CN114244809B - 用于检测目标网络中主机失陷等级的方法及装置 - Google Patents
用于检测目标网络中主机失陷等级的方法及装置 Download PDFInfo
- Publication number
- CN114244809B CN114244809B CN202111598572.0A CN202111598572A CN114244809B CN 114244809 B CN114244809 B CN 114244809B CN 202111598572 A CN202111598572 A CN 202111598572A CN 114244809 B CN114244809 B CN 114244809B
- Authority
- CN
- China
- Prior art keywords
- address
- message
- host
- domain name
- target network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000003993 interaction Effects 0.000 claims abstract description 80
- 230000002452 interceptive effect Effects 0.000 claims abstract description 28
- 230000004044 response Effects 0.000 claims description 46
- 238000001514 detection method Methods 0.000 claims description 13
- 238000013145 classification model Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种用于检测目标网络中主机失陷等级的方法及装置,其中,该方法包括:获取目标网络中的第一主机发送的第一请求报文;在确定第一DNS域名为恶意域名的情况下,确定第一主机失陷且具有第一失陷等级;检测目标网络的交互报文是否与第一IP地址相关联;其中,交互报文包括从目标网络中的主机向外发送的第一交互报文和向目标网络中的主机发送的第二交互报文;在具有与第一IP地址相关联的交互报文的情况下,确定第一主机具有高于第一失陷等级的第二失陷等级。该方法为实时检测目标网络中主机失陷等级提供了可行的技术方案,进而能够及时的为安全服务人员提供富有针对性的处置建议。
Description
技术领域
本申请涉及安全检测技术领域,特别涉及一种用于检测目标网络中主机失陷等级的方法及装置。
背景技术
随着网络服务的日益发展,域名系统(domain name system,DNS)已成为当今互联网中重要的基础核心服务之一,负责提供统一的域名地址空间映射服务,主要将易于人类记忆的域名解析为易于机器识别的IP地址。
然而,伴随着域名系统提供正常服务的同时,一些网络非法活动也开始以滥用域名系统来达到其恶意目的。而DNS协议所使用的应用端口一般在防火墙策略中予以放行,被允许出站连接到互联网,这让攻击者可以利用DNS应用中的这个“漏洞”构造木马程序,建立一个非常难以限制的隐蔽命令控制信道,实现攻击机与一个相对封闭的目标网络中的设备进行交互,或者通过僵尸网络利用域名生成算法批量生成大量用于僵尸网络命令与控制(command&control,C&C)信道通信的域名,来逃避权威安全防御机构的封杀和屏蔽。
目前,虽然具有检测恶意域名的方法,但却无法得知相对应的事件的严重程度,无法及时有效的为安全服务人员提供处置建议。
发明内容
有鉴于现有技术中存在的上述问题,本申请提供了一种用于检测目标网络中主机失陷等级的方法及装置,本申请实施例采用的技术方案如下:
一种用于检测目标网络中主机失陷等级的方法,包括:
获取所述目标网络中的第一主机发送的第一请求报文;其中,所述第一请求报文包含第一DNS域名,用于查询与所述第一DNS域名相对应的第一IP地址;
在确定所述第一DNS域名为恶意域名的情况下,确定所述第一主机失陷且具有第一失陷等级;
检测所述目标网络的交互报文是否与所述第一IP地址相关联;其中,所述交互报文包括从所述目标网络中的主机向外发送的第一交互报文和向所述目标网络中的主机发送的第二交互报文;
在具有与所述第一IP地址相关联的交互报文的情况下,确定所述第一主机具有高于所述第一失陷等级的第二失陷等级。
在一些实施例中,所述检测所述目标网络的交互报文是否与所述第一IP地址相关联,包括:
确定是否具有与所述第一请求报文相对应的第一响应报文;
在预设时间获取到所述第一响应报文的情况下,从所述第一响应报文中获取所述第一IP地址;
确定所述交互报文是否与所述第一IP地址相关联。
在一些实施例中,所述检测所述目标网络的交互报文是否与所述第一IP地址相关联,还包括:
在预设时间未获取到所述第一响应报文的情况下,确定所述第一主机具有低于所述第一失陷等级的第三失陷等级。
在一些实施例中,所述确定是否具有与所述第一请求报文相对应的第一响应报文,包括:
获取所述第一请求报文中的事务ID;
确定是否具有包含相同事务ID的响应报文。
在一些实施例中,所述确定所述交互报文是否与所述第一IP地址相关联,包括:
确定所述第一交互报文的目的IP地址是否与所述第一IP地址相符;
确定所述第二交互报文的源IP地址是否与所述第一IP地址相符。
一种用于检测目标网络中主机失陷等级的装置,包括:
获取模块,用于获取所述目标网络中的第一主机发送的第一请求报文;其中,所述第一请求报文包含第一DNS域名,用于查询与所述第一DNS域名相对应的第一IP地址;
第一确定模块,用于在确定所述第一DNS域名为恶意域名的情况下,确定所述第一主机失陷且具有第一失陷等级;
检测模块,用于检测所述目标网络的交互报文是否与所述第一IP地址相关联;其中,所述交互报文包括从所述目标网络中的主机向外发送的第一交互报文和向所述目标网络中的主机发送的第二交互报文;
第二确定模块,用于在具有与所述第一IP地址相关联的交互报文的情况下,确定所述第一主机具有高于所述第一失陷等级的第二失陷等级。
在一些实施例中,所述检测模块具体用于:
确定是否具有与所述第一请求报文相对应的第一响应报文;
在预设时间获取到所述第一响应报文的情况下,从所述第一响应报文中获取所述第一IP地址;
确定所述交互报文是否与所述第一IP地址相关联。
在一些实施例中,所述检测模块还用于:
在预设时间未获取到所述第一响应报文的情况下,确定所述第一主机具有低于所述第一失陷等级的第三失陷等级。
在一些实施例中,所述检测模块具体用于:
获取所述第一请求报文中的事务ID;
确定是否具有包含相同事务ID的响应报文。
在一些实施例中,所述检测模块具体用于:
确定所述第一交互报文的目的IP地址是否与所述第一IP地址相符;
确定所述第二交互报文的源IP地址是否与所述第一IP地址相符。
本申请实施例的方法,获取目标网络中的第一主机发送的第一请求报文,确定第一请求报文所携带的第一DNS域名是否为恶意域名,如果是,则确定第一主机失陷,初步为该第一主机配置一第一失陷等级,继而,检测目标网络的交互报文中是否具有与该第一IP地址相关联的交互报文,如果是,则将第一主机的失陷等级从第一失陷等级提高至第二失陷等级。如此,为实时检测目标网络中主机失陷等级提供了可行的技术方案,进而能够及时的为安全服务人员提供富有针对性的处置建议。
附图说明
图1为本申请实施例的用于检测目标网络中主机失陷等级的方法的流程图;
图2为步骤S120和步骤S130的一种实施例的流程图;
图3为步骤S130的另一种实施例的流程图;
图4为本申请实施例的用于检测目标网络中主机失陷等级的装置的结构框图;
图5为本申请实施例的电子设备的结构框图。
具体实施方式
为使本领域技术人员更好的理解本申请实施例的技术方案,下面结合附图和具体实施方式对本申请作详细说明。
图1为本申请实施例用于检测目标网络中主机失陷等级的方法的流程图,参见图1所示,本申请实施例的方法具体可包括如下步骤。
S110,获取所述目标网络中的第一主机发送的第一请求报文。
其中,所述第一请求报文包含第一DNS域名,用于查询与所述第一DNS域名相对应的第一IP地址。也即,该第一请求报文为第一主机向DNS服务器发送的DNS查询请求报文,用于请求DNS服务器查询与第一DNS域名相对应的第一IP地址。
可选的,该方法可应用于网络设备,该网络设备包括但不限于网关、安全防护设备或者其他与目标网络连接的网络设备。该网络设备能够检测向该目标网络中发送的报文,也能够检测目标网络向外部发送的报文。网络设备可配置为实时检测流经的全部报文,在确定一条报文为DNS查询请求报文的情况下,则从该DNS查询请求报文中提取所携带的DNS域名。
可选的,目标网络可为区域网络、局域网络、公司网络或其他特定用户的网络。第一主机可为连接于目标网络中的电子设备,例如,连接于局域网络中的电子设备。网络设备可通过有线网络、无线网络或其他任意类型的网络与目标网络中的各个主机连接。
S120,在确定所述第一DNS域名为恶意域名的情况下,确定所述第一主机失陷且具有第一失陷等级。
在获取到第一DNS域名的情况下,可判断该第一DNS域名是否为恶意域名。可选的,可将该第一DNS域名与恶意域名库进行匹配,如果该第一DNS域名与恶意域名库中至少一个域名相匹配的情况下,可确定该第一DNS域名为恶意域名。可选的,也可将该第一DNS域名作为输入数据,输入训练完成的分类模型中,通过分类模型确定该第一DNS域名是否为恶意域名。当然,在具体实施时,也可通过其他方法来确定该第一DNS域名是否为恶意域名。
如果确定该第一DNS域名为恶意域名,例如,该第一DNS域名与恶意域名库中某一域名相同,或者该第一DNS域名与恶意域名库中的一个或多个域名相似度较高,则可确定第一主机失陷,并将该第一主机的实现等级确定为第一失陷等级(S1)。
可选的,在确定第一DNS域名为恶意域名的情况下,创建安全事件,记录该第一DNS域名、第一失陷等级(S1)、第一请求报文的源IP地址、第一请求报文的目的IP地址等相关信息,其中,第一请求报文的源IP地址也即第一主机的IP地址,第一请求报文的目的IP地址可为DNS服务器的IP地址。
S130,检测所述目标网络的交互报文是否与所述第一IP地址相关联。其中,所述交互报文包括从所述目标网络中的主机向外发送的第一交互报文和向所述目标网络中的主机发送的第二交互报文。
在确定该第一DNS域名为恶意域名的情况下,可获取与该第一DNS域名相对应的第一IP地址。在具体实施时,可通过多种方式获取该第一DNS域名相对应的第一IP地址。
可选的,在确定该第一DNS域名为恶意域名的情况下,网络设备可自行基于该第一DNS域名查询相对应的第一IP地址,例如,网络设备首先从本地域名库查询是否具有与第一DNS域名相对应的第一IP地址,或者网络设备也可基于第一DNS域名向DNS服务器发送第二查询请求,以获取该第一IP地址。
可选的,配合图2所示,在确定该第一DNS域名为恶意域名的情况下,可放行该第一请求报文,追踪该第一请求报文,确定是否具有与第一请求报文相对应的第一响应报文。如果在预设时间获取到第一响应报文,则从第一响应报文中获取第一IP地址。
可选的,在确定第一DNS域名为恶意域名的情况下,可获取相应的第一请求报文的事务ID(Transaction ID),确定是否具有包含相同事务ID的响应报文,如果响应报文的事务ID与第一DNS域名的事务ID相同时,则将该响应报文确定为第一响应报文,从该第一响应报文中提取第一IP地址。
可选的,在获取到第一IP地址的情况下,可将该第一IP地址添加到恶意IP地址表。例如,在恶意IP地址表中,以该第一IP地址为键名(Key),并为该键名配置键值(Value),该键值可包括另一预设时间和第一DNS域名。
配合图3所示,检测目标网络的交互报文是否与恶意IP地址表相匹配。在该交互报文为从目标网络中主机向外发送的第一交互报文时,可将该第一交互报文的目的IP地址与该恶意IP地址表匹配,如果该目的IP地址与恶意IP地址表中某一恶意IP地址相匹配,则可确定该第一交互报文与相应的第一IP地址相关联。如果第一交互报文的目的IP地址与恶意IP地址表中任意一个恶意IP地址均不相匹配,则可放行该第一交互报文。
在该交互报文为从外部向目标网络中主机发送的第二交互报文时,可将该第二交互报文的源IP地址与该恶意IP地址表匹配,如果该源IP地址与恶意IP地址表中某一恶意IP地址相匹配,则可确定该第二交互报文与相应的第一IP地址相匹配。
S140,在具有与所述第一IP地址相关联的交互报文的情况下,确定所述第一主机具有高于所述第一失陷等级的第二失陷等级。
可选的,主机的失陷等级可包括S0、S1、S2、S3…SN等多个失陷等级,在确定第一DNS域名为恶意域名时,可将第一主机的失陷等级确定为第一失陷等级(S1)。如果在该另一预设时间内确定目标网络的交互报文中具有与第一IP地址相关联的交互报文,则表明该第一主机不仅向外部发送的DNS查询请求报文,而且与恶意攻击设备进行了交互,该第一主机可能已经出现了信息泄露。可更新恶意IP地址表中的另一预设时间,记录该交互报文的源IP地址、目的IP地址、源端口号、目的端口号和协议号等报文信息。直至在该另一预设时间内不再出现与该第一IP地址相关联的交互报文,将该第一IP地址从恶意IP地址表中删除,并汇总与该第一IP地址相关联的全部报文信息,生成另一安全事件。基于报文信息中用于标识目标网络中主机的IP地址和恶意IP地址表中记录的第一DNS域名查找之前所记录的安全事件,并将该另一安全事件与之关联,将安全事件中记录的第一主机的失陷等级提高至第二失陷等级,例如S2、S3甚至于更高。
可选的,在确定具有与第一IP地址相关联的交互报文的情况下,可追踪与第一IP地址相关联的交互报文的条数和/或数据量,基于单位时间内与第一IP地址相关联的交互报文的条数和/或数据量,确定将第一主机的失陷等级为哪一级。例如,在单位时间与第一IP地址相关联的交互报文的条数和/或数据量较小时,则表明该第一主机与恶意攻击设备的交互不频繁,或表明该第一主机泄露的信息量较小,可将第一主机的失陷等级从S1级提高至S2级。还例如,在单位时间内与第一IP地址相关联的交互报文的条数和/或数量较大时,则表明该第一主机与恶意交互设备可将第一主机的失陷等级从S1级提高至S3级,甚至于更高的失陷等级。
本申请实施例的方法,获取目标网络中的第一主机发送的第一请求报文,确定第一请求报文所携带的第一DNS域名是否为恶意域名,如果是,则确定第一主机失陷,初步为该第一主机配置一第一失陷等级,继而,检测目标网络的交互报文中是否具有与该第一IP地址相关联的交互报文,如果是,则将第一主机的失陷等级从第一失陷等级提高至第二失陷等级。如此,为实时检测目标网络中主机失陷等级提供了可行的技术方案,进而能够及时的为安全服务人员提供富有针对性的处置建议。
配合图2所示,在一些实施例中,所述检测所述目标网络的交互报文是否与所述第一IP地址相关联,还包括:
在预设时间未获取到所述第一响应报文的情况下,确定所述第一主机具有低于所述第一失陷等级的第三失陷等级。
可选的,在确定第一DNS域名为恶意域名的情况下,可生成安全事件,该安全事件中可配置预设时间,并对该安全事件进行追踪。如果预设时间内未获取到与该第一请求报文相对应的第一响应报文,则触发第一主机的失陷等级降级事件,将第一主机的失陷等级从第一失陷等级(S1)降低至第三失陷等级(S0)
参见图4所示,本申请实施例还提供了一种用于检测目标网络中主机失陷等级的装置,具体可包括。
获取模块201,用于获取所述目标网络中的第一主机发送的第一请求报文。
其中,所述第一请求报文包含第一DNS域名,用于查询与所述第一DNS域名相对应的第一IP地址。也即,该第一请求报文为第一主机向DNS服务器发送的DNS查询请求报文,用于请求DNS服务器查询与第一DNS域名相对应的第一IP地址。
可选的,该方法可应用于网络设备,该网络设备包括但不限于网关、安全防护设备或者其他与目标网络连接的网络设备。该网络设备能够检测向该目标网络中发送的报文,也能够检测目标网络向外部发送的报文。网络设备可配置为实时检测流经的全部报文,在确定一条报文为DNS查询请求报文的情况下,则从该DNS查询请求报文中提取所携带的DNS域名。
可选的,目标网络可为区域网络、局域网络、公司网络或其他特定用户的网络。第一主机可为连接于目标网络中的电子设备,例如,连接于局域网络中的电子设备。网络设备可通过有线网络、无线网络或其他任意类型的网络与目标网络中的各个主机连接。
第一确定模块202,用于在确定所述第一DNS域名为恶意域名的情况下,确定所述第一主机失陷且具有第一失陷等级。
在获取到第一DNS域名的情况下,可判断该第一DNS域名是否为恶意域名。可选的,可将该第一DNS域名与恶意域名库进行匹配,如果该第一DNS域名与恶意域名库中至少一个域名相匹配的情况下,可确定该第一DNS域名为恶意域名。可选的,也可将该第一DNS域名作为输入数据,输入训练完成的分类模型中,通过分类模型确定该第一DNS域名是否为恶意域名。当然,在具体实施时,也可通过其他方法来确定该第一DNS域名是否为恶意域名。
如果确定该第一DNS域名为恶意域名,例如,该第一DNS域名与恶意域名库中某一域名相同,或者该第一DNS域名与恶意域名库中的一个或多个域名相似度较高,则可确定第一主机失陷,并将该第一主机的实现等级确定为第一失陷等级(S1)。
可选的,在确定第一DNS域名为恶意域名的情况下,创建安全事件,记录该第一DNS域名、第一失陷等级(S1)、第一请求报文的源IP地址、第一请求报文的目的IP地址等相关信息,其中,第一请求报文的源IP地址也即第一主机的IP地址,第一请求报文的目的IP地址可为DNS服务器的IP地址。
检测模块203,用于检测所述目标网络的交互报文是否与所述第一IP地址相关联;其中,所述交互报文包括从所述目标网络中的主机向外发送的第一交互报文和向所述目标网络中的主机发送的第二交互报文。
在确定该第一DNS域名为恶意域名的情况下,可获取与该第一DNS域名相对应的第一IP地址。在具体实施时,可通过多种方式获取该第一DNS域名相对应的第一IP地址。
可选的,在确定该第一DNS域名为恶意域名的情况下,网络设备可自行基于该第一DNS域名查询相对应的第一IP地址,例如,网络设备首先从本地域名库查询是否具有与第一DNS域名相对应的第一IP地址,或者网络设备也可基于第一DNS域名向DNS服务器发送第二查询请求,以获取该第一IP地址。
可选的,在确定该第一DNS域名为恶意域名的情况下,可放行该第一请求报文,追踪该第一请求报文,确定是否具有与第一请求报文相对应的第一响应报文。如果在预设时间获取到第一响应报文,则从第一响应报文中获取第一IP地址。
可选的,在确定第一DNS域名为恶意域名的情况下,可获取相应的第一请求报文的事务ID(Transaction ID),确定是否具有包含相同事务ID的响应报文,如果响应报文的事务ID与第一DNS域名的事务ID相同时,则将该响应报文确定为第一响应报文,从该第一响应报文中提取第一IP地址。
可选的,在获取到第一IP地址的情况下,可将该第一IP地址添加到恶意IP地址表。例如,在恶意IP地址表中,以该第一IP地址为键名(Key),并为该键名配置键值(Value),该键值可包括另一预设时间和第一DNS域名。
检测目标网络的交互报文是否与恶意IP地址表相匹配。在该交互报文为从目标网络中主机向外发送的第一交互报文时,可将该第一交互报文的目的IP地址与该恶意IP地址表匹配,如果该目的IP地址与恶意IP地址表中某一恶意IP地址相匹配,则可确定该第一交互报文与相应的第一IP地址相关联。如果第一交互报文的目的IP地址与恶意IP地址表中任意一个恶意IP地址均不相匹配,则可放行该第一交互报文。
在该交互报文为从外部向目标网络中主机发送的第二交互报文时,可将该第二交互报文的源IP地址与该恶意IP地址表匹配,如果该源IP地址与恶意IP地址表中某一恶意IP地址相匹配,则可确定该第二交互报文与相应的第一IP地址相匹配。
第二确定模块204,用于在具有与所述第一IP地址相关联的交互报文的情况下,确定所述第一主机具有高于所述第一失陷等级的第二失陷等级。
可选的,主机的失陷等级可包括S0、S1、S2、S3…SN等多个失陷等级,在确定第一DNS域名为恶意域名时,可将第一主机的失陷等级确定为第一失陷等级(S1)。如果在该另一预设时间内确定目标网络的交互报文中具有与第一IP地址相关联的交互报文,则表明该第一主机不仅向外部发送的DNS查询请求报文,而且与恶意攻击设备进行了交互,该第一主机可能已经出现了信息泄露。可更新恶意IP地址表中的另一预设时间,记录该交互报文的源IP地址、目的IP地址、源端口号、目的端口号和协议号等报文信息。直至在该另一预设时间内不再出现与该第一IP地址相关联的交互报文,将该第一IP地址从恶意IP地址表中删除,并汇总与该第一IP地址相关联的全部报文信息,生成另一安全事件。基于报文信息中用于标识目标网络中主机的IP地址和恶意IP地址表中记录的第一DNS域名查找之前所记录的安全事件,并将该另一安全事件与之关联,将安全事件中记录的第一主机的失陷等级提高至第二失陷等级,例如S2、S3甚至于更高。
可选的,在确定具有与第一IP地址相关联的交互报文的情况下,可追踪与第一IP地址相关联的交互报文的条数和/或数据量,基于单位时间内与第一IP地址相关联的交互报文的条数和/或数据量,确定将第一主机的失陷等级为哪一级。例如,在单位时间与第一IP地址相关联的交互报文的条数和/或数据量较小时,则表明该第一主机与恶意攻击设备的交互不频繁,或表明该第一主机泄露的信息量较小,可将第一主机的失陷等级从S1级提高至S2级。还例如,在单位时间内与第一IP地址相关联的交互报文的条数和/或数量较大时,则表明该第一主机与恶意交互设备可将第一主机的失陷等级从S1级提高至S3级,甚至于更高的失陷等级。
本申请实施例的装置,获取目标网络中的第一主机发送的第一请求报文,确定第一请求报文所携带的第一DNS域名是否为恶意域名,如果是,则确定第一主机失陷,初步为该第一主机配置一第一失陷等级,继而,检测目标网络的交互报文中是否具有与该第一IP地址相关联的交互报文,如果是,则将第一主机的失陷等级从第一失陷等级提高至第二失陷等级。如此,为实时检测目标网络中主机失陷等级提供了可行的技术方案,进而能够及时的为安全服务人员提供富有针对性的处置建议。
在一些实施例中,所述检测模块203具体用于:
确定是否具有与所述第一请求报文相对应的第一响应报文;
在预设时间获取到所述第一响应报文的情况下,从所述第一响应报文中获取所述第一IP地址;
确定所述交互报文是否与所述第一IP地址相关联。
在一些实施例中,所述检测模块203还用于:
在预设时间未获取到所述第一响应报文的情况下,确定所述第一主机具有低于所述第一失陷等级的第三失陷等级。
在一些实施例中,所述检测模块203具体用于:
获取所述第一请求报文中的事务ID;
确定是否具有包含相同事务ID的响应报文。
在一些实施例中,所述检测模块203具体用于:
确定所述第一交互报文的目的IP地址是否与所述第一IP地址相符;
确定所述第二交互报文的源IP地址是否与所述第一IP地址相符。
参见图5所示,本申请实施例还提供了一种电子设备,至少包括存储器301和处理器302,所述存储器301上存储有程序,所述处理器302在执行所述存储器301上的程序时实现如上任一实施例所述的工控数据处理方法。
本领域技术人员应明白,本申请的实施例可提供为方法、电子设备、计算机可读存储介质或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。当通过软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
上述处理器可以是通用处理器、数字信号处理器、专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logicdevice,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,简称GAL)或其任意组合。通用处理器可以是微处理器或者任何常规的处理器等。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
上述可读存储介质可为磁碟、光盘、DVD、USB、只读存储记忆体(ROM)或随机存储记忆体(RAM)等,本申请对具体的存储介质形式不作限定。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (4)
1.一种用于检测目标网络中主机失陷等级的方法,其特征在于,该方法应用于网络设备,所述网络设备与所述目标网络连接,该网络设备能够检测向该目标网络中发送的报文,也能够检测目标网络向外部发送的报文;包括:
获取所述目标网络中的第一主机发送的第一请求报文;其中,所述第一请求报文为所述第一主机向DNS服务器发送的DNS查询请求报文,所述第一请求报文包含第一DNS域名,用于查询与所述第一DNS域名相对应的第一IP地址;
在确定所述第一DNS域名为恶意域名的情况下,确定所述第一主机失陷且具有第一失陷等级,创建安全事件,记录所述第一DNS域名、所述第一失陷等级、所述第一请求报文的源IP地址、所述第一请求报文的目的IP地址和所述第一请求报文的事务ID,放行该携带有恶意域名的第一请求报文,并追踪该第一请求报文;
在预设时间内,检测所述目标网络的交互报文是否具有包含相同事务ID的响应报文,如果在预设时间内一个响应报文的事务ID与所述第一DNS域名的事务ID相同,则将该响应报文确定为第一响应报文,从该第一响应报文中提取第一IP地址,将该第一IP地址添加至恶意IP地址表;其中,在所述恶意IP地址表中,以该第一IP地址为键名,并以另一预设时间和所述第一DNS域名为键值;
在该另一预设时间内,检测目标网络的交互报文是否与所述恶意IP地址表中的第一IP地址相关联;其中,所述交互报文包括从所述目标网络中的主机向外发送的第一交互报文和向所述目标网络中的主机发送的第二交互报文;
如果在该另一预设时间内确定目标网络中的交互报文中具有与所述第一IP地址相关联的交互报文,更新恶意IP地址表中与该第一IP地址相关联的另一预设时间,记录该交互报文的源IP地址、目的IP地址、源端口号、目的端口号和协议号;
直至该第一IP地址相关联的另一预设时间内未出现与该第一IP地址相关联的交互报文,将该第一IP地址从恶意IP地址表中删除,并汇总与该第一IP地址相关联的报文信息,生成另一安全事件;
基于报文信息中用于标识目标网络中主机的IP地址和恶意IP地址表中记录的第一DNS域名查找所述安全事件,并将所述另一安全事件与所述安全事件关联,确定所述安全事件中记录的所述第一主机具有高于所述第一失陷等级的第二失陷等级。
2.根据权利要求1所述的方法,其特征在于,所述检测所述目标网络的交互报文是否与所述第一IP地址相关联,还包括:
在预设时间未获取到所述第一响应报文的情况下,确定所述第一主机具有低于所述第一失陷等级的第三失陷等级。
3.一种用于检测目标网络中主机失陷等级的装置,其特征在于,该装置应用于网络设备,所述网络设备与所述目标网络连接,该网络设备能够检测向该目标网络中发送的报文,也能够检测目标网络向外部发送的报文;包括:
获取模块,用于获取所述目标网络中的第一主机发送的第一请求报文;其中,所述第一请求报文为所述第一主机向DNS服务器发送的DNS查询请求报文,所述第一请求报文包含第一DNS域名,用于查询与所述第一DNS域名相对应的第一IP地址;
第一确定模块,用于在确定所述第一DNS域名为恶意域名的情况下,确定所述第一主机失陷且具有第一失陷等级,创建安全事件,记录所述第一DNS域名、所述第一失陷等级、所述第一请求报文的源IP地址、所述第一请求报文的目的IP地址和所述第一请求报文的事务ID,放行该携带有恶意域名的第一请求报文,并追踪该第一请求报文;
检测模块,用于在预设时间内,检测所述目标网络的交互报文是否具有包含相同事务ID的响应报文,如果在预设时间内一个响应报文的事务ID与所述第一DNS域名的事务ID相同,则将该响应报文确定为第一响应报文,从该第一响应报文中提取第一IP地址,将该第一IP地址添加至恶意IP地址表;其中,在所述恶意IP地址表中,以该第一IP地址为键名,并以另一预设时间和所述第一DNS域名为键值;在该另一预设时间内,检测目标网络的交互报文是否与所述恶意IP地址表中的第一IP地址相关联;其中,所述交互报文包括从所述目标网络中的主机向外发送的第一交互报文和向所述目标网络中的主机发送的第二交互报文;
第二确定模块,用于在该另一预设时间内确定目标网络中的交互报文中具有与所述第一IP地址相关联的交互报文的情况下,更新恶意IP地址表中与该第一IP地址相关联的另一预设时间,记录该交互报文的源IP地址、目的IP地址、源端口号、目的端口号和协议号;直至该第一IP地址相关联的另一预设时间内未出现与该第一IP地址相关联的交互报文,将该第一IP地址从恶意IP地址表中删除,并汇总与该第一IP地址相关联的报文信息,生成另一安全事件;基于报文信息中用于标识目标网络中主机的IP地址和恶意IP地址表中记录的第一DNS域名查找所述安全事件,并将所述另一安全事件与所述安全事件关联,确定所述安全事件中记录的第一主机具有高于所述第一失陷等级的第二失陷等级。
4.根据权利要求3所述的装置,其特征在于,所述检测模块还用于:
在预设时间未获取到所述第一响应报文的情况下,确定所述第一主机具有低于所述第一失陷等级的第三失陷等级。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111598572.0A CN114244809B (zh) | 2021-12-24 | 2021-12-24 | 用于检测目标网络中主机失陷等级的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111598572.0A CN114244809B (zh) | 2021-12-24 | 2021-12-24 | 用于检测目标网络中主机失陷等级的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114244809A CN114244809A (zh) | 2022-03-25 |
| CN114244809B true CN114244809B (zh) | 2024-05-17 |
Family
ID=80762874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111598572.0A Active CN114244809B (zh) | 2021-12-24 | 2021-12-24 | 用于检测目标网络中主机失陷等级的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114244809B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN109120579A (zh) * | 2017-06-26 | 2019-01-01 | 中国电信股份有限公司 | 恶意域名的检测方法、装置及计算机可读存储介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN111835781A (zh) * | 2020-07-21 | 2020-10-27 | 杭州安恒信息技术股份有限公司 | 一种基于失陷主机发现同源攻击的主机的方法及系统 |
| CN112383503A (zh) * | 2020-09-21 | 2021-02-19 | 西安交大捷普网络科技有限公司 | 一种网络安全事件处理方法 |
| CN113301012A (zh) * | 2021-04-13 | 2021-08-24 | 新浪网技术(中国)有限公司 | 一种网络威胁的检测方法、装置、电子设备及存储介质 |
| CN113810381A (zh) * | 2021-08-23 | 2021-12-17 | 杭州安恒信息技术股份有限公司 | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 |
-
2021
- 2021-12-24 CN CN202111598572.0A patent/CN114244809B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN109120579A (zh) * | 2017-06-26 | 2019-01-01 | 中国电信股份有限公司 | 恶意域名的检测方法、装置及计算机可读存储介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN111835781A (zh) * | 2020-07-21 | 2020-10-27 | 杭州安恒信息技术股份有限公司 | 一种基于失陷主机发现同源攻击的主机的方法及系统 |
| CN112383503A (zh) * | 2020-09-21 | 2021-02-19 | 西安交大捷普网络科技有限公司 | 一种网络安全事件处理方法 |
| CN113301012A (zh) * | 2021-04-13 | 2021-08-24 | 新浪网技术(中国)有限公司 | 一种网络威胁的检测方法、装置、电子设备及存储介质 |
| CN113810381A (zh) * | 2021-08-23 | 2021-12-17 | 杭州安恒信息技术股份有限公司 | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114244809A (zh) | 2022-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9501639B2 (en) | Methods, systems, and media for baiting inside attackers | |
| CN106068639B (zh) | 通过dns处理的透明代理认证 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US20100235915A1 (en) | Using host symptoms, host roles, and/or host reputation for detection of host infection | |
| US8533581B2 (en) | Optimizing security seals on web pages | |
| US20090300012A1 (en) | Multilevel intent analysis method for email filtration | |
| CA2609464A1 (en) | Method and system for filtering electronic messages | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| CN108632221B (zh) | 定位内网中的受控主机的方法、设备及系统 | |
| WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
| CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
| CN111585956A (zh) | 一种网址防刷验证方法与装置 | |
| CN108156270A (zh) | 域名请求处理方法和装置 | |
| US11582226B2 (en) | Malicious website discovery using legitimate third party identifiers | |
| CN114244809B (zh) | 用于检测目标网络中主机失陷等级的方法及装置 | |
| Sood et al. | The Covid-19 threat landscape | |
| CN114301696B (zh) | 恶意域名检测方法、装置、计算机设备及存储介质 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
| Marchal | DNS and semantic analysis for phishing detection | |
| US20090300206A1 (en) | Methods and systems for protecting e-mail addresses in publicly available network content | |
| WO2016118153A1 (en) | Marking nodes for analysis based on domain name system resolution | |
| US10484422B2 (en) | Prevention of rendezvous generation algorithm (RGA) and domain generation algorithm (DGA) malware over existing internet services | |
| CN107736003B (zh) | 用于保护域名安全的方法和设备 | |
| CN111371917B (zh) | 一种域名检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |