[发明专利]一种在多级DNS环境中失陷主机监测方法及装置

说明书

本发明实施例公开了一种在多级DNS环境中失陷主机监测方法及装置，所述方法，包括，构建失陷主机行为数据库；构建针对获取的恶意域名访问行为与失陷主机行为关联模型；通过第N级DNS获取所述第N‑1级DNS采集的主机行为日志，其中，N为大于2的自然数；将采集的主机行为日志与所述关联模型进行匹配；如果匹配成功，则第N级DNS环境中存在失陷主机，并根据失陷主机的行为日志获取失陷主机的IP地址。本申请提供的技术方案可以实现在多级DNS环境下失陷行为可以被快速发现，失陷主机可以准确定位溯源的效果。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种在多级DNS环境中失陷主机监测方法及装置。

背景技术

从最近几年失陷主机安全事件分析发现攻击者攻击手段首先是取得终端的控制权，然后通过加密隐秘通道窃取重要数据，失陷后的主机危害非常大，总结为三个方面：第一是通过反向隧道接收远程控制，横向渗透威胁整个内网安全；第二是通过隐秘隧道窃取公司数据，第三能接收并执行外部指令，执行破坏活动。攻击者还会利用最新的技术和方法来迷惑检测设备，来隐藏被攻陷的主机，等待时机成熟进行破坏和窃取数据，现有技术中实际上中耗费了大量的人力和时间排查定位失陷主机，非常低效，没有标准的流程，无法及时消除失陷主机的危害，加上市面上也找不到可用的方案。

发明内容

本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题，本申请实施例提供了多级DNS环境下行为捕获的失陷主机的检测方法装置，可以实现在多级DNS环境下失陷行为可以被快速发现，失陷主机可以准确定位溯源的效果。

第一方面，本发明提供了一种在多级DNS环境中失陷主机监测方法，包括，

构建失陷主机行为数据库；

构建针对获取的恶意域名访问行为与失陷主机行为关联模型；

通过第N级DNS获取所述第N-1级DNS采集的主机行为日志，其中，N为大于2的自然数；

将采集的主机行为日志与所述关联模型进行匹配；

如果匹配成功，则第N级DNS环境中存在失陷主机，并根据失陷主机的行为日志获取失陷主机的IP地址。

作为本申请的优选实施例，所述构建失陷主机行为数据库，包括，

通过实时采集主机访问行为数据的威胁情报类告警信息，运用正则表达式在告警信息中提取失陷行为上下文信息；

根据提取的失陷行为上下文信息构建失陷主机威胁情报库。

作为本申请的优选实施例，所述获取的恶意域名访问行为包括动态恶意域名的获取。

作为本申请的优选实施例，所述动态恶意域名通过随机深林算法实时监测。

作为本申请的优选实施例，所述构建针对恶意域名访问行为与失陷主机关联模型，包括，

通过实时采集第N级DNS环境中的解析数据；

运用正则表达式将第N级DNS解析数据处理为可理解的行为数据，结合所述失陷主机行为数据库，自定义关联匹配规则，建立失陷主机行为模型。

作为本申请的优选实施例，还包括，

如果存在失陷主机，进行失陷主机告警并分类分析展示失陷主机分布情况。

作为本申请的优选实施例，从失陷主机告警到完成分类分析展示失陷主机分布情况耗时不高于20秒。

作为本申请的优选实施例，所述主机发起访问恶意行为到定位到主机访问恶意行为耗时不高于2分钟。

作为本申请的优选实施例，所述第N-1级DNS处于第N级DNS的环境中。