一种可信威胁情报的物联网终端安全控制方法以及系统技术方案

本发明专利技术公开了一种可信威胁情报的物联网终端安全控制方法以及系统，属于电网终端安全技术领域。本发明专利技术一种可信威胁情报的物联网终端安全控制方法，评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序，便于客户及时确定影响范围，形成应急处理方案。本发明专利技术利用DNS缓存探测技术，结合泛在电力物联网威胁情报，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

【技术实现步骤摘要】
一种可信威胁情报的物联网终端安全控制方法以及系统
本专利技术涉及一种可信威胁情报的物联网终端安全控制方法以及系统，属于电网终端安全

技术介绍
中国专利(授权公告号CN103327015B)公开了一种基于DNS缓存探测的特定区域恶意代码感染主机规模估计方法。该方法通过对特定区域范围内DNS解析器进行探测，收集恶意域名在各个DNS解析器中的缓存信息，并基于该信息构建贝叶斯预测滤波模型，估计恶意代码在相应网络域中感染主机的规模。但上述专利中并未提及如何维护威胁情报使其长期有效，在实际应用中存在威胁情报可信的问题。进一步，上述方法在探测服务器上进行的DNS缓存探测方法在实际应用中会出现运营商DNS缓存劫持，运营商为了节省宽带结算费用，会将探测服务器发送的DNS请求拦截转发到运营商自建的DNS服务器，而后运营商通过修改目标地址的方法将解析请求返回给探测服务器。运营商DNS缓存劫持过程导致无法将探测数据发送到被监控的DNS服务器上，导致缓存探测结果准确性大大降低，无法获取实际需探测DNS服务器上的缓存数据。
技术实现思路
针对现有技术的缺陷，本专利技术的目的在于提供一种通过机器学习的方法实现威胁情报可信评估，包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互等功能；通过威胁情报可信评估获取准确的威胁情报，极大的提高了终端威胁告警精准性，减少误报、漏报等问题的物联网终端安全控制方法以及系统。本专利技术的另一目的在于提供一种在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求的能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据的可信威胁情报的物联网终端安全控制方法以及系统。为实现上述目的一，本专利技术的技术方案为：一种可信威胁情报的物联网终端安全控制方法，主要包括以下步骤：第一步，探测服务器向被检测DNS服务器发送缓存探测请求；第二步，从可信威胁情报库获取待探测域名列表；第三步，对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；如果探测结果发现，检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；否则进行第七步；第四步，对探测到的存在威胁域名以及恶意程序的情报，利用机器算法进行威胁情报可信评估，进而区分是可信情报还是不可信威胁情报，如果是可信情报，则进行第五步；否则进行第七步；威胁情报可信评估主要包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互；第五步，通过一系列缓存更新时间来计算出DNS查询的总发送速率；通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率；根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量；第六步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序，便于客户及时确定影响范围，形成应急处理方案；第七步，当前网络环境安全，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。当物联网终端感染僵尸网络等恶意程序后，受感染终端往往会通过恶意程序中预置的域名与黑客主控端建立通信连接，从而受到黑客控制，给企业网络安全带来更进一步的威胁。本专利技术利用DNS缓存探测技术，结合泛在电力物联网威胁情报，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。具体来说：1、解决泛在电力物联网痛点，弥补泛终端管控短板。随着物联网终端设备的激增，大量物联网设备产生大量网络流量，而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的恶意程序威胁发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜在网络威胁和隐秘通信的检测能力。2、提升公司泛在物联网终端主动防护能力传统windows、Linux等系统可以通过安装杀毒软件实现终端管控，但泛在物联网设备种类不同、型号各异、嵌入式系统各异，导致传统的补丁升级、病毒防御、端点保护等技术无法发挥防御效果。通过引入泛在电力物联网威胁情报技术，实现对僵尸网络、蠕虫病毒、C&C节点、Tor节点、匿名代理、DGA域名、挖矿木马、间谍软件、勒索软件、攻击页面、钓鱼网站、垃圾邮件等多种类型高级威胁进行实时监测。3、支撑护网行动，实现全网安全事件态势感知。能够加强国网公司所属设备与系统的安全事件分析与处置，协助国网公司开展护网行动、重大活动及会议的网络安全保障，提升网络安全队伍快速响应处置能力，提高安全事件的态势感知。4、向国家监管机关输出安全预警能力，提升工作亮点。由于本工具不需要监控流量和日志的特性，部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用，向国家监管机关输出安全预警能力，提升工作亮点。进一步，能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类型，深度推断恶意通信的意图及内容。为实现上述目的二，本专利技术的技术方案为：所述第一步，在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求。本专利技术加入检测运营商DNS缓存劫持功能，能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据，进而提高物联网终端的安全性。作为优选技术措施：所述第四步，所述机器算法为TransE算法和RNN算法；利用TransE算法和RNN算法来区分可信情报和不可信威胁情报，从而达本文档来自技高网...

【技术保护点】
1.一种可信威胁情报的物联网终端安全控制方法，其特征在于，/n主要包括以下步骤：/n第一步，探测服务器向被检测DNS服务器发送缓存探测请求；/n第二步，从可信威胁情报库获取待探测域名列表；/n第三步，对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；/n如果探测结果发现，检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；/n否则进行第七步；/n第四步，对探测到的存在威胁域名以及恶意程序的情报，利用机器算法进行威胁情报可信评估，进而区分是可信情报还是不可信威胁情报，如果是可信情报，则进行第五步；/n否则进行第七步；/n威胁情报可信评估主要包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互；/n第五步，通过一系列缓存更新时间来计算出DNS查询的总发送速率；/n通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率；/n根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量；/n第六步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序；/n第七步，当前网络环境安全，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。/n...

【技术特征摘要】
1.一种可信威胁情报的物联网终端安全控制方法，其特征在于，
主要包括以下步骤：
第一步，探测服务器向被检测DNS服务器发送缓存探测请求；
第二步，从可信威胁情报库获取待探测域名列表；
第三步，对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；
如果探测结果发现，检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；
否则进行第七步；
第四步，对探测到的存在威胁域名以及恶意程序的情报，利用机器算法进行威胁情报可信评估，进而区分是可信情报还是不可信威胁情报，如果是可信情报，则进行第五步；
否则进行第七步；
威胁情报可信评估主要包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互；
第五步，通过一系列缓存更新时间来计算出DNS查询的总发送速率；
通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率；
根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量；
第六步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序；
第七步，当前网络环境安全，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。


2.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，
所述第一步，在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；
如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求。


3.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，
所述第四步，所述机器算法为TransE算法和RNN算法；利用TransE算法和RNN算法来区分可信情报和不可信威胁情报，从而达到威胁情报置信度判断。


4.如权利要求3所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，
可信威胁情报判断实现步骤如下：
步骤1：对多个共享平台的威胁情报文档进行分析和数据预处理，划分训练样本和测试样本集；
步骤2：将威胁情报转化为三元组结构化数据，从时间、内容和领域知识三个维度，结合TransE计算方法提取特征向量，构造输入特征空间中；
步骤3：训练集通过非监督贪婪逐层方法预训练，其中RNN算法逐层进行训练，得到每一层的参数用于初始化，顶层设置BP网络，通过反向传播网络将误差自顶向下传播，微调整个TransE网络直至收敛，得到基于TransE算法和RNN算法结合的可信判别分类器；
步骤4：将得到的特征空间输入到可信判别分类器中，得到威胁情报的二分类可信判别结果。


5.如权利要求1所述的一种可信威胁情报的物联网终端安全控制方法，其特征在于，
所述第五步，缓存的更新时间被记录在一个一维数组中，对数组中所有元素，计算数组后一个元素和前一个元素之间的差，并对这些差值求和。

【专利技术属性】
技术研发人员：孙歆，孙昌华，戴桦，吕磅，李霁远，汪自翔，韩嘉佳，李沁园，周辉，
申请(专利权)人：国网浙江省电力有限公司电力科学研究院，
类型：发明
国别省市：浙江;33