基于DNS请求的安全防护方法、系统、计算机设备及介质技术方案

本发明专利技术公开了一种基于DNS请求的安全防护方法、系统、计算机设备及介质，其方法实现，包括：通过接入网关接收用户发送的DNS请求，将所述DNS请求转发给DNS威胁拦截系统，并按照预设规则向DNS威胁管理系统进行DNS访问日志上报；通过所述DNS威胁管理系统判断所述DNS请求是否为DNS威胁请求，若是，则对所述DNS威胁请求进行拦截，并将所述DNS威胁请求转发给所述DNS威胁管理系统；通过所述DNS威胁管理系统对所述DNS威胁请求与所述DNS访问日志进行关键信息匹配，以根据匹配结果定位所述DNS威胁请求对应的威胁终端；通过所述DNS威胁管理系统向所述威胁终端对应的用户发送威胁信息，以对用户进行威胁提醒。可直接阻断威胁请求，且无需用户终端操作，即可实现威胁终端定位。即可实现威胁终端定位。即可实现威胁终端定位。

【技术实现步骤摘要】
基于DNS请求的安全防护方法、系统、计算机设备及介质


[0001]本专利技术涉及信息安全
，尤其涉及一种基于DNS请求的安全防护方法、系统、计算机设备及介质。

技术介绍

[0002]目前，许多中小型企业用户、家庭用户的终端缺乏安全防护，容易通过邮件、点击恶意外链的方式，遭受恶意软件攻击，造成用户磁盘无法访问，或控制用户电脑等；造成用户数据泄露、用户计算资源滥用、甚至用户系统瘫痪，带来巨大危害。
[0003]目前，为解决上述问题，通常采用安全DNS的架构，通过DNS引流匹配威胁情报库的方式，对不安全的DNS请求，直接进行阻断。但是由于位于同一接入网关下的不同用户，其所发送的DNS请求不包含请求用户的特征，只包含经过接入网关映射后的出口IP、端口地址，导致同一接入网关下的用户拥有相同的出口IP，因此在进行DNS请求拦截时，无法确定该DNS请求的最终来源，即无法确定该请求来自于哪一个用户，无法完成内网的威胁主机定位。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供一种基于DNS请求的安全防护方法、系统、计算机设备及介质，以解决现有技术中存在的至少一个问题。
[0005]第一方面，提供了一种于DNS请求的安全防护方法，包括如下步骤：
[0006]通过接入网关接收用户发送的DNS请求，将所述DNS请求转发给DNS威胁拦截系统，并按照预设规则向DNS威胁管理系统进行DNS访问日志上报；
[0007]通过所述DNS威胁管理系统判断所述DNS请求是否为DNS威胁请求，若是，则对所述DNS威胁请求进行拦截，并将所述DNS威胁请求转发给所述DNS威胁管理系统；
[0008]通过所述DNS威胁管理系统对所述DNS威胁请求与所述DNS访问日志进行关键信息匹配，以根据匹配结果定位所述DNS威胁请求对应的威胁终端；
[0009]通过所述DNS威胁管理系统向所述威胁终端对应的用户发送威胁信息，以对所述用户进行威胁提醒。
[0010]在一实施例中，所述DNS请求携带有访问域名信息，所述判断所述DNS请求是否为DNS威胁请求，包括：
[0011]将所述访问域名信息与预设威胁情报库中预存的恶意域名信息进行比对；
[0012]当比对一致时，则认为所述DNS请求为DNS威胁请求。
[0013]在一实施例中，所述判断所述DNS请求是否为DNS威胁请求之后，包括：
[0014]若所述DNS请求不是DNS威胁请求时，则将所述DNS请求转发至递归节点，通过所述递归节点对所述DNS请求进行响应。
[0015]在一实施例中，所述按照预设规则向DNS威胁管理系统进行DNS访问日志上报，包括：
[0016]通过所述接入网关旁路实时采集DNS请求，并对采集到DNS请求的关键信息进行抓取；
[0017]将抓取到的关键信息存储为DNS访问日志，并每间隔预设周期，将所述DNS访问日志上报给所述DNS威胁管理系统。
[0018]在一实施例中，所述通过所述DNS威胁管理系统对所述DNS威胁请求与所述DNS访问日志进行关键信息匹配，以根据匹配结果定位所述DNS威胁请求对应的威胁终端，包括：
[0019]提取所述DNS威胁请求中的第一关键信息；
[0020]提取所述DNS访问日志中的第二关键信息；
[0021]将所述第一关键信息与所述第二关键信息进行匹配，当匹配结果符合预设匹配条件时，定位所述DNS威胁请求对应的威胁终端。
[0022]在一实施例中，所述第一关键信息，包括所述DNS威胁请求的源IP地址、域名以及请求时间，所述第二关键信息，包括多个目标DNS请求的源IP地址、DNS请求域名以及DNS请求时间，所述将所述第一关键信息与所述第二关键信息进行匹配，当匹配结果符合预设匹配条件时，定位所述DNS威胁请求对应的威胁终端，包括：
[0023]将所述DNS威胁请求的源IP地址、域名以及请求时间，分别与所述多个目标DNS请求的源IP地址、DNS请求域名以及DNS请求时间一一进行匹配；
[0024]确定所述第二关键信息中是否存在与所述DNS威胁请求的源IP地址相同、域名相同，且请求时间的差值在预设阈值之内的目标关键信息；
[0025]若是，则根据所述目标关键信息获取所述威胁终端的MAC地址以及网关唯一标识码，以根据所述MAC地址以及网关唯一标识码定位所述DNS威胁请求对应的威胁终端。
[0026]第二方面，提供了一种基于DNS请求的安全防护系统，所述系统包括：
[0027]接入网关，用于接收用户发送的DNS请求，将所述DNS请求转发给DNS威胁拦截系统，并按照预设规则向DNS威胁管理系统进行DNS日志上报；
[0028]所述DNS威胁拦截系统，用于判断所述DNS请求是否为DNS威胁请求，若是，则对所述DNS威胁请求进行拦截，并将所述威胁DSN请求转发给所述DNS威胁管理系统；
[0029]所述DNS威胁管理系统，用于获取所述DNS日志上报的关键信息以及所述DNS威胁请求的关键信息，并将所述DNS威胁请求的关键信息与所述DNS日志上报的关键信息进行匹配，以根据匹配结果定位所述DNS威胁请求对应的威胁终端；
[0030]所述DNS威胁管理系统，还用于将向所述威胁终端对应的用户发送威胁信息，以对所述用户进行威胁提醒。
[0031]第三方面，提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如上述所述的基于DNS请求的安全防护方法。
[0032]第四方面，提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如上述所述的基于DNS请求的安全防护方法。
[0033]上述基于DNS请求的安全防护方法、系统、计算机设备及介质，其方法实现，包括：通过接入网关接收用户发送的DNS请求，将所述DNS请求转发给DNS威胁拦截系统，并按照预设规则向DNS威胁管理系统进行DNS访问日志上报；通过所述DNS威胁管理系统判断所述DNS请求是否为DNS威胁请求，若是，则对所述DNS威胁请求进行拦截，并将所述DNS威胁请求转
发给所述DNS威胁管理系统；通过所述DNS威胁管理系统对所述DNS威胁请求与所述DNS访问日志进行关键信息匹配，以根据匹配结果定位所述DNS威胁请求对应的威胁终端；通过所述DNS威胁管理系统向所述威胁终端对应的发送威胁信息，以对所述用户进行威胁提醒。本申请实施例中，可通过DNS请求流量进行威胁请求访问判定，并直接对威胁请求访问进行拦截，可实现无需用户终端操作，例如安装插件、客户端的前提下，可以完成对威胁终端定位，并且在实现威胁终端定位的前提下，向用户提供威胁情况报告。
附图说明
[0034]为了更清楚地说明本专利技术实施例的技术方案，下面将对本专利技术实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于DNS请求的安全防护方法，其特征在于，所述方法包括：通过接入网关接收用户端发送的DNS请求，将所述DNS请求转发给DNS威胁拦截系统，并按照预设规则向DNS威胁管理系统进行DNS访问日志上报；通过所述DNS威胁管理系统判断所述DNS请求是否为DNS威胁请求，若是，则对所述DNS威胁请求进行拦截，并将所述DNS威胁请求转发给所述DNS威胁管理系统；通过所述DNS威胁管理系统对所述DNS威胁请求与所述DNS访问日志进行关键信息匹配，以根据匹配结果定位所述DNS威胁请求对应的威胁终端；通过所述DNS威胁管理系统向所述威胁终端对应的用户发送威胁信息，以对所述用户进行威胁提醒。2.如权利要求1所述的基于DNS请求的安全防护方法，其特征在于，所述DNS请求携带有访问域名信息，所述判断所述DNS请求是否为DNS威胁请求，包括：将所述访问域名信息与预设威胁情报库中预存的恶意域名信息进行比对；当比对一致时，则认为所述DNS请求为DNS威胁请求。3.如权利要求2所述的基于DNS请求的安全防护方法，其特征在于，所述判断所述DNS请求是否为DNS威胁请求之后，包括：若所述DNS请求不是DNS威胁请求时，则将所述DNS请求转发至递归节点，通过所述递归节点对所述DNS请求进行响应。4.如权利要求1所述的基于DNS请求的安全防护方法，其特征在于，所述按照预设规则向DNS威胁管理系统进行DNS访问日志上报，包括：通过所述接入网关旁路实时采集DNS请求，并对采集到DNS请求的关键信息进行抓取；将抓取到的关键信息存储为DNS访问日志，并每间隔预设周期，将所述DNS访问日志上报给所述DNS威胁管理系统。5.如权利要求4所述的基于DNS请求的安全防护方法，其特征在于，所述通过所述DNS威胁管理系统对所述DNS威胁请求与所述DNS访问日志进行关键信息匹配，以根据匹配结果定位所述DNS威胁请求对应的威胁终端，包括：提取所述DNS威胁请求中的第一关键信息；提取所述DNS访问日志中的第二关键信息；将所述第一关键信息与所述第二关键信息进行匹配，当匹配结果符合预设匹配条件时，定位所述DNS威胁请求对应的威胁终端。6.如权利要求1所述的基于DNS请求的安全防护方法，其特征在于，所述第一关键信息，包括所述DNS威胁请求的源IP地址...

【专利技术属性】
技术研发人员：安宁宇，刘乐，徐朋，王洋，
申请(专利权)人：卓望数码技术深圳有限公司，
类型：发明
国别省市：