[发明专利]定位内网中的受控主机的方法、设备及系统

说明书

一种定位内网中的受控主机的方法、设备及系统。所述方法包括：外网的检测设备获取内网主机向外网中的DNS服务器发送的DNS请求报文中携带的目标域名和内网主机的标识替代信息；检测设备在检测出目标域名为恶意域名且内网主机为受控内网主机的情况下，向内网中的查询设备发送查询请求，查询请求包括目标域名和受控内网主机的标识替代信息；查询设备根据目标域名和受控内网主机的标识替代信息，查询映射表获取受控内网主机的标识信息，并向检测设备发送受控内网主机的标识信息。本申请在保证内网的隐私数据的安全性的前提下，实现快速地定位获取到受控内网主机的标识信息。

技术领域

本申请实施例涉及网络安全技术领域，特别涉及一种定位内网中的受控主机的方法、设备及系统。

背景技术

高级持续性威胁(Advanced Persistent Threat，APT)攻击是指一些专业且有组织的黑客利用先进的攻击手段对特定目标进行长期持续性网络攻击的一种攻击手段。一些重点机构(如政府、企业、机关单位等)的网络在遭受APT攻击之后，位于外网的控制主机可以通过命令和控制(Command and Control，CC)指令对内网中的受控主机(以下称为“受控内网主机”)进行控制，例如控制受控内网主机更新本地文件、探测内网中的其它主机等。

基于域名系统(Domain Name System，DNS)协议流量的CC异常检测方法能够识别出处于外联阶段的受控内网主机，外联阶段是指受控内网主机正在与控制主机进行通讯的阶段。该方法主要通过对DNS协议流量进行分析，以检测CC通讯异常。为了确保重点机构的网络的安全性，互联网安全监控机构(如公安网监)会从互联网服务提供商(InternetService Provider，ISP)的DNS服务器中镜像所有的DNS流量，通过对该DNS流量进行分析，以检测上述重点机构的网络是否遭受APT攻击。进一步地，在检测出重点机构的网络遭受到APT攻击的情况下，互联网安全监控机构需要溯源定位出重点机构内网中的受控内网主机的互联网协议(Internet Protocol，IP)地址，及时发出安全监控报告通报给重点机构的负责人，责令其对网络进行整改，提高安全防护能力。

在一些重点机构的网络中，经常会在网络内部部署DNS代理(proxy)服务器，并且在网络边界部署网络地址转换(Network Address Translation，NAT)设备。因此，受控内网主机使用的地址是内网IP地址，受控内网主机发送的DNS请求报文的源IP地址在经过两次转换后，才会到达外网。其中一次转换是由DNS代理服务器将受控内网主机发出的DNS请求报文中的源IP地址由受控内网主机的内网IP地址转换为DNS代理服务器的IP地址，另一次转换是由NAT设备对上述经DNS代理服务器转换后的DNS请求报文中的源IP地址进行内外网地址转换，由DNS代理服务器的IP地址转换为公网IP地址。

这样，互联网安全监控机构中相关的分析设备需要收集上述NAT设备的NAT日志和DNS代理服务器的业务日志，对上述日志做关联分析后才能溯源到受控内网主机的IP地址。具体来讲，相关的分析设备首先基于NAT日志溯源得到DNS代理服务器的IP地址，然后基于DNS代理服务器的业务日志溯源得到受控内网主机的IP地址。

因此，上述现有技术提供的定位内网中的受控主机的方法，至少存在如下技术问题：

第一，效率低且实时性差；相关的分析设备需要做2次日志溯源分析才能定位到受控内网主机的IP地址，对日志进行分析需要耗费较多时间，且由于安全隔离网闸(GAP)的存在，不能保证日志能够实时传递到上述分析设备；

第二，兼容性差；由于不同厂商的日志格式不统一，因此分析设备很难兼容适配不同厂商的NAT设备生成的NAT日志、也很难兼容适配不同厂商的DNS代理设备生成的业务日志。

发明内容

本申请实施例提供了一种定位内网中的受控主机的方法、设备及系统，用以解决现有技术提供的定位内网中的受控主机的方法所存在的效率低、实时性差以及兼容性差的问题。