【技术实现步骤摘要】
一种可信威胁情报的物联网终端安全控制方法以及系统
本专利技术涉及一种可信威胁情报的物联网终端安全控制方法以及系统,属于电网终端安全
技术介绍
中国专利(授权公告号CN103327015B)公开了一种基于DNS缓存探测的特定区域恶意代码感染主机规模估计方法。该方法通过对特定区域范围内DNS解析器进行探测,收集恶意域名在各个DNS解析器中的缓存信息,并基于该信息构建贝叶斯预测滤波模型,估计恶意代码在相应网络域中感染主机的规模。但上述专利中并未提及如何维护威胁情报使其长期有效,在实际应用中存在威胁情报可信的问题。进一步,上述方法在探测服务器上进行的DNS缓存探测方法在实际应用中会出现运营商DNS缓存劫持,运营商为了节省宽带结算费用,会将探测服务器发送的DNS请求拦截转发到运营商自建的DNS服务器,而后运营商通过修改目标地址的方法将解析请求返回给探测服务器。运营商DNS缓存劫持过程导致无法将探测数据发送到被监控的DNS服务器上,导致缓存探测结果准确性大大降低,无法获取实际需探测DNS服务器上的缓存数据。
技术实现思路
针对现有技术的缺陷,本专利技术的目的在于提供一种通过机器学习的方法实现威胁情报可信评估,包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互等功能;通过威胁情报可信评估获取准确的威胁情报,极大的提高了终端威胁告警精准性,减少误报、漏报等问题的物联网终端安全控制方法以及系统。本专利技术的另一目的在于提供一种在网络中架设缓存检测服务器并 ...
【技术保护点】
1.一种可信威胁情报的物联网终端安全控制方法,其特征在于,/n主要包括以下步骤:/n第一步,探测服务器向被检测DNS服务器发送缓存探测请求;/n第二步,从可信威胁情报库获取待探测域名列表;/n第三步,对DNS缓存进行探测,通过在DNS请求数据包中设置关闭递归查询标志位,再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求,并记录和处理探测结果;/n如果探测结果发现,检测DNS服务器存在威胁域名以及恶意程序,则进行第四步;/n否则进行第七步;/n第四步,对探测到的存在威胁域名以及恶意程序的情报,利用机器算法进行威胁情报可信评估,进而区分是可信情报还是不可信威胁情报,如果是可信情报,则进行第五步;/n否则进行第七步;/n威胁情报可信评估主要包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互;/n第五步,通过一系列缓存更新时间来计算出DNS查询的总发送速率;/n通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率;/n根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量;/n第六步,进而评估出 ...
【技术特征摘要】 【专利技术属性】
1.一种可信威胁情报的物联网终端安全控制方法,其特征在于,
主要包括以下步骤:
第一步,探测服务器向被检测DNS服务器发送缓存探测请求;
第二步,从可信威胁情报库获取待探测域名列表;
第三步,对DNS缓存进行探测,通过在DNS请求数据包中设置关闭递归查询标志位,再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求,并记录和处理探测结果;
如果探测结果发现,检测DNS服务器存在威胁域名以及恶意程序,则进行第四步;
否则进行第七步;
第四步,对探测到的存在威胁域名以及恶意程序的情报,利用机器算法进行威胁情报可信评估,进而区分是可信情报还是不可信威胁情报,如果是可信情报,则进行第五步;
否则进行第七步;
威胁情报可信评估主要包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互;
第五步,通过一系列缓存更新时间来计算出DNS查询的总发送速率;
通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率;
根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量;
第六步,进而评估出一段时间内网络中有多少终端访问了某一个威胁域名,或是感染了同类的恶意程序;
第七步,当前网络环境安全,继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。
2.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法,其特征在于,
所述第一步,在网络中架设缓存检测服务器并进行抓包,探测服务器首先向缓存检测服务器发送约定过的DNS请求数据,如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后,则判断通信链路中不存在运营商DNS缓存劫持,进而探测服务器向被检测DNS服务器发送缓存探测请求;
如缓存检测服务器在单位时间内未能收到约定的DNS请求数据,缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持,此时缓存探测服务器将开启全局代理模式,通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求。
3.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法,其特征在于,
所述第四步,所述机器算法为TransE算法和RNN算法;利用TransE算法和RNN算法来区分可信情报和不可信威胁情报,从而达到威胁情报置信度判断。
4.如权利要求3所述的一种可信威胁情报的物联网终端安全控制方法,其特征在于,
可信威胁情报判断实现步骤如下:
步骤1:对多个共享平台的威胁情报文档进行分析和数据预处理,划分训练样本和测试样本集;
步骤2:将威胁情报转化为三元组结构化数据,从时间、内容和领域知识三个维度,结合TransE计算方法提取特征向量,构造输入特征空间中;
步骤3:训练集通过非监督贪婪逐层方法预训练,其中RNN算法逐层进行训练,得到每一层的参数用于初始化,顶层设置BP网络,通过反向传播网络将误差自顶向下传播,微调整个TransE网络直至收敛,得到基于TransE算法和RNN算法结合的可信判别分类器;
步骤4:将得到的特征空间输入到可信判别分类器中,得到威胁情报的二分类可信判别结果。
5.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法,其特征在于,
所述第五步,缓存的更新时间被记录在一个一维数组中,对数组中所有元素,计算数组后一个元素和前一个元素之间的差,并对这些差值求和。
技术研发人员:孙歆,孙昌华,戴桦,吕磅,李霁远,汪自翔,韩嘉佳,李沁园,周辉,
申请(专利权)人:国网浙江省电力有限公司电力科学研究院,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。