【技术实现步骤摘要】
一种基于DNS日志分析的APT组织检测方法及装置
[0001]本专利技术涉及网络安全
,具体来说是一种基于
DNS
日志分析的
APT
组织检测方法及装置
。
技术介绍
[0002]APT
攻击全称高级持续性威胁攻击,是一种有组织的复杂网络攻击,该类攻击具备较强的隐蔽性且渗透过程持续时间较长
。
其针对的目标一般较为明确,通常具有高价值的数据或设施,
APT
组织一旦得手,就会给攻击目标造成巨大的经济损失或政治影响
。
因此,检测
APT
攻击是网络安全的一项重要课题,同时也是企业做好安全防范的必要手段
。
[0003]公布号为
CN105141598B
公开了基于恶意域名检测的
apt
攻击检测方法及装置,其通过对通信数据进行解析,查询域名风险等级数据库,确定源主机所查询的域名是否存在于域名风险等级数据库中,从而确定源主机是否受到
APT
攻击
。
[0004]上述的对网络扫描的检测方法虽然能够发现部分
APT
攻击行为,但是该方法仅依赖域名风险等级数据库,很难保障数据库的时效性以及检测结果的误报率;尽管还附加了异常心跳分析和子域名语义分析来辅助判断风险等级数据库中未收录的域名,但是这两种分析与
APT
的关联程度不高,检测出的准确率也难以保证
。
此外,上述方法只做到了对...
【技术保护点】
【技术特征摘要】
1.
一种基于
DNS
日志分析的
APT
组织检测方法,其特征在于,包括以下步骤:
S101
,解析
DNS
日志,构建
DNS
有向无环图
G1;
S102
,根据步骤
S101
中解析的
APT
域名与情报库进行匹配,记录每个域名的匹配情况,记为
O1;
S103
,对步骤
S101
中构建的
G1进行分析,统计每个
IP
节点的解析关系边,将解析关系为
Nxdomain
的边进行统计,记为
O2;
S104
,删除步骤
S101
中
G1的白名单域名节点以及与之相关联的边,生成新的图记为
G2,其中白名单域名指的是有充分把握排除其为
APT
组织域名的域名清单;对
G2进行联通子图划分,得到每个子图中包含的源
IP
节点个数,记为
O3;
S105
,对步骤
S101
中构建的
G1进行分析,统计每个源
IP
所关联的域名中,长度或字符串组合显著异常的域名个数,记为
O4;
S106
,首先对
O1、O2、O3、O4进行预处理操作,将数据以源
IP
为主键合并;再运用如下函数对每个源
IP
是否收到
APT
攻击的情况进行分析:其中,
S
表示整个得分函数,
w
i
是模型参数,为权重,
OUTi
为
O1、O2、O3、O4的预处理结果,
i
=
(1,2,3,4)
;对每个源
IP
的得分
S
进行判断,若
S
大于设定值,则认为该源
IP
受到
APT
攻击;
S107
,将步骤
S106
中得到的受到
APT
攻击的源
IP
清单
、
域名清单以及解析
IP
清单代入
G1,删除无关的节点与边生成新的图
G3,将情报库中收集的归属组织信息代入到图
G3的域名和解析
IP
节点中,寻找图
G3中的连通图,通过连通图中已有的组织归属信息来对未知组织归属的域名和解析
IP
进行判定从而得到各个域名和解析
IP
所归属的
APT
组织名称
。2.
根据权利要求1所述的一种基于
DNS
日志分析的
APT
组织检测方法,其特征在于,所述情报库中包括
APT
相关
IP
或域名情报,并记录情报来源和归属的
APT
组织
。3.
根据权利要求1或2所述的一种基于
DNS
日志分析的
APT
组织检测方法,其特征在于,将情报库中的域名或
IP
代入图
G1中,找到与之关联的域名或解析
IP
从而进一步扩充情报库
。4.
根据权利要求1或2所示的一种基于
DNS
日志分析的
APT
组织检测方法,其特征在于,所述预处理具体为:对
O1的结果进行处理:对
O2的结果进行处理:
OUT2=
1.1*O2‑
100
,对
O3的结果进行处理:
OUT3=
0.8*O3‑5,对
O4的结果进行处理:
OUT4=
2.5*O4‑
50
,预处理公式中的系数和常数项均通过训练数据来反向推导所得
。5.
一种基于
DNS
日志分析的
APT
组织检测装置,其特征在于,...
【专利技术属性】
技术研发人员:徐明,胡绍勇,魏国富,辜乘风,余贤喆,殷钱安,梁淑云,王启凡,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。