亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于惡意域名檢測(cè)的apt攻擊檢測(cè)方法及裝置的制造方法

文檔序號(hào):9420323閱讀:761來源:國(guó)知局
基于惡意域名檢測(cè)的apt攻擊檢測(cè)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體而言設(shè)及一種基于惡意域名檢測(cè)的APT攻擊 檢測(cè)方法及裝置。
【背景技術(shù)】
[0002] 近年來,一系列重大安全事件的接連發(fā)生將一個(gè)新名詞一-APT攻擊,帶入了人們 的視野。APT(AdvancedPersistentT虹eat)即高級(jí)持續(xù)性威脅。APT攻擊區(qū)別于傳統(tǒng)攻 擊的特點(diǎn)是:A(Advanced)難題,攻擊者會(huì)適應(yīng)防御者從而產(chǎn)生抵抗能力,采用高級(jí)入侵手 段實(shí)現(xiàn)入侵計(jì)劃,使得傳統(tǒng)的基于特征匹配的邊界防御技術(shù)難W有效應(yīng)對(duì);P(Persistent) 難題,持續(xù)性攻擊的檢測(cè)挑戰(zhàn),APT攻擊時(shí)間跨度很長(zhǎng),入侵成功后往往長(zhǎng)期潛伏,在單個(gè)時(shí) 間點(diǎn)上無明顯異常,使得基于單個(gè)時(shí)間點(diǎn)或較短時(shí)間窗口的實(shí)時(shí)檢測(cè)、會(huì)話檢測(cè)技術(shù)經(jīng)常 失效。攻擊者會(huì)長(zhǎng)時(shí)間駐留在目標(biāo)的系統(tǒng)和網(wǎng)絡(luò)中,并積極保持所需遠(yuǎn)程操作目標(biāo)的雙向 控制和通信通道。一旦找到最終目標(biāo)并覓得合適信息回傳機(jī)會(huì),攻擊者就會(huì)將竊得數(shù)據(jù)通 過已有的隱蔽通道回傳給C&C(命令和控制)服務(wù)器。運(yùn)個(gè)行為模式是APT攻擊者給予APT 防御者的一個(gè)最重要發(fā)現(xiàn)和檢出機(jī)遇,因此可W基于C&C域名檢測(cè),判定主機(jī)是否受到了 APT攻擊。
[0003] 現(xiàn)在已有的一些基于惡意域名檢測(cè)攻擊事件的技術(shù)常常依賴于黑白名單,通過明 確地"允許"和"不允許"來限制用戶的訪問,從而實(shí)現(xiàn)"安全性"效果。然而,運(yùn)樣的方法往 往伴隨著大量誤報(bào)和漏報(bào)狀況,不同用戶環(huán)境、業(yè)務(wù)需求場(chǎng)景下適應(yīng)性極差。

【發(fā)明內(nèi)容】

[0004] 針對(duì)現(xiàn)有技術(shù)的不足,一方面,本發(fā)明提供一種基于惡意域名檢測(cè)的APT攻擊檢 測(cè)方法,所述APT攻擊檢測(cè)方法包括:獲取網(wǎng)絡(luò)中的通信數(shù)據(jù);對(duì)所述通信數(shù)據(jù)進(jìn)行解析, W提取出所述通信數(shù)據(jù)中設(shè)及到的源主機(jī)的IP、所述源主機(jī)所查詢的域名W及查詢所述域 名的時(shí)間;W及查詢域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù),W確定所述源主機(jī)所查詢的域名是否存在于所 述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中,如果存在,則從所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中取出并呈現(xiàn)與所述 域名相對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)結(jié)果,如果不存在,則對(duì)所述域名進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估并呈現(xiàn)風(fēng)險(xiǎn)等 級(jí)評(píng)估結(jié)果,W用于確定所述源主機(jī)是否受到APT攻擊,其中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估包括異常 屯、跳分析和子域名語義分析,所述異常屯、跳分析和所述子域名語義分析分別被分配第一權(quán) 重和第二權(quán)重,所述異常屯、跳分析判定所述源主機(jī)在單位時(shí)間間隔內(nèi)對(duì)所述域名的查詢請(qǐng) 求是否存在規(guī)律性并基于判定結(jié)果和所述第一權(quán)重計(jì)算所述域名的第一風(fēng)險(xiǎn)分值,所述子 域名語義分析判定所述源主機(jī)所查詢的域名的子域名是否具有實(shí)際意義并基于判定結(jié)果 和所述第二權(quán)重計(jì)算所述域名的第二風(fēng)險(xiǎn)分值,所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算基于所述第 一風(fēng)險(xiǎn)分值和所述第二風(fēng)險(xiǎn)分值。
[0005] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括域名注冊(cè)信息關(guān)聯(lián)分析,所 述域名注冊(cè)信息關(guān)聯(lián)分析被分配第=權(quán)重,所述域名注冊(cè)信息關(guān)聯(lián)分析判定所述域名的注 冊(cè)信息的全面性和/或真實(shí)性并基于判定結(jié)果和所述第=權(quán)重計(jì)算所述域名的第=風(fēng)險(xiǎn) 分值,并且所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于所述第=風(fēng)險(xiǎn)分值。
[0006] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括高頻訪問名單分析,所述高 頻訪問名單分析被分配第四權(quán)重,所述高頻訪問名單分析判定所述域名當(dāng)前和在過去的預(yù) 設(shè)時(shí)間段內(nèi)是否均在或者是否均不在所述源主機(jī)訪問頻率最高的前若干位域名名單內(nèi)并 基于判定結(jié)果和所述第四權(quán)重計(jì)算所述域名的第四風(fēng)險(xiǎn)分值,并且所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果 的計(jì)算還基于所述第四風(fēng)險(xiǎn)分值。
[0007] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括故障監(jiān)測(cè)分析,所述故障監(jiān) 測(cè)分析被分配第五權(quán)重,所述故障監(jiān)測(cè)分析用于在所述域名的域名服務(wù)器發(fā)生故障時(shí)監(jiān)測(cè) 對(duì)所述域名服務(wù)器發(fā)送重新查詢請(qǐng)求的主機(jī)數(shù)目并基于監(jiān)測(cè)結(jié)果和所述第五權(quán)重計(jì)算所 述域名的第五風(fēng)險(xiǎn)分值,并且所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于所述第五風(fēng)險(xiǎn)分值。
[0008] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括捜索引擎收錄情況分析,所 述捜索引擎收錄情況分析被分配第六權(quán)重,所述捜索引擎收錄情況分析判定所述域名是否 被捜索引擎所收錄并分析捜索引擎對(duì)所述域名的網(wǎng)頁級(jí)別評(píng)分,并基于分析判定結(jié)果和所 述第六權(quán)重計(jì)算所述域名的第六風(fēng)險(xiǎn)分值,并且所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于所述 第六風(fēng)險(xiǎn)分值。
[0009] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括互聯(lián)網(wǎng)檔案館分析,所述互 聯(lián)網(wǎng)檔案館分析被分配第屯權(quán)重,所述互聯(lián)網(wǎng)檔案館分析用于在互聯(lián)網(wǎng)檔案館中查詢并分 析所述域名的歷史活動(dòng)記錄和/或歷史快照并基于分析結(jié)果和所述第屯權(quán)重計(jì)算所述域 名的第屯風(fēng)險(xiǎn)分值,并且所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于所述第屯風(fēng)險(xiǎn)分值。
[0010] 在本發(fā)明的一個(gè)實(shí)施例中,所述APT攻擊檢測(cè)方法還包括:在進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估 之后,將所述域名W及與所述域名相對(duì)應(yīng)的所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果錄入到所述域名風(fēng)險(xiǎn)等 級(jí)數(shù)據(jù)庫(kù)中。
[0011] 另一發(fā)明,本發(fā)明還提供一種基于惡意域名檢測(cè)的APT攻擊檢測(cè)裝置,所述APT攻 擊檢測(cè)裝置包括:數(shù)據(jù)獲取模塊,用于獲取網(wǎng)絡(luò)中的通信數(shù)據(jù);數(shù)據(jù)解析模塊,用于對(duì)所述 通信數(shù)據(jù)進(jìn)行解析,W提取出所述通信數(shù)據(jù)中設(shè)及到的源主機(jī)的IP、所述源主機(jī)所查詢的 域名W及查詢所述域名的時(shí)間;數(shù)據(jù)查詢模塊,用于查詢域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù),W確定所述 源主機(jī)所查詢的域名是否存在于所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中;域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊,用 于在所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中不存在所述源主機(jī)所查詢的域名時(shí)對(duì)所述域名進(jìn)行風(fēng)險(xiǎn) 等級(jí)評(píng)估;W及評(píng)估結(jié)果顯示模塊,用于在所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中存在所述源主機(jī)所 查詢的域名時(shí)呈現(xiàn)從所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中提取的與所述域名相對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)結(jié) 果,并且在所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中不存在所述源主機(jī)所查詢的域名時(shí)呈現(xiàn)所述域名風(fēng) 險(xiǎn)等級(jí)評(píng)估模塊對(duì)所述域名的風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果,W用于確定所述源主機(jī)是否受到APT攻 擊,其中,所述域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊包括:異常屯、跳分析模塊,用于判定所述源主機(jī)在單 位時(shí)間間隔內(nèi)對(duì)所述域名的查詢請(qǐng)求是否存在規(guī)律性并基于判定結(jié)果和所分配的第一權(quán) 重計(jì)算所述域名的第一風(fēng)險(xiǎn)分值;W及子域名語義分析模塊,用于判定所述源主機(jī)所查詢 的域名的子域名是否具有實(shí)際意義并基于判定結(jié)果和所分配的第二權(quán)重計(jì)算所述域名的 第二風(fēng)險(xiǎn)分值,其中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算基于所述第一風(fēng)險(xiǎn)分值和所述第二風(fēng) 險(xiǎn)分值。
[0012] 在本發(fā)明的一個(gè)實(shí)施例中,所述域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊還包括W下模塊中的至少 一個(gè):域名注冊(cè)信息關(guān)聯(lián)分析模塊,用于判定所述域名的注冊(cè)信息的全面性和/或真實(shí)性 并基于判定結(jié)果和所分配的第=權(quán)重計(jì)算所述域名的第=風(fēng)險(xiǎn)分值;高頻訪問名單分析模 塊,用于判定所述域名當(dāng)前和在過去的預(yù)設(shè)時(shí)間段內(nèi)是否均在或者是否均不在所述源主機(jī) 訪問頻率最高的前若干位域名名單內(nèi)并基于判定結(jié)果和所分配的第四權(quán)重計(jì)算所述域名 的第四風(fēng)險(xiǎn)分值;故障監(jiān)測(cè)分析模塊,用于在所述域名的域名服務(wù)器發(fā)生故障時(shí)監(jiān)測(cè)對(duì)所 述域名服務(wù)器發(fā)送重新查詢請(qǐng)求的主機(jī)數(shù)目并基于監(jiān)測(cè)結(jié)果和所分配的第五權(quán)重計(jì)算所 述域名的第五風(fēng)險(xiǎn)分值;捜索引擎收錄情況分析模塊,用于判定所述域名是否被捜索引擎 所收錄并分析捜索引擎對(duì)所述域名的網(wǎng)頁級(jí)別評(píng)分,并基于分析判定結(jié)果和所分配的第六 權(quán)重計(jì)算所述域名的第六風(fēng)險(xiǎn)分值;W及互聯(lián)網(wǎng)檔案館分析模塊,用于在互聯(lián)網(wǎng)檔案館中 查詢并分析所述域名的歷史活動(dòng)記錄和/或歷史快照并基于分析結(jié)果和所分配的第屯權(quán) 重計(jì)算所述域名的第屯風(fēng)險(xiǎn)分值,其中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于W下中的至 少一個(gè):所述第=風(fēng)險(xiǎn)分值、所述第四風(fēng)險(xiǎn)分值、所述第五風(fēng)險(xiǎn)分值、所述第六風(fēng)險(xiǎn)分值W 及所述第屯風(fēng)險(xiǎn)分值。
[0013]在本發(fā)明的一個(gè)實(shí)施例中,所述域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊還用于將進(jìn)行了風(fēng)險(xiǎn)等級(jí) 評(píng)估的域名W及與所述域名相對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果錄入到所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù) 中。
[0014]本發(fā)明所提供的基于惡意域名檢測(cè)的APT攻擊檢測(cè)方法及裝置不依賴黑白名單, 并且能夠準(zhǔn)確檢測(cè)未知惡意域名,從而及時(shí)檢測(cè)到APT攻擊,減少APT攻擊造成的后果。
【附圖說明】
[0015]本發(fā)明的下列附圖在此作為本發(fā)明的一部分用于理解本發(fā)明。附圖中示出了本發(fā) 明的實(shí)施例及其描述,用來解釋本發(fā)明的原理。
[0016] 附圖中:
[0017] 圖1示出了根據(jù)本發(fā)明實(shí)施例的基于惡意域名檢測(cè)的APT攻擊檢測(cè)方法的流程 圖;
[001引圖2示出了根據(jù)本發(fā)明實(shí)施例的異常屯、跳分析的流程圖;W及
[0019]圖3示出了根據(jù)本發(fā)明實(shí)施例的域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊的架構(gòu)圖。
【具體實(shí)施方式】
[0020] 在下文的描述中,給出了大量具體的細(xì)節(jié)W便提供對(duì)本發(fā)明更為徹底的理解。然 而,對(duì)于本領(lǐng)域技術(shù)人員而言顯而易見的是,本發(fā)明可W無需一個(gè)或
當(dāng)前第1頁1 2 3 4 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1