[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN108809891B - 一种服务器入侵检测方法和装置 - Google Patents

一种服务器入侵检测方法和装置 Download PDF

Info

Publication number
CN108809891B
CN108809891B CN201710285652.8A CN201710285652A CN108809891B CN 108809891 B CN108809891 B CN 108809891B CN 201710285652 A CN201710285652 A CN 201710285652A CN 108809891 B CN108809891 B CN 108809891B
Authority
CN
China
Prior art keywords
domain name
target
white list
access target
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710285652.8A
Other languages
English (en)
Other versions
CN108809891A (zh
Inventor
吴少洪
苗辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Baishan Cloud Polytron Technologies Inc
Original Assignee
Guizhou Baishan Cloud Polytron Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Baishan Cloud Polytron Technologies Inc filed Critical Guizhou Baishan Cloud Polytron Technologies Inc
Priority to CN201710285652.8A priority Critical patent/CN108809891B/zh
Publication of CN108809891A publication Critical patent/CN108809891A/zh
Application granted granted Critical
Publication of CN108809891B publication Critical patent/CN108809891B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种服务器入侵检测方法和装置。涉及网络安全领域;解决了现有固定IP白名单过滤网卡流量带来的误报问题。该方法包括:识别发出的请求包的访问目标,所述访问目标包含目标IP地址和/或目标域名;判断所述访问目标是否合法;在判断所述访问目标不合法时,确定出现服务器入侵。本发明提供的技术方案适用于反弹式木马拦截,实现了准确高效的木马检测。

Description

一种服务器入侵检测方法和装置
技术领域
本发明涉及网络安全领域,尤其涉及一种服务器入侵检测方法和装置。
背景技术
“反弹式木马”能够利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来反向连接木马控制端,从而窃取服务器资料同时遥控服务器本身。在云分发网络中,当节点中没有缓存内容时,需要回源获取,此时请求的“源”的目标地址主要有三种类型:(1)云分发系统内的中转节点(如父节点);(2)源站IP(可以是客户自己的源站或者云分发系统内设置的源站);(3)客户的二层CDN节点(通过多级CDN层次结构回源)。对于前两种类型,目标地址是相对固定的,而第三种由于连接的是客户或第三方的系统,云分发厂商无法明确知晓相关设备的地址信息,而且访问地址的不断变化容易造成干扰,导致节点被黑客入侵并进一步远程操控而不自知。
因此,需要一种方法能够快速检测节点是否中了木马,以及时采取相应措施,确保整个系统的安全。
现有技术通过抓包分析网卡流量,判断所连接的目标IP是否在事先配置好的固定IP白名单内,由于IP白名单地址信息的不完善,容易产生非常多误报。
发明内容
本发明旨在解决上面描述的问题。
根据本发明的一方面,提供了一种服务器入侵检测方法,包括:
识别发出的请求包的访问目标,所述访问目标包含目标IP地址和/或目标域名;
判断所述访问目标是否合法;
在判断所述访问目标不合法时,确定出现服务器入侵。
优选的,该方法还包括:
构建域名白名单,在所述域名白名单中包含合法的域名;和/或,
构建IP白名单,在所述IP白名单中包含合法的IP地址。
优选的,判断所述访问目标是否合法包括:
在所述访问目标包含的目标IP地址不在所述IP白名单中时,判断所述访问目标不合法;
在所述访问目标包含的目标域名不在所述域名白名单中时,判断所述访问目标不合法;
在所述访问目标包含的目标域名在所述域名白名单中,且所述访问目标包含的目标IP地址不在所述IP白名单中时,判断所述访问目标不合法。
优选的,所述域名白名单包含以下任一种或任意多种域名:
云分发系统中转节点的域名,客户源的域名,合作方子系统中相关设备的域名。
优选的,该方法还包括:
动态更新所述域名白名单和/或所述IP白名单。
优选的,动态更新所述域名白名单和/或所述IP白名单包括:
在所述访问目标仅包含目标域名时,通过监听DNS请求包信息,获得对所述目标域名解析后的CNAME的目标主机地址和/或IP地址,将所述CNAME的目标主机地址加入所述域名白名单,将所述IP地址加入所述IP白名单。
根据本发明的又一方面,提供了一种服务器入侵检测装置,包括:
目标识别模块,用于识别发出的请求包的访问目标,所述访问目标包含目标IP地址和/或目标域名;
合法性验证模块,用于判断所述访问目标是否合法;
入侵检测模块,用于在判断所述访问目标不合法时,确定出现服务器入侵。
优选的,该装置还包括:
域名库管理模块,用于构建域名白名单,在所述域名白名单中包含合法的域名;
IP库管理模块,用于构建IP白名单,在所述IP白名单中包含合法的IP地址。
优选的,所述合法性验证模块具体用于:
在所述访问目标包含的目标IP地址不在所述IP白名单中时,判断所述访问目标不合法,
在所述访问目标包含的目标域名不在所述域名白名单中时,判断所述访问目标不合法,
在所述访问目标包含的目标域名在所述域名白名单中,且所述访问目标包含的目标IP地址不在所述IP白名单中时,判断所述访问目标不合法。
优选的,该装置还包括:
更新模块,用于动态更新所述域名白名单和/或所述IP白名单。
优选的,所述更新模块,具体用于在所述访问目标仅包含目标域名时,通过监听DNS请求包信息,获得对所述目标域名解析后的CNAME的目标主机地址和/或IP地址,将所述CNAME的目标主机地址加入所述域名白名单,将所述IP地址加入所述IP白名单。
本发明提供了一种服务器入侵检测方法和装置,识别发出的请求包的访问目标,所述访问目标包含目标IP地址和/或目标域名,判断所述访问目标是否合法,在判断所述访问目标不合法时,确定出现服务器入侵。通过IP地址与域名的双维度判断,实现了准确高效的木马检测,解决了现有固定IP白名单过滤网卡流量带来的误报问题。
参照附图来阅读对于示例性实施例的以下描述,本发明的其他特性特征和优点将变得清晰。
附图说明
并入到说明书中并且构成说明书的一部分的附图示出了本发明的实施例,并且与描述一起用于解释本发明的原理。在这些附图中,类似的附图标记用于表示类似的要素。下面描述中的附图是本发明的一些实施例,而不是全部实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他的附图。
图1示例性地示出了本发明的实施例一提供的一种服务器入侵检测方法的流程;
图2示例性地示出了本发明的实施例二提供的一种服务器入侵检测装置的结构。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
现有技术通过抓包分析网卡流量,判断所连接的目标IP是否在事先配置好的固定IP白名单内,由于IP白名单地址信息的不完善,容易产生非常多误报。
为了解决上述问题,本发明的实施例提供了一种服务器入侵检测方法和装置。
首先结合附图,对本发明的实施例一进行说明。
本发明实施例提供了一种服务器入侵检测方法,通过IP地址和域名进行二维检测,并动态更新域名白名单与IP白名单,实现了高效准确的反弹式木马检测、非法外联检测、非法对外发包的检测。使用该方法进行安全检测的流程如图1所示,包括:
步骤101、识别发出的请求包的访问目标,所述访问目标包含目标IP地址和/或目标域名;
本步骤为识别步骤,识别发出的请求包的访问目标是目标域名和/或目标IP地址。即,访问目标可以仅为目标域名或目标IP地址,也可既包含目标域名同时也包含目标IP地址。
步骤102、判断所述访问目标是否合法;
本步骤为判断步骤,针对访问目标是目标域名的请求包,监听DNS请求包信息,获取所携带的目标域名信息,判断该目标域名是否在域名白名单里,和/或,针对访问目标是目标IP地址的请求包,判断目标IP地址是否在IP白名单内;
本发明实施例中,可构建域名白名单和/或IP白名单,在所述域名白名单中包含合法的域名,在所述IP白名单中包含合法的IP地址。以该域名白名单与IP白名单作为判断访问目标合法性的参考标准。
具体判断访问目标合法性的规则如下:
访问目标是目标域名,但不在域名白名单内,则认为该访问目标不合法;
或者,访问目标是目标IP地址,但不在IP白名单里,则认为该访问目标不合法;
或者,访问目标是目标域名与目标IP地址的结合,目标域名在域名白名单内但目标IP地址不在IP白名单内的(如,黑客的IP地址,访问的时候伪造并带上合法的域名),判断该请求包的访问目标不合法。
所述域名白名单包含以下任一种或任意多种域名:
云分发系统中转节点的域名,客户源的域名,合作方子系统中相关设备的域名。
域名白名单可以通过API预先配置并获取。
所述合作方子系统可以是二层CDN子系统。
步骤103、在判断所述访问目标不合法时,确定出现服务器入侵。
优选的,还可以动态更新所述域名白名单和/或所述IP白名单。
例如,在所述访问目标仅包含目标域名时,通过监听DNS请求包信息,获得对所述目标域名解析后的CNAME的目标主机地址和/或IP地址,将所述CNAME的目标主机地址加入所述域名白名单,将所述IP地址加入所述IP白名单。系统自动学习完善域名白名单与IP白名单,防止由于合法域名或IP地址不存在于白名单中导致的误判。也可以开放人工操作接口,由具有相应权限的操作人员修改域名白名单及IP白名单的配置。亦可以根据预置的时间规则或人工触发由其他平台、数据库获取域名白名单及IP地址的过程。
对于域名白名单和IP白名单的记录,记录方式有a.记录到内存里面,b.记录到文件中。
IP地址来自域名解析后关联到的A记录信息;
下面结合附图,对本发明的实施例二进行说明。
本发明实施例提供了一种服务器入侵检测装置,其结构如图2所示,包括:
目标识别模块201,用于识别发出的请求包的访问目标,所述访问目标包含目标IP地址和/或目标域名;
合法性验证模块202,用于判断所述访问目标是否合法;
入侵检测模块203,用于在判断所述访问目标不合法时,确定出现服务器入侵。
优选的,该装置还包括:
域名库管理模块204,用于构建域名白名单,在所述域名白名单中包含合法的域名;
IP库管理模块205,用于构建IP白名单,在所述IP白名单中包含合法的IP地址。
优选的,所述合法性验证模块202具体用于:
在所述访问目标包含的目标IP地址不在所述IP白名单中时,判断所述访问目标不合法,
在所述访问目标包含的目标域名不在所述域名白名单中时,判断所述访问目标不合法,
在所述访问目标包含的目标域名在所述域名白名单中,且所述访问目标包含的目标IP地址不在所述IP白名单中时,判断所述访问目标不合法。
优选的,该装置还包括:
更新模块206,用于动态更新所述域名白名单和/或所述IP白名单。
优选的,所述更新模块206,具体用于在所述访问目标仅包含目标域名时,通过监听DNS请求包信息,获得对所述目标域名解析后的CNAME的目标主机地址和/或IP地址,将所述CNAME的目标主机地址加入所述域名白名单,将所述IP地址加入所述IP白名单。
如图2所示的服务器入侵检测装置,可集成于网络设备中,由网络设备实现相应功能。可作为防火墙的一部分,也可作为单独运行于网络设备上的功能单元,与防火墙协作完成对木马的检测与拦截。
本发明的实施例提供了一种服务器入侵检测方法和装置,识别发出的请求包的访问目标,所述访问目标包含目标IP地址和/或目标域名,判断所述访问目标是否合法,在判断所述访问目标不合法时,确定出现服务器入侵。通过IP地址与域名的双维度判断,降低误报率;通过完善IP白名单和/或域名白名单,克服原有固定IP白名单信息不全的缺陷实现了准确高效的木马检测,防止了黑客伪造域名,通过反弹式木马窃取服务器资料同时遥控服务器。解决了现有固定IP白名单过滤网卡流量带来的误报问题。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种服务器入侵检测方法,其特征在于,包括:
识别发出的请求包的访问目标,所述访问目标包含目标IP地址和目标域名;
判断所述访问目标是否合法;
在判断所述访问目标不合法时,确定出现服务器入侵;
构建域名白名单,在所述域名白名单中包含合法的域名;和
构建IP白名单,在所述IP白名单中包含合法的IP地址;
在所述访问目标包含的目标域名在所述域名白名单中,且所述访问目标包含的目标IP地址不在所述IP白名单中时,判断所述访问目标不合法;
所述域名白名单包含以下任一种或任意多种域名:
云分发系统中转节点的域名,客户源的域名,合作方子系统中相关设备的域名,其中,所述域名白名单通过API预先配置并获取。
2.根据权利要求1所述的服务器入侵检测方法,其特征在于,该方法还包括:
动态更新所述域名白名单和/或所述IP白名单。
3.根据权利要求2所述的服务器入侵检测方法,其特征在于,动态更新所述域名白名单和/或所述IP白名单包括:
在所述访问目标仅包含目标域名时,通过监听DNS请求包信息,获得对所述目标域名解析后的CNAME的目标主机地址和/或IP地址,将所述CNAME的目标主机地址加入所述域名白名单,将所述IP地址加入所述IP白名单。
4.一种服务器入侵检测装置,其特征在于,包括:
目标识别模块,用于识别发出的请求包的访问目标,所述访问目标包含目标IP地址和/或目标域名;
合法性验证模块,用于判断所述访问目标是否合法;
入侵检测模块,用于在判断所述访问目标不合法时,确定出现服务器入侵;
域名库管理模块,用于构建域名白名单,在所述域名白名单中包含合法的域名,所述域名白名单包含以下任一种或任意多种域名:
云分发系统中转节点的域名,客户源的域名,合作方子系统中相关设备的域名,其中,所述域名白名单通过API预先配置并获取;
IP库管理模块,用于构建IP白名单,在所述IP白名单中包含合法的IP地址;
在所述访问目标包含的目标域名在所述域名白名单中,且所述访问目标包含的目标IP地址不在所述IP白名单中时,判断所述访问目标不合法。
5.根据权利要求4所述的服务器入侵检测装置,其特征在于,该装置还包括:
更新模块,用于动态更新所述域名白名单和/或所述IP白名单。
6.根据权利要求5所述的服务器入侵检测装置,其特征在于,
所述更新模块,具体用于在所述访问目标仅包含目标域名时,通过监听DNS请求包信息,获得对所述目标域名解析后的CNAME的目标主机地址和/或IP地址,将所述CNAME的目标主机地址加入所述域名白名单,将所述IP地址加入所述IP白名单。
CN201710285652.8A 2017-04-27 2017-04-27 一种服务器入侵检测方法和装置 Active CN108809891B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710285652.8A CN108809891B (zh) 2017-04-27 2017-04-27 一种服务器入侵检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710285652.8A CN108809891B (zh) 2017-04-27 2017-04-27 一种服务器入侵检测方法和装置

Publications (2)

Publication Number Publication Date
CN108809891A CN108809891A (zh) 2018-11-13
CN108809891B true CN108809891B (zh) 2019-12-20

Family

ID=64069484

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710285652.8A Active CN108809891B (zh) 2017-04-27 2017-04-27 一种服务器入侵检测方法和装置

Country Status (1)

Country Link
CN (1) CN108809891B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152354A (zh) * 2013-03-19 2013-06-12 北京奇虎科技有限公司 对危险网站进行提示的方法、系统及客户端设备
CN105516165A (zh) * 2015-12-22 2016-04-20 华为技术有限公司 一种识别计费欺诈的非法代理的方法、设备及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI249330B (en) * 2003-10-28 2006-02-11 Far Eastone Telecomm Co Ltd Mobile network content based charging and access control system
CN104219200B (zh) * 2013-05-30 2017-10-17 杭州迪普科技股份有限公司 一种防范dns缓存攻击的装置和方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152354A (zh) * 2013-03-19 2013-06-12 北京奇虎科技有限公司 对危险网站进行提示的方法、系统及客户端设备
CN105516165A (zh) * 2015-12-22 2016-04-20 华为技术有限公司 一种识别计费欺诈的非法代理的方法、设备及系统

Also Published As

Publication number Publication date
CN108809891A (zh) 2018-11-13

Similar Documents

Publication Publication Date Title
Guo et al. Ip-based iot device detection
EP3264720B1 (en) Using dns communications to filter domain names
CN103634786B (zh) 一种无线网络的安全检测和修复的方法与系统
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
US8522336B2 (en) Gateway device and method for using the same to prevent phishing attacks
CN114598525A (zh) 一种针对网络攻击的ip自动封禁的方法和装置
US10642906B2 (en) Detection of coordinated cyber-attacks
CN112887341B (zh) 一种外部威胁监控方法
CN110708336B (zh) 视频终端的认证方法及装置、电子设备、存储介质
CN111404937B (zh) 一种服务器漏洞的检测方法和装置
CN110768951B (zh) 验证系统漏洞的方法及装置、存储介质、电子装置
CN110881024A (zh) 漏洞的探测方法及装置、存储介质、电子装置
US11979374B2 (en) Local network device connection control
CN106209907A (zh) 一种检测恶意攻击的方法及装置
CN113630409B (zh) 基于dns解析流量和ip流量融合分析的异常流量识别方法
Tsai et al. Certainty: Detecting dns manipulation at scale using tls certificates
KR101522139B1 (ko) DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법
CN112583827B (zh) 一种数据泄露检测方法及装置
CN111314370B (zh) 一种业务漏洞攻击行为的检测方法及装置
CN108809891B (zh) 一种服务器入侵检测方法和装置
US11228491B1 (en) System and method for distributed cluster configuration monitoring and management
KR20180051806A (ko) 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법
CN109428863B (zh) 容器服务的安全防护方法、数据处理方法、装置及设备
KR102582837B1 (ko) 파밍 dns 분석 방법 및 컴퓨팅 디바이스
US11683337B2 (en) Harvesting fully qualified domain names from malicious data packets

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 550003 Building No. 12 in the Southern Park of Gui'an High-end Equipment Industrial Park, Guizhou Province

Applicant after: Guizhou Baishan cloud Polytron Technologies Inc

Address before: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant before: Guizhou white cloud Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant