本申请提出了一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法,其中,该方法包括:获取操作系统的高频命令,并建立DNS解析服务器,其中,高频命令为黑客远程控制计算机后高频执行的操作系统原生命令;对高频命令插入暗桩,在执行插入暗桩的高频命令时,发送DNS解析请求至DNS解析服务器;通过DNS解析服务器响应解析请求,并且生成DNS解析日志;将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志。本申请通过脚本批量化部署,可以在短时间内实现低成本大规模的部署,实时感知黑客对计算机的远程控制行为。控制行为。控制行为。
【技术实现步骤摘要】
基于DNS解析的实时感知计算机被黑客远程控制的监测方法
[0001]本申请涉及网络安全监测发现
,尤其涉及基于DNS解析的实时感知计算机被黑客远程控制的监测方法和装置。
技术介绍
[0002]网络安全的本质是攻防对抗。黑客攻击涵盖了漏洞利用、社工钓鱼、供应链攻击等多种手法,虽然黑客攻击手法多样,但最终都着眼于对目标计算机的远控以实现敏感数据窃取和纵深打击。对于防守方人员来说需要及时发现黑客对计算机的远控行为,一方面阻止黑客对计算机上数据的窃取,另一方面阻止黑客以此计算机为跳板继续攻击其它计算机以扩大攻击战果。随着攻防对抗愈演愈烈,黑客采取了多种手法来规避防守方的监测手段,因此需要新的思路来改变当前传统、被动且滞后的防守态势。
[0003]目前防守方对计算机被黑客远程控制的监控,采取的主流技术包括基于网络流量的分析与基于计算机安全客户端的检测(EDR)。前者需要在网络中部署大量的流量采集探针,后者需要在每台计算机上安装安全客户端,同时上述两种方法都需要大量安全规则做支撑才能从海量数据中发现黑客的远控行为。
[0004]目前这些主流监测技术的局限性在于:对于流量探针,部署少了存在监控盲区,部署多了安全成本巨大,此外流量需要存储,安全成本巨大。对于计算机安全终端,同样存在部署广度的问题,同时存在操作系统适配性和业务兼容性问题。此外两者都还存安全规则的设置问题,一旦黑客攻击能绕过现有规则就无从发现。
技术实现思路
[0005]本申请旨在至少在一定程度上解决相关技术中的技术问题之一。/>[0006]为此,本申请的第一个目的在于提出一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法,解决了现有方法存在安全策略和规则配置方面的技术问题,同时还解决了现有方法对于监测点位有数量要求以及操作系统兼容性的技术问题,利用操作系统的原生命令,能够通过脚本批量化部署,不存在系统兼容性问题,可以在短时间内实现低成本大规模的部署,从而实时感知黑客对计算机的远程控制行为。
[0007]本申请的第二个目的在于提出一种基于DNS解析的实时感知计算机被黑客远程控制的监测装置。
[0008]本申请的第三个目的在于提出一种计算机设备。
[0009]本申请的第四个目的在于提出一种非临时性计算机可读存储介质。
[0010]为达上述目的,本申请第一方面实施例提出了一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法,包括:获取操作系统的高频命令,并建立DNS解析服务器,其中,高频命令为黑客远程控制计算机后高频执行的操作系统原生命令;对高频命令插入暗桩,在执行插入暗桩的高频命令时,发送DNS解析请求至DNS解析服务器;通过DNS解析服务器响应解析请求,并且生成DNS解析日志;将DNS解析日志实时发送至可视化日志服务器,通
过可视化日志服务器展示DNS解析日志。
[0011]可选地,在本申请的一个实施例中,对高频命令插入暗桩,包括:
[0012]使用别名技术对高频命令插入暗桩,和/或
[0013]使用程序同步调用与路径优先技术对高频命令插入暗桩。
[0014]可选地,在本申请的一个实施例中,使用别名技术对高频命令插入暗桩,包括:
[0015]通过配置alias命令或使用注册表与自定义批处理文件,对高频命令插入暗桩。
[0016]可选地,在本申请的一个实施例中,通过配置alias命令或使用注册表与自定义批处理文件,对高频命令插入暗桩,包括:
[0017]利用“&&”符号执行高频命令和触发DNS解析请求的命令;
[0018]对触发DNS解析请求的命令进行重定向处理,以使定向处理后的DNS解析请求不返回执行结果。
[0019]可选地,在本申请的一个实施例中,使用程序同步调用与路径优先技术对高频命令插入暗桩,包括:
[0020]通过程序同时调用高频命令和触发DNS解析请求的命令,并控制程序仅获取高频命令的执行结果;
[0021]利用操作系统的路径优先原则,在PATH环境变量中设置插入暗桩的程序处于高优先级。
[0022]可选地,在本申请的一个实施例中,执行插入暗桩的高频命令包括执行高频命令和执行触发DNS解析请求的命令,在执行插入暗桩的高频命令时,发送DNS解析请求至DNS 解析服务器,包括:
[0023]在黑客远程控制计算机后执行插入暗桩的高频命令时,
[0024]执行高频命令,返回执行结果;
[0025]发送DNS解析请求至DNS解析服务器进行解析,不返回执行结果。
[0026]可选地,在本申请的一个实施例中,将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志,包括:
[0027]配置syslog策略,将DNS解析日志实时发送至可视化日志服务器;
[0028]通过DNS解析服务器设置特殊的虚构域名作为DNS解析锚点,并通过可视化日志服务器将DNS解析锚点作为关键字过滤DNS解析日志,对过滤得到的DNS解析日志进行实时滚动展示。
[0029]为达上述目的,本申请第二方面实施例提出了一种基于DNS解析的实时感知计算机被黑客远程控制的监测装置,包括:
[0030]获取模块,用于获取操作系统的高频命令,其中,高频命令为黑客远程控制计算机后高频执行的操作系统原生命令;
[0031]建立模块,用于建立DNS解析服务器;
[0032]插入模块,用于对高频命令插入暗桩;
[0033]执行模块,用于在执行插入暗桩的高频命令时,发送DNS解析请求至DNS解析服务器;
[0034]解析模块,用于通过DNS解析服务器响应解析请求,并且生成DNS解析日志;
[0035]日志展示模块,用于将DNS解析日志实时发送至可视化日志服务器,通过可视化日
志服务器展示DNS解析日志。
[0036]为达上述目的,本申请第三方面实施例提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时,实现上述施例所述的基于DNS解析的实时感知计算机被黑客远程控制的监测方法。
[0037]为了实现上述目的,本申请第四方面实施例提出了一种非临时性计算机可读存储介质,当所述存储介质中的指令由处理器被执行时,能够执行一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法。
[0038]本申请实施例的基于DNS解析的实时感知计算机被黑客远程控制的监测方法、基于DNS 解析的实时感知计算机被黑客远程控制的监测装置、计算机设备和非临时性计算机可读存储介质,解决了现有方法存在安全策略和规则配置方面的技术问题,同时还解决了现有方法对于监测点位有数量要求以及操作系统兼容性的技术问题,利用操作系统的原生命令,能够通过脚本批量化部署,不存在系统兼容性问题,可以在短时间内实现低成本大规模的部署,从而实时感知黑客对计算机的远程控制行为。...
【技术保护点】
【技术特征摘要】
1.一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法,其特征在于,获取操作系统的高频命令,并建立DNS解析服务器,其中,所述高频命令为黑客远程控制计算机后高频执行的操作系统原生命令;对所述高频命令插入暗桩,在执行插入暗桩的高频命令时,发送DNS解析请求至所述DNS解析服务器;通过所述DNS解析服务器响应解析请求,并且生成DNS解析日志;将所述DNS解析日志实时发送至可视化日志服务器,通过所述可视化日志服务器展示所述DNS解析日志。2.如权利要求1所述的方法,其特征在于,所述对所述高频命令插入暗桩,包括:使用别名技术对所述高频命令插入暗桩,和/或使用程序同步调用与路径优先技术对所述高频命令插入暗桩。3.如权利要求2所述的方法,其特征在于,所述使用别名技术对所述高频命令插入暗桩,包括:通过配置alias命令或使用注册表与自定义批处理文件,对所述高频命令插入暗桩。4.如权利要求3所述的方法,其特征在于,所述通过配置alias命令或使用注册表与自定义批处理文件,对所述高频命令插入暗桩,包括:利用“&&”符号执行所述高频命令和触发DNS解析请求的命令;对所述触发DNS解析请求的命令进行重定向处理,以使定向处理后的DNS解析请求不返回执行结果。5.如权利要求2所述的方法,其特征在于,所述使用程序同步调用与路径优先技术对所述高频命令插入暗桩,包括:通过程序同时调用所述高频命令和触发DNS解析请求的命令,并控制所述程序仅获取所述高频命令的执行结果;利用操作系统的路径优先原则,在PATH环境变量中设置插入暗桩的程序处于高优先级。6.如权利要求1所述的方法,其特征在于,执行插入暗桩的高频命令包括执行高频命令和执行触发DNS解析请求的命令,所述在执行插入暗桩的高频命令时,发...
【专利技术属性】
技术研发人员:裴志宏,颜行知,
申请(专利权)人:颜行知,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。