【技术实现步骤摘要】
攻击检测方法和装置
本公开涉及信息安全领域,特别涉及一种攻击检测方法和装置。
技术介绍
APT(AdvancedPersistentThreat,高级持续性威胁)攻击不以破坏目标系统的可用性、可靠性为主要目的,旨在窃取高价值的数据、资料、文件,具有明确的目标性和长期的行为隐蔽性。网络隐蔽通道是APT攻击者绕过网络安全策略进行数据传输的重要途径,而DNS(DomainNameSystem,域名系统)是实现应用层隐蔽通道的常用手段。DNS协议的隐蔽通道可分为2类:第一类利用DNS的递归域名解析。攻击者注册一个域名,并将其NS(NameServer,域名服务器)设置为隐蔽通道的服务器。隐蔽通道客户端向任意一台DNS递归服务器请求该域下子域名,均可实现与服务器通信;另一类是客户端通过UDP(UserDatagramProtocol,用户数据报协议)53端口与隐蔽通道服务器直接通信。
技术实现思路
专利技术人通过研究发现,由于DNS在网络运行中的重要地位,DNS协议几乎不会被防火墙策略阻拦。通过域名...
【技术保护点】
1.一种攻击检测方法,包括:/n利用域名系统DNS探针获取DNS数据;/n对所述DNS数据进行解析;/n在解析结果存在异常特征的情况下,进一步查询与所述DNS数据相关联的客户端IP地址是否存在告警信息;/n在所述客户端IP地址存在告警信息的情况下,进行高级持续性威胁APT告警。/n
【技术特征摘要】
1.一种攻击检测方法,包括:
利用域名系统DNS探针获取DNS数据;
对所述DNS数据进行解析;
在解析结果存在异常特征的情况下,进一步查询与所述DNS数据相关联的客户端IP地址是否存在告警信息;
在所述客户端IP地址存在告警信息的情况下,进行高级持续性威胁APT告警。
2.根据权利要求1所述的方法,其中,还包括:
在所述客户端IP地址不存在告警信息的情况下,进一步查询所述客户端IP地址是否被添加第一标识;
在所述客户端IP地址未被添加第一标识的情况下,给所述客户端IP地址添加第一标识。
3.根据权利要求2所述的方法,其中,还包括:
在所述客户端IP地址已被添加第一标识的情况下,将所述第一标识转换为第二标识,以便进行安全排查。
4.根据权利要求1-3中任一项所述的方法,其中,还包括:
在解析结果不存在异常特征的情况下,对所述DNS数据的连接特征进行统计分析;
在统计分析值大于预定门限的情况下,进一步查询与所述DNS数据相关联的客户端IP地址是否存在告警信息;
在所述客户端IP地址存在告警信息的情况下,进行APT告警。
5.根据权利要求1所述的方法,其中,
所述异常特征包括数据包格式解析异常、解析完毕时指针未在用户数据报协议UDP载荷末尾和编码域名含前向指针中的至少一项。
6.根据权利要求4所述的方法,其中,
所述连接特征包括请求域名的标签数量、请求域名存储的数据量、请求域名包含二进制数据的数量、DNS回答消息的资源记录数据大小和DNS回答消息包含规范名称CNAME记录的数量中的至少一项。
7.一种攻击检测装置,包括:
数据获取模块,被配置为利用域名系统DNS探针获取DNS数据;
解析模块,被配置为对所述DNS数据进行解析;
第一查询模块,被配置为在解析结果存在异常特征的情况下,进一步查询与所述DNS数据相关联的客户端I...
【专利技术属性】
技术研发人员:何明,樊宁,沈军,汪来富,金华敏,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。