本发明涉及网络安全分析领域,具体地说是涉及一种基于元数据分析的dns防护及防数据泄露的方法。
背景技术:
当前主流的dns安全技术,绝大部分面向类ddos攻击行为、dns投毒、dns劫持欺骗等技术。
当前主流dns安全技术通过实时分析dns解析失败率、dns响应报文与请求报文的比例关系等方法,来识别各种针对dns的ddos攻击并防御。通过dnsserver属性及状态来简单定位是否存在劫持,通过时间戳判断是否dns投毒等行为以上所述的dns安全技术完全满足基于单包匹配或单一dns恶意行为的分析需求。
但是在面向非法dns数据传输方面,尤其是基于dns远程指挥控制、恶意数据传输方面的安全分析已显得捉襟见肘。
技术实现要素:
针对现有技术之不足,本发明提供了一种基于元数据分析的dns防护及防数据泄露的方法。
本发明的基于元数据分析的dns防护及防数据泄露的方法的具体技术方案如下:
一种基于元数据分析的dns防护及防数据泄露的方法,其包括如下步骤:
s1:捕获全量dns数据;
s2:对所述步骤s1捕获的全量dns数据进行区分并标识数据流方向;
s3:将经过所述步骤s2处理后的全量dns数据与标准dns协议进行匹配;
将不符合所述标准dns协议格式的数据归类存储,提取并存储其五元组信息db1;
将符合所述标准dns协议格式的数据按照元数据中的transactionid字段与qr字段进行匹配,按照配对情况分类提取并存储其五元组信息且存储原始数据;
qr是标准dns协议字段,为dns元数据的一部分,数值为0表示为请求报文,数值为1表示为响应报文。
transactionid是dns传输id,某时段内该id值具有唯一性,用于对请求报文和响应报文进行配对。
原始数据是指所分类的原始数据,比如有请求无响应的数据db3,不光提取该类型数据的五元组信息和元数据信息,同时也会存储该类型数据的原始数据。
s4:将所述步骤s3中配对情况分为有请求有响应的数据db2、有请求无响应的数据db3和无请求无响应的数据db4四种类型的数据;
s5:按照外网ip属性将所述步骤s4中四种数据类型的元数据进行拆分,产生不符合所述标准dns协议格式的数据的五元组信息db1境内、不符合所述标准dns协议格式的数据的五元组信息db1_境外、有请求有响应的数据db2_境内、有请求有响应的数据db2_境外、有请求无响应的数据db3_境内、有请求无响应的数据db3_境外、无请求无响应的数据db4_境内和无请求无响应的数据db4_境外8个子数据库;
s6:对所述s5中8个子数据库中数据进行分析,定义非法恶意dns行为,从而对dns进行防护及防止数据泄露。
本发明的基于元数据分析的dns防护及防数据泄露的方法首先将全量dns数据的原始数据和元数据进行提取并科学分类的存储;然后通过针对dns的元数据科学合理的分类,将海量的dns数据划分成不同类别的子数据集,并通过系统自带的元数据扩展知识库(ip,as属地属主等),可简便快捷的定位查找dns各类安全事件;同时通过各子数据集间的交叉验证,可将看似毫无关联的dns数据行为,准确快速的定义为恶意数据行为,比如有掩护性的隐蔽数据传输或远程控制行为。
通过上述技术方案,本发明的基于元数据分析的dns防护及防数据泄露的方法通过对元数据分类和交叉验证,可定位发现正常网络行为所掩盖的恶意dns行为,可深度挖掘安全事件;通过对元数据扩展,可准确预判非法恶意dns行为,可提高预判的准确性;通过科学分类存储的原始数据,大大降低安全事件误报率,并形成有力证据,可实现证据保全。
根据一个优选的实施方式,在所述步骤s2中,对全量dns数据进行区分方式为:通过自定义标签或者数据报文中的mac地址来区分判断。如果采用大天信息的数据捕获产品,可在捕获的同时,对数据自定义标签;如果为用户现场已有产品,可根据用户现场网络设备的mac地址来区分上下行,因为mac地址具有唯一性,在传输过程中可作为网元的唯一标识。
根据一个优选的实施方式,在所述步骤s6中,对8个子数据库中数据进行分析,定义非法恶意dns行为包括:对不符合所述标准dns协议格式的数据的五元组信息db1_境外的五元组统计信息进行排序,定义非法跨境数据传输。
根据一个优选的实施方式,在所述步骤s6中,对8个子数据库中数据进行分析,定义非法恶意dns行为包括:对不符合所述标准dns协议格式的数据的五元组信息db1_境内的五元组统计信息进行排序,定义非法数据传输。
根据一个优选的实施方式,在所述步骤s6中,对8个子数据库中数据进行分析,定义非法恶意dns行为包括:对有请求有响应的数据db2的五元组统计信息进行排序,结合元数据type是否等于any定义来自外网的dns放大攻击。
根据一个优选的实施方式,在所述步骤s6中,对8个子数据库中数据进行分析,定义非法恶意dns行为包括:将有请求无响应的数据db3和无请求无响应的数据db4按照元数据qname与tlt进行统计筛查,定义内外网僵尸主机。
根据一个优选的实施方式,在所述步骤s6中,对8个子数据库中数据进行分析,定义非法恶意dns行为包括:将有请求无响应的数据db3和无请求无响应的数据db4按照元数据qname字段统计排序,定义域名攻击。
根据一个优选的实施方式,在所述步骤s6中,对8个子数据库中数据进行分析,定义非法恶意dns行为包括:将有请求无响应的数据db3和无请求无响应的数据db4的外网ip与不符合所述标准dns协议格式的数据的五元组信息db1的外网ip进行ip归属地和属主进行匹配;然后将有请求无响应的数据db3和无请求无响应的数据db4的外网ip与不符合所述标准dns协议格式的数据的五元组信息db1的外网ip进行ip所涉as域进行匹配;最后对匹配结果进行逆向扫描,定义隐蔽通道。
与现有技术相比,本发明的基于元数据分析的dns防护及防数据泄露的方法具有如下有益效果:
本发明的基于元数据分析的dns防护及防数据泄露的方法首先将全量dns数据的原始数据和元数据进行提取并科学分类的存储;然后通过针对dns的元数据科学合理的分类,将海量的dns数据划分成不同类别的子数据集,并通过系统自带的元数据扩展知识库(ip,as属地属主等),可简便快捷的定位查找dns各类安全事件;同时通过各子数据集间的交叉验证,可将看似毫无关联的dns数据行为,准确快速的定义为恶意数据行为,比如有掩护性的隐蔽数据传输或远程控制行为。使得本发明的基于元数据分析的dns防护及防数据泄露的方法通过对元数据分类和交叉验证,可定位发现正常网络行为所掩盖的恶意dns行为,可深度挖掘安全事件;通过对元数据扩展,可准确预判非法恶意dns行为,可提高预判的准确性;通过科学分类存储的原始数据,大大降低安全事件误报率,并形成有力证据,可实现证据保全。
综上所述,通过本发明可对所部署网络环境中的dns行为进行科学合理的监管与可视。对安全管理及政策实施提供高准确性的技术支撑。
附图说明
图1是本发明的基于元数据分析的dns防护及防数据泄露的方法的主要步骤示意图。
具体实施方式
下面结合附图对本发明的基于元数据分析的dns防护及防数据泄露的方法进行详细的说明。
如图1所示,其示出了本发明基于元数据分析的dns防护及防数据泄露的方法的一种优选实施方式。
一种基于元数据分析的dns防护及防数据泄露的方法,包括如下步骤:
s1:捕获全量dns数据;
s2:对所述步骤s1捕获的全量dns数据进行区分并标识数据流方向;
对全量dns数据进行区分方式为:通过自定义标签或者数据报文中的mac地址来区分判断。如果采用大天信息的数据捕获产品,可在捕获的同时,对数据自定义标签;如果为用户现场已有产品,可根据用户现场网络设备的mac地址来区分上下行,因为mac地址具有唯一性,在传输过程中可作为网元的唯一标识。
s3:将经过所述步骤s2处理后的全量dns数据与标准dns协议进行匹配;
将不符合所述标准dns协议格式的数据归类存储,提取并存储其五元组信息db1;
将符合所述标准dns协议格式的数据按照元数据中的transactionid字段与qr字段进行匹配,按照配对情况分类提取并存储其五元组信息且存储原始数据;
qr是标准dns协议字段,为dns元数据的一部分,数值为0表示为请求报文,数值为1表示为响应报文。
元数据transactionid是dns传输id,某时段内该id值具有唯一性,用于对请求报文和响应报文进行配对。
原始数据是指所分类的原始数据,比如有请求无响应的数据db3,不光提取该类型数据的五元组信息和元数据信息,同时也会存储该类型数据的原始数据。
s4:将所述步骤s3中配对情况分为有请求有响应的数据db2、有请求无响应的数据db3和无请求无响应的数据db4四种类型的数据;
s5:按照外网ip属性将所述步骤s4中四种数据类型的元数据进行拆分,产生不符合所述标准dns协议格式的数据的五元组信息db1境内、不符合所述标准dns协议格式的数据的五元组信息db1_境外、有请求有响应的数据db2_境内、有请求有响应的数据db2_境外、有请求无响应的数据db3_境内、有请求无响应的数据db3_境外、无请求无响应的数据db4_境内和无请求无响应的数据db4_境外8个子数据库;
s6:对所述s5中8个子数据库中数据进行分析,定义非法恶意dns行为,从而对dns进行防护及防止数据泄露。
其中,在所述步骤s6中,对8个子数据库中数据进行分析,定义非法恶意dns行为包括:
对不符合所述标准dns协议格式的数据的五元组信息db1_境外的五元组统计信息进行排序,定义非法跨境数据传输。
对不符合所述标准dns协议格式的数据的五元组信息db1_境内的五元组统计信息进行排序,定义非法数据传输。
对有请求有响应的数据db2的五元组统计信息进行排序,结合元数据type是否等于any定义来自外网的dns放大攻击。
将有请求无响应的数据db3和无请求无响应的数据db4按照元数据qname与tlt进行统计筛查,定义内外网僵尸主机。
将有请求无响应的数据db3和无请求无响应的数据db4按照元数据qname字段统计排序,定义域名攻击。
将有请求无响应的数据db3和无请求无响应的数据db4的外网ip与不符合所述标准dns协议格式的数据的五元组信息db1的外网ip进行ip归属地和属主进行匹配;然后将有请求无响应的数据db3和无请求无响应的数据db4的外网ip与不符合所述标准dns协议格式的数据的五元组信息db1的外网ip进行ip所涉as域进行匹配;最后对匹配结果进行逆向扫描,定义隐蔽通道。
下面通过例子具体说明本发明基于元数据分析的dns防护及防数据泄露的方法的具体过程:
以真实事件为例,在某用户处通过本发明进行分析,发现外网主机(a1,a2……)与内网主机m产生db3类型报文,即m单向传输至a的dns请求报文。同时存在外网主机(b1,b2……)与内网主机m产生db4类型报文,即b单向传输至m的dns响应报文。
通过对该两类数据的外网ip属地属主及as查询,发现a1与b2为归属同一as域,且属地属主也一致,说明内网主机m与该外网某属地的固定用户产生非正常的dns数据交互传输(存在双向报文,但没有遵循请求响应原则)。在原始数据库中将所a1,b2的原始数据调出合并,发现该类型dns报文的实际载荷数据不正常,符合c&c(远程指挥控制)的数据特征。
同时在db1中匹配与a1,b2相同属地属主及as域的数据,发现相同属性的外网主机c3与内网主机m存在大量不符合dns标准协议数据。
由此可判断,该事件中恶意行为实施者采取多主机模式,由b1进行控制指令的下发,a1进行指令反馈接收及判断,并由外网主机c3进行实际数据的接收。同时将a1,b2,c3的原始报文进行提取,形成原始证据。
本发明的基于元数据分析的dns防护及防数据泄露的方法首先将全量dns数据的原始数据和元数据进行提取并科学分类的存储;然后通过针对dns的元数据科学合理的分类,将海量的dns数据划分成不同类别的子数据集,并通过系统自带的元数据扩展知识库(ip,as属地属主等),可简便快捷的定位查找dns各类安全事件;同时通过各子数据集间的交叉验证,可将看似毫无关联的dns数据行为,准确快速的定义为恶意数据行为,比如有掩护性的隐蔽数据传输或远程控制行为。使得本发明的基于元数据分析的dns防护及防数据泄露的方法通过对元数据分类和交叉验证,可定位发现正常网络行为所掩盖的恶意dns行为,可深度挖掘安全事件;通过对元数据扩展,可准确预判非法恶意dns行为,可提高预判的准确性;通过科学分类存储的原始数据,大大降低安全事件误报率,并形成有力证据,可实现证据保全。
另外,现有dns安全技术,均过度依赖设备或软件程序,“人”在整个过程中仅存在于最后可视阶段。由于当前过度依赖机器判断,对于单包或单会话的网络恶意行为,机器判断和处理完全没有问题。但我们知道,网络数据是人为产生,最终承载的人的主观意识,针对各种掩护偷窃类行为,必须通过交叉审验的方式才能精确判断。通过本技术对dns元数据不同形态进行分类,并交叉验证。可以精准发现dns行为中隐蔽传输行为。通过发明的dns元数据提取及扩展,将信息(面向计算机)转化为情报(面向人),大大降低了dns监控过程中,对机器(设备)的依赖性。
综上所述,通过本发明可对所部署网络环境中的dns行为进行科学合理的监管与可视。对安全管理及政策实施提供高准确性的技术支撑。
需要注意的是,本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
另外,上述具体实施例是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。