攻击检测方法和网络安全装置制造方法及图纸

本申请实施例公开了一种攻击检测方法和网络安全装置，用于生成检测规则。本申请实施例方法包括：网络安全装置截获第一域名请求，并基于所述第一域名请求获取目标域名，所述目标域名为所述第一域名请求中携带的域名的父域名；所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址，所述第一子域名与所述第二子域名不同；若所述第一IP地址与所述第二IP地址相同，则所述网络安全装置生成检测规则，所述检测规则的匹配条件中包括所述目标域名，所述检测规则用于检测基于所述目标域名实施的攻击。该方法可以减少由于人工收集及编写检测规则带来的检测成本。及编写检测规则带来的检测成本。及编写检测规则带来的检测成本。

【技术实现步骤摘要】
攻击检测方法和网络安全装置


[0001]本申请涉及计算机
，尤其涉及一种攻击检测方法和网络安全装置。

技术介绍

[0002]域名泛解析技术是在域名前添加任何子域名，均可访问到域名所指向的地址的技术。由于泛解析技术的存在，攻击者可以通过操纵子域名信息，将敏感信息传递至外部区域。
[0003]当前技术情况下，网络安全装置例如入侵防御系统(intrusion prevention system，IPS)、入侵检测系统(intrusion detection system，IDS)或防火墙等通过设置检测规则实现对通过子域名传递信息的攻击检测。例如若攻击者控制attack
‑
dnslog域服务器，attack
‑
dnslog域服务器提供的域名为*.attack
‑
dnslog.com，需要网络安全装置针对attack
‑
dnslog.com新建一条检测规则，才能够检测基于该域名实施的攻击。
[0004]由于网络安全装置中预设的检测规则需要依赖人工收集及编写，成本较高。

技术实现思路

[0005]本申请提供了一种攻击检测方法，通过主动发起域名查询判断域名是否开启泛解析功能，从而生成对应的检测规则，可以降低检测成本。
[0006]本申请的第一方面提供了一种攻击检测方法，包括：网络安全装置截获第一域名请求，并基于所述第一域名请求获取目标域名，所述目标域名为所述第一域名请求中携带的域名的父域名；所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址，所述第一子域名与所述第二子域名不同；若所述第一IP地址与所述第二IP地址相同，则所述网络安全装置生成检测规则，所述检测规则的匹配条件中包括所述目标域名，所述检测规则用于检测基于所述目标域名实施的攻击。
[0007]本申请提供了一种攻击检测方法，网络安全装置根据第一域名请求中获取第一域名的父域名即目标域名，通过比较目标域名的两个子域名对应的IP地址相同确定目标域名开启了泛解析功能，因此网络安全装置针对该目标域名自动生成检测规则，由此可以实现对目标域名通过子域名传递信息的攻击检测，还可以减少由于人工收集及编写检测规则带来的检测成本。
[0008]在第一方面的一种可能的实现方式中，所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址之前，所述方法还包括：所述网络安全装置根据所述目标域名生成所述第一子域名和所述第二子域名；所述网络安全装置向域名服务器发送第二域名请求，所述第二域名请求中携带所述第一子域名；所述网络安全装置接收所述域名服务器返回的所述第二域名请求的响应消息，所述第二域名请求的响应消息中携带所述第一IP地址；所述网络安全装置向域名服务器发送第三域名请求，所述第三域名请求中携带所述第二子域名；所述网络安全装置接收所述
域名服务器返回的所述第三域名请求的响应消息，所述第三域名请求的响应消息中携带所述第二IP地址。
[0009]本申请提供的攻击检测方法，提供了获取两个不同的子域名的一种具体实现方式。
[0010]在第一方面的一种可能的实现方式中，所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址，包括：所述网络安全装置从所述第二域名请求的响应消息中获取所述第一IP地址；以及所述网络安全装置从所述第三域名请求的响应消息中获取所述第二IP地址。
[0011]本申请提供的攻击检测方法，提供了判断目标域名是否开启泛解析功能的一种具体实现方式，即通过生成两个不同的子域名，分别向域名服务器获取两个子域名对应的IP地址，比较两个IP地址是否一致。
[0012]在第一方面的一种可能的实现方式中，所述网络安全装置根据所述目标域名生成所述第一子域名和所述第二子域名，包括：所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第一预定算法，根据所述第一预定算法的输出生成所述第一子域名；所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第二预定算法，根据所述第二预定算法的输出生成所述第二子域名。
[0013]本申请提供的攻击检测方法，提供了生成两个子域名的具体实现方式，可选地，第一预定算法包括加密算法或编码算法，第二预定算法包括加密算法或编码算法。可选地，输入第一预设算法或第二预设算法的输入数据相同，基于不同的第一预定算法与第二预定算法，获取不同的第一子域名和第二子域名；可选地，第一预定算法和第二预定算法相同，网络安全装置可选取第一域名请求中携带的域名中的不同部分分别作为输入，以获取不同的第一子域名和第二子域名。本实现方式提供了生成两个不同的子域名的具体实现方式。
[0014]在第一方面的一种可能的实现方式中，所述第一子域名是所述第一域名请求中携带的域名，所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址之前，所述方法还包括：所述网络安全装置根据所述目标域名生成所述第二子域名；所述网络安全装置向域名服务器转发所述第一域名请求；所述网络安全装置接收所述第一域名请求的响应消息，所述第一域名请求的响应消息中携带所述第一IP地址；所述网络安全装置向域名服务器发送第四域名请求，所述第四域名请求中携带所述第二子域名；所述网络安全装置接收所述域名服务器返回的所述第四域名请求的响应消息，所述第四域名请求的响应消息中携带所述第二IP地址。
[0015]本申请提供的攻击检测方法，提供了获取两个不同的子域名的另一种具体实现方式。
[0016]在第一方面的一种可能的实现方式中，所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址，包括：所述网络安全装置从所述第一域名请求的响应消息中获取所述第一IP地址；所述网络安全装置从所述第四域名请求的响应消息中获取所述第二IP地址。
[0017]本申请提供的攻击检测方法，提供了判断目标域名是否开启泛解析功能的一种具体实现方式，即通过生成一个与第一域名请求对应的域名不同的第二子域名，向域名服务器获取第二子域名对应的第二IP地址，比较第一IP地址和第二IP地址是否一致。
[0018]在第一方面的一种可能的实现方式中，所述网络安全装置根据所述目标域名生成所述第二子域名，包括：所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法，根据所述第三预定算法的输出生成所述第二子域名。
[0019]本申请提供的攻击检测方法，提供了生成第二子域名的具体实现方式。
[0020]在第一方面的一种可能的实现方式中，所述第三预定算法包括加密算法或编码算法，所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法，根据所述第三预定算法的输出生成所述第二子域名，包括：所述网络安本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击检测方法，其特征在于，包括：网络安全装置截获第一域名请求，并基于所述第一域名请求获取目标域名，所述目标域名为所述第一域名请求中携带的域名的父域名；所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址，所述第一子域名与所述第二子域名不同；若所述第一IP地址与所述第二IP地址相同，则所述网络安全装置生成检测规则，所述检测规则的匹配条件中包括所述目标域名，所述检测规则用于检测基于所述目标域名实施的攻击。2.根据权利要求1所述的方法，其特征在于，所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址之前，所述方法还包括：所述网络安全装置根据所述目标域名生成所述第一子域名和所述第二子域名；所述网络安全装置向域名服务器发送第二域名请求，所述第二域名请求中携带所述第一子域名；所述网络安全装置接收所述域名服务器返回的所述第二域名请求的响应消息，所述第二域名请求的响应消息中携带所述第一IP地址；所述网络安全装置向域名服务器发送第三域名请求，所述第三域名请求中携带所述第二子域名；所述网络安全装置接收所述域名服务器返回的所述第三域名请求的响应消息，所述第三域名请求的响应消息中携带所述第二IP地址。3.根据权利要求2所述的方法，其特征在于，所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址，包括：所述网络安全装置从所述第二域名请求的响应消息中获取所述第一IP地址；以及，所述网络安全装置从所述第三域名请求的响应消息中获取所述第二IP地址。4.根据权利要求2或3所述的方法，其特征在于，所述网络安全装置根据所述目标域名生成所述第一子域名和所述第二子域名，包括：所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第一预定算法，根据所述第一预定算法的输出生成所述第一子域名；所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第二预定算法，根据所述第二预定算法的输出生成所述第二子域名。5.根据权利要求1所述的方法，其特征在于，所述第一子域名是所述第一域名请求中携带的域名，所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址之前，所述方法还包括：所述网络安全装置根据所述目标域名生成所述第二子域名；所述网络安全装置向域名服务器转发所述第一域名请求；所述网络安全装置接收所述第一域名请求的响应消息，所述第一域名请求的响应消息中携带所述第一IP地址；所述网络安全装置向域名服务器发送第四域名请求，所述第四域名请求中携带所述第二子域名；
所述网络安全装置接收所述域名服务器返回的所述第四域名请求的响应消息，所述第四域名请求的响应消息中携带所述第二IP地址。6.根据权利要求5所述的方法，其特征在于，所述网络安全装置获取所述目标域名的第一子域名对应的第一IP地址，以及所述目标域名的第二子域名对应的第二IP地址，包括：所述网络安全装置从所述第一域名请求的响应消息中获取所述第一IP地址；所述网络安全装置从所述第四域名请求的响应消息中获取所述第二IP地址。7.根据权利要求5或6所述的方法，其特征在于，所述网络安全装置根据所述目标域名生成所述第二子域名，包括：所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法，根据所述第三预定算法的输出生成所述第二子域名。8.根据权利要求7所述的方法，其特征在于，所述第三预定算法包括加密算法或编码算法，所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入第三预定算法，根据所述第三预定算法的输出生成所述第二子域名，包括：所述网络安全装置将所述第一域名请求中携带的域名中的全部或部分输入所述第三预定算法，获取所述第三预定算法输出的字符串；将所述字符串与所述目标域名进行组合，生成所述第二子域名。9.根据权利要求2或5所述的方法，其特征在于，所述域名服务器包括：公共域名服务器或预设的威胁域名服务器。10.根据权利要求1至9中任一项所述的方法，其特征在于，所述网络安全装置预设域名白名单；所述网络安全装置生成检测规则之前，所述方法还包括：确定所述目标域名不属于所述域名白名单。11.根据权利要求1至10中任一项所述的方法，其特征在于，所述检测规则中的动作包括：生成攻击告警，所述攻击告警用于指示发生基于所述目标域名实施的攻击。12.一种网络安全装置，其特征在于，包括：获取模块...

【专利技术属性】
技术研发人员：杨利东，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：