CN113315737A - 一种apt攻击检测方法、装置、电子设备及可读存储介质 - Google Patents
一种apt攻击检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN113315737A CN113315737A CN202010119584.XA CN202010119584A CN113315737A CN 113315737 A CN113315737 A CN 113315737A CN 202010119584 A CN202010119584 A CN 202010119584A CN 113315737 A CN113315737 A CN 113315737A
- Authority
- CN
- China
- Prior art keywords
- grammar
- request data
- dns request
- features
- dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 39
- 238000004590 computer program Methods 0.000 claims description 9
- 238000000605 extraction Methods 0.000 claims description 6
- 238000010801 machine learning Methods 0.000 claims description 5
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 238000000034 method Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种APT攻击检测方法,针对获取到的DNS请求数据,本申请首先对其进行文法分析得到实际文法特征,并通过与恶意文法特征的一致性对比来从文法特征上判断是否包含APT攻击,考虑到实际情况下CDN类业务往往也会表现出相类似的文法特征,因此为尽可能的减少误判,本申请通过确定该DNS请求对应的DNS服务器是否为可信的DNS服务器,从而避免将正常的DNS请求数据误判为包含APT攻击的恶意请求数据。包含APT攻击的DNS请求最终总要达到由攻击者自行搭建的DNS服务器上才能发挥作用,因此可以很好的避免误判的产生。本申请还同时公开了一种APT攻击检测装置、电子设备及可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及恶意攻击检测技术领域,特别涉及一种APT攻击检测方法、装置、电子设备及可读存储介质。
背景技术
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。通过网络渠道进行的APT攻击则具有更高的危害程度,因此必须加以防范。
现今针对APT攻击的一种方式为封锁端口,例如封锁80端口来禁止上网,但DNS(Domain Name System,域名服务协议)作为企业基础网络的必要服务,则经常是开放访问的。这也给了APT攻击基于DNS请求来进行信息传输和命令控制。例如某些APT攻击者将需要传输的数据放在DNS记录的queries字段中,伪装成正常的域名请求,以此迷惑、绕过常规的安全检查。
而现今针对DNS请求的安全检查还不全面,要么误判率较高,要么容易漏判,效果均不佳。
因此,如何在不漏判的基础上尽可能的降低误判率,是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种APT攻击检测方法、装置、电子设备及可读存储介质,目的在于在不漏判的基础上尽可能的降低误判率。
为实现上述目的,本申请提供了一种APT攻击检测方法,包括:
获取DNS请求数据,并从所述DNS请求数据中提取得到实际文法特征;
判断所述实际文法特征与恶意文法特征是否一致;其中,所述恶意文法特征为从包含有APT攻击的DNS请求中提取得到的文法特征;
若一致,则确定所述DNS请求数据对应的DNS服务器;
判断所述DNS服务器是否可信;
若不一致或可信,则判定所述DNS请求数据中不包含APT攻击;
若不可信,则判定所述DNS请求数据中包含APT攻击。
可选的,从所述DNS请求数据中提取得到实际文法特征,包括:
从所述DNS请求数据中提取得到包括中英文特征、域名长度特征、域名级数特征、域名编码率特征、访问时间分布特征在内的至少一项实际文法特征。
可选的,当所述实际文法特征和所述恶意文法特征均仅基于域名编码率特征构建时,判断所述实际文法特征与恶意文法特征是否一致,包括:
判断所述实际文法特征的编码量和信息熵是否分别处于所述恶意文法特征的编码量范围和信息熵范围;
若所述实际文法特征的编码量和信息熵均处于所述恶意文法特征对应的编码量范围和信息熵范围,判定所述实际文法特征与所述恶意文法特征一致;
若所述实际文法特征的编码量和编码量未均处于所述恶意文法特征对应的编码量范围和信息熵范围,判定所述实际文法特征与所述恶意文法特征不一致。
可选的,该APT攻击检测方法还包括:
利用机器学习算法,将从包含有APT攻击的DNS请求数据中提取得到的各项恶意文法特征进行建模,得到分类器;
对应的,判断所述实际文法特征与恶意文法特征是否一致,包括:
利用所述分类器判断所述实际文法特征与所述恶意文法特征是否一致。
可选的,确定所述DNS请求数据对应的DNS服务器,包括:
通过发送类型为NS的新DNS请求来确定所述DNS请求数据对应的DNS服务器;
和/或,
通过查询预先记录的Whois信息来确定所述DNS请求数据对应的DNS服务器;
和/或,
通过从根服务器按递归查询方式查询NS记录来确定所述DNS请求数据对应的DNS服务器。
可选的,确定所述DNS请求数据对应的DNS服务器,包括:
判断已存储Whois信息中是否记录有所述DNS请求数据对应的DNS服务器;
若未记录,则判断能否通过发送类型为NS的新DNS请求来确定所述DNS服务器;
若无法通过发送所述新DNS请求来确定所述DNS服务器,则通过从所述根服务器按递归查询方式查询NS记录来确定所述DNS服务器。
可选的,该APT攻击检测方法还包括:
将对应可信的DNS服务器的DNS请求数据标记为目标数据;
利用从所述目标数据中提取得到的文法特征调整所述恶意文法特征。
为实现上述目的,本申请还提供了一种APT攻击检测装置,包括:
文法特征提取单元,用于获取DNS请求数据,并从所述DNS请求数据中提取得到实际文法特征;
文法特征判断单元,用于判断所述实际文法特征与恶意文法特征是否一致;其中,所述恶意文法特征为从包含有APT攻击的DNS请求中提取得到的文法特征;
对应DNS服务器确定单元,用于当所述实际文法特征与所述恶意文法特征一致时,确定所述DNS请求数据对应的DNS服务器;
DNS服务器可信判断单元,用于判断所述DNS服务器是否可信;
不包含APT攻击判定单元,用于当所述实际文法特征与所述恶意文法特征不一致或所述DNS服务器可信时,判定所述DNS请求数据中不包含APT攻击;
包含APT攻击判定单元,用于当所述DNS服务器不可信时,判定所述DNS请求数据中包含APT攻击。
可选的,所述文法特征提取单元包括:
多维度文法特征提取子单元,用于从所述DNS请求数据中提取得到包括中英文特征、域名长度特征、域名级数特征、域名编码率特征、访问时间分布特征在内的至少一项实际文法特征。
可选的,当所述实际文法特征和所述恶意文法特征均仅基于域名编码率特征构建时,所述文法特征判断单元包括:
编码量及信息熵判断子单元,用于判断所述实际文法特征的编码量和信息熵是否分别处于所述恶意文法特征的编码量范围和信息熵范围;
一致判定子单元,用于当所述实际文法特征的编码量和信息熵均处于所述恶意文法特征对应的编码量范围和信息熵范围时,判定所述实际文法特征与所述恶意文法特征一致;
不一致判定子单元,用于当所述实际文法特征的编码量和编码量未均处于所述恶意文法特征对应的编码量范围和信息熵范围时,判定所述实际文法特征与所述恶意文法特征不一致。
可选的,该APT攻击检测装置还包括:
分类器构建子单元,用于利用机器学习算法,将从包含有APT攻击的DNS请求数据中提取得到的各项恶意文法特征进行建模,得到分类器;
对应的,所述文法特征判断单元包括:
分类器判断子单元,用于利用所述分类器判断所述实际文法特征与所述恶意文法特征是否一致。
可选的,所述对应DNS服务器确定单元包括:
NS类型新DNS请求确定子单元,用于通过发送类型为NS的新DNS请求来确定所述DNS请求数据对应的DNS服务器;
和/或,
Whois信息确定子单元,用于通过查询预先记录的Whois信息来确定所述DNS请求数据对应的DNS服务器;
和/或,
递归查询确定子单元,用于通过从根服务器按递归查询方式查询NS记录来确定所述DNS请求数据对应的DNS服务器。
可选的,所述对应DNS服务器确定单元包括:
第一确定子单元,用于判断已存储Whois信息中是否记录有所述DNS请求数据对应的DNS服务器;
第二确定子单元,用于当所述已存储Whois信息中未记录有所述DNS请求数据对应的DNS服务器时,判断能否通过发送类型为NS的新DNS请求来确定所述DNS服务器;
第三确定子单元,用于当无法通过发送所述新DNS请求来确定所述DNS服务器时,通过从所述根服务器按递归查询方式查询NS记录来确定所述DNS服务器。
可选的,该APT攻击检测装置还包括:
目标数据标记单元,用于将对应可信的DNS服务器的DNS请求数据标记为目标数据;
恶意文法特征调整单元,用于利用从所述目标数据中提取得到的文法特征调整所述恶意文法特征。
为实现上述目的,本申请还提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述内容所描述的APT攻击检测方法的各步骤。
为实现上述目的,本申请还提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时实现如上述内容所描述的APT攻击检测方法的各步骤。
本申请提供的一种APT攻击检测方法,包括:获取DNS请求数据,并从所述DNS请求数据中提取得到实际文法特征;判断所述实际文法特征与恶意文法特征是否一致;其中,所述恶意文法特征为从包含有APT攻击的DNS请求中提取得到的文法特征;若一致,则确定所述DNS请求数据对应的DNS服务器;判断所述DNS服务器是否可信;若不一致或可信,则判定所述DNS请求数据中不包含APT攻击;若不可信,则判定所述DNS请求数据中包含APT攻击。
根据本申请提供的APT攻击检测方法可知,针对获取到的DNS请求数据,本申请首先对其进行文法分析得到实际文法特征,并通过与恶意文法特征的一致性对比来从文法特征上判断是否包含APT攻击,考虑到实际情况下CDN类业务往往也会表现出相类似的文法特征,因此为尽可能的减少误判,本申请通过确定该DNS请求对应的DNS服务器是否为可信的DNS服务器,从而避免将正常的DNS请求数据误判为包含APT攻击的恶意请求数据。包含APT攻击的DNS请求最终总要达到由攻击者自行搭建的DNS服务器上才能发挥作用,因此可以很好的避免误判的产生。本申请同时还提供了一种APT攻击检测装置、电子设备及可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种APT攻击检测方法的流程图;
图2为本申请实施例提供的APT攻击检测方法中一种基于编码量和信息熵判断实际文法特征是否与恶意文法特征一致的方法的流程图;
图3为本申请实施例提供的APT攻击检测方法中可用于确定DNS请求数据对应的DNS服务器的三种方式的示意图;
图4为本申请实施例提供的APT攻击检测方法中一种确定DNS请求数据对应的DNS服务器的方法的流程图;
图5为本申请实施例提供的一种调整恶意文法特征的方法的流程图;
图6为本申请实施例提供的一种APT攻击检测装置的结构框图。
具体实施方式
本申请的目的是提供一种APT攻击检测方法、装置、电子设备及可读存储介质,目的在于在不漏判的基础上尽可能的降低误判率。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
请参见图1,图1为本申请实施例提供的一种APT攻击检测方法的流程图,其包括以下步骤:
S101:获取DNS请求数据,并从DNS请求数据中提取得到实际文法特征;
本步骤旨在从获取到的DNS请求数据中通过文法分析提取得到实际文法特征,该实际文法特征用于区别从确认包含APT攻击的DNS请求中提取得到的恶意文法特征。
其中,“文法”一词最早见于自然语言处理技术领域,现今广泛被用于各种领域,在本申请中进行文法分析的对象对DNS请求数据,因此进行文法分析的目的也主要是从DNS请求数据中提取得到多种相关特征,诸如中英文特征、域名长度特征、域名级数特征、域名编码率特征、访问时间分布特征等等。
其中,中英文特征用于表示该DNS请求数据中是否包含某些特定的英文单词,例如正常的CDN业务生成的DNS请求数据中会出现“cdn”和“spam”等特定的英文单词;域名长度特征用于从该DNS请求数据的域名长度上来表征其是否包含APT攻击,因为正常的DNS请求数据中包含的正常域名的长度较短,而包含APT攻击的DNS请求数据的域名则往往将恶意数据与正常域名伪装在一起,使得域名较长;域名级数特征则用于从该DNS请求数据的域名级数上来表征其是否包含APT攻击,因为正常的DNS请求数据中包含的正常域名的级数较少,而包含APT攻击的DNS请求数据的域名则往往将恶意数据与正常域名伪装在一起,使得域名级数较多;域名编码率特征则用于从该DNS请求数据的域名编码量和信息熵上来表征其是否包含APT攻击,正常域名通常具有较低的编码量和信息熵,则包含APT攻击的DNS请求数据的域名则往往具有较高的编码量和信息熵;访问时间分布特征,则用于从各DNS请求的访问时间分布上来表征其是否可能包含APT攻击,正常的DNS请求对相应域名发起的访问往往是局部集中但整体随机,但包含APT攻击的DNS请求数据则往往会体现出整体均匀分布或完全集中在某个时间区间。
上面对一些特征怎样用于判断DNS请求数据是否包含APT攻击进行了介绍,主要侧重点放在了正常域名与非正常域名的字母构成、访问时间关系、同一批域名之间的差异等方面,当然,其它可起到相同或类似作用的特征也可以通过其它手段或方式提取得到,并用作补充。
同时,上述列举出的各项文法特征可根据实际情况单独使用,也可以为了降低误判同时合理的结合多项特征从多个维度进行综合判断,此处不做具体限定。
S102:判断实际文法特征与恶意文法特征是否一致,若一致,执行S103,否则执行S105;
其中,恶意文法特征为从包含有APT攻击的DNS请求中提取得到的文法特征,此处使用恶意文法特征作为初步衡量DNS请求数据是否包含APT攻击。
在S101的基础上,本步骤旨在通过实际文法特征是否与恶意文法特征具有一致性,来初步确定DNS请求数据是否包含APT攻击。
为加深理解,此处以实际文法特征和恶意文法特征均基于域名编码率这一特征构建为例,通过图2所示流程图给出一种单一特征如何实现一致性判断的方式,包括如下步骤:
S201:判断实际文法特征的编码量和信息熵是否均处于恶意文法特征对应的编码量范围和信息熵范围,若是,执行S202,否则执行S203;
在本实施例中,预先从确定包含APT攻击的DNS请求数据提取得到其编码量范围和信息熵范围,以便于本步骤根据实际文法特征中的编码量和信息熵是否落在其范围中,得以判断出两者是否具有一致性。
S202:判定实际文法特征与恶意文法特征一致;
S203:判定实际文法特征与恶意文法特征不一致。
其他基于多种不同特征构建的文法特征的一致性判断方式与上述判断方式大体相同,此处不再一一列举。同时,无论是针对由单一特征构建的文法特征,还是由多种特征构建的文法特征,为便于实现一致性判断和增强一致性判断的准确率,还可以采用机器学习算法基于样本特征构建特征分类器,后续只需要将实际文法特征输入分类器,即可得到分类器输出的一致性分类结果。
S103:确定DNS请求数据对应的DNS服务器;
本步骤建立在S102的判断结果为实际文法特征与恶意文法特征一致的基础上,旨在确定DNS请求数据对应的DNS服务器。
之所以没有在实际文法特征与恶意文法特征一致时就直接将该DNS请求数据判定为包含APT攻击,是因为申请人发现在使用CDN(Content Delivery Network,内容分发网络,其构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率)类业务时,其也会导致发出的DNS请求数据在文法特征上区别于正常文法特征,且类似于恶意文法特征,原因是在CDN类业务使用者为实现其加速的效果,也会在DNS请求数据中的域名中增加很多额外的字段或字符,使得其也区别于正常的域名,在文法上类似于包含APT攻击的DNS请求数据。
因此,为了尽可能的避免由此产生的误判,以及避免由于误判导致的正常的CDN类业务无法正常其作用对用户使用体验带来的不良影响,本步骤以及后续步骤通过对应的DNS服务器是否可信来做进一步的判断。
应当理解是,该DNS请求数据在生效过程中需要首先找到能够解析其中包含的域名为正确IP地址的DNS服务器,才能够在该DNS服务器上完成解析并最终生效,哪怕是黑客或其它APT攻击者只能够基于此方式来完成攻击,但攻击很明显无法基于正常的、可信的DNS服务器发起,因此黑客或其它APT攻击者为实现其目的往往会自行搭建DNS服务器,也就是说最终使该DNS请求数据到达其自行搭建的DNS服务器完成解析,并通过解析过程完成其不可告人的目的。因此,申请人抓住这一特征,通过确定该DNS请求数据对应的DNS服务器是否可信来进一步验证该DNS请求数据是否包含APT攻击。
具体的,可通过包括以下三种在内的方式来确定该DNS请求数据的DNS服务器,可参见如图3所示的示意图:
方式一:通过发送类型为NS的新DNS请求来确定DNS请求数据对应的DNS服务器;
方式二:通过查询预先记录的Whois信息来确定DNS请求数据对应的DNS服务器;
Whois信息记录有包含DNS请求数据与其对应DNS服务器的对应关系在内的多种信息,但使用这一方式的前提为预先存储有该Whois信息,在某些场景下并不会Whois信息,或存储的Whois信息中并不会记录这一对应关系。因此,能否使用这一方式还需要结合实际情况。
方式三:通过从根服务器按递归查询方式查询NS记录来确定DNS请求数据对应的DNS服务器。
相比于上述的方式一和方式二,方式三是一种绝对能够查得该DNS服务器的实现方式,但相比方式一和方式二,该方式性能开销较大。
往往结合不同的使用环境,可以直接预先设置好固定使用上述三种实现方式的某一种即可,但考虑到实际情况下的复杂性,为保证实现本步骤的目的,本申请还通过图4所示流程图给出了一种实现方案,包括如下步骤:
S301:判断已存储Whois信息中是否记录有DNS请求数据对应的DNS服务器,若未记录有,执行S302,否则执行S304;
S302:判断能否通过发送类型为NS的新DNS请求来确定DNS服务器,若能,执行S304,否则执行S303;
S303:通过从根服务器按递归查询方式查询NS记录来确定DNS服务器;
S304:确定与DNS请求数据对应的DNS服务器。
如图4所示,该实现方案按照实现最终目的的性能开销大小,按照由小到大的顺序将三种实现方式进行了排序,以保证在不确定某一种实现方式能够得到想要的结果的情况下,能够尽可能的减少性能开销。
S104:判断DNS服务器是否可信,若可信,执行S105,否则执行S106;
在S103的基础上,本步骤旨在对确定得到的DNS服务器是否可信进行判断。具体的,DNS服务器是否可信可从多方面进行判断,例如可以从权威机构发布的可信DNS服务器信息中拉取相关信息(包括Alexa排名前多少的DNS服务器、国内域名查询ICP备案信息、Whois信息中的DNS服务器注册者身份多功能等),也可以从其它可信渠道获取相关信息,此处不做具体限定。
S105:判定DNS请求数据中不包含APT攻击;
本步骤建立在S102的判断结果为实际文法特征与恶意文法特征不具有一致性或S104的判断结果为DNS服务器可信的基础上,说明即使在文法特征上与恶意文法特征一致,但基于其指向的为可信的DNS服务器,说明在很大程度上仍能够证明其为正常的DNS请求数据,因此判定DNS请求数据不包含APT攻击。
S106:判定DNS请求数据包含APT攻击。
本步骤建立在S104的判断结果为DNS服务器不可信的基础上,即在实际文法特征与恶意文法特征具有一致性,且对应的DNS服务器又不是可信的DNS服务器的基础上,有理由认为这一条指向攻击者自行搭建的、用于实现APT攻击的恶意DNS请求,即判定该DNS请求数据中包含APT攻击。
根据本申请提供的APT攻击检测方法可知,针对获取到的DNS请求数据,本申请首先对其进行文法分析得到实际文法特征,并通过与恶意文法特征的一致性对比来从文法特征上判断是否包含APT攻击,考虑到实际情况下CDN类业务往往也会表现出相类似的文法特征,因此为尽可能的减少误判,本申请通过确定该DNS请求对应的DNS服务器是否为可信的DNS服务器,从而避免将正常的DNS请求数据误判为包含APT攻击的恶意请求数据。包含APT攻击的DNS请求最终总要达到由攻击者自行搭建的DNS服务器上才能发挥作用,因此可以很好的避免误判的产生。
基于上述实施例的内容,考虑到仅基于文法特征得到判定结果的不可靠性,还可以通过合适的方式来提升恶意文法特征的可靠性,一种包括但不限于的实现方式可参见如图5所示的流程图,包括如下步骤:
S401:将对应可信的DNS服务器的DNS请求数据标记为目标数据;
S402:利用从目标数据中提取得到的文法特征调整恶意文法特征。
如图5所示,目标数据为对应可信的DNS服务器的DNS请求数据,而目标数据在上述流程中基于文法特征的一致性被错误的判定为属于恶意文法特征,因此很明显能够看出属于错误判断,即恶意文法特征中不应该包含将其判定为属于恶意文法特征的特征内容,因此使用从目标数据中提取得到的文法特征来调整恶意文法特征,将有助于纠正这一问题。
因为情况复杂,无法一一列举进行阐述,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
下面请参见图6,图6为本申请实施例提供的一种APT攻击检测装置的结构框图,该装置可以包括:
文法特征提取单元100,用于获取DNS请求数据,并从DNS请求数据中提取得到实际文法特征;
文法特征判断单元200,用于判断实际文法特征与恶意文法特征是否一致;其中,恶意文法特征为从包含有APT攻击的DNS请求中提取得到的文法特征;
对应DNS服务器确定单元300,用于当实际文法特征与恶意文法特征一致时,确定DNS请求数据对应的DNS服务器;
DNS服务器可信判断单元400,用于判断DNS服务器是否可信;
不包含APT攻击判定单元500,用于当实际文法特征与恶意文法特征不一致或DNS服务器可信时,判定DNS请求数据中不包含APT攻击;
包含APT攻击判定单元600,用于当DNS服务器不可信时,判定DNS请求数据中包含APT攻击。
其中,文法特征提取单元100可以包括:
多维度文法特征提取子单元,用于从DNS请求数据中提取得到包括中英文特征、域名长度特征、域名级数特征、域名编码率特征、访问时间分布特征在内的至少一项实际文法特征。
其中,当实际文法特征和恶意文法特征均仅基于域名编码率特征构建时,文法特征判断单元200可以包括:
编码量及信息熵判断子单元,用于判断实际文法特征的编码量和信息熵是否分别处于恶意文法特征的编码量范围和信息熵范围;
一致判定子单元,用于当实际文法特征的编码量和信息熵均处于恶意文法特征对应的编码量范围和信息熵范围时,判定实际文法特征与恶意文法特征一致;
不一致判定子单元,用于当实际文法特征的编码量和编码量未均处于恶意文法特征对应的编码量范围和信息熵范围时,判定实际文法特征与恶意文法特征不一致。
进一步的,该APT攻击检测装置还可以包括:
分类器构建单元,用于利用机器学习算法,将从包含有APT攻击的DNS请求数据中提取得到的各项恶意文法特征进行建模,得到分类器;
对应的,文法特征判断单元200可以包括:
分类器判断子单元,用于利用分类器判断实际文法特征与恶意文法特征是否一致。
其中,对应DNS服务器确定单元300可以包括:
NS类型新DNS请求确定子单元,用于通过发送类型为NS的新DNS请求来确定DNS请求数据对应的DNS服务器;
和/或,
Whois信息确定子单元,用于通过查询预先记录的Whois信息来确定DNS请求数据对应的DNS服务器;
和/或,
递归查询确定子单元,用于通过从根服务器按递归查询方式查询NS记录来确定DNS请求数据对应的DNS服务器。
其中,对应DNS服务器确定单元300可以包括:
第一确定子单元,用于判断已存储Whois信息中是否记录有DNS请求数据对应的DNS服务器;
第二确定子单元,用于当已存储Whois信息中未记录有DNS请求数据对应的DNS服务器时,判断能否通过发送类型为NS的新DNS请求来确定DNS服务器;
第三确定子单元,用于当无法通过发送新DNS请求来确定DNS服务器时,通过从根服务器按递归查询方式查询NS记录来确定DNS服务器。
更进一步的,该APT攻击检测装置还可以包括:
目标数据标记单元,用于将对应可信的DNS服务器的DNS请求数据标记为目标数据;
恶意文法特征调整单元,用于利用从目标数据中提取得到的文法特征调整恶意文法特征。
本实施例作为对应于上述方法实施例的装置实施例存在,具有方法实施例的全部有益效果,此处不再一一赘述。
基于上述实施例,本申请还提供了一种电子设备,该电子设备可以包括存储器和处理器,其中,该存储器中存有计算机程序,该处理器调用该存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然,该电子设备还可以包括各种必要的网络接口、电源以及其它零部件等。
具体的,该电子设备可以为防火墙等网络安全设备。
本申请还提供了一种可读存储介质,其上存有计算机程序,该计算机程序被执行终端或处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种APT攻击检测方法,其特征在于,包括:
获取DNS请求数据,并从所述DNS请求数据中提取得到实际文法特征;
判断所述实际文法特征与恶意文法特征是否一致;其中,所述恶意文法特征为从包含有APT攻击的DNS请求中提取得到的文法特征;
若一致,则确定所述DNS请求数据对应的DNS服务器;
判断所述DNS服务器是否可信;
若不一致或可信,则判定所述DNS请求数据中不包含APT攻击;
若不可信,则判定所述DNS请求数据中包含APT攻击。
2.根据权利要求1所述的APT攻击检测方法,其特征在于,从所述DNS请求数据中提取得到实际文法特征,包括:
从所述DNS请求数据中提取得到包括中英文特征、域名长度特征、域名级数特征、域名编码率特征、访问时间分布特征在内的至少一项实际文法特征。
3.根据权利要求2所述的APT攻击检测方法,其特征在于,当所述实际文法特征和所述恶意文法特征均仅基于域名编码率特征构建时,判断所述实际文法特征与恶意文法特征是否一致,包括:
判断所述实际文法特征的编码量和信息熵是否分别处于所述恶意文法特征的编码量范围和信息熵范围;
若所述实际文法特征的编码量和信息熵均处于所述恶意文法特征对应的编码量范围和信息熵范围,判定所述实际文法特征与所述恶意文法特征一致;
若所述实际文法特征的编码量和编码量未均处于所述恶意文法特征对应的编码量范围和信息熵范围,判定所述实际文法特征与所述恶意文法特征不一致。
4.根据权利要求2所述的APT攻击检测方法,其特征在于,还包括:
利用机器学习算法,将从包含有APT攻击的DNS请求数据中提取得到的各项恶意文法特征进行建模,得到分类器;
对应的,判断所述实际文法特征与恶意文法特征是否一致,包括:
利用所述分类器判断所述实际文法特征与所述恶意文法特征是否一致。
5.根据权利要求1所述的APT攻击检测方法,其特征在于,确定所述DNS请求数据对应的DNS服务器,包括:
通过发送类型为NS的新DNS请求来确定所述DNS请求数据对应的DNS服务器;
和/或,
通过查询预先记录的Whois信息来确定所述DNS请求数据对应的DNS服务器;
和/或,
通过从根服务器按递归查询方式查询NS记录来确定所述DNS请求数据对应的DNS服务器。
6.根据权利要求5所述的APT攻击检测方法,其特征在于,确定所述DNS请求数据对应的DNS服务器,包括:
判断已存储Whois信息中是否记录有所述DNS请求数据对应的DNS服务器;
若未记录,则判断能否通过发送类型为NS的新DNS请求来确定所述DNS服务器;
若无法通过发送所述新DNS请求来确定所述DNS服务器,则通过从所述根服务器按递归查询方式查询NS记录来确定所述DNS服务器。
7.根据权利要求1至6任一项所述的APT攻击检测方法,其特征在于,还包括:
将对应可信的DNS服务器的DNS请求数据标记为目标数据;
利用从所述目标数据中提取得到的文法特征调整所述恶意文法特征。
8.一种APT攻击检测装置,其特征在于,包括:
文法特征提取单元,用于获取DNS请求数据,并从所述DNS请求数据中提取得到实际文法特征;
文法特征判断单元,用于判断所述实际文法特征与恶意文法特征是否一致;其中,所述恶意文法特征为从包含有APT攻击的DNS请求中提取得到的文法特征;
对应DNS服务器确定单元,用于当所述实际文法特征与所述恶意文法特征一致时,确定所述DNS请求数据对应的DNS服务器;
DNS服务器可信判断单元,用于判断所述DNS服务器是否可信;
不包含APT攻击判定单元,用于当所述实际文法特征与所述恶意文法特征不一致或所述DNS服务器可信时,判定所述DNS请求数据中不包含APT攻击;
包含APT攻击判定单元,用于当所述DNS服务器不可信时,判定所述DNS请求数据中包含APT攻击。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于在执行所述计算机程序时实现如权利要求1至7任一项所述的APT攻击检测方法的各步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时实现如权利要求1至7任一项所述的APT攻击检测方法的各步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010119584.XA CN113315737A (zh) | 2020-02-26 | 2020-02-26 | 一种apt攻击检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010119584.XA CN113315737A (zh) | 2020-02-26 | 2020-02-26 | 一种apt攻击检测方法、装置、电子设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113315737A true CN113315737A (zh) | 2021-08-27 |
Family
ID=77370714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010119584.XA Pending CN113315737A (zh) | 2020-02-26 | 2020-02-26 | 一种apt攻击检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113315737A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113794731A (zh) * | 2021-09-17 | 2021-12-14 | 工银科技有限公司 | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 |
| CN114268465A (zh) * | 2021-12-02 | 2022-04-01 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170070518A1 (en) * | 2014-05-23 | 2017-03-09 | Trend Micro Incorporated | Advanced persistent threat identification |
| US20170155667A1 (en) * | 2015-11-30 | 2017-06-01 | Symantec Corporation | Systems and methods for detecting malware infections via domain name service traffic analysis |
| CN107612911A (zh) * | 2017-09-20 | 2018-01-19 | 杭州安恒信息技术有限公司 | 基于dns流量检测受感染主机和c&c服务器的方法 |
| CN109842588A (zh) * | 2017-11-27 | 2019-06-04 | 腾讯科技(深圳)有限公司 | 网络数据检测方法及相关设备 |
-
2020
- 2020-02-26 CN CN202010119584.XA patent/CN113315737A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170070518A1 (en) * | 2014-05-23 | 2017-03-09 | Trend Micro Incorporated | Advanced persistent threat identification |
| US20170155667A1 (en) * | 2015-11-30 | 2017-06-01 | Symantec Corporation | Systems and methods for detecting malware infections via domain name service traffic analysis |
| CN107612911A (zh) * | 2017-09-20 | 2018-01-19 | 杭州安恒信息技术有限公司 | 基于dns流量检测受感染主机和c&c服务器的方法 |
| CN109842588A (zh) * | 2017-11-27 | 2019-06-04 | 腾讯科技(深圳)有限公司 | 网络数据检测方法及相关设备 |
Non-Patent Citations (1)
| Title |
|---|
| 程光 著, 东南大学出版社 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113794731A (zh) * | 2021-09-17 | 2021-12-14 | 工银科技有限公司 | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 |
| CN114268465A (zh) * | 2021-12-02 | 2022-04-01 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
| CN107426181B (zh) | 恶意Web访问请求的拦截方法及装置 | |
| US8370407B1 (en) | Systems providing a network resource address reputation service | |
| US20130269042A1 (en) | Optimizing security seals on web pages | |
| CN111641658A (zh) | 一种请求拦截方法、装置、设备及可读存储介质 | |
| CN105635126A (zh) | 恶意网址访问防护方法、客户端、安全服务器及系统 | |
| CN111726364B (zh) | 一种主机入侵防范方法、系统及相关装置 | |
| CN103139138A (zh) | 一种基于客户端检测的应用层拒绝服务防护方法及系统 | |
| CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
| CN109756480B (zh) | 一种DDoS攻击防御方法、装置、电子设备及介质 | |
| CN113315737A (zh) | 一种apt攻击检测方法、装置、电子设备及可读存储介质 | |
| CN106209907B (zh) | 一种检测恶意攻击的方法及装置 | |
| CN108259473A (zh) | Web服务器扫描防护方法 | |
| CN110266650A (zh) | Conpot工控蜜罐的识别方法 | |
| CN111953638B (zh) | 网络攻击行为检测方法、装置及可读存储介质 | |
| CN114928452A (zh) | 访问请求验证方法、装置、存储介质及服务器 | |
| CN111314379A (zh) | 被攻击域名识别方法、装置、计算机设备和存储介质 | |
| CN112751804A (zh) | 一种仿冒域名的识别方法、装置和设备 | |
| CN112583827B (zh) | 一种数据泄露检测方法及装置 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| Marchal | DNS and semantic analysis for phishing detection | |
| KR101005093B1 (ko) | 클라이언트 식별 방법 및 장치 | |
| CN112261004B (zh) | 一种Domain Flux数据流的检测方法及装置 | |
| CN111371917B (zh) | 一种域名检测方法及系统 | |
| CN110598426B (zh) | 基于信息安全的数据通信方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210827 |