CN112367340A - 一种内网资产风险评估方法、装置、设备及介质 - Google Patents

一种内网资产风险评估方法、装置、设备及介质 Download PDF

Info

Publication number
CN112367340A
CN112367340A CN202011377233.5A CN202011377233A CN112367340A CN 112367340 A CN112367340 A CN 112367340A CN 202011377233 A CN202011377233 A CN 202011377233A CN 112367340 A CN112367340 A CN 112367340A
Authority
CN
China
Prior art keywords
domain name
dns
data
host
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011377233.5A
Other languages
English (en)
Other versions
CN112367340B (zh
Inventor
吴悠漾
范渊
杨勃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN202011377233.5A priority Critical patent/CN112367340B/zh
Publication of CN112367340A publication Critical patent/CN112367340A/zh
Application granted granted Critical
Publication of CN112367340B publication Critical patent/CN112367340B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

本申请公开了一种内网资产风险评估方法、装置、设备及介质。该方法包括:获取内网环境中主机发送的DNS访问请求,并解析DNS访问请求以得到DNS流量数据;利用预先创建的威胁情报库从DNS流量数据中确定出异常流量数据,并对异常流量数据添加域名特征标识;对异常流量数据进行特征提取,得到主机的行为特征参数;基于域名自身风险系数,以及根据行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据域名特征标识和主机风险系数确定出每个主机的资产风险等级。本申请充分考虑到资产被受攻击的情况,然后再结合域名特征确定出主机的资产风险等级,提高了对内网资产风险评估的能力。

Description

一种内网资产风险评估方法、装置、设备及介质
技术领域
本发明涉及风险评估领域,特别涉及一种内网资产风险评估方法、装置、设备及介质。
背景技术
当前,企业用户或个人用户在访问网页时存在因访问恶意域名导致被C&C远控服务器(Command and Control Server)控制、植入后门程序或下载勒索软件的问题。威胁到企业内部信息及个人隐私的安全性,重要文件被恶意加密,资源被占用,从而造成经济损失。现有技术中,通过检测网络攻击的方式检测网络的安全问题,但是无法了解内网的整体安全状况,忽略了已经存在的失陷资产和安全风险,对风险的评估不够全面,降低了内网资产风险评估的能力。
发明内容
有鉴于此,本发明的目的在于提供一种内网资产风险评估方法、装置、设备及介质,能够提高内网资产风险评估的能力。其具体方案如下:
第一方面,本申请公开了一种内网资产风险评估方法,包括:
获取内网环境中主机发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据;
利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识;
对所述异常流量数据进行特征提取,得到主机的行为特征参数;
基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。
可选的,所述威胁情报库的创建过程,包括:
利用现有情报库、爬虫技术和蜜罐技术获取恶意域名数据;
对所述恶意域名数据进行对比、清洗和筛选,以得到所述威胁情报库。
可选的,所述域名特征标识包括置信度标识和类型标识。
可选的,所述行为特征参数包括恶意域名访问数量和恶意域名访问次数。
可选的,所述对所述异常流量数据进行特征提取之前,还包括:
将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具;
利用分布式发布订阅消息系统,定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台,以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。
第二方面,本申请公开了一种内网资产风险评估装置,包括:
解析模块,用于获取内网环境发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据;
异常流量确定模块,用于利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识;
特征提取模块,用于对所述异常流量数据进行特征提取,得到每个主机的行为特征参数;
风险评估模块,用于基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。
可选的,所述内网资产风险评估装置,包括:
威胁情报库构建模块,用于利用现有情报库、爬虫技术和蜜罐技术获取恶意域名数据;对所述恶意域名数据进行对比、清洗和筛选,以得到所述威胁情报库。
可选的,所述内网资产风险评估装置,包括:
DNS流量数据存储模块,用于将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具;利用分布式发布订阅消息系统,定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台,以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的内网资产风险评估方法。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中计算机程序被处理器执行时实现前述的内网资产风险评估方法。
本申请中,通过获取内网环境中主机发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据,然后利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识,再对所述异常流量数据进行特征提取,得到主机的行为特征参数,最后基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。可见,基于异常流量数据得到的主机的行为特征参数,可以反映出主机受到攻击的攻击时间和攻击活跃度,充分考虑到资产被受攻击的情况,然后再结合由威胁情报库确定的域名特征标识最终确定出主机的资产风险等级,实现威胁情报的自动采集以及资产风险的评估,提高了对内网资产风险评估的能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种内网资产风险评估方法流程图;
图2为本申请提供的一种具体的内网资产风险评估方法流程图;
图3为本申请提供的一种具体的内网资产风险评估系统示意图;
图4为本申请提供的一种内网资产风险评估装置结构示意图;
图5为本申请提供的一种电子设备结构图。
具体实施方式
现有技术中,通过检测网络攻击的方式检测网络的安全问题,但是无法了解内网的整体安全状况,忽略了已经存在的失陷资产和安全风险,对风险的评估不够全面,降低了内网资产风险评估的能力。为克服上述问题,本申请提出一种基于DNS流量数据的内网资产风险评估方法,可以提高对内网资产的风险评估能力。
本申请实施例公开了一种内网资产风险评估方法,参见图1所示,该方法可以包括以下步骤:
步骤S11:获取内网环境中主机发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据。
本实施例中,首先获取内网环境中主机发送的DNS(Domain Name System,域名系统)访问请求,然后解析上述DNS访问请求以得到DNS流量数据。可以理解的是,网络设备在访问某个域名指向的资源之前,需要向DNS服务器查询域名对应的IP地址进行后续连接,这个过程被称为DNS解析,而90%以上的恶意软件使用DNS解析获取C&C服务器的IP地址,接收攻击指令。因此,DNS行为是恶意软件的基础特征,DNS流量数据是安全监控最佳切入点,通过在DNS解析过程中记录访问日志并进行分析,能够掌握当前网络资产的安全状况。具体的,可以采用深度包分析技术,对内网环境发出的DNS访问请求进行实时识别与解析,以得到内网的所有DNS流量数据中含有的访问的域名信息。
步骤S12:利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识。
本实施例中,利用预先创建的威胁情报库从上述DNS流量数据中确定出异常流量数据,可以理解的是,通过将DNS流量数据与威胁情报库中的数据进行碰撞比对,发现其中的异常行为并实施拦截,得到异常流量数据并添加相应的域名特征标识,其中,所述域名特征标识包括置信度标识和类型标识,例如挖矿类域名标志。
本实施例中,所述威胁情报库的创建过程,可以包括:利用现有情报库、爬虫技术和蜜罐技术获取恶意域名数据;对所述恶意域名数据进行对比、清洗和筛选,以得到所述威胁情报库。可以理解的是,通过爬虫技术和现有情报库对恶意域名进行被动收集,通过搭建多个蜜罐主动收集恶意域名,然后对收集到的恶意域名进行对比、清洗、筛选以及细粒度分类,形成上述威胁情报库,并且,需要说明的是,上述威胁情报库是不断更新的。由此,威胁情报库的数据来源广泛,减少了匹配分析时得到的结果存在漏报的情况。
步骤S13:对所述异常流量数据进行特征提取,得到主机的行为特征参数。
本实施例中,在获取到上述流量数据后,对上述流量数据按照每个主机为中心进行特征提取,即以单个资产为单位进行统计特征提取,得到每个主机的行为特征参数;其中,所述行为特征参数包括但不限于恶意域名访问数量和恶意域名访问次数,即每个主句访问的恶意域名的数量,每个恶意域名访问的次数以及访问恶意域名的总次数。
步骤S14:基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。
本实施例中,在得到上述行为特征参数后,根据上述行为特征参数可以计算出主机被不同域名攻击的攻击时间和攻击活跃度,然后根据上述攻击时间、攻击活跃度和域名自身风险系数确定出主机风险系数,其中,上述域名自身风险系数为域名本身的固有属性为固定值。其中,上述攻击活跃度的计算公式为:
ai=d/Dl-Df
其中,ai为第i个恶意域名的活跃度,Dl为最近一次访问第i个恶意域名的时间,Df为第一次访问第i个恶意域名的时间,d为在时间段(Dl,Df)内访问第i个恶意域名的天数。
其中,上述主机风险系数的计算公式为:
Figure BDA0002808501230000051
其中,LIPj为第j个主机的主机风险系数,ci为第i个恶意域名的访问次数,li为第i个恶意域名的域名自身风险系数。
例如,主机IP1访问过三个恶意域名,分别为domain1、domain2、domain3,相应的访问次数分别为c1、c2、c3,域名自身风险系数分别为固定值l1、l2、l3,则主机IP1风险系数为:
Figure BDA0002808501230000061
在计算出上述主机风险系数后,根据上述主机风险系数和域名特征标识确定出每个主机的资产风险等级,即根据域名的置信度、类型和上述主机风险系数为每个资产进行风险打分,最终根据预设的资产风险阈值可以将资产风险等级分为低、中、高三类,以确定出每个主机的资产风险等级。
本实施例中,通过获取内网环境中主机发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据,然后利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识,再对所述异常流量数据进行特征提取,得到主机的行为特征参数,最后基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。可见,基于异常流量数据得到的主机的行为特征参数,可以反映出主机受到攻击的攻击时间和攻击活跃度,充分考虑到资产被受攻击的情况,然后再结合由威胁情报库确定的域名特征标识最终确定出主机的资产风险等级,实现威胁情报的自动采集以及资产风险的评估,提高了对内网资产风险评估的能力。
本申请实施例公开了一种具体的内网资产风险评估方法,参见图2所示,该方法可以包括以下步骤:
步骤S21:获取内网环境中主机发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据。
步骤S22:利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识。
例如图3所示,从内网环境获取DNSDNS访问请求后进行解析,得到DNS流量数据,然后通过威胁情报库拦截异常流量数据。其中,恶意情报库的构建为基于现有情报库、爬虫技术和蜜罐技术构建的情报库。
步骤S23:将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具。
本实施例中,在获取到上述DNS流量数据,并标识异常流量数据后,将含有异常流量数据的DNS流量数据保存至数据仓库工具(即hive)。
步骤S24:利用分布式发布订阅消息系统,定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台,以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。
本实施例中,例如图3所示,设置大数据平台向分布式发布订阅消息系统订阅DNS日志,上述分布式发布订阅消息系统可以为kafka,kafka定期从数据仓库工具获取所述DNS流量数据并分发到大数据平台,并将其中带有域名特征标识的异常流量数据存储在搜索服务器中用于查询与分析,上述搜索服务器可以为ES数据库。
步骤S25:对所述异常流量数据进行特征提取,得到主机的行为特征参数。
步骤S26:基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。
本实施例中,具体的,例如图3所示,从ES数据库中获取上述异常流量数据,并通过进行资产行为特征提取得到主机的行为特征参数,然后利用风险等级评估模型计算得到每个主机的资产风险等级。
其中,关于上述步骤S21、步骤S22、步骤S25和步骤S26的具体过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
本实施例中,通过将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具,然后利用分布式发布订阅消息系统,定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台,以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。由此,可以实现DNS流量数据的自动采集和分类存储,便于后续直接从搜索服务器直接获取异常流量数据进行分析判断,能够记录并使用访问恶意网址的域名请求日志进行有效的分析。
相应的,本申请实施例还公开了一种内网资产风险评估装置,参见图4所示,该装置包括:
解析模块11,用于获取内网环境发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据;
异常流量确定模块12,用于利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识;
特征提取模块13,用于对所述异常流量数据进行特征提取,得到每个主机的行为特征参数;
风险评估模块14,用于基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。
本实施例中,通过获取内网环境中主机发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据,然后利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识,再对所述异常流量数据进行特征提取,得到主机的行为特征参数,最后基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。可见,基于异常流量数据得到的主机的行为特征参数,可以反映出主机受到攻击的攻击时间和攻击活跃度,充分考虑到资产被受攻击的情况,然后再结合由威胁情报库确定的域名特征标识最终确定出主机的资产风险等级,实现威胁情报的自动采集以及资产风险的评估,提高了对内网资产风险评估的能力。
在一些具体实施例中,所述内网资产风险评估装置具体可以包括:
威胁情报库构建模块,用于利用现有情报库、爬虫技术和蜜罐技术获取恶意域名数据;对所述恶意域名数据进行对比、清洗和筛选,以得到所述威胁情报库。
在一些具体实施例中,所述内网资产风险评估装置具体可以包括:
DNS流量数据存储模块,用于将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具;利用分布式发布订阅消息系统,定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台,以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。
进一步的,本申请实施例还公开了一种电子设备,参见图5所示,图中的内容不能被认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的内网资产风险评估方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及包括DNS流量数据在内的数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的内网资产风险评估方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述任一实施例公开的内网资产风险评估方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种内网资产风险评估方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种内网资产风险评估方法,其特征在于,包括:
获取内网环境中主机发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据;
利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识;
对所述异常流量数据进行特征提取,得到主机的行为特征参数;
基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。
2.根据权利要求1所述的内网资产风险评估方法,其特征在于,所述威胁情报库的创建过程,包括:
利用现有情报库、爬虫技术和蜜罐技术获取恶意域名数据;
对所述恶意域名数据进行对比、清洗和筛选,以得到所述威胁情报库。
3.根据权利要求1所述的内网资产风险评估方法,其特征在于,所述域名特征标识包括置信度标识和类型标识。
4.根据权利要求1所述的内网资产风险评估方法,其特征在于,所述行为特征参数包括恶意域名访问数量和恶意域名访问次数。
5.根据权利要求1所述的内网资产风险评估方法,其特征在于,所述对所述异常流量数据进行特征提取之前,还包括:
将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具;
利用分布式发布订阅消息系统,定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台,以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。
6.一种内网资产风险评估装置,其特征在于,包括:
解析模块,用于获取内网环境发送的DNS访问请求,并解析所述DNS访问请求以得到DNS流量数据;
异常流量确定模块,用于利用预先创建的威胁情报库从所述DNS流量数据中确定出异常流量数据,并对所述异常流量数据添加域名特征标识;
特征提取模块,用于对所述异常流量数据进行特征提取,得到每个主机的行为特征参数;
风险评估模块,用于基于域名自身风险系数,以及根据所述行为特征参数确定的不同域名攻击的攻击时间和攻击活跃度,确定出主机风险系数,并根据所述域名特征标识和所述主机风险系数确定出每个主机的资产风险等级。
7.根据权利要求6所述的内网资产风险评估装置,其特征在于,所述内网资产风险评估装置,包括:
威胁情报库构建模块,用于利用现有情报库、爬虫技术和蜜罐技术获取恶意域名数据;对所述恶意域名数据进行对比、清洗和筛选,以得到所述威胁情报库。
8.根据权利要求6所述的内网资产风险评估装置,其特征在于,所述内网资产风险评估装置,包括:
DNS流量数据存储模块,用于将含有所述异常流量数据的所述DNS流量数据保存至数据仓库工具;利用分布式发布订阅消息系统,定期从所述数据仓库工具获取所述DNS流量数据并分发到大数据平台,以便根据所述域名特征标识提取出异常流量数据并存储到搜索服务器。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至5任一项所述的内网资产风险评估方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中计算机程序被处理器执行时实现如权利要求1至5任一项所述的内网资产风险评估方法。
CN202011377233.5A 2020-11-30 2020-11-30 一种内网资产风险评估方法、装置、设备及介质 Active CN112367340B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011377233.5A CN112367340B (zh) 2020-11-30 2020-11-30 一种内网资产风险评估方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011377233.5A CN112367340B (zh) 2020-11-30 2020-11-30 一种内网资产风险评估方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN112367340A true CN112367340A (zh) 2021-02-12
CN112367340B CN112367340B (zh) 2022-07-05

Family

ID=74535683

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011377233.5A Active CN112367340B (zh) 2020-11-30 2020-11-30 一种内网资产风险评估方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN112367340B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021978A (zh) * 2022-05-17 2022-09-06 云盾智慧安全科技有限公司 攻击路径预测方法、装置、电子设备及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030195861A1 (en) * 2002-01-15 2003-10-16 Mcclure Stuart C. System and method for network vulnerability detection and reporting
CN105141598A (zh) * 2015-08-14 2015-12-09 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置
CN106453412A (zh) * 2016-12-01 2017-02-22 绵阳灵先创科技有限公司 一种基于频次特征的恶意域名判定方法
US20180027013A1 (en) * 2016-07-20 2018-01-25 Duo Security, Inc. Methods for preventing cyber intrusions and phishing activity
US20190116193A1 (en) * 2017-10-17 2019-04-18 Yanlin Wang Risk assessment for network access control through data analytics
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
US20200106790A1 (en) * 2018-09-28 2020-04-02 Fireeye, Inc. Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030195861A1 (en) * 2002-01-15 2003-10-16 Mcclure Stuart C. System and method for network vulnerability detection and reporting
CN105141598A (zh) * 2015-08-14 2015-12-09 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置
US20180027013A1 (en) * 2016-07-20 2018-01-25 Duo Security, Inc. Methods for preventing cyber intrusions and phishing activity
CN106453412A (zh) * 2016-12-01 2017-02-22 绵阳灵先创科技有限公司 一种基于频次特征的恶意域名判定方法
US20190116193A1 (en) * 2017-10-17 2019-04-18 Yanlin Wang Risk assessment for network access control through data analytics
US20200106790A1 (en) * 2018-09-28 2020-04-02 Fireeye, Inc. Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
崔甲: "一种高效的恶意域名检测框架", 《北京理工大学学报》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021978A (zh) * 2022-05-17 2022-09-06 云盾智慧安全科技有限公司 攻击路径预测方法、装置、电子设备及存储介质
CN115021978B (zh) * 2022-05-17 2023-11-24 云盾智慧安全科技有限公司 攻击路径预测方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN112367340B (zh) 2022-07-05

Similar Documents

Publication Publication Date Title
US10791131B2 (en) Processing network data using a graph data structure
CN103685575B (zh) 一种基于云架构的网站安全监控方法
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
US9876813B2 (en) System and method for web-based log analysis
CN109688097A (zh) 网站防护方法、网站防护装置、网站防护设备及存储介质
CN107733699B (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
CN107580052B (zh) 自演进的网络自适应爬虫方法及系统
CN112019519B (zh) 网络安全情报威胁度的检测方法、装置和电子装置
RU2638001C1 (ru) Система и способ выделения части резерва производительности антивирусного сервера для выполнения антивирусной проверки веб-страницы
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
US10951645B2 (en) System and method for prevention of threat
EP3913888A1 (en) Detection method for malicious domain name in domain name system and detection device
CN111314301A (zh) 一种基于dns解析的网站访问控制方法及装置
EP3647982B1 (en) Cyber attack evaluation method and cyber attack evaluation device
Sujatha Improved user navigation pattern prediction technique from web log data
JP2013257773A (ja) 監視装置および監視方法
JP5791548B2 (ja) アドレス抽出装置
CN112367340B (zh) 一种内网资产风险评估方法、装置、设备及介质
CN113965497B (zh) 服务器异常识别方法、装置、计算机设备及可读存储介质
EP3789890A1 (en) Fully qualified domain name (fqdn) determination
US20170206619A1 (en) Method for managing violation incident information and violation incident management system and computer-readable recording medium
WO2016173327A1 (zh) 用于检测网站攻击的方法和设备
CN111371917B (zh) 一种域名检测方法及系统
US11218487B1 (en) Predictive entity resolution
CN115037532A (zh) 基于异构图神经网络的恶意域名检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant