CN116760642B - 判定域名资源记录变动安全性的方法和装置、设备、介质 - Google Patents

判定域名资源记录变动安全性的方法和装置、设备、介质 Download PDF

Info

Publication number
CN116760642B
CN116760642B CN202311047258.2A CN202311047258A CN116760642B CN 116760642 B CN116760642 B CN 116760642B CN 202311047258 A CN202311047258 A CN 202311047258A CN 116760642 B CN116760642 B CN 116760642B
Authority
CN
China
Prior art keywords
domain name
monitoring
change
information
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311047258.2A
Other languages
English (en)
Other versions
CN116760642A (zh
Inventor
马晨迪
谢家贵
陈剑
吴红杰
范晓天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Information and Communications Technology CAICT
Original Assignee
China Academy of Information and Communications Technology CAICT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Information and Communications Technology CAICT filed Critical China Academy of Information and Communications Technology CAICT
Priority to CN202311047258.2A priority Critical patent/CN116760642B/zh
Publication of CN116760642A publication Critical patent/CN116760642A/zh
Application granted granted Critical
Publication of CN116760642B publication Critical patent/CN116760642B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开实施例公开了一种判定域名资源记录变动安全性的方法和装置、设备、介质,其中,方法包括:在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录;根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录;响应于所述域名资源记录存在异常变化,向中心分析端返回所述域名出现异常变化的告警信息;响应于所述域名资源记录不存在异常变化,向所述中心分析端返回所述域名出现非异常变化的告警信息,中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警。

Description

判定域名资源记录变动安全性的方法和装置、设备、介质
技术领域
本公开涉及域名解析技术领域,尤其是一种判定域名资源记录变动安全性的方法和装置、设备、介质。
背景技术
域名系统(Domain Name System,DNS)解析服务器是互联网上最为关键的基础设施之一,其主要作用是完成域名与网际互连协议(IP)地址之间的转换。域名在网页访问、邮件服务、手机APP等多种应用中广泛应用。对于某些系统或者应用,获取某些域名的正确解析结果至关重要。此外,为了保证关注域名(如baidu.com)解析结果的正确性,还需要保证关注域名依赖域名(如ns1.baidu.com、com等)的解析正确。然而,由于历史原因,域名系统在安全性方面设计并不完善,因此域名劫持、缓存中毒等安全事件频频发生,用户发送的域名解析无法得到正确响应,无法确保获取的域名是安全可靠的。
发明内容
为了解决上述技术问题,提出了本公开。本公开的实施例提供了一种判定域名资源记录变动安全性的方法和装置、设备、介质。
根据本公开实施例的一个方面,提供了一种判定域名资源记录变动安全性的方法,包括:
在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录;其中,所述域名监测列表中包括至少一条包含域名、资源记录类型和相应结果的组合;
根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录;
响应于所述域名资源记录存在异常变化,向中心分析端返回所述域名出现异常变化的告警信息;
响应于所述域名资源记录不存在异常变化,向所述中心分析端返回所述域名出现非异常变化的告警信息;
所述中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警。
可选地,所述根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录,包括:
在每个所述监测节点中,根据所述域名监测列表对应的可信结果列表确定所述域名资源记录中的网际互连协议信息是否发生变化;
响应于所述域名资源记录中的网际互连协议信息发生变化,确定所述域名资源记录的变化是否属于异常变化。
可选地,所述确定所述域名资源记录的变化是否属于异常变化,包括:
获得所述域名资源记录中的网际互连协议信息;其中,所述网际互连协议信息包括网际互连协议资源信息和网际互连协议对应服务器的主机特征;
基于所述网际互连协议资源信息的变动和/或所述网际互连协议对应服务器的主机特征的变动,确定所述域名资源记录的变化是否属于异常变化。
可选地,所述网际互连协议资源信息包括以下至少一种:预设网际互连协议个数、地理位置信息、运营商信息、所属机构信息、应用场景信息;
所述基于所述网际互连协议资源信息的变动,确定所述域名资源记录的变化是否属于异常变化,包括:
确定至少一种所述网际互连协议资源信息对应的至少一个第一权重值;
基于至少一种所述网际互连协议资源信息的变化幅度结合对应的至少一个所述第一权重值,确定资源变化幅度;
基于所述资源变化幅度与第一异常阈值进行比较,确定所述域名资源记录的变化是否属于异常变化;
基于所述域名资源记录对所述第一异常阈值进行更新。
可选地,所述网际互连协议对应服务器的主机特征包括以下至少一种:服务实现类型协议、服务器操作系统、服务类型;
所述基于所述网际互连协议对应服务器的主机特征的变动,确定所述域名资源记录的变化是否属于异常变化,包括:
确定至少一种所述网际互连协议对应服务器的主机特征对应的至少一个第一权重值;
基于至少一种所述网际互连协议对应服务器的主机特征结合对应的至少一个所述第一权重值,确定特征变化幅度;
基于所述特征变化幅度与第一异常阈值进行比较,确定所述域名资源记录的变化是否属于异常变化。
可选地,在通过监测节点在预设周期内,基于域名监测列表获得至少一个域名资源记录之前,还包括:
至少一个所述监测节点从所述中心分析端获取所述域名监测列表;
所述中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警之后,还包括:
所述中心分析端利用预设网络模型对多个所述资源特征数据进行处理,确定所述域名对应的域名资源记录是否异常;其中,所述预设网络模型经过具有标注信息的样本域名资源记录训练获得;所述标注信息标注所述样本域名资源记录为正常或异常;
响应于所述中心分析端确定所述域名对应的域名资源记录异常,将异常结果上报注册局或注册商,向所述监测节点反馈告警有效信息,并将变化后的网际互连协议信息标记为不可信发送给标签库;
响应于所述中心分析端确定所述域名对应的域名资源记录正常,更新所述域名监测列表,向所述监测节点反馈告警无效信息,并将变化后的网际互连协议信息标记为可信发送给标签库。
可选地,所述利用预设网络模型对多个所述资源特征数据进行处理,确定所述域名对应的域名资源记录是否异常,包括:
通过所述监测节点监测获得的所述资源特征数据;
利用所述预设网络模型分别对多个所述资源特征数据进行处理,得到多个预测分值;
根据多个所述资源特征数据对应的多个第二权重值对所述多个预测分值进行加权求和,得到所述域名对应的综合分值;
基于所述综合分值与第二异常阈值进行比较,确定所述域名对应的域名资源记录是否异常。
可选地,在利用预设网络模型对多个所述资源特征数据进行处理,确定所述域名对应的域名资源记录是否异常之前,还包括:
根据多个所述域名资源记录中每个所述域名资源记录对应的所述监测节点的历史监测信息,确定每个所述域名资源记录对应的第三权重值;
基于每个域名资源记录对应的第三权重值,确定每个所述资源特征数据对应的第二权重值。
根据本公开实施例的另一方面,提供了一种判定域名资源记录变动安全性的装置,包括:
域名监测模块,用于在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录;其中,所述域名监测列表中包括至少一条包含域名、资源记录类型和相应结果的组合;
域名识别模块,用于根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录;
异常处理模块,用于响应于所述域名资源记录存在异常变化,向中心分析端返回所述域名出现异常变化的告警信息;
正常处理模块,用于响应于所述域名资源记录不存在异常变化,向所述中心分析端返回所述域名出现非异常变化的告警信息;
中心分析端,用于对所有监测节点上报的告警信息进行汇总分析生成预警。
可选地,所述域名识别模块,具体用于在每个所述监测节点中,根据所述域名监测列表对应的可信结果列表确定所述域名资源记录中的网际互连协议信息是否发生变化;响应于所述域名资源记录中的网际互连协议信息发生变化,确定所述域名资源记录的变化是否属于异常变化。
可选地,所述域名识别模块在确定所述域名资源记录的变化是否属于异常变化时,用于获得所述域名资源记录中的网际互连协议信息;其中,所述网际互连协议信息包括网际互连协议资源信息和网际互连协议对应服务器的主机特征;基于所述网际互连协议资源信息的变动和/或所述网际互连协议对应服务器的主机特征的变动,确定所述域名资源记录的变化是否属于异常变化。
可选地,所述网际互连协议资源信息包括以下至少一种:预设网际互连协议个数、地理位置信息、运营商信息、所属机构信息、应用场景信息;
所述域名识别模块在基于所述网际互连协议资源信息的变动,确定所述域名资源记录的变化是否属于异常变化时,用于确定至少一种所述网际互连协议资源信息对应的至少一个第一权重值;基于至少一种所述网际互连协议资源信息的变化幅度结合对应的至少一个所述第一权重值,确定资源变化幅度;基于所述资源变化幅度与第一异常阈值进行比较,确定所述域名资源记录的变化是否属于异常变化;基于所述域名资源记录对所述第一异常阈值进行更新。
可选地,所述网际互连协议对应服务器的主机特征包括以下至少一种:服务实现类型协议、服务器操作系统、服务类型;
所述域名识别模块在基于所述网际互连协议对应服务器的主机特征的变动,确定所述域名资源记录的变化是否属于异常变化时,用于确定至少一种所述网际互连协议对应服务器的主机特征对应的至少一个第一权重值;基于至少一种所述网际互连协议对应服务器的主机特征结合对应的至少一个所述第一权重值,确定特征变化幅度;基于所述特征变化幅度与第一异常阈值进行比较,确定所述域名资源记录的变化是否属于异常变化。
可选地,所述装置还包括:
列表获取模块,用于至少一个所述监测节点从所述中心分析端获取所述域名监测列表;
记录更新模块,所述中心分析端利用预设网络模型对多个资源特征数据进行处理,确定所述域名对应的域名资源记录是否异常;其中,所述预设网络模型经过具有标注信息的样本域名资源记录训练获得;所述标注信息标注所述样本域名资源记录为正常或异常;响应于所述中心分析端确定所述域名对应的域名资源记录异常,将异常结果上报注册局或注册商,向所述监测节点反馈告警有效信息,并将变化后的网际互连协议信息标记为不可信发送给标签库;响应于所述中心分析端确定所述域名对应的域名资源记录正常,更新所述域名监测列表,向所述监测节点反馈告警无效信息,并将变化后的网际互连协议信息标记为可信发送给标签库。
可选地,所述异常确定模块,具体用于通过所述监测节点监测获得的所述资源特征数据;利用所述预设网络模型分别对多个所述资源特征数据进行处理,得到多个预测分值;根据多个所述资源特征数据对应的多个第二权重值对所述多个预测分值进行加权求和,得到所述域名对应的综合分值;基于所述综合分值与第二异常阈值进行比较,确定所述域名对应的域名资源记录是否异常。
可选地,所述异常确定模块,还用于根据多个所述域名资源记录中每个所述域名资源记录对应的所述监测节点的历史监测信息,确定每个所述域名资源记录对应的第三权重值;基于每个域名资源记录对应的第三权重值,确定每个所述资源特征数据对应的第二权重值。
根据本公开实施例的又一方面,提供了一种电子设备,包括:
存储器,用于存储计算机程序产品;
处理器,用于执行所述存储器中存储的计算机程序产品,且所述计算机程序产品被执行时,实现上述任一实施例所述的判定域名资源记录变动安全性的方法。
根据本公开实施例的还一方面,提供了一种计算机可读存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时,实现上述任一实施例所述的判定域名资源记录变动安全性的方法。
基于本公开上述实施例提供的一种判定域名资源记录变动安全性的方法和装置、设备、介质,在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录;其中,所述域名监测列表中包括至少一条包含域名、资源记录类型和相应结果的组合;根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录;响应于所述域名资源记录存在异常变化,向中心分析端返回所述域名出现异常变化的告警信息;响应于所述域名资源记录不存在异常变化,向所述中心分析端返回所述域名出现非异常变化的告警信息;所述中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警;本实施例准确、高效的判定域名解析结果的变动是域名注册人主观意愿的正常变更还是第三方采用恶意手段的异常变更。本实施例通过主动探测的方式对待监测的域名资源进行探测,根据域名资源IP、服务类型等多种判定条件综合判断域名的变化状态是否符合正常的变化范围,进而保障所监测域名的解析安全和数据安全。
下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同描述一起用于解释本公开的原理。参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1是本公开一示例性实施例提供的判定域名资源记录变动安全性的方法的流程示意图;
图2是本公开一示例性实施例提供的判定域名资源记录变动安全性的装置的结构示意图;
图3图示了根据本公开实施例的电子设备的框图。
具体实施方式
下面,将参考附图详细地描述根据本公开的示例实施例。显然,所描述的实施例仅仅是本公开的一部分实施例,而不是本公开的全部实施例,应理解,本公开不受这里描述的示例实施例的限制。
应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
本领域技术人员可以理解,本公开实施例中的“第一”、“第二”等术语仅用于区别不同步骤、设备或模块等,既不代表任何特定技术含义,也不表示它们之间的必然逻辑顺序。
还应理解,在本公开实施例中,“多个”可以指两个或两个以上,“至少一个”可以指一个、两个或两个以上。
还应理解,对于本公开实施例中提及的任一部件、数据或结构,在没有明确限定或者在前后文给出相反启示的情况下,一般可以理解为一个或多个。
另外,本公开中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本公开中字符“/”,一般表示前后关联对象是一种“或”的关系。本公开中所指数据可以包括文本、图像、视频等非结构化数据,也可以是结构化数据。
还应理解,本公开对各个实施例的描述着重强调各个实施例之间的不同之处,其相同或相似之处可以相互参考,为了简洁,不再一一赘述。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本公开实施例可以应用于终端设备、计算机系统、服务器等电子设备,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与终端设备、计算机系统、服务器等电子设备一起使用的众所周知的终端设备、计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
终端设备、计算机系统、服务器等电子设备可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
在实现本公开的过程中,发明人发现,在域名解析中,待监测域名任何类型(如A记录、CNAME记录或NS记录等,A记录是域名到IP的映射,即为IP起别名;CNAME是域名别名到域名的映射,即为域名起别名;NS记录是解析服务器记录,用来表明由哪台服务器对该域名进行解析)的资源记录(集)都可能发生变化,这些变化可能是在一定范围内变动的正常变化,也可能是一些异常变化。通过递归服务器的缓存机制监测会导致不能及时地发现权威服务器的异常状态,滞后性严重影响本身的解析质量和解析安全,进而降低其解析服务的可靠性和安全性。进行可信度高且有效的域名资源变化状态监测是必要且急需的。
示例性方法
图1是本公开一示例性实施例提供的判定域名资源记录变动安全性的方法的流程示意图。本实施例可应用在电子设备上,如图1所示,包括如下步骤:
步骤110,在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录。
其中,域名监测列表中包括至少一条包含域名、资源记录类型和相应结果的组合(比如,域名:www.a.shifen.com,资源记录类型:A,相应结果:36.152.44.96)。
本实施例中,所要监测的域名,如解析优化的域名等,例如,内容分发网络(Content Delivery Network,CDN)域名等,为了获取解析结果的全面性,通过在多个监测节点部署域名监测列表实现域名监测。
可选地,为降低劫持概率,选定域名的监测区域和运营商,在选定区域(如中国)的子范围粒度(如省份)部署多个监测节点(在监测节点主动进行域名解析监测),所有监测节点都采用以下相同监测方案进行域名监测。
对于需要监测的区域和网络,可根据需求去部署监测节点。例如,监测区域为中国,对于中国所有网络里面所有省份里都可以进行部署,同理也可只区域性的部署。对于不同的网络,因为不同的区域可能有多个网络,每一张网互相平行,可能会不互通,在部署时可以在每一张网络里面部署,即根据实际需求进行部署。
所有部署的监测节点对应一个中心分析端,中心分析端部署了域名监测系统,用于处理各监测节点所返回的域名监测数据以及完成相关判定等任务。
可选地,各监测节点根据待监测的域名监测列表,依次对域名进行迭代查询并将数据返回中心侧。域名监测系统的查询模块发送查询报文直接向根域名服务器转发该查询请求,根域名服务器返回顶级域的权威域名服务器探测结果,然后服务器向一级权威域名服务器转发请求。通过上述这样不断逐级迭代查询,得到待域名监测列表的完整域名资源解析结果;或直接通过递归查询,获得解析结果;并将所获取到的域名解析结果回传给判定模块进行状态监测以及判定。
步骤120,根据域名资源记录中的网际互连协议信息,确定多个监测节点对应的多个域名资源记录中是否存在异常变化的域名资源记录。
在一实施例中,监测节点根据监测节点定期主动拨测域名,针对拨测发现的异常域名资源记录结合网际互连协议信誉库、历史告警处理结果,运用机器学习算法进行域名变动异常的计算。当异常分值达到阈值时,上报异常变动告警到中心系统;当异常分值未达到阈值时,上报非异常变动到中心系统。
步骤130,响应于域名资源记录存在异常变化,向中心分析端返回域名出现异常变化的告警信息。
可选地,监测节点上报的告警信息包括:节点编号、节点地理位置和运营商网络、告警结果探测目的域名服务器(Name Server,NS)记录、告警结果探测目的IP、告警域名、告警域名在监测列表中的解析结果、告警域名变动解析结果、是否判定变动异常等。
若判定结果域名资源记录发生异常变化,警示并通知进行处理,进而保证所监测域名的解析安全和数据安全。
步骤140,响应于域名资源记录不存在异常变化,向中心分析端返回所述域名出现非异常变化的告警信息。
步骤150,中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警。
告警信息包括所有监测到的变动,包括“变动为异常”和“变动为正常”;中心分析端生成的预警即最终判定变动是否异常。
当判定结果域名资源记录未发生异常变化,说明当前变化为正常变化,需要将变化后的域名资源记录到可信结果列表中。如果中心分析端生成异常判定预警,则上报给注册局、注册商等进行处置,想相关监测节点反馈告警结果有效,将变动后的网际互连协议地址标记为不可信同步给网际互连协议标签库。如果没有,则更新监测列表,并及时同步给监测节点,将更新后的网际互连协议地址标记为可信同步给网际互连协议标签库,并向相关监测节点反馈告警结果无效。
本公开上述实施例提供的一种判定域名资源记录变动安全性的方法,在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录;其中,所述域名监测列表中包括至少一个域名;每个所述域名资源记录对应一条包含域名、资源记录类型和相应结果的组合;根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录;响应于所述域名资源记录存在异常变化,向中心分析端返回所述域名出现异常变化的告警信息;响应于所述域名资源记录不存在异常变化,向所述中心分析端返回所述域名出现非异常变化的告警信息,中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警;本实施例准确、高效的判定域名解析结果的变动是域名注册人主观意愿的正常变更还是第三方采用恶意手段的异常变更。本实施例通过主动探测的方式对待监测的域名资源进行探测,根据域名资源IP、服务类型等多种判定条件综合判断域名的变化状态是否符合正常的变化范围,进而保障所监测域名的解析安全和数据安全。
本实施例中,域名资源记录指的是域名的A、AAAA、NS或者别名(Canonical name,CNAME)相关记录,其中,A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录,例如ipv4地址;AAAA记录是将主机名(或域名)指向一个IPv6地址(例如:ff03:0:0:0:0:0:0:c1),需要添加AAAA记录;域名监测系统获取域名的A记录、AAAA记录、NS记录和CNAME记录,并从所获取的域名资源记录中提取该域名的资源特征数据,其中,资源特征数据可以为域名资源记录对应的IP地址信息,或基于IP地址信息处理后得到的编码信息等。
IP标签库定期同步IP信誉库、地理位置数据(Geographic IP,GeoIP)库、IP信息提供商的数据,以保证系统判定域名资源的准确性,为中心系统计算IP可信度提供有力支撑。
在一些可选的实施例中,步骤120可以包括:
在每个监测节点中,根据域名监测列表对应的可信结果列表确定域名资源记录中的网际互连协议信息是否发生变化;
响应于域名资源记录中的网际互连协议信息发生变化,确定域名资源记录的变化是否属于异常变化。
可选地,具体进行探测时,获得域名的A或AAAA解析结果,或者域名的NS/CNAME对应的A或AAAA结果,认定域名资源探测结果列表。这里需要说明的是,在接下来的劫持判定中主要是根据网际互连协议地址或网站内容进行判定,所以获取的是域名的A或AAAA记录。当探测域名的A/AAAA解析结果,报文直接返回探测结果;探测结果返回域名及对应IP地址;当探测域名的NS/CNAME解析结果的正确性,若探测NS/CNAME时返回报文中有NS/CNAME对应的A或AAAA结果,直接返回域名、域名的NS/CNAME、及NS/CNAME对应的IP地址;否则需要对域名的NS/CNAME再次发起探测,获取NS/CNAME对应的IP地址。
或CNAME时考虑到部分域名可能没有A或AAAA记录,但其NS/CNAME有NS/CNAME对应的A或AAAA结果,如图所示展示了一个实例。
具体地,A记录:address,存储的是域内主机名所对应的ip地址。例如,格式如下:
dnsserver.longshuai.com. IN A 172.16.10.15
查询端之所以能够解析到主机名对应的ip地址,就是因为DNS服务器中的有A记录存储了主机名和ip的对应关系,AAAA记录存储的是主机名和ipv6地址的对应关系,因此选择A或AAAA结果作为本实施例的监测指标。本实施例主要针对的是当域名解析出现异常篡改的情况,当探测结果返回为拒绝服务或是无查询结果时,同样域名将列入监测列表进行下一步监测直到其返回的探测结果为非空。
在监测持续时间内,域名监测系统的监测模块开始探测对待监测域名列表中每个域名的资源记录。各个监测节点分别从设定的每个监测周期时间开始进行探测,直到监测时间结束。若在监测周期内无返回结果或监测结果为空,记录监测状态并告警并继续监测。
在一些可选示例中,域名监测系统从时刻开始监测,一直持续到/>+T时刻,其中时刻为预设的起始时间(可以根据具体场景进行设置),T为所设定的域名监测时间长度(T为一个监测周期,其取值可以根据具体场景进行设置),/>+T时刻为监测结束时间。在监测时间[/>,/>+T]内每隔/>(取值可根据实际应用场景进行设置,/>小于T)时间进行一次主动探测,获取域名资源记录。
可选地,确定域名资源记录的变化是否属于异常变化,包括:
获得域名资源记录中的网际互连协议信息;其中,网际互连协议信息包括网际互连协议资源信息和网际互连协议对应服务器的主机特征;
基于网际互连协议信息的变动和/或网际互连协议对应服务器的主机特征的变动,确定域名资源记录的变化是否属于异常变化。
本实施例通过根据域名资源网际互连协议变动相关信息等多种判定条件判断域名的变化状态是否符合正常的变化范围,进而保证所监测域名的解析安全和数据安全。可选地,网际互连协议资源信息包括以下至少一种:预设网际互连协议个数、地理位置信息、运营商信息、所属机构信息、应用场景信息;
基于所述网际互连协议资源信息的变动,确定域名资源记录的变化是否属于异常变化,包括:
确定至少一种网际互连协议资源信息对应的至少一个第一权重值;
基于至少一种网际互连协议资源信息的变化幅度结合对应的至少一个所述第一权重值,确定资源变化幅度;
基于资源变化幅度与第一异常阈值进行比较,确定域名资源记录的变化是否属于异常变化;
基于域名资源记录对第一异常阈值进行更新。
本实施例实现了及时获取监测结果:通过迭代逐级到域名自己的各级权威服务器(而非递归)获取解析结果,避免缓存机制的滞后性对解析质量的影响。多级域名、多种资源记录类型:可判定任意级别域名(如根、顶级域名、二级域名、三级域名等)的A、AAAA、NS和CNAME等多种类型资源记录类型的解析结果变动是否正常。监测节点智能分组,高效获取域名解析结果:对于需要监测的区域和网络,根据需求去部署监测节点,中心节点根据各节点对各个域名拨测结果,对各监测节点进行逻辑分组,每组监测节点对应一组域名,这些监测节点均分这组域名的拨测任务。
在一些可选示例中,网际互连协议资源信息的变动:判定网际互连协议的个数变动、地理位置变动、运营商变动、所属机构、应用场景等,根据各个可变参数的权重(对应第一权重值)进行综合评定。详细包括以下2点:
1,预设IP个数、地理位置、运营商、所属机构、应用场景的第一权重值。结合德尔菲法和层次分析法(Analytic Hierarchy Process,AHP)计算各个因素的第一权重值。因运营商和所属机构这两个参数和地理位置关联性较大,所以在评估各个因数权重值前,使用CRITIC(Criteria Importance Though IntercrieriaCorrelation)权重法进行评估、计算地理位置这个关键因数的第一权重值,CRITIC权重法是一种客观权重赋权法。
2,预设异常初始阈值,如果达到阈值,则此次变动作为异常信息上报给中心系统进行处理。中心系统将告警处理信息反馈给告警模块,通过自适应阈值设定法动态调整异常阈值,减少误报。
另外,当地理位置变化幅度过大时,比如IP的地理位置由国内变为国外,则直接上报异常变动到中心平台去处理。若运营商和所属机构两个参数不在设定的国内运营商范围时,直接上报异常变动。
在另一些可选的实施例中,网际互连协议对应服务器的主机特征包括以下至少一种:服务实现类型协议、服务器操作系统、服务类型;
基于网际互连协议对应服务器的主机特征的变动,确定域名资源记录的变化是否属于异常变化,包括:
确定至少一种网际互连协议对应服务器的主机特征对应的至少一个第一权重值;
基于至少一种网际互连协议对应服务器的主机特征结合对应的至少一个第一权重值,确定特征变化幅度;
基于特征变化幅度与第一异常阈值进行比较,确定域名资源记录的变化是否属于异常变化。
本实施例实现多标准决策判定,分级告警:每个监测节点通过获取参考统一网际互连协议地理信息库(GeoIP)相关信息,结合机器学习的方法对所获取到的域名资源记录进行智能判定。当监测到域名解析结果与历史记录不一致时,监测节点将告警结果上报到中心分析端,中心分析端根据告警域名对应的监测节点范围的大小,生成预警。
根据各监测节点的历史监测信息的准确性、有效性、实时性,为每个监测节点设置不同的节点权重,根据专业的经验设置一个相对合理的阈值初始状态,并结合机器学习算法动态调整节点权重和阈值。每个监测节点根据自己所在地理位置和运营商网络等可自行调整参数,避免了集中式分析的误差。可选地,单个监测节点可通过以下方式判定监测到的变化域名是否是正常变动:
从中心分析端获得初始监测域名基准列表(对应可信结果列表)。将域名dig结果预设到域名基准列表中,如果递归服务器支持DNS安全扩展(Domain Name SystemSecurity Extensions,DNSSEC),则通过启用DNSSEC获取权威数据作为预设值。
如果是NS或者CNAME类型的资源记录,判定NS或CNAME对应的网际互连协议,如果是A或AAAA类型的资源记录,直接判定网际互连协议。其中网际互连协议的判定包括网际互连协议资源信息的变动和网际互连协议对应服务器的主机特征的变动。
在一些可选示例中,网际互连协议对应的服务器的主机特征变动,收集服务器的主机特征,利用因子分析和主成分分析法进行信息浓缩,再用熵值法计算第一权重值。其中获取服务器主机的特征包括几种:
1. 服务实现类型协议判定,获取七层协议模型中三层以上的协议类型,比如传输控制协议(Transmission Control Protocol,TCP)、用户数据报协议(UDP,UserDatagramProtocol)的协议变化。
2. 服务器操作系统获取:第一种,可以通过数据包网际互连探测器(ping,PacketInternet Groper)、telnet、文件传输协议(File Transfer Protocol,FTP)命令尝试获取服务器信息,其中,telnet是一种用于远程访问和管理计算机网络设备、服务器和服务的协议和命令行工具;如果获取到可以用来判定操作系统的关键字,比如返回的信息包含Microsoft关键字,可以判定为Windows操作系统,返回的信息包含SunOS关键字可以判定为了Unix操作系统等等。第二种,通过专门的工具获取操作系统信息,比如远程主机操作系统探查工作Xprobe,使用p0f命令抓取本机包识别系统;其中,Xprobe是一款远程主机操作系统探查工具;p0f是一款被动指纹识别工具。
3. 服务类型的变动,比如端口、应用服务协议。获取端口信息,可以通过Masscan、Zmap、NetworkMiner等工具对端口进行扫描;其中,Masscan是一个互联网级别的高性能端口扫描工具;Zmap是Zakir Durumeric研究团队开发的一款扫描软件;NetworkMiner是一个开源的内置无源网络嗅探器/数据包捕获网络取证分析工具。
另外,本实施例通过设置反馈机制实现IP标签权重和异常告警阈值的智能调整,例如,当判断为正常变动时,更新IP信誉库和基准列表,智能调整IP标签权重和异常告警阈值。可选地,IP的个数变动、地理位置变动、运营商变动、所属机构、应用场景,可能前四个的相关性是比较高的,在这种情况下可以参考输入数据与参考数据的波动性这一指标,另外附加数据之间的相关性进行权值的计算更新,并通过权值的更新计算阈值的动态范围,不断迭代。
在一些可选的实施例中,在通过监测节点在预设周期内,基于域名监测列表获得至少一个域名资源记录之前,还包括:
至少一个监测节点从中心分析端获取域名监测列表;
向中心分析端返回域名出现非异常变化的告警信息;中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警之后,还包括:
中心分析端利用预设网络模型对多个资源特征数据进行处理,确定域名对应的域名资源记录是否异常;其中,预设网络模型经过具有标注信息的样本域名资源记录训练获得;标注信息标注样本域名资源记录为正常或异常;
响应于中心分析端确定域名对应的域名资源记录异常,将异常结果上报注册局或注册商,向监测节点反馈告警有效信息,并将变化后的网际互连协议信息标记为不可信发送给标签库;
响应于中心分析端确定域名对应的域名资源记录正常,更新域名监测列表,向监测节点反馈告警无效信息,并将变化后的网际互连协议信息标记为可信发送给标签库。
本实施例中,中心分析端下发监测域名的域名监测列表到各监测节点,判定监测节点上报的告警信息,结合判定结果更新网际互连协议标签库和域名监测列表;中心分析端将判定为异常变动的告警信息发送给相关单位(例如,注册商、注册局、递归节点等)进行处理,并将告警信息反馈给监测节点,监测节点接收到反馈结果,通过机器学习算法调整告警上报计算方式及阈值等信息。
可选地,利用预设网络模型对多个资源特征数据进行处理,确定域名对应的域名资源记录是否异常,包括:
通过监测节点监测获得的资源特征数据;
利用预设网络模型分别对多个资源特征数据进行处理,得到多个预测分值;
根据多个资源特征数据对应的多个第二权重值对多个预测分值进行加权求和,得到域名对应的综合分值;
基于综合分值与第二异常阈值进行比较,确定域名对应的域名资源记录是否异常。
其中,第二权重值是第一权重值根据预设网络模型在训练过程中更新确定的。
本实施例中,中心分析端联合多监测节点告警信息,进行预判、分析、计算、生成预警信息,将预警信息反馈给相关机构(注册商、注册局、域名监管机构、递归中心等)进行处理,预告警预判结果反馈给监测节点,并更新IP标签库的IP信息和监测列表。中心分析端下发监测域名的列表到各监测节点,判定监测节点上报的告警信息,结合判定结果更新IP标签库和监测列表;中心系统将判定为异常变动的告警信息发送给相关单位(注册商、注册局、递归节点等)进行处理,并将告警信息反馈给监测节点,监测节点接收到反馈结果,通过机器学习算法调整告警上报计算方式及阈值等信息。
监测节点根据监测节点定期主动拨测域名,针对拨测发现的异常域名资源记录结合IP信誉库、历史告警处理结果,运用机器学习算法进行域名变动异常的计算。当异常分值达到阈值时,上报异常变动告警到中心分析端。IP标签库定期同步IP信誉库、GeoIP库、IP信息提供商的数据,以保证系统判定域名资源的准确性,为中心分析端计算IP可信度提供有力支撑。
可选地,在利用预设网络模型对多个资源特征数据进行处理,确定域名对应的域名资源记录是否异常之前,还包括:
根据多个域名资源记录中每个域名资源记录对应的监测节点的历史监测信息,确定每个域名资源记录对应的第三权重值;
基于每个域名资源记录对应的第三权重值,确定每个资源特征数据对应的第二权重值。
本实施例中,第三权重值为域名资源记录的初始权重(第一权重)根据历史异常变动数据对预设网络模型进行训练,得到的权重值;在对域名资源记录变动识别过程中,不断优化各个指标的第三权重值进行更新,确定每个资源特征数据对应的第二权重值。
可选地,采用德尔菲方法根据多个专家的经验值设定网际互连协议标签库包括的标签权重(例如,将所属机构、地理位置、运营商网络、IP个数、 可信度、应用场景、服务类型、操作系统等作为标签)和异常变动阈值。人为设置初始权重和初始阈值;定期根据历史异常变动日志更新网际互连协议标签权重和异常阈值,流程包括:1)历史日志信息提取和降维处理,将日志信息映射到网际互连协议标签上的维度上,CRITIC权重法计算各标签的权重,得到第三权重值,第三权重值对应相应的第三异常阈值;2)结合日志信息和告警反馈日志对第三权重值进行更新,确定各个指标的权重值,得到第二权重值;同时对第三异常阈值进行更新,得到第二异常阈值;3)根据标签参数的变动范围,动态调整第二权重值。
监测节点定时拨测监测域名,并结合网际互连协议标签库,判定变动网际互连协议的可信度,如果网际互连协议不可信,直接上报告警。对于可信网际互连协议,要结合网际互连协议的标签变化计算变动值,如果达到异常变动阈值,上报告警,并触发根据历史异常变动日志更新网际互连协议标签权重和异常阈值的操作。
本公开实施例提供的任一种判定域名资源记录变动安全性的方法可以由任意适当的具有数据处理能力的设备执行,包括但不限于:终端设备和服务器等。或者,本公开实施例提供的任一种判定域名资源记录变动安全性的方法可以由处理器执行,如处理器通过调用存储器存储的相应指令来执行本公开实施例提及的任一种判定域名资源记录变动安全性的方法。下文不再赘述。
示例性装置
图2是本公开一示例性实施例提供的判定域名资源记录变动安全性的装置的结构示意图。如图2所示,本实施例提供的装置包括:
域名监测模块21,用于在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录。
其中,域名监测列表中包括至少一条包含域名、资源记录类型和相应结果的组合。
域名识别模块22,用于根据域名资源记录中的网际互连协议信息,确定多个监测节点对应的多个域名资源记录中是否存在异常变化的域名资源记录。
异常处理模块23,用于响应于域名资源记录存在异常变化,向中心分析端返回域名出现异常变化的告警信息。
正常处理模块24,用于响应于域名资源记录不存在异常变化,向中心分析端返回域名出现非异常变化的告警信息。
中心分析端25,用于对所有监测节点上报的告警信息进行汇总分析生成预警。
本公开上述实施例提供的一种判定域名资源记录变动安全性的装置,在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录;其中,所述域名监测列表中包括至少一条包含域名、资源记录类型和相应结果的组合;根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录;响应于所述域名资源记录存在异常变化,向中心分析端返回所述域名出现异常变化的告警信息;响应于所述域名资源记录不存在异常变化,向所述中心分析端返回所述域名出现非异常变化的告警信息;所述中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警;本实施例准确、高效的判定域名解析结果的变动是域名注册人主观意愿的正常变更还是第三方采用恶意手段的异常变更。本实施例通过主动探测的方式对待监测的域名资源进行探测,根据域名资源网际互连协议、服务类型等多种判定条件综合判断域名的变化状态是否符合正常的变化范围,进而保障所监测域名的解析安全和数据安全。
可选地,域名识别模块22,具体用于在每个监测节点中,根据域名监测列表对应的可信结果列表确定域名资源记录中的网际互连协议信息是否发生变化;响应于域名资源记录中的网际互连协议信息发生变化,确定域名资源记录的变化是否属于异常变化。
可选地,域名识别模块22在确定域名资源记录的变化是否属于异常变化时,用于获得域名资源记录中的网际互连协议信息;其中,网际互连协议信息包括网际互连协议资源信息和网际互连协议对应服务器的主机特征;基于网际互连协议资源信息的变动和/或网际互连协议对应服务器的主机特征的变动,确定域名资源记录的变化是否属于异常变化。
可选地,网际互连协议资源信息包括以下至少一种:预设网际互连协议个数、地理位置信息、运营商信息、所属机构信息、应用场景信息;
域名识别模块22在基于网际互连协议资源信息的变动,确定域名资源记录的变化是否属于异常变化时,用于确定至少一种所述网际互连协议资源信息对应的至少一个第一权重值;基于至少一种网际互连协议资源信息的变化幅度结合对应的至少一个第一权重值,确定资源变化幅度;基于资源变化幅度与第一异常阈值进行比较,确定域名资源记录的变化是否属于异常变化;基于域名资源记录对第一异常阈值进行更新。
可选地,网际互连协议对应服务器的主机特征包括以下至少一种:服务实现类型协议、服务器操作系统、服务类型;
域名识别模块22在基于网际互连协议对应服务器的主机特征的变动,确定域名资源记录的变化是否属于异常变化时,用于确定至少一种网际互连协议对应服务器的主机特征对应的至少一个第一权重值;基于至少一种网际互连协议对应服务器的主机特征结合对应的至少一个第一权重值,确定特征变化幅度;基于特征变化幅度与第一异常阈值进行比较,确定域名资源记录的变化是否属于异常变化。
可选地,本实施例提供的装置还可以包括:
列表获取模块,用于至少一个监测节点从中心分析端获取域名监测列表;
记录更新模块,中心分析端利用预设网络模型对多个资源特征数据进行处理,确定域名对应的域名资源记录是否异常;其中,预设网络模型经过具有标注信息的样本域名资源记录训练获得;标注信息标注样本域名资源记录为正常或异常;响应于中心分析端确定域名对应的域名资源记录异常,将异常结果上报注册局或注册商,向监测节点反馈告警有效信息,并将变化后的网际互连协议信息标记为不可信发送给标签库;响应于中心分析端确定域名对应的域名资源记录正常,更新域名监测列表,向监测节点反馈告警无效信息,并将变化后的网际互连协议信息标记为可信发送给标签库。
可选地,异常确定模块,具体用于通过监测节点监测获得的资源特征数据;利用预设网络模型分别对多个资源特征数据进行处理,得到多个预测分值;根据多个资源特征数据对应的多个第二权重值对多个预测分值进行加权求和,得到域名对应的综合分值;基于综合分值与第二异常阈值进行比较,确定域名对应的域名资源记录是否异常。
可选地,异常确定模块,还用于根据多个域名资源记录中每个域名资源记录对应的监测节点的历史监测信息,确定每个域名资源记录对应的第三权重值;基于每个域名资源记录对应的第三权重值,确定每个资源特征数据对应的第二权重值。
示例性电子设备
下面,参考图3来描述根据本公开实施例的电子设备。该电子设备可以是第一设备和第二设备中的任一个或两者、或与它们独立的单机设备,该单机设备可以与第一设备和第二设备进行通信,以从它们接收所采集到的输入信号。
图3图示了根据本公开实施例的电子设备的框图。
如图3所示,电子设备包括一个或多个处理器和存储器。
处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备中的其他组件以执行期望的功能。
存储器可以存储一个或多个计算机程序产品,所述存储器可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序产品,处理器可以运行所述计算机程序产品,以实现上文所述的本公开的各个实施例的判定域名资源记录变动安全性的方法以及/或者其他期望的功能。
在一个示例中,电子装置还可以包括:输入装置和输出装置,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
此外,该输入装置还可以包括例如键盘、鼠标等等。
该输出装置可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出装置可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出装置等等。
当然,为了简化,图3中仅示出了该电子设备中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述部分中描述的根据本公开各种实施例的判定域名资源记录变动安全性的方法中的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述部分中描述的根据本公开各种实施例的判定域名资源记录变动安全性的方法中的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
可能以许多方式来实现本公开的方法和装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
还需要指出的是,在本公开的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。

Claims (11)

1.一种判定域名资源记录变动安全性的方法,其特征在于,包括:
在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录;其中,所述域名监测列表中包括至少一条包含域名、资源记录类型和相应结果的组合;各监测节点根据待监测的域名监测列表,依次对域名进行迭代查询并将数据返回中心侧;
根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录;所述监测节点定期主动拨测域名,运用机器学习算法进行域名变动异常的计算;
响应于所述域名资源记录存在异常变化,向中心分析端返回所述域名出现异常变化的告警信息;
响应于所述域名资源记录不存在异常变化,向所述中心分析端返回所述域名出现非异常变化的告警信息;
所述中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警;包括:如果中心分析端生成异常判定预警,向相关监测节点反馈告警结果有效,将变动后的网际互连协议地址标记为不可信同步给网际互连协议标签库;如果中心分析端没有生成异常判定预警,则更新监测列表,并同步所述监测节点,将更新后的网际互连协议地址标记为可信同步给网际互连协议标签库,并向相关监测节点反馈告警结果无效。
2.根据权利要求1所述的方法,其特征在于,所述根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录,包括:
在每个所述监测节点中,根据所述域名监测列表对应的可信结果列表确定所述域名资源记录中的网际互连协议信息是否发生变化;
响应于所述域名资源记录中的网际互连协议信息发生变化,确定所述域名资源记录的变化是否属于异常变化。
3.根据权利要求2所述的方法,其特征在于,所述确定所述域名资源记录的变化是否属于异常变化,包括:
获得所述域名资源记录中的网际互连协议信息;其中,所述网际互连协议信息包括网际互连协议资源信息和网际互连协议对应服务器的主机特征;
基于所述网际互连协议资源信息的变动和/或所述网际互连协议对应服务器的主机特征的变动,确定所述域名资源记录的变化是否属于异常变化。
4.根据权利要求3所述的方法,其特征在于,所述网际互连协议资源信息包括以下至少一种:预设网际互连协议个数、地理位置信息、运营商信息、所属机构信息、应用场景信息;
所述基于所述网际互连协议资源信息的变动,确定所述域名资源记录的变化是否属于异常变化,包括:
确定至少一种所述网际互连协议资源信息对应的至少一个第一权重值;
基于至少一种所述网际互连协议资源信息的变化幅度结合对应的至少一个所述第一权重值,确定资源变化幅度;
基于所述资源变化幅度与第一异常阈值进行比较,确定所述域名资源记录的变化是否属于异常变化;
基于所述域名资源记录对所述第一异常阈值进行更新。
5.根据权利要求3所述的方法,其特征在于,所述网际互连协议对应服务器的主机特征包括以下至少一种:服务实现类型协议、服务器操作系统、服务类型;
所述基于所述网际互连协议对应服务器的主机特征的变动,确定所述域名资源记录的变化是否属于异常变化,包括:
确定至少一种所述网际互连协议对应服务器的主机特征对应的至少一个第一权重值;
基于至少一种所述网际互连协议对应服务器的主机特征结合对应的至少一个所述第一权重值,确定特征变化幅度;
基于所述特征变化幅度与第一异常阈值进行比较,确定所述域名资源记录的变化是否属于异常变化。
6.根据权利要求1-5任一所述的方法,其特征在于,在通过监测节点在预设周期内,基于域名监测列表获得至少一个域名资源记录之前,还包括:
至少一个所述监测节点从所述中心分析端获取所述域名监测列表;
所述中心分析端对所有监测节点上报的告警信息进行汇总分析生成预警之后,还包括:
所述中心分析端利用预设网络模型对多个资源特征数据进行处理,确定所述域名对应的域名资源记录是否异常;其中,所述预设网络模型经过具有标注信息的样本域名资源记录训练获得;所述标注信息标注所述样本域名资源记录为正常或异常;
响应于所述中心分析端确定所述域名对应的域名资源记录异常,将异常结果上报注册局或注册商,向所述监测节点反馈告警有效信息,并将变化后的网际互连协议信息标记为不可信发送给标签库;
响应于所述中心分析端确定所述域名对应的域名资源记录正常,更新所述域名监测列表,向所述监测节点反馈告警无效信息,并将变化后的网际互连协议信息标记为可信发送给标签库。
7.根据权利要求6所述的方法,其特征在于,所述利用预设网络模型对多个所述资源特征数据进行处理,确定所述域名对应的域名资源记录是否异常,包括:
通过所述监测节点监测获得的所述资源特征数据;
利用所述预设网络模型分别对多个所述资源特征数据进行处理,得到多个预测分值;
根据多个所述资源特征数据对应的多个第二权重值对所述多个预测分值进行加权求和,得到所述域名对应的综合分值;
基于所述综合分值与第二异常阈值进行比较,确定所述域名对应的域名资源记录是否异常。
8.根据权利要求7所述的方法,其特征在于,在利用预设网络模型对多个所述资源特征数据进行处理,确定所述域名对应的域名资源记录是否异常之前,还包括:
根据多个所述域名资源记录中每个所述域名资源记录对应的所述监测节点的历史监测信息,确定每个所述域名资源记录对应的第三权重值;
基于每个域名资源记录对应的第三权重值,确定每个所述资源特征数据对应的第二权重值。
9.一种判定域名资源记录变动安全性的装置,其特征在于,包括:
域名监测模块,用于在预设周期内,分别通过多个监测节点基于域名监测列表对域名解析结果进行监测,得到多个域名资源记录;其中,所述域名监测列表中包括至少一条包含域名、资源记录类型和相应结果的组合;各监测节点根据待监测的域名监测列表,依次对域名进行迭代查询并将数据返回中心侧;
域名识别模块,用于根据所述域名资源记录中的网际互连协议信息,确定多个所述监测节点对应的多个所述域名资源记录中是否存在异常变化的所述域名资源记录;所述监测节点定期主动拨测域名,运用机器学习算法进行域名变动异常的计算;
异常处理模块,用于响应于所述域名资源记录存在异常变化,向中心分析端返回所述域名出现异常变化的告警信息;
正常处理模块,用于响应于所述域名资源记录不存在异常变化,向所述中心分析端返回所述域名出现非异常变化的告警信息;
中心分析端,用于对所有监测节点上报的告警信息进行汇总分析生成预警;还用于包括:如果中心分析端生成异常判定预警,向相关监测节点反馈告警结果有效,将变动后的网际互连协议地址标记为不可信同步给网际互连协议标签库;如果中心分析端没有生成异常判定预警,则更新监测列表,并同步所述监测节点,将更新后的网际互连协议地址标记为可信同步给网际互连协议标签库,并向相关监测节点反馈告警结果无效。
10.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序产品;
处理器,用于执行所述存储器中存储的计算机程序产品,且所述计算机程序产品被执行时,实现上述权利要求1-8任一所述的判定域名资源记录变动安全性的方法。
11.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该计算机程序指令被处理器执行时,实现上述权利要求1-8任一所述的判定域名资源记录变动安全性的方法。
CN202311047258.2A 2023-08-18 2023-08-18 判定域名资源记录变动安全性的方法和装置、设备、介质 Active CN116760642B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311047258.2A CN116760642B (zh) 2023-08-18 2023-08-18 判定域名资源记录变动安全性的方法和装置、设备、介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311047258.2A CN116760642B (zh) 2023-08-18 2023-08-18 判定域名资源记录变动安全性的方法和装置、设备、介质

Publications (2)

Publication Number Publication Date
CN116760642A CN116760642A (zh) 2023-09-15
CN116760642B true CN116760642B (zh) 2023-11-03

Family

ID=87951935

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311047258.2A Active CN116760642B (zh) 2023-08-18 2023-08-18 判定域名资源记录变动安全性的方法和装置、设备、介质

Country Status (1)

Country Link
CN (1) CN116760642B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102255778A (zh) * 2011-09-06 2011-11-23 网宿科技股份有限公司 一种防劫持的域名授权监控系统
CN105871912A (zh) * 2016-06-03 2016-08-17 腾讯科技(深圳)有限公司 一种域名劫持的探测方法和服务器以及移动终端
CN115412265A (zh) * 2021-05-10 2022-11-29 中国移动通信集团安徽有限公司 域名劫持的监测方法、装置、设备及计算机可读存储介质
CN116319113A (zh) * 2023-05-23 2023-06-23 阿里云计算有限公司 一种域名解析异常的检测方法和电子设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11025648B2 (en) * 2017-09-21 2021-06-01 Infoblox Inc. Detection of algorithmically generated domains based on a dictionary

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102255778A (zh) * 2011-09-06 2011-11-23 网宿科技股份有限公司 一种防劫持的域名授权监控系统
CN105871912A (zh) * 2016-06-03 2016-08-17 腾讯科技(深圳)有限公司 一种域名劫持的探测方法和服务器以及移动终端
CN115412265A (zh) * 2021-05-10 2022-11-29 中国移动通信集团安徽有限公司 域名劫持的监测方法、装置、设备及计算机可读存储介质
CN116319113A (zh) * 2023-05-23 2023-06-23 阿里云计算有限公司 一种域名解析异常的检测方法和电子设备

Also Published As

Publication number Publication date
CN116760642A (zh) 2023-09-15

Similar Documents

Publication Publication Date Title
US10587646B2 (en) Analyzing DNS requests for anomaly detection
US11108729B2 (en) Managing request routing information utilizing client identifiers
US8260914B1 (en) Detecting DNS fast-flux anomalies
US8316440B1 (en) System for detecting change of name-to-IP resolution
US8631489B2 (en) Method and system for detecting malicious domain names at an upper DNS hierarchy
US11290485B2 (en) Method and system for detecting and blocking data transfer using DNS protocol
US10958501B1 (en) Request routing information based on client IP groupings
US9648033B2 (en) System for detecting the presence of rogue domain name service providers through passive monitoring
US20100138921A1 (en) Countering Against Distributed Denial-Of-Service (DDOS) Attack Using Content Delivery Network
US10951489B2 (en) SLA compliance determination with real user monitoring
US9053320B2 (en) Method of and apparatus for identifying requestors of machine-generated requests to resolve a textual identifier
JP2015043204A (ja) Dnsにおける共に発生しているパターンを検知すること
CN109218457B (zh) 网络数据处理方法、装置和系统
CN108270778B (zh) 一种dns域名异常访问检测方法及装置
CN109862129A (zh) Dns流量异常检测方法、装置、电子设备及存储介质
CN105827599A (zh) 一种基于dns报文深度解析的缓存中毒检测方法及装置
CN108111548A (zh) 一种域名系统攻击检测方法、装置及系统
EP3465986B1 (en) Method and system for augmenting network traffic flow reports
US10021176B2 (en) Method and server for managing traffic-overload on a server
US10728273B1 (en) Systems, devices, and methods for detecting and mitigating domain name registrations used for malicious behavior
CN116760642B (zh) 判定域名资源记录变动安全性的方法和装置、设备、介质
CN107094134A (zh) 一种访问网站的方法及客户端
CN112839005A (zh) Dns域名异常访问监控方法及装置
US20230283591A1 (en) Managing traffic rules in association with fully qualified domain names (fqdns) using posture information associated with dns records
US11444971B2 (en) Method for assessing the quality of network-related indicators of compromise

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant