本申请实施例提供一种异常连接访问跟踪方法、装置、电子设备及存储介质,涉及技术领域。该方法包括记录恶意域名的IP流量访问信息,生成异常连接访问跟踪表;利用所述恶意域名的安全事件和所述异常连接访问跟踪表进行关联;若关联成功,则获取恶意IP流量访问详细信息;该方法跟踪恶意域名的后续访问,生成异常连接访问跟踪表,并与安全事件进行关联分析,确定恶意IP流量访问信息,解决了现有方法只对恶意域名进行告警,无法确认后续是否存在异常连接情况的问题。异常连接情况的问题。异常连接情况的问题。
【技术实现步骤摘要】
一种异常连接访问跟踪方法、装置、电子设备及存储介质
[0001]本申请涉及网络通信
,具体而言,涉及一种异常连接访问跟踪方法、装置、电子设备及存储介质。
技术介绍
[0002]随着网络的快速发展,网络安全变得至关重要,防火墙在网络安全领域扮演重要的角色。大多恶意软件都有连接c2服务器的行为,因此对域名的检测是发现恶意软件的一个有效手段。防火墙中的安全引擎模块可以对恶意域名进行检测,当用户对恶意域名发起DNS请求后,可以进行阻断和告警。当动作为告警时,只会提示对域名存在请求行为,后续是否存在异常连接情况无法得知,使得负责运维的管理员无法明确事件的严重程度。
技术实现思路
[0003]本申请实施例的目的在于提供一种异常连接访问跟踪方法、装置、电子设备及存储介质,跟踪恶意域名的后续访问,生成异常连接访问跟踪表,并与安全事件进行关联分析,确定恶意IP流量访问信息,解决了现有方法只对恶意域名进行告警,无法确认后续是否存在异常连接情况的问题。
[0004]本申请实施例提供了一种异常连接访问跟踪方法,所述方法包括:
[0005]记录恶意域名的IP流量访问信息,生成异常连接访问跟踪表;
[0006]利用所述恶意域名的安全事件和所述异常连接访问跟踪表进行关联;
[0007]若关联成功,则获取恶意IP流量访问详细信息。
[0008]在上述实现过程中,将恶意域名的后续访问生成异常连接访问跟踪表,将异常连接访问跟踪表与该恶意域名的安全事件进行关联,获得恶意IP流量访问详细信息,明确后续异常连接访问跟踪详情,而不是简单提示对域名进行了访问,解决了现有方法只对恶意域名进行告警,无法确认后续是否存在异常连接情况的问题。
[0009]进一步地,在所述利用预设的安全事件和所述异常连接访问跟踪表进行关联的步骤之前,所述方法还包括:
[0010]对数据流进行恶意域名检测;
[0011]若检测到所述恶意域名,则获取会话标识,并将恶意域名访问开始时间存入会话标识数组;
[0012]获取所述数据流中的威胁信息,以生成安全事件。
[0013]在上述实现过程中,数据流流经防火墙时,安全引擎进行恶意域名检测,检测到恶意域名后,记录安全事件。
[0014]进一步地,所述方法还包括:
[0015]对域名应答报文进行解析,获取应答包中的会话标识;
[0016]查询所述会话标识数组;
[0017]若所述会话标识数组中存在所述会话标识且未超过预设时间,则获取DNS记录;
[0018]将所述DNS记录中的IP地址和域名信息存入哈希表,并将所述IP地址进行哈希得到的下标作为哈希桶的索引,并加入老化队列。
[0019]在上述实现过程中,对恶意域名的域名应答报文进行进一步解析,获得IP地址和域名信息。
[0020]进一步地,所述利用预设的安全事件和所述异常连接访问跟踪表进行关联,包括:
[0021]将所述安全事件中的攻击者地址和所述异常连接访问跟踪表中的源地址进行匹配,以进行攻击者关联;
[0022]将所述安全事件中的受害者地址和所述异常连接访问跟踪表中的目的地址进行匹配,以进行受害者关联。
[0023]在上述实现过程中,将安全事件和异常连接访问跟踪表进行关联,包括受害者关联和攻击者关联,只要有一个关联成功,则可获得异常连接访问跟踪表的详细信息。
[0024]进一步地,所述若关联成功,则获取恶意IP流量访问详细信息,包括:
[0025]获取域名对应的IP,且有后续流量,但后续上行流量不超过预设大小,则访问结果为成功;
[0026]获取域名对应的IP,但无后续流量,访问结果为域名解析成功但无后续连接;
[0027]获取域名对应的IP,且有后续流量,后续上行流量超过预设大小,则访问结果为可疑数据泄露。
[0028]在上述实现过程中,可通过关联获得恶意IP流量访问信息如上下行流量、连接建立时间、持续时间、访问结果以及对端IP等。
[0029]本申请实施例还提供一种异常连接访问跟踪装置,所述装置包括:
[0030]跟踪表生成模块,用于记录当前恶意域名的IP流量访问信息,生成异常连接访问跟踪表;
[0031]关联模块,用于利用预设的安全事件和所述异常连接访问跟踪表进行关联;
[0032]访问信息获取模块,用于若关联成功,则获取恶意IP流量访问详细信息。
[0033]在上述实现过程中,将恶意域名的后续访问生成异常连接访问跟踪表,将异常连接访问跟踪表与该恶意域名的安全事件进行关联,获得恶意IP流量访问详细信息,明确后续异常连接访问跟踪详情,而不是简单提示对域名进行了访问,解决了现有方法只对恶意域名进行告警,无法确认后续是否存在异常连接情况的问题。
[0034]进一步地,所述装置还包括:
[0035]域名检测模块,用于对数据流进行恶意域名检测;
[0036]会话标识获取模块,用于若检测到所述恶意域名,则获取会话标识,并将恶意域名访问开始时间存入会话标识数组;
[0037]安全事件生成模块,用于获取所述数据流中的威胁信息,以生成安全事件。
[0038]在上述实现过程中,数据流流经防火墙时,安全引擎进行恶意域名检测,检测到恶意域名后,记录安全事件。
[0039]进一步地,所述关联模块包括:
[0040]攻击者关联模块,用于将所述安全事件中的攻击者地址和所述异常连接访问跟踪表中的源地址进行匹配,以进行攻击者关联;
[0041]受害者关联模块,用于将所述安全事件中的受害者地址和所述异常连接访问跟踪
表中的目的地址进行匹配,以进行受害者关联。
[0042]在上述实现过程中,将安全事件和异常连接访问跟踪表进行关联,包括受害者关联和攻击者关联,只要有一个关联成功,则可获得异常连接访问跟踪表的详细信息。
[0043]本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行计算机程序以使所述电子设备执行上述中任一项所述的异常连接访问跟踪方法。
[0044]本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述中任一项所述的异常连接访问跟踪方法。
附图说明
[0045]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0046]图1为本申请实施例提供的一种异常连接访问跟踪方法的流程图;
[0047]图2为本申请实施例提供的安全事件生成流程图;
[0048]图3为本申请实施例提供的恶意域名检测流程图;
[0049]图4本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常连接访问跟踪方法,其特征在于,所述方法包括:记录恶意域名的IP流量访问信息,生成异常连接访问跟踪表;利用所述恶意域名的安全事件和所述异常连接访问跟踪表进行关联;若关联成功,则获取恶意IP流量访问详细信息。2.根据权利要求1所述的异常连接访问跟踪方法,其特征在于,在所述利用所述恶意域名的安全事件和所述异常连接访问跟踪表进行关联的步骤之前,所述方法还包括:对数据流进行恶意域名检测;若检测到所述恶意域名,则获取会话标识,并将恶意域名访问开始时间存入会话标识数组;获取所述数据流中的威胁信息,以生成安全事件。3.根据权利要求2所述的异常连接访问跟踪方法,其特征在于,所述方法还包括:对域名应答报文进行解析,获取会话标识;查询所述会话标识数组;若所述会话标识数组中存在所述会话标识且未超过预设时间,则获取DNS记录;将所述DNS记录中的IP地址和域名信息存入哈希表,并将所述IP地址进行哈希得到的下标作为哈希桶的索引,并加入老化队列。4.根据权利要求1所述的异常连接访问跟踪方法,其特征在于,所述利用所述恶意域名的安全事件和所述异常连接访问跟踪表进行关联,包括:将所述安全事件中的攻击者地址和所述异常连接访问跟踪表中的源地址进行匹配,以进行攻击者关联;将所述安全事件中的受害者地址和所述异常连接访问跟踪表中的目的地址进行匹配,以进行受害者关联。5.根据权利要求1所述的异常连接访问跟踪方法,其特征在于,所述若关联成功,则获取恶意IP流量访问详细信息,包括:获取域名对应的IP,且有后续流量,但后续上行流量不超过预设大小,则访问结果为成功;获取域名对应的IP,但无后续...
【专利技术属性】
技术研发人员:闫海姣,范鸿雷,晏尉,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。