【技术实现步骤摘要】
本专利技术属于信息,具体涉及一种基于域名画像的dns授权机制安全威胁评估方法和系统。
技术介绍
1、当前域名系统(domain name system,dns)的名字空间结构、名字分配和解析过程均遵循严格的层级化结构,并通过“授权”将子域的管理责任授予另一个组织,以保障dns可扩展及解析压力分散,并实现了复杂场景下的多元化名字服务。然而,当前授权关系呈“多模、多跳、多路”结构,致使全球dns解析逻辑愈发复杂、重要域名授权依赖信任链冗长、易被攻击者隐蔽劫持操控。
2、针对以上问题,国内外开展了多方面研究工作,如对特定授权场景和dns配置情况引起的安全风险进行测试验证、从安全可信角度提出创新的dns服务模式及数据管理机制等。然而,现有工作均缺乏针对dns授权风险的系统性、体系化研究;也未能针对dns授权依赖带来的安全风险,在技术层面提出可实际部署的治理和保障体系。
技术实现思路
1、本专利技术设计了一种基于域名画像的dns授权机制安全威胁评估方法和系统,为dns授权安全提供系统性、体系化的解决方案和保障。
2、本专利技术采用的技术方案如下:
3、一种基于域名画像的dns授权机制安全威胁评估方法,包括以下步骤:
4、获取域名系统的原始数据并对其进行预处理;
5、利用预处理后的域名系统的数据构建域名安全画像;
6、基于域名安全画像进行授权安全威胁评估,包括构建脆弱性分析全局视图和进行威胁监测。
7、进一步地
8、进一步地,所述构建域名安全画像,包括:
9、通过静态数据和动态探测结合的方法构建域名安全画像的特征标签,包括基础属性标签、动态探测标签、消息流量特征标签;
10、根据域名安全画像的特征标签,构建单步授权画像、单个授权路径画像、域名画像和海量域名画像。
11、进一步地,构建所述单步授权画像的步骤包括:
12、(1)针对特定域名,基于授权属性信息得到其授权资源记录类型,为单步授权生成授权记录标签;
13、(2)探测授权记录是否经过认证或签名,生成授权安全性标签;
14、(3)探测授权类型为跨顶级域、跨二级域、或本域授权,生成授权类型标签;
15、(4)针对步骤(1)中获得的授权资源记录类型,校验其基础设置合规性;
16、(5)在步骤(1)-(4)完成后,进行数据一致性评估;
17、(6)进行服务器设置合规性评估。
18、进一步地,构建所述域名画像的步骤包括:
19、(1)针对域名解析涉及到的各个单步授权,分别按照构建单步授权画像的步骤依次进行构建;
20、(2)将各单步授权互相关联,生成域名授权关系网;
21、(3)生成域名属性标签,通过rdap、whios协议查询域名的注册信息,提取有效期、注册人、注册商、注册地信息;
22、(4)针对境内域名,查询icp域名备案信息,根据备案信息、后缀信息确定域名所属行业、用途以标识域名类别;
23、(5)根据每跳的单步授权画像计算域名的授权记录标签和授权类型标签;
24、(6)基于每跳的单步授权画像生成域名授权记录安全性标签;
25、(7)基于每跳的单步授权画像生成域名授权记录基础设置合规性标签;
26、(8)基于每跳的单步授权画像生成域名授权记录数据一致性相关的标签集合;
27、(9)基于每跳的单步授权画像生成域名服务器设置合理性相关的标签集合;
28、(10)选取多家递归解析器厂商和版本;
29、(11)探测缓存是否用后接收的权威应答中的ns记录替代已有父域的ns记录;
30、(12)探测缓存是否用后接收到的权威应答中的附加段记录替代已有父域的附加段记录;
31、(13)根据步骤(11)和(12)生成缓存更新机制标签,并设定其取值;
32、(14)利用拓扑排序检测是否存在循环依赖;
33、(15)进行路径发现,利用a*算法探测域名解析路径数目和每条路径的授权拓扑关系、路径长度,以及每条路径的依赖集合;
34、(16)由步骤(11)的结果计算域名解析的最小依赖集合和关键依赖节点,最小依赖集合为成功进行域名解析所需的最小依赖集,关键依赖节点为域名所有解析路径都需要依赖的节点;
35、(17)根据标签影响的紧急程度进行初始权重的设置,从高到低依次为:导致域名无法解析、无法解析出正确结果、多次请求解析结果不一致;域名可正确解析但对解析性能产生影响;目前未发现上述影响但不符合配置规范,存在潜在被攻击者利用的不安全漏洞。
36、进一步地,构建所述海量域名画像的步骤包括:
37、(1)根据研究范围制定核心指标;
38、(2)针对研究范围内的域名集构建域名画像;
39、(3)整合步骤(2)的结果,统计关键依赖节点特征,计算依赖集中度,节点所属公司,统计授权过程中的跨顶级域授权依赖信息,从依赖集中度、解析是否跨境、跨顶级域依赖维度构建海量域名授权画像。
40、进一步地,所述构建脆弱性分析全局视图包括:
41、(1)根据研究对象和目标,按照需求选择构建基于单步、单路径、单域名、海量域名不同维度的域名授权安全画像;
42、(2)基于步骤(1)的结果,按照不同维度进行授权脆弱性分析,得到脆弱性分析全局视图;所述不同维度包括关键依赖节点、最短路径、关键依赖集合、授权不合规项、数据一致性、冗余设置合理性、依赖集中度;
43、(3)将脆弱性分析全局视图通过网页可视化展示和数据报表方式供用户使用,使相关方能够直观的掌握相关域名存在的授权安全隐患。
44、进一步地,所述威胁监测包括:
45、(1)构建训练数据集,训练数据集包括两个部分,一是原始数据中受到授权安全相关攻击威胁的域名集,二是未受到攻击威胁的域名;
46、(2)对授权安全相关攻击威胁进行分类,按照是否遭受攻击以及攻击类别对训练集进行标注;
47、(3)针对训练数据集中的域名进行安全画像构建;
48、(4)基于域名画像构建分类模型,利用该分类模型确定不同类型攻击发生需要满足的条件,评估待测域名面临的威胁风险;该分类模型使用分类算法对训练数据集进行多标签分类学习,通过分类训练对正常域名和受到特定攻击的域名进行区分;
4本文档来自技高网...
【技术保护点】
1.一种基于域名画像的DNS授权机制安全威胁评估方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述域名系统的原始数据包括:区文件数据,域名注册信息数据库,递归解析器、权威域名服务器信息与配置数据集,国家域名服务解析日志,国家域名安全监测平台数据;所述预处理包括对采集的域名数据进行提取、清洗、整合、转换处理,将数据进行切分、拆割,以及格式、编码处理,然后对数据设计数据库表结构和字段,将预处理完成的数据按照实时和离线分析属性接入对应的实时和批处理大数据处理平台。
3.根据权利要求1所述的方法,其特征在于,所述构建域名安全画像,包括:
4.根据权利要求3所述的方法,其特征在于,构建所述单步授权画像的步骤包括:
5.根据权利要求3所述的方法,其特征在于,构建所述域名画像的步骤包括:
6.根据权利要求3所述的方法,其特征在于,构建所述海量域名画像的步骤包括:
7.根据权利要求1所述的方法,其特征在于,所述构建脆弱性分析全局视图包括:
8.根据权利要求1所述的方法,其特征在于,所
9.一种基于域名画像的DNS授权机制安全威胁评估系统,其特征在于,包括:
10.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行权利要求1~7中任一项所述方法的指令。
...【技术特征摘要】
1.一种基于域名画像的dns授权机制安全威胁评估方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述域名系统的原始数据包括:区文件数据,域名注册信息数据库,递归解析器、权威域名服务器信息与配置数据集,国家域名服务解析日志,国家域名安全监测平台数据;所述预处理包括对采集的域名数据进行提取、清洗、整合、转换处理,将数据进行切分、拆割,以及格式、编码处理,然后对数据设计数据库表结构和字段,将预处理完成的数据按照实时和离线分析属性接入对应的实时和批处理大数据处理平台。
3.根据权利要求1所述的方法,其特征在于,所述构建域名安全画像,包括:
4.根据权利要求3所述的方法,其特征在于,构建...
【专利技术属性】
技术研发人员:张曼,延志伟,李洪涛,董科军,左鹏,王骞,左拔山,贺明,
申请(专利权)人:中国互联网络信息中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。