CN112804369A - 一种网络系统及网络访问安全检测方法、装置和相关设备 - Google Patents
一种网络系统及网络访问安全检测方法、装置和相关设备 Download PDFInfo
- Publication number
- CN112804369A CN112804369A CN202011582852.8A CN202011582852A CN112804369A CN 112804369 A CN112804369 A CN 112804369A CN 202011582852 A CN202011582852 A CN 202011582852A CN 112804369 A CN112804369 A CN 112804369A
- Authority
- CN
- China
- Prior art keywords
- access
- information
- host
- dns
- proxy server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络访问安全检测方法、装置、威胁情报检测设备、网络系统和计算机可读存储介质,该方法应用于与DNS代理服务器通信连接的威胁情报检测设备,包括:接收DNS代理服务器定时采集并发送的DNS解析日志;从中提取各主机的访问信息,访问信息包括源主机识别信息和访问目标域名;将访问信息中的访问目标域名在预设的访问威胁情报库中进行匹配查找,访问威胁情报库中存储有各类已知的危险域名;将匹配成功的访问信息所对应的主机确定为目标主机,生成针对目标主机的告警信息。本申请基于DNS代理服务器生成的DNS解析日志,一一查找是否存在访问了危险域名的主机,可有效杜绝误报、漏报现象发生,提高了检测结果的精确度。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种网络访问安全检测方法、装置、威胁情报检测设备、网络系统和计算机可读存储介质。
背景技术
在网络安全领域中,诱使目标访问一些危险网站(如钓鱼网站),是一些网络不法分子的常用手段。对此,当前的现有技术一般基于访问时所产生的流量数据进行安全检测。
但是,在设置有DNS(Domain Name Syste,域名系统)代理服务器的网络系统中,经过DNS代理服务器的流量数据的定位结果将指向DNS代理服务器本身,而非原始DNS访问的源主机,因而造成误报,漏报了真正的问题主机。此外,由于DNS代理服务器具备缓存功能,因此,一旦不同的主机访问了相同的域名,缓存的存在将令DNS代理服务器不再产生访问外部DNS服务器的流量,因此后续访问了相同域名的问题主机也将被漏报。
鉴于此,提供一种解决上述技术问题的方案,已经是本领域技术人员所亟需关注的。
发明内容
本申请的目的在于提供一种网络访问安全检测方法、装置、威胁情报检测设备、网络系统和计算机可读存储介质,以便有效提高对危险访问的识别能力,避免误报和漏报的现象发生。
为解决上述技术问题,一方面,本申请公开了一种网络访问安全检测方法,应用于网络系统中与DNS代理服务器通信连接的威胁情报检测设备,所述DNS代理服务器经预先配置后将自动根据各主机的域名解析请求而生成DNS解析日志;所述方法包括:
接收所述DNS代理服务器定时采集并发送的所述DNS解析日志;
从所述DNS解析日志中提取各所述主机的访问信息,所述访问信息包括源主机识别信息和访问目标域名;
将所述访问信息中的所述访问目标域名在预设的访问威胁情报库中进行匹配查找,所述访问威胁情报库中存储有各类已知的危险域名;
将匹配成功的所述访问信息所对应的主机确定为目标主机,生成针对所述目标主机的告警信息。
可选地,所述源主机识别信息包括所述源主机的IP地址、设备标识、序列号或者MAC地址。
可选地,所述接收所述DNS代理服务器定时采集并发送的所述DNS解析日志,包括:
基于syslog或者http接收服务,接收所述DNS代理服务器定时采集并发送的所述DNS解析日志。
可选地,在所述生成针对所述目标主机的告警信息之后,还包括:
向所述DNS代理服务器发送针对于所述目标主机的服务禁止指令。
可选地,在所述生成针对所述目标主机的告警信息之后,还包括:
通过所述DNS代理服务器向所述目标主机发送告警指令,以便所述目标主机进行告警显示。
又一方面,本申请公开了一种网络访问安全检测装置,应用于网络系统中与DNS代理服务器通信连接的威胁情报检测设备,所述DNS代理服务器经预先配置后将自动根据各主机的域名解析请求而生成DNS解析日志;所述装置包括:
接收模块,用于接收所述DNS代理服务器定时采集并发送的所述DNS解析日志;
解析模块,用于从所述DNS解析日志中提取各主机的访问信息,所述访问信息包括源主机识别信息和访问目标域名;
检测模块,用于将所述访问信息中的所述访问目标域名在预设的访问威胁情报库中进行匹配查找,所述访问威胁情报库中存储有各类已知的危险域名;
告警模块,用于将匹配成功的所述访问信息所对应的主机确定为目标主机,生成针对所述目标主机的告警信息。
可选地,所述接收模块具体用于:
基于syslog或者http接收服务,接收所述DNS代理服务器定时采集并发送的所述DNS解析日志。
可选地,所述源主机识别信息包括所述源主机的IP地址、设备标识、序列号或者MAC地址。
可选地,所述告警模块在所述生成针对所述目标主机的告警信息之后,还用于:向所述DNS代理服务器发送针对于所述目标主机的服务禁止指令。
可选地,所述告警模块在所述生成针对所述目标主机的告警信息之后,还用于:通过所述DNS代理服务器向所述目标主机发送告警指令,以便所述目标主机进行告警显示。
又一方面,本申请还公开了一种网络系统,包括若干个主机、通过交换机与所述主机通信连接的DNS代理服务器、以及与所述DNS代理服务器通信连接的威胁情报检测设备;
所述DNS代理服务器经预先配置后将自动根据各主机发送的域名解析请求而生成DNS解析日志,并定时采集和发送所述DNS解析日志至所述威胁情报检测设备;
所述威胁情报检测设备用于从所述DNS解析日志中提取各所述主机的访问信息,所述访问信息包括源主机识别信息和访问目标域名;将所述访问信息中的所述访问目标域名在预设的访问威胁情报库中进行匹配查找,所述访问威胁情报库中存储有各类已知的危险域名;将匹配成功的所述访问信息所对应的主机确定为目标主机,生成针对所述目标主机的告警信息。
又一方面,本申请还公开了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上所述的任一种网络访问安全检测方法的步骤。
又一方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如上所述的任一种网络访问安全检测方法的步骤。
本申请所提供的网络访问安全检测方法、装置、威胁情报检测设备、网络系统和计算机可读存储介质所具有的有益效果是:本申请基于DNS代理服务器生成的DNS解析日志,一一查找是否存在访问了危险域名行为的主机,由于各个主机的历次请求访问信息均被记录在DNS解析日志中,因此可有效杜绝问题主机的误报、漏报等现象发生,极大地提高了检测结果的精确度,增强了对危险访问的识别能力。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为现有技术中的一种网络访问安全检测方法的应用场景图;
图2为本申请实施例公开的一种网络访问安全检测方法的应用场景图;
图3为本申请实施例公开的一种网络访问安全检测方法的流程图;
图4为本申请实施例公开的一种网络访问安全检测装置的结构框图;
图5为本申请实施例公开的一种网络系统的结构框图;
图6为本申请实施例公开的一种威胁情报检测设备的结构框图。
具体实施方式
本申请的核心在于提供一种网络访问安全检测方法、装置、威胁情报检测设备、网络系统和计算机可读存储介质,以便有效提高对危险访问的识别能力,避免误报和漏报的现象发生。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在网络安全领域中,诱使目标访问一些危险网站(如钓鱼网站),是一些网络不法分子的常用手段。对此,当前的现有技术一般基于访问时所产生的流量数据进行安全检测。
具体可参见图1。在图1所示的设置有DNS(Domain Name Syste,域名系统)代理服务器的网络系统中,DNS代理服务器通过下层交换机与各主机连接,并经上层交换机、透过防火墙连接到外网。现有技术则大多基于威胁情报检测设备对上层交换机中的流量数据进行检测。
但是,在设置有DNS代理服务器的网络系统中,经过DNS代理服务器的流量数据的定位结果将指向DNS代理服务器本身,而非原始DNS访问的源主机,因而造成误报,漏报了真正的问题主机。此外,由于DNS代理服务器具备缓存功能,因此,一旦不同的主机访问了相同的域名,缓存的存在将令DNS代理服务器不再产生访问外部DNS服务器的流量,因此后续访问了相同域名的问题主机也将被漏报。鉴于此,本申请提供了一种网络访问安全检测方案,可有效解决上述问题。
参见图2所示,图2为本申请实施例所公开的一种网络访问安全检测方法的应用场景图。本申请所公开的网络访问安全检测方法应用于图2中的威胁情报检测设备。
如图2所示的网络系统中,DNS代理服务器通过下层交换机与各主机连接,并经上层交换机、透过防火墙连接到外网;同时,威胁情报检测设备与DNS代理服务器通信连接。
其中,DNS代理服务器是用于代理内网络各主机的域名解析请求的服务器,可便于网络内部统一管理DNS解析。当有主机需要访问外网时,便向DNS代理服务器发起请求,DNS代理服务器便解析待访问的域名,即进行域名与IP地址的转换,进而完成互联网访问。
威胁情报检测设备即为利用威胁情报库进行威胁检测的设备。其中,威胁情报是指某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。在网络安全应用领域,威胁情报的主要内容多为用于识别和检测威胁的失陷标识,例如文件哈希值、IP(Internet Protocol,网际互连协议)地址、域名、程序运行路径、注册表项等,以及相关的归属标签。
参见图3所示,本申请实施例公开了一种网络访问安全检测方法,应用于网络系统中与DNS代理服务器通信连接的威胁情报检测设备,DNS代理服务器经预先配置后将自动根据各主机的域名解析请求而生成DNS解析日志;该方法主要包括:
S101:接收DNS代理服务器定时采集并发送的DNS解析日志。
S102:从DNS解析日志中提取各主机的访问信息,访问信息包括源主机识别信息和访问目标域名。
S103:将访问信息中的访问目标域名在预设的访问威胁情报库中进行匹配查找,访问威胁情报库中存储有各类已知的危险域名。
S104:将匹配成功的访问信息所对应的主机确定为目标主机,生成针对目标主机的告警信息。
需要指出的是,本申请中预先对内网中的DNS代理服务器的日志记录进行了配置,使得配置后的DNS代理服务器能够在为任一想要访问外网的主机进行域名解析时,均会将DNS解析记录保存在日志中,即生成DNS解析日志。其中,DNS解析日志中记录了每次的访问信息,其中包括源主机识别信息和访问目标域名。
容易理解的是,源主机识别信息即用于识别源主机(发起域名解析请求以访问外网的主机)的识别信息,访问目标域名即源主机想要访问而请求进行域名解析的目标域名。在DNS代理服务器将访问目标域名解析得到对应的目标IP地址后,会自动将相关信息均记录在DNS解析日志中。
DNS代理服务器利用相关采集软件可定时采集DNS解析日志,然后发送至威胁情报检测设备。威胁情报检测设备对DNS解析日志进行解析,从中便可提取出各主机的历次访问信息。
还需说明的是,威胁情报检测设备中配置有预设的访问威胁情报库,库中存储有各类已知的危险域名。基于各主机的访问信息,威胁情报检测设备将各主机历次的访问目标域名一一在访问威胁情报库中匹配检索,以判断是否出现危险域名。若某些访问目标域名被确认属于危险域名,则对应的源主机即可被确认为存在危险访问行为的目标主机,并进行相应告警,以便负责安全检测的相关人员获悉。
需要补充说明的是,DNS代理服务器将源主机的访问目标域名解析为对应的访问目标IP地址,从而完成外网的访问,DNS解析日志中会一并记录下与访问目标域名对应的访问目标IP地址。由此,以各主机的访问目标IP地址为检索对象,以各类已知的危险IP地址构建访问威胁情报库,也能取得相同的技术效果,本领域技术人员可替换采用。
可见,本申请所提供的网络访问安全检测方法,基于DNS代理服务器生成的DNS解析日志,一一查找是否存在访问了危险域名行为的主机,由于各个主机的历次请求访问信息均被记录在DNS解析日志中,因此可有效杜绝问题主机的误报、漏报等现象发生,极大地提高了检测结果的精确度,增强了对危险访问的识别能力。
作为一种具体实施例,本申请实施例所提供的网络访问安全检测方法在上述内容的基础上,源主机识别信息包括源主机的IP地址、设备标识、序列号或者MAC地址(MediaAccess Control Address,直译为媒体存取控制位址)。
作为一种具体实施例,本申请实施例所提供的网络访问安全检测方法在上述内容的基础上,接收DNS代理服务器定时采集并发送的DNS解析日志,包括:
基于syslog或者http接收服务,接收DNS代理服务器定时采集并发送的DNS解析日志。
具体地,本实施例中,DNS代理服务器可通过syslog或者http协议进行DNS解析日志的发送,同时,威胁情报检测设备可开通syslog或者http接收服务,以便进行接收。
作为一种具体实施例,本申请实施例所提供的网络访问安全检测方法在上述内容的基础上,在生成针对目标主机的告警信息之后,还包括:
向DNS代理服务器发送针对于目标主机的服务禁止指令。
具体地,本实施例在确认了存在危险访问行为的目标主机后,可进一步暂时禁止目标主机的外网访问行为,以避免问题扩大化。
作为一种具体实施例,本申请实施例所提供的网络访问安全检测方法在上述内容的基础上,在生成针对目标主机的告警信息之后,还包括:
通过DNS代理服务器向目标主机发送告警指令,以便目标主机进行告警显示。
具体地,本实施例在确认了存在危险访问行为的目标主机后,可进一步在该目标主机上也进行告警显示,以便及时警示该主机的使用人员。
参见图4所示,本申请实施例公开了一种网络访问安全检测装置,应用于网络系统中与DNS代理服务器通信连接的威胁情报检测设备,DNS代理服务器经预先配置后将自动根据各主机的域名解析请求而生成DNS解析日志;装置主要包括:
接收模块201,用于接收DNS代理服务器定时采集并发送的DNS解析日志;
解析模块202,用于从DNS解析日志中提取各主机的访问信息,访问信息包括源主机识别信息和访问目标域名;
检测模块203,用于将访问信息中的访问目标域名在预设的访问威胁情报库中进行匹配查找,访问威胁情报库中存储有各类已知的危险域名;
告警模块204,用于将匹配成功的访问信息所对应的主机确定为目标主机,生成针对目标主机的告警信息。
可见,本申请实施例所公开的网络访问安全检测装置,基于DNS代理服务器生成的DNS解析日志,一一查找是否存在访问了危险域名行为的主机,由于各个主机的历次请求访问信息均被记录在DNS解析日志中,因此可有效杜绝问题主机的误报、漏报等现象发生,极大地提高了检测结果的精确度,增强了对危险访问的识别能力。
关于上述网络访问安全检测装置的具体内容,可参考前述关于网络访问安全检测方法的详细介绍,这里就不再赘述。
作为一种具体实施例,本申请实施例所公开的网络访问安全检测装置在上述内容的基础上,接收模块201具体用于:
基于syslog或者http接收服务,接收DNS代理服务器定时采集并发送的DNS解析日志。
作为一种具体实施例,本申请实施例所公开的网络访问安全检测装置在上述内容的基础上,源主机识别信息包括源主机的IP地址、设备标识、序列号或者MAC地址。
作为一种具体实施例,本申请实施例所公开的网络访问安全检测装置在上述内容的基础上,告警模块204在生成针对目标主机的告警信息之后,还用于:向DNS代理服务器发送针对于目标主机的服务禁止指令。
作为一种具体实施例,本申请实施例所公开的网络访问安全检测装置在上述内容的基础上,告警模块204在生成针对目标主机的告警信息之后,还用于:通过DNS代理服务器向目标主机发送告警指令,以便目标主机进行告警显示。
参见图5所示,本申请还公开了一种网络系统,主要包括若干个主机301、通过交换机与主机301通信连接的DNS代理服务器302、以及与DNS代理服务器302通信连接的威胁情报检测设备303;
DNS代理服务器302经预先配置后将自动根据各主机发送的域名解析请求而生成DNS解析日志,并定时采集和发送DNS解析日志至威胁情报检测设备303;
威胁情报检测设备303用于从DNS解析日志中提取各主机的访问信息,访问信息包括源主机识别信息和访问目标域名;将访问信息中的访问目标域名在预设的访问威胁情报库中进行匹配查找,访问威胁情报库中存储有各类已知的危险域名;将匹配成功的访问信息所对应的主机确定为目标主机,生成针对目标主机的告警信息。
还需补充说明的是,本申请所公开的网络系统,可对照参见图2所示的拓扑结构示意图。其中,DNS代理服务器302不仅通过下层交换机与各主机连接,并经上层交换机、透过防火墙连接到外网,为各主机进行域名解析以访问外网。
关于上述网络系统的具体内容,可参考前述关于网络访问安全检测方法的详细介绍,这里就不再赘述。
参见图6所示,本申请实施例公开了一种威胁情报检测设备,包括:
存储器401,用于存储计算机程序;
处理器402,用于执行所述计算机程序以实现如上所述的任一种网络访问安全检测方法的步骤。
进一步地,本申请实施例还公开了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如上所述的任一种网络访问安全检测方法的步骤。
关于上述电子设备和计算机可读存储介质的具体内容,可参考前述关于网络访问安全检测方法的详细介绍,这里就不再赘述。
本申请中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的设备而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需说明的是,在本申请文件中,诸如“第一”和“第二”之类的关系术语,仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或者操作之间存在任何这种实际的关系或者顺序。此外,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。
Claims (10)
1.一种网络访问安全检测方法,其特征在于,应用于网络系统中与DNS代理服务器通信连接的威胁情报检测设备,所述DNS代理服务器经预先配置后将自动根据各主机的域名解析请求而生成DNS解析日志;所述方法包括:
接收所述DNS代理服务器定时采集并发送的所述DNS解析日志;
从所述DNS解析日志中提取各所述主机的访问信息,所述访问信息包括源主机识别信息和访问目标域名;
将所述访问信息中的所述访问目标域名在预设的访问威胁情报库中进行匹配查找,所述访问威胁情报库中存储有各类已知的危险域名;
将匹配成功的所述访问信息所对应的主机确定为目标主机,生成针对所述目标主机的告警信息。
2.根据权利要求1所述的网络访问安全检测方法,其特征在于,所述源主机识别信息包括所述源主机的IP地址、设备标识、序列号或者MAC地址。
3.根据权利要求1所述的网络访问安全检测方法,其特征在于,所述接收所述DNS代理服务器定时采集并发送的所述DNS解析日志,包括:
基于syslog或者http接收服务,接收所述DNS代理服务器定时采集并发送的所述DNS解析日志。
4.根据权利要求1至3任一项所述的网络访问安全检测方法,其特征在于,在所述生成针对所述目标主机的告警信息之后,还包括:
向所述DNS代理服务器发送针对于所述目标主机的服务禁止指令。
5.根据权利要求4所述的网络访问安全检测方法,其特征在于,在所述生成针对所述目标主机的告警信息之后,还包括:
通过所述DNS代理服务器向所述目标主机发送告警指令,以便所述目标主机进行告警显示。
6.一种网络访问安全检测装置,其特征在于,应用于网络系统中与DNS代理服务器通信连接的威胁情报检测设备,所述DNS代理服务器经预先配置后将自动根据各主机的域名解析请求而生成DNS解析日志;所述装置包括:
接收模块,用于接收所述DNS代理服务器定时采集并发送的所述DNS解析日志;
解析模块,用于从所述DNS解析日志中提取各主机的访问信息,所述访问信息包括源主机识别信息和访问目标域名;
检测模块,用于将所述访问信息中的所述访问目标域名在预设的访问威胁情报库中进行匹配查找,所述访问威胁情报库中存储有各类已知的危险域名;
告警模块,用于将匹配成功的所述访问信息所对应的主机确定为目标主机,生成针对所述目标主机的告警信息。
7.根据权利要求6所述的网络访问安全检测装置,其特征在于,所述接收模块具体用于:
基于syslog或者http接收服务,接收所述DNS代理服务器定时采集并发送的所述DNS解析日志。
8.一种网络系统,其特征在于,包括若干个主机、通过交换机与所述主机通信连接的DNS代理服务器、以及与所述DNS代理服务器通信连接的威胁情报检测设备;
所述DNS代理服务器经预先配置后将自动根据各主机发送的域名解析请求而生成DNS解析日志,并定时采集和发送所述DNS解析日志至所述威胁情报检测设备;
所述威胁情报检测设备用于从所述DNS解析日志中提取各所述主机的访问信息,所述访问信息包括源主机识别信息和访问目标域名;将所述访问信息中的所述访问目标域名在预设的访问威胁情报库中进行匹配查找,所述访问威胁情报库中存储有各类已知的危险域名;将匹配成功的所述访问信息所对应的主机确定为目标主机,生成针对所述目标主机的告警信息。
9.一种威胁情报检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至5任一项所述的网络访问安全检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如权利要求1至5任一项所述的网络访问安全检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011582852.8A CN112804369A (zh) | 2020-12-28 | 2020-12-28 | 一种网络系统及网络访问安全检测方法、装置和相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011582852.8A CN112804369A (zh) | 2020-12-28 | 2020-12-28 | 一种网络系统及网络访问安全检测方法、装置和相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112804369A true CN112804369A (zh) | 2021-05-14 |
Family
ID=75805199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011582852.8A Pending CN112804369A (zh) | 2020-12-28 | 2020-12-28 | 一种网络系统及网络访问安全检测方法、装置和相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112804369A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113839954A (zh) * | 2021-09-27 | 2021-12-24 | 杭州安恒信息技术股份有限公司 | 一种威胁情报获取方法、装置、设备及存储介质 |
| CN114826758A (zh) * | 2022-05-11 | 2022-07-29 | 绿盟科技集团股份有限公司 | 一种针对域名解析系统dns的安全分析方法及装置 |
| CN116112230A (zh) * | 2022-12-30 | 2023-05-12 | 安天科技集团股份有限公司 | 一种ip白名单确定方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360270A (zh) * | 2017-07-24 | 2017-11-17 | 杭州迪普科技股份有限公司 | 一种dns解析的方法及装置 |
| CN108449349A (zh) * | 2018-03-23 | 2018-08-24 | 新华三大数据技术有限公司 | 防止恶意域名攻击的方法及装置 |
| CN110401632A (zh) * | 2019-06-20 | 2019-11-01 | 国网辽宁省电力有限公司信息通信分公司 | 一种恶意域名感染主机溯源方法 |
| CN111131175A (zh) * | 2019-12-04 | 2020-05-08 | 互联网域名系统北京市工程研究中心有限公司 | 一种威胁情报域名防护系统及方法 |
| CN111614617A (zh) * | 2020-04-17 | 2020-09-01 | 国网浙江省电力有限公司电力科学研究院 | 一种基于dns缓存探测的物联网终端安全管控方法及装置 |
| US20200341966A1 (en) * | 2019-04-26 | 2020-10-29 | International Business Machines Corporation | System and Method of Aggregating Domain Name System Monitoring Data |
-
2020
- 2020-12-28 CN CN202011582852.8A patent/CN112804369A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360270A (zh) * | 2017-07-24 | 2017-11-17 | 杭州迪普科技股份有限公司 | 一种dns解析的方法及装置 |
| CN108449349A (zh) * | 2018-03-23 | 2018-08-24 | 新华三大数据技术有限公司 | 防止恶意域名攻击的方法及装置 |
| US20200341966A1 (en) * | 2019-04-26 | 2020-10-29 | International Business Machines Corporation | System and Method of Aggregating Domain Name System Monitoring Data |
| CN110401632A (zh) * | 2019-06-20 | 2019-11-01 | 国网辽宁省电力有限公司信息通信分公司 | 一种恶意域名感染主机溯源方法 |
| CN111131175A (zh) * | 2019-12-04 | 2020-05-08 | 互联网域名系统北京市工程研究中心有限公司 | 一种威胁情报域名防护系统及方法 |
| CN111614617A (zh) * | 2020-04-17 | 2020-09-01 | 国网浙江省电力有限公司电力科学研究院 | 一种基于dns缓存探测的物联网终端安全管控方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113839954A (zh) * | 2021-09-27 | 2021-12-24 | 杭州安恒信息技术股份有限公司 | 一种威胁情报获取方法、装置、设备及存储介质 |
| CN114826758A (zh) * | 2022-05-11 | 2022-07-29 | 绿盟科技集团股份有限公司 | 一种针对域名解析系统dns的安全分析方法及装置 |
| CN114826758B (zh) * | 2022-05-11 | 2023-05-16 | 绿盟科技集团股份有限公司 | 一种针对域名解析系统dns的安全分析方法及装置 |
| CN116112230A (zh) * | 2022-12-30 | 2023-05-12 | 安天科技集团股份有限公司 | 一种ip白名单确定方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112804369A (zh) | 一种网络系统及网络访问安全检测方法、装置和相关设备 | |
| US9954886B2 (en) | Method and apparatus for detecting website security | |
| CN101834911B (zh) | 域名劫持的防御方法和网络出口设备 | |
| CN112637159A (zh) | 一种基于主动探测技术的网络资产扫描方法、装置及设备 | |
| CN102868773B (zh) | 检测dns黑洞劫持的方法、装置及系统 | |
| CN110430188B (zh) | 一种快速url过滤方法及装置 | |
| KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
| CN112887341B (zh) | 一种外部威胁监控方法 | |
| WO2017067443A1 (zh) | 一种安全域名系统及其故障处理方法 | |
| CN110572406B (zh) | 一种失陷主机确定方法、系统及相关装置 | |
| CN111818073B (zh) | 一种失陷主机检测方法、装置、设备及介质 | |
| CN108156270B (zh) | 域名请求处理方法和装置 | |
| CN112019519B (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
| CN113472772B (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| US20190334936A1 (en) | Malicious website discovery using web analytics identifiers | |
| CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
| US11582226B2 (en) | Malicious website discovery using legitimate third party identifiers | |
| CN105262730A (zh) | 基于企业域名安全的监控方法及装置 | |
| CN105515882B (zh) | 网站安全检测方法及装置 | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN115361235B (zh) | 一种网络安全检测的方法、设备、装置、电子设备及介质 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN114024947B (zh) | 一种基于浏览器的web访问方法及装置 | |
| CN115941280A (zh) | 基于web指纹信息的渗透方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210514 |
|
| RJ01 | Rejection of invention patent application after publication |