复报文，减少了每个目标终端的压力，提高了失陷主机检测的效率。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为一种通用的企业内网网络设计示意图；

图2为本申请公开的一种失陷主机检测方法流程图；

图3为本申请公开的一种具体的失陷主机检测方法流程图；

图4为本申请公开的一种失陷主机检测方法的部分流程图；

图5为本申请公开的一种失陷主机检测方法流程图；

图6为本申请公开的一种具体的失陷主机检测方法流程图；

图7为本申请公开的一种失陷主机检测方法流程图；

图8为本申请公开的一种具体的失陷主机检测方法流程图；

图9为本申请公开的一种进程PID定位结果图；

图10为本申请公开的一种失陷主机检测方法的部分流程图；

图11为本申请公开的一种失陷主机检测方法的部分流程图；

图12为本申请公开的一种失陷主机检测方法装置结构示意图；

图13为本申请公开的一种失陷主机检测方法装置结构示意图；

图14为本申请公开的一种失陷主机检测方法装置结构示意图；

图15为本申请公开的一种电子设备结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

参见图1所示，为通用的企业内网网络设计示意图。通用的企业内网网络设计一般都会通过部署1台或多台DNS服务器来承接转发内网所有主机的DNS请求，而非让所有主机直接向外网请求，以便于更好的做内外网网络控制。这样在失陷主机向DNS服务器请求恶意DNS解析时，DNS服务器会转发恶意DNS给交换机，由交换机再将恶意DNS发送给下一代防火墙，下一代防火墙会告警DNS服务器已失陷，且下一代防火墙将恶意DNS发送给DNS解析服务器，并将解析结果返回给交换机，由交换机将解析地址返回给DNS服务器，DNS服务器再将解析地址返回给失陷主机。在上述过程中，由于DNS服务器在接收到失陷主机请求恶意DNS解析时会将其转发，且转发时会将流量发包的源IP地址改为DNS服务器自身的IP地址，所以导致网络安全设备检测到该IP地址已失陷，并告警管理员，但管理员去查杀时根本查杀不到，因为定位的是错误的主机。

目前针对以上问题的失陷主机检测方法主要包括对DNS服务器中的DNS原始流量进行复制，再对DNS原始流量进行检测以确定失陷主机，这样DNS服务器需要较多的资源来进行流量复制，DNS服务器会因性能不足，造成转发延迟以及影响业务体验。或者通过在DNS服务器上按照日志采集装置采集DNS服务器的日志，并对日志进行解析，以确定失陷主机，但这种方法适用性低，容易引起宕机，导致DNS服务器业务不可用。或者是改造网络，在DNS请求到达DNS服务器前将流量镜像给网络安全设备，这种方式下若内网网络结构较大或分区分域做的细，则需要多个流量镜像设备，成本会很高。有鉴于此，本申请提出了一种失陷主机检测方法，能够检测出失陷主机，且不会影响DNS的性能，因此不会出现转发延迟以及影响业务体验，且适用性高，成本也较低。

参见图2所示，本申请实施例公开了一种失陷主机检测方法，应用于网络安全设备，该方法包括：

步骤S11：在监听到的DNS流量请求中存在威胁信息的情况下，提取所述DNS流量请求中的目标信息。

在实际应用中，在监听到的DNS流量请求中存在威胁信息的情况下，则表明所述网络安全设备对应的内网中存在失陷主机，此时便需要对内网中的失陷主机进行检测。具体的，就是先提取出所述DNS流量请求中的目标信息，以便利用所述目标信息构造所述DNS流量请求对应的DNS回复报文。其中，所述目标信息包括但不限于所述DNS流量请求中的源IP地址、目的IP地址等。

在实际应用中，本地需要对监听到的DNS流量请求进行检测，以确定监听到的DNS流量请求中是否存在威胁信息。也即所述网络安全设备需要监听接收到的DNS流量请求，并对监听到的DNS流量请求进行检测，以便确定所述DNS流量请求中是否存在威胁信息。其中，所述网络安全设备包括但不限于NGFW(Next Generation Firewall，下一代防火墙)、SIEM/SOC(Security Information and Event Management/Security Operations Center，安全信息和事件管理/安全运营中心)。NGFW是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够提供有效的应用层一体化安全防护，帮助安全地开展业务并简化网络安全架构。本申请中的下一代防火墙，指在此基础上还具备通过DNS/URL(Uniform ResourceLocator，统一资源定位符)类威胁情报进行威胁信息发现的能力。

具体的，所述对监听到的DNS流量请求进行检测，包括：通过匹配威胁情报来对所述DNS流量请求进行检测。其中，所述威胁情报可以是DNS/URL类威胁情报。

步骤S12：利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文并将所述DNS回复报文原路返回。

在提取出所述DNS流量请求中的目标信息之后，便可以利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文，并将所述DNS回复报文原路返回。具体的，就是可以基于DNS协议的响应报文格式，利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文，并将所述DNS回复报文发送到所述网络安全设备对应的DNS服务器，所述DNS服务器会将所述DNS回复报文转发到对应的主机。

具体的，所述利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文，包括：从预设网段IP地址中确定出追踪IP地址；判断所述追踪IP地址是否可用，如果所述追踪IP地址可用，则利用所述目标信息和预设网段IP地址中的追踪IP地址构造所述DNS流量请求对应的DNS回复报文。如果所述追踪IP地址不可用，则重新从所述预设网段IP地址中确定一个追踪IP地址。

其中，所述判断所述追踪IP地址是否可用，包括：判断所述追踪IP地址是否存在于本地保存的追踪IP地址和DNS域名对应表中。如果所述追踪IP地址存在于本地保存的追踪IP地址和DNS域名对应表中，则所述追踪IP地址不可用，如果所述追踪IP地址不存在于本地保存的追踪IP地址和DNS域名对应表中，则所述追踪IP地址可用。所述追踪IP地址和DNS域名对应表为本地维护的一张已构造的DNS回复报文中用到的追踪IP地址和DNS域名一一对应的表。在得到所述DNS回复报文之后，还需要将所述追踪IP地址和所述DNS流量请求中的DNS域名保存到所述追踪IP地址和DNS域名对应表中。

在具体的实施过程中，所述预设网段IP地址为IT管理员设置的一个所述网络安全设备对应的内网可用的网段的IP地址，该网段的IP地址不会被内网中的主机用到。且IT管理员设置所述预设网段IP地址之后，所述网络安全设备需要将所述预设网段IP地址同步给所述网络安全设备对应的终端安全应用管理平台以及各个目标终端。在实际应用中，可以将所述预设网段IP地址作为一个追踪IP地址池进行维护。

将所述预设网段IP地址作为一个追踪IP地址池进行维护时，所述利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文，可以包括：在提取得到所述目标信息之后，从预设网段IP地址对应的追踪IP地址池(check IP池)中确定出追踪IP地址check IP1，判断所述追踪IP地址check IP1是否可用，如果所述追踪IP地址check IP1可用，则利用所述目标信息和追踪IP地址check IP1构造所述DNS流量请求对应的DNS回复报文。如果所述追踪IP地址check IP1不可用，则重新确定一个IP地址。在确定出所述追踪IP地址check IP1之后，还需要对所述check IP池的记录进行更新。

步骤S13：向预设的终端安全应用管理平台发送包括所述追踪IP地址的通知信息，以便所述终端安全应用管理平台向目标终端发送所述追踪IP地址，并根据所述目标终端反馈的查询结果确定出失陷主机，其中，所述查询结果为所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定出的结果。

将所述DNS回复报文原路返回之后，还需要向预设的终端安全应用管理平台发送包括所述追踪IP地址的通知信息，所述终端安全应用管理平台在接收到所述通知信息之后，向目标终端发送所述追踪IP地址，并根据所述目标终端反馈的查询结果确定出失陷主机，其中，所述查询结果为所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定出的结果。所述终端安全应用管理平台可以包括但不限于EDR(EndpointDetection and Response，终端检测与响应)、EPP(Endpoint Protection Platform，终端保护平台)对应的管理平台。

失陷主机是指主机被攻击者植入了如僵尸网络、木马等控制程序，导致主机被攻击者远程控制，可执行其下发的任何指令的主机。

具体的，终端安全应用管理平台在接收到所述通知信息之后，告知对应的目标终端查询所述追踪IP地址，所述目标终端在接收到所述终端安全应用管理平台发送的所述追踪IP地址之后，根据目标终端中已记录的域名和IP地址记录表和所述追踪IP地址确定出查询结果，并将所述查询结果返回给所述终端安全应用管理平台，所述终端安全应用管理平台根据所述查询结果确定出失陷主机。

可见，本申请在监听到的DNS流量请求中存在威胁信息的情况下，提取所述DNS流量请求中的目标信息，然后利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文并将所述DNS回复报文原路返回，再向预设的终端安全应用管理平台发送包括所述追踪IP地址的通知信息，以便所述终端安全应用管理平台向目标终端发送所述追踪IP地址，并根据所述目标终端反馈的查询结果确定出失陷主机，其中，所述查询结果为所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定出的结果。由此可见，本申请在监听到的DNS流量请求中存在威胁信息的情况下，利用预设的追踪IP地址构造对应的DNS回复报文，再将包括所述追踪IP地址的通知信息发送到对应的终端安全应用管理平台，终端安全应用管理平台通知对应的目标终端，并根据所述目标终端反馈的查询结果确定出失陷主机，这样通过终端安全应用管理平台实现网络安全设备和目标终端之间的通信，获取到要追踪IP地址，再利用目标终端对追踪IP地址进行查询，得到查询结果，终端安全应用管理平台根据查询结果，便能够准确确定出失陷主机，且追踪IP地址的查询由各个终端完成，不会影响DNS的性能，因此不会出现转发延迟以及影响业务体验，且适用性高，相比于多个流量镜像设备，终端安全应用管理平台成本也较低。且每个目标终端只需要检测自身收到的DNS回复报文，减少了每个目标终端的压力，提高了失陷主机检测的效率。

参见图3所示，本申请实施例公开了一种具体的失陷主机检测方法，应用于网络安全设备，该方法包括：

步骤S21：对监听到的DNS流量请求进行检测。

步骤S22：在监听到的DNS流量请求中存在威胁信息的情况下，提取所述DNS流量请求中的目标信息，其中，所述目标信息包括所述DNS流量请求中的源IP地址、目的IP地址以及DNS域名。

在对监听到的DNS流量请求进行检测之后，如果所述DNS流量请求中存在威胁信息，则提取所述DNS流量请求中的目标信息，其中，所述目标信息包括所述DNS流量请求中的源IP地址、目的IP地址以及DNS域名。由于所述DNS流量请求是由DNS服务器转发的，且所述DNS服务器在转发时，会将所述DNS流量请求中的源IP地址替换成DNS服务器的IP地址，所以所述DNS流量请求中的源IP地址也就是DNS服务器的IP地址。

步骤S23：将所述DNS流量请求中的源IP地址作为所述DNS回复报文中的目的IP地址，所述DNS流量请求中的目的IP地址作为所述DNS回复报文中的源IP地址，所述追踪IP地址及所述DNS域名作为所述DNS回复报文中的预设字段的内容。

具体的，所述利用所述目标信息和预设网段IP地址中的追踪IP地址check IP1构造所述DNS流量请求对应的DNS回复报文，包括：所述DNS流量请求中的源IP地址作为所述DNS回复报文中的目的IP地址，所述DNS流量请求中的目的IP地址作为所述DNS回复报文中的源IP地址，所述追踪IP地址及所述DNS域名作为所述DNS回复报文中的预设字段的内容。也即，可以将所述DNS流量请求中的源IP地址作为所述DNS回复报文中的目的IP地址，所述DNS流量请求中的目的IP地址作为所述DNS回复报文中的源IP地址，所述追踪IP地址checkIP1作为所述DNS回复报文中的回答资源记录中的IP地址，并将所述DNS域名作为所述DNS回复报文中的查询问题得到所述DNS回复报文。在实施的过程中，如果所述回答资源记录中包括多个IP地址，则将其中一个IP地址替换为所述追踪IP地址，并将其他的IP地址删除。

步骤S24：将所述DNS回复报文原路返回。

在得到所述DNS回复报文之后，便可以将所述DNS回复报文原路返回。也即，将所述DNS回复报文发送给所述DNS回复报文中的目的IP地址对应的DNS服务器，所述DNS服务器在接收到所述DNS回复报文之后，会将所述DNS回复报文转发给对应的主机。

步骤S25：向预设的终端安全应用管理平台发送包括所述追踪IP地址的通知信息，以便所述终端安全应用管理平台向目标终端发送所述追踪IP地址，并根据所述目标终端反馈的查询结果确定出失陷主机，其中，所述查询结果为所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定出的结果。

步骤S25的具体实施过程可以参考前述实施例中公开的内容，在此不再进行赘述。

参见图4所示，为失陷主机检测的部分流程图。此图中，所述终端安全应用管理平台以EDR管理平台为例，网络安全设备监听DNS流量请求，并通过匹配威胁情报检测所述DNS流量请求，以确定是否存在失陷主机，如果发现威胁，则提取所述DNS流量请求中的基础信息，包括所述DNS流量请求中的源IP地址、目的IP地址以及DNS域名，然后从预设网段IP地址对应的追踪IP地址池(check IP池)中获取有效的追踪IP地址check IP1，并更新check IP池的记录。丢掉所述DNS流量请求，构造所述DNS流量请求对应的、解析结果为check IP1的DNS回复报文，告知EDR管理平台check IP1。

参见图5所示，本申请实施例公开了一种失陷主机检测方法，应用于终端安全应用管理平台，该方法包括：

步骤S31：接收网络安全设备发送的通知信息，其中，所述通知信息包括追踪IP地址，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址。

在具体的实施过程中，所述终端安全应用管理平台对应的网络安全设备会持续监听DNS流量请求，并对监听到的DNS流量请求进行检测，在监听到的DNS流量请求中存在威胁信息的情况下，便会利用所述DNS流量请求中的信息和预设网段IP地址中的追踪IP地址构造所述DNS流量请求对应的DNS回复报文，将所述DNS回复报文原路返回之后，所述网络安全设备便会向所述终端安全应用管理平台发送通知信息，所以所述终端安全应用管理平台需要接收所述网络设备发送的通知信息，所述通知信息中包括所述追踪IP地址。

步骤S32：向目标终端发送所述追踪IP地址，以便所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定查询结果。

在接收到所述通知信息之后，还需要将所述追踪IP地址发送到目标终端，以便所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定查询结果。在实际应用中，一个终端安全应用管理平台会对应多个目标终端，所述终端安全应用管理平台并不知道哪一个目标终端接收到所述追踪IP地址，所以所述终端安全应用管理平台需要给所有目标终端发送所述追踪IP地址。

步骤S33：根据所述目标终端反馈的查询结果确定出失陷主机。

在所述目标终端得到所述查询结果之后，会将所述查询结果返回给所述终端安全应用管理平台，所述终端安全应用管理平台便可以根据所述查询结果确定出失陷主机。

可见，本申请应用于终端安全应用管理平台时，先接收网络安全设备发送的通知信息，其中，所述通知信息包括追踪IP地址，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址；向目标终端发送所述追踪IP地址，以便所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定查询结果；根据所述目标终端反馈的查询结果确定出失陷主机。这样通过终端安全应用管理平台实现网络安全设备和目标终端之间的通信，获取到要追踪IP地址，再利用目标终端对追踪IP地址进行查询，得到查询结果，终端安全应用管理平台根据查询结果，便能够准确确定出失陷主机，且追踪IP地址的查询由各个终端完成，不会影响DNS的性能，因此不会出现转发延迟以及影响业务体验，且适用性高，相比于多个流量镜像设备，终端安全应用管理平台成本也较低。且每个目标终端只需要检测自身收到的DNS回复报文，减少了每个目标终端的压力，提高了失陷主机检测的效率。

参见图6所示，本申请实施例公开了一种失陷主机检测方法，应用于终端安全应用管理平台，该方法包括：

步骤S41：接收网络安全设备发送的通知信息，其中，所述通知信息包括追踪IP地址，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址。

步骤S42：向目标终端发送所述追踪IP地址，以便所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定查询结果，并根据所述目标终端反馈的查询结果确定出失陷主机。

步骤S41以及步骤S42的具体实施过程可以参考前述实施例中公开的内容，在此不再进行赘述。

步骤S43：接收所述目标终端反馈的失陷主机检测结果。

在向所述目标终端发送所述追踪IP地址之后，还需要接收所述目标终端反馈的失陷主机检测结果，其中，所述失陷主机检测结果可以包括但不限于失陷主机的IP地址、威胁文件路径、威胁文件处置状态等。

步骤S44：向所述网络安全设备反馈所述失陷主机检测结果，以便所述网络安全设备根据所述失陷主机检测结果进行相应的处理。

在接收到所述失陷主机检测结果之后，便可以将所述网络安全设备反馈的失陷主机检测结果反馈给所述网络安全设备，以便所述网络安全设备根据所述失陷主机检测结果进行相应的处理。其中，所述处理包括但不限于告警。具体的，就是可以将所述失陷主机检测检测结果反馈给所述网络安全设备，所述网络安全设备接收到所述失陷主机检测结果之后，发起告警，提示管理人员出现失陷主机、失陷主机的IP地址以及失陷主机上的威胁文件处置状态等。

参见图7所示，本申请实施例公开了一种失陷主机检测方法，应用于目标终端，该方法包括：

步骤S51：接收终端安全应用管理平台在接收到网络安全设备发送的通知信息后发送的追踪IP地址，其中，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址。

可以理解的是，所述目标终端主机对应的网络安全设备会持续监听DNS流量请求，并对监听到的DNS流量请求进行检测，在发现威胁信息时，便会利用所述DNS流量请求中的信息和预设网段IP地址中的追踪IP地址构造所述DNS流量请求对应的DNS回复报文，将所述DNS回复报文原路返回之后，所述网络安全设备便会向所述终端安全应用管理平台发送包括所述追踪IP地址的通知信息，所述终端安全应用管理平台接收到所述网络设备发送的通知信息之后，需要将所述通知信息中包括的追踪IP地址发送给所述目标终端，所以所述目标终端需要接收所述终端安全管理平台发送的所述追踪IP地址。

步骤S52：查询已记录的域名和IP地址记录表是否包括所述追踪IP地址，以确定出查询结果，其中，所述域名和IP地址记录表为所述目标终端对本地接收到的DNS回复报文进行解析并记录得到的。

在接收到所述追踪IP地址之后，所述目标终端查询已记录的域名和IP地址记录表，以确定出查询结果，其中，所述域名和IP地址记录表为所述目标终端对本地接收到的DNS回复报文进行解析并记录得到的。

具体的，所述目标终端可以通过在本地运行一个终端代理来查询已记录的域名和IP地址记录表，以确定出查询结果，终端代理启动时注册系统上的流量监听接口，监听目标终端接收到的DNS回复报文，并从收到的DNS回复报文中提取出DNS域名及从DNS回复报文中的回答资源积累中的IP地址；判断所述IP地址是否为预设网段IP地址中的IP地址；如果所述IP地址为预设网段IP地址中的IP地址，则将提取出的DNS域名和所述IP地址按照DNS：IP格式存储到预先建立的表中，组成“DNS1:IP1,IP2...IPN”的记录，保存成一张表中，并支持基于IP地址进行查询，得到所述域名和IP地址记录表。一个DNS域名会有多个对应的IP地址是因为目标终端可能先后对一个DNS域名发出过不同的DNS流量请求。

步骤S53：将所述查询结果反馈给所述终端安全应用管理平台，以便所述终端安全应用管理平台根据所述查询结果确定出失陷主机。

在得到所述查询结果之后，所述目标终端便需要将所述查询结果返回给所述终端安全应用管理平台，所述终端安全应用管理平台根据所述查询结果确定出失陷主机。

在实际应用中，为了避免网络风暴可以在目标终端在域名和IP地址记录表中查询到所述追踪IP地址之后，再向所述将所述查询结果返回给所述终端安全应用管理平台，如果目标终端在域名和IP地址记录表中没有查询到所述追踪IP地址，则不必回复。

可见，本申请应用于目标终端时，先接收终端安全应用管理平台在接收到网络安全设备发送的通知信息后发送的追踪IP地址，其中，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址，然后查询已记录的域名和IP地址记录表是否包括所述追踪IP地址，以确定出查询结果，其中，所述域名和IP地址记录表为所述目标终端对本地接收到的DNS回复报文进行解析并记录得到的，将所述查询结果反馈给所述终端安全应用管理平台，以便所述终端安全应用管理平台根据所述查询结果确定出失陷主机。这样通过终端安全应用管理平台实现网络安全设备和目标终端之间的通信，获取到要追踪IP地址，再利用目标终端对追踪IP地址进行查询，得到查询结果，终端安全应用管理平台根据查询结果，便能够准确确定出失陷主机，且追踪IP地址的查询由各个终端完成，不会影响DNS的性能，因此不会出现转发延迟以及影响业务体验，且适用性高，相比于多个流量镜像设备，终端安全应用管理平台成本也较低。且每个目标终端只需要检测自身收到的DNS回复报文，减少了每个目标终端的压力，提高了失陷主机检测的效率。

参见图8所示，本申请实施例公开了一种失陷主机检测方法，应用于目标终端，该方法包括：

步骤S61：接收终端安全应用管理平台在接收到网络安全设备发送的通知信息后发送的追踪IP地址，其中，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址。

步骤S62：查询已记录的域名和IP地址记录表是否包括所述追踪IP地址，以确定出查询结果，其中，所述域名和IP地址记录表为所述目标终端对本地接收到的DNS回复报文进行解析并记录得到的。

步骤S63：将所述查询结果反馈给所述终端安全应用管理平台，以便所述终端安全应用管理平台根据所述查询结果确定出失陷主机。

步骤S61至步骤S63的具体实施过程，可以参考前述实施例中公开的内容，在此不再进行赘述。

步骤S64：如果所述域名和IP地址记录表包括所述追踪IP地址，则利用预设进程查询指令和所述追踪IP地址确定威胁进程的进程PID，其中，所述威胁进程为发起所述DNS流量请求的进程。

如果所述域名和IP地址记录表包括所述追踪IP地址，还可以利用预设进程查询指令和所述追踪IP地址确定威胁进程的进程PID(Process Identification，进程标识符)，其中，所述威胁进程为发起所述DNS流量请求的进程。失陷主机内的威胁程序在接收到DNS回复报文后会主动与报文解析的追踪IP地址建立通信，所以可以利用所述追踪IP地址确定威胁进程。以windows为例，目标终端通过执行以下命令“netstat-ano|findstr IP1”即可获得对应建立DNS流量请求的威胁进程的进程PID，其中，IP1为DNS回复报文中追踪IP地址。如图9所示，为利用追踪IP地址和预设进程查询指令查询到的进程PID为23328。

步骤S65：利用所述进程PID杀死所述威胁进程。

在获得所述进程PID之后，便可以利用所述进程PID杀死所述威胁进程。这样便可以对失陷主机上的威胁进行清除。以windows为例，目标终端通过执行以下命令“taskkill/pid PID-t”即可杀死相应的威胁进程。

步骤S66：利用所述进程PID和预设路径查询指令确定所述威胁进程对应的威胁文件路径。

在得到所述进程PID之后，还可以利用所述进程PID和预设路径查询指令确定所述威胁进程对应的威胁文件路径。以windows为例，目标终端通过执行以下命令“wmicprocess get executablepath|findstr pid”即可获得所述威胁进程对应的威胁文件路径。

步骤S67：利用所述威胁文件路径删除威胁文件。

相应的，也可以利用所述威胁文件路径删除威胁文件。在杀死所述威胁进程之后，再将所述威胁文件路径下的威胁文件删除，以避免黑客再次利用所述威胁文件拉起所述威胁进程。以windows为例，目标终端通过执行以下命令“del PATH”即可删除对应的威胁文件。其中，PATH表示所述威胁文件路径。

在删除所述威胁文件之后，还需要将失陷主机检测结果反馈给所述终端安全应用管理平台，其中，所述失陷主机检测结果包括但不限于失陷主机的IP地址、所述威胁文件路径以及威胁文件处置状态，所述威胁文件处置状态可以包括处置完毕、待处置等。

在具体的实施过程中，为了应对失陷主机是DNS服务器的情况，可以在内网中的DNS服务器上也部署所述终端代理，以便确定DNS服务器是否为失陷主机。且为保证终端代理查询IP地址时的准确性，网络安全设备在向所述终端安全应用管理平台通知信息时，可以将需要追踪IP地址以及对应的DNS域名一起发送给所述终端安全应用管理平台，所述终端安全管理平台在接收到所述追踪IP地址以及DNS域名之后，在已记录的域名和IP地址记录表中查询，以确定是否有相同的记录便可以确定当前主机是否为失陷主机。

参见图10所示，为失陷主机检测部分流程图。目标终端的终端代理监听到主机接收到的DNS回复报文，提取所述监听到的DNS回复报文中的报文信息，其中，所述报文信息包括DNS回复报文中的DNS域名以及回答资源记录中的IP地址，判断所述IP地址是否为预设网段IP地址中的IP地址，如果是，则记录所述DNS回复报文中的DNS域名以及回答资源记录中的IP地址。如果不是，则继续监听主机接收到的DNS回复报文。

参见图11所示，为失陷主机检测部分流程图。终端安全管理应用平台在接收到NGFW发送的通知信息之后，下发需要查询的DNS域名和IP地址给目标终端并监听结果，目标终端查询已记录的域名和IP地址记录表，看是否有符合的记录，如果查询到符合的记录，利用查询的IP地址定位具体的威胁进程和威胁文件路径，判断是否定位到威胁进程，如果是，则杀死威胁进程并删除威胁文件，将失陷主机检测结果反馈给所述终端安全应用管理平台，所述终端安应用全管理平台将失陷主机检测结果反馈给NGFW。

参见图12所示，本申请实施例公开了一种失陷主机检测装置，应用于网络安全设备，包括：

信息提取模块11，用于在监听到的DNS流量请求中存在威胁信息的情况下，提取所述DNS流量请求中的目标信息；

报文构造模块12，用于利用预设网段IP地址中的追踪IP地址和所述目标信息构造所述DNS流量请求对应的DNS回复报文；

报文发送模块13，用于将所述DNS回复报文原路返回；

第一信息发送模块14，用于向预设的终端安全应用管理平台发送包括所述追踪IP地址的通知信息，以便所述终端安全应用管理平台向目标终端发送所述追踪IP地址，并根据所述目标终端反馈的查询结果确定出失陷主机，其中，所述查询结果为所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定出的结果。

进一步的，所述信息提取模块12，具体用于：

相应地，所述报文构造模块12，具体用于：将所述DNS流量请求中的源IP地址作为所述DNS回复报文中的目的IP地址，所述DNS流量请求中的目的IP地址作为所述DNS回复报文中的源IP地址，所述追踪IP地址及所述DNS域名作为所述DNS回复报文中的预设字段的内容。

参见图13所示，本申请实施例公开了一种失陷主机检测装置，应用于终端安全应用管理平台，包括：

第一信息接收模块21，用于接收网络安全设备发送的通知信息，其中，所述通知信息包括追踪IP地址，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址；

第二信息发送模块22，用于向目标终端发送所述追踪IP地址，以便所述目标终端根据本地已记录的域名和IP地址记录表和所述追踪IP地址确定查询结果；

失陷主机确定模块23，用于根据所述目标终端反馈的查询结果确定出失陷主机。

进一步的，所述第一信息接收模块21，还用于：

接收所述目标终端反馈的失陷主机检测结果；

进一步的，所述第二信息发送模块22，还用于：

参见图14所示，本申请实施例公开了一种失陷主机检测装置，应用于目标终端，包括：

第二信息接收模块31，用于接收终端安全应用管理平台在接收到网络安全设备发送的通知信息后发送的追踪IP地址，其中，所述追踪IP地址为所述网络安全设备在监听到的DNS流量请求中存在威胁信息的情况下，针对监听到的所述DNS流量请求构造DNS回复报文时利用的预设网段IP地址中的IP地址；

查询模块32，用于查询已记录的域名和IP地址记录表是否包括所述追踪IP地址，以确定出查询结果，其中，所述域名和IP地址记录表为所述目标终端对本地接收到的DNS回复报文进行解析并记录得到的；

第三信息发送模块33，用于将所述查询结果反馈给所述终端安全应用管理平台，以便所述终端安全应用管理平台根据所述查询结果确定出失陷主机。

进一步的，所述失陷主机检测装置，还包括：

进程确定模块，用于利用预设进程查询指令和所述追踪IP地址确定威胁进程的进程PID，其中，所述威胁进程为发起所述DNS流量请求的进程；

进程关闭模块，用于利用所述进程PID杀死所述威胁进程；

具体的，所述失陷主机检测装置，还包括：

路径确定模块，用于利用所述进程PID和预设路径查询指令确定所述威胁进程对应的威胁文件路径；

文件删除模块，用于利用所述威胁文件路径删除威胁文件。

图15为本申请实施例提供的一种电子设备40的结构示意图，当所述电子设备为网络安全设备时，可以实现前述网络安全设备侧执行的失陷主机检测方法步骤。当所述电子设备为服务器时，所述服务器运行所述终端安全应用管理平台，可以实现前述终端安全应用管理平台侧执行的失陷主机检测方法步骤。当所述电子设备为终端时，可以实现前述目标终端侧执行的失陷主机检测方法步骤。

通常，本实施例中的电子设备40包括：处理器41和存储器42。

其中，处理器41可以包括一个或多个处理核心，比如四核心处理器、八核心处理器等。处理器41可以采用DSP(digital signal processing,数字信号处理)、FPGA(field-programmable gate array,现场可编程们阵列)、PLA(programmable logic array,可编程逻辑阵列)中的至少一种硬件来实现。处理器41也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称CPU(central processing unit,中应处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器41可以集成有GPU(graphics processing unit,图像处理器)，GPU用于负责显示屏所需要显示的图像的渲染和绘制。一些实施例中，处理器41可以包括AI(artificialintelligence，人工智能)处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器42可以包括一个或多个计算机可读存储介质，计算机可读存储介质可以是非暂态的。存储器42还可以包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器42至少用于存储以下计算机程序421，其中，该计算机程序被处理器41加载并执行之后，能够实现前述任一实施例中公开的失陷主机检测方法步骤。在一些实施例中，电子设备40还可包括有显示屏43、输入输出接口44、通信接口45、传感器46、电源47以及通信总线48。

本技术领域人员可以理解，图15中示出的结构并不构成对电子设备40的限定，可以包括比图示更多或更少的组件。

进一步的，本申请实施例还公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述任一实施例中公开的失陷主机检测方法。

其中，关于上述失陷主机检测方法的具体过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

最后，还需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请所提供的一种失陷主机检测方法、装置、设备、介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

1.一种失陷主机检测方法，其特征在于，应用于网络安全设备，包括：

2.根据权利要求1所述的失陷主机检测方法，其特征在于，所述提取所述DNS流量请求中的目标信息，包括：

3.一种失陷主机检测方法，其特征在于，应用于终端安全应用管理平台，包括：

根据所述目标终端反馈的查询结果确定出失陷主机。

4.根据权利要求3所述的失陷主机检测方法，其特征在于，所述根据所述目标终端反馈的查询结果确定出失陷主机之后，还包括：

接收所述目标终端反馈的失陷主机检测结果；

5.一种失陷主机检测方法，其特征在于，应用于目标终端，包括：

6.根据权利要求5所述的失陷主机检测方法，其特征在于，所述将所述查询结果反馈给所述终端安全应用管理平台之后，还包括：

利用所述进程PID杀死所述威胁进程。

7.根据权利要求6所述的失陷主机检测方法，其特征在于，所述利用预设进程查询指令和所述追踪IP地址确定威胁进程的进程PID之后，还包括：

利用所述威胁文件路径删除威胁文件。

8.一种失陷主机检测装置，其特征在于，应用于网络安全设备，包括：

报文发送模块，用于将所述DNS回复报文原路返回；

9.一种失陷主机检测装置，其特征在于，应用于终端安全应用管理平台，包括：

10.一种失陷主机检测装置，其特征在于，应用于目标终端，包括：

11.一种电子设备，其特征在于，包括：

存储器和处理器；

其中，所述存储器，用于存储计算机程序；

所述处理器，用于执行所述计算机程序，以实现权利要求1至7任一项所述的失陷主机检测方法。

12.一种计算机可读存储介质，其特征在于，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的失陷主机检测方法。