CN114039799B - 一种网络安全防护系统及方法 - Google Patents
一种网络安全防护系统及方法 Download PDFInfo
- Publication number
- CN114039799B CN114039799B CN202111505796.2A CN202111505796A CN114039799B CN 114039799 B CN114039799 B CN 114039799B CN 202111505796 A CN202111505796 A CN 202111505796A CN 114039799 B CN114039799 B CN 114039799B
- Authority
- CN
- China
- Prior art keywords
- domain name
- client
- server
- address
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 17
- 238000013507 mapping Methods 0.000 claims abstract description 8
- 238000004458 analytical method Methods 0.000 claims description 23
- 238000012545 processing Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000007405 data analysis Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 238000004659 sterilization and disinfection Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络安全防护系统,包括若干个客户端、域名服务器和特定服务器;所述域名服务器中预设有若干条解析条目,至少一条解析条目中设有恶意域名与特定服务器IP地址的映射关系;域名服务器用于接收域名解析请求,并根据解析条目,返回对应的服务器IP地址;所述客户端用于发送域名解析请求至域名服务器,并根据域名服务器返回的服务器IP地址向服务器发出访问请求;所述特定服务器用于在收到客户端访问请求后,记录客户端的IP地址。
Description
技术领域
本发明涉及一种网络安全防护系统,属于网络安全领域。
背景技术
域名服务器为互联网提供域名解析服务,它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。当客户端需要访问网络时,在浏览器中输入的网址,需要先通过域名服务器进行域名解析,找到相应的IP地址,而后才能上网。通常企业在内部局域网内部署多级域名服务器,在网络出口处设置流量检测设备,利用流量检测设备检测恶意通信。但流量检测设备只能检测到最近一级的域名服务器的恶意域名请求信息,防护效果不佳,且无法阻断恶意通信。
故需要一种防护效果更加且能阻断恶意通信的网络安全防护系统。
发明内容
为了克服现有技术中存在的问题,本发明设计了一种网络安全防护系统,利用解析条目将恶意域名指向特定服务器,阻止恶意通信,提高公司局域网内的网络防护能力;同时能自动获取感染恶意代码客户端的IP地址、人员信息和具体办公场所位置,减少运维人员工作量。
技术方案一:
一种网络安全防护系统,包括:若干个客户端、域名服务器和特定服务器;
所述域名服务器中预设有若干条解析条目,至少一条解析条目中设有恶意域名与特定服务器IP地址的映射关系;域名服务器用于接收域名解析请求,并根据解析条目,返回对应的服务器IP地址;
所述客户端用于发送域名解析请求至域名服务器,并根据域名服务器返回的服务器IP地址向服务器发出访问请求;
所述特定服务器用于在收到客户端访问请求后,记录客户端的IP地址。
进一步地,还包括:
特定服务器将所述客户端IP地址与台账记录相匹配,得到该IP地址对应的人员信息和办公地址
进一步地,还包括:
预先从各安全设备的恶意域名库获取若干个恶意域名;根据所述若干个恶意域名,生成若干条解析条目并将其导入至域名服务器。
根据权利要求1所述的一种网络安全防护系统,其特征在于,还包括:预设置交换机命令;通过SSH协议发送交换机命令至交换机,对客户端的网络端口进行断网处理。
进一步地,还包括:
生成客户端访问记录,客户端访问记录包括客户端IP、首次访问时间、末次访问时间、客户端请求的恶意域名。
技术方案二:
一种网络安全防护方法,包括如下步骤:
S1、在域名服务器中预设若干条解析条目,至少一条解析条目中设有恶意域名与特定服务器IP地址的映射关系;
S2、客户端向域名服务器发起恶意域名解析请求;
S3、域名服务器根据解析条目,返回特定服务器IP地址至客户端;
S4、客户端根据特定服务器IP地址,向特定服务器发出访问请求;
S5、特定服务器收到客户端访问请求后,记录客户端的IP地址。
进一步地,还包括,将所述客户端IP地址与台账记录相匹配,得到该IP地址对应的人员信息和办公地址。
进一步地,还包括:
预先从各安全设备的恶意域名库获取若干个恶意域名;根据所述若干个恶意域名,生成若干条解析条目并将其导入至域名服务器。
进一步地,还包括:
预定义交换机命令模板;根据客户端IP地址,生成交换机命令;通过SSH协议发送交换机命令至交换机,对客户端的网络端口进行断网处理。
进一步地,还包括:
生成客户端访问记录,客户端访问记录包括客户端IP、首次访问时间、末次访问时间、客户端请求的恶意域名。
与现有技术相比本发明有以下特点和有益效果:
本发明利用解析条目将恶意域名指向特定服务器,阻止恶意通信,提高公司局域网内的网络防护能力;同时能自动获取感染恶意代码客户端的IP地址、人员信息和具体办公场所位置,减少运维人员工作量。
此外,本发明通过采集企业现有的流量检测等安全设备的恶意域名数据库,一次性预先导入到域名服务器解析数据库中,这样现有安全设备中已知的恶意域名都会直接被解析到专门的服务器192.168.1.5,无需手动增加解析条目,提高工作效率和防护效果
附图说明
图1是本发明所述方法流程图;
图2是本发明所述系统结构图。
具体实施方式
下面结合实施例对本发明进行更详细的描述。
如图1所示,一种网络安全防护方法,包括如下步骤:
步骤1、从各安全设备的恶意域名库获取恶意域名名单;
步骤2、根据恶意域名名单,生成若干条解析条目,各解析条目中设有恶意域名与特定服务器IP地址的映射关系。例如,将恶意域名www.evil.com映射为特定服务器的IP地址192.168.1.5;
步骤3、将解析条目导入域名服务器。在本实施例中,考虑到公司内部局域网内设有多级域名服务器且子域名服务器中的解析条目仅对其辐射范围内客户端有效,故在根域名服务器添加该解析条目,则可以该域名解析对公司局域网全网有效。
步骤4、客户端向域名服务器发起域名解析请求(本实施例中,请求解析的域名为www.evil.com)
步骤5、域名服务器根据解析条目,返回特定服务器IP地址至客户端;
步骤6、客户端根据特定服务器IP地址,向特定服务器发出HTTP请求
步骤7、特定服务器内运行有脚本,脚本监听客户端的HTTP请求并记录客户端IP地址;
步骤8、脚本自动匹配该IP地址与台帐,获取该IP地址对应的人员信息与具体办公场所位置信息。
本实施例的有益效果在于,利用解析条目将恶意域名指向特定服务器,阻止恶意通信,提高公司内部局域网的网络防护能力;同时能自动获取感染恶意代码客户端的IP地址、人员信息和具体办公场所位置,减少运维人员工作量。
此外,本发明通过采集企业现有的流量检测等安全设备的恶意域名数据库,一次性预先导入到域名服务器解析数据库中,这样现有安全设备中已知的恶意域名都会直接被解析到专门的服务器192.168.1.5,无需手动增加解析条目,提高工作效率和防护效果。
实施例二
获取到感染恶意代码客户端的IP后,通过调用网管系统进行联动作断网处置,将客户端IP对应的网络断开;或预先定义的交换机命令模板,根据客户端IP自动生成交换机命令,利用SSH协议发送交换机命令至交换机,对客户端的网络端口进行断网处理。
本实施例的进步之处在于,自动断开感染恶意代码的客户端的网络端口,既减少了恶意代码在企业网络扩散的可能性,也免去了运维人员人工执行断网操作的时间。
实施例三
本实施例中,特定服务器中运行脚本记录感染恶意代码的客户端的IP、首次请求时间、末次请求时间、请求域名信息。运维人员在处置完后上传杀毒处置时间、处置人等信息。
本实施例的进步之处在于,在后期进行数据分析提升时,可以对运维人员处置的时间、病毒的类别、处置方式的有效性进行数据分析,以帮助运维人员有针对性地提升工作效率。
显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
Claims (2)
1.一种网络安全防护系统,其特征在于,包括:若干个客户端、域名服务器和特定服务器;
所述域名服务器中预设有若干条解析条目,至少一条解析条目中设有恶意域名与特定服务器IP地址的映射关系:预先从各安全设备的恶意域名库获取若干个恶意域名;根据所述若干个恶意域名,生成若干条解析条目并将其导入至域名服务器;域名服务器用于接收域名解析请求,并根据解析条目,返回对应的服务器IP地址;
所述客户端用于发送域名解析请求至域名服务器,并根据域名服务器返回的服务器IP地址向服务器发出访问请求;
所述特定服务器用于在收到客户端访问请求后,记录客户端的IP地址并生成客户端访问记录,客户端访问记录包括客户端IP、首次访问时间、末次访问时间、客户端请求的恶意域名;特定服务器将所述客户端IP地址与台账记录相匹配,得到该IP地址对应的人员信息和办公地址;
预设置交换机命令;通过SSH协议发送交换机命令至交换机,对客户端的网络端口进行断网处理。
2.一种网络安全防护方法,其特征在于,包括如下步骤:
S1、在域名服务器中预设若干条解析条目,至少一条解析条目中设有恶意域名与特定服务器IP地址的映射关系:预先从各安全设备的恶意域名库获取若干个恶意域名;根据所述若干个恶意域名,生成若干条解析条目并将其导入至域名服务器;
S2、客户端向域名服务器发起恶意域名解析请求;
S3、域名服务器根据解析条目,返回特定服务器IP地址至客户端;
S4、客户端根据特定服务器IP地址,向特定服务器发出访问请求;
S5、特定服务器收到客户端访问请求后,记录客户端的IP地址并生成客户端访问记录,客户端访问记录包括客户端IP、首次访问时间、末次访问时间、客户端请求的恶意域名;特定服务器将所述客户端IP地址与台账记录相匹配,得到该IP地址对应的人员信息和办公地址;预定义交换机命令模板;根据客户端IP地址,生成交换机命令;通过SSH协议发送交换机命令至交换机,对客户端的网络端口进行断网处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111505796.2A CN114039799B (zh) | 2021-12-10 | 2021-12-10 | 一种网络安全防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111505796.2A CN114039799B (zh) | 2021-12-10 | 2021-12-10 | 一种网络安全防护系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114039799A CN114039799A (zh) | 2022-02-11 |
| CN114039799B true CN114039799B (zh) | 2023-11-17 |
Family
ID=80146587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111505796.2A Active CN114039799B (zh) | 2021-12-10 | 2021-12-10 | 一种网络安全防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114039799B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916490A (zh) * | 2014-04-03 | 2014-07-09 | 深信服网络科技(深圳)有限公司 | 一种域名系统dns防篡改方法及装置 |
| EP3306900A1 (en) * | 2016-10-07 | 2018-04-11 | Secucloud GmbH | Dns routing for improved network security |
| CN110602048A (zh) * | 2019-08-14 | 2019-12-20 | 中国平安财产保险股份有限公司 | 防止域名劫持的方法、装置及计算机设备 |
| CN111314472A (zh) * | 2020-02-21 | 2020-06-19 | 聚好看科技股份有限公司 | 域名解析方法、域名解析服务器及终端设备 |
| CN111988447A (zh) * | 2020-09-01 | 2020-11-24 | 北京微步在线科技有限公司 | 网络安全防护方法及dns递归服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769060B2 (en) * | 2011-01-28 | 2014-07-01 | Nominum, Inc. | Systems and methods for providing DNS services |
-
2021
- 2021-12-10 CN CN202111505796.2A patent/CN114039799B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916490A (zh) * | 2014-04-03 | 2014-07-09 | 深信服网络科技(深圳)有限公司 | 一种域名系统dns防篡改方法及装置 |
| EP3306900A1 (en) * | 2016-10-07 | 2018-04-11 | Secucloud GmbH | Dns routing for improved network security |
| CN110602048A (zh) * | 2019-08-14 | 2019-12-20 | 中国平安财产保险股份有限公司 | 防止域名劫持的方法、装置及计算机设备 |
| CN111314472A (zh) * | 2020-02-21 | 2020-06-19 | 聚好看科技股份有限公司 | 域名解析方法、域名解析服务器及终端设备 |
| CN111988447A (zh) * | 2020-09-01 | 2020-11-24 | 北京微步在线科技有限公司 | 网络安全防护方法及dns递归服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114039799A (zh) | 2022-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107454109B (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| US7555550B2 (en) | Asset tracker for identifying user of current internet protocol addresses within an organization's communications network | |
| US7171689B2 (en) | System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis | |
| US8370407B1 (en) | Systems providing a network resource address reputation service | |
| JP6315640B2 (ja) | 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム | |
| CN108574742B (zh) | 域名信息收集方法及域名信息收集装置 | |
| US20060230039A1 (en) | Online identity tracking | |
| US11606385B2 (en) | Behavioral DNS tunneling identification | |
| RU2722693C1 (ru) | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника | |
| US8504673B2 (en) | Traffic like NXDomains | |
| CN107360270B (zh) | 一种dns解析的方法及装置 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| US20210058411A1 (en) | Threat information extraction device and threat information extraction system | |
| CN111241104A (zh) | 操作审计方法、装置及电子设备和计算机可读存储介质 | |
| CN111988447A (zh) | 网络安全防护方法及dns递归服务器 | |
| CN105530251A (zh) | 识别钓鱼网站的方法及装置 | |
| CN114039799B (zh) | 一种网络安全防护系统及方法 | |
| CN108234209B (zh) | 域名故障诊断方法、装置、系统、计算设备及存储介质 | |
| CN109688236B (zh) | Sinkhole域名处理方法及服务器 | |
| US11973779B2 (en) | Detecting data exfiltration and compromised user accounts in a computing network | |
| Mokhov et al. | Automating MAC spoofer evidence gathering and encoding for investigations | |
| CN111212039A (zh) | 基于dns流量的主机挖矿行为检测方法 | |
| US20230117268A1 (en) | User entity normalization and association | |
| JP7120049B2 (ja) | サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置 | |
| US20220368710A1 (en) | Detecting data exfiltration and compromised user accounts in a computing network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |