DNS隧道攻击的防御系统技术方案

本申请提供了一种DNS隧道攻击的防御系统，其中，攻击识别模块，在DNS隧道攻击事件发生前，识别业务安全需求、盘点服务器资产、划分网络区域、及评估业务风险；攻击防护模块，在攻击事件发生前和发生时，进行自动化防护，以保证业务连续性；攻击检测模块，在攻击事件发生时进行实时攻击检测，并监控业务和保护措施是否正常运行；攻击响应模块，在攻击事件发生时，根据事件影响情况选择合适预案进行事件响应；攻击恢复模块，在攻击事件发生结束后，恢复系统、修复漏洞以及防护措施校验，以进行预防和修复。通过从攻击事件发生前、发生时以及发生后三个阶段进行全方位的识别、防护、检测、响应、恢复等，提高金融系统的安全性。提高金融系统的安全性。提高金融系统的安全性。

【技术实现步骤摘要】
DNS隧道攻击的防御系统


[0001]本申请涉及金融
，尤其是涉及一种DNS隧道攻击的防御系统。

技术介绍

[0002]近年来，越来越多的金融业务提供线上服务，越来越多的银行业务web化，需要保证这些业务能被正常访问，DNS(Domain Name System，域名系统)作为关键技术发挥着重要作用。
[0003]DNS是网络应用中一个非常重要的基础协议，很多基础服务如域名解析、电子邮件定位、域控制器查找以及从终端用户到Internet的任何通信几乎都依赖于DNS服务。但是域名服务商DNS服务仅提供服务，不能保证解析的质量和安全性。
[0004]目前，针对DNS安全性，业界通过一些流量分析或者入侵检测产品，重点对DNS隧道进行监控和检测，但是对于安全性要求极高的金融行业来说，现有方式防护力度小，防护范围不够全面，防护效果差。

技术实现思路

[0005]本申请的目的在于提供一种DNS隧道攻击的防御系统，从攻击事件发生前、发生时以及发生后三个阶段进行全方位的识别、防护、检测、响应、恢复等，更加全面而体系地对抗此类攻击，从而提高金融系统的安全性。
[0006]第一方面，本申请实施例提供一种DNS隧道攻击的防御系统，系统包括攻击识别模块、攻击防护模块、攻击检测模块、攻击响应模块和攻击恢复模块；攻击识别模块，用于在DNS隧道攻击事件发生前，识别业务安全需求、盘点服务器资产、划分网络区域、及评估业务风险；攻击防护模块，用于在DNS隧道攻击事件发生前和发生时，进行自动化防护，以保证业务连续性；攻击检测模块，用于在DNS隧道攻击事件发生时进行实时攻击检测，并监控业务和保护措施是否正常运行；攻击响应模块，用于在DNS隧道攻击事件发生时，根据事件影响情况选择合适预案进行事件响应；攻击恢复模块，用于在DNS隧道攻击事件发生结束后，恢复系统、修复漏洞以及防护措施校验，以进行预防和修复。
[0007]在本申请较佳的实施方式中，上述攻击识别模块包括：需求确定单元、资产盘点单元、区域划分单元和风险评估单元；需求确定单元，用于确定DNS业务需求及业务优先级；需求至少包括以下之一：内网DNS域名解析、外网DNS域名解析、域控制器定位、电子邮件服务查找；资产盘点单元，用于定期更新并确定服务器清单，并确定服务器优先级；区域划分单元，用于将网络区域进行业务区域划分，划分后的业务区域至少包括以下之一：办公区、测试区、APP区、各个业务区和生产区、灾备区、运维区；风险评估单元，用于风险识别、及影响评估。
[0008]在本申请较佳的实施方式中，上述攻击防护模块包括：基础防护单元、针对性防护单元、定制化部署防护单元；基础防护单元，用于通过预设防护工具进行人工干预前的自动化系统保护；预设防护工具至少包括以下之一：网络安全防护软件、DNS安全产品；针对性防
护单元，用于通过DNS隧道安全防护插件进行针对性防护；定制化部署防护单元单元，用于在事件前确定DNS部署规则，以协助进行DNS部署，并针对各个业务区域，按需配置DNS服务。
[0009]在本申请较佳的实施方式中，上述DNS部署规则至少包括以下之一：采用白名单机制指定内网的本地DNS服务器，确保所有新增的DNS服务器都在控制之中；内网DNS服务器和外网DNS服务器独立部署，在指定区域的最外层配置互联网DNS服务器；DNS对外解析配备防护；针对业务区域，按需配置DNS服务。
[0010]在本申请较佳的实施方式中，上述攻击检测模块包括：安全告警单元、威胁狩猎分析单元；安全告警单元，用于通过主机行为分析、流量行为分析、用户实体行为分析以及认证接入各种业务操作异常审计的产品，进行攻击检测，并根据业务自身情况建立SIEM和SOAR平台，构建安全监控工作环境；威胁狩猎分析单元，用于基于预设狩猎规则进行攻击威胁狩猎分析。
[0011]在本申请较佳的实施方式中，上述预设狩猎规则至少包括以下之一：超长域名检测、DNS响应检测、公共DNS服务器流量检测、指定字符串检测、更换子域名请求检测、请求响应时间间隔检测、请求/应答数量比的检测、有效载荷是否加密检测、对DNS隧道工具的各种版本的样本和行为特征进行学习监控、基于大数据DNS行为画像检测。
[0012]在本申请较佳的实施方式中，上述预设狩猎规则基于DNS隧道的关键特征点确定；关键特征点至少包括以下之一：规避DNS缓存机制；可利用DNS查询类型及其载荷进行编码；保障域名系统采用的C/S机制之间的通信状态。
[0013]在本申请较佳的实施方式中，上述攻击响应模块包括：影响定位单元、预案选择模块、攻击响应单元；影响定位单元，用于在事件发生后，进行事件调查并定位到影响的资产和业务范围；预案选择模块，用于根据定位结果从预设预案中选择目标预案；预设预案至少包括以下之一：证据收集预案、域名封堵预案、木马分析预案、事件报告预案、系统恢复预案；攻击响应单元，用于基于选择的目标预案进行事件响应处理。
[0014]在本申请较佳的实施方式中，上述攻击恢复模块包括：系统恢复单元、措施检验单元；系统恢复单元，用于进行系统恢复和漏洞修复，并重启服务器、清除DNS本地缓存；措施检验单元，用于基于预设校验项进行措施校验。
[0015]在本申请较佳的实施方式中，上述预设校验项至少包括以下之一：木马进程是否已经杀掉，木马持久化设置是否已删除；域名和IP封堵是否成功，是否仍然可以从主机和流量等特征中监测到DNS隧道的特征；域名和IP封堵之后，是否存在备用域名和IP启用，如果存在则需要将DNS隧道客户端进行隔离；漏洞修复情况，是否可再次被利用。
[0016]本申请实施例提供的DNS隧道攻击的防御系统中，包括攻击识别模块、攻击防护模块、攻击检测模块、攻击响应模块和攻击恢复模块五大模块；其中，攻击识别模块，用于在DNS隧道攻击事件发生前，识别业务安全需求、盘点服务器资产、划分网络区域、及评估业务风险；攻击防护模块，用于在DNS隧道攻击事件发生前和发生时，进行自动化防护，以保证业务连续性；攻击检测模块，用于在DNS隧道攻击事件发生时进行实时攻击检测，并监控业务和保护措施是否正常运行；攻击响应模块，用于在DNS隧道攻击事件发生时，根据事件影响情况选择合适预案进行事件响应；攻击恢复模块，用于在DNS隧道攻击事件发生结束后，恢复系统、修复漏洞以及防护措施校验，以进行预防和修复。本申请实施例中，从攻击事件发生前、发生时以及发生后三个阶段进行全方位的识别、防护、检测、响应、恢复等，更加全面
而体系地对抗此类攻击，从而提高金融系统的安全性。
附图说明
[0017]为了更清楚地说明本申请具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0018]图1为本申请实施例提供的一种DNS隧道攻击的防御系统的结构框图；
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种DNS隧道攻击的防御系统，其特征在于，所述系统包括攻击识别模块、攻击防护模块、攻击检测模块、攻击响应模块和攻击恢复模块；所述攻击识别模块，用于在DNS隧道攻击事件发生前，识别业务安全需求、盘点服务器资产、划分网络区域、及评估业务风险；所述攻击防护模块，用于在DNS隧道攻击事件发生前和发生时，进行自动化防护，以保证业务连续性；所述攻击检测模块，用于在DNS隧道攻击事件发生时进行实时攻击检测，并监控业务和保护措施是否正常运行；所述攻击响应模块，用于在DNS隧道攻击事件发生时，根据事件影响情况选择合适预案进行事件响应；所述攻击恢复模块，用于在DNS隧道攻击事件发生结束后，恢复系统、修复漏洞以及防护措施校验，以进行预防和修复。2.根据权利要求1所述的系统，其特征在于，所述攻击识别模块包括：需求确定单元、资产盘点单元、区域划分单元和风险评估单元；所述需求确定单元，用于确定DNS业务需求及业务优先级；所述需求至少包括以下之一：内网DNS域名解析、外网DNS域名解析、域控制器定位、电子邮件服务查找；所述资产盘点单元，用于定期更新并确定服务器清单，并确定服务器优先级；所述区域划分单元，用于将网络区域进行业务区域划分，划分后的业务区域至少包括以下之一：办公区、测试区、APP区、各个业务区和生产区、灾备区、运维区；所述风险评估单元，用于风险识别、及影响评估。3.根据权利要求2所述的系统，其特征在于，所述攻击防护模块包括：基础防护单元、针对性防护单元、定制化部署防护单元；所述基础防护单元，用于通过预设防护工具进行人工干预前的自动化系统保护；所述预设防护工具至少包括以下之一：网络安全防护软件、DNS安全产品；所述针对性防护单元，用于通过DNS隧道安全防护插件进行针对性防护；所述定制化部署防护单元单元，用于在事件前确定DNS部署规则，以协助进行DNS部署，并针对各个所述业务区域，按需配置DNS服务。4.根据权利要求3所述的系统，其特征在于，所述DNS部署规则至少包括以下之一：采用白名单机制指定内网的本地DNS服务器，确保所有新增的DNS服务器都在控制之中；内网DNS服务器和外网DNS服务器独立部署，在指定区域的最外层配置互联网DNS服务器；DNS对外解析配备防护；针对业务区域，...

【专利技术属性】
技术研发人员：闫素英，
申请(专利权)人：平安银行股份有限公司，
类型：发明
国别省市：