CN114826758B - 一种针对域名解析系统dns的安全分析方法及装置 - Google Patents

一种针对域名解析系统dns的安全分析方法及装置 Download PDF

Info

Publication number
CN114826758B
CN114826758B CN202210511376.3A CN202210511376A CN114826758B CN 114826758 B CN114826758 B CN 114826758B CN 202210511376 A CN202210511376 A CN 202210511376A CN 114826758 B CN114826758 B CN 114826758B
Authority
CN
China
Prior art keywords
security analysis
dns
random number
generation period
network security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210511376.3A
Other languages
English (en)
Other versions
CN114826758A (zh
Inventor
陈保江
陈景妹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN202210511376.3A priority Critical patent/CN114826758B/zh
Publication of CN114826758A publication Critical patent/CN114826758A/zh
Application granted granted Critical
Publication of CN114826758B publication Critical patent/CN114826758B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明实施例涉及一种针对域名解析系统DNS的安全分析方法及装置。包括:在获取时刻获取至少一个DNS日志;获取获取时刻对应的随机数生成范围;随机数生成范围是根据网络安全分析服务器在获取时刻对应的生成时段的资源占有率确定的;在随机数生成范围内,生成DNS日志的随机数;确定随机数是否位于生成时段对应的抽样范围内;抽样范围是根据网络安全分析服务器在生成时段的剩余最高缓存容量和在生成时段进行安全分析已占用的缓存容量确定的;若随机数不位于抽样范围内,则不通过网络安全分析服务器对DNS日志进行安全分析。保障了网络安全分析服务器的稳定可靠运行,避免DNS日志堆积、时效性低、易系统崩溃等问题。

Description

一种针对域名解析系统DNS的安全分析方法及装置
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种针对域名解析系统DNS的安全分析方法、装置、计算设备及计算机可读存储介质。
背景技术
域名解析系统(Domain Name System,DNS)是互联网的一项服务。它作为将域名(Domain Name,DN)和网际互连协议(Internet Protocol,IP)地址相互映射的一个分布式数据库,能够提供域名到IP地址的转换,对用户访问各种互联网应用至关重要。解析流程如下:客户端向DNS服务器发送相关域名的查询请求,DNS服务器若查询到具有该域名与IP地址的映射关系,则将对应的IP地址返回至客户端,如此客户端可访问该IP地址对应的应用。
通过对DNS服务器的域名解析行为进行安全分析可以发现隐藏的一些安全问题。比如,当内网中的客户端被植入木马后,会主动的向木马的植入方所指定的域名源源不断的发送信息,DNS服务器会接收到相应的查询请求,DNS服务器进行域名解析的同时会产生相应的DNS日志,网络安全分析服务器通过对这些DNS日志进行安全分析确定某一域名为异常域名后,即可确定与该异常域名发生连接的客户端存在安全问题。又比如,客户端通过在DNS协议中构建隐蔽隧道,将其他数据封装在DNS协议中进行数据传输,从而进行命令控制和数据窃取,网络安全分析服务器通过对DNS服务器产生的DNS日志进行安全分析也可确定这些构建隐蔽隧道的客户端存在安全问题。现有的安全分析方法在确定客户端存在安全问题后,会向客户端对应的用户发送报警消息以提示用户对客户端进行检查。由此可知,通过对DNS服务器的解析行为进行分析可以发现客户端、域名和IP地址等的异常行为,从而确认已知、未知的恶意软件以及实时监测内部的威胁。
然而DNS服务器产生的DNS日志量很大,网络安全分析服务器对如此海量的DNS日志进行安全分析,对网络资源、中央处理器(Central Processing Unit,CPU)资源等各种资源的消耗很大,很容易出现网络安全分析服务器宕机的问题。为了避免分析过程中出现网络安全分析服务器宕机等故障,需要在流量大的时候增加网络安全分析服务器的数量,这不仅需要大量硬件成本投入,并且依然需要对DNS服务器产生的所有DNS日志进行逐条分析,不能从根本上解决安全分析的DNS日志堆积、处理时效性低的问题。
发明内容
本发明实施例提供一种针对域名解析系统DNS的安全分析方法,用以高效地进行安全分析,避免DNS日志堆积,在不增加硬件成本投入的情况下,保证网络安全分析服务器的高可用性。
第一方面,本发明实施例提供一种针对域名解析系统DNS的安全分析方法,包括:
在获取时刻获取至少一个DNS日志;所述DNS日志为DNS服务器在预设时段内产生的;
获取所述获取时刻对应的随机数生成范围;所述随机数生成范围是根据网络安全分析服务器在所述获取时刻对应的生成时段的资源占有率确定的;所述生成时段按照第一预设间隔进行更新;所述生成时段不晚于所述获取时刻;
在所述随机数生成范围内,生成所述DNS日志的随机数;确定所述随机数是否位于所述生成时段对应的抽样范围内;所述抽样范围是根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段进行安全分析已占用的缓存容量确定的;所述剩余最高缓存容量是根据所述网络安全分析服务器在所述生成时段的资源占有率确定;
若所述随机数不位于所述抽样范围内,则不通过所述网络安全分析服务器对所述DNS日志进行安全分析。
对DNS服务器产生的至少一个DNS日志对应生成位于随机数生成范围的随机数,并进一步判断该随机数是否位于抽样范围,若不位于抽样范围,则不对DNS日志进行安全分析。而随机数生成范围考虑到了网络安全分析服务器在获取时刻对应的生成时段的资源占有率,抽样范围考虑到了网络安全分析服务器在获取时刻对应的生成时段的资源占有率的同时,还考虑到网络安全分析服务器在生成时段进行安全分析已占用的缓存容量,即考虑到了网络安全分析服务器在生成时段还具备的处理能力。如此,不会将所有的DNS日志均进行安全分析,而是根据网络安全分析服务器在生成时段的处理能力确定与之相适应的一定数量的DNS日志进行安全分析,并且抽样范围是根据网络安全分析服务器的处理能力动态调整的。保障了网络安全分析服务器的稳定可靠运行,保证了网络安全分析服务器的高可用性的同时,最大化地发挥网络安全分析服务器的处理能力,无需增加硬件设施,避免了网络安全分析服务器对所有DNS日志均需逐一进行安全分析导致的DNS日志堆积、时效性低、易系统崩溃等问题。
可选地,还包括:
若所述随机数位于所述抽样范围内,判断所述DNS日志是否存在于黑名单中,若不存在,则通过所述网络安全分析服务器对所述DNS日志进行安全分析;所述黑名单为根据所述网络安全分析服务器对所述获取时刻前接收的各DNS日志进行安全分析后确定的;所述黑名单实时更新。
在确定该DNS日志对应的随机数位于抽样范围中后,也不直接进行安全分析,而是与实时更新的黑名单进行对比,若不存在于黑名单中,才会对该DNS日志进行安全分析,因为黑名单是网络安全分析服务器对获取时刻之前接收到的DNS日志进行安全分析确定出来的,因此存在于黑名单中的DNS日志一定存在安全问题,对这样的DNS日志进行安全分析无疑是在浪费计算资源。通过如此过滤方式,再次减少了网络安全分析服务器进行安全分析的数据量,减少了进行安全分析已占用的缓存容量,提高了网络安全分析服务器的处理能力。同时相应的,降低的进行安全分析已占用的缓存容量可以反馈至抽样范围,下一个生成时段的抽样范围就会变大,就能避免更多的DNS日志被丢弃,提高安全分析准确率。如此,通过DNS日志抽样和黑名单的过滤,减轻了网络安全分析服务器的分析压力,提高了安全分析的分析效率,保障了网络安全分析服务器的稳定可靠运行的同时,最大化地发挥网络安全分析服务器的处理能力,提高安全分析的准确率。通过实时更新的黑名单对获取的DNS日志进行过滤,可以保证过滤结果的准确性和时效性,从而能够更加准确和及时地减轻网络安全分析服务器的分析压力。
可选地,在确定所述随机数位于所述抽样范围内之后,还包括:
确定所述DNS日志不存在于白名单中;所述白名单为安全威胁满足预设条件的安全域名中的前N个。
安全域名的前N个为白名单,若DNS日志存在于白名单中,则说明DNS日志不存在安全问题,若对这样的DNS日志依然进行安全分析无疑是在浪费计算资源,属于无效分析。而DNS日志不存在于白名单中,则将DNS日志进行安全分析,如此,进一步减少了网络安全分析服务器进行安全分析的数据量,进一步减轻了网络安全分析服务器的分析压力,提高了安全分析的分析效率,避免系统崩溃。
可选地,通过如下方式确定任一生成时段对应的随机数生成范围,包括:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的资源占有率确定所述生成时段的剩余最高缓存容量;
基于所述剩余最高缓存容量,确定所述生成时段对应的随机数生成范围为[0,1];
通过如下方式确定任一生成时段对应的抽样范围,包括:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段时进行安全分析已占用的缓存容量,确定抽样概率;
基于所述抽样概率,确定所述生成时段对应的抽样范围为[0,抽样概率]。
通过网络安全分析服务器在生成时段的资源占有率确定了剩余最高缓存容量,从而确定生成范围。而抽样范围是根据剩余最高缓存容量和进行安全分析已占用的缓存容量确定的抽样概率确定的,那么生成的随机数若位于抽样范围内,则说明若对该随机数对应的DNS日志进行安全分析是符合生成时段的网络安全分析服务器的处理能力的,不会造成服务器崩溃。若生成的随机数不位于抽样范围内,则不对该随机数对应的DNS日志进行安全分析。如此结合网络安全分析服务器的处理能力对DNS日志进行了筛选过滤,最大化地发挥了网络安全分析服务器的处理能力,又避免了服务器崩溃,保证高可用性。
可选地,通过所述网络安全分析服务器对所述DNS日志进行安全分析,包括:
所述网络安全分析服务器对接收的所述DNS日志进行安全分析,将存在安全问题的DNS日志中的DNS日志信息加入所述黑名单并设置所述对象的老化周期。
黑名单是根据网络安全分析服务器的分析结果实时更新的,如此可以及时发现安全问题,及时更新黑名单,那么通过实时更新的黑名单对获取的DNS日志进行过滤,可以保证过滤结果的准确性和时效性,从而能够更加准确和及时地减轻网络安全分析服务器的分析压力。由于存在安全问题的客户端存在故障修复的可能,因此设置黑名单中的DNS日志信息具有老化周期,而不是一直存在于黑名单中,从而避免黑名单错误过滤导致安全分析的准确性降低的可能。
可选地,所述N是根据所述网络安全分析服务器在白名单确定时刻的资源占有率确定的;所述白名单确定时刻按照第二预设间隔进行更新;所述白名单确定时刻不晚于所述获取时刻。
根据白名单确定时刻的资源占有率确定白名单的数量,因此白名单的数量也是根据网络安全分析服务器的处理能力动态调整的。如此,可以更加及时地对进行安全分析的DNS日志的数量进行动态调整,减轻网络安全分析服务器的分析压力,并最大化地发挥网络安全分析服务器的处理能力。
可选地,所述资源占有率为中央处理器CPU占有率和内存占有率中的最大值。
能够准确地反映网络安全分析服务器的处理能力,避免网络安全分析服务器由于分析压力大而产生崩溃问题。
第二方面,本发明实施例还提供一种针对域名解析系统DNS的安全分析装置,包括:
获取单元,用于:
在获取时刻获取至少一个DNS日志;所述DNS日志为DNS服务器在预设时段内产生的;
获取所述获取时刻对应的随机数生成范围;所述随机数生成范围是根据网络安全分析服务器在所述获取时刻对应的生成时段的资源占有率确定的;所述生成时段按照第一预设间隔进行更新;所述生成时段不晚于所述获取时刻;
处理单元,用于:
在所述随机数生成范围内,生成所述DNS日志的随机数;确定所述随机数是否位于所述生成时段对应的抽样范围内;所述抽样范围是根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段进行安全分析已占用的缓存容量确定的;所述剩余最高缓存容量是根据所述网络安全分析服务器在所述生成时段的资源占有率确定;
若所述随机数不位于所述抽样范围内,则不通过所述网络安全分析服务器对所述DNS日志进行安全分析。
可选地,所述处理单元还用于:
若所述随机数位于所述抽样范围内,判断所述DNS日志是否存在于黑名单中,若不存在,则通过所述网络安全分析服务器对所述DNS日志进行安全分析;所述黑名单为根据所述网络安全分析服务器对所述获取时刻前接收的各DNS日志进行安全分析后确定的;所述黑名单实时更新。
可选地,所述处理单元还用于:
确定所述DNS日志不存在于白名单中;所述白名单为安全威胁满足预设条件的安全域名中的前N个。
可选地,所述获取单元具体用于:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的资源占有率确定所述生成时段的剩余最高缓存容量;
基于所述剩余最高缓存容量,确定所述生成时段对应的随机数生成范围为[0,1];
通过如下方式确定任一生成时段对应的抽样范围,包括:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段时进行安全分析已占用的缓存容量,确定抽样概率;
基于所述抽样概率,确定所述生成时段对应的抽样范围为[0,抽样概率]。
可选地,所述处理单元具体用于:
所述网络安全分析服务器对接收的所述DNS日志进行安全分析,将存在安全问题的DNS日志中的DNS日志信息加入所述黑名单并设置所述对象的老化周期。
可选地,所述N是根据所述网络安全分析服务器在白名单确定时刻的资源占有率确定的;所述白名单确定时刻按照第二预设间隔进行更新;所述白名单确定时刻不晚于所述获取时刻。
可选地,所述资源占有率为中央处理器CPU占有率和内存占有率中的最大值。
第三方面,本发明实施例还提供一种计算设备,包括:
存储器,用于存储计算机程序;
处理器,用于调用所述存储器中存储的计算机程序,按照获得的程序执行上述任一方式所列的针对域名解析系统DNS的安全分析方法。
第四方面,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行程序,所述计算机可执行程序用于使计算机执行上述任一方式所列的针对域名解析系统DNS的安全分析方法。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种系统架构的示意图;
图2为本发明实施例提供的一种针对域名解析系统DNS的安全分析方法的流程示意图;
图3为本发明实施例提供的一种系统架构的示意图;
图4为本发明实施例提供的一种系统架构的示意图;
图5为本发明实施例提供的一种针对域名解析系统DNS的安全分析方法的流程示意图;
图6为本发明实施例提供的一种系统架构的示意图;
图7为本发明实施例提供的一种针对域名解析系统DNS的安全分析装置的结构示意图;
图8为本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
为使本申请的目的、实施方式和优点更加清楚,下面将结合本申请示例性实施例中的附图,对本申请示例性实施方式进行清楚、完整地描述,显然,所描述的示例性实施例仅是本申请一部分实施例,而不是全部的实施例。
基于本申请描述的示例性实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请所附权利要求保护的范围。此外,虽然本申请中公开内容按照示范性一个或几个实例来介绍,但应理解,可以就这些公开内容的各个方面也可以单独构成一个完整实施方式。
需要说明的是,本申请中对于术语的简要说明,仅是为了方便理解接下来描述的实施方式,而不是意图限定本申请的实施方式。除非另有说明,这些术语应当按照其普通和通常的含义理解。
本申请中说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似或同类的对象或实体,而不必然意味着限定特定的顺序或先后次序,除非另外注明(Unless otherwise indicated)。应该理解这样使用的用语在适当情况下可以互换,例如能够根据本申请实施例图示或描述中给出那些以外的顺序实施。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖但不排他的包含,例如,包含了一系列组件的产品或设备不必限于清楚地列出的那些组件,而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。
DNS服务器产生的DNS日志量很大,有时可达到800G/天,网络安全分析服务器对如此海量的DNS日志进行安全分析,对网络资源和CPU资源等各种资源的消耗很大,大数据平台很难有效处理这么大量的数据,很容易出现网络安全分析服务器宕机的问题。
图1示出了本发明实施例所适用的一种系统架构,如图1所示,包括DNS系统、过滤系统和安全分析系统。DNS系统部署在一个或多个DNS服务器中,用于对客户端发送的域名解析请求进行解析,对应生成DNS日志。DNS日志中可以包括DNS日志的生成时间、客户端的源IP地址、请求解析的域名等信息。
过滤系统位于DNS系统和安全分析系统之间,用于对从DNS系统获取的DNS日志进行过滤后,若满足过滤条件,则将该DNS日志发送至安全分析系统进行安全分析,若不满足过滤条件,则不将该DNS日志发送至安全分析系统进行安全分析。
安全分析系统用于对从过滤系统接收到的DNS日志进行安全分析,之后可以确定该DNS日志的客户端的源IP地址存在安全问题或者请求解析的域名存在安全问题。
过滤系统和安全分析系统可以共同部署在同一个由多个服务器组成的服务器集群中,也可以分别部署在不同的服务器集群中。若过滤系统和安全分析系统共同部署在同一个服务器集群中,二者可以部署在同样的服务器中,例如该服务器集群中的每一台服务器中均部署有过滤系统和安全分析系统;二者也可以部署在不同的服务器中,例如该服务器集群中的200台服务器中部署有过滤系统,另外300台服务器中部署有安全分析系统。以上仅为示例,本发明实施例对此不作限制。
基于上述系统架构,本发明实施例提供一种可能的针对域名解析系统DNS的安全分析方法,如图2所示,包括:
步骤201,在获取时刻获取至少一个DNS日志;所述DNS日志为DNS服务器在预设时段内产生的。
DNS系统产生DNS日志后,将DNS日志发送至过滤系统,可以定期批量发送,也可以每产生一个DNS日志就发送至过滤系统,本发明实施例对此不作限制。
可选地,过滤系统将接收的DNS日志进行存储,通过分布式存储机制存储可以提高文件存储效率和存储容量。因为若DNS系统批量将DNS日志发送至过滤系统,而过滤系统是流式处理DNS日志的话,过滤系统就需要将接收DNS日志进行存储。
若DNS系统是流式将DNS日志发送至过滤系统,那么过滤系统在获取时刻可以流式获取一个DNS日志,也可以在获取时刻批量获得多个DNS日志;若DNS系统是批量将DNS日志发送至过滤系统,那么过滤系统在获取时刻可以流式获取一个DNS日志,也可以批量获取多个DNS日志,进行后续的过滤,本发明实施例对此不作限制。因此过滤系统在获取时刻获取的DNS日志可以是DNS服务器在获取时刻实时产生的DNS日志,也可以是DNS服务器在获取时刻之间的某一时刻或某一时段产生的DNS日志,即预设时段产生的DNS日志。
例如,DNS系统将10:00-10:05产生的DNS日志批量发送至过滤系统,过滤系统进行存储,后过滤系统在获取时刻10:06获取这批DNS日志中的10个DNS日志、在获取时刻10:07获取接下来的10个DNS日志……
例如,DNS系统将10:00-10:05产生的DNS日志批量发送至过滤系统,过滤系统进行存储,后过滤系统在获取时刻10:06获取这批DNS日志中的任一个DNS日志、在获取时刻10:07获取下一个DNS日志……
以上仅为示例,方便读者理解,实际中,过滤系统的获取时刻的粒度可能会更细。
接下来本文以在获取时刻获取一个DNS日志为例介绍本发明实施例提供的方案。
步骤202,获取所述获取时刻对应的随机数生成范围;所述随机数生成范围是根据网络安全分析服务器在所述获取时刻对应的生成时段的资源占有率确定的;所述生成时段按照第一预设间隔进行更新;所述生成时段不晚于所述获取时刻。
每一个获取时刻会对应一个随机数生成范围,该随机数生成范围是根据网络安全分析服务器在所述获取时刻对应的生成时段的资源占有率确定的,本发明实施例中所指的网络安全分析服务器为进行安全分析的服务器的集合,而不单单是指某一台服务器。
网络安全分析服务器进行安全分析会占用大量的资源,例如内存、CPU等,资源占有率也是实时更新的,在本发明实施例中,获取该获取时刻对应的生成时段的资源占有率,这里的生成时段可以为一个时段也可以为一个时刻,生成时段等于获取时刻,也可以为获取时刻之前的一个时段或时刻,本发明实施例对此不作限制。
若生成时段等于获取时刻,则相当于每次获取DNS日志后都要获取获取时刻的资源占有率,并根据该资源占有率对应更新随机数生成范围,随机数生成范围的更新频率太多频繁,也会占用很多的计算资源。因此在一种可能的实施例中,生成时段为获取时刻之前的一个时刻或一个时段,生成时段按照第一预设间隔进行更新,那么在获取时刻只需直接获取之前在生成时段计算出的随机数生成范围即可,无需重新获取当前的资源占有率重新计算随机数生成范围,节省了计算资源。
举个例子,生成时段为10:00,那么在10:00过滤系统会获取网络安全分析服务器的资源占有率,据此确定随机数生成范围为[0,60]。生成时段每5分钟更新一次,那么,当获取时刻在10:00-10:04内时,对应的生成时段都是10:00,对应的随机数生成范围都是根据网络安全分析服务器在10:00时的资源占有率确定的[0,60]。5分钟过后,生成时段更新为10:05,随机数生成范围是根据网络安全分析服务器在10:05时的资源占有率确定的,例如为[0,50],那么获取时刻在10:05-10:09内时,对应的生成时段都是10:05,对应的随机数生成范围都是根据网络安全分析服务器在10:05时的资源占有率确定的[0,50]。以上仅为示例,本发明实施例对此不做限制。
为了保证生成时段的资源占有率能够较为准确地反映获取时刻的资源占有率,第一预设间隔不能太长,例如若间隔一小时更新一次,那么生成时段的资源占有率很大程度上不能反映获取时刻的资源占有率,那么生成时段确定的随机数生成范围作为获取时刻的资源占有率是不妥当的。第一预设间隔应小于第一阈值,例如,5min、10min或8min。
资源占有率可以为CPU占有率,也可以为内存占有率,也可以为CPU占有率或内存占有率的最大值,本发明实施例对此不做限制。
步骤203,在所述随机数生成范围内,生成所述DNS日志的随机数;确定所述随机数是否位于所述生成时段对应的抽样范围内。
抽样范围是根据网络安全分析服务器在生成时段的剩余最高缓存容量和在生成时段进行安全分析已占用的缓存容量确定的;剩余最高缓存容量是根据网络安全分析服务器在生成时段的资源占有率确定。
资源占有率和缓存容量之间存在一定的比例关系,基于比例关系,可以根据网络安全分析服务器在生成时段的资源占有率确定剩余最高缓存容量,根据生成时段的剩余最高缓存容量和在生成时段进行安全分析已占用的缓存容量可以确定抽样范围,即,抽样范围是根据网络安全分析服务器在生成时段时还具备的处理能力确定的。
如此,确定的抽样范围位于随机数生成范围内。
步骤204,若所述随机数不位于所述抽样范围内,则不通过所述网络安全分析服务器对所述DNS日志进行安全分析。
若随机数位于抽样范围内,则对该DNS日志进行安全分析。
例如,随机数生成范围为[0,50],确定的抽样范围为[30,50],生成的随机数为40,则对该DNS日志进行安全分析,若生成的随机数为22,则不对该DNS日志进行分安全分析,丢弃该DNS日志。
对DNS服务器产生的至少一个DNS日志对应生成位于随机数生成范围的随机数,并进一步判断该随机数是否位于抽样范围,若不位于抽样范围,则不对DNS日志进行安全分析。而随机数生成范围考虑到了网络安全分析服务器在获取时刻对应的生成时段的资源占有率,抽样范围考虑到了网络安全分析服务器在获取时刻对应的生成时段的资源占有率的同时,还考虑到网络安全分析服务器在生成时段进行安全分析已占用的缓存容量,即考虑到了网络安全分析服务器在生成时段还具备的处理能力。如此,不会将所有的DNS日志均进行安全分析,而是根据网络安全分析服务器在生成时段的处理能力确定与之相适应的一定数量的DNS日志进行安全分析,并且抽样范围是根据网络安全分析服务器的处理能力动态调整的。保障了网络安全分析服务器的稳定可靠运行,保证了网络安全分析服务器的高可用性的同时,最大化地发挥网络安全分析服务器的处理能力,无需增加硬件设施,避免了网络安全分析服务器对所有DNS日志均需逐一进行安全分析导致的DNS日志堆积、时效性低、易系统崩溃等问题。
接下来介绍确定随机数生成范围和抽样范围的两种确定方法。
方式一
随机数生成范围的确定方法:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的资源占有率确定所述生成时段的剩余最高缓存容量;基于所述剩余最高缓存容量,确定所述生成时段对应的随机数生成范围为[0,剩余最高缓存容量];
抽样范围的确定方法:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段时进行安全分析已占用的缓存容量,确定抽样范围为[进行安全分析已占用的缓存容量,剩余最高缓存容量]。
举个例子,网络安全分析服务器在生成时段10:00的内存占有率为60%,CPU占有率为50%,取二者中的最大值60%为资源占有率。再获取网络安全分析服务器的最高缓存容量为100G,那么剩余最高缓存容量=最高缓存容量×(1-资源占有率)=40G。因此随机数生成范围为[0,40];
获取在生成时段10:00时进行安全分析已占用的缓存容量为10G,因此确定抽样范围为[10,40],也就是说缓存容量中还剩40-10=30G的缓存容量可以用于安全分析,那么当生成的随机数位于抽样范围内的时候,说明该随机数对应的DNS日志可以被网络安全分析服务器处理,是符合网络安全分析服务器的处理能力的;若生成的随机数不位于抽样范围内,则不对该随机数对应的DNS日志进行安全分析。如此结合网络安全分析服务器的处理能力对DNS日志进行了筛选过滤,最大化地发挥了网络安全分析服务器的处理能力,又避免了服务器崩溃,保证高可用性。
方式二
随机数生成范围的确定方法:
根据所述网络安全分析服务器在所述生成时段的资源占有率确定所述生成时段的剩余最高缓存容量;基于所述剩余最高缓存容量,确定所述生成时段对应的随机数生成范围为[0,1];
抽样范围的确定方法:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段时进行安全分析已占用的缓存容量,确定抽样概率;基于所述抽样概率,确定所述生成时段对应的抽样范围为[0,抽样概率]。
举个例子,网络安全分析服务器在生成时段10:00的CPU占有率为60%,取CPU占有率60%为资源占有率。再获取网络安全分析服务器的最高缓存容量为100G,那么剩余最高缓存容量=最高缓存容量×(1-资源占有率)=40G。因此以40G为单位1,随机数生成范围为[0,1];
获取在生成时段10:00时进行安全分析已占用的缓存容量为10G,抽样概率=(剩余最高缓存容量-进行安全分析已占用的缓存容量)/剩余最高缓存容量=(40-10)/40=0.75;因此确定抽样范围为[0,0.75],同样缓存容量中还剩40-10=30G的缓存容量可以用于安全分析,那么当生成的随机数位于抽样范围内的时候,说明该随机数对应的DNS日志可以被网络安全分析服务器处理,是符合网络安全分析服务器的处理能力的;若生成的随机数不位于抽样范围内,则不对该随机数对应的DNS日志进行安全分析。
可选地,本发明实施例还提供另一种可能的进行安全分析的方法,在确定随机数位于抽样范围后,判断该DNS日志是否存在于黑名单中,若不存在,则通过所述网络安全分析服务器对所述DNS日志进行安全分析。黑名单为根据网络安全分析服务器对获取时刻前接收的各DNS日志进行安全分析后确定的;黑名单实时更新。
图3示出了与上述实施例相对应的一种可能的系统架构,过滤系统中包含DNS日志抽样模块和黑名单过滤模块,DNS日志抽样模块用于获取DNS日志,生成随机数后判断随机数是否位于抽样范围内,若位于抽样范围内,则将DNS日志发送至黑名单过滤模块,若不位于抽样范围内,则丢弃该DNS日志。黑名单过滤模块用于提取该DNS日志的DNS日志信息与黑名单进行对比,若DNS日志信息存在于黑名单中,则该DNS日志存在安全问题,丢弃该DNS日志,无需继续进行后续的安全分析,若不存在于黑名单中,则将该DNS日志发送至安全分析系统进行安全分析。这里的DNS日志信息可以是域名也可以是源IP地址或者是其他信息,视分析需求而定,本发明实施例对此不作限制。
例如,若提取的黑名单中均为存在安全问题的源IP地址,则提取的DNS日志信息为源IP地址,如此对比,可以发现该DNS日志的源IP地址是否存在安全问题。
若提取的黑名单中均为存在安全问题的域名,则提取的DNS日志信息为域名,如此对比,可以发现该DNS日志的域名是否存在安全问题。
在确定该DNS日志对应的随机数位于抽样范围中后,也不直接进行安全分析,而是与实时更新的黑名单进行对比,若不存在于黑名单中,才会对该DNS日志进行安全分析,因为黑名单是网络安全分析服务器对获取时刻之前接收到的DNS日志进行安全分析确定出来的,因此存在于黑名单中的DNS日志一定存在安全问题,对这样的DNS日志进行安全分析无疑是在浪费计算资源。通过如此过滤方式,再次减少了网络安全分析服务器进行安全分析的数据量,减少了进行安全分析已占用的缓存容量,提高了网络安全分析服务器的处理能力。同时相应的,降低的进行安全分析已占用的缓存容量可以反馈至抽样范围,下一个生成时段的抽样范围就会变大,就能避免更多的DNS日志被丢弃,提高安全分析准确率。如此,通过DNS日志抽样和黑名单的过滤,减轻了网络安全分析服务器的分析压力,提高了安全分析的分析效率,保障了网络安全分析服务器的稳定可靠运行的同时,最大化地发挥网络安全分析服务器的处理能力,提高安全分析的准确率。
黑名单是实时更新的,网络安全分析服务器每分析出一个DNS日志存在安全问题,提取该DNS日志的DNS日志信息加入黑名单中,那么黑名单过滤模块就可获取该更新后的黑名单,基于更新后的黑名单与获取时刻获取的DNS日志进行对比。
如此可以及时发现安全问题,及时更新黑名单,那么通过实时更新的黑名单对获取的DNS日志进行过滤,可以保证过滤结果的准确性和时效性,从而能够更加准确和及时地减轻网络安全分析服务器的分析压力。
在将DNS日志信息加入到黑名单中的同时,还可设置该DNS日志信息的老化周期,因为该DNS日志信息可能不会永远存在安全问题,可能提醒客户端对应的用户后,用户即进行了维修操作,该DNS日志信息若继续存在于黑名单中,会造成DNS日志安全分析的不准确。例如设置某一DNS日志信息的老化周期为2h,那么2h后该DNS日志信息从黑名单中删除。
可选地,本发明实施例还提供另一种可能的进行安全分析的方法,在确定所述随机数位于所述抽样范围内之后,还包括:确定所述DNS日志不存在于白名单中;所述白名单为安全威胁满足预设条件的安全域名中的前N个。
确定DNS日志是否存在于白名单中的步骤可以位于确定是否存在于黑名单中的步骤之前或之后,本发明实施例对此不作限制。
下面以确定DNS日志是否存在于白名单中的步骤位于确定是否存在于黑名单中的步骤之前进行介绍。
图4示出了本发明实施例适用的一种系统架构,过滤系统还包括白名单过滤模块,白名单为安全威胁满足预设条件的安全域名中的前N个,这里的安全域名为人为判断、收集后提供给白名单过滤模块的,因此白名单中的域名可以确保不存在安全问题,若某一DNS日志中记录了解析请求中包含域名A,而域名A存在于白名单中,那么可以说明该DNS日志不存在安全问题。无需进行后续的安全分析,将该DNS日志丢弃即可。若确定该DNS日志不存在于白名单中,则该DNS日志的安全问题有待后续分析,可以将该DNS日志发送至黑名单过滤模块进行进一步的过滤。
安全域名的前N个为白名单,若DNS日志存在于白名单中,则说明DNS日志不存在安全问题,若对这样的DNS日志依然进行安全分析无疑是在浪费计算资源,属于无效分析。而DNS日志不存在于白名单中,则将DNS日志进行安全分析,如此,进一步减少了网络安全分析服务器进行安全分析的数据量,进一步减轻了网络安全分析服务器的分析压力,提高了安全分析的分析效率,避免系统崩溃。
在上述实施例中,通过DNS日志抽样筛选出符合网络安全分析服务器的处理能力的DNS日志,抽样范围根据服务器负载动态调节,避免服务器崩溃;通过白名单过滤模块过滤掉不存在安全问题的DNS日志;通过黑名单过滤模块过滤掉存在安全问题的DNS日志,如此最终发送至网络安全分析服务器的DNS日志为不确定是否存在安全问题且符合网络安全分析服务器的处理能力的DNS日志,对这样的DNS日志进行安全分析,提高了网络安全分析服务器的分析效率,减轻了分析压力。三个过滤机制通过内部逻辑自动调整,较好地适应了部署环境,提高最大分析性能。
值得注意的是,N可以为固定值,例如白名单一直都取安全域名的前10个;或者,N等于安全域名的数量,白名单取全部的安全域名;或者,N是根据网络安全分析服务器的资源占有率进行变化的,可以是实时更新也可以是按照一定的间隔进行更新,本发明实施例对此不作限制。
若N是根据网络安全分析服务器的资源占有率实时更新的,那么就需实时获取网络安全分析服务器的资源占有率,根据资源占有率对N进行实时计算、实时排序,无疑非常耗费算力。因此可以设置白名单确定时刻,白名单确定时刻按照第二预设间隔进行更新,例如每5分钟确定一次N,因为白名单的更新可以不像更新黑名单那么频繁,如此可以节省计算资源。
例如,N=安全域名数量×资源占有率,例如安全域名为100个,资源占有率为60%,那么N=60个,随着资源占有率的提高,网络安全分析服务器的处理能力有所下降,那么白名单的数量随之上升,可以确定更多的无需进行安全分析的DNS日志,减轻后续网络安全分析服务器的处理压力。
以上仅为示例,确定N的方式也可以为其他方式,例如N=安全域名数量×资源占有率/2、N=安全域名数量×资源占有率1/2……本发明实施例对此不作限制,只要能够反映出白名单数量N随白名单确定时刻的资源占有率而动态变化即可。
根据白名单确定时刻的资源占有率确定白名单的数量,因此白名单的数量也是根据网络安全分析服务器的处理能力动态调整的。如此,可以更加及时地对进行安全分析的DNS日志的数量进行动态调整,减轻网络安全分析服务器的分析压力,并最大化地发挥网络安全分析服务器的处理能力。
本发明实施例还提供一种可能的安全分析的方法,如图5所示,包括:
步骤501,在获取时刻获取至少一个DNS日志;所述DNS日志为DNS服务器在预设时段内产生的;
步骤502,获取所述获取时刻对应的随机数生成范围;所述随机数生成范围是根据网络安全分析服务器在所述获取时刻对应的生成时段的资源占有率确定的;所述生成时段按照第一预设间隔进行更新;所述生成时段不晚于所述获取时刻;
步骤503,在所述随机数生成范围内,生成所述DNS日志的随机数;确定所述随机数是否位于所述生成时段对应的抽样范围内;所述抽样范围是根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段进行安全分析已占用的缓存容量确定的;所述剩余最高缓存容量是根据所述网络安全分析服务器在所述生成时段的资源占有率确定;
步骤504,若所述随机数位于所述抽样范围内,则判断所述DNS日志是否存在于白名单中,若不存在,则通过所述网络安全分析服务器对所述DNS日志进行安全分析。
即系统架构中包括DNS日志抽样模块和白名单过滤模块,不包括黑名单过滤模块。具体的方法流程同之前描述的实施例,在此不再赘述。
为了更好的解释本发明实施例,下面将在具体实施场景下来描述上述针对域名解析系统DNS的安全分析的流程。图6示出了本发明实施例适用的一种系统架构。
DNS系统将一段时间内产生的DNS日志批量发送至DNS日志抽样模块,例如发送的DNS日志为A1-A100。DNS日志抽样模块采用分布式存储的方式存储至各节点中,例如节点1存储A1-A33、节点2存储A34-A66、节点3存储A67-A100。
DNS日志抽样模块在获取时刻获取DNS日志A1,获取在生成时段确定的随机数生成范围[0,1],并在随机数生成范围内对应生成随机数0.5。获取抽样范围为[0,0.4],随机数0.5不位于抽样范围内,丢弃DNS日志A1。
DNS日志抽样模块在下一获取时刻获取DNS日志A2,获取生成时段的随机数生成范围[0,1],并在随机数生成范围内对应生成随机数0.3。随机数0.3位于抽样范围内,将DNS日志A2发送至白名单过滤模块。
白名单过滤模块接收DNS日志A2,与在白名单确定时刻确定的白名单进行对比,这里的白名单为安全域名的前10个,10是根据白名单确定时刻网络安全分析服务器的资源占有率确定的。确定A2不存在与白名单中,白名单过滤模块将DNS日志A2发送至黑名单过滤模块。安全域名为安全分析系统提供的情报。
黑名单过滤模块接收DNS日志A2,实时更新黑名单,将DNS日志A2与黑名单进行对比,确定DNS日志A2中的源IP地址不存在于黑名单中,将DNS日志A2发送至网络安全分系统。
安全分析系统接收DNS日志A2,执行归一化操作从而统一为DNS日志安全分析的格式后,进行安全分析,确定DNS日志A2存在安全问题,将提取的源IP地址反馈至黑名单中。
黑名单过滤模块在监测到某一源IP地址的老化周期到期后,删除该源IP地址。
基于相同的技术构思,图7示例性的示出了本发明实施例提供的一种针对域名解析系统DNS的安全分析装置的结构,该结构可以执行针对域名解析系统DNS的安全分析的流程。
如图7所示,该装置具体包括:
获取单元701,用于:
在获取时刻获取至少一个DNS日志;所述DNS日志为DNS服务器在预设时段内产生的;
获取所述获取时刻对应的随机数生成范围;所述随机数生成范围是根据网络安全分析服务器在所述获取时刻对应的生成时段的资源占有率确定的;所述生成时段按照第一预设间隔进行更新;所述生成时段不晚于所述获取时刻;
处理单元702,用于:
在所述随机数生成范围内,生成所述DNS日志的随机数;确定所述随机数是否位于所述生成时段对应的抽样范围内;所述抽样范围是根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段进行安全分析已占用的缓存容量确定的;所述剩余最高缓存容量是根据所述网络安全分析服务器在所述生成时段的资源占有率确定;
若所述随机数不位于所述抽样范围内,则不通过所述网络安全分析服务器对所述DNS日志进行安全分析。
可选地,所述处理单元702还用于:
若所述随机数位于所述抽样范围内,判断所述DNS日志是否存在于黑名单中,若不存在,则通过所述网络安全分析服务器对所述DNS日志进行安全分析;所述黑名单为根据所述网络安全分析服务器对所述获取时刻前接收的各DNS日志进行安全分析后确定的;所述黑名单实时更新。
可选地,所述处理单元702还用于:
确定所述DNS日志不存在于白名单中;所述白名单为安全威胁满足预设条件的安全域名中的前N个。
可选地,所述获取单元701具体用于:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的资源占有率确定所述生成时段的剩余最高缓存容量;
基于所述剩余最高缓存容量,确定所述生成时段对应的随机数生成范围为[0,1];
通过如下方式确定任一生成时段对应的抽样范围,包括:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段时进行安全分析已占用的缓存容量,确定抽样概率;
基于所述抽样概率,确定所述生成时段对应的抽样范围为[0,抽样概率]。
可选地,所述处理单元702具体用于:
所述网络安全分析服务器对接收的所述DNS日志进行安全分析,将存在安全问题的DNS日志中的DNS日志信息加入所述黑名单并设置所述对象的老化周期。
可选地,所述N是根据所述网络安全分析服务器在白名单确定时刻的资源占有率确定的;所述白名单确定时刻按照第二预设间隔进行更新;所述白名单确定时刻不晚于所述获取时刻。
可选地,所述资源占有率为中央处理器CPU占有率和内存占有率中的最大值。
基于相同的技术构思,本申请实施例提供了一种计算机设备,如图8所示,包括至少一个处理器801,以及与至少一个处理器连接的存储器802,本申请实施例中不限定处理器801与存储器802之间的具体连接介质,图8中处理器801和存储器802之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
在本申请实施例中,存储器802存储有可被至少一个处理器801执行的指令,至少一个处理器801通过执行存储器802存储的指令,可以执行上述针对域名解析系统DNS的安全分析方法的步骤。
其中,处理器801是计算机设备的控制中心,可以利用各种接口和线路连接计算机设备的各个部分,通过运行或执行存储在存储器802内的指令以及调用存储在存储器802内的数据,从而进行针对域名解析系统DNS的安全分析。可选的,处理器801可包括一个或多个处理单元,处理器801可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器801中。在一些实施例中,处理器801和存储器802可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器801可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器802作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器802可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器802是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器802还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
基于相同的技术构思,本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质存储有计算机可执行程序,计算机可执行程序用于使计算机执行上述任一方式所列的针对域名解析系统DNS的安全分析的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种针对域名解析系统DNS的安全分析方法,其特征在于,包括:
在获取时刻获取至少一个DNS日志;所述DNS日志为DNS服务器在预设时段内产生的;
获取所述获取时刻对应的随机数生成范围;所述随机数生成范围是根据网络安全分析服务器在所述获取时刻对应的生成时段的资源占有率确定的;所述生成时段按照第一预设间隔进行更新;所述生成时段不晚于所述获取时刻;
在所述随机数生成范围内,生成所述DNS日志的随机数;确定所述随机数是否位于所述生成时段对应的抽样范围内;所述抽样范围是根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段进行安全分析已占用的缓存容量确定的;所述剩余最高缓存容量是根据所述网络安全分析服务器在所述生成时段的资源占有率确定;
若所述随机数不位于所述抽样范围内,则不通过所述网络安全分析服务器对所述DNS日志进行安全分析。
2.如权利要求1所述的方法,其特征在于,还包括:
若所述随机数位于所述抽样范围内,判断所述DNS日志是否存在于黑名单中,若不存在,则通过所述网络安全分析服务器对所述DNS日志进行安全分析;所述黑名单为根据所述网络安全分析服务器对所述获取时刻前接收的各DNS日志进行安全分析后确定的;所述黑名单实时更新。
3.如权利要求2所述的方法,其特征在于,在确定所述随机数位于所述抽样范围内之后,还包括:
确定所述DNS日志不存在于白名单中;所述白名单为安全威胁满足预设条件的安全域名中的前N个。
4.如权利要求1所述的方法,其特征在于,通过如下方式确定任一生成时段对应的随机数生成范围,包括:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的资源占有率确定所述生成时段的剩余最高缓存容量;
基于所述剩余最高缓存容量,确定所述生成时段对应的随机数生成范围为[0,1];
通过如下方式确定任一生成时段对应的抽样范围,包括:
针对任一生成时段,根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段时进行安全分析已占用的缓存容量,确定抽样概率;
基于所述抽样概率,确定所述生成时段对应的抽样范围为[0,抽样概率]。
5.如权利要求3所述的方法,其特征在于,通过所述网络安全分析服务器对所述DNS日志进行安全分析,包括:
所述网络安全分析服务器对接收的所述DNS日志进行安全分析,将存在安全问题的DNS日志中的DNS日志信息加入所述黑名单并设置对象的老化周期。
6.如权利要求3所述的方法,其特征在于,所述N是根据所述网络安全分析服务器在白名单确定时刻的资源占有率确定的;所述白名单确定时刻按照第二预设间隔进行更新;所述白名单确定时刻不晚于所述获取时刻。
7.如权利要求1-6任一项所述的方法,其特征在于,所述资源占有率为中央处理器CPU占有率和内存占有率中的最大值。
8.一种针对域名解析系统DNS的安全分析装置,其特征在于,包括:
获取单元,用于:
在获取时刻获取至少一个DNS日志;所述DNS日志为DNS服务器在预设时段内产生的;
获取所述获取时刻对应的随机数生成范围;所述随机数生成范围是根据网络安全分析服务器在所述获取时刻对应的生成时段的资源占有率确定的;所述生成时段按照第一预设间隔进行更新;所述生成时段不晚于所述获取时刻;
处理单元,用于:
在所述随机数生成范围内,生成所述DNS日志的随机数;确定所述随机数是否位于所述生成时段对应的抽样范围内;所述抽样范围是根据所述网络安全分析服务器在所述生成时段的剩余最高缓存容量和在所述生成时段进行安全分析已占用的缓存容量确定的;所述剩余最高缓存容量是根据所述网络安全分析服务器在所述生成时段的资源占有率确定;
若所述随机数不位于所述抽样范围内,则不通过所述网络安全分析服务器对所述DNS日志进行安全分析。
9.一种计算设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于调用所述存储器中存储的计算机程序,按照获得的程序执行权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行程序,所述计算机可执行程序用于使计算机执行权利要求1至7任一项所述的方法。
CN202210511376.3A 2022-05-11 2022-05-11 一种针对域名解析系统dns的安全分析方法及装置 Active CN114826758B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210511376.3A CN114826758B (zh) 2022-05-11 2022-05-11 一种针对域名解析系统dns的安全分析方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210511376.3A CN114826758B (zh) 2022-05-11 2022-05-11 一种针对域名解析系统dns的安全分析方法及装置

Publications (2)

Publication Number Publication Date
CN114826758A CN114826758A (zh) 2022-07-29
CN114826758B true CN114826758B (zh) 2023-05-16

Family

ID=82512566

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210511376.3A Active CN114826758B (zh) 2022-05-11 2022-05-11 一种针对域名解析系统dns的安全分析方法及装置

Country Status (1)

Country Link
CN (1) CN114826758B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102291268A (zh) * 2011-09-23 2011-12-21 杜跃进 一种安全域名服务器及基于此的恶意域名监控系统和方法
CN105634845A (zh) * 2014-10-30 2016-06-01 任子行网络技术股份有限公司 一种用于对海量dns日志进行多维统计分析的方法及系统
US9917852B1 (en) * 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
EP3322157A1 (en) * 2016-11-11 2018-05-16 Verisign, Inc. Profiling domain name system (dns) traffic
WO2019136953A1 (zh) * 2018-01-15 2019-07-18 深圳市联软科技股份有限公司 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质
WO2020225258A1 (en) * 2019-05-07 2020-11-12 Bitdefender Ipr Management Ltd Parental control systems and methods for detecting an exposure of confidential information
CN112804369A (zh) * 2020-12-28 2021-05-14 深信服科技股份有限公司 一种网络系统及网络访问安全检测方法、装置和相关设备
CN113114694A (zh) * 2021-04-17 2021-07-13 东南大学 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
CN113238912A (zh) * 2021-05-08 2021-08-10 国家计算机网络与信息安全管理中心 一种网络安全日志数据的聚合处理方法
CN113923192A (zh) * 2021-09-29 2022-01-11 深信服科技股份有限公司 一种流量审计方法、装置、系统、设备和介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11095671B2 (en) * 2018-07-09 2021-08-17 Arbor Networks, Inc. DNS misuse detection through attribute cardinality tracking
US20200341966A1 (en) * 2019-04-26 2020-10-29 International Business Machines Corporation System and Method of Aggregating Domain Name System Monitoring Data

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102291268A (zh) * 2011-09-23 2011-12-21 杜跃进 一种安全域名服务器及基于此的恶意域名监控系统和方法
CN105634845A (zh) * 2014-10-30 2016-06-01 任子行网络技术股份有限公司 一种用于对海量dns日志进行多维统计分析的方法及系统
US9917852B1 (en) * 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
EP3322157A1 (en) * 2016-11-11 2018-05-16 Verisign, Inc. Profiling domain name system (dns) traffic
WO2019136953A1 (zh) * 2018-01-15 2019-07-18 深圳市联软科技股份有限公司 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质
WO2020225258A1 (en) * 2019-05-07 2020-11-12 Bitdefender Ipr Management Ltd Parental control systems and methods for detecting an exposure of confidential information
CN112804369A (zh) * 2020-12-28 2021-05-14 深信服科技股份有限公司 一种网络系统及网络访问安全检测方法、装置和相关设备
CN113114694A (zh) * 2021-04-17 2021-07-13 东南大学 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
CN113238912A (zh) * 2021-05-08 2021-08-10 国家计算机网络与信息安全管理中心 一种网络安全日志数据的聚合处理方法
CN113923192A (zh) * 2021-09-29 2022-01-11 深信服科技股份有限公司 一种流量审计方法、装置、系统、设备和介质

Also Published As

Publication number Publication date
CN114826758A (zh) 2022-07-29

Similar Documents

Publication Publication Date Title
CN110309029B (zh) 异常数据的采集方法、装置、计算机设备和存储介质
US20150271202A1 (en) Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server
CN109040190B (zh) 一种调度方法、装置及计算机可读存储介质
CN110297742B (zh) 数据监控系统、方法及服务器
CN101604371A (zh) 插件权限的控制方法及系统
CN110535928B (zh) 一种区块链的java智能合约的事件推送方法
CN103324713B (zh) 多级服务器中的数据处理方法、装置和数据处理系统
CN108092777B (zh) 数字证书的监管方法及装置
US20220308949A1 (en) Publishing system, pushing method, application device, receiving device and service management device
CN111988280A (zh) 服务器与请求处理方法
CN111327588A (zh) 一种网络访问安全检测方法、系统、终端和可读存储介质
CN114826758B (zh) 一种针对域名解析系统dns的安全分析方法及装置
CN111314502B (zh) 一种基于域名解析系统的域名部署方法及装置
CN110457279B (zh) 数据离线扫描方法、装置、服务器及可读存储介质
CN112306871A (zh) 数据处理方法、装置、设备及存储介质
CN110543509A (zh) 用户访问数据的监控系统、方法、装置及电子设备
CN114650211B (zh) 故障修复方法、装置、电子设备和计算机可读存储介质
CN114422576B (zh) 一种会话清理方法、装置、计算机设备和可读存储介质
CN113596105B (zh) 内容的获取方法、边缘节点及计算机可读存储介质
CN110061864B (zh) 一种域名配置自动化验证的方法和系统
CN113487345A (zh) 推广者的确定方法、装置及存储介质
CN115484170B (zh) 网络流量拓扑图的生成方法、装置及电子设备
CN110955579A (zh) 一种基于Ambari的大数据平台的监测方法
CN115473870B (zh) 顶级域名解析方法、系统、电子设备及存储介质
CN113867314B (zh) 故障码库的访问控制方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant