CN117294527B - 一种攻击判定方法、装置、存储介质及设备 - Google Patents

一种攻击判定方法、装置、存储介质及设备 Download PDF

Info

Publication number
CN117294527B
CN117294527B CN202311559711.8A CN202311559711A CN117294527B CN 117294527 B CN117294527 B CN 117294527B CN 202311559711 A CN202311559711 A CN 202311559711A CN 117294527 B CN117294527 B CN 117294527B
Authority
CN
China
Prior art keywords
attack
domain name
target
successful
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311559711.8A
Other languages
English (en)
Other versions
CN117294527A (zh
Inventor
王振东
赵林林
薛锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN202311559711.8A priority Critical patent/CN117294527B/zh
Publication of CN117294527A publication Critical patent/CN117294527A/zh
Application granted granted Critical
Publication of CN117294527B publication Critical patent/CN117294527B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/253Grammatical analysis; Style critique
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/30Semantic analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/41Compilation
    • G06F8/42Syntactic analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/41Compilation
    • G06F8/43Checking; Contextual analysis
    • G06F8/436Semantic checking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种攻击判定方法、装置、存储介质及设备,该方法中,当网络环境中存在攻击流量时,先根据本地情报库检测网络环境中的DNS请求所要解析的域名是否为恶意域名,当本地情报库显示该域名不为恶意域名时,再从攻击流量的攻击载荷中提取出目标域名,之后,监测被攻击主机的DNS请求,若被攻击主机的DNS请求中要解析的域名是该目标域名,则判定攻击成功。如此,分别利用情报和漏洞攻击来结合DNS请求来判定攻击是否成功,提升对攻击结果的识别效率和准确性。

Description

一种攻击判定方法、装置、存储介质及设备
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种攻击判定方法、装置、存储介质以及电子设备。
背景技术
目前,互联网每天都发生着大量的网络攻击,现有的网络安全检测设备主要以检测网络攻击过程为目标,忽略了对攻击结果的检测。但在实际应用中,失败攻击无法真正对目标造成威胁,需要重点关注的攻击是成功攻击。因此,如何有效识别出攻击成功是亟待解决的技术问题。
发明内容
本申请的目的在于提供一种攻击判定方法、装置、存储介质及设备,旨在解决相关技术中存在的无法有效识别出攻击成功的问题。
第一方面,本申请提供的一种攻击判定方法,所述方法包括:
当网络环境中存在攻击流量时,根据本地情报库检测所述网络环境中的DNS请求所对应的待解析域名是否为恶意域名;
若检测结果为否,从所述攻击流量的攻击载荷中提取出目标域名;
根据所述攻击流量对应的被攻击主机是否发出解析所述目标域名的请求,判定是否攻击成功。
在上述实现过程中,当网络环境中存在攻击流量时,先根据本地情报库检测网络环境中的DNS请求所要解析的域名是否为恶意域名,当本地情报库显示该域名不为恶意域名时,再从攻击流量的攻击载荷中提取出目标域名,之后,监测被攻击主机的DNS请求,若被攻击主机的DNS请求中要解析的域名是该目标域名,则判定攻击成功。如此,分别利用情报和漏洞攻击来结合DNS请求来判定攻击是否成功,提升对攻击结果的识别效率和准确性。
进一步地,在一些例子中,所述该方法还包括:
若根据本地情报库检测所述网络环境中的DNS请求所对应的待解析域名为恶意域名,判定攻击成功。
在上述实现过程中,当本地情报库显示DNS请求中要请求的域名为恶意域名时,直接判定攻击成功,如此,提升对攻击结果的识别效率。
进一步地,在一些例子中,所述从所述攻击流量的攻击载荷中提取出目标域名,包括:
利用目标字符串或目标正则表达式,对所述攻击流量的攻击载荷进行匹配,并根据匹配结果提取出目标域名;所述目标字符串和所述目标正则表达式是基于域名的格式设置的。
在上述实现过程中,提供一种提取攻击载荷中的域名的具体方式,即利用字符串匹配或正则匹配的方式,按照域名的格式直接匹配攻击载荷中的域名。
进一步地,在一些例子中,所述从所述攻击流量的攻击载荷中提取出目标域名,包括:
在所述攻击流量的攻击载荷中匹配预设清单中的方法或语句;所述预设清单是基于不同语言场景中描述请求的方法或语句组成的;所述语言场景包括以下任意一种:编程语言、结构化查询语言语句、表达式和中间件;
根据匹配到的方法或语句,将相应位置上的域名确定为目标域名并提取出来。
在上述实现过程中,提供另一种提取攻击载荷中的域名的具体方式,即收集编程语言、结构化查询语言语句、表达式和中间件中描述请求的方法或语句,形成预设清单,在攻击载荷中匹配预设清单中的方法或语句。
进一步地,在一些例子中,所述在所述攻击流量的攻击载荷中匹配预设清单中的方法或语句,包括:
对所述攻击流量的攻击载荷进行语法语义分析,生成目标语法树;
在所述目标语法树上匹配预设清单中的方法或语句。
在上述实现过程中,提供另一种提取攻击载荷中的域名的具体方式,即利用语法语义分析并结合预设清单来提取攻击载荷中的域名。
进一步地,在一些例子中,所述根据所述攻击流量对应的被攻击主机是否发出解析所述目标域名的请求,判定是否攻击成功之前,包括:
通过记录所述攻击流量对应的被攻击主机的IP地址和所述目标域名之间的对应关系,形成目标表;
根据所述目标表,检测所述被攻击主机是否发出解析所述目标域名的请求。
在上述实现过程中,建立一个记录目标域名和被攻击主机IP地址之间对应关系的表,以此来执行监测任务,这样,即便网络环境中出现多个被攻击主机,也可以对这多个被攻击主机进行精确监控,从而使得最终判定的攻击结果更为准确。
进一步地,在一些例子中,所述根据所述攻击流量对应的被攻击主机是否发出解析所述目标域名的请求,判定是否攻击成功,包括:
若所述攻击流量对应的被攻击主机在攻击进行后的预设过期时间内发出解析所述目标域名的请求,判定攻击成功。
在上述实现过程中,只有当被攻击主机在攻击进行后的预设过期时间内发出针对目标域名的DNS请求,才判定攻击成功,这样,可以提升判定结果的合理性。
进一步地,在一些例子中,所述该方法还包括:
在判定攻击成功时,输出具有目标优先级的告警信息;所述告警信息包括所述被攻击主机的标识。
在上述实现过程中,当判定攻击成功时,输出告警,该告警会突出标记并重点展示,以使安全人员可以第一时间了解到攻击成功的情况并及时对相应的被攻击主机进行处理。
进一步地,在一些例子中,所述该方法还包括:
在判定攻击成功时,将所述目标域名以新情报的形式更新到所述本地情报库中。
在上述实现过程中,当判定攻击成功时,将本次从攻击载荷中提取出的域名更新到本地情报库中,从而丰富情报库,方便下一次的攻击判定。
进一步地,在一些例子中,所述该方法还包括:
将所述新情报的状态设置为待确认状态;
若所述新情报的状态在预设确认时间内未发生变更,将所述新情报的状态修改为已确认状态。
在上述实现过程中,将新情报的状态设置为待确认状态,由安全人员对该新情报的正确性做进一步确认,若该新情报的状态在预设确认时间内没有发生变动,则自动将该新情报的状态更改为已确认状态。如此,保障本地情报库的信息准确性。
第二方面,本申请提供的一种攻击判定装置,所述该装置包括:
检测模块,用于当网络环境中存在攻击流量时,根据本地情报库检测所述网络环境中的DNS请求所对应的待解析域名是否为恶意域名;
提取模块,用于若检测结果为否,从所述攻击流量的攻击载荷中提取出目标域名;
判定模块,用于根据所述攻击流量对应的被攻击主机是否发出解析所述目标域名的请求,判定是否攻击成功。
第三方面,本申请提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种攻击判定方法的流程图;
图2为本申请实施例提供的一种基于DNS请求的攻击判定方案的工作流程的示意图;
图3为本申请实施例提供的一种攻击判定装置的框图;
图4为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
如背景技术记载,相关技术中存在着无法有效识别出攻击成功的问题。基于此,本申请实施例提供一种攻击判定方案,以解决这一问题。
接下来对本申请实施例进行介绍:
如图1所示,图1是本申请实施例提供的一种攻击判定方法的流程图,该方法可以应用于网络安全设备,如NIDS(Network Intrusion Detection System,网络入侵检测系统)、NDR(Network Detection and Response,网络检测与响应)系统等。该网络安全设备可以旁路部署在核心交换机上。
该方法包括:
在步骤101、当网络环境中存在攻击流量时,根据本地情报库检测网络环境中的DNS请求所对应的待解析域名是否为恶意域名;
本步骤中提到的网络环境可以是局域网,如一个企业的内网。在实现时,网络安全设备可以通过设置在交换机上的流量采集探针,实时采集局域网的网络流量,并利用自身的分析引擎对采集的网络流量进行检测,以确定是否存在攻击流量。这里的攻击流量可以是指攻击者在网络上攻击目标主机的网络攻击流量,同时也可以是指需要检测是否攻击成功的网络攻击流量。当然,网络环境中是否存在攻击流量也可以通过其它检测工具来检测得到,本申请对此不作限制。
本实施例方案中,通过本地情报库来检测网络环境中的DNS请求中要解析的域名是否是恶意的。DNS,全称为Domain Name System,即域名系统,是一种用于将域名和IP地址相互映射的分布式数据库系统。当用户需要访问一个域名时,应用程序会向DNS服务器发起一个DNS请求,DNS服务器返回该域名对应的IP地址,使得用户能够访问对应的网站。而利用情报来判断DNS是否在解析恶意域名,以此来判断是否正在遭受网络攻击。这里的本地情报库可以认为是一个存储多个域名及其对应的属性信息的数据库,其可以通过各种渠道,如开源情报处、网络安全厂商等来进行更新。在实现时,网络安全设备可以监测网络环境中的DNS请求,从中提取出待解析域名,并以此作为查询条件在本地情报库中进行查询,从而确定该待解析域名是否为恶意域名。
在一些实施例中,若根据本地情报库检测网络环境中的DNS请求所对应的待解析域名为恶意域名,判定攻击成功。也就是说,当本地情报库显示待解析域名为恶意域名时,表明在遭受网络攻击后,网络环境中的部分主机存在针对不安全的网址的访问行为,此时可以直接判定攻击成功。如此,提升对攻击结果的识别效率。
另外,在未发现有网络攻击的时候,网络安全设备也可以通过本地情报库对网络环境中的DNS请求进行持续检测,这样,在攻击检测工具漏检误检时,也能够有效降低因网络攻击造成的损失。
在步骤102、若检测结果为否,从攻击流量的攻击载荷中提取出目标域名;
攻击载荷(payload)是系统被攻陷后执行的多阶段恶意代码,攻击载荷通常附加于漏洞攻击模块之上,随漏洞攻击一起分发,并可能通过网络获取更多的组件。本步骤是指:在通过本地情报库检测得网络环境中的DNS请求里所要解析的域名并非恶意域名时,利用漏洞攻击配合被攻击主机的DNS请求来执行进一步判定,以提升判定结果的准确性。
网络安全设备可以对攻击流量进行解析,利用攻击载荷的特征,从攻击流量中提取出攻击载荷对应的数据内容,之后提取出攻击载荷中的域名,即目标域名。在一些实施例中,本步骤中提到的从攻击流量的攻击载荷中提取出目标域名可以包括:利用目标字符串或目标正则表达式,对攻击流量的攻击载荷进行匹配,并根据匹配结果提取出目标域名;目标字符串和目标正则表达式是基于域名的格式设置的。也就是说,在提取目标域名时,可以利用字符串匹配或正则匹配的方式,按照域名的格式直接匹配攻击载荷中的域名。例如,域名通常包含域名后缀,即位于域名最后一部分的标识符号,如.com或.cn等,因此,可以根据域名后缀设置目标字符串或目标正则表达式,以此来对攻击载荷进行匹配,从而提取出攻击载荷中的域名。此外,这里的目标字符串或目标正则表达式也可以根据一些特定漏洞的特定位置来进行设置。
在其他一些实施例中,本步骤中提到的从攻击流量的攻击载荷中提取出目标域名可以包括:在攻击流量的攻击载荷中匹配预设清单中的方法或语句;预设清单是基于不同语言场景中描述请求的方法或语句组成的;语言场景包括以下任意一种:编程语言、结构化查询语言语句、表达式和中间件;根据匹配到的方法或语句,将相应位置上的域名确定为目标域名并提取出来。也就是说,在提取目标域名时,也可以先通过收集编程语言、SQL语句、表达式和中间件等能进行请求的方法或语句,形成预设清单checklist,再利用字符串匹配或正则匹配的方式,在攻击载荷中匹配checklist中的方法或语句,如果匹配上了就提取该方法或语句相应位置上的域名,得到目标域名。
考虑到一些攻击载荷中的域名可能进行了混淆和/或加密,这会导致提取出的域名并非实际的域名,因此,进一步地,在一些实施例中,前面提到的在攻击流量的攻击载荷中匹配预设清单中的方法或语句可以包括:对攻击流量的攻击载荷进行语法语义分析,生成目标语法树;在目标语法树上匹配预设清单中的方法或语句。也就是说,在通过checklist分析域名的基础上,还可以引入语法语义分析,以提高提取出的域名的准确性。顾名思义,语法语义分析包括语法分析和语义分析,其中,语法分析是将源代码分解成标记序列,再将标记序列组成语法树,而语义分析是分析语法树是否符合语义规范,而在本实施例方案中,对攻击载荷进行语法语义分析时,可以是先将攻击载荷分解成标记序列,由标记序列生成语法树,再对语法树进行语义分析,按照域名的结构对语法树进行调整,从而得到目标语法树。如此,即便方法参数或语句中域名进行了混淆和加密也可以准确地提取出来。另外,在实现时,这里的语法语义分析可以通过预先建立的机器学习模型来完成分析任务。
此外,在实现时,针对前面提到的三种提取攻击载荷中的域名的方式,网络安全设备可以任选其中的一种来实施,也可以将这三种方式合并在一起,如先利用字符串匹配或正则匹配的方式,按照域名的格式直接匹配攻击载荷中的域名,若匹配不到,则在攻击载荷中匹配checklist中的方法或语句,若还是匹配不到,则利用语法语义分析并结合checklist来匹配攻击载荷中的域名,若还是匹配不到,则将本次攻击判定为未知,输出相应的告警信息,以使安全人员采用其它方式对攻击结果进行检测,这样,在提升处理效率的同时,提升了判定结果的准确性。
在步骤103、根据攻击流量对应的被攻击主机是否发出解析目标域名的请求,判定是否攻击成功。
本步骤是指:在提取到攻击载荷中的域名,即目标域名后,监测被攻击主机的DNS请求,若被攻击主机的DNS请求中要解析的域名是该目标域名,则判定攻击成功。
具体地,在一些实施例中,本步骤之前可以包括:通过记录攻击流量对应的被攻击主机的IP地址和目标域名之间的对应关系,形成目标表;根据目标表,检测被攻击主机是否发出解析目标域名的请求。也就是说,在提取到攻击载荷中的域名后,可以保存提取出的域名,同时记录被攻击主机的IP地址,形成一个记录目标域名和被攻击主机IP地址之间对应关系的表,网络安全设备可以根据此表来执行监测任务,这样,即便网络环境中出现多个被攻击主机,网络安全设备也可以对这多个被攻击主机进行精确监控,从而使得最终判定的攻击结果更为准确。
考虑到在判定本次攻击载荷是否攻击成功的过程中,可能存在其它攻击载荷使用同一个域名并攻击成功,此时若将其攻击成功结果判定为本次攻击载荷的攻击结果,会影响到安全人员对被攻击主机的处理,是不合理的。因此,在一些实施例中,本步骤中提到的根据攻击流量对应的被攻击主机是否发出解析目标域名的请求,判定是否攻击成功可以包括:若攻击流量对应的被攻击主机在攻击进行后的预设过期时间内发出解析目标域名的请求,判定攻击成功。也就是说,只有当被攻击主机在攻击进行后的预设过期时间内发出针对目标域名的DNS请求,才判定攻击成功,这样,可以提升判定结果的合理性。其中,该预设过期时间可以设置为3至10分钟;另外,前面提到的目标表中的每一个数据项都可设置过期时间,网络安全设备仅对未到达过期时间的被攻击主机的流量进行监控,从而有效节约资源。
还有,在一些实施例中,上述方法还可以包括:在判定攻击成功时,输出具有目标优先级的告警信息;告警信息包括被攻击主机的标识。也就是说,当判定攻击成功时,网络安全设备可以输出告警信息,该告警信息中包括被攻击主机的标识,如主机名、主机编号、IP地址等,该告警信息具有目标优先级,即该告警信息会突出标记并重点展示,这样,安全人员可以第一时间了解到攻击成功的情况并及时对相应的被攻击主机进行处理。另外,网络安全设备还可以提供自动封禁攻击成功的被攻击主机的功能,也就是说,在判定攻击成功时,网络安全设备可以对该被攻击主机进行封禁,如禁止该被攻击主机访问局域网内其它设备并限制该被攻击主机访问外网,从而有效降低因网络攻击成功而造成的损失。
此外,在一些实施例中,上述方法还可以包括:在判定攻击成功时,将目标域名以新情报的形式更新到本地情报库中。也就是说,当判定攻击成功时,表明本次从攻击载荷中提取出的域名应是恶意域名,此时网络安全设备可以将该域名更新到本地情报库中,这样可以丰富情报库,从而方便后续的攻击判定。考虑到可能存在误报的情况,进一步地,上述方法还可以包括:将新情报的状态设置为待确认状态;若新情报的状态在预设确认时间内未发生变更,将新情报的状态修改为已确认状态。也就是说,在将目标域名作为新情报更新到本地情报库中时,将该新情报标记成待确认状态,由安全人员对该新情报的正确性做进一步确认,若该新情报的状态在预设确认时间内没有发生变动,则自动将该新情报的状态更改为已确认状态。如此,保障本地情报库的信息准确性。其中,该预设确认时间可以是7天,也可以根据具体场景的需求进行其它的设置,本申请对此不做限制。
本申请实施例,当网络环境中存在攻击流量时,先根据本地情报库检测网络环境中的DNS请求所要解析的域名是否为恶意域名,当本地情报库显示该域名不为恶意域名时,再从攻击流量的攻击载荷中提取出目标域名,之后,监测被攻击主机的DNS请求,若被攻击主机的DNS请求中要解析的域名是该目标域名,则判定攻击成功。如此,分别利用情报和漏洞攻击来结合DNS请求来判定攻击是否成功,提升对攻击结果的识别效率和准确性。
为了对本申请的方案做更为详细的说明,接下来介绍一具体实施例:
本实施例涉及计算机网络入侵防御场景,在本实施例之前,在检测到网络环境中有主机遭受网络攻击时,通常是由安全人员进行人工检查,以判定是否攻击成功,处理效率低下,并且容易误判。基于此,本实施例提供一种基于DNS请求的攻击判定方案,用以有效识别出攻击结果。本实施例方案可以应用于网络安全设备,如NIDS或NDR设备,该设备可以是硬件设备,也可以软件化部署,其通过网络交换机接收流量。
该方案的工作流程如图2所示,包括:
S201、监控网络环境中的DNS请求;
S202、检测DNS请求中要解析的域名,查询本地情报库,以确定该域名是否为恶意域名,是则执行S214,否则执行S203;
S203、检测是否存在攻击流量,是则执行S204,否则返回S201;
S204、利用字符串匹配或正则匹配的方式,按照域名的格式匹配攻击流量的攻击载荷中的域名;
S205、判断是否匹配成功,是则执行S210,否则执行S206;
S206、利用字符串匹配或正则匹配的方式在攻击载荷中匹配checklist中的方法或语句,该checklist通过收集编程语言、sql语句、表达式和中间件的能进行请求的方法或语句而形成;
S207、判断是否匹配成功,是则执行S211,否则执行S208;
S208、对攻击载荷进行语法语义分析,生成语法树,再在语法树上匹配checklist中的方法或语句;
S209、判断是否匹配成功,是则执行S211,否则执行S210;
S210、将本次攻击判定为未知;
S211、提取出攻击载荷中的域名,保存提取出的域名,并同时记录被攻击主机的IP地址,形成一个记录提取出的域名和被攻击主机IP之间对应关系的表,表中的每一个数据项都设置过期时间;
S212、监测被攻击主机是否在攻击进行后的过期时间内发送针对提取出的域名的DNS请求,是则执行S214,否则执行S213;
S213、判定攻击失败;
S214、判定攻击成功;
S215、输出攻击成功的告警信息,该告警信息突出标记并重点展示;
S216、将提取出的域名作为新情报更新到本地情报库中,并将新情报的状态标记为待确认状态;
S217、检测该新情报的状态是否在7天内发生变动,是则执行S218,否则执行S219;
S218、保持该新情报的当前状态;
S219、将该新情报的状态变更为已确认状态。
经试验确定,本申请实施例可以准确地判定攻击成功,广泛覆盖传统僵木蠕、APT和Web攻击等,并且有效提升对攻击结果的判定效率。
与前述方法的实施例相对应,本申请还提供攻击判定装置及其应用的终端的实施例:
如图3所示,图3是本申请实施例提供的一种攻击判定装置的框图,该装置包括:
检测模块31,用于当网络环境中存在攻击流量时,根据本地情报库检测网络环境中的DNS请求所对应的待解析域名是否为恶意域名;
提取模块32,用于若检测结果为否,从攻击流量的攻击载荷中提取出目标域名;
判定模块33,用于根据攻击流量对应的被攻击主机是否发出解析目标域名的请求,判定是否攻击成功。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本申请还提供一种电子设备,请参见图4,图4为本申请实施例提供的一种电子设备的结构框图。电子设备可以包括处理器410、通信接口420、存储器430和至少一个通信总线440。其中,通信总线440用于实现这些组件直接的连接通信。其中,本申请实施例中电子设备的通信接口420用于与其他节点设备进行信令或数据的通信。处理器410可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器410可以是通用处理器,包括中央处理器(CPU,CentralProcessingUnit)、网络处理器(NP,NetworkProcessor)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器410也可以是任何常规的处理器等。
存储器430可以是,但不限于,随机存取存储器(RAM,RandomAccessMemory),只读存储器(ROM,Read Only Memory),可编程只读存储器(PROM ,Programmable Read-OnlyMemory),可擦除只读存储器(EPROM ,Erasable Programmable Read-Only Memory),电可擦除只读存储器(EEPROM ,Electric Erasable Programmable Read-Only Memory)等。存储器430中存储有计算机可读取指令,当计算机可读取指令由处理器410执行时,电子设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。
存储器430、存储控制器、处理器410、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线440实现电性连接。处理器410用于执行存储器430中存储的可执行模块,例如电子设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图4所示的结构仅为示意,电子设备还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种存储介质,存储介质上存储有指令,当指令在计算机上运行时,计算机程序被处理器执行时实现方法实施例所述的方法,为避免重复,此处不再赘述。
本申请还提供一种计算机程序产品,计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
该功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种攻击判定方法,其特征在于,所述方法包括:
当网络环境中存在攻击流量时,根据本地情报库检测所述网络环境中的DNS请求所对应的待解析域名是否为恶意域名;
若检测结果为否,从所述攻击流量的攻击载荷中提取出目标域名;
根据所述攻击流量对应的被攻击主机是否发出解析所述目标域名的请求,判定是否攻击成功;
若根据本地情报库检测所述网络环境中的DNS请求所对应的待解析域名为恶意域名,判定攻击成功;
所述从所述攻击流量的攻击载荷中提取出目标域名,包括:
对所述攻击流量的攻击载荷进行语法语义分析,生成目标语法树;
在所述目标语法树上匹配预设清单中的方法或语句;所述预设清单是基于不同语言场景中描述请求的方法或语句组成的;所述语言场景包括以下任意一种:编程语言、结构化查询语言语句、表达式和中间件;
根据匹配到的方法或语句,将相应位置上的域名确定为目标域名并提取出来。
2.根据权利要求1所述的方法,其特征在于,所述从所述攻击流量的攻击载荷中提取出目标域名,包括:
利用目标字符串或目标正则表达式,对所述攻击流量的攻击载荷进行匹配,并根据匹配结果提取出目标域名;所述目标字符串和所述目标正则表达式是基于域名的格式设置的。
3.根据权利要求1所述的方法,其特征在于,所述根据所述攻击流量对应的被攻击主机是否发出解析所述目标域名的请求,判定是否攻击成功之前,包括:
通过记录所述攻击流量对应的被攻击主机的IP地址和所述目标域名之间的对应关系,形成目标表;
根据所述目标表,检测所述被攻击主机是否发出解析所述目标域名的请求。
4.根据权利要求1所述的方法,其特征在于,所述根据所述攻击流量对应的被攻击主机是否发出解析所述目标域名的请求,判定是否攻击成功,包括:
若所述攻击流量对应的被攻击主机在攻击进行后的预设过期时间内发出解析所述目标域名的请求,判定攻击成功。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在判定攻击成功时,输出具有目标优先级的告警信息;所述告警信息包括所述被攻击主机的标识。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在判定攻击成功时,将所述目标域名以新情报的形式更新到所述本地情报库中。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
将所述新情报的状态设置为待确认状态;
若所述新情报的状态在预设确认时间内未发生变更,将所述新情报的状态修改为已确认状态。
8.一种攻击判定装置,其特征在于,所述装置包括:
检测模块,用于当网络环境中存在攻击流量时,根据本地情报库检测所述网络环境中的DNS请求所对应的待解析域名是否为恶意域名;
提取模块,用于若检测结果为否,从所述攻击流量的攻击载荷中提取出目标域名;
判定模块,用于根据所述攻击流量对应的被攻击主机是否发出解析所述目标域名的请求,判定是否攻击成功;
所述判定模块还用于:若根据本地情报库检测所述网络环境中的DNS请求所对应的待解析域名为恶意域名,判定攻击成功;
所述提取模块具体用于:
对所述攻击流量的攻击载荷进行语法语义分析,生成目标语法树;
在所述目标语法树上匹配预设清单中的方法或语句;所述预设清单是基于不同语言场景中描述请求的方法或语句组成的;所述语言场景包括以下任意一种:编程语言、结构化查询语言语句、表达式和中间件;
根据匹配到的方法或语句,将相应位置上的域名确定为目标域名并提取出来。
9.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
10.一种电子设备,其特征在于,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
CN202311559711.8A 2023-11-22 2023-11-22 一种攻击判定方法、装置、存储介质及设备 Active CN117294527B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311559711.8A CN117294527B (zh) 2023-11-22 2023-11-22 一种攻击判定方法、装置、存储介质及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311559711.8A CN117294527B (zh) 2023-11-22 2023-11-22 一种攻击判定方法、装置、存储介质及设备

Publications (2)

Publication Number Publication Date
CN117294527A CN117294527A (zh) 2023-12-26
CN117294527B true CN117294527B (zh) 2024-02-27

Family

ID=89258825

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311559711.8A Active CN117294527B (zh) 2023-11-22 2023-11-22 一种攻击判定方法、装置、存储介质及设备

Country Status (1)

Country Link
CN (1) CN117294527B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113127862A (zh) * 2019-12-31 2021-07-16 深信服科技股份有限公司 一种xxe攻击检测方法、装置、电子设备及存储介质
CN114301696A (zh) * 2021-12-30 2022-04-08 北京天融信网络安全技术有限公司 恶意域名检测方法、装置、计算机设备及存储介质
CN116055214A (zh) * 2023-01-17 2023-05-02 杭州迪普科技股份有限公司 攻击检测方法、装置、设备及可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113127862A (zh) * 2019-12-31 2021-07-16 深信服科技股份有限公司 一种xxe攻击检测方法、装置、电子设备及存储介质
CN114301696A (zh) * 2021-12-30 2022-04-08 北京天融信网络安全技术有限公司 恶意域名检测方法、装置、计算机设备及存储介质
CN116055214A (zh) * 2023-01-17 2023-05-02 杭州迪普科技股份有限公司 攻击检测方法、装置、设备及可读存储介质

Also Published As

Publication number Publication date
CN117294527A (zh) 2023-12-26

Similar Documents

Publication Publication Date Title
CN112131882B (zh) 一种多源异构网络安全知识图谱构建方法及装置
US10505986B1 (en) Sensor based rules for responding to malicious activity
US20150207811A1 (en) Vulnerability vector information analysis
CN111447215A (zh) 数据检测方法、装置和存储介质
CN111835777B (zh) 一种异常流量检测方法、装置、设备及介质
CN112887341B (zh) 一种外部威胁监控方法
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
CN114006778B (zh) 一种威胁情报的识别方法、装置、电子设备及存储介质
WO2021154114A1 (ru) Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника
CN112131571B (zh) 威胁溯源方法及相关设备
CN113886829A (zh) 一种失陷主机检测方法、装置、电子设备及存储介质
CN114461864A (zh) 一种告警溯源方法和装置
CN115801455B (zh) 一种基于网站指纹的仿冒网站检测方法及装置
CN117294527B (zh) 一种攻击判定方法、装置、存储介质及设备
CN115361182B (zh) 一种僵尸网络行为分析方法、装置、电子设备及介质
CN115481166B (zh) 一种数据存储方法、装置、电子设备及计算机存储介质
US12067120B2 (en) Classifier generator
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN112989403B (zh) 一种数据库破坏的检测方法、装置、设备及存储介质
CN115333930B (zh) 基于场景的日志归类方法、装置、电子设备及存储介质
KR102623432B1 (ko) 악성코드 메타 정보 수집 장치 및 방법
CN117176424A (zh) 一种数字取证的方法、系统、装置、设备及介质
CN115150160A (zh) 一种网络攻击特征的检测方法及系统
CN117938428A (zh) 一种告警日志的上报方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant