本发明专利技术公开了一种服务攻击检测方法、装置、设备和计算机可读存储介质,所述方法包括:获取采集节点采集得到的异常域名,并根据所述异常域名生成黑名单,所述采集节点上部署有含漏洞的服务,所述含漏洞的服务不主动请求解析域名;获取业务节点采集到的服务的实时访问日志,所述业务节点上部署有正常的服务;若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作。本发明专利技术提高了攻击检测的全面性和及时性。性和及时性。性和及时性。
【技术实现步骤摘要】
服务攻击检测方法、装置、设备和计算机可读存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种服务攻击检测方法、装置、设备和计算机可读存储介质。
技术介绍
[0002]DNS(Domain Name System,域名系统)是互联网中的核心基础设施之一,许多互联网应用都需要依赖于DNS服务才能有效运行。企业网络经常面临网络攻击者窃取有价值和敏感数据的威胁,攻击者越来越多地利用DNS通道来泄露数据。通常攻击者利用DNS的方法是注册域名,以便攻击者利用容器内服务的漏洞,通过域名系统日志的方式窃取容器、主机上的有价值的数据信息,例如账号密码或内核版本。应用攻击的传统检测方式无法发现通过API调用进行的攻击行为等,而且不断更新和层出不穷的APT攻击手段都会导致应用攻击无法检测,导致攻击检测准确度低。
技术实现思路
[0003]本专利技术的主要目的在于提供一种服务攻击检测方法、装置、设备和计算机可读存储介质,旨在解决如何提高攻击检测准确度的问题。
[0004]为实现上述目的,本专利技术提供的一种服务攻击检测方法,应用于管理平台,所述管理平台分别与采集节点和业务节点通信连接,所述采集节点无法访问外部网络和其他节点,所述服务攻击检测方法包括以下步骤:
[0005]获取采集节点采集得到的异常域名,并根据所述异常域名生成黑名单,所述采集节点上部署有含漏洞的服务,所述含漏洞的服务不主动请求解析域名;
[0006]获取业务节点采集到的服务的实时访问日志,所述业务节点上部署有正常的服务;r/>[0007]若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作。
[0008]可选地,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:
[0009]确定与所述黑名单中域名匹配的所述实时访问日志的关联信息,所述关联信息包括进程、网络、域名、互联网协议地址中至少一个;
[0010]根据所述关联信息生成告警信息。
[0011]可选地,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:
[0012]确定所述实时访问日志匹配的黑名单中域名关联的含漏洞的服务种类;
[0013]根据关联的含漏洞的服务种类,确定所述业务节点中服务存在的漏洞。
[0014]可选地,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之前,还包括:
[0015]确定所述黑名单中域名的匹配优先级;
[0016]根据所述优先级,将所述实时访问日志对应的域名与所述黑名单中域名进行匹配。
[0017]可选地,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:
[0018]确定所述黑名单中域名的匹配成功次数;
[0019]若所述匹配成功次数大于预设次数阈值,则增加所述黑名单中域名的匹配优先级。
[0020]可选地,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:
[0021]确定每一含漏洞的服务的被攻击次数;
[0022]若所述被攻击次数大于预设阈值,则增加所述黑名单中所述含漏洞的服务对应的域名的匹配优先级。
[0023]为实现上述目的,本专利技术还提供一种服务攻击检测装置,应用于管理平台,所述管理平台分别与采集节点和业务节点通信连接,所述采集节点无法访问外部网络和其他节点,所述服务攻击检测装置包括:
[0024]采集模块,用于获取采集节点采集得到的异常域名,并根据所述异常域名生成黑名单,所述采集节点上部署有含漏洞的服务,所述含漏洞的服务不主动请求解析域名;
[0025]获取模块,用于获取业务节点采集到的服务的实时访问日志,所述业务节点上部署有正常的服务;
[0026]匹配模块,用于若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作。
[0027]为实现上述目的,本专利技术还提供一种服务攻击检测方法,应用于采集节点,所述采集节点无法访问外部网络和其他节点,所述采集节点上部署有含漏洞的服务,所述含漏洞的服务不主动请求解析域名,所述方法包括:
[0028]当检测到含漏洞的服务的连接行为时,确定所述连接行为对应的域名为异常域名;
[0029]将所述异常域名发送至管理平台。
[0030]为实现上述目的,本专利技术还提供一种服务攻击检测装置,应用于采集节点,所述采集节点无法访问外部网络和其他节点,所述采集节点上部署有含漏洞的服务,所述含漏洞的服务不主动请求解析域名,所述装置包括:
[0031]确定模块,用于当检测到含漏洞的服务的连接行为时,确定所述连接行为对应的域名为异常域名;
[0032]发送模块,用于将所述异常域名发送至管理平台。
[0033]为实现上述目的,本专利技术还提供一种服务攻击检测设备,所述服务攻击检测设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上执行的服务攻击检测程序,所述服务攻击检测程序被所述处理器执行时实现如上所述的服务攻击检测方法的各个步骤。
[0034]为实现上述目的,本专利技术还提供一种计算机可读存储介质,所述计算机可读存储
介质存储有服务攻击检测程序,所述服务攻击检测程序被处理器执行时实现如上所述的服务攻击检测方法的各个步骤。
[0035]本专利技术提供的一种服务攻击检测方法、装置、设备和计算机可读存储介质,获取采集节点采集得到的异常域名,并根据异常域名生成黑名单;获取业务节点采集到的服务的实时访问日志,业务节点上部署有正常的服务;若实时访问日志对应的域名与黑名单中域名匹配,则确定实时访问日志对应的访问操作为异常攻击操作。通过在采集节点部署各类含漏洞的服务,使攻击行为检测更全面,通过在业务节点实时监控域名系统的外连行为,能够及时发现违规外连行为,提高了攻击检测的全面性和及时性。
附图说明
[0036]图1为本专利技术实施例涉及的服务攻击检测设备的硬件结构示意图;
[0037]图2为本专利技术服务攻击检测方法的第一实施例的流程示意图;
[0038]图3为本专利技术服务攻击检测方法的管理平台、采集节点和业务节点的结构示意图;
[0039]图4为本专利技术服务攻击检测方法的第二实施例的流程示意图;
[0040]图5为本专利技术服务攻击检测方法的第三实施例的流程示意图;
[0041]图6为本专利技术服务攻击检测装置的逻辑结构示意图;
[0042]图7为本专利技术服务攻击检测装置的逻辑结构示意图。
[0043]本专利技术目的的实现、功能特点及优点将结合实施例,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种服务攻击检测方法,其特征在于,应用于管理平台,所述管理平台分别与采集节点和业务节点通信连接,所述采集节点无法访问外部网络和其他节点,所述服务攻击检测方法包括:获取采集节点采集得到的异常域名,并根据所述异常域名生成黑名单,所述采集节点上部署有含漏洞的服务,所述含漏洞的服务不主动请求解析域名;获取业务节点采集到的服务的实时访问日志,所述业务节点上部署有正常的服务;若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作。2.如权利要求1所述的服务攻击检测方法,其特征在于,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:确定与所述黑名单中域名匹配的所述实时访问日志的关联信息,所述关联信息包括进程、网络、域名、互联网协议地址中至少一个;根据所述关联信息生成告警信息。3.如权利要求1所述的服务攻击检测方法,其特征在于,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:确定与所述实时访问日志匹配的黑名单中域名关联的含漏洞的服务;根据关联的含漏洞的服务存在的漏洞种类,确定所述业务节点中服务存在的漏洞种类。4.如权利要求1所述的服务攻击检测方法,其特征在于,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之前,还包括:确定所述黑名单中域名的匹配优先级;根据所述优先级,将所述实时访问日志对应的域名与所述黑名单中域名进行匹配。5.如权利要求4所述的服务攻击检测方法,其特征在于,所述若所述实时访问日志对应的域名与所述黑名单中域名匹配,则确定所述实时访问日志对应的访问操作为异常攻击操作的步骤之后,还包括:确定所述黑名单中域名的匹配成功次数;若所述匹配成功次数大于预设次数...
【专利技术属性】
技术研发人员:冀文,白国涛,陈国,胡建村,王庆栋,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。