CN117424879A - 一种基于dns服务器的上网行为管理系统和方法 - Google Patents
一种基于dns服务器的上网行为管理系统和方法 Download PDFInfo
- Publication number
- CN117424879A CN117424879A CN202311463706.7A CN202311463706A CN117424879A CN 117424879 A CN117424879 A CN 117424879A CN 202311463706 A CN202311463706 A CN 202311463706A CN 117424879 A CN117424879 A CN 117424879A
- Authority
- CN
- China
- Prior art keywords
- tenant
- management
- internet surfing
- dns
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000004458 analytical method Methods 0.000 claims abstract description 70
- 238000001514 detection method Methods 0.000 claims abstract description 43
- 238000011217 control strategy Methods 0.000 claims description 8
- 230000000737 periodic effect Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 238000007405 data analysis Methods 0.000 claims description 5
- 208000001613 Gambling Diseases 0.000 claims description 4
- 230000003068 static effect Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 abstract description 68
- 238000002955 isolation Methods 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 115
- 238000005065 mining Methods 0.000 description 9
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000004807 localization Effects 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 239000002023 wood Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于DNS服务器的上网行为管理系统和方法,系统包括:SaaS化云管理平台和上网云管理平台,用户端通过网络配置以租户的形式接入所述上网云管理平台,上网云管理平台连接公共DNS解析系统,上网云管理平台包括安全检测模型、执行引擎、日志分析平台和威胁情报中心。本发明基于服务器实现上网管控,采用云平台架构和租户模式,易于部署和配置,能够快速检测潜在的威胁和疑似违规行为,而且不需要额外的硬件或复杂的设备,实现成本低,且不增加性能开销,具备高度的灵活性和可扩展性,保证企业用户数据的安全性和隔离性,降低了用户部署上网行为管理服务的难度。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种基于DNS服务器的上网行为管理系统和方法。
背景技术
在当前数字化时代,互联网已成为生活和工作的不可或缺的一部分。然而,互联网的广泛使用也带来了一系列挑战,包括访问控制、网络安全、资源管理和合规性等方面的问题。为了解决这些问题,上网行为管理技术应运而生。
DNS(Domain Name System)服务器是互联网上的一种关键网络基础设施,它用于将人类可读的域名映射到计算机网络中的IP地址。DNS服务器的主要作用是将域名解析为相应的IP地址,以便帮助计算机在互联网上定位和访问其他计算机或网络服务。DNS系统采用分层次结构,包括根域名服务器、顶级域名服务器、权威域名服务器和本地域名服务器等多个层次。这种结构允许DNS服务器相互协作,更高效地查找域名的IP地址。
传统上网行为管理方法主要依赖于网络防火墙、代理服务器和专用设备,用于控制和监管用户的互联网访问。这些传统方法通常使用基于IP地址、端口和协议的规则来实施访问控制。然而,这种方法存在一定的限制。传统方法通常难以提供对特定应用程序、内容类型和用户身份的精细控制;管理和配置传统设备需要高度的技术知识,对于普通用户来说,设置和维护是具有挑战性的;传统方法会增加性能开销和经济成本,因为网络流量必须经过额外的设备进行检查和过滤。
DNS服务器作为企业设备访问互联网的第一跳,能够提供前置分析和保护,同时DNS流量在网络通信流量中只占0.1%-1%,能大大降低资源和计算时间的消耗,再者DNS协议具有设备无关性,可以高效覆盖企业的所有联网设备,包含办公终端、应用服务器、IoT设备,而不用考虑其网络位置和操作系统类型。
发明内容
技术目的:针对上述传统上网行为管理缺乏精细控制、复杂性高、性能开销和经济成本高的问题,本发明提出了一种基于DNS服务器的上网行为管理系统和方法。
技术方案:为实现上述技术目的,本发明采用了如下技术方案:
一种基于DNS服务器的上网行为管理系统,包括SaaS化云管理平台和上网云管理平台,所述SaaS化云管理平台作为系统的web管理端,采用SaaS化云服务架构;用户端通过网络配置以租户的形式接入所述上网云管理平台,上网云管理平台连接公共DNS解析系统且接收租户的DNS请求;所述上网云管理平台包括安全检测模型、执行引擎、日志分析平台和威胁情报中心;
所述安全检测模型用于根据源IP地址验证租户的身份,检测合法租户的区域配置,检查租户区域下自定义的上网行为管理策略,基于管控策略和威胁情报数据,对DNS请求进行访问行为分析,根据访问行为分析的结果,下发上网行为管理策略至执行引擎,以及将日志上报至日志分析平台;
执行引擎,用于负责执行安全检测模型下发的上网行为管理策略,处理对应的租户的DNS请求;
日志分析平台,用于接收安全检测模型和执行引擎上传的日志,并对接收的日志进行数据分析,得到分析结果;
威胁情报中心,用于接收和存储日志分析平台的分析结果,生成供安全检测模型访问的威胁情报数据。
优选地,用户端按照以下配置方式以租户的形式接入上网行为管理系统:
若用户端内部具有一台DNS服务器,则在用户端的DNS服务器上选择安全DNS节点配置DNS转发器;
若用户端内部具有多台DNS服务器,则根据用户端内部的DNS服务器之间的网络关系,在所有最外层、上层或父域的DNS服务器上配置DNS转发器;
若用户端内部没有DNS服务器,则在出口链路负载设备上配置到安全DNS节点的DNAT和静态路由;
若用户端内部没有DNS服务器,也没有出口链路负载设备,按照网络拓扑的顺序,从外向里寻找对应的网络设备,在具备DNS劫持或者代理的功能的设备上进行配置。
优选地,所述安全检测模型中预备了域名库,域名库中数据包括:域名、网站名称、网站分类以及更新时间;网站分类包括:不良违法、色情、赌博和欺诈网站,以及广告、游戏娱乐、视频媒体、电商购物、小说漫画网站;
所述日志分析平台进行日志分析时,根据恶意域名的类型和互动频率,实时精确发现主机威胁;
所述威胁情报中心还用于精确识别恶意域名,及时发现访问恶意域名的用户,包括矿池、钓鱼网站、恶意软件、命令控制服务器。
优选地,所述SaaS化云管理平台设有:
租户创建模块,用于为用户端创建租户,分配对应租户下的管理员账号,并且根据用户端提供的出口IP地址设置对应的租户的基本网络空间区域;
网络区域配置模块,用于根据用户端的需求,对已创建的基本网络空间区域进行划分;
用户身份设置模块,用于为各个租户设置不同的账户,包括管理员账户、区域管理员账户和普通用户账户;
上网行为管理模块,用于自定义上网管理策略,并发送给安全检测模型;
日志分析模块,用于接收日志分析平台上传的原始日志,并对原始日志进行分析,得到分析报告,支持在线查看或导出日志报告的功能;
通知管理模块,用于通过邮件或短信向管理员发送实时威胁告警通知或周期性上网行为管理报告。
一种基于DNS服务器高度可配置的上网行为管理方法,应用于所述系统,包括步骤:
安全检测模型接收到租户的DNS请求,对租户的身份进行确认,若判断租户为合法租户,则检查租户区域下自定义的上网行为管理策略,基于管控策略和威胁情报数据,对DNS请求进行访问行为分析,根据访问行为分析的结果,下发上网行为管理策略至执行引擎,以及将日志上报至日志分析平台;
执行引擎执行安全检测模型上网行为管理策略,处理租户的DNS请求,并向日志管理平台上报日志;
日志分析平台接收安全检测模型和执行引擎上传的日志,并对接收的日志进行数据分析,得到分析结果并上传给威胁情报中心;
威胁情报中心,用于接收和存储日志分析平台的分析结果,生成供安全检测模型访问的威胁情报数据并存储,威胁情报数据包括IP黑白名单、域名黑白名单、拦截模式或告警模式信息。
优选地,所述安全检测模型执行上网管控流程:依次判断管控时间、IP白名单、IP黑名单、域名白名单、域名黑名单、基于网站分类的管控策略,根据判断的结果,确定当前管控模式并通过标签的方式标记管控操作。
优选地,所述安全检测模型执行恶意域名管控流程:依次验证恶意域名的白名单和黑名单,并查询威胁情报数据,根据验证和查询结果,判断当前管控模式并通过标签的方式标记操作。
优选地,用户端以租户的形式接入上网行为管理平台后,SaaS化云管理平台执行以下流程:
管理员为用户端创建租户,分配对应租户下的管理员账号,并且根据用户端提供的出口IP地址设置对应的租户的基本网络空间区域;
管理员根据用户端的需求,对已创建的基本网络空间区域进行划分;
管理员根据用户端的需求,在对应的租户下设置管理员账户、区域管理员账户或普通用户账户。
优选地,所述SaaS化云管理平台执行以下流程:
自定义上网管理策略,发送给安全检测模型;
接收日志分析平台上传的原始日志,对原始日志进行分析,得到分析报告;
通过邮件或短信向管理员发送实时威胁告警通知或周期性上网行为管理报告。
有益效果:由于采用了上述技术方案,本发明具有如下有益效果:
本发明基于DNS服务器实现上网管控,比传统方法易于部署和配置,基于云服务平台,不需要额外的硬件或复杂的设备,实现成本低,且不增加性能开销,同时作为企业设备访问互联网的第一跳,能够快速发现违规行为;
本发明能够基于网站分类和威胁情报提供更广泛的功能和精细的控制选项,帮助管理员深入了解网络活动,快速检测潜在的威胁和疑似违规行为;
本发明采用云平台架构和租户模式,具备高度的灵活性和可扩展性,保证企业用户数据的安全性和隔离性,降低了用户部署上网行为管理服务的难度。
附图说明
图1为本发明实施例提供的一种上网行为管理的企业部署接入示意图;
图2为本发明实施例提供的一种上网云管理平台的架构图;
图3为本发明实施例提供的一种上网行为管理系统中上网管控的流程图;
图4为本发明实施例提供的一种上网行为管理系统中威胁分析的流程图。
具体实施方式
下面结合附图对本发明的实施例作详细的说明。
如背景技术中所述,如果对企业网络实施上网行为管理功能,一般需要网络防火墙、代理服务器或其他专用设备,增加了实现成本和部署难度。为了解决这一问题,本发明基于DNS服务器实现上网行为管理的功能,并在SaaS化云服务平台上配置并下发管控策略。
DNS服务器除具备基本的域名解析功能外,还具有DNS域名阻止功能,即禁止某个IP解析特定域名的功能,这是通过配置DNS服务器上的域名过滤或域名拦截规则来实现的。这种功能通常用于网络安全或内容过滤,此处可用来实现上网行为管理功能。
在DNS服务器上执行DNS域名阻止功能时,需要根据需要DNS服务器类型使用特定软件或配置,以下是一些实施方法:
在Windows DNS Server上,可以通过配置ACL(访问控制列表)添加或编辑ACL,来添加一个规则来限制特定IP地址和子网对指定域名允许或拒绝解析的权限,允许使用正则表达式来匹配域名;
Linux操作系统上常用的DNS服务器软件包括BIND(Berkeley Internet NameDomain)、dnsmasq等,以BIND DNS服务器作为示例,步骤包括:打开配置文件/etc/bind/named.conf或/etc/named.conf,在域名区域中添加一个allow-query规则来控制特定IP地址和子网的解析权限,允许使用正则表达式来匹配域名。
实施例
图1为本发明公开的一种上网行为管理的企业部署接入示意图,包括SaaS化云管理平台和上网云管理平台,SaaS化云管理平台作为系统的web管理端,采用SaaS化云服务架构;用户端通过网络配置以租户的形式接入上网云管理平台,上网云管理平台连接公共DNS解析系统且接收租户的DNS请求。
由于DNS协议具有设备无关性,可以高效覆盖企业的所有联网设备,包含办公终端、应用服务器、IoT设备等,不用考虑操作系统类型。特别是对于多分支机构或异地办公用户,可以通过DNS转发器作为同一租户统一接入上网行为管理系统,部署过程简单灵活,不改变现有网络结构且不对网络区域的数量进行限制。
图2为本发明公开的一种上网云管理平台的架构图,该系统基于多个组件或模块提供更广泛的功能和精细的控制选项,组件或模块包括安全检测模型、执行引擎、日志分析平台和威胁情报中心。
1、安全检测模型
安全检测模型在接收到DNS请求后,首先基于源IP地址验证租户的身份,随后检测该租户的区域配置,接着检查自定义配置策略,包括管控时间、黑白名单等有无异常。然后基于管控策略和威胁情报数据对比DNS请求的域名,经访问行为分析后下发至执行引擎执行。
安全检测模型中预备了庞大且充分的域名库,域名库包括域名、网站名称、网站分类以及更新时间等数据,管理员可通过网站分类提高上网行为管理的效率。网站分类共包括六十余种,常被禁止访问的网站分类包括不良违法、色情、赌博和欺诈网站等,其他上网行为管理常用的网站分类还包括广告、游戏娱乐、视频媒体、电商购物、小说漫画等。
本发明中,企业通过接入上网行为管理系统,即安全DNS服务器,完成DNS域名解析的过程。当接收到DNS请求时,安全检测模型首先对租户的身份进行确认;对合法租户的DNS请求,安全检测模型检查该租户的区域配置,确认区域配置无误;安全检测模型进一步检查该租户区域下自定义的上网行为管理策略;安全检测模型对该DNS请求进行访问行为分析;根据行为分析的结果,安全检测模型下发策略至执行引擎,并将日志上报至日志分析平台;执行引擎负责执行上网行为管理策略,处理租户的DNS请求,并将日志上报至日志分析平台。
2、执行引擎
执行引擎负责执行上网行为管理策略,处理租户的DNS请求,并将日志上报至日志分析平台。
3、日志分析平台
日志分析平台接收安全检测模型和执行引擎上传的日志,并对接收的日志进行数据分析,得到分析结果。
4、威胁情报中心
威胁情报中心接收和存储日志分析平台的分析结果,生成供安全检测模型访问的威胁情报数据。
5、SaaS云管理平台/云平台
SaaS云管理平台作为SaaS化服务平台,提供管理端能力。SaaS云管理平台能够设置管控策略并下发至安全检测模型,并接收日志分析平台中的数据。
SaaS云管理平台作为web管理端具有以下功能:
(1)创建租户的功能:为企业创建租户,分配该租户下的管理员账号,并且根据企业提供的出口IP地址设置该租户的基本网络空间区域;
(2)网络区域配置的功能:可以对企业基本网络空间进行细致的划分,特别是针对多分支机构和拥有分公司的企业,有助于配置更灵活的上网行为管理方式;
(3)设置用户身份的功能:本租户下的身份包括管理员、区域管理员账户和普通用户身份;
(4)上网行为管理的功能:可以设置自定义上网管理策略;
(5)日志留存和分析的功能:日志分析平台保存了原始日志并对日志进行了深入的分析,支持在线查看或导出日志到本地的功能;
(6)通知管理的功能,可通过邮件或短信向管理员发送实时威胁告警通知或周期性上网行为管理报告。
本发明云管理平台用SaaS化云服务架构,企业通过租户的形式接入上网行为管理系统。云管理平台为企业提供服务包括不限于创建租户和该租户下管理员账号、租户网络变化或扩容、注销租户及管理员账号;云管理平台中不同租户之间的数据彼此隔离,不同租户的管理员不具有操作其他租户数据的权限。
用户身份和权限包括:超级管理员拥有云管理平台上最高的访问控制权限,包括不限于创建并管理租户和该租户下的访问控制权限。管理员或区域管理员拥有该租户或区域下的访问控制权限,包括不限于创建、修改、删除和查看本网络区域中上网行为管理的权限;普通用户拥有查看本网络区域中上网行为管理的访问控制权限,不具有创建、修改或删除访问控制的权限。
上网行为管理系统中预留了租户镜像,超级管理员可以为企业用户快速创建租户的实例镜像,并为该租户创建管理员账户,管理员拥有该租户下的全部管理权限。
租户间使用不同的实例镜像并相互隔离,镜像初始化时需要提供企业名称和网络区域。企业出口IP预先确认为静态IP,避免出现出口IP变更后管理员设置上网行为管理策略可能导致的越权问题。
当企业租户网络空间和出口地址发生变化时,超级管理员可以对该租户基本网络空间进行修改或扩容,以匹配企业不断增长的网络空间。
当企业不再需要上网行为管理服务时,超级管理员将注销该租户的管理员账户并删除该租户的实例镜像。
本发明系统的接入配置步骤包括:
使用nslookup工具判断安全DNS服务器节点网络是否可达;
若企业内部有一台DNS服务器,在DNS服务器上选择安全DNS节点配置DNS转发器;
若企业内部有多台DNS服务器,根据DNS服务器之间的网络关系,如同级关系、父域/子域关系、递归关系等,在所有最外层/上层或父域的DNS服务器上配置DNS转发器;
若企业内部没有DNS服务器,考虑在出口链路负载设备上配置到安全DNS节点的DNAT(Destination Network Address Translation目的地址转换)和静态路由;
若企业内部没有DNS服务器,也没有出口链路负载设备,按照网络拓扑的顺序,从外向里找对应的网络设备,包括上网代理、防火墙、DHCP服务器、VPN服务器、安全网关等,在具备DNS劫持或者代理的功能的设备上进行配置。
本发明实施例提供的上网行为管理系统具备的基本的上网行为管控能力包括:设置管控时间、设置IP黑白名单、设置域名黑白名单,以及设置拦截模式或告警模式。
系统具备的更精细化的上网行为管控能力包括:精确识别网站名称和网站分类;基于网站分类设置精确的访问控制,如管控违法、色情、赌博、游戏娱乐、电商购物等类型的网站;基于威胁情报中心精确识别恶意域名,及时发现访问恶意域名的用户,如矿池、钓鱼网站、恶意软件、命令控制服务器等;基于日志分析平台精确发现主机威胁,根据恶意域名的类型和互动频率等因素可以提供实时、准确的网络威胁发现能力;设置恶意域名黑白名单功能,避免因特殊业务要求而导致误判的情况。
实施例二
本实施例提供的一种上网行为管理系统中上网管控流程,上网行为管控依次判断管控时间、IP黑白名单、域名黑白名单以及基于网站分类的管控策略,然后判断当前管控模式,通过标签的方式标记管控操作。
具体流程如图3所示:
A1、判断DNS请求是否在管控时间内,若是,则进入步骤A2,若否,则进入步骤A6;
A2、判断DNS请求对应的IP是否列在IP黑白名单内,对应的域名是否在域名黑白名单内:若存在于IP白名单或域名白名单中,则进入步骤A6;若不存在于IP黑名单和IP白名单内,也不存在于域名黑名单和域名白名单内,则进入步骤A3;若存在于IP黑名单或域名黑名单内,则进入步骤A4,
A3、判断DNS请求对应的域名分类是否在管控策略中,若是,则进入步骤A4,若否,则进入步骤A6;
A4、为DNS请求打上行为管控标签,进入步骤A5;
A5、判断打上行为管控标签的DNS请求是否为封禁模式,若是,则打上封禁标签,进入步骤A6;若否,则直接进入步骤A6;
A6、下发上网行为管控策略至执行引擎,同时上报日志至日志分析平台。
网站名称和网站分类的匹配模式优先采取完全匹配,当请求安全DNS服务器解析的域名能够在数据库中完全匹配时,匹配上该条域名数据,当完全匹配失败时,则从左到右逐渐减少子域名级别,优先匹配该条域名数据。
上网行为管理系统中的威胁情报中心为安全检测模型提供大量威胁情报数据,包括10万条以上的恶意域名以及上百个家族信息,并保持定期更新。威胁情报取自多个威胁情报提供商、开源情报源和内部威胁情报源,恶意域名的类型包括恶意程序、木马病毒、勒索、挖矿、钓鱼网站、漏洞利用等二十余种。
实施例三
本实施例提供的一种上网行为管理系统中威胁分析的流程,威胁分析只验证恶意域名的黑白名单并查询相关威胁情报,同样判断当前管控模式并通过标签的方式标记操作。
具体流程如图4所示:
B1、判断DNS请求对应的域名是否在域名白名单内,若是,则进入步骤B5,若否,则进入步骤B2;
B2、判断DNS请求对应的域名是否在域名黑名单内,若是,则进入步骤B5,若否,则进入步骤B3;
B3、判断DNS请求对应的域名是否在威胁情报中,若是,则打上恶意域名标签,进入步骤B4,若否则时入步骤B5;
B4、判断打上恶意域名标签的DNS请求是否为封禁模式,若是,则打上封禁标签,进入步骤B5;若否,则直接进入步骤B5;
B5、下发上网行为管控策略至执行引擎,同时上报日志至日志分析平台。
恶意域名的匹配方式仅采用全匹配,当请求安全DNS服务器解析的域名能够在数据库中完全匹配某恶意域名时,会将请求者、该恶意域名、域名的分类、域名的家族、请求时间等详细记录日志并上报。
上网行为管理系统中的执行引擎负责执行相关管控策略,可能的执行操作包括不限于向公共DNS服务器请求解析并返回DNS响应数据包、阻止DNS的解析并重定向到安全页面、将执行的结果反馈给安全检测模型以及将操作日志上传至日志分析平台。
上网行为管理系统中的日志分析平台除了日志留存的功能外还提供了主机威胁发现功能,能够基于恶意域名的访问和威胁情报,快速定位受威胁主机,提供实时、准确的网络威胁发现和处置能力。
在威胁情报发现的基础上实现威胁主机定位功能可以帮助追踪到与恶意域名相关的受感染或受威胁的主机,通过记录尝试访问恶意域名时生成了DNS查询来确定哪些主机与恶意域名的交互最频繁,精准发现感染僵木蠕、勒索、病毒、后门等恶意程序的主机。
挖矿定位和阻断是威胁主机定位功能中的一个重要功能,特别是针对恶意加密货币挖矿活动。挖矿恶意软件会占用大量的计算资源,降低网络性能,导致服务器负载增加,同时增加企业的电力和硬件成本。云平台中的威胁情报中心收集了大量的恶意矿池域名,这些域名通常与挖矿恶意活动密切相关。当目标矿池域名被封禁后,直接阻断了挖矿主机访问矿池服务器DNS请求,从而无法参与挖矿。
以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解,上述实施例不以任何形式限制本发明,凡采用等同替换或等效变换的方式所获得的技术方案,均落在本发明的保护范围内。
Claims (9)
1.一种基于DNS服务器的上网行为管理系统,其特征在于,包括SaaS化云管理平台和上网云管理平台,所述SaaS化云管理平台作为系统的web管理端,采用SaaS化云服务架构;用户端通过网络配置以租户的形式接入所述上网云管理平台,上网云管理平台连接公共DNS解析系统且接收租户的DNS请求;所述上网云管理平台包括安全检测模型、执行引擎、日志分析平台和威胁情报中心;
所述安全检测模型用于根据源IP地址验证租户的身份,检测合法租户的区域配置,检查租户区域下自定义的上网行为管理策略,基于管控策略和威胁情报数据,对DNS请求进行访问行为分析,根据访问行为分析的结果,下发上网行为管理策略至执行引擎,以及将日志上报至日志分析平台;
执行引擎,用于负责执行安全检测模型下发的上网行为管理策略,处理对应的租户的DNS请求;
日志分析平台,用于接收安全检测模型和执行引擎上传的日志,并对接收的日志进行数据分析,得到分析结果;
威胁情报中心,用于接收和存储日志分析平台的分析结果,生成供安全检测模型访问的威胁情报数据。
2.根据权利要求1所述的一种基于DNS服务器的上网行为管理系统,其特征在于,用户端按照以下配置方式以租户的形式接入上网行为管理系统:
若用户端内部具有一台DNS服务器,则在用户端的DNS服务器上选择安全DNS节点配置DNS转发器;
若用户端内部具有多台DNS服务器,则根据用户端内部的DNS服务器之间的网络关系,在所有最外层、上层或父域的DNS服务器上配置DNS转发器;
若用户端内部没有DNS服务器,则在出口链路负载设备上配置到安全DNS节点的DNAT和静态路由;
若用户端内部没有DNS服务器,也没有出口链路负载设备,按照网络拓扑的顺序,从外向里寻找对应的网络设备,在具备DNS劫持或者代理的功能的设备上进行配置。
3.根据权利要求1所述的一种基于DNS服务器的上网行为管理系统,其特征在于,所述安全检测模型中预备了域名库,域名库中数据包括:域名、网站名称、网站分类以及更新时间;网站分类包括:不良违法、色情、赌博和欺诈网站,以及广告、游戏娱乐、视频媒体、电商购物、小说漫画网站;
所述日志分析平台进行日志分析时,根据恶意域名的类型和互动频率,实时精确发现主机威胁;
所述威胁情报中心还用于精确识别恶意域名,及时发现访问恶意域名的用户,包括矿池、钓鱼网站、恶意软件、命令控制服务器。
4.根据权利要求1所述的一种基于DNS服务器的上网行为管理系统,其特征在于,所述SaaS化云管理平台设有:
租户创建模块,用于为用户端创建租户,分配对应租户下的管理员账号,并且根据用户端提供的出口IP地址设置对应的租户的基本网络空间区域;
网络区域配置模块,用于根据用户端的需求,对已创建的基本网络空间区域进行划分;
用户身份设置模块,用于为各个租户设置不同的账户,包括管理员账户、区域管理员账户和普通用户账户;
上网行为管理模块,用于自定义上网管理策略,并发送给安全检测模型;
日志分析模块,用于接收日志分析平台上传的原始日志,并对原始日志进行分析,得到分析报告,支持在线查看或导出日志报告的功能;
通知管理模块,用于通过邮件或短信向管理员发送实时威胁告警通知或周期性上网行为管理报告。
5.一种基于DNS服务器的上网行为管理方法,应用于权利要求1~4任一系统,其特征在于,包括步骤:
安全检测模型接收到租户的DNS请求,对租户的身份进行确认,若判断租户为合法租户,则检查租户区域下自定义的上网行为管理策略,基于管控策略和威胁情报数据,对DNS请求进行访问行为分析,根据访问行为分析的结果,下发上网行为管理策略至执行引擎,以及将日志上报至日志分析平台;
执行引擎执行安全检测模型上网行为管理策略,处理租户的DNS请求,并向日志管理平台上报日志;
日志分析平台接收安全检测模型和执行引擎上传的日志,并对接收的日志进行数据分析,得到分析结果并上传给威胁情报中心;
威胁情报中心,用于接收和存储日志分析平台的分析结果,生成供安全检测模型访问的威胁情报数据并存储,威胁情报数据包括IP黑白名单、域名黑白名单、拦截模式或告警模式信息。
6.根据权利要求5所述的一种基于DNS服务器的上网行为管理方法,其特征在于,所述安全检测模型执行上网管控流程:依次判断管控时间、IP白名单、IP黑名单、域名白名单、域名黑名单、基于网站分类的管控策略,根据判断的结果,确定当前管控模式并通过标签的方式标记管控操作。
7.根据权利要求5所述的一种基于DNS服务器的上网行为管理方法,其特征在于,所述安全检测模型执行恶意域名管控流程:依次验证恶意域名的白名单和黑名单,并查询威胁情报数据,根据验证和查询结果,判断当前管控模式并通过标签的方式标记操作。
8.根据权利要求5所述的一种基于DNS服务器的上网行为管理方法,其特征在于,用户端以租户的形式接入上网行为管理平台后,SaaS化云管理平台执行以下流程:
管理员为用户端创建租户,分配对应租户下的管理员账号,并且根据用户端提供的出口IP地址设置对应的租户的基本网络空间区域;
管理员根据用户端的需求,对已创建的基本网络空间区域进行划分;
管理员根据用户端的需求,在对应的租户下设置管理员账户、区域管理员账户或普通用户账户。
9.根据权利要求8所述的一种基于DNS服务器的上网行为管理方法,其特征在于,所述SaaS化云管理平台执行以下流程:
自定义上网管理策略,发送给安全检测模型;
接收日志分析平台上传的原始日志,对原始日志进行分析,得到分析报告;
通过邮件或短信向管理员发送实时威胁告警通知或周期性上网行为管理报告。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311463706.7A CN117424879A (zh) | 2023-11-06 | 2023-11-06 | 一种基于dns服务器的上网行为管理系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311463706.7A CN117424879A (zh) | 2023-11-06 | 2023-11-06 | 一种基于dns服务器的上网行为管理系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117424879A true CN117424879A (zh) | 2024-01-19 |
Family
ID=89526250
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311463706.7A Pending CN117424879A (zh) | 2023-11-06 | 2023-11-06 | 一种基于dns服务器的上网行为管理系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117424879A (zh) |
-
2023
- 2023-11-06 CN CN202311463706.7A patent/CN117424879A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11652829B2 (en) | System and method for providing data and device security between external and host devices | |
US10284603B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
US11470115B2 (en) | Implementing decoys in a network environment | |
US8108930B2 (en) | Secure self-organizing and self-provisioning anomalous event detection systems | |
US20050246767A1 (en) | Method and apparatus for network security based on device security status | |
EP2132643B1 (en) | System and method for providing data and device security between external and host devices | |
EP2387746B1 (en) | Methods and systems for securing and protecting repositories and directories | |
AU2006324929A1 (en) | System and method for providing network security to mobile devices | |
US20060150243A1 (en) | Management of network security domains | |
CN117424879A (zh) | 一种基于dns服务器的上网行为管理系统和方法 | |
US7890999B2 (en) | RPC port mapper integrity checker to improve security of a provisionable network | |
US20230319093A1 (en) | Containerized network activity filtering | |
US12010141B1 (en) | System gateway while accessing protected non-web resources connected to internet | |
Daru et al. | Packet Filtering Gateway and Application Layer Gateway on Mikrotik Router Based Firewalls for Server and Internet Access Restrictions | |
GB2618655A (en) | Containerized network activity filtering | |
Kshama et al. | A Review Paper on Unified Threats Management | |
Phelps | SANS GCFW PRACTICAL ASSIGNMENT version 1.8 GIAC ENTERPRISES |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |