基于企业域名安全的监控方法及装置的制造方法
【技术领域】
[0001]本发明涉及域名安全监控领域,具体而言,涉及基于企业域名安全的监控方法及
目.ο
【背景技术】
[0002]域名(Domain Name),是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位,而基于计算机的所有网站的服务都要从域名服务开始。
[0003]在中华网库中,每一个域名的注册都是独一无二、不可重复的,因此在网络上域名是一种相对有限的资源,它的价值将随着注册企业的增多而逐步为人们所重视。并且,域名还具有商业识别功能,如在银行业,一个简单易记的域名往往意味着无限商机;也正因如此,域名争夺战愈演愈烈,而域名的安全问题也将影响着个人、企业、社会乃至整个国家的信息安全(如金融安全)。
[0004]目前,网络界现在面临的域名安全主要体现在网络钓鱼、域名劫持和解析垄断等三个方面:较常见的,企业域名安全主要以域名劫持和网络钓鱼为重灾区,并且这两个方面的域名安全问题,其攻击实质上不是针对企业本身而是针对运营商服务器(即DNS服务器),黑客通过攻击运营商服务器,进而更改运营商服务器对应的IP地址。上述情况,对于企业来讲,其不能事先获知自身使用的域名服务器被更改的信息,只有根据用户的投诉或者企业自身作为用户发现钓鱼网站时,才会得知自己使用的域名服务器被更改的问题;对于运营商来讲,首先其没有义务对每个企业的域名变化情况进行实时监控,并且,即使其发现了相应的企业域名服务器被更改,其仍然也无法获知域名服务器的更改是企业自己实施的,还是黑客实施的,进而也就无法对域名服务器的更改情况做处理。
[0005]发明人在研究中发现,现有的网络安全技术整体抗攻击能力和抗风险能力严重不足,并且其建设和运行缺乏规范,从而使得没有相应的防御手段解决企业域名的安全问题;故针对上述企业域名的安全问题,目前尚未提出一种有效的解决方式。
【发明内容】
[0006]本发明的目的在于提供一种基于企业域名安全的监控方法及装置,能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力。
[0007]第一方面,本发明实施例提供了一种基于企业域名安全的监控方法,包括:
[0008]在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;所述目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
[0009]对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
[0010]对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
[0011]对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
[0012]结合第一方面,本发明实施例提供了上述第一方面的第一种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
[0013]利用扫描脚本对互联网进行定期扫描,得到与参考域名地址相似的嫌疑目标域名地址,并将所述嫌疑目标域名地址记录成钓鱼嫌疑列表。
[0014]结合第一方面的第一种可能的实施方式,本发明实施例提供了上述第一方面的第二种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
[0015]获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备;所述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
[0016]利用预设扫描辅助工具依次扫描所述目标域名设备的端口信息、漏洞信息以及业务类型信息,并记录扫描结果。
[0017]结合第一方面的第一种可能的实施方式,本发明实施例提供了上述第一方面的第三种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
[0018]获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的嫌疑目标域名设备;所述嫌疑目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
[0019]利用查询工具侦测嫌疑目标域名设备的业务负载信息、网络之间互连的协议IP地址信息和地理位置信息,并记录侦测结果。
[0020]结合第一方面的第二种可能的实施方式或第一方面的第三种可能的实施方式,本发明实施例提供了上述第一方面的第四种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
[0021]获取参考域名地址对应的展示信息的数据内容;
[0022]利用扫描工具搜索互联网中与所述展示信息的数据内容相似的网站页面的横幅http banner信息,确定所述http banner信息对应的嫌疑目标域名的数据信息。
[0023]结合第一方面的第四种可能的实施方式,本发明实施例提供了上述第一方面的第五种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
[0024]利用查询工具实时查询参考NS记录上的解析地址,并实时记录查询的所述解析地址;所述解析地址包括以下信息中的一种或多种:各地区的DNS服务列表信息、各地区对应的企业的DNS服务信息和各地区异常的DNS服务信息。
[0025]结合第一方面的第五种可能的实施方式,本发明实施例提供了上述第一方面的第六种可能的实施方式,其中,所述对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库,包括:
[0026]获取所述数据信息中所有数据的数据类型、采集时间和信息条目数;
[0027]根据所有数据的数据类型、采集时间和信息条目数,对获取的所有数据进行信息事件化处理,并将事件化处理后的结果入库存储,形成事件数据库;所述所有数据至少包括:扫描结果、所述侦测结果、所述http banner信息对应的嫌疑目标域名的数据信息以及所述解析地址。
[0028]结合第一方面的第六种可能的实施方式,本发明实施例提供了上述第一方面的第七种可能的实施方式,其中,所述对所述事件数据库进行相关分析,包括:
[0029]将所述事件数据库中的事件数据进行数据碰撞,根据数据碰撞的结果建立事件树模型,以形成风险轨迹记录;
[0030]和/或,根据所述事件数据库中的历史事件数据,对所述事件数据库中的事件数据进行基于时间的趋势预测和基于空间的趋势预测,得到趋势分析结果;
[0031]和/或,对所述事件数据库中的实时事件数据与正常事件数据进行动作对比,记录具有异常动作行为的所述事件数据;所述异常动作行为包括:钓鱼攻击行为和劫持攻击行为。
[0032]结合第一方面的第七种可能的实施方式,本发明实施例提供了上述第一方面的第八种可能的实施方式,其中,所述对得到的所述目标事件实时进行主动防御处理,包括:
[0033]在网管监控中,对得到的所述目标事件进行实时监控展示;
[0034]和\或,在参考域名地址对应的网站上,对得到的所述目标事件攻击所述参考域名地址的行为进行通告;
[0035]和/或,将所述得到的所述目标事件及对应的攻击所述参考域名地址的行为发送至网络安全监管服务器,以实现企业域名服务安全监控主动运维。
[0036]第二方面,本发明实施例还提供了一种基于企业域名安全的监控装置,包括:
[0037]获取单元,用于在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
[0038]信息事件化处理单元,用于对所述获取单元获取的嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
[0039]相关分析单元,用于对所述信息事件化处理单元得到的事件数据库进行相关分析;
[0040]确定单元,用于根据所述相关分析单的分析结果确定准确的和嫌疑的目标事件;相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
[0041]主动防御处理单元,用于对所述确定单元确定的目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
[0042]本发明实施例提供的一种基于企业域名安全的监控方法及装置,包括:在目标对