CN113259399A - 基于异构信息网络的域名服务器安全威胁分析方法及装置 - Google Patents

基于异构信息网络的域名服务器安全威胁分析方法及装置 Download PDF

Info

Publication number
CN113259399A
CN113259399A CN202110770889.1A CN202110770889A CN113259399A CN 113259399 A CN113259399 A CN 113259399A CN 202110770889 A CN202110770889 A CN 202110770889A CN 113259399 A CN113259399 A CN 113259399A
Authority
CN
China
Prior art keywords
domain name
name server
vulnerability
region
importance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110770889.1A
Other languages
English (en)
Other versions
CN113259399B (zh
Inventor
许成喜
郭兵阳
马慧敏
郑敬华
张旻
施凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN202110770889.1A priority Critical patent/CN113259399B/zh
Publication of CN113259399A publication Critical patent/CN113259399A/zh
Application granted granted Critical
Publication of CN113259399B publication Critical patent/CN113259399B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种基于异构信息网络的域名服务器安全威胁分析方法及装置,所述方法包括:提取域名系统的网络要素实体及实体间关系;确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及相关要素之间的依赖关系,构建异构信息网络模型;从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式;计算区域依赖邻接矩阵,计算区域的重要性;计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果。根据本发明的方案,使得域名服务器安全威胁计算结果更具合理性和准确性。

Description

基于异构信息网络的域名服务器安全威胁分析方法及装置
技术领域
本发明涉及安全领域,尤其涉及一种基于异构信息网络的域名服务器安全威胁分析方法及装置。
背景技术
域名系统是互联网重要的基础设施,其安全性和可用性直接影响着互联网的正常运行。由于域名系统在互联网上的重要作用,域名系统自问世以来就一直成为恶意攻击者攻击的目标和发动攻击利用的对象;同时,域名系统自身存在着协议脆弱性、实现脆弱性和操作脆弱性等安全问题。因此,域名系统面临着许多方面的安全威胁。域名服务器存储着域名空间的信息,监听网络上的DNS查询并按照DNS协议进行响应,域名服务器的安全运行决定着其负责域名的正常解析。因此,研究域名服务器安全威胁分析方法,对于优化域名系统安全防御策略、增强网络安全预警能力,提升互联网的安全性具有重要意义。
传统的针对域名服务器的安全威胁分析方法有基于信息传递和基于节点去除的方法。
基于信息传递的方法将域名系统中域名、区域和域名服务器根据相互依赖关系构建成域名解析依赖关系结构图,在图中应用信息传递方法计算节点权重,得到节点的重要程度。基于节点去除的方法,同样在构建的域名解析依赖关系结构图中,移除部分节点来模拟部分域名服务器遭受网络攻击的情况,通过比较不同服务器遭受攻击后域名系统性能下降程度来评估域名服务器的重要程度。基于信息传递的方法在一定程度上评估了域名服务器的重要性,但是这种度量仅仅考虑了域名服务器在域名系统网络结构中的重要程度,并没有考虑到域名服务器自身脆弱性带来的安全风险。
基于节点去除的方法是一种面向结果的评价方法,移除节点只能模拟节点被完全破坏(如受到DOS攻击无法正常提供服务)时的场景,而无法描述域名服务器被渗透、控制时的场景,模型的应用场景十分有限,可扩展性较差。而且,在重要性计算上,现有方法本质上都是统计其能影响到的域名的数量来衡量域名服务器重要性,并没有对不同区域的重要性和依赖关系进行区分,而这显然与实际是不相符的。
发明内容
为解决上述技术问题,本发明提出了一种基于异构信息网络的域名服务器安全威胁分析方法及装置,所述方法及装置,提供一种科学的域名服务器安全威胁评估方法,用以解决现有技术中未考虑域名服务器自身脆弱性和未区分不同域名节点重要性的问题。
根据本发明的第一方面,提供一种基于异构信息网络的域名服务器安全威胁分析方法,所述方法包括以下步骤:
步骤S101:提取域名系统的网络要素实体及实体间关系;确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系,构建异构信息网络模型;
步骤S102:从所述异构信息网络模型中提取区域节点以及由区域节点之间的依赖关系构成的多关系网络模式;根据所述多关系网络模式,计算区域节点依赖邻接矩阵,计算区域节点的重要性;
步骤S103:从所述异构信息网络模型中提取区域节点、域名服务器和漏洞节点以及其关系,调整所述异构信息网络模型;计算区域节点给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果。
进一步地,所述相关要素之间的依赖关系,包括域内授权、兄弟授权、无关授权;所述域内授权包括本级区域授权和子孙区域授权;所述域内授权为授权记录所对应的域名在本区域之内;所述兄弟授权为授权记录所对应的域名不在本区域之内,但是在父域之内;所述无关授权为授权记录对应的域名既不在本区域之内,也不在父域之内。
进一步地,所述异构信息网络模型,所述异构信息网络模型,是一个带有对象类型映射函数
Figure 155353DEST_PATH_IMAGE001
和连接类型映射函数
Figure 296616DEST_PATH_IMAGE002
的有向图G=(V,E),其中V是要素集合,E是关系集合,
Figure 515239DEST_PATH_IMAGE003
是特定的要素类型,
Figure 829677DEST_PATH_IMAGE004
是特定的关系类型。
进一步地,根据域名解析探测到的数据,获取每个区域节点的依赖关系邻接矩阵,所述依赖关系邻接矩阵分别为M (in) 、M (si) 、M (un) M (in) 为域内授权关系邻接矩阵、M (si) 为兄弟授权关系邻接矩阵、M (un) 为无关授权关系邻接矩阵,其中in为域内授权关系,si为兄弟授权关系,un为无关授权关系;
M (in) ={M (in) ij }, 如果区域j是区域i的域内依赖,M (in) ij 为1,否则为0;
M (si) ={M (si) ij }, 如果区域j是区域i的兄弟依赖,M (si) ij 为1,否则为0;
M (un) ={M (un) ij }, 如果区域j是区域i的无关依赖,M (un) ij 为1,否则为0。
进一步地,所述步骤S102中,计算区域节点的重要性,包括:
按照如下公式计算每个区域节点的重要性:
Figure 715724DEST_PATH_IMAGE005
其中,u为待计算区域节点,ZR(u)为待计算区域的重要性评分,B u (in) 为域内授权指向区域节点u的区域集合,B u (si) 为兄弟授权指向区域节点u的区域集合;B u (un) 为无关授权指向区域节点u的区域集合,即依赖邻接矩阵中,区域节点u所在列值为1对应的行所代表的区域的集合,i为某个域内授权依赖于待计算区域的区域,j为某个兄弟授权依赖于待计算区域的区域,k为某个无关授权依赖于待计算区域的区域, ZR(i)ZR(j)ZR(k)分别为对应区域的重要性评分;L(x)|x=i,j,kL(x)表示从区域x指出的区域的数量,即依赖邻接矩阵中,区域节点u所在行的值之和,α为域内授权关系所占比重,β为兄弟授权关系所占比重,
Figure 824626DEST_PATH_IMAGE006
进一步地,所述步骤S103中,计算区域节点给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,包括:
所述区域节点的重要性作为给所述域名服务器传递的重要性信息的初始值,从网页爬取的漏洞评分作为漏洞节点给所述域名服务器传递的脆弱性信息的初始值;
按如下公式分别计算各个区域节点传递的重要性信息估计值和漏洞节点传递的脆弱性信息估计值:
Figure 61703DEST_PATH_IMAGE007
其中,
Figure 648673DEST_PATH_IMAGE008
分别为区域i传递的重要性信息估计值,漏洞节点k传递的脆弱性信息估计值;j为域名服务器编号,取值为[1,n];α、β为权重值,
Figure 389227DEST_PATH_IMAGE009
,MZN为归一化后的区域-服务器关系矩阵,MVN为归一化后的域名服务器-漏洞关系矩阵的转置矩阵;MZN(i,j)为矩阵MZN中的一个元素,用于描述区域i和域名服务器j是否存在关系,MVN(k,j)为矩阵MVN中的一个元素,用于描述漏洞i和域名服务器j是否存在关系,
Figure 403451DEST_PATH_IMAGE010
为第j个域名服务器的安全威胁估计值;Z(i)为区域i给所述域名服务器传递的重要性信息的初始值,V(k)为漏洞节点k给所述域名服务器传递的脆弱性信息的初始值。
进一步地,所述步骤S103中,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果,即综合重要性信息估计值及脆弱性信息估计值,得到域名服务器的安全威胁计算公式:
Figure 127824DEST_PATH_IMAGE011
其中,
Figure 252906DEST_PATH_IMAGE012
为第j个域名服务器的安全威胁估计值,
Figure 113546DEST_PATH_IMAGE013
Figure 564250DEST_PATH_IMAGE014
分别为区域i传递的重要性信息估计值、漏洞节点k传递的脆弱性信息估计值,MNZ为归一化后的区域-服务器关系矩阵的转置矩阵,MNV为归一化后的域名服务器-漏洞关系矩阵, MNZ(j,i)为矩阵MNZ中的一个元素,用于描述域名服务器j和区域i是否存在关系,MNV(j,k)为为矩阵MNV中的一个元素,用于描述域名服务器j和漏洞i是否存在关系,m为所计算区域数量,取值由数据集决定;l为所计算的漏洞数量,也由数据集决定;γ用于调节两种因素所占比的权重值,γ∈[0,1]。
根据本发明第二方面,提供一种基于异构信息网络的域名服务器安全威胁分析装置,所述装置包括:
模型建立模块:配置为提取域名系统的网络要素实体及实体间关系;确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系,构建异构信息网络模型;
重要性计算模块:配置为从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式;根据所述多关系网络模式,计算区域依赖邻接矩阵,计算区域的重要性;
计算模块:配置为从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系,调整所述异构信息网络模型;计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果。
根据本发明第三方面,提供一种基于异构信息网络的域名服务器安全威胁分析系统,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的基于异构信息网络的域名服务器安全威胁分析方法。
根据本发明第四方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的基于异构信息网络的域名服务器安全威胁分析方法。
根据本发明的上述方案,通过设置域名服务器安全威胁评估的目标,目标包括:构建域名系统网络表征清晰地描述区域之间的相互依赖关系;根据区域之间的多重依赖关系迭代计算区域的重要性初始值;利用区域和域名服务器的关系计算域名服务器的重要性,关联域名服务器软件和漏洞信息,对域名服务器的脆弱性进行计算,结合重要性和脆弱性得到域名服务器安全威胁,具有以下技术效果:(1)既考虑了域名服务器在网络中的重要性,又考虑了域名服务器自身属性带来的安全风险,制定出的防护策略具备更强的性价比。(2)域名系统异构信息网络模型具备较强的可扩展性,可以对关注的节点和关系进行细分,对不太关注的节点和关系进行合并;也可以方便地修改网络模式,添加和删除网络要素,使得模型能适应多种应用场景,具备良好的可扩展性。(3)利用异构信息网络模型,将域名系统中区域之间的多重依赖关系及其与域名服务器的代理关系表征成为清晰的网络模式,具备较强的依赖关系表征能力,不同域名节点重要程度由其依赖节点传递而来,使得域名服务器安全威胁计算结果更具合理性和准确性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明提供如下附图进行说明。在附图中:
图1为本发明一个实施方式的基于异构信息网络的域名服务器安全威胁分析方法流程图;
图2为本发明一个实施方式的基于异构信息网络的域名服务器安全威胁分析方法的细节实现的流程图;
图3为本发明一个实施方式的example.com区域文件记录示意图;
图4为本发明一个实施方式的域名服务器安全威胁评估整体网络模式示意图;
图5为本发明一个实施方式的域名服务器安全威胁计算网络模型示意图;
图6为本发明一个实施方式的基于异构信息网络的域名服务器安全威胁分析装置结构框图。
具体实施方式
首先结合图1说明为本发明一个实施方式的基于异构信息网络的域名服务器安全威胁分析方法。如图1-2所示,所述方法包括以下步骤:
步骤S101:提取域名系统的网络要素实体及实体间关系;确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系,构建异构信息网络模型;
步骤S102:从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式;根据所述多关系网络模式,计算区域依赖邻接矩阵,计算区域的重要性;
步骤S103:从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系,调整所述异构信息网络模型;计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果。
所述步骤S101:提取域名系统的网络要素实体及实体间关系;确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系,构建异构信息网络模型,其中:
基于域名解析查询和网页爬虫获取结构化的原始数据,通过正则匹配提取域名系统的网络要素实体及实体间关系,例如,网络要素实体包括但不限于:区域、域名服务器、服务软件、漏洞,实体间关系包括但不限于:域内授权、兄弟授权、无关授权、具有权威、存在于。
域名系统的层次结构以及解析代理机制,不可避免地在区域之间引入了依赖关系。DNS父域向子域包含了子域依赖父域提供解析。另外,除了层次结构导致的父子依赖,区域之间的依赖关系还包括间接授权方式下的其他授权记录对应的区域。总的来说,由于区域授权导致的依赖关系即所述相关要素之间的依赖关系,包括域内授权、兄弟授权、无关授权三类。
所述相关要素之间的依赖关系,包括域内授权(in-domain delegation)、兄弟授权(sibling delegation)、无关授权(unrelated delegation);所述域内授权包括本级区域授权和子孙区域授权;所述域内授权为授权记录所对应的域名在本区域之内;所述兄弟授权为授权记录所对应的域名不在本区域之内,但是在父域之内;所述无关授权为授权记录对应的域名既不在本区域之内,也不在父域之内。
在本实施例中,如图3所示,区域example.com的授权记录dns.example.com属于本级区域内授权;授权记录dns.sub.example.com属于子孙区域内授权;区域example.com的授权记录dns.other.com属于example.com的兄弟区域other.com;区域example.com的授权记录dns.example.net已经超出了父区域com的范围,为无关授权。
本实施例中,通过梳理域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系,基于所述相关要素及所述相关要素之间的依赖关系,构建异构信息网络模型,所述异构信息网络模型,是一个带有对象类型映射函数
Figure 775920DEST_PATH_IMAGE015
和连接类型映射函数
Figure 704693DEST_PATH_IMAGE016
的有向图G=(V,E),其中V是要素集合,E是关系集合,
Figure 950997DEST_PATH_IMAGE017
是特定的要素类型,
Figure 572603DEST_PATH_IMAGE018
是特定的关系类型。
通过域名解析查询可以获取区域Zone依赖的区域以及区域的域名服务器NS;通过网页爬取可以得到域名服务器漏洞Vul及其影响的软件版本software、漏洞评分等相关信息;域名服务器的软件版本可以通过指纹探测获得。对以上的实体要素和关系进行梳理可以构建出异构信息网络如图4所示。本实施例所构建的异构信息网络模型清晰展示了域名系统网络中的多种依赖关系,同时具备良好的可扩展性,可以根据应用场景随时扩充网络中的节点和关系。
所述步骤S102:从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式;根据所述多关系网络模式,计算区域依赖邻接矩阵,计算区域的重要性,其中:
区域之间由于区域授权引起三种依赖关系,即域内授权、兄弟授权、无关授权,基于所述区域以及上述三种依赖关系,构成多关系网络模式,所述多关系网络模式包括区域Zone一种实体作为节点和上述的三种依赖关系作为边。
根据所述多关系网络模式,得到区域依赖邻接矩阵,由于依赖关系为三种,则所述区域依赖邻接矩阵为三个。本实施例中,根据域名解析探测到的数据,获取每个区域在由于间接授权而引起的三种依赖关系,得到的依赖关系邻接矩阵分别为M (in) 、M (si) 、M (un) M (in) 为域内授权关系邻接矩阵、M (si) 为兄弟授权关系邻接矩阵、M (un) 为无关授权关系邻接矩阵,其中in为域内授权关系,si为兄弟授权关系,un为无关授权关系;
M (in) ={M (in) ij }, 如果区域j是区域i的域内依赖,M (in) ij 为1,否则为0;
M (si) ={M (si) ij }, 如果区域j是区域i的兄弟依赖,M (si) ij 为1,否则为0;
M (un) ={M (un) ij }, 如果区域j是区域i的无关依赖,M (un) ij 为1,否则为0。
本实施例中,假设有4个区域域内依赖关系是:a依赖于d; b依赖于a和c, c依赖于a; d依赖于b,那么M (in) 为:
Figure 982552DEST_PATH_IMAGE020
所述计算区域的重要性,即对构建的所述异构信息网络模型计算区域的重要性,在每一轮迭代计算中,分别计算该区域在上述三种关系下所述区域的影响力,再将计算出的影响力与预设权重相乘再求和,得到该区域在网络中的重要性,本实施例中,按照如下公式迭代计算每个区域的重要性:
按照如下公式计算每个区域节点的重要性:
Figure 980595DEST_PATH_IMAGE021
其中,u为待计算区域节点,ZR(u)为待计算区域的重要性评分,B u (in) 为域内授权指向区域节点u的区域集合,B u (si) 为兄弟授权指向区域节点u的区域集合;B u (un) 为无关授权指向区域节点u的区域集合,即依赖邻接矩阵中,区域节点u所在列值为1对应的行所代表的区域的集合,i为某个域内授权依赖于待计算区域的区域,j为某个兄弟授权依赖于待计算区域的区域,k为某个无关授权依赖于待计算区域的区域, ZR(i)ZR(j)ZR(k)分别为对应区域的重要性评分;L(x)|x=i,j,kL(x)表示从区域x指出的区域的数量,即依赖邻接矩阵中,区域节点u所在行的值之和,α为域内授权关系所占比重,β为兄弟授权关系所占比重,
Figure 815827DEST_PATH_IMAGE006
以域内授权为例,对于B u (in) 中的每一个区域i ,它传递给区域u的影响力是它自身的影响力ZR(i)除以区域i指向其他区域的数量,也即区域i将其影响力平均传递给了所有指出去的区域。
Figure 77175DEST_PATH_IMAGE022
,用来调节每种关系在影响力计算时所占的权重,其值可以基于先验知识或者其他学习方法得到。经过反复迭代计算后的收敛值便是区域在域名系统网络中的影响力。排名靠前的区域便是该域名系统中的关键区域。
本实施例中,使用改进的PageRank算法计算区域在多种依赖关系下的影响力,加权求和得到区域的重要性度量。不同区域重要程度由被其依赖区域传递而来,使得不同的区域在网络中具备不同的重要值,更加符合实际场景。
所述步骤S103:从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系,调整所述异构信息网络模型;计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果,其中:
从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系,所述关系包括域名服务器对区域的拥有权威关系,域名服务器上存在漏洞的存在关系;
所述调整所述异构信息网络模型的方式是通过域名服务器软件版本构建域名服务器和漏洞节点之间的关联关系。
本实施例中,从图4的网络模式中抽取出右半部分,通过软件版本将域名服务器和漏洞节点直接关联起来,调整后的异构信息网络模型如图5所示。调整后的异构信息网络模型是一个包含了3种节点和两种关系的异构信息网络模型。得到图5所示网络模型后,根据前期获取的数据构建区域-服务器关系矩阵M (ZN) 和域名服务器-漏洞关系矩阵M (NV) ,其中,
M (ZN) ={M (ZN) ij }, 如果域名服务器j负载区域i的解析,M (ZN) ij 为1,否则为0;
M (NV) ={M (NV) ij }, 如果漏洞j影响服务器i的软件版本,M (NV) ij 为1,否则为0;
再对所述数据构建区域-服务器关系矩阵M (ZN) 和域名服务器-漏洞关系矩阵M (NV) 按列进行归一化处理。
本实施例中,计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,包括:所述区域的重要性作为给所述域名服务器传递的重要性信息的初始值,从网页爬取的漏洞评分作为漏洞节点给所述域名服务器传递的脆弱性信息的初始值;
按如下公式分别计算各个区域传递的重要性信息估计值和漏洞节点传递的脆弱性信息估计值:
Figure 997857DEST_PATH_IMAGE023
其中,
Figure 2854DEST_PATH_IMAGE024
分别为区域i传递的重要性信息估计值,漏洞节点k传递的脆弱性信息估计值;j为域名服务器编号,取值为[1,n];α、β为权重值,
Figure 427013DEST_PATH_IMAGE009
,MZN为归一化后的区域-服务器关系矩阵,MVN为归一化后的域名服务器-漏洞关系矩阵的转置矩阵;MZN(i,j)为矩阵MZN中的一个元素,用于描述区域i和域名服务器j是否存在关系,MVN(k,j)为矩阵MVN中的一个元素,用于描述漏洞i和域名服务器j是否存在关系,
Figure 656000DEST_PATH_IMAGE010
为第j个域名服务器的安全威胁估计值;Z(i)为区域i给所述域名服务器传递的重要性信息的初始值,V(k)为漏洞节点k给所述域名服务器传递的脆弱性信息的初始值。
本实施例中,迭代计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息。
结合图4的网络模型对所述域名服务器面临的安全威胁进行迭代处理,本实施例中,使用如下的权威排名准则:网络中的区域重要性越高,则负责该区域解析的域名服务器的重要性越高;漏洞节点的脆弱性评分越高,则被该漏洞节点影响的域名服务器的脆弱性越高。
所述结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果,即综合重要性信息估计值及脆弱性信息估计值,得到域名服务器的安全威胁计算公式:
Figure 532820DEST_PATH_IMAGE011
其中,
Figure 872666DEST_PATH_IMAGE012
为第j个域名服务器的安全威胁估计值,
Figure 885752DEST_PATH_IMAGE013
Figure 20062DEST_PATH_IMAGE014
分别为区域i传递的重要性信息估计值、漏洞节点k传递的脆弱性信息估计值,MNZ为归一化后的区域-服务器关系矩阵的转置矩阵,MNV为归一化后的域名服务器-漏洞关系矩阵, MNZ(j,i)为矩阵MNZ中的一个元素,用于描述域名服务器j和区域i是否存在关系,MNV(j,k)为为矩阵MNV中的一个元素,用于描述域名服务器j和漏洞i是否存在关系,m为所计算区域数量,取值由数据集决定;l为所计算的漏洞数量,也由数据集决定;γ用于调节两种因素所占比的权重值,γ∈[0,1]。
本实施例中,可以将计算各个区域传递的重要性信息估计值和漏洞节点传递的脆弱性信息估计值的公式、综合重要性信息估计值及脆弱性信息估计值,得到域名服务器的安全威胁计算公式迭代计算,得到最终的收敛值或者前后两次结果差小于某一阈值,例如,优选为10-7,进而计算得到各个域名服务器的安全威胁结果。
本实施例的方法弥补了以往方法中不考虑节点自身脆弱性的不足。
本发明实施例进一步给出一种基于异构信息网络的域名服务器安全威胁分析装置,如图6所示,所述装置包括:
模型建立模块:配置为提取域名系统的网络要素实体及实体间关系;确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系,构建异构信息网络模型;
重要性计算模块:配置为从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式;根据所述多关系网络模式,计算区域依赖邻接矩阵,计算区域的重要性;
计算模块:配置为从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系,调整所述异构信息网络模型;计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果。
本发明实施例进一步给出一种基于异构信息网络的域名服务器安全威胁分析系统,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的基于异构信息网络的域名服务器安全威胁分析方法。
本发明实施例进一步给出一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的基于异构信息网络的域名服务器安全威胁分析方法。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,实体机服务器,或者网络云服务器等,需安装Windows或者Windows Server操作系统)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。

Claims (10)

1.一种基于异构信息网络的域名服务器安全威胁分析方法,其特征在于,包括以下步骤:
步骤S101:提取域名系统的网络要素实体及实体间关系;确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系,构建异构信息网络模型;
步骤S102:从所述异构信息网络模型中提取区域节点以及由区域节点之间的依赖关系构成的多关系网络模式;根据所述多关系网络模式,计算区域节点依赖邻接矩阵,计算区域节点的重要性;
步骤S103:从所述异构信息网络模型中提取区域节点、域名服务器和漏洞节点以及其关系,调整所述异构信息网络模型;计算区域节点给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果。
2.如权利要求1所述的基于异构信息网络的域名服务器安全威胁分析方法,其特征在于,所述相关要素之间的依赖关系,包括域内授权、兄弟授权、无关授权;所述域内授权包括本级区域授权和子孙区域授权;所述域内授权为授权记录所对应的域名在本区域之内;所述兄弟授权为授权记录所对应的域名不在本区域之内,但是在父域之内;所述无关授权为授权记录对应的域名既不在本区域之内,也不在父域之内。
3.如权利要求2所述的基于异构信息网络的域名服务器安全威胁分析方法,其特征在于,所述异构信息网络模型,是一个带有对象类型映射函数
Figure 522320DEST_PATH_IMAGE001
和连接类型映射函数
Figure 314827DEST_PATH_IMAGE002
的有向图G=(V,E),其中V是要素集合,E是关系集合,
Figure 969930DEST_PATH_IMAGE003
是特定的要素类型,
Figure 240505DEST_PATH_IMAGE004
是特定的关系类型。
4.如权利要求1所述的基于异构信息网络的域名服务器安全威胁分析方法,其特征在于,根据域名解析探测到的数据,获取每个区域节点的依赖关系邻接矩阵,所述依赖关系邻接矩阵分别为M (in) 、M (si) 、M (un) M (in) 为域内授权关系邻接矩阵、M (si) 为兄弟授权关系邻接矩阵、M (un) 为无关授权关系邻接矩阵,其中in为域内授权关系,si为兄弟授权关系,un为无关授权关系;
M (in) ={M (in) ij }, 如果区域j是区域i的域内依赖,M (in) ij 为1,否则为0;
M (si) ={M (si) ij }, 如果区域j是区域i的兄弟依赖,M (si) ij 为1,否则为0;
M (un) ={M (un) ij }, 如果区域j是区域i的无关依赖,M (un) ij 为1,否则为0。
5.如权利要求4所述的基于异构信息网络的域名服务器安全威胁分析方法,其特征在于,所述步骤S102中,计算区域节点的重要性,包括:
按照如下公式计算每个区域节点的重要性:
Figure 726982DEST_PATH_IMAGE006
其中,u为待计算区域节点,ZR(u)为待计算区域的重要性评分,B u (in) 为域内授权指向区域节点u的区域集合,B u (si) 为兄弟授权指向区域节点u的区域集合;B u (un) 为无关授权指向区域节点u的区域集合,即依赖邻接矩阵中,区域节点u所在列值为1对应的行所代表的区域的集合,i为某个域内授权依赖于待计算区域的区域,j为某个兄弟授权依赖于待计算区域的区域,k为某个无关授权依赖于待计算区域的区域, ZR(i)ZR(j)ZR(k)分别为对应区域的重要性评分;L(x)|x=i,j,kL(x)表示从区域x指出的区域的数量,即依赖邻接矩阵中,区域节点u所在行的值之和,α为域内授权关系所占比重,β为兄弟授权关系所占比重,
Figure 424810DEST_PATH_IMAGE007
6.如权利要求1所述的基于异构信息网络的域名服务器安全威胁分析方法,其特征在于,所述步骤S103中,计算区域节点给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,包括:
所述区域节点的重要性作为给所述域名服务器传递的重要性信息的初始值,从网页爬取的漏洞评分作为漏洞节点给所述域名服务器传递的脆弱性信息的初始值;
按如下公式分别计算各个区域节点传递的重要性信息估计值和漏洞节点传递的脆弱性信息估计值:
Figure 567210DEST_PATH_IMAGE008
其中,
Figure 641476DEST_PATH_IMAGE009
分别为区域i传递的重要性信息估计值,漏洞节点k传递的脆弱性信息估计值;j为域名服务器编号,取值为[1,n];α、β为权重值,
Figure 185721DEST_PATH_IMAGE010
,MZN为归一化后的区域-服务器关系矩阵,MVN为归一化后的域名服务器-漏洞关系矩阵的转置矩阵;MZN(i,j)为矩阵MZN中的一个元素,用于描述区域i和域名服务器j是否存在关系,MVN(k,j)为矩阵MVN中的一个元素,用于描述漏洞i和域名服务器j是否存在关系,
Figure 54451DEST_PATH_IMAGE011
为第j个域名服务器的安全威胁估计值;Z(i)为区域i给所述域名服务器传递的重要性信息的初始值,V(k)为漏洞节点k给所述域名服务器传递的脆弱性信息的初始值。
7.如权利要求6所述的基于异构信息网络的域名服务器安全威胁分析方法,其特征在于,所述步骤S103中,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果,即综合重要性信息估计值及脆弱性信息估计值,得到域名服务器的安全威胁计算公式:
Figure 418567DEST_PATH_IMAGE012
其中,
Figure 296525DEST_PATH_IMAGE013
为第j个域名服务器的安全威胁估计值,
Figure 695276DEST_PATH_IMAGE014
Figure 487DEST_PATH_IMAGE015
分别为区域i传递的重要性信息估计值、漏洞节点k传递的脆弱性信息估计值,MNZ为归一化后的区域-服务器关系矩阵的转置矩阵,MNV为归一化后的域名服务器-漏洞关系矩阵, MNZ(j,i)为矩阵MNZ中的一个元素,用于描述域名服务器j和区域i是否存在关系,MNV(j,k)为为矩阵MNV中的一个元素,用于描述域名服务器j和漏洞i是否存在关系,m为所计算区域数量,取值由数据集决定;l为所计算的漏洞数量,也由数据集决定;γ用于调节两种因素所占比的权重值,γ∈[0,1]。
8.一种基于异构信息网络的域名服务器安全威胁分析装置,其特征在于,所述装置包括:
模型建立模块:配置为提取域名系统的网络要素实体及实体间关系;确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系,构建异构信息网络模型;
重要性计算模块:配置为从所述异构信息网络模型中提取区域节点以及由区域节点之间的依赖关系构成的多关系网络模式;根据所述多关系网络模式,计算区域节点依赖邻接矩阵,计算区域节点的重要性;
计算模块:配置为从所述异构信息网络模型中提取区域节点、域名服务器和漏洞节点以及其关系,调整所述异构信息网络模型;计算区域节点给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息,结合所述重要性和脆弱性信息,得到所述域名服务器的安全威胁度量结果。
9.一种基于异构信息网络的域名服务器安全威胁分析系统,其特征在于,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如权利要求1-7之任一项所述的基于异构信息网络的域名服务器安全威胁分析方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如权利要求1-7之任一项所述的基于异构信息网络的域名服务器安全威胁分析方法。
CN202110770889.1A 2021-07-08 2021-07-08 基于异构信息网络的域名服务器安全威胁分析方法及装置 Active CN113259399B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110770889.1A CN113259399B (zh) 2021-07-08 2021-07-08 基于异构信息网络的域名服务器安全威胁分析方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110770889.1A CN113259399B (zh) 2021-07-08 2021-07-08 基于异构信息网络的域名服务器安全威胁分析方法及装置

Publications (2)

Publication Number Publication Date
CN113259399A true CN113259399A (zh) 2021-08-13
CN113259399B CN113259399B (zh) 2021-10-15

Family

ID=77190874

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110770889.1A Active CN113259399B (zh) 2021-07-08 2021-07-08 基于异构信息网络的域名服务器安全威胁分析方法及装置

Country Status (1)

Country Link
CN (1) CN113259399B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115982508A (zh) * 2023-03-21 2023-04-18 中国人民解放军国防科技大学 基于异构信息网络的网站检测方法、电子设备及介质
CN117439824A (zh) * 2023-12-21 2024-01-23 山东科技大学 基于ai的智慧城市评价方法、系统、设备及存储介质
CN117857224A (zh) * 2024-03-07 2024-04-09 暨南大学 一种基于多pov的dns授权依赖安全评估方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100205297A1 (en) * 2009-02-11 2010-08-12 Gurusamy Sarathy Systems and methods for dynamic detection of anonymizing proxies
CN102638458A (zh) * 2012-03-23 2012-08-15 中国科学院软件研究所 识别脆弱性利用安全威胁并确定相关攻击路径的方法
CN110677379A (zh) * 2018-07-02 2020-01-10 瞻博网络公司 用于阻止、检测和/或防止恶意流量的方法和设备
CN110769004A (zh) * 2019-11-05 2020-02-07 中国人民解放军国防科技大学 在dns客户端或代理服务器使用的dns防污染方法
CN111447246A (zh) * 2020-06-17 2020-07-24 中国人民解放军国防科技大学 一种基于异构信息网络的节点脆弱性估计方法和系统
CN111628988A (zh) * 2020-05-23 2020-09-04 北京紫通科技有限责任公司 一种基于多源安全威胁数据的安全分析方法、系统及装置
CN112699377A (zh) * 2020-12-30 2021-04-23 哈尔滨工业大学 基于切片属性图表示学习的函数级代码漏洞检测方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100205297A1 (en) * 2009-02-11 2010-08-12 Gurusamy Sarathy Systems and methods for dynamic detection of anonymizing proxies
CN102638458A (zh) * 2012-03-23 2012-08-15 中国科学院软件研究所 识别脆弱性利用安全威胁并确定相关攻击路径的方法
CN110677379A (zh) * 2018-07-02 2020-01-10 瞻博网络公司 用于阻止、检测和/或防止恶意流量的方法和设备
CN110769004A (zh) * 2019-11-05 2020-02-07 中国人民解放军国防科技大学 在dns客户端或代理服务器使用的dns防污染方法
CN111628988A (zh) * 2020-05-23 2020-09-04 北京紫通科技有限责任公司 一种基于多源安全威胁数据的安全分析方法、系统及装置
CN111447246A (zh) * 2020-06-17 2020-07-24 中国人民解放军国防科技大学 一种基于异构信息网络的节点脆弱性估计方法和系统
CN112699377A (zh) * 2020-12-30 2021-04-23 哈尔滨工业大学 基于切片属性图表示学习的函数级代码漏洞检测方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115982508A (zh) * 2023-03-21 2023-04-18 中国人民解放军国防科技大学 基于异构信息网络的网站检测方法、电子设备及介质
CN117439824A (zh) * 2023-12-21 2024-01-23 山东科技大学 基于ai的智慧城市评价方法、系统、设备及存储介质
CN117439824B (zh) * 2023-12-21 2024-03-12 山东科技大学 基于ai的智慧城市评价方法、系统、设备及存储介质
CN117857224A (zh) * 2024-03-07 2024-04-09 暨南大学 一种基于多pov的dns授权依赖安全评估方法
CN117857224B (zh) * 2024-03-07 2024-06-25 暨南大学 一种基于多pov的dns授权依赖安全评估方法

Also Published As

Publication number Publication date
CN113259399B (zh) 2021-10-15

Similar Documents

Publication Publication Date Title
CN113259399B (zh) 基于异构信息网络的域名服务器安全威胁分析方法及装置
CN109922069B (zh) 高级持续性威胁的多维关联分析方法及系统
JP2022512192A (ja) 挙動による脅威検出のためのシステムおよび方法
CN108156131B (zh) Webshell检测方法、电子设备和计算机存储介质
US8438386B2 (en) System and method for developing a risk profile for an internet service
US10404731B2 (en) Method and device for detecting website attack
CN111224941B (zh) 一种威胁类型识别方法及装置
CN107679626A (zh) 机器学习方法、装置、系统、存储介质及设备
CN112217650B (zh) 网络阻塞攻击效果评估方法、装置及存储介质
US7774451B1 (en) Method and apparatus for classifying reputation of files on a computer network
CN111447246B (zh) 一种基于异构信息网络的节点脆弱性估计方法和系统
CN116668089B (zh) 基于深度学习的网络攻击检测方法、系统及介质
CN111865899B (zh) 威胁驱动的协同采集方法及装置
CN113691491A (zh) 域名系统中恶意域名的检测方法与检测装置
CN117319051A (zh) 基于用户实体行为分析的安全威胁情报的确定方法及装置
Modell et al. A graph embedding approach to user behavior anomaly detection
CN111125747B (zh) 一种商务网站用户的商品浏览隐私保护方法及系统
WO2020170911A1 (ja) 推定装置、推定方法及びプログラム
WO2016173327A1 (zh) 用于检测网站攻击的方法和设备
CN116094808A (zh) 基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统
Yang et al. [Retracted] Computer User Behavior Anomaly Detection Based on K‐Means Algorithm
CN112039843B (zh) 基于矩阵补全的用户多域权限联合估计方法
CN115134095A (zh) 僵尸网络控制端检测方法及装置、存储介质、电子设备
Kayacik et al. Using self-organizing maps to build an attack map for forensic analysis
CN111800409A (zh) 接口攻击检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant