【技术实现步骤摘要】
非域名映射IP地址的检测方法、系统、电子设备及存储介质
[0001]本申请涉及安全防护
,尤其涉及一种非域名映射IP地址的检测方法、非域名映射IP地址的检测系统、电子设备及计算机可读存储介质。
技术介绍
[0002]在网络安全领域,构建命令与控制信道(C&C,Command&Control Server)是攻击者常用的一种通信手段。当恶意软件在目标主机落地并执行之后,就会伺机和攻击者服务器建立命令与控制信道,以便进一步的接受攻击者的指令,或者向攻击者服务器反馈信息。通常这种命令与控制信道会通过减少通信周期,或者是使用加密的手段隐藏在正常网络流量中,难以被发现。
[0003]早期的恶意软件选择利用域名(DNS)协议解析与域名相对应IP地址,然后利用获取到的IP地址与攻击者服务器进行C&C回连。针对这种攻击方式,部分安全服务商选择对域名(DNS)查询请求进行检测,以判断可能发生的攻击行为。
[0004]为了规避基于域名查询请求的检测机制,部分攻击者通过将攻击者...
【技术保护点】
【技术特征摘要】
1.一种非域名映射IP地址的检测方法,其特征在于,包括:获取包括待检测IP地址和/或待检测文件的文件标识的待检测信息;基于所述待检测信息,从目标数据库查询与所述待检测信息相匹配的数据,并生成查询结果;其中,所述目标数据库用于保存非域名映射IP地址、域名映射IP地址、能够唯一标识文件的文件标识,以及所述文件标识与IP地址的关联关系;基于所述查询结果生成检测结果;其中,所述检测结果能够表征所述待检测IP地址是否为待检测IP地址,或者能够表征所述待检测文件中是否包含非域名映射IP地址。2.根据权利要求1所述的方法,其特征在于,所述基于所述查询结果生成检测结果,包括:在所述查询结果表征所述目标数据库中具有与所述待检测信息相匹配的数据的情况下,基于所述查询结果生成所述检测结果。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:在所述查询结果表征所述目标数据库中不具有与所述待检测信息相匹配的数据的情况下,基于所述待检测信息从威胁情报库中查询网络威胁情报;基于所述网络威胁情报生成分析结果;所述分析结果能够表征所述待检测IP地址是否为非域名映射IP地址,或者能够表征所述待检测文件中是否包含非域名映射IP地址;基于所述分析结果将所述待检测IP地址和/或待检测文件的文件标识存入所述目标数据库。4.根据权利要求3所述的方法,其特征在于,所述基于所述待检测信息从威胁情报库中查询网络威胁情报,包括:基于所述待检测信息中的待检测域名信息,从威胁情报库中查询域名威胁情报;所述域名威胁情报至少包括所述待检测域名信息与IP地址的对应关系;基于所述待检测IP地址,从威胁情报库中查询IP地址威胁情报;所述IP地址威胁情报至少包括能够表征所述待检测IP地址的恶意或非恶意属性的判定信息;或者所述IP地址威胁情报包括所述判定信息,以及所述待检测IP地址与域名信息的对应关系;和/或基于所述待检文件的文件标识,从威胁情报库中查询文件威胁情报;所述文件威胁情报至少包括所述待检测文件与IP地址的关联关系。5.根据权利要求4所述的方法,其特征在于,所述基于所述网络威胁情报生成分析结果,包括:基于所述网络威胁情报,确定所述待检测IP地址或与所述待检测文件相关联的IP地址是否具有相对应的域名信息;如果是,则生成第一分析结果;所述第一分析结果能够表征所述待检测IP地址属于域名映射IP地址,或者能够表征所述待检测文件中不包含非域名映射IP地址;如果否,则生成第二分析结果;所述第二分析结果能够表征所述待检测IP地址属于非域名映射IP地址,或者能够表征所述待...
【专利技术属性】
技术研发人员:郭子健,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。