一种基于DNS的感染主机分布监测方法与系统技术方案

本发明专利技术提供的一种基于DNS的感染主机分布监测方法与系统，属于网络安全技术领域。该方法包括感知中心对部署在全球各地的网络环境中的多个感知节点发送用于探测感染主机分布情况的恶意域名指令；每个感知节点根据恶意域名指令向所对应的当地的DNS服务器发起DNS查询指令；每个感知节点接收当地的DNS服务器根据DNS查询指令返回的DNS数据包；每个所述感知节点分别将各自所接收到的DNS数据包返回给感知中心；感知中心根据DNS数据包确定感染主机在全球各地的网络环境中的分布情况。从而通过DNS响应时间来判断感染主机在全球网络的分布情况，进而实现对各地区的感染情况进行监控。

【技术实现步骤摘要】
一种基于DNS的感染主机分布监测方法与系统
本专利技术涉及网络安全领域，具体而言，涉及一种基于DNS的感染主机分布监测方法与系统。
技术介绍
互联网的快速发展和规模扩张，其开放性也带来了各种各样的安全问题，充斥着各种各样的病毒、木马等恶意文件。大量的主机暴露在互联网上极易遭受黑客入侵，被控制的主机会面临数据窃取和作为僵尸主机等风险。当今黑客攻击为了隐藏身份，大多是利用跳板进行攻击的，因此互联网上大量存在弱点的服务器被感染控制，如何能够快速发现主机遭受感染控制，对网络环境中恶意文件感染和传播情况的感知是网络安全行业发展的热点之一。大量被感染控制的主机就形成了僵尸网络，僵尸网络Botnet是指采用一种或多种传播手段，使大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。僵尸网络被恶意攻击者利用可能导致网络瘫痪或者机密数据泄露的风险。目前已知的僵尸网络的攻击类型主要有远程控制系统、发起拒绝服务攻击、发送垃圾邮件、二次攻击、窃取敏感信息、滥用本地和网络资源等。僵尸网络攻击无论对整个网络还是对僵尸主机本身，都会造成极大的危害。然而目前是通过网络流量的研究思路对各个地区的互联网流量进行监控，实时解析流量数据包并通过一些行为分析方法，获得恶意文件的活动信息，或者是通过各个终端上的杀毒、防护软件检测恶意文件的感染情况，但是均需要在各个骨干网络和主机端部署，实施难度大成本也非常高，而且很难评估更大范围甚至全球各地区被感染的情况。
技术实现思路
本专利技术实施例提供的一种基于DNS的感染主机分布监测方法与系统，可以解决现有技术中的存在的无法评估全球各地区被感染的主机的分布情况的技术问题。第一方面，本专利技术实施例提供的一种基于DNS的感染主机分布监测方法，感知中心对部署在全球各地的网络环境中的多个感知节点发送用于探测感染主机分布情况的恶意域名指令，每个所述感知节点的DNS配置为当地DNS服务器的IP地址；每个所述感知节点根据所述恶意域名指令向所对应的所述当地的DNS服务器发起DNS查询指令；每个所述感知节点接收所述当地的DNS服务器根据所述DNS查询指令返回的DNS数据包；每个所述感知节点分别将各自所接收到的所述DNS数据包返回给所述感知中心；所述感知中心根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况。结合第一方面，第一方面的第一种实施方式，所述的每个所述感知节点根据所述恶意域名指令向所对应的所述当地的DNS服务器发起DNS查询指令，包括：每个所述感知节点根据所述恶意域名指令读取目标域名列表；每个所述感知节点向所对应的所述当地的DNS服务器发起用于查询所述目标域名列表中每个域名的查询指令；每个所述感知节点接收所述当地的DNS服务器根据所述DNS查询指令返回的DNS数据包，包括：每个所述感知节点接收所述当地的DNS服务器根据每个所述域名对应的所述查询指令返回的响应数据包；将每个所述域名对应的所述响应数据包作为所述DNS数据包。结合第一方面，第一方面的第二种实施方式，所述的每个所述感知节点分别将各自所接收到的所述DNS数据包返回给所述感知中心，包括：每个所述感知节点分别对各自所接收到的所述DNS数据包进行解析，得到所述DNS数据包所携带的响应时间和IP地址；根据所述响应时间和所述IP地址生成预设格式的返回结果；将所述返回结果返回给所述感知中心；所述感知中心根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况，包括：所述感知中心根据所述返回结果确定所述感染主机在所述全球各地的网络环境中的分布情况。结合第一方面，第一方面的第三种实施方式，所述的所述感知中心根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况，包括：所述感知中心根据所述DNS数据确定响应时间与IP地址；根据所述响应时间确定与所述IP地址对应的域名是否为恶意域名；若为恶意域名，确定所述感染主机在所述全球各地的网络环境中的分布情况。结合第一方面，第一方面的第四种实施方式，在所述的所述感知中心根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况之后，还包括：基于所述分布情况生成图像数据；将所述图像数据显示在网页上，以使用户能够直观地查看所述分布情况。第二方面，本专利技术实施例提供的基于DNS的感染主机分布监测系统，包括：感知中心和多个感知节点；其中，所述感知中心用于：对部署在全球各地的网络环境中的多个感知节点发送用于探测感染主机分布情况的恶意域名指令，每个所述感知节点的DNS配置为当地DNS服务器的IP地址；每个所述感知节点用于：根据所述恶意域名指令向所对应的所述当地的DNS服务器发起DNS查询指令；以及还用于接收所述当地的DNS服务器根据所述DNS查询指令返回的DNS数据包；以及还用于分别将各自所接收到的所述DNS数据包返回给所述感知中心；所述感知中心还用于：根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况。结合第二方面，第二方面的第一种实施方式，每个所述感知节点用于根据所述恶意域名指令向所对应的所述当地的DNS服务器发起DNS查询指令，包括：根据所述恶意域名指令读取目标域名列表；向所对应的所述当地的DNS服务器发起用于查询所述目标域名列表中每个域名的查询指令；每个所述感知节点用于接收所述当地的DNS服务器根据所述DNS查询指令返回的DNS数据包，包括：接收所述当地的DNS服务器根据每个所述域名对应的所述查询指令返回的响应数据包；将每个所述域名对应的所述响应数据包作为所述DNS数据包。结合第二方面，第二方面的第二种实施方式，每个所述感知节点还用于分别将各自所接收到的所述DNS数据包返回给所述感知中心，包括：分别对各自所接收到的所述DNS数据包进行解析，得到所述DNS数据包所携带的响应时间和IP地址；根据所述响应时间和所述IP地址生成预设格式的返回结果；将所述返回结果返回给所述感知中心；所述感知中心还用于：根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况，包括：根据所述返回结果确定所述感染主机在所述全球各地的网络环境中的分布情况。结合第二方面，第二方面的第三种实施方式，所述感知中心还用于根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况，包括：根据所述DNS数据确定响应时间与IP地址；根据所述响应时间确定与所述IP地址对应的域名是否为恶意域名；若为恶意域名，确定所述感染主机在所述全球各地的网络环境中的分布情况。结合第二方面，第二方面的第四种实施方式，在所述的所述感知中心还用于根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况之后，所述系统还包括：显示模块，用于基于所述分布情况生成图像数据；将所述图像数据显示在网页上，以使用户能够直观地查看所述分布情况。与现有技术相比，本专利技术实施例提供的一种基于DNS的感染主机分布监测方法与系统有益效果是：通过感知中心对部署在全球各地的网络环境中的多个感知节点发送用于探测感染主机分布情况的恶意域名指令，每个本文档来自技高网...

【技术保护点】
1.一种基于DNS的感染主机分布监测方法，其特征在于，包括：感知中心对部署在全球各地的网络环境中的多个感知节点发送用于探测感染主机分布情况的恶意域名指令，每个所述感知节点的DNS配置为当地DNS服务器的IP地址；每个所述感知节点根据所述恶意域名指令向所对应的所述当地的DNS服务器发起DNS查询指令；每个所述感知节点接收所述当地的DNS服务器根据所述DNS查询指令返回的DNS数据包；每个所述感知节点分别将各自所接收到的所述DNS数据包返回给所述感知中心；所述感知中心根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况。

【技术特征摘要】
1.一种基于DNS的感染主机分布监测方法，其特征在于，包括：感知中心对部署在全球各地的网络环境中的多个感知节点发送用于探测感染主机分布情况的恶意域名指令，每个所述感知节点的DNS配置为当地DNS服务器的IP地址；每个所述感知节点根据所述恶意域名指令向所对应的所述当地的DNS服务器发起DNS查询指令；每个所述感知节点接收所述当地的DNS服务器根据所述DNS查询指令返回的DNS数据包；每个所述感知节点分别将各自所接收到的所述DNS数据包返回给所述感知中心；所述感知中心根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况。2.根据权利要求1所述的方法，其特征在于，所述的每个所述感知节点根据所述恶意域名指令向所对应的所述当地的DNS服务器发起DNS查询指令，包括：每个所述感知节点根据所述恶意域名指令读取目标域名列表；每个所述感知节点向所对应的所述当地的DNS服务器发起用于查询所述目标域名列表中每个域名的查询指令；每个所述感知节点接收所述当地的DNS服务器根据所述DNS查询指令返回的DNS数据包，包括：每个所述感知节点接收所述当地的DNS服务器根据每个所述域名对应的所述查询指令返回的响应数据包；将每个所述域名对应的所述响应数据包作为所述DNS数据包。3.根据权利要求1所述的方法，其特征在于，所述的每个所述感知节点分别将各自所接收到的所述DNS数据包返回给所述感知中心，包括：每个所述感知节点分别对各自所接收到的所述DNS数据包进行解析，得到所述DNS数据包所携带的响应时间和IP地址；根据所述响应时间和所述IP地址生成预设格式的返回结果；将所述返回结果返回给所述感知中心；所述感知中心根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况，包括：所述感知中心根据所述返回结果确定所述感染主机在所述全球各地的网络环境中的分布情况。4.根据权利要求1所述的方法，其特征在于，所述的所述感知中心根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况，包括：所述感知中心根据所述DNS数据确定响应时间与IP地址；根据所述响应时间确定与所述IP地址对应的域名是否为恶意域名；若为恶意域名，确定所述感染主机在所述全球各地的网络环境中的分布情况。5.根据权利要求1所述的方法，其特征在于，在所述的所述感知中心根据所述DNS数据包确定所述感染主机在所述全球各地的网络环境中的分布情况之后，还包括：基于所述分布情况生成图像数据；将所述图像数据显示在网页上，以使用户能够直观地查看所述分布情...

【专利技术属性】
技术研发人员：王世晋，范渊，王辉，莫金友，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33