WO2023050933A1 - 确定失陷主机的方法及装置 - Google Patents

确定失陷主机的方法及装置 Download PDF

Info

Publication number
WO2023050933A1
WO2023050933A1 PCT/CN2022/101662 CN2022101662W WO2023050933A1 WO 2023050933 A1 WO2023050933 A1 WO 2023050933A1 CN 2022101662 W CN2022101662 W CN 2022101662W WO 2023050933 A1 WO2023050933 A1 WO 2023050933A1
Authority
WO
WIPO (PCT)
Prior art keywords
address
domain name
host
false
network
Prior art date
Application number
PCT/CN2022/101662
Other languages
English (en)
French (fr)
Inventor
杨多
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Publication of WO2023050933A1 publication Critical patent/WO2023050933A1/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

本申请公开了一种确定失陷主机的方法及装置,涉及通信技术领域。该方法应用于网络系统中的边界设备,该边界设备位于该网络系统中的内部网络的边界,该网络系统还包括位于该内部网络中的主机和内部域名系统DNS服务器。该方法包括:接收内部DNS服务器转发的来自主机的DNS域名请求;如果该DNS域名请求中携带的域名是恶意域名,则确定与该恶意域名一一对应的虚假网际互连协议IP地址;通过内部DNS服务器向主机返回该虚假IP地址;接收来自主机的通信链路建立请求报文;如果该通信链路建立请求报文的目的IP地址是虚假IP地址,确定发送该通信链路建立请求报文的主机为失陷主机。

Description

确定失陷主机的方法及装置
本申请要求于2021年09月30日提交国家知识产权局、申请号为202111161856.3、申请名称为“确定失陷主机的方法及装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信技术领域,尤其涉及一种确定失陷主机的方法及装置。
背景技术
当主机或终端被入侵成功或执行恶意软件,该主机或终端被称为失陷主机。当主机或终端成为失陷主机后,该失陷主机一般会与攻击者的服务器进行通信,以便攻击者的服务器通过向失陷主机发送指令从而将攻击进一步渗透到失陷主机所在的内部网络、或者窃取用户数据等。当前业界数据发现,大约超过90%的失陷主机会利用域名系统(domain name system,DNS)与攻击者的服务器进行通信。即,失陷主机会通过向互联网DNS服务器发送携带有恶意域名(即攻击者服务器所使用的域名)的DNS域名请求,并在接收到互联网DNS服务器针对该DNS域名请求所携带的恶意域名解析后返回的攻击者服务器的网际互连协议(internet protocol,IP)地址后,根据返回的攻击者服务器的IP地址与攻击者的服务器进行通信。
为解除失陷主机的威胁,则需要先查找到失陷主机。当前主流的查找失陷主机的方案主要是在边界设备(例如防火墙设备)处,基于恶意域名库对失陷主机发送的DNS域名请求中所携带的恶意域名进行检测,并在检测到恶意域名后,将发送携带该恶意域名的DNS域名请求的主机确定为失陷主机。
但是,当失陷主机的DNS域名请求是经内部DNS服务器被转发到达边界设备时,边界设备在检测到恶意域名后,会将转发携带该恶意域名的DNS域名请求的内部DNS服务器认作失陷主机,这样的话,即无法确定出真正的失陷主机,更无法进一步清除失陷主机的威胁。
发明内容
本申请提供了一种确定失陷主机的方法及装置,该方法能够在网络系统存在内部DNS服务器的场景下,准确的确定出失陷主机以及攻击证据信息。
为达上述目的,本申请提供如下技术方案:
第一方面,本申请提供一种确定失陷主机的方法,该方法应用于网络系统中的边界设备,该边界设备位于该网络系统中的内部网络的边界,该网络系统还包括位于该内部网络中的主机和内部域名系统DNS服务器。该方法包括:接收内部DNS服务器转发的来自主机的DNS域名请求。如果该DNS域名请求中携带的域名是恶意域名,则确定与该恶意域名一一对应的虚假网际互连协议IP地址。通过内部DNS服务器向主机返回该虚假IP地址。接收来自主机的通信链路建立请求报文。如果该通信链路建立请求报文的目的IP地址是虚假IP地址,则确定发送该报文的主机为失陷主机。
通过本申请提供的方法,在网络系统存在内部DNS服务器的场景下,网络系统的 边界设备(例如防火墙设备)可以快速确定出失陷主机。并且,边界设备还可以确定出各失陷主机所请求访问的恶意域名。以便于边界设备基于与该失陷主机所请求访问的恶意域名,从恶意域名数据库中确定该域名的相关信息,例如该域名的家族信息和该域名家族的战术、技术、过程(Tactics,Techniques,and Procedures,TTPs)信息等。这样,基于这些信息,用户即可快速的分析并制定出有效的威胁处置方案来对失陷主机进行处理,以解除失陷主机的威胁。
在一种可能的设计方式中,上述的虚假IP地址是虚假IP地址池中的未被占用的任一个IP地址。
在另一种可能的设计方式中,上述确定与该恶意域名一一对应的虚假IP地址之前,上述方法还包括:接收用户输入的虚假IP地址池的网段地址。或者,根据网络系统的内部网络中空闲的IP地址,生成虚假IP地址池。
通过该两种可能的设计,边界设备可以预先配置得到虚假IP地址池,该虚假IP地址池中的IP地址例如可以是用户自定义输入的IP地址,或者是边界设备自动生成的。这样,基于预先配置的虚假IP地址池,边界设备可以在接收到内部DNS服务器发送的携带有恶意域名的域名请求时,为该恶意域名分配与其一一对应的虚假IP地址。
在另一种可能的设计方式中,在上述确定发送通信链路建立请求报文的主机为失陷主机之后,上述方法还包括:输出第一攻击信息,该第一攻击信息包括该主机的标识信息、以及与该主机请求通信的虚假IP地址对应的恶意域名。其中,该主机的标识信息即为失陷主机的标识信息。
根据该可能的设计方式,边界设备可以输出包括第一攻击信息的安全日志,即生成包括失陷主机的标识信息、以及与该失陷主机请求通信的虚假IP地址对应的恶意域名的安全日志。这样,用户即可基于安全日志所记录的主机和恶意域名,对主机进行相应处理,已解除其安全威胁。其中,失陷主机的标识信息例如是该主机的IP地址。
在另一种可能的设计方式中,上述虚假IP地址池部署在云端设备,则上述确定与该恶意域名一一对应的虚假IP地址包括:向云端设备发送用于获取与该恶意域名一一对应的虚假IP地址的地址获取请求,该地址获取请求中携带有恶意域名。接收云端设备根据该地址获取请求返回的虚假IP地址,该虚假IP地址是云端设备为该恶意域名确定的与该述恶意域名一一对应、且可通信的虚假IP地址。
通过该可能的设计方式,为恶意域名分配虚假IP地址的算法即可由云端设备执行,从而节省了边界设备的计算资源消耗。
在另一种可能的设计方式中,上述虚假IP地址池中的IP地址是可通信的IP地址,如果上述通信链路建立请求报文的目的IP地址是虚假IP地址,上述方法还包括:向虚假IP地址指示的网络设备转发该通信链路建立请求报文,以建立上述主机和网络设备之间的通信连接。获取该主机通过该通信连接向网络设备发送的数据报文的负载内容。输出包括数据报文的负载内容、该主机的标识信息、以及与虚假IP地址对应的恶意域名的第二攻击信息。其中,与该网络设备建立了通信连接的主机的标识信息即为失陷主机的标识信息。
通过该可能的设计方式,边界设备在确定失陷主机及攻击的恶意域名后,还可以获取到失陷主机和恶意域名所指示的攻击服务器进行通信的负载内容(例如首包负载 内容)。也就是说,本申请提供的方法不仅可以快速确定失陷主机,还可以获取到攻击该失陷主机的攻击证据信息,该攻击证据信息例如包括攻击者服务器的域名,以及失陷主机和攻击者服务器通信的第一现场的数据负载内容。这样,基于这些攻击证据信息,可以使得用户快速且有效的分析攻击者的身份以及分析此次攻击的攻击性质,从而使得用户可以快速制定出有效的威胁处置方案来对失陷主机进行处理,以解除失陷主机的威胁。
在另一种可能的设计方式中,上述获取主机通过该通信连接向网络设备发送的数据报文的负载内容包括:向网络设备转发来自主机的数据报文,网络设备用于抓取包括数据报文的负载内容。接收网络设备发送的数据报文的负载内容。
通过该可能的设计方式,抓取数据报文的负载内容可以由可通信虚假IP地址所指示的网络设备执行,这样可以节省网络设备的计算资源消耗。
第二方面,本申请提供了一种确定失陷主机的装置。
在一种可能的设计方式中,该确定失陷主机的装置用于执行上述第一方面提供的任一种方法。本申请可以根据上述第一方面提供的任一种方法,对该确定失陷主机的装置进行功能模块的划分。例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。示例性的,本申请可以按照功能将该确定失陷主机的装置划分为接收单元、确定单元以及发送单元等。上述划分的各个功能模块执行的可能的技术方案和有益效果的描述均可以参考上述第一方面或其相应的可能的设计提供的技术方案,此处不再赘述。
在另一种可能的设计中,该确定失陷主机的装置包括:存储器、网络接口和一个或多个处理器,该一个或多个处理器通过该网络接口接收或发送数据,该一个或多个处理器被配置为读取存储在存储器中的程序指令,以执行如第一方面及其任一种可能的设计方式提供的任一种方法。
第三方面,本申请提供了一种确定失陷主机的系统,该系统包括边界设备和云端设备,该边界设备位于网络系统中的内部网络的边界,该网络系统还包括位于该内部网络中的主机和内部域名系统DNS服务器。云端设备位于该内部网络的外部。其中,该边界设备用于接收来自主机的DNS域名请求,并在该DNS域名请求中的域名是恶意域名时,向云端设备发送携带有该恶意域名的地址获取请求。云端设备用于接收该地址获取请求,并确定与该地址获取请求所携带的恶意域名一一对应的虚假IP地址,以及向边界设备返回虚假IP地址。边界设备还用于接收该虚假IP地址,并向前述主机返回该虚假IP地址;以及,用于接收来自该主机的通信链路建立请求报文,并在该通信链路建立请求报文的目的IP地址是虚假IP地址时,确定该主机为失陷主机。
第四方面,本申请提供了一种计算机可读存储介质,该计算机可读存储介质包括程序指令,当程序指令在计算机或处理器上运行时,使得计算机或处理器执行第一方面中的任一种可能的实现方式提供的任一种方法。
第五方面,本申请提供了一种计算机程序产品,当其在确定失陷主机的装置上运行时,使得第一方面中的任一种可能的实现方式提供的任一种方法被执行。
第六方面,本申请提供了一种芯片,包括存储器和处理器。其中,存储器用于存储计算机指令,处理器用于从存储器中调用并运行该计算机指令,以执行上述第一方 面及其第一方面任意可能的实现方式中的方法。
可以理解的是,上述提供的任一种装置、计算机存储介质、计算机程序产品或芯片系统等均可以应用于上文所提供的对应的方法,因此,其所能达到的有益效果可参考对应的方法中的有益效果,此处不再赘述。
在本申请中,上述确定失陷主机的装置的名字对设备或功能模块本身不构成限定,在实际实现中,这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本申请类似,属于本申请权利要求及其等同技术的范围之内。
附图说明
图1为本申请实施例提供的一种网络系统的架构示意图;
图2为本申请实施例提供的一种边界设备的硬件结构示意图;
图3为本申请实施例提供的一种确定失陷主机的方法流程示意图;
图4a为本申请实施例提供的一种由云端设备预置第一虚假IP地址池的示意图;
图4b为本申请实施例提供的一种配置虚假IP地址池的示意图;
图4c为本申请实施例提供的另一种确定失陷主机的方法流程示意图;
图5a为本申请实施例提供的另一种确定失陷主机的方法流程示意图;
图5b为本申请实施例提供的另一种确定失陷主机的方法流程示意图;
图6为本申请实施例提供的一种确定失陷主机的装置的结构示意图。
具体实施方式
为了更清楚的理解本申请实施例,下面对本申请实施例中涉及的部分术语或技术进行说明。
1)、失陷主机
失陷主机通常是指被攻击者通过网络入侵,以某种方式(例如通过钓鱼邮件运行恶意软件)获得控制权的主机。在获得控制权后,攻击者可能以该主机为跳板继续攻击企业内网的其他主机。
2)、其他术语
在本申请的实施例中,术语“第一”、“第二”并不是表示顺序关系,而是为了区别不同的对象,以下文件中提到的第一、第二等也是为了区别不同的攻击信息等,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。
还应理解,本文中所使用的术语“和/或”是指并且涵盖相关联的所列出的项目中的一个或多个项目的任何和全部可能的组合。术语“和/或”,是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本申请中的字符“/”,一般表示前后关联对象是一种“或”的关系。
还应理解,在本申请的各个实施例中,各个过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
为避免边界设备将用于转发来自用户主机的DNS域名请求的内部DNS服务器误判为失陷主机,边界设备可以预置内部DNS服务器的信息,例如预置内部DNS服务器的身份证标识号(Identity document,ID)及其IP地址。这里,该ID用于唯一标识 一个内部DNS服务器。
这样,在边界设备检测到DNS域名请求中的恶意域名时,先根据预置的内部DNS服务器的ID及其IP地址判断该DNS域名请求中的源IP地址是否是内部DNS服务器的IP地址。如果是,则向该内部DNS服务器发送定位请求,该定位请求用于请求内部DNS服务器对发送携带该恶意域名的DNS域名请求的失陷主机进行身份定位。作为响应,内部DNS服务器即在接收到边界设备发送的定位请求后,根据自身存储的DNS域名请求,确定出发送携带该恶意域名的DNS域名请求的源IP地址。这里,该源IP地址所指示的主机即为失陷主机。这样,即确定出了真正的失陷主机。
然而在实际应用中,内部DNS服务器不会主动发起与网络边界设备的交互,若需要内部DNS服务器和网络边界设备进行交互,需要向业务提供商定制该服务,因此该方案的成本较高。另外,网络边界设备一般也很难获取到内部DNS服务器的信息。
基于此,本申请实施例提供了一种确定失陷主机的方法,该方法应用于边界设备,该方法通过边界设备在接收到的DNS域名请求中检测到恶意域名时,确定与该恶意域名一一对应的虚假IP地址,并将该虚假IP地址作为该DNS域名请求的解析IP地址返回给主机。在本申请实施例中,“虚假”IP地址是相对于恶意域名对应的真实IP地址(即攻击者服务器的IP地址)而言的虚假IP地址,换句话说,虚假IP地址是指不同于攻击者服务器的IP地址的另一IP地址,而并不是说该IP地址必然是虚假、不存在、或者不可通信的。应理解,该虚假IP地址可以是可通信的IP地址,也可以是不可通信的IP地址,这里不作限定。
这样,当边界设备接收到请求与该虚假IP地址进行通信的通信链路建立请求报文时,即可将发送该通信链路建立请求报文的主机确定为失陷主机。并且,边界设备还将该失陷主机的标识信息、以及为该失陷主机返回的虚假IP地址所对应的恶意域名记录在日志中并输出。这样,该恶意域名作为攻击者攻击该失陷主机的攻击证据信息,即能够用于对攻击失陷主机的攻击者服务器进行溯源,这样即有利于后续快速的制定对该失陷主机的威胁进行处理的处置方案,从而提高了处理失陷主机威胁的处置效率。
进一步的,本申请实施例向失陷主机返回的虚假IP地址如果是可通信的虚假IP地址。这样的话,当失陷主机将该可通信的虚假IP地址当做攻击者服务器的IP地址时,边界设备可以获取到该失陷主机与该可通信的虚假IP地址进行通信时的数据报文的负载内容(payload)。该数据报文的负载内容作为攻击证据信息,能够用于更精准的对失陷主机的威胁进行分析,进而使用户更准确高效的对失陷主机的威胁进行处置。
本申请实施例还提供一种网络系统,上述确定失陷主机的方法可以应用于该网络系统。参考图1,图1示出了本身申请实施例提供的一种网络系统10的架构示意图。这里,该网络系统10中的设备可以通过内部网络进行连接通信。该内部网络例如可以是企业内网,学校内网等,本申请实施例对此不作限定。
如图1所示,网络系统10可以包括多个内部主机、内部DNS服务器101、以及边界设备102。边界设备102位于网络系统10中的内部网络的边界。在本申请实施例中,“边界”是一个宽泛的概念,内部网络与外部网络通信报文转发路径上的设备,均可视为边界设备。其中,该多个内部主机例如包括内部主机1、内部主机2、内部主机3等。该多个内部主机分别与内部DNS服务器101连接,内部DNS服务器101与边 界设备102连接,该多个内部主机和内部DNS服务器101均可以经边界设备102访问外部网络,例如互联网。其中,边界设备102可以具有检测恶意域名的功能,或者,边界设备102可以与具有检测恶意域名的功能的安全装置连接通信,这里不作限定。示例性的,该边界设备102可以是具有检测恶意域名的功能的防火墙设备,或者是具有检测恶意域名的功能的网关设备等,本申请实施例对此不作限定。又示例性的,该安全装置例如可以是能够提供检测恶意域名功能的功能服务器等。
基于图1所示的网络系统10,下面对网络系统10中的内部主机请求与第三方服务器111通信的流程进行简单介绍:
如图1所示,当该多个内部主机中的任一个内部主机,例如内部主机1需要和第三方服务器111进行通信时,可以先生成包括有第三方服务器111域名的DNS域名请求,该DNS域名请求用于从DNS服务器获取到第三方服务器111的IP地址。具体的,内部主机1可以先将该DNS域名请求发送至内部DNS服务器101。
接着,内部DNS服务器101可以根据从内部主机1接收到的DNS域名请求,查询自身的缓存记录中是否存在该DNS域名请求所携带的域名。如果内部DNS服务器101确定自身的缓存记录中存在该DNS域名请求所携带的域名,则内部DNS服务器101根据自身的缓存记录向内部主机1返回该DNS域名请求所携带域名对应的IP地址(即第三方服务器111的IP地址),以便于内部主机1根据该IP地址访问第三方服务器111。如果内部DNS服务器101确定自身的缓存记录中不存在该DNS域名请求所携带的域名,则内部DNS服务器101对该DNS域名请求进行地址转换,并将转换地址后的DNS域名请求经边界设备102发送至互联网DNS服务器112(互联网DNS服务器也被称为“外部DNS服务器”)。这里应理解,地址转换是指,内部DNS服务器101将从内部主机1接收到的DNS域名请求中的源IP地址(即内部主机1的IP地址),替换为自身的IP地址。
然后,互联网DNS服务器112即对接收到的DNS域名请求中携带的域名进行解析,并将解析得到的IP地址(即第三方服务器111的IP地址)依次经边界设备102、内部DNS服务器101原路返回至内部主机1。
这样,内部主机1即可基于接收到的IP地址,经边界设备102和第三方服务器111进行通信。例如,内部主机1可以先经边界设备102,通过“三次握手”报文和第三方服务器111建立通信连接,并基于该通信连接,与第三方服务器111进行通信。这里,对内部主机1通过“三次握手”报文和第三方服务器111建立通信连接的具体过程不作赘述。
本申请实施例还提供一种确定失陷主机的装置,该装置可以是上述网络系统10中的边界设备102,或者是边界设备102中的一个功能模块,或者与边界设备102存在通信连接的另一设备或另一设备中的功能模块,本申请实施例对此不作限定。其中,边界设备102的相关描述可以参考上文,这里不作赘述。
以确定失陷主机的装置是边界设备为例,参考图2,图2示出了本申请实施例提供一种边界设备20的硬件结构示意图。如图2所示,边界设备20包括处理器21、主存储器(main memory)22、存储介质23、通信接口24、输入输出接口25以及总线26。处理器21、主存储器22、存储介质23、通信接口24以及输入输出接口25之间 可以通过总线26连接。
处理器21是边界设备20的控制中心,可以是一个通用中央处理单元(central processing unit,CPU),处理器21还可以是其他通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(application-specific integrated circuit,ASIC)、现场可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件、图形处理器(graphics processing unit,GPU)、神经网络处理单元(neural processing unit,NPU)、张量处理器(tensor processing unit,TPU)或人工智能(artificial intelligent)芯片等。作为一个示例,处理器21可以包括一个或多个CPU,例如图2中所示的CPU 0和CPU 1。此外,本申请并不限定每个处理器中处理器核的个数。
主存储器22用于存储程序指令,处理器21可以通过执行主存储器22中的程序指令,以实现本申请实施例提供的确定失陷主机的方法。
在一种可能的实现方式中,主存储器22可以独立于处理器21存在。主存储器22可以通过总线26与处理器21相连接,用于存储数据、指令或者程序代码。处理器21调用并执行主存储器22中存储的指令或程序代码时,能够实现本申请实施例提供的确定失陷主机的方法。
在另一种可能的实现方式中,主存储器22也可以和处理器21集成在一起。
存储介质23可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data date SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。存储介质23可以用于存储本申请实施例中记录的攻击信息。
通信接口24,用于边界设备20与其他设备(如内部DNS服务器,互联网DNS服务器、第三方服务器等设备)通过通信网络连接,所述通信网络可以是以太网,无线接入网(radio access network,RAN),无线局域网(wireless local area networks,WLAN)等。通信接口24可以包括用于接收数据/报文的接收单元,以及用于发送数据/报文的发送单元。
输入输出接口25,用于实现用户和边界设备20之间的人机交互。例如实现用户和边界设备20之间的文字交互或语音交互等。
其中,输入输出接口25可以包括用于实现用户向边界设备20输入信息的输入接口,以及包括用于实现边界设备20向用户输出信息的输出接口。
作为示例,输入接口例如可以包括触摸屏、键盘、鼠标或麦克风等,输出接口可 以例如包括显示屏、扬声器等。其中,触摸屏、键盘或鼠标可以用于输入文字/图像信息,麦克风可以用于输入语音信息,显示屏可以用于输出文字/图像信息,扬声器可以用于输出语音信息。
总线26,可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图2中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
需要指出的是,图2中示出的结构并不构成对边界设备20的限定,除图2所示部件之外,该边界设备20可以包括比图2所示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合附图,对本申请实施例提供的确定失陷主机的方法进行详细说明。
参考图3,图3示出了本申请实施例提供的一种确定失陷主机的方法流程示意图。可选地,该方法应用于图1所示网络系统10中。该方法包括以下步骤S101至步骤S106。
S101、内部主机经内部DNS服务器向边界设备发送DNS域名请求。
这里,该内部主机(对应本申请实施例的主机)是网络系统10中的任意一个内部主机,例如是网络系统10中的内部主机1。
内部主机在需要和外部服务器通信时,即生成携带有该外部服务器域名的DNS域名请求,并将该域名请求发送至内部DNS服务器。当内部DNS服务器确定自身的缓存记录中不存在该DNS域名请求所携带的域名,则对该DNS域名请求进行地址转换,并将转换了地址的DNS域名请求发送至边界设备,以使边界设备将该DNS域名请求发送至互联网DNS服务器。这里,内部DNS服务器对接收到的DNS域名请求进行地址转换的说明可以参考上文描述,这里不再赘述。
作为示例,假设内部主机的IP地址是“100.100.100.100”,内部DNS服务器的IP地址是“200.200.200.200”,则内部主机发送给内部DNS服务器的DNS域名请求的源IP地址即为100.100.100.100。当内部DNS服务器将从内部主机接收到的DNS域名请求进行地址转换后,转换地址后的DNS域名请求的源IP地址即为内部DNS服务器的IP地址“200.200.200.200”。
作为响应,边界设备可以接收到经内部DNS服务器转发的、来自内部主机的DNS域名请求。
S102、边界设备确定接收到的DNS域名请求中所携带的域名是否是恶意域名。
一种可能的实现方式中,边界设备通过确定接收到的DNS域名请求中所携带的域名是否存在于恶意域名数据库,来确定该DNS域名请求中所携带的域名是否是恶意域名。
示例性的,以边界设备接收到的DNS域名请求中携带的域名是“attack1.com”为例,如果边界设备确定域名“attack1.com”存在于恶意域名数据库中,则确定域名“attack1.com”是恶意域名。如果边界设备确定域名“attack1.com”不存在于恶意域名数据库中,则确定域名“attack1.com”是不是恶意域名。
下面分情况说明:
情况1、边界设备中预置有上述的恶意域名数据库。
这样,边界设备直接以DNS域名请求所携带的域名为关键字,在预置的恶意域名数据库进行检索,以确定该DNS域名请求中所携带的域名是否存在与该恶意域名数据库中。若存在,则确定该域名是恶意域名;若不存在,则确定该域名不是恶意域名。
情况2、上述的恶意域名数据库存储于位于图1所示网络系统10之外的第三方服务器中。
这样,边界设备在接收到经内部DNS服务器转发的、来自内部主机的DNS域名请求后,则向该第三方服务器发送域名查询请求,以请求第三方服务器确定上述DNS域名请求中的域名是否为恶意域名。作为响应,第三方服务器在接收到边界设备发送的域名查询请求后,即基于自身预置的恶意域名数据库来确定上述DNS域名请求中携带的域名是否是恶意域名,并将确定的结果返回给边界设备。作为响应,边界设备在接收到第三方服务器返回的结果后,即确定了上述DNS域名请求中的域名是否是恶意域名。
另一种可能的实现方式中,边界设备根据接收到的DNS域名请求中所携带的域名是否符合恶意域名的命名特点,来确定该DNS域名请求中所携带的域名是否是恶意域名。
可以理解,恶意软件通常使用常用的域名生成算法(domain generation algorithm,DGA)来生成域名。这里,通过DGA算法生成的域名往往通过多个字符随机组合生成,且该字符组合大都不具备语义含义。因此,边界设备基于相对应的恶意域名识别算法即可确定接收到的DNS域名请求中所携带的域名是否为恶意域名。
作为示例,对于域名“1d24dfe.com”,边界设备确定该域名是7个字符(包括数字和字母)的随机组合,且不具备任何语义,则边界设备确定该域名是恶意域名。对于域名“huawei.com”,边界设备确定该域名是中文“华为”的拼音全称,则确定该域名不是恶意域名,即该域名是正常域名。
当边界设备确定接收到的DNS域名请求中所携带的域名是恶意域名,则执行S103。
当边界设备确定接收到的DNS域名请求中所携带的域名不是恶意域名,边界设备则对该DNS域名请求进行正常转发。可选的,边界设备对接收到的DNS域名请求进行地址转换,并将转换地址后的DNS域名请求转发至互联网DNS服务器,以便互联网DNS服务器对该DNS域名请求中携带的域名进行解析,并将解析得到的IP地址经边界设备、内部DNS服务器等设备原路返回至内部主机,以使内部主机可以基于接收到的IP地址,与该IP地址指示的服务器进行通信。
其中,边界设备对接收到的DNS域名请求进行地址转换,具体是指:边界设备将该DNS域名请求中的源IP地址(即内部DNS服务器的IP地址)替换为自身在互联网中的IP地址。
S103、边界设备确定与上述恶意域名一一对应的虚假IP地址。
可选的,边界设备预先配置有虚假IP地址池,该虚假IP地址池中的IP地址是网络系统10的内部网络中空闲的IP地址。为便于与下文内容区分,本申请实施例将该虚假IP地址池称为第一虚假IP地址池。
这样,边界设备在确定接收到的DNS域名请求中的域名是恶意域名时,即可基于 预先配置的第一虚假IP地址池,为该恶意域名分配一个虚假IP地址,该虚假IP地址即为与该恶意域名一一对应的虚假IP地址。或者,这里可以理解为,边界设备为DNS域名请求中的恶意域名,和第一虚假IP地址池中的一个虚假IP地址之间建立了一一对应的关系。
具体的,边界设备可以将第一虚假IP地址池中未被占用的任一个虚假IP地址,分配给DNS域名请求中携带的恶意域名。其中,第一虚假IP地址池中未被占用的任一个虚假IP地址,是指第一虚假IP地址池中还未分配给任意恶意域名的虚假IP地址。
作为示例,以边界设备接收到的DNS域名请求中的域名是恶意域名1为例,边界设备可以将预先配置的第一虚假IP地址池中未被占用的虚假IP地址1,分配给恶意域名1。即,边界设备为恶意域名1和虚假IP地址1之间建立了一一对应的关系。
进一步的,边界设备可以将建立了对应关系的虚假IP地址和恶意域名作为一条日志信息,记录在日志中。
作为示例,假设边界设备接收到的DNS域名请求中携带的恶意域名是“attack1.com”,且边界设备为该域名分配的虚假IP地址是“10.10.9.1”,则边界设备可以记录日志如下:attack1.com:10.10.9.1。
可选的,在边界设备为上述恶意域名分配与该恶意域名一一对应的虚假IP地址之前,还可以先确定历史记录的日志中是否存在包括该恶意域名、以及与该恶意域名具有一一对应关系的虚假IP地址的日志信息。
若边界设备确定历史记录的日志中存在包括该恶意域名、以及与该恶意域名具有一一对应关系的虚假IP地址的日志信息,则仍将该日志信息中记录的虚假IP地址确定为与该恶意域名一一对应的虚假IP地址。
若边界设备确定历史记录的日志中不存在包括该恶意域名、以及与该恶意域名具有一一对应关系的虚假IP地址的日志信息,则在预先配置的虚假IP地址池中为该恶意域名分配与该恶意域名一一对应的虚假IP地址。边界设备生成新的日志信息并存储,新的日志信息中包括该恶意域名、以及分配与该恶意域名一一对应的虚假IP地址。
可选的,上述第一虚假IP地址池也可以预置在与边界设备具有通信连接的云端设备中。
这样,当边界设备确定接收到DNS域名请求中所携带的域名是恶意域名,则向该云端设备发送用于获取与该恶意应一一对应的虚假IP地址的地址获取请求。其中,该地址获取请求中携带该恶意域名。作为响应,云端设备即可以基于接收到的地址获取请求,根据预置的第一虚假IP地址池为该地址获取请求中携带的恶意域名确定出与该恶意域名一一对应的虚假IP地址,并将该虚假IP地址返回边界设备。这样,边界设备即得到为接收到的DNS域名请求中所携带的恶意域名确定出的与该恶意域名一一对应的虚假IP地址。
可以理解,云端设备为接收到的地址获取请求中携带的恶意域名确定与该恶意域名一一对应的虚假IP地址的过程,可以参考上述边界设备为接收到的DNS域名请求中的恶意域名确定与该恶意域名一一对应的虚假IP地址的说明,这里不再赘述。
还应理解,边界设备也可以在确定接收到DNS域名请求中所携带的域名是恶意域名,并确定历史记录的日志中不存在包括该恶意域名、以及与该恶意域名具有一一对 应关系的虚假IP地址的日志信息后,向云端设备发送用于获取与该恶意域名一一对应的虚假IP地址的地址获取请求。作为响应,云端设备即可根据预置的第一虚假IP地址池为该恶意域名确定出与该恶意域名一一对应的虚假IP地址,不再赘述。
结合图1所示的网络系统10,参考图4a,图4a示出了本申请实施例提供的一种由云端设备预置第一虚假IP地址池的示意图。
如图4a所示,当内部主机1经内部DNS服务器101向边界设备102发送DNS域名请求后,如果边界设备102确定该域名请求中的域名是恶意域名,且本地记录的日志中不存在包括该恶意域名、以及与该恶意域名具有一一对应关系的虚假IP地址的日志信息,则向图4a中所示的云端设备发送地址获取请求,以得到与该恶意域名一一对应的虚假IP地址。其中,地址获取请求的描述可以参考上文描述,这里不再赘述。
下面,以边界设备预先配置有第一虚假IP地址池为例,对边界设备配置第一虚假IP地址池予以说明。
可选的,边界设备可以通过图2所示的输入输出接口与用户进行交互,以配置上述第一虚假IP地址池。
在一种可能的实现方式中,边界设备通过图2所示输入输出接口提供的交互界面,接收用户输入的第一虚假IP地址池的网段地址。然后,边界设备将用户输入的网段地址所包括的IP地址的集合,作为第一虚假IP地址池。
其中,用户向边界设备输入的网段地址,是用户基于自身内部网络中空闲的IP地址确定出的一段网络地址,对比不作具体限定。
作为示例,参考图4b,图4b示出了本申请实施例示出了一种配置虚假IP地址池的示意图。如图4b所示,在边界设备的显示屏40上,显示有用于配置虚假IP地址池的交互界面401。
如图4b中的(a)所示,在交互界面401,用户可以通过选中(例如通过鼠标选中)“自定义网段”选项,并在“自定义网段”选项的输入框中输入(例如通过键盘输入)一段网段地址,例如“10.10.9.1~10.10.10.254”,然后用户点击(例如通过鼠标点击)“确定”按钮,即实现了向边界设备输入用于得到第一虚假IP地址池的网段地址。作为响应,边界设备即接收到用户输入的网段地址,并将该网络地址中所包括的IP地址的集合作为第一虚假IP地址池。
在另一种可能的实现方式中,边界设备根据自身所在网络系统的内部网络中空闲的IP地址,自动生成第一虚假IP地址池。或者,边界设备基于用户输入的自动生成第一虚假IP地址池的指示,根据自身所在网络系统的内部网络中空闲的IP地址,自动生成第一虚假IP地址池。
作为示例,如图4b中的(b)所示,在交互界面401,用户可以通过选中(例如通过鼠标选中)“默认”选项,并点击(例如通过鼠标点击)“确定”按钮,即实现了向边界设备输入自动生成第一虚假IP地址池的指示。作为响应,边界设备即接收到用户输入的自动生成虚假第一IP地址池的指示。边界设备即可响应该指示,即根据自身所在网络系统的内部网络中空闲的IP地址,自动生成第一虚假IP地址池。
S104、边界设备将与上述恶意域名一一对应的虚假IP地址经内部DNS服务器返回内部主机。
具体的,边界设备可以将为来自内部主机的DNS域名请求中携带的恶意域名确定的与该恶意域名一一对应的虚假IP地址,作为该DNS域名请求的解析IP地址经内部DNS服务器原路返回给内部主机。即,边界设备将该虚假IP地址经内部DNS服务器进行地址转换后,发送至内部主机。
作为响应,内部主机即接收到边界设备经内部DNS服务器返回的虚假IP地址。
应理解,对于来自内部主机的DNS域名请求,该DNS域名请求中所携带的恶意域名的实际的解析IP地址,即为攻击者服务器的IP地址。而边界设备基于该DNS域名请求为内部主机返回的IP地址,是边界设备为该DNS域名请求所携带的恶意域名确定的与该恶意域名一一对应的虚假IP地址。
作为示例,假设来自内部主机的DNS域名请求中携带的域名“attack1.com”,其实际的解析IP地址是202.202.202.202。如果域名“attack1.com”是恶意域名,则其对应的实际的解析IP地址“202.202.202.202”即为攻击者服务器的IP地址。而边界设备为内部主机返回的IP地址,是边界设备为该DNS域名请求所携带的恶意域名“attack1.com”确定的与“attack1.com”一一对应的虚假IP地址(例如是“10.10.9.1”)。
S105、内部主机基于接收到的虚假IP地址,经边界设备向该虚假IP地址发送请求建立通信连接的通信链路建立请求报文。
对于内部主机而言,在内部主机接收到边界设备返回的虚假IP地址后,会将该虚假IP地址当做其所发起的DNS域名请求中携带的域名的解析IP地址。
因此,内部主机即将该虚假IP地址作为目的IP地址,生成用于请求与其进行通信的通信链路建立请求报文。然后,内部主机将经边界设备向该虚假IP地址发送该通信链路建立请求报文。
S106、边界设备确定接收到的通信链路建立请求报文中的目的地址是否是虚假IP地址。
边界设备在接收到的来自内部主机的通信链路建立请求报文后,基于预先记录的包括虚假IP地址和与其对应的恶意域名的日志信息,确定接收到的通信链路建立请求报文中的目的IP地址是否是虚假IP地址。
若边界设备确定接收到的通信链路建立请求报文中的目的IP地址不是虚假IP地址,边界设备则对该通信链路建立请求报文进行正常转发,以便内部主机和该目的IP地址所指示的网络设备建立通信连接。
具体的,边界设备可以对该通信链路建立请求报文进行地址转换,并将转换地址后的通信链路建立请求报文转发至该通信链路建立请求报文的目的IP地址所指示的网络设备,以便内部主机和该网络设备建立通信连接。其中,边界设备则对该通信链路建立请求报文进行地址转换,是指边界设备将该通信链路建立请求报文中的源IP地址(即发送该报文的内部主机的IP地址)替换为自身在互联网中的IP地址。
若边界设备确定接收到的通信链路建立请求报文中的目的IP地址是虚假IP地址,边界设备则将该通信链路建立请求报文中源IP地址所指示的内部主机(即发送该通信链路建立请求报文的内部主机),确定为失陷主机。
进一步的,边界设备还根据预先记录的包括虚假IP地址和与其对应的恶意域名(即在S103建立了对应关系的虚假IP地址和恶意域名)的日志信息,确定向该虚假 IP地址(即通信链路建立请求报文中的目的IP地址)发送通信链路建立请求报文的内部主机,和与该虚假IP地址具有对应关系的恶意域名之间的对应关系,并记录、或输出包括该内部主机的标识信息和该恶意域名的第一攻击信息。应理解,该内部主机的标识信息,即为边界设备确定的失陷主机的标识信息。可选的,该内部主机的标识信息可以是该内部主机的IP地址。
可选的,第一攻击信息还可以包括与恶意域名具有对应关系的虚假IP地址和攻击时间,该攻击时间即为内部主机向虚假IP地址发送通信链路建立请求报文的时间,本申请实施例对比不作限定。
作为示例,以边界设备将根据接收到的通信链路建立请求报文所生成的安全日志作为第一攻击信息为例。具体的,边界设备在确定接收到的通信链路建立请求报文中的目的IP地址是虚假IP地址后,可以生成并输出如表1所示的安全日志。
其中,如表1所示,“源IP地址”即为发送通信链路建立请求报文的内部主机的IP地址,例如是“100.100.100.100”。“目的IP地址”即为通信链路建立请求报文的目的地址,也即,边界设备基于从内部主机接收到的DNS域名请求中的恶意域名,向该内部主机返回的虚假IP地址,例如是“10.10.9.1”。“对应域名”即为与通信链路建立请求报文的目的地址(即虚假IP地址)具有对应关系的恶意域名,也即,内部主机在S101发起的DNS域名请求中所携带的恶意域名,例如是“attack1.com”。“首次访问时间”即为内部主机首次向虚假IP地址“10.10.9.1”发送通信链路建立请求报文的时间,例如是“2021.05.20”。“最新访问时间”即为内部主机最近一次向虚假IP地址“10.10.9.1”发送通信链路建立请求报文的时间,例如是“2021.05.21”。
表1
源IP地址 目的IP地址 对应域名 首次访问时间 最新访问时间
100.100.100.100 10.10.9.1 attack1.com 2021.05.20 2021.05.21
这样,通过本申请实施例提供的图3所示的S101-S106的方法,边界设备能够快速确定出包括失陷主机的标识信息和攻击该失陷主机的攻击服务器使用的恶意域名的第一攻击信息。这样,基于攻击该失陷主机的攻击者服务器使用的域名,用户能够从恶意域名数据库中确定该域名的相关信息,例如该域名的家族信息和该域名家族的战术、技术、过程(Tactics,Techniques,and Procedures,TTPs)信息等。这样,基于这些信息,用户即可快速的分析并制定出有效的威胁处置方案来对失陷主机进行处理,以解除失陷主机的威胁。
为进一步对本申请实施例图3所示的方法进行说明,下面以具体示例进行描述。
示例一、假设主机1是失陷主机,参考图4c中的(a),边界设备确定主机1为失陷主机的方法流程包括S11至S15。
S11、主机1经内部DNS服务器向边界设备发送DNS域名请求。
S12、边界设备确定接收到的DNS域名请求中所携带的域名是恶意域名,确定与该恶意域名一一对应的虚假IP地址。
S13、边界设备将与上述恶意域名一一对应的虚假IP地址经内部DNS服务器返回主机1。
S14、主机1基于接收到的虚假IP地址,经边界设备向该虚假IP地址发送请求建 立通信连接的通信链路建立请求报文。
S15、边界设备确定从主机1接收到的通信链路请求报文中的目的地址是虚假IP地址,则将主机1确定为失陷主机,以及输出第一攻击信息。
示例二、假设主机2是正常主机,则主机2和边界设备执行图4c中的(b)所示的方法流程:
S21、主机2经内部DNS服务器向边界设备发送DNS域名请求。
S22、边界设备确定接收到的DNS域名请求中所携带的域名不是恶意域名,则对该DNS域名请求进行正常转发。
S23、主机2获取到上述DNS域名请求对应的解析IP地址后,经边界设备向该解析IP地址所指示的设备发送请求建立通信连接的通信链路建立请求报文。
其中,该解析IP地址所指示的设备例如可以是图1中第三方服务器。
S24、边界设备确定从主机2接收到的通信链路建立请求报文中的目的地址不是虚假IP地址,则正常转发该通信链路建立请求报文。
应理解,上述S11-S15、S21-S24的具体说明,可以参考图3所述方法S101-S106的相关描述,这里不再赘述。
在另一些实施例中,为获取更多的攻击者的攻击证据信息,例如失陷主机向攻击者服务器发送的首包数据报文的负载内容,本申请实施例可以在边界设备向内部主机返回虚假IP地址时,向其返回可通信的虚假IP地址。应理解,可通信的虚假IP地址可以与内部主机通过报文交互建立通信连接并进行通信。通过这种方式,边界设备即可在内部主机与该可通信的虚假IP地址建立通信连接后,获取到失陷主机将该可通信的虚假IP地址当做攻击者服务器IP地址时,向其发送的数据报文的负载内容。
基于上文所述的S101-S106的方法,参考图5a,图5a示出了本申请实施例体提供的另一种确定失陷主机的方法流程示意图。在该方法中,在内部主机执行完S101、边界设备执行完S102后,边界设备执行的S103可以用下述的S1031替换:
S1031、边界设备确定与上述恶意域名一一对应、且可通信的虚假IP地址。
其中,可通信的IP地址能够通过报文交互和内部主机建立通信连接。作为示例,该可通信的IP地址例如是边界设备的IP地址,或者是与边界设备连接通信的云端设备的IP地址,或者是云端设备所管理的下级节点的IP地址,本申请实施例对此不作限定。
为便于与上文内容区分,本申请实施例将包括可通信的虚假IP地址的虚假IP地址池称为第二虚假IP地址池。即,第二虚假IP地址池用于提供可通信的虚假IP地址。
一种可能的情况中,边界设备预先配置有第二虚假IP地址池。
这种情况下,边界设备即可根据预先配置的第二虚假IP地址池来确定与步骤S102所确定的恶意域名一一对应、且可通信的虚假IP地址。其中,边界设备根据第二虚假IP地址池来确定与步骤S102所确定的恶意域名一一对应、且可通信的虚假IP地址的过程,可以参考上文S103中,边界设备根据第一虚假IP地址池确定与步骤S102所确定的恶意域名一一对应的虚假IP地址的描述,这里不再赘述。
进一步的,边界设备将建立了一一对应关系的恶意域名和可通信的虚假IP地址作为一条日志信息,记录在日志中。
另一种可能的情况中,与边界设备连接通信的云端设备预先配置有第二虚假IP地址池。
这种情况下,边界设备通过和配置有第二虚假IP地址池的云端设备的交互,来确定与步骤S102所确定恶意域名一一对应、且可通信的虚假IP地址的详细说明,可以参考上文在S103中,当第一虚假IP地址池预置在与边界设备具有通信连接的云端设备的情况下,边界设备通过与该云端设备进行交互,以确定与步骤S102所确定恶意域名一一对应的虚假IP地址的说明,这里不再赘述。
其中应理解,边界设备和配置有第二虚假IP地址池的云端设备的交互时,向该云端设备发送的地址获取请求中还携带有自身的ID。
其中可选的,云端设备在预置的第二虚假IP地址池中为步骤S102所确定恶意域名分配一一对应、且可通信的虚假IP时,还可以将该可通信的虚假IP所指示网络设备的一个空闲端口分配给该恶意域名。可以理解,该空闲端口便于可通信的虚假IP所指示网络设备接收内部主机发送的报文。
作为示例,假设云端设备接收到的来自边界设备的地址获取请求中携带的恶意域名是“attack2.com”,边界设备的ID是“a000aa00”。云端设备即可在预置的第二虚假IP地址池中为恶意域名“attack2.com”分配一个未被占用的可通信的虚假IP地址(例如是云端设备自身的IP地址“122.110.109.100”),以及分配一个该IP地址所指示网络设备的空闲端口的端口信息(例如是云端设备自身的空闲端口的端口信息“10008”)。这样的话,云端设备可以记录得到如表2所示的日志信息:
表2
边界设备ID 上报域名 可通信的虚假IP地址和端口信息
a000aa00 attack2.com 122.110.109.100:10008
进一步的,边界设备在通过和配置有第二虚假IP地址池的云端设备的交互,确定出与步骤S102所确定恶意域名一一对应后,可以将具有一一对应关系的恶意域名和可通信的虚假IP地址作为一条日志信息,记录在日志中。
可选的,边界设备还可以在通过上述两种情况下确定出与上述恶意域名一一对应、且可通信的虚假IP地址之前,还可以通过图2所示的输入输出接口提供的交互界面,接收用户输入的选择第二虚假IP地址池的指示,并基于该指示,确定在确定失陷主机的过程中根据第二虚假IP地址池来确定与上述恶意域名一一对应、且可通信的虚假IP地址。
作为示例,如图4b中的(c)所示,在交互界面401,用户可以通过选中(例如通过鼠标选中)“可通信的虚假IP地址池”选项,并点击(例如通过鼠标点击)“确定”按钮,即实现了向边界设备输入选择用于提供可通信的虚假IP地址的虚假IP地址池(即第二虚假IP地址池)的指示。作为响应,边界设备即接收到用户输入的选择第二虚假IP地址池的指示,并确定在确定失陷主机的过程中,根据第二虚假IP地址池来确定与上述恶意域名一一对应、且可通信的虚假IP地址。
然后,边界设备执行S104。在S104,边界设备将与上述恶意域名一一对应的可通信的虚假IP地址经内部DNS服务器返回内部主机。
内部主机执行S105。在S105,内部主机基于接收到的可通信的虚假IP地址,经 边界设备向该可通信的虚假IP地址发送请求建立通信连接的通信链路建立请求报文。
边界设备执行S106。需要说明的是,边界设备在执行S106时,如果根据预先记录的恶意域名、以及与恶意域名具有一一对应关系的可通信的虚假IP地址的日志信息,边界设备确定接收到的来自内部主机的通信链路建立请求报文中的目的IP地址是可通信的虚假IP地址,则边界设备在将该内部主机(即该通信链路建立请求报文中源IP地址所指示的内部主机)确定为失陷主机后,还对该通信链路建立请求报文进行正常转发,以使该内部主机和该可通信的虚假IP地址(即该通信链路建立请求报文中的目的IP地址)所指示的网络设备建立通信连接,并在该内部主机和该网络设备建立通信连接后,执行S107。
可选的,边界设备对接收到的来自内部主机的通信链路建立请求报文进行地址转换,并将转换地址后的通信链路建立请求报文转发至该通信链路建立请求报文中的目的IP地址所指示的网络设备,以便该内部主机和该网络设备之间建立通信连接。这里,边界设备对通信链路建立请求报文进行地址转换的说明可以参考上文描述,这里不作赘述。
应理解,当云端设备为恶意域名除分配了可通信的虚假IP(即通信链路建立请求报文中的目的IP地址)外,还分配有与该可通信的虚假IP所指示网络设备的一个空闲端口的话,则边界设备在对来自内部主机的通信链路建立请求报文中的进行地址转换时,除对IP地址进行转换,还对该报文中的端口进行转换,即使用云端设备分配的空闲端口的端口号代替该报文中原本的目的端口的端口号。
当然,如果云端设备没有为恶意域名分配与可通信的虚假IP(即通信链路建立请求报文中的目的IP地址)所指示网络设备的空闲端口,则边界设备在对来自内部主机的通信链路建立请求报文中的进行地址转换时,仅对IP地址进行转换。这种情况下,当该通信链路建立请求报文中原本的目的端口不是该可通信的虚假IP所指示网络设备的空闲端口,则内部主机无法与该可通信的虚假IP所指示网络设备成功建立通信连接。
可选的,内部主机和通信链路建立请求报文中的目的IP地址所指示的网络设备之间,可以通过“三次握手”报文建立通信连接。其中,边界设备用于在这一过程中为内部主机和该网络设备转发“握手”报文。
当然,在边界设备根据预先记录的恶意域名、以及与恶意域名具有一一对应关系的可通信的虚假IP地址的日志信息,确定接收到来自内部主机的通信链路建立请求报文中的目的IP地址是可通信的虚假IP地址时,还可以根据在S1031建立的该可通信的虚假IP地址和恶意域名的对应关系,确定向该可通信的虚假IP地址(即通信链路建立请求报文中的目的IP地址)发送通信链路建立请求报文的内部主机,和与该可通信的虚假IP地址具有对应关系的恶意域名之间的对应关系。然后,边界设备记录并输出包括该内部主机的标识信息和该恶意域名的第一攻击信息。应理解,该内部主机即为失陷主机,该内部主机的标识信息即为失陷主机的标识信息。可选的,该内部主机的标识信息可以是该内部主机的IP地址。
可选的,第一攻击信息还可以包括与恶意域名具有对应关系的虚假IP地址和攻击时间,该攻击时间即为内部主机向虚假IP地址发送通信链路建立请求报文的时间,本 申请实施例对比不作限定。
示例性的,以边界设备将根据接收到的通信链路建立请求报文所生成的安全日志作为第一攻击信息为例,边界设备在确定接收到的通信链路建立请求报文中的目的IP地址是可通信的虚假IP地址后,可以生成如表3所示的安全日志。
其中,如表3所示,“源IP地址”即为发送通信链路建立请求报文的内部主机的IP地址,例如是“100.100.100.100”。“目的IP地址”即为通信链路建立请求报文的目的地址,也即,边界设备基于从内部主机接收到的DNS域名请求中的恶意域名,向该内部主机返回的可通信的虚假IP地址,例如是“122.110.109.100”。“对应域名”即为与通信链路建立请求报文的目的地址(即可通信的虚假IP地址)具有对应关系的恶意域名,也即,内部主机在S101发起的DNS域名请求中所携带的恶意域名,例如是“attack2.com”。“首次访问时间”即为内部主机首次向可通信的虚假IP地址“122.110.109.100”发送通信链路建立请求报文的时间,例如是“2021.05.20”。“最新访问时间”即为内部主机最近一次向可通信的虚假IP地址“122.110.109.100”发送通信链路建立请求报文的时间,例如是“2021.05.21”。
表3
源IP地址 目的IP地址 对应域名 首次访问时间 最新访问时间
100.100.100.100 122.110.109.100 Attack2.com 2021.05.20 2021.05.21
S107、边界设备获取内部主机向可通信的虚假IP地址所指示的网络设备发送的数据报文的负载内容。
当内部主机和可通信的虚假IP地址所指示的网络设备建立通信连接后,通过该通信连接,内部主机可以经边界设备向该网络设备发送数据报文。
这样的话,在一种可能的实现方式中,边界设备在接收到内部主机通过该通信连接向可通信的虚假IP地址所指示的网络设备发送的数据报文后,将该数据报文转发至该网络设备。作为响应,该网络设备接收到该数据报文,并抓取该数据报文中的负载内容。然后,该网络设备将该数据报文的负载内容发送至边界设备。作为响应,边界设备即接收到该数据报文的负载内容。
进一步的,边界设备可以基于发送该数据报文的网络设备的IP地址,将接收到的数据报文的负载内容添加至包括该IP地址的第一攻击信息中,即得到第二攻击信息。
以与内部主机建立通信连接的网络设备的IP地址是“122.110.109.100”为例,结合表3,参考表4,边界设备可以将从IP地址是“122.110.109.100”的网络设备接收到的负载内容,添加至包括IP地址是“122.110.109.100”的第一攻击信息中。
表4
Figure PCTCN2022101662-appb-000001
可以看出在这种方式中,是由可通信的虚假IP地址所指示的网络设备来抓取内部主机向该网络设备发送的数据报文的负载内容,这样可以避免过渡消耗边界设备的性 能。
在另一种可能的实现方式中,边界设备可以在接收到内部主机通过该通信连接向可通信的虚假IP地址所指示的网络设备发送的数据报文时,直接抓取该数据报文的负载内容,这样,边界设备即获取到了内部主机向可通信的虚假IP地址所指示的网络设备发送的数据报文的负载内容。
进一步的,边界设备可以在上述获得的包括有发送该数据报文的内部主机的IP地址的第一攻击信息(如表3所示的第一攻击信息)中,增加抓取到的该数据报文的负载内容,以得到包括内部主机的标识信息、恶意域名、以及负载内容的第二攻击信息。
可以看出,通过这种方式获取内部主机向可通信的虚假IP地址所指示的网络设备发送的数据报文的负载内容时,无需经过可通信的虚假IP地址所指示的网络设备,因此效率更高。
这样,基于上述方法,本申请实施例即可在快速确定失陷主机,以及确定攻击该失陷主机的攻击者服务器的域名的同时,还能获取到该失陷主机与攻击者服务器通信的第一现场的数据报文的负载内容。这样,基于该失陷主机与攻击者服务器通信的第一现场的数据报文的负载内容,使得用户能够快速且有效的分析出本次攻击的攻击性质,从而使得用户能够快速制定出有效的威胁处置方案来对失陷主机进行处理,以解除失陷主机的威胁。
为进一步对本申请实施例图5a所述的方法进行说明,下面以具体示例进行描述:
假设主机3是失陷主机,参考图5b,边界设备确定主机3为失陷主机的方法流程包括S41-S47:
S41、主机3经内部DNS服务器向边界设备发送DNS域名请求。
S42、边界设备确定接收到的DNS域名请求中所携带的域名是恶意域名,确定与该恶意域名一一对应、且可通信的虚假IP地址。
下文以与该恶意域名一一对应、且可通信的虚假IP地址是云端设备的IP地址为例进行说明。
S43、边界设备将与上述恶意域名一一对应、且可通信的云端设备的IP地址经内部DNS服务器返回主机3。
S44、主机3基于接收到的云端设备的IP地址,经边界设备向云端设备发送请求建立通信连接的通信链路建立请求报文。
S45、边界设备将向云端设备发送请求建立通信连接的通信链路建立请求报文的主机3确定为失陷主机,并向云端设备转发该通信链路建立请求报文,以建立主机3和云端设备之间的通信连接。
S46、主机3基于建立的通信连接,经边界设备向云端设备发送数据报文。
S47、边界设备获取主机3向云端设备发送的数据报文的负载内容,记录并输出包括主机3的标识信息、主机3向云端设备发送的数据报文的负载内容、以及恶意域名的第二攻击信息。
应理解,上述S41-S47的详细说明,可以参考图5a所述的S101-S107的描述,这里不再赘述。
综上,本申请实施例提供了一种确定失陷主机的方法,通过该方法不仅能快速确 定失陷主机,还能获取到攻击该失陷主机的攻击证据信息,该攻击证据信息例如包括攻击者服务器的域名,以及失陷主机和攻击者服务器通信的第一现场的数据负载内容。这样,基于这些攻击证据信息,能够使得用户快速且有效的分析攻击者的身份以及分析此次攻击的攻击性质,从而使得用户能够快速制定出有效的威胁处置方案来对失陷主机进行处理,以解除失陷主机的威胁。
上述主要从方法的角度对本申请实施例提供的方案进行了介绍。为了实现上述功能,如图6所示,图6示出了本申请实施例提供的一种确定失陷主机的装置60的结构示意图。确定失陷主机的装置60可以应用于附图1所示的网络系统中的边界设备,或者是网络系统中的边界设备本身。这里,该网络系统还包括图1所示的主机和内部域名系统DNS服务器。确定失陷主机的装置60可以用于执行上述的确定失陷主机的方法,例如用于执行图3和图5a所示的方法。其中,确定失陷主机的装置60可以包括接收单元61、确定单元62以及发送单元63。
接收单元61,用于接收内部DNS服务器转发的来自主机的DNS域名请求。确定单元62,用于如果该DNS域名请求中携带的域名是恶意域名,则确定与该恶意域名一一对应的虚假网际互连协议IP地址。发送单元63,用于通过内部DNS服务器向主机返回该虚假IP地址。接收单元61,还用于接收来自主机的通信链路建立请求报文。确定单元62,还用于如果该通信链路建立请求报文的目的IP地址是虚假IP地址,则确定发送该报文的主机为失陷主机。
作为示例,结合图3和图5a,接收单元61可以用于执行S101和S105,确定单元62可以用于S102、S103(S1031)以及S106,发送单元63可以用于执行S104。
可选的,上述的虚假IP地址是虚假IP地址池中的未被占用的任一个IP地址。
可选的,接收单元61,还用于在确定单元62确定与该恶意域名一一对应的虚假IP地址之前,接收用户输入的网段地址。确定失陷主机的装置60还包括生成单元64,该生成单元64用于根据该网段地址包含的IP地址生成上述的虚假IP地址池;或者,用于根据网络系统的内部网络中空闲的IP地址,生成上述的虚假IP地址池。
可选的,确定失陷主机的装置60还包括输出单元65,用于在确定单元62确定发送通信链路建立请求报文的主机为失陷主机后,输出第一攻击信息,该第一攻击信息包括该主机的标识信息、以及与该主机请求通信的虚假IP地址对应的恶意域名。
可选的,上述虚假IP地址池部署在云端设备,则发送单元63,还用于向云端设备发送用于获取与上述恶意域名一一对应的虚假IP地址的地址获取请求,该地址获取请求中携带有该恶意域名。接收单元61,还用于接收云端设备根据该地址获取请求返回的虚假IP地址,该虚假IP地址是云端设备确定的与该恶意域名一一对应、且可通信的虚假IP地址。
可选的,上述虚假IP地址池中的IP地址是可通信的IP地址,如果上述通信链路建立请求报文的目的IP地址是虚假IP地址,则发送单元63,还用于向该虚假IP地址指示的网络设备转发该通信链路建立请求报文,以建立上述主机和网络设备之间的通信连接。确定失陷主机的装置60还包括获取单元66,用于获取该主机通过该通信连接向该网络设备发送的数据报文的负载内容。输出单元65,还用于输出包括数据报文的负载内容、该主机的标识信息、以及与虚假IP地址对应的恶意域名的第二攻击信息。
作为示例,结合图5a,获取单元66可以用于执行S107。
可选的,发送单元63,还用于向网络设备转发来自主机的数据报文,该网络设备用于抓取包括该数据报文的负载内容。获取单元66,具体用于接收该网络设备发送的数据报文的负载内容。
关于上述可选方式的具体描述可以参见前述的方法实施例,此处不再赘述。此外,上述提供的任一种确定失陷主机的装置60的解释以及有益效果的描述均可参考上述对应的方法实施例,不再赘述。
作为示例,结合图2,确定失陷主机的装置60中的确定单元62和生成单元64所实现的功能可以通过图2中的处理器21执行图2中的主存储器22中的程序代码实现。接收单元61和发送单元63所实现的功能可以通过图2中的通信接口24实现。获取单元66所实现的功能可以通过图2中的处理器21执行图2中的主存储器22中的程序代码实现,或者通过图2中的通信接口24实现。输出单元65所实现的功能可以通过图2中的输入输出接口25实现。
本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
需要说明的是,图6中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如,还可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
本申请实施例还提供一种确定失陷主机的系统,该系统包括边界设备和云端设备,其中,边界设备用于接收来自主机的DNS域名请求,并在该DNS域名请求中的域名是恶意域名时,向云端设备发送携带有该恶意域名的地址获取请求。云端设备用于接收该地址获取请求,并确定与地址获取请求中所携带的恶意域名一一对应的虚假IP地址,以及向边界设备返回该虚假IP地址。边界设备还用于接收云端设备返回的虚假IP地址,并向发送DNS域名请求的主机返回该虚假IP地址;以及,用于接收来自该主机的通信链路建立请求报文,并在该通信链路建立请求报文的目的IP地址是虚假IP地址时,确定该主机为失陷主机。
本申请实施例还提供一种计算机程序产品,以及用于存储该计算机程序产品的计算机可读存储介质。该计算机程序产品可以包括一个或多个程序指令,当该一个或多个程序指令被一个或多个处理器运行时可以提供以上针对图3或图5a描述的功能或者部分功能。因此,例如,参考图3中S101~S106的一个或多个特征可以由该计算机程序产品中的一个或多个指令来承担。
在一些示例中,诸如针对图3或图5a描述的确定失陷主机的装置60可以被配置为,响应于通过计算机可读存储介质中存储的一个或多个程序指令,提供各种操作、功能、或者动作。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实 现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上和执行计算机执行指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (17)

  1. 一种确定失陷主机的方法,其特征在于,应用于网络系统中的边界设备,所述边界设备位于所述网络系统中的内部网络的边界,所述网络系统还包括位于所述内部网络中的主机和内部域名系统DNS服务器,所述方法包括:
    接收内部DNS服务器转发的来自主机的DNS域名请求;
    如果所述DNS域名请求中携带的域名是恶意域名,则确定与所述恶意域名一一对应的虚假网际互连协议IP地址;
    通过所述内部DNS服务器向所述主机返回所述虚假IP地址;
    接收来自所述主机的通信链路建立请求报文;
    如果所述通信链路建立请求报文的目的IP地址是所述虚假IP地址,确定所述主机为失陷主机。
  2. 根据权利要求1所述的方法,其特征在于,所述虚假IP地址是虚假IP地址池中未被占用的一个IP地址。
  3. 根据权利要求2所述的方法,其特征在于,所述确定与所述恶意域名一一对应的虚假IP地址之前,所述方法还包括:
    接收用户输入的网段地址,根据所述网段地址包含的IP地址生成所述虚假IP地址池;或者,
    根据所述网络系统的内部网络中空闲的IP地址,生成所述虚假IP地址池。
  4. 根据权利要求1-3中任一项所述的方法,其特征在于,所述确定所述主机为失陷主机之后,所述方法还包括:
    输出第一攻击信息,所述第一攻击信息包括所述主机的标识信息、以及与所述虚假IP地址对应的所述恶意域名。
  5. 根据权利要求2所述的方法,其特征在于,所述虚假IP地址池部署在云端设备,所述确定与所述恶意域名一一对应的虚假IP地址,包括:
    向所述云端设备发送地址获取请求,所述地址获取请求用于获取与所述恶意域名一一对应的虚假IP地址,所述地址获取请求中携带有所述恶意域名;
    接收所述云端设备根据所述地址获取请求返回的所述虚假IP地址,所述虚假IP地址是所述云端设备确定的与所述恶意域名一一对应、且可通信的虚假IP地址。
  6. 根据权利要求2或5所述的方法,其特征在于,所述虚假IP地址池中的IP地址是可通信的IP地址,所述如果所述通信链路建立请求报文的目的IP地址是所述虚假IP地址,所述方法还包括:
    向所述虚假IP地址指示的网络设备转发所述通信链路建立请求报文,以建立所述主机和所述网络设备之间的通信连接;
    获取所述主机通过所述通信连接向所述网络设备发送的数据报文的负载内容;
    输出第二攻击信息,所述第二攻击信息包括所述数据报文的负载内容、所述主机的标识信息、以及与所述虚假IP地址对应的所述恶意域名。
  7. 根据权利要求6所述的方法,其特征在于,所述获取所述主机通过所述通信连接向所述网络设备发送的数据报文的负载内容,包括:
    向所述网络设备转发来自所述主机的数据报文,所述网络设备用于通过对报文进 行解析获得所述数据报文的负载内容;
    接收所述网络设备发送的所述数据报文的负载内容。
  8. 一种确定失陷主机的装置,其特征在于,应用于网络系统中的边界设备,所述边界设备位于所述网络系统中的内部网络的边界,所述网络系统还包括位于所述内部网络中的主机和内部域名系统DNS服务器,所述装置包括:
    接收单元,用于接收内部DNS服务器转发的来自主机的DNS域名请求;
    确定单元,用于如果所述DNS域名请求中携带的域名是恶意域名,则确定与所述恶意域名一一对应的虚假网际互连协议IP地址;
    发送单元,用于通过所述内部DNS服务器向所述主机返回所述虚假IP地址;
    所述接收单元,还用于接收来自所述主机的通信链路建立请求报文;
    所述确定单元,还用于如果所述通信链路建立请求报文的目的IP地址是所述虚假IP地址,确定所述主机为失陷主机。
  9. 根据权利要求8所述的装置,其特征在于,所述虚假IP地址是虚假IP地址池中的未被占用的任一个IP地址。
  10. 根据权利要求9所述的装置,其特征在于,
    所述接收单元,还用于在所述确定单元确定与所述恶意域名一一对应的虚假IP地址之前,接收用户输入的网段地址;
    所述装置还包括:
    生成单元,用于根据所述网段地址包含的IP地址生成所述虚假IP地址池;或者,用于根据所述网络系统的内部网络中空闲的IP地址,生成所述虚假IP地址池。
  11. 根据权利要求8-10中任一项所述的装置,其特征在于,所述装置还包括:
    输出单元,用于在所述确定单元确定所述主机为失陷主机后,输出第一攻击信息,所述第一攻击信息包括所述主机的标识信息、以及与所述虚假IP地址对应的所述恶意域名。
  12. 根据权利要求9所述的装置,其特征在于,所述虚假IP地址池部署在云端设备;
    所述发送单元,还用于向所述云端设备发送地址获取请求,所述地址获取请求用于获取与所述恶意域名一一对应的虚假IP地址,所述地址获取请求中携带有所述恶意域名;
    所述接收单元,还用于接收所述云端设备根据所述地址获取请求返回的所述虚假IP地址,所述虚假IP地址是所述云端设备确定的与所述恶意域名一一对应、且可通信的虚假IP地址。
  13. 根据权利要求9或12所述的装置,其特征在于,所述虚假IP地址池中的IP地址是可通信的IP地址,所诉如果所述通信链路建立请求报文的目的IP地址是所述虚假IP地址,
    则所述发送单元,还用于向所述虚假IP地址指示的网络设备转发所述通信链路建立请求报文,以建立所述主机和所述网络设备之间的通信连接;
    所述装置还包括:
    获取单元,用于获取所述主机通过所述通信连接向所述网络设备发送的数据报文 的负载内容;
    所述装置还包括:
    输出单元,用于输出第二攻击信息,所述第二攻击信息包括所述数据报文的负载内容、所述主机的标识信息、以及与所述虚假IP地址对应的所述恶意域名。
  14. 根据权利要求13所述的装置,其特征在于,
    所述发送单元,还用于向所述网络设备转发来自所述主机的数据报文,所述网络设备用于抓取包括所述数据报文的负载内容;
    所述获取单元,具体用于接收所述网络设备发送的所述数据报文的负载内容。
  15. 一种确定失陷主机的装置,其特征在于,包括:存储器、网络接口和一个或多个处理器,所述一个或多个处理器通过所述网络接口接收或发送数据,所述一个或多个处理器被配置为读取存储在所述存储器中的程序指令,以执行如权利要求1-7中任一项所述的方法。
  16. 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括程序指令,当所述程序指令在计算机或处理器上运行时,使得所述计算机或所述处理器执行权利要求1-7中任一项所述的方法。
  17. 一种确定失陷主机的系统,其特征在于,包括:边界设备和云端设备,所述边界设备位于网络系统中的内部网络的边界,所述网络系统还包括位于所述内部网络中的主机和内部域名系统DNS服务器,所述云端设备位于外部网络;其中,
    所述边界设备用于接收来自所述主机的DNS域名请求,并在所述DNS域名请求中的域名是恶意域名时,向所述云端设备发送地址获取请求;所述地址获取请求中携带有所述恶意域名;
    所述云端设备用于接收所述地址获取请求,并确定与所述地址获取请求中携带的所述恶意域名一一对应的虚假IP地址,以及向所述边界设备返回所述虚假IP地址;
    所述边界设备还用于接收所述虚假IP地址,并向所述主机返回所述虚假IP地址;以及,用于接收来自所述主机的通信链路建立请求报文,并在所述通信链路建立请求报文的目的IP地址是所述虚假IP地址时,确定所述主机为失陷主机。
PCT/CN2022/101662 2021-09-30 2022-06-27 确定失陷主机的方法及装置 WO2023050933A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202111161856.3 2021-09-30
CN202111161856.3A CN115913597A (zh) 2021-09-30 2021-09-30 确定失陷主机的方法及装置

Publications (1)

Publication Number Publication Date
WO2023050933A1 true WO2023050933A1 (zh) 2023-04-06

Family

ID=85741112

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2022/101662 WO2023050933A1 (zh) 2021-09-30 2022-06-27 确定失陷主机的方法及装置

Country Status (2)

Country Link
CN (1) CN115913597A (zh)
WO (1) WO2023050933A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116886452A (zh) * 2023-09-08 2023-10-13 北京安博通科技股份有限公司 一种主机失陷研判方法及系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117240612B (zh) * 2023-11-10 2024-01-26 杭州海康威视数字技术股份有限公司 基于多模过滤的失陷物联网设备安全检测方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160080395A1 (en) * 2014-09-17 2016-03-17 Cisco Technology, Inc. Provisional Bot Activity Recognition
US20190215331A1 (en) * 2018-01-10 2019-07-11 AVAST Software s.r.o. Cloud-based anomalous traffic detection and protection in a remote network via dns properties
CN110572406A (zh) * 2019-09-12 2019-12-13 深信服科技股份有限公司 一种失陷主机确定方法、系统及相关装置
CN111786964A (zh) * 2020-06-12 2020-10-16 深信服科技股份有限公司 网络安全检测方法、终端及网络安全设备
CN111818073A (zh) * 2020-07-16 2020-10-23 深信服科技股份有限公司 一种失陷主机检测方法、装置、设备及介质
CN113179280A (zh) * 2021-05-21 2021-07-27 深圳市安之天信息技术有限公司 基于恶意代码外联行为的欺骗防御方法及装置、电子设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160080395A1 (en) * 2014-09-17 2016-03-17 Cisco Technology, Inc. Provisional Bot Activity Recognition
US20190215331A1 (en) * 2018-01-10 2019-07-11 AVAST Software s.r.o. Cloud-based anomalous traffic detection and protection in a remote network via dns properties
CN110572406A (zh) * 2019-09-12 2019-12-13 深信服科技股份有限公司 一种失陷主机确定方法、系统及相关装置
CN111786964A (zh) * 2020-06-12 2020-10-16 深信服科技股份有限公司 网络安全检测方法、终端及网络安全设备
CN111818073A (zh) * 2020-07-16 2020-10-23 深信服科技股份有限公司 一种失陷主机检测方法、装置、设备及介质
CN113179280A (zh) * 2021-05-21 2021-07-27 深圳市安之天信息技术有限公司 基于恶意代码外联行为的欺骗防御方法及装置、电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116886452A (zh) * 2023-09-08 2023-10-13 北京安博通科技股份有限公司 一种主机失陷研判方法及系统
CN116886452B (zh) * 2023-09-08 2023-12-08 北京安博通科技股份有限公司 一种主机失陷研判方法及系统

Also Published As

Publication number Publication date
CN115913597A (zh) 2023-04-04

Similar Documents

Publication Publication Date Title
US10587550B1 (en) System and method for evaluating domains to send emails while maintaining sender reputation
WO2023050933A1 (zh) 确定失陷主机的方法及装置
US8650326B2 (en) Smart client routing
US20160072847A1 (en) Internet mediation
CN109635019B (zh) 请求处理方法、装置、设备及存储介质
WO2017004947A1 (zh) 防止域名劫持的方法和装置
US10122722B2 (en) Resource classification using resource requests
US20080320095A1 (en) Determination Of Participation In A Malicious Software Campaign
CN114025021B (zh) 一种跨Kubernetes集群的通信方法、系统、介质和电子设备
CN113259479B (zh) 一种数据处理方法以及设备
CN110012118B (zh) 一种提供网络地址转换nat服务的方法及控制器
CN109729187B (zh) 一种代理通信方法、系统、装置及存储介质
EP4049425B1 (en) Email security in a multi-tenant email service
WO2022100020A1 (zh) 漏洞测试方法及装置
US20210112029A1 (en) Intelligently routing a response packet along a same connection as a request packet
CN109561172B (zh) 一种dns透明代理方法、装置、设备及存储介质
CN109413224B (zh) 报文转发方法和装置
EP4338374A1 (en) Detection and mitigation of security threats to a domain name system for a communication network
US20210194916A1 (en) Methods for inventorying network hosts and devices thereof
CN110855810B (zh) 一种nat转换方法、装置、网络安全设备及存储介质
CN114338809A (zh) 访问控制方法、装置、电子设备和存储介质
WO2016118153A1 (en) Marking nodes for analysis based on domain name system resolution
CN114710560A (zh) 数据处理方法、系统及代理设备、终端设备
US20160248596A1 (en) Reflecting mdns packets
CN114448703B (zh) 请求处理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22874330

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2022874330

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2022874330

Country of ref document: EP

Effective date: 20240322