本发明专利技术提供一种基于DNS解析流量和IP流量融合分析的异常流量识别方法,该方法包括以下步骤:步骤1、工控网络通信设备资产发现,采集企业参与通信的设备列表,建立工控网络通信设备资产信息库;骤2、DNS流量特征提取;步骤3、IP流量特征提取;步骤4、异常通信行为识别;步骤5、异常流量识别与防护;步骤6、异常流量画像信息获取;步骤7、异常流量识别日志、异常流量特征组以及异常流量画像信息存储与提交。该方法结合网络的特征,获取异常流量的画像信息,建立域名、IP地址、授权行为列表以及画像信息等多层防护屏障,可以实现高精确度监测,可以为安全管理人员提供更多的决策依据。安全管理人员提供更多的决策依据。安全管理人员提供更多的决策依据。
【技术实现步骤摘要】
基于DNS解析流量和IP流量融合分析的异常流量识别方法
[0001]本专利技术涉及工业控制网络的信息安全领域,特别是涉及一种基于DNS解析流量和IP流量融合分析的异常流量识别方法。
技术介绍
[0002]中国是一个制造业大国,制造业是我国经济的重要组成部分。现阶段,国内许多制造业部门使用的工业软件的核心技术仍依赖国外。各类工业软件的介入,使得企业的工业控制网络与企业内部管理网络甚至是互联网产生广泛的通信行为,使得原本可控可靠的工控网络面临越来越多的威胁,可能导致病毒的植入、企业关键信息的泄露等,为企业的信息安全带来了潜在风险。
[0003]正常情况下,企业从设备服务商购买设备后获取了设备的控制权,设备与服务厂商应该停止一切未经明确授权的通信行为。接入工控网络的一切设备、在设备上运行的工业软件以及软件发出的任何指令均为工控网络所控资源,因此工控网络流量中应当只出现事先规定的域名和IP地址。但是,鉴于工控网络的重要性,设备服务商或者其他非法分子可能会侵入工控网络,通过设备或者工业软件后门程序进行非法数据通信,从而侵犯隐私,最终威胁企业和国家的安全。因此,对工控网络进行异常流量监测是一种重要的防控手段,流量数据记录了工控网络的所有活动和行为,因而监测异常流量可以及时发现攻击,从而减少经济损失。
[0004]目前,针对工控网络的异常流量监测,现阶段主要有两个解决方案,其一是采集现场流量并以IP地址白名单为主识别异常流量,其二是采集DNS服务器的DNS解析流量并利用DNS服务器解析日志识别异常流量。仅采集现场流量无法识别利用DNS服务器借助于DNS报文进行的异常通信,同理,仅采集DNS解析流量无法识别DNS体系之外的异常通信。
技术实现思路
[0005]本专利技术针对工控网络的异常流量监测,仅采集现场流量无法识别利用DNS服务器借助于DNS报文进行的异常通信,仅采集DNS解析流量无法识别DNS体系之外的异常通信的技术问题,提供一种基于DNS解析流量和IP流量融合分析的异常流量识别方法,该方法结合网络的特征,建立域名和IP地址双重白名单以及工控网络授权通信行为列表,并且获取异常流量的画像信息,建立域名、IP地址、授权行为列表以及画像信息等多层防护屏障,从而可以实现高精确度监测,可以为安全管理人员提供更多的决策依据。
[0006]为此,本专利技术的技术方案是,基于DNS解析流量和IP流量融合分析的异常流量识别方法,该方法包括以下步骤:
[0007]步骤1、工控网络通信设备资产发现,采集企业参与通信的设备列表,建立工控网络通信设备资产信息库,构建工控网络可信网络,建立通信域名、IP地址双重白名单以及授权通信行为列表,每日更新;
[0008]步骤2、DNS流量特征提取,实时获取工控网络DNS服务器的解析日志,构建DNS流量
特征组;
[0009]步骤3、IP流量特征提取,实时获取工控网络现场流量,构建IP流量特征组;
[0010]步骤4、异常通信行为识别,异常通信行为识别包括:根据DNS流量特征,基于域名、IP地址白名单以及工控网络授权通信行为列表识别异常通信行为;根据DNS流量特征,基于域名、IP地址白名单以及工控网络授权通信行为列表,识别异常通信行为;
[0011]步骤5、异常流量识别与防护,将异常通信行为的相关流量标识为异常流量,并且过滤异常流量,阻断异常通信行为继续进行;
[0012]步骤6、异常流量画像信息获取,获取异常流量相关的异常域名以及异常IP地址的画像信息;
[0013]步骤7、异常流量识别日志、异常流量特征组以及异常流量画像信息存储与提交。
[0014]优选地,工控网络DNS服务器使用专用的本地DNS服务器,而非公共DNS服务器。
[0015]优选地,授权通信行为列表包括:源IP地址、源域名、源端口、目的IP地址、目的域名、目的端口、允许通信时间。
[0016]优选地,DNS流量特征组包括:请求设备IP地址、请求域名、请求DNS服务器、解析IP地址、请求时间。
[0017]优选地,IP流量特征组包括:源IP地址、源端口、目的IP地址、目的端口、通信时间。
[0018]优选地,根据DNS流量特征,基于域名、IP地址白名单以及工控网络授权通信行为列表,识别异常通信行为的方法,包括以下步骤:
[0019]步骤s1、判断请求设备IP地址是否在IP地址白名单,若不在,将请求设备IP地址加入IP地址黑名单并判定为异常通信行为;否则进入下一步;
[0020]步骤s2、判断请求IP地址是否在授权通信行为列表,若不在,则表明存在非对外开放设备利用DNS请求并获取响应的方式与外界的域名权威服务器互相通信,判定为异常通信行为;否则,进入下一步;
[0021]步骤s3、判断请求域名是否在域名白名单,若不在,则判定为异常通信行为;否则,进入下一步;
[0022]步骤s4、判断解析IP地址是否在IP地址白名单,若不在,则将解析IP地址加入IP地址白名单;否则,判定为正常通信行为。
[0023]优选地,根据IP流量特征,基于域名、IP地址白名单以及工控网络授权通信行为列表,识别异常通信行为的方法,包括以下步骤:
[0024]步骤s1、判断源IP地址是否在IP地址白名单,若不在,则将源IP地址加入IP地址黑名单并且判定为异常通信行为;否则,进入下一步;
[0025]步骤s2、判断源IP地址是否在授权行为列表,若不在,则判定为异常通信行为;否则,进入下一步;
[0026]步骤s3、判断源端口是否在授权行为列表,若不在,则判定为异常通信行为;否则,进入下一步;
[0027]步骤s4、判断目的IP地址是否在IP地址白名单,若不在,则将目的IP地址加入IP地址黑名单并且判定为异常通信行为;否则,进入下一步;
[0028]步骤s5、判断目的IP地址是否在授权行为列表,若不在,则判定为异常通信行为;否则,进入下一步;
[0029]步骤s6、判断目的端口是否在授权行为列表,若不在,则判定为异常通信行为;否则,进入下一步;
[0030]步骤s7、判断通信时间是否在允许通信时间范围内,若不在,则判定为异常通信行为;否则,判定为正常通信行为。
[0031]优选地,异常流量画像信息获取,获取异常通信行为相关的异常域名、异常IP地址的画像信息,包括以下步骤:
[0032]步骤s1、获取异常域名画像信息,具体获取内容以及获取方式如下:
[0033](1)域名网页内容所属类别,基于transformer的网页文本与网页快照综合分类系统,进行网页内容的分类;
[0034](2)域名使用的证书,利用crt.sh检索域名使用的证书信息;
[0035](3)域名使用的协议,进行端口协议采集验证,获取域名使用的协议类型;
[0036](4)域名的常见子域名,使用子域名发现工具subfinder进行子域名拓展;
[0037](5)域名解析本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于DNS解析流量和IP流量融合分析的异常流量识别方法,其特征是:所述方法包括以下步骤:步骤1、工控网络通信设备资产发现,采集企业参与通信的设备列表,建立工控网络通信设备资产信息库,构建工控网络可信网络,建立通信域名、IP地址双重白名单以及授权通信行为列表,每日更新;步骤2、DNS流量特征提取,实时获取工控网络DNS服务器的解析日志,构建DNS流量特征组;步骤3、IP流量特征提取,实时获取工控网络现场流量,构建IP流量特征组;步骤4、异常通信行为识别,异常通信行为识别包括:根据DNS流量特征,基于域名、IP地址白名单以及工控网络授权通信行为列表识别异常通信行为;根据DNS流量特征,基于域名、IP地址白名单以及工控网络授权通信行为列表,识别异常通信行为;步骤5、异常流量识别与防护,将异常通信行为的相关流量标识为异常流量,并且过滤异常流量,阻断异常通信行为继续进行;步骤6、异常流量画像信息获取,获取异常流量相关的异常域名以及异常IP地址的画像信息;步骤7、异常流量识别日志、异常流量特征组以及异常流量画像信息存储与提交。2.根据权利要求1所述的一种基于DNS解析流量和IP流量融合分析的异常流量识别方法,其特征在于:所述工控网络DNS服务器使用专用的本地DNS服务器,而非公共DNS服务器。3.根据权利要求1所述的一种基于DNS解析流量和IP流量融合分析的异常流量识别方法,其特征在于:所述授权通信行为列表包括:源IP地址、源域名、源端口、目的IP地址、目的域名、目的端口、允许通信时间。4.根据权利要求1所述的一种基于DNS解析流量和IP流量融合分析的异常流量识别方法,其特征在于:所述DNS流量特征组包括:请求设备IP地址、请求域名、请求DNS服务器、解析IP地址、请求时间。5.根据权利要求1所述的一种基于DNS解析流量和IP流量融合分析的异常流量识别方法,其特征在于:所述IP流量特征组包括:源IP地址、源端口、目的IP地址、目的端口、通信时间。6.根据权利要求1所述的一种基于DNS解析流量和IP流量融合分析的异常流量识别方法,其特征在于:所述根据DNS流量特征,基于域名、IP地址白名单以及工控网络授权通信行为列表,识别异常通信行为的方法,包括以下步骤:步骤s1、判断请求设备IP地址是否在IP地址白名单,若不在,将请求设备IP地址加入IP地址黑名单并判定为异常通信行为;否则进入下一步;步骤s2、判断请求IP地址是否在授权通信行为列表,若不在,则表明存在非对外开放设备利用DNS请求并获取响应的方式与外界的域名权威服务器互相通信,判定为异常通信行为;否则,进入下一步;步骤s3、判断请求域名是否在域名白名单,若不在,则判定为异常通信行为;否则,进入下一步;步骤s4、判断解...
【专利技术属性】
技术研发人员:张兆心,常利婷,赵东,郭辉,陆柯羽,程亚楠,柴婷婷,
申请(专利权)人:哈尔滨工业大学威海,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。