System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 失陷终端的检测方法、装置、电子设备以及存储介质制造方法及图纸_技高网
当前位置: 首页 > 专利查询>奇安信科技集团股份有限公司专利>正文

失陷终端的检测方法、装置、电子设备以及存储介质制造方法及图纸

技术编号:41224188 阅读:3 留言:0更新日期:2024-05-09 23:42
本申请提供一种失陷终端的检测方法、装置、电子设备以及存储介质,失陷终端的检测方法包括:响应于检测到终端需要访问目标域名,获取DNS服务器向终端反馈的响应报文,响应报文基于终端向DNS服务器发送的域名解析请求生成,域名解析请求中包括目标域名,响应报文中包括目标域名对应的IP地址,当目标域名正常时,IP地址为目标域名对应的真实IP地址,当目标域名异常时,IP地址为虚假IP地址;判断响应报文中的IP地址是否为虚假IP地址;若是,则确定终端失陷。通过DNS服务器向终端发送的响应报文确定终端是否失陷,将判断终端是否失陷的时机提前,能够提高失陷终端的检测效率。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及网络安全,尤其涉及一种失陷终端的检测方法、装置、电子设备以及存储介质


技术介绍

1、随着企业信息系统的不断扩张和复杂化,系统的安全威胁也日益增多。其中一种威胁就是失陷终端。当系统内的某一终端被攻陷后,该终端就成为失陷终端。失陷终端会被控制进行各种不被允许的访问,攻击者就能够从这些访问中获取失陷终端所处系统的各种信息,从而危害企业信息安全。所以,检测出系统内的失陷终端,从而进行防御,变得愈发重要。

2、目前,检测系统内的失陷终端,通常采取的方式为:当系统内某终端存在访问需求时,该终端需要通过域名系统(domain name system,dns)服务器进行解析,从而生成访问请求,并将访问请求向外发出。此时,安全设备拦截访问请求,并通过访问请求判断终端此次的访问是否符合要求,若确定不符合要求,则确定发出访问请求的终端为失陷终端。

3、然而,通过访问请求判断系统内终端是否失陷,此时终端已经在系统内进行了多次交互,例如:与dns服务器等进行的信息交互。失陷终端的检测较为滞后,会降低失陷终端的检测效率。


技术实现思路

1、本申请实施例的目的是提供一种失陷终端的检测方法、装置、电子设备以及存储介质,以提高失陷终端的检测效率。

2、为解决上述技术问题,本申请实施例提供如下技术方案:

3、本申请第一方面提供一种失陷终端的检测方法,所述方法应用于失陷检测系统,所述方法包括:响应于检测到终端需要访问目标域名,获取dns服务器向终端反馈的响应报文,所述响应报文基于终端向dns服务器发送的域名解析请求生成,所述域名解析请求中包括所述目标域名,所述响应报文中包括所述目标域名对应的网际互连协议(internetprotocol,ip)地址,当所述目标域名正常时,所述ip地址为所述目标域名对应的真实ip地址,当所述目标域名异常时,所述ip地址为虚假ip地址;判断所述响应报文中的ip地址是否为虚假ip地址;若是,则确定所述终端失陷。

4、相较于现有技术,本申请第一方面提供的失陷终端的检测方法,当dns服务器向终端反馈响应报文时,通过将响应报文中的ip地址与虚假ip地址进行对比,当对比一致时,直接确定终端失陷。不再通过终端发送的访问请求确定终端是否失陷,而是在终端发送访问请求的若干步骤之前,通过dns服务器向终端发送的基于域名解析的包含ip地址的响应报文确定,更换一种确定终端是否失陷的判断信息,将判断终端是否失陷的时机提前,能够提高失陷终端的检测效率。

5、在本申请第一方面的一些变更实施方式中,所述失陷检测系统包括虚拟转发器(virtual agent,va)和云端,所述虚拟转发器部署于所述dns服务器,所述云端与所述虚拟转发器通信连接,所述响应报文中包括域名解析请求,所述域名解析请求中包括相应终端的地址;所述确定所述终端失陷,包括:虚拟转发器从所述响应报文内的域名解析请求中获取终端地址,并根据所述终端地址确定失陷终端;所述方法还包括:虚拟转发器将所述失陷终端的地址发送至云端;云端存储所述失陷终端的地址。

6、通过将虚拟转发器部署于dns服务器,无需在用户侧部署新的硬件设备,能够节省失陷终端检测的成本。以及在确定响应报文中的ip地址为虚假ip地址后,通过响应报文中的域名解析请求中的地址锁定失陷终端,并将失陷终端的地址发送至云端,以便于通过云端对同一用户下的多个dns服务器发现的失陷终端的管理,提高失陷终端管理的便捷性。

7、在本申请第一方面的一些变更实施方式中,所述云端存储有各个域名对应的富化数据;所述方法还包括:虚拟转发器从所述响应报文内的域名解析请求中提取所述目标域名;虚拟转发器将所述目标域名发送至云端;云端基于所述目标域名进行数据富化处理,得到富化数据;云端将所述失陷终端的地址、所述目标域名及其富化数据进行关联存储,以便通过云端能够查看失陷终端及其相关信息。

8、通过将失陷终端需要访问的目标域名发送至云端,使得用户能够明确知晓失陷终端访问了何域名,以便用户后续进行有效防范。以及通过将失陷终端需要访问的目标域名进行富化处理,并将目标域名、富化后的数据与失陷终端进行关联,能够便于用户了解失陷终端的各种相关信息,为后续的安全分析提供更多的数据支持。

9、在本申请第一方面的一些变更实施方式中,所述失陷检测系统包括虚拟转发器和云端,所述虚拟转发器部署于所述dns服务器,所述云端与所述dns服务器通信连接;在获取dns服务器向终端反馈的响应报文之前,所述方法还包括:虚拟转发器控制dns服务器将所述域名解析请求转发至云端;云端解析所述域名解析请求,得到所述目标域名;云端基于预设的域名及其真实ip地址的对应关系得到所述目标域名的真实ip地址;云端将所述目标域名在恶意域名库中进行匹配;若匹配成功,则云端将所述目标域名的真实ip地址修改为虚假ip地址,基于所述虚假ip地址生成第一响应报文,并将所述第一响应报文反馈至dns服务器,以使dns服务器向终端反馈所述第一响应报文;若匹配失败,则云端基于所述目标域名的真实ip地址生成第二响应报文,并将所述第二响应报文反馈至dns服务器,以使dns服务器向终端反馈所述第二响应报文。

10、通过虚拟转发器将dns服务器收到的域名解析请求转发给云端,使得云端能够对域名进行解析,并基于恶意域名库对请求中的域名进行匹配,并在匹配成功时,将域名对应的真实ip地址修改为虚假ip地址,从而进行报文响应,由于云端中的解析规则与虚假ip地址能够自行配置,因此能够提高域名解析以及ip地址配置的灵活度。

11、在本申请第一方面的一些变更实施方式中,在云端基于所述目标域名的真实ip地址生成第二响应报文之前,所述方法还包括:云端判断所述目标域名对应的解析行为是否符合所述终端的日常dns查询特征;若是,则执行云端基于所述目标域名的真实ip地址生成第二响应报文的步骤;若否,则执行云端将所述目标域名的真实ip地址修改为虚假ip地址,基于所述虚假ip地址生成第一响应报文的步骤。

12、当云端确定目标域名为非恶意域名时,进一步分析目标域名的解析行为是否符合相应终端日常的域名解析行为,即日常dns查询特征,若符合,再生成包含目标域名的真实ip地址的响应报文。这样,能够弥补恶意域名库中的缺失,提高失陷终端判断的准确性。

13、在本申请第一方面的一些变更实施方式中,所述终端的类型为多种终端类型中的一种,每种终端类型分别具有相应的日常dns查询特征;所述云端判断所述目标域名对应的解析行为是否符合所述终端的日常dns查询特征,包括:获取所述终端的类型;从每种终端类型对应的日常dns查询特征中选择所述终端的类型对应的日常dns查询特征,并将所述目标域名对应的解析行为与选择的日常dns查询特征进行匹配。

14、通过终端的类型,查找相应的日常dns查询特征,能够避免终端的业务或使用场景发生改变后,无法准确地确定终端的域名解析行为是否正常,提高终端域名解析行为是否正常判断的准确性。<本文档来自技高网...

【技术保护点】

1.一种失陷终端的检测方法,其特征在于,所述方法应用于失陷检测系统,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述失陷检测系统包括虚拟转发器和云端,所述虚拟转发器部署于所述DNS服务器,所述云端与所述虚拟转发器通信连接,所述响应报文中包括域名解析请求,所述域名解析请求中包括相应终端的地址;所述确定所述终端失陷, 包括:

3.根据权利要求2所述的方法,其特征在于,所述云端存储有各个域名对应的富化数据;所述方法还包括:

4.根据权利要求1至3中任一项所述的方法,其特征在于,所述失陷检测系统包括虚拟转发器和云端,所述虚拟转发器部署于所述DNS服务器,所述云端与所述DNS服务器通信连接;在获取DNS服务器向终端反馈的响应报文之前,所述方法还包括:

5.根据权利要求4所述的方法,其特征在于,在云端基于所述目标域名的真实IP地址生成第二响应报文之前,所述方法还包括:

6.根据权利要求5所述的方法,其特征在于,所述终端的类型为多种终端类型中的一种,每种终端类型分别具有相应的日常DNS查询特征;所述云端判断所述目标域名对应的解析行为是否符合所述终端的日常DNS查询特征, 包括:

7.根据权利要求6所述的方法,其特征在于,在从每种终端类型对应的日常DNS查询特征中选择所述终端的类型对应的日常DNS查询特征之前,所述方法还包括:

8.根据权利要求4所述的方法,其特征在于,所述虚拟转发器旁路部署于所述DNS服务器;在虚拟转发器控制DNS服务器将所述域名解析请求转发至云端之后,所述方法还包括:

9.根据权利要求1至3中任一项所述的方法,其特征在于,所述失陷检测系统包括虚拟转发器,所述虚拟转发器部署于所述DNS服务器;在获取DNS服务器向终端反馈的响应报文之前,所述方法还包括:

10.一种失陷终端的检测装置,其特征在于,所述装置包括:

11.一种电子设备,其特征在于,所述电子设备包括:处理器、存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行如权利要求1至9中任一项所述的方法。

12.一种计算机可读存储介质,其特征在于,所述存储介质包括:存储的程序;其中,在所述程序运行时控制所述存储介质所在设备执行如权利要求1至9中任一项所述的方法。

...

【技术特征摘要】

1.一种失陷终端的检测方法,其特征在于,所述方法应用于失陷检测系统,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述失陷检测系统包括虚拟转发器和云端,所述虚拟转发器部署于所述dns服务器,所述云端与所述虚拟转发器通信连接,所述响应报文中包括域名解析请求,所述域名解析请求中包括相应终端的地址;所述确定所述终端失陷, 包括:

3.根据权利要求2所述的方法,其特征在于,所述云端存储有各个域名对应的富化数据;所述方法还包括:

4.根据权利要求1至3中任一项所述的方法,其特征在于,所述失陷检测系统包括虚拟转发器和云端,所述虚拟转发器部署于所述dns服务器,所述云端与所述dns服务器通信连接;在获取dns服务器向终端反馈的响应报文之前,所述方法还包括:

5.根据权利要求4所述的方法,其特征在于,在云端基于所述目标域名的真实ip地址生成第二响应报文之前,所述方法还包括:

6.根据权利要求5所述的方法,其特征在于,所述终端的类型为多种终端类型中的一种,每种终端类型分别具有相应的日常dns查询特征;所述云端判断所述目标域名对应的解析行为是否符合所述终端的日常d...

【专利技术属性】
技术研发人员:罗炳聪万文杰白敏
申请(专利权)人:奇安信科技集团股份有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有