CN112839029A - 一种僵尸网络活跃度的分析方法与系统 - Google Patents
一种僵尸网络活跃度的分析方法与系统 Download PDFInfo
- Publication number
- CN112839029A CN112839029A CN202011531361.0A CN202011531361A CN112839029A CN 112839029 A CN112839029 A CN 112839029A CN 202011531361 A CN202011531361 A CN 202011531361A CN 112839029 A CN112839029 A CN 112839029A
- Authority
- CN
- China
- Prior art keywords
- botnet
- domain name
- logs
- enterprises
- family
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种僵尸网络活跃度的分析方法与系统,其中方法包括:根据预设的查询条件,从安全告警日志中提取出僵尸网络告警日志;针对每个僵尸网络家族,在安全告警日志中进行归类分析,得到对应的僵尸网络域名,根据僵尸网络域名提取僵尸网络家族对应的攻击告警日志集合;通过对与僵尸网络域名相关联的DNS日志进行分析,获取访问僵尸网络的命令和控制服务器C&C Server域名的DNS日志信息,溯源出共同访问的其他域名信息;对僵尸网络告警日志和与僵尸网络域名相关联的DNS日志进行汇总,将汇总后的日志进行溯源分析,分析僵尸网络控制的工业企业数量、工业企业对应的IP地址数量、攻击次数等。
Description
技术领域
本公开涉及工业互联网中的网络安全技术领域,特别涉及一种僵尸网络活跃度的分析方法、系统、电子设备及计算机可读存储介质。
背景技术
僵尸网络,是指攻击者或控制者传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络,实现“向被控制计算机发送控制指令,指示寄生木马执行预定恶意动作”的目的。
现有技术中,僵尸网络作为一种重要的安全威胁,目前主要是在城域网海量流量中部署网安探针,部署复杂,成本昂贵,无法实现对工业企业流量的大范围覆盖。从而无法掌握每个僵尸网络家族在工业企业中的活动情况、影响范围等。
因此急需一种有效的技术手段,快速监测目前主流的僵尸网络家族在工业企业中的活跃情况,包括每个僵尸网络家族影响的工业企业数量及排名、影响的工业企业IP地址数量及排名、攻击次数及排名等等,为监管单位的后续工作提供数据支撑。从而解决现有技术中无法分析工业企业对应的僵尸网络被控情况的问题,降低覆盖大量工业企业的监控流量成本,更全面、及时地掌握僵尸网络在工业企业中最新的活动情况。
发明内容
有鉴于此,本公开实施例的目的在于提供一种僵尸网络活跃度的分析方法、系统,通过及时掌握僵尸网络家族在工业企业中的活跃度,包括僵尸网络家族当前控制的工业企业数量、工业企业僵尸主机数量、僵尸网络服务器与被控僵尸主机的通信活跃情况等,从而及时掌握危害较大的僵尸网络家族信息,为进一步处置通报提供数据支撑。
根据本公开的第一方面,提供了一种僵尸网络活跃度的分析方法,应用于工业互联网中,包括:
根据预设的查询条件,从安全告警日志中提取出僵尸网络告警日志,从僵尸网络告警日志中提取僵尸网络家族,并进行去重;
针对每个僵尸网络家族,在安全告警日志中进行归类分析,得到对应的僵尸网络域名,根据僵尸网络域名提取僵尸网络家族对应的攻击告警日志集合;
通过对与僵尸网络域名相关联的DNS日志进行分析,获取访问僵尸网络的命令和控制服务器C&C Server域名的DNS日志信息,溯源出共同访问的其他域名信息,将其他域名中判断为C&C域名的部分提取出其所属的僵尸网络家族,并扩充至僵尸网络域名特征库;
对僵尸网络告警日志和与僵尸网络域名相关联的DNS日志进行汇总,将汇总后的日志进行溯源分析,定位到僵尸主机对应的企业,分析企业所属的国民经济分类,得到企业的行业属性,根据企业所在的行业属性筛选出僵尸网络域名影响的工业企业,分析僵尸网络控制的工业企业数量、工业企业对应的IP地址数量、攻击次数,分析出僵尸网络家族的活跃情况。
在一个可能的实施例中,所述僵尸网络告警日志至少包括:攻击时间、威胁类别、严重等级、攻击端IP、目的端IP、源端口、目的端口、源IP服务、目的IP服务、传输层协议、应用层协议、攻击载荷、域名、域名所属家族。
在一个可能的实施例中,所述DNS日志信息至少包括:域名、目的IP、源IP、访问量。
在一个可能的实施例中,其中,将其他域名中判断是否为C&C域名的方法包括:域名相似度算法。
根据本公开的第二方面,提供了一种僵尸网络活跃度的分析系统,应用于工业互联网中,包括:
僵尸网络家族提取单元,用于根据预设的查询条件,从安全告警日志中提取出僵尸网络告警日志,从僵尸网络告警日志中提取僵尸网络家族,并进行去重;
告警日志分析单元,用于针对每个僵尸网络家族,在安全告警日志中进行归类分析,得到对应的僵尸网络域名,根据僵尸网络域名提取僵尸网络家族对应的攻击告警日志集合;
DNS关联分析单元,用于通过对与僵尸网络域名相关联的DNS日志进行分析,获取访问僵尸网络的命令和控制服务器C&C Server域名的DNS日志信息,溯源出共同访问的其他域名信息,将其他域名中判断为C&C域名的部分提取出其所属的僵尸网络家族,并扩充至僵尸网络域名特征库;
溯源分析单元,用于对僵尸网络告警日志和与僵尸网络域名相关联的DNS日志进行汇总,将汇总后的日志进行溯源分析,定位到僵尸主机对应的企业,分析企业所属的国民经济分类,得到企业的行业属性,根据企业所在的行业属性筛选出僵尸网络域名影响的工业企业,分析僵尸网络控制的工业企业数量、工业企业对应的IP地址数量、攻击次数,分析出僵尸网络家族的活跃情况。
在一个可能的实施例中,所述僵尸网络告警日志包括:攻击时间、威胁类别、严重等级、攻击端IP、目的端IP、源端口、目的端口、源IP服务、目的IP服务、传输层协议、应用层协议、攻击载荷、域名、域名所属家族。
在一个可能的实施例中,所述DNS日志信息包括:域名、目的IP、源IP、访问量。
在一个可能的实施例中,其中,将其他域名中判断为C&C域名的方法包括:域名相似度算法。
根据本公开的第三方面,提供一种电子设备,包括:存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的方法。
根据本公开的第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质上存储有可执行指令,该指令被处理器执行时使处理器执行如第一方面所述的方法。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出了根据本公开实施例的典型的僵尸网络的示意图。
图2示出了根据本公开实施例的典型的僵尸网络活跃度的分析方法的示意图。
图3示出了根据本公开实施例的典型的僵尸网络活跃度的分析方法的详细步骤的示意图。
图4示出了根据本公开实施例的典型的僵尸网络活跃度的分析系统的示意图。
图5示出了用于实现本公开实施例的电子设备的结构示意图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。这里使用的词语“一”、“一个(种)”和“该”等也应包括“多个”、“多种”的意思,除非上下文另外明确指出。此外,在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
工业互联网是满足工业智能化发展需求,具有低时延、高可靠、广覆盖特点的关键网络基础设施,是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。工业互联网深刻变革传统工业的创新、生产、管理、服务方式,催生新技术、新模式、新业态、新产业,正成为繁荣数字经济的新基石、创新网络国际治理的新途径和统筹两个强国建设的新引擎。
工业互联网包括网络、平台、安全三大体系。其中,网络体系是基础,平台体系是核心,安全体系是保障。工业互联网从封闭环境走向开放环境后,面临着巨大的安全威胁:一方面,工业互联网安全打破了以往相对明晰的责任边界,其范围、复杂度、风险度产生的影响要大得多,其中工业互联网平台安全、数据安全、联网智能设备安全等问题越发突出;另一方面,工业互联网安全工作需要从制度建设、国家能力、产业支持等更全局的视野来统筹安排,目前很多企业还没有意识到安全部署。因此,工业互联网安全成为发展工业互联网的关键因素。
近年来,各地工业互联网快速发展,安全风险突出。尤其是工业企业对安全事件监测防范能力较弱,僵尸网络等影响企业网络安全的事件长期潜伏,行业整体安全形势严峻,安全监管需求日益迫切。
僵尸网络作为一种重要的安全威胁,目前主要是在城域网海量流量中部署网安探针,部署复杂,成本昂贵,无法实现对工业企业流量的大范围覆盖。从而无法掌握每个僵尸网络家族在工业企业中的活动情况、影响范围等,因此有必要建立一种有效的技术手段,快速监测目前主流的僵尸网络家族在工业企业中的活跃情况,包括每个僵尸网络家族影响的工业企业数量及排名、影响的工业企业IP地址数量及排名、攻击次数及排名等等,为监管单位的后续工作提供数据支撑。
有鉴于此,本公开实施例的目的在于提供一种僵尸网络活跃度的分析方法和系统,快速监测目前主流的僵尸网络家族在工业企业中的活跃情况,包括每个僵尸网络家族影响的工业企业数量及排名、影响的工业企业IP地址数量及排名、攻击次数及排名等等,为监管单位的后续工作提供数据支撑。从而解决现有技术中无法分析工业企业对应的僵尸网络被控情况的问题,降低覆盖大量工业企业的监控流量成本,更全面、及时地掌握僵尸网络在工业企业中最新的活动情况。
以下结合附图详细描述本公开。
图1示出了根据本公开实施例的典型的僵尸网络的示意图。
僵尸网络,是指攻击者或控制者传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络,实现“向被控制计算机发送控制指令,指示寄生木马执行预定恶意动作”的目的。
互联网领域,尤其是固件更新较慢的工业互联网和物联网中,尤其容易遭到攻击。著名的僵尸网络家族mirai曾在2016年,利用数十万台IOT设备对域名解析商Dyn发起DDoS攻击,导致几乎整个美国东海岸的网络陷入瘫痪。Gafgyt僵尸网络家族曾发起过峰值400Gbps的DDoS攻击。截至2019年底,Gafgyt家族仍是除Mirai家族外的最大活跃物联网僵尸网络家族。
图2示出了根据本公开实施例的典型的僵尸网络活跃度的分析方法的示意图。
图3示出了根据本公开实施例的典型的僵尸网络活跃度的分析方法的详细步骤的示意图。
步骤201,根据预设的查询条件,从安全告警日志中提取出僵尸网络告警日志,从僵尸网络告警日志中提取僵尸网络家族,并进行去重。
在步骤201中,还包括三个子步骤2011、2012、2013。
步骤2011:根据预设的查询条件,从安全告警日志中获取攻击告警日志。本公开中的攻击告警日志可以从工业互联网安全监测与态势感知平台中获取。
步骤2012:根据僵尸网络家族的特点和预设条件,从攻击告警日志中提取僵尸网络告警日志;
步骤2013:从提取的僵尸网络告警日志获取信息,包括:攻击时间、威胁类别、严重等级、攻击端IP、目的端IP、源端口、目的端口、源IP服务、目的IP服务、传输层协议、应用层协议、攻击载荷、域名、域名所属家族等。以及从僵尸网络告警日志中提取僵尸网络家族,并进行去重。
步骤202,针对每个僵尸网络家族,在安全告警日志中进行归类分析,得到对应的僵尸网络域名,根据僵尸网络域名提取僵尸网络家族对应的攻击告警日志集合。
在步骤202中,还包括一个子步骤2021。
步骤2021:针对每个僵尸网络家族,从告警日志中,根据每个僵尸网络家族提取受影响的僵尸主机IP地址、协议、域名、服务等。
步骤203,通过对与僵尸网络域名相关联的DNS日志进行分析,获取访问僵尸网络的命令和控制服务器C&C Server域名的DNS日志信息,溯源出共同访问的其他域名信息,将其他域名中判断为C&C域名的部分提取出其所属的僵尸网络家族,并扩充至僵尸网络域名特征库。
在步骤203中,还包括五个子步骤2031、2032、2033、2034、2035。
步骤2031:通过僵尸网络域名关联DNS日志,获取访问僵尸网络命令和控制服务器C&C Server域名的DNS日志信息,至少包括域名、源IP、目的IP、访问量等。
步骤2032:通过源IP地址溯源出共同访问的其他域名信息。溯源的方法,本公开不做限制。例如:对于某QQ环境,根据域名信息,可以查询到攻击者的一些基本信息。通过管理员邮箱查到攻击者QQ、昵称和域名对应,确认这个就是攻击者QQ,同时也发现该邮箱注册了支付宝,真实姓名是张三,同时也发现攻击者曾在某论坛共享SS-R服务,表示害怕成为DDoS受害者,而他是真实身份竟然是攻击者。通过上述方法,就溯源发现了其他域名信息,达到了溯源的效果。
步骤2033:判断上述其他域名信息是否为C&C域名,可以采取域名相似度算法,或者其他算法,本公开不做限制。例如:对于每个IP访问,利用词嵌入(Word Embedding)算法计算域名特征向量。比如利用word2vec、doc2vec算法计算域名特征向量。基于域名特征向量进行域名相似度计算,可选的例如计算向量余弦距离作为相似度。对于相似度符合条件的域名,判断其为C&C域名。
步骤2034:将判断是C&C域名的域名,提取僵尸网络相关的DNS日志。
步骤2035:通过对DNS日志的分析,进一步确定域名所属的僵尸网络家族,将其扩充到僵尸网络域名特征库。
步骤204,对僵尸网络告警日志和与僵尸网络域名相关联的DNS日志进行汇总,将汇总后的日志进行溯源分析,定位到僵尸主机对应的企业,分析企业所属的国民经济分类,得到企业的行业属性,根据企业所在的行业属性筛选出僵尸网络域名影响的工业企业,分析僵尸网络控制的工业企业数量、工业企业对应的IP地址数量、攻击次数,分析出僵尸网络家族的活跃情况。
在步骤204中,还包括八个子步骤2041、2042、2043、2044、2045、2046、2047、2048。
步骤2041:对僵尸网络告警日志和与僵尸网络域名相关联的DNS日志进行汇总,生成汇总后的日志集合。
步骤2042:通过受控端IP地址定位所属企业名称,定位僵尸主机对应的企业。定位的方法可以是利用IP备案数据进行实现,或其他方法,本公开对此不做限制。
步骤2043:分析企业所属行业属性,可以通过爬虫等方式爬取企业工商注册信息,包括企业名称、行业、注册资金等属性。
步骤2044:根据上述行业属性,以及企业所在的国民经济行业分类(GB/T 4754—2017)筛选出僵尸网络域名影响的工业企业判断企业是否为工业企业(工业企业为国民经济分类中的采矿业、制造业以及电力、热力、燃气及水生产和供应业三大类,41小类)。
步骤2045:获取工业企业相关的僵尸告警日志,DNS访问日志。可通过关联企业信息与日志信息来实现。
步骤2046:分析僵尸网络控制的工业企业数量、工业企业对应的IP地址数量、攻击次数等。通过僵尸网络家族对告警日志、DNS日志进行汇聚,分析每个家族对应的工业企业数量、IP地址数量、攻击次数。
步骤2047:分析影响工业企业数量最多、控制工业企业僵尸主机最多、共计次数最多的僵尸网络家族,或者根据需要选取上述活跃情况指标在阈值范围的多个僵尸网络家族。
步骤2048:发出告警和处置,或其他建议。
通过本公开实施例的僵尸网络活跃度分析方法,关联了多方数据源,能够实时监测每个僵尸网络家族在工业互联网企业中的活跃度。同时,不用在所有的工业企业出口部署流量监测设备,便可以通过已知的僵尸家族和僵尸网络域名,通过DNS日志信息,关联追溯到更多被控的僵尸主机,效果更好,成本更低。通过DNS日志信息,反向分析出被控僵尸主机访问的域名,通过域名相似度相关算法,分析出更多僵尸网络域名,自动更新僵尸网络特征库。通过本公开的方法,可以实时掌握当前在工业企业中活跃度最高的僵尸网络家族,发出预警和处置,或其他建议等。
图4示出了根据本公开实施例的典型的僵尸网络活跃度的分析系统的示意图。该系统400,应用于工业互联网中,包括:
僵尸网络家族提取单元401,用于根据预设的查询条件,从安全告警日志中提取出僵尸网络告警日志,从僵尸网络告警日志中提取僵尸网络家族,并进行去重;
告警日志分析单元402,用于针对每个僵尸网络家族,在安全告警日志中进行归类分析,得到对应的僵尸网络域名,根据僵尸网络域名提取僵尸网络家族对应的攻击告警日志集合;
DNS关联分析单元403,用于通过对与僵尸网络域名相关联的DNS日志进行分析,获取访问僵尸网络的命令和控制服务器C&C Server域名的DNS日志信息,溯源出共同访问的其他域名信息,将其他域名中判断为C&C域名的部分提取出其所属的僵尸网络家族,并扩充至僵尸网络域名特征库;
溯源分析单元404,用于对僵尸网络告警日志和与僵尸网络域名相关联的DNS日志进行汇总,将汇总后的日志进行溯源分析,定位到僵尸主机对应的企业,分析企业所属的国民经济分类,得到企业的行业属性,根据企业所在的行业属性筛选出僵尸网络域名影响的工业企业,分析僵尸网络控制的工业企业数量、工业企业对应的IP地址数量、攻击次数,分析出僵尸网络家族的活跃情况。
图5示出了用于实现本公开的实施例的电子设备的结构示意图。如图5所示,电子设备500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有电子设备500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,包括承载指令的在计算机可读介质,在这样的实施例中,该指令可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该指令被中央处理单元(CPU)501执行时,执行本公开中描述的各个方法步骤。
尽管已经描述了示例实施例,但是对于本领域技术人员来说显而易见的是,在不脱离本公开构思的精神和范围的情况下,可以进行各种改变和修改。因此,应当理解,上述示例实施例不是限制性的,而是说明性的。
Claims (10)
1.一种僵尸网络活跃度的分析方法,应用于工业互联网中,包括:
根据预设的查询条件,从安全告警日志中提取出僵尸网络告警日志,从僵尸网络告警日志中提取僵尸网络家族,并进行去重;
针对每个僵尸网络家族,在安全告警日志中进行归类分析,得到对应的僵尸网络域名,根据僵尸网络域名提取僵尸网络家族对应的攻击告警日志集合;
通过对与僵尸网络域名相关联的DNS日志进行分析,获取访问僵尸网络的命令和控制服务器C&C Server域名的DNS日志信息,溯源出共同访问的其他域名信息,将其他域名中判断为C&C域名的部分提取出其所属的僵尸网络家族,并扩充至僵尸网络域名特征库;
对僵尸网络告警日志和与僵尸网络域名相关联的DNS日志进行汇总,将汇总后的日志进行溯源分析,定位到僵尸主机对应的企业,分析企业所属的国民经济分类,得到企业的行业属性,根据企业所在的行业属性筛选出僵尸网络域名影响的工业企业,分析僵尸网络控制的工业企业数量、工业企业对应的IP地址数量、攻击次数,分析出僵尸网络家族的活跃情况。
2.如权利要求1所述的方法,所述僵尸网络告警日志至少包括:攻击时间、威胁类别、严重等级、攻击端IP、目的端IP、源端口、目的端口、源IP服务、目的IP服务、传输层协议、应用层协议、攻击载荷、域名、域名所属家族。
3.如权利要求1所述的方法,所述DNS日志信息至少包括:域名、目的IP、源IP、访问量。
4.如权利要求1所述的方法,其中,将其他域名中判断为C&C域名的方法包括:域名相似度算法。
5.一种僵尸网络活跃度的分析系统,应用于工业互联网中,包括:
僵尸网络家族提取单元,用于根据预设的查询条件,从安全告警日志中提取出僵尸网络告警日志,从僵尸网络告警日志中提取僵尸网络家族,并进行去重;
告警日志分析单元,用于针对每个僵尸网络家族,在安全告警日志中进行归类分析,得到对应的僵尸网络域名,根据僵尸网络域名提取僵尸网络家族对应的攻击告警日志集合;
DNS关联分析单元,用于通过对与僵尸网络域名相关联的DNS日志进行分析,获取访问僵尸网络的命令和控制服务器C&C Server域名的DNS日志信息,溯源出共同访问的其他域名信息,将其他域名中判断为C&C域名的部分提取出其所属的僵尸网络家族,并扩充至僵尸网络域名特征库;
溯源分析单元,用于对僵尸网络告警日志和与僵尸网络域名相关联的DNS日志进行汇总,将汇总后的日志进行溯源分析,定位到僵尸主机对应的企业,分析企业所属的国民经济分类,得到企业的行业属性,根据企业所在的行业属性筛选出僵尸网络域名影响的工业企业,分析僵尸网络控制的工业企业数量、工业企业对应的IP地址数量、攻击次数,分析出僵尸网络家族的活跃情况。
6.如权利要求5所述的系统,所述僵尸网络告警日志包括:攻击时间、威胁类别、严重等级、攻击端IP、目的端IP、源端口、目的端口、源IP服务、目的IP服务、传输层协议、应用层协议、攻击载荷、域名、域名所属家族。
7.如权利要求5所述的系统,所述DNS日志信息包括:域名、目的IP、源IP、访问量。
8.如权利要求5所述的系统,其中,将其他域名中判断为C&C域名的方法包括:域名相似度算法。
9.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1至4任一项所述方法。
10.一种计算机可读存储介质,其上存储有可执行指令,所述可执行指令被处理器执行时使处理器执行如权利要求1至4任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011531361.0A CN112839029B (zh) | 2020-12-22 | 2020-12-22 | 一种僵尸网络活跃度的分析方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011531361.0A CN112839029B (zh) | 2020-12-22 | 2020-12-22 | 一种僵尸网络活跃度的分析方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112839029A true CN112839029A (zh) | 2021-05-25 |
| CN112839029B CN112839029B (zh) | 2023-02-17 |
Family
ID=75923872
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011531361.0A Active CN112839029B (zh) | 2020-12-22 | 2020-12-22 | 一种僵尸网络活跃度的分析方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112839029B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102785A (zh) * | 2022-07-25 | 2022-09-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| US8555388B1 (en) * | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
| US20140013434A1 (en) * | 2012-07-05 | 2014-01-09 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| CN110417709A (zh) * | 2018-04-27 | 2019-11-05 | 南宁富桂精密工业有限公司 | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 |
| CN110430199A (zh) * | 2019-08-08 | 2019-11-08 | 杭州安恒信息技术股份有限公司 | 识别物联网僵尸网络攻击源的方法与系统 |
| US20200396201A1 (en) * | 2018-01-15 | 2020-12-17 | Shenzhen Leagsoft Technology Co., Ltd. | C&c domain name analysis-based botnet detection method, device, apparatus and mediumc&c domain name analysis-based botnet detection method, device, apparatus and medium |
-
2020
- 2020-12-22 CN CN202011531361.0A patent/CN112839029B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| US8555388B1 (en) * | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
| US20140013434A1 (en) * | 2012-07-05 | 2014-01-09 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| US20200396201A1 (en) * | 2018-01-15 | 2020-12-17 | Shenzhen Leagsoft Technology Co., Ltd. | C&c domain name analysis-based botnet detection method, device, apparatus and mediumc&c domain name analysis-based botnet detection method, device, apparatus and medium |
| CN110417709A (zh) * | 2018-04-27 | 2019-11-05 | 南宁富桂精密工业有限公司 | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 |
| CN110430199A (zh) * | 2019-08-08 | 2019-11-08 | 杭州安恒信息技术股份有限公司 | 识别物联网僵尸网络攻击源的方法与系统 |
Non-Patent Citations (3)
| Title |
|---|
| YONG JIN; HIKARU ICHISE; KATSUYOSHI IIDA: "Design of Detecting Botnet Communication by Monitoring Direct Outbound DNS Queries", 《2015 IEEE 2ND INTERNATIONAL CONFERENCE ON CYBER SECURITY AND CLOUD COMPUTING》 * |
| 于光喜,张棪,崔华俊,等: "基于机器学习的僵尸网络DGA域名检测系统设计与实现", 《信息安全学报》 * |
| 张琦等: "利用DNS日志数据检测僵尸网络技术探讨", 《现代电信科技》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102785A (zh) * | 2022-07-25 | 2022-09-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112839029B (zh) | 2023-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
| EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| CN112637220A (zh) | 一种工控系统安全防护方法及装置 | |
| KR102088310B1 (ko) | 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법 | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN113987504A (zh) | 一种网络资产管理的漏洞检测方法 | |
| CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及系统 | |
| CN110798353B (zh) | 基于行为特征大数据分析的网络行为风险感知及防御方法 | |
| CN113381980A (zh) | 信息安全防御方法及系统、电子设备、存储介质 | |
| CN113965497B (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
| CN115580448A (zh) | 工控网络恶意代码检测方法、系统、设备及存储介质 | |
| CN112839029B (zh) | 一种僵尸网络活跃度的分析方法与系统 | |
| CN114357447A (zh) | 攻击者威胁评分方法及相关装置 | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
| CN116827697A (zh) | 网络攻击事件的推送方法、电子设备及存储介质 | |
| CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
| CN116668054A (zh) | 一种安全事件协同监测预警方法、系统、设备及介质 | |
| CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 | |
| CN113596044B (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
| CN114500122A (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
| CN112637142B (zh) | 基于电力网络环境下的安全威胁追溯方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |