[发明专利]一种基于DNS日志分析的APT攻击检测方法

说明书

技术领域

本发明涉及计算机网络安全领域的高持续攻击的检测方法，尤其涉及一种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测方法。

背景技术

计算机网络已成为实现资源、信息共享的重要设施，网络的广泛运用已经导致了新的社会、伦理和政治问题。APT(Advanced Persistent Threat，高级持续性威胁)是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

DNS(Domain Name System，域名系统)是因特网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS查询从大的方向上讲，有两种查询模式：一种是正向解析，客户端给出一个域名，例如www.example.com的查询请求，服务器返回其对应的IP地址，例如1.2.3.4；相对的是rDNS，即DNS反向解析，则是将IP解析成其对应域名。

SSH为Secure Shell的缩写，由IETF的网络工作小组(Network Working Group)所制定；SSH是建立在应用层和传输层基础上的安全协议。SSH是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。通过SSH可连接到开放SSH登录的主机并获得相应权限，也成为渗透攻击的切入点之一。

目前，对APT危机所采取的措施主要是用户主动防御，即提高企业用户的信息安全意识，防患于未然；暗转网络安全预警系统。然而，网络安全预警系统是一种基于硬件的网络安全技术，能够针对局域网内的安全事件自动进行归纳总结，并根据这些数据对全忘安全进行预警。但是，对于从海量数据中分析潜伏的威胁，上述防御措施存在漏洞，并且很难对所有海量数据进行分析，可能会错过潜伏的APT攻击。

因此，本领域的技术人员致力于开发一种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测方法。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是提供一种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测方法。

为实现上述目的，本发明提供了一种基于DNS日志分析的APT攻击检测系统，其特征在于，包括DNS查询日志记录模块、日志分析模块和攻击检测模块；

所述DNS查询日志记录模块用于记录DNS查询请求，所述DNS查询日志包括查询时间、源IP地址和查询内容；

所述日志分析模块用于根据所述DNS查询日志记录模块记录的所述DNS查询日志计算源IP地址关联、时间关联和查询内容关联；

所述攻击检测模块用于根据所述日志分析模块分析的结果判断是否存在攻击以及确定攻击来源和类型。

一种基于DNS日志分析的APT攻击检测方法，其特征在于，包括：

步骤一，所述DNS查询日志记录模块采集DNS查询请求，并形成相应的DNS查询日志；

步骤二，在所述日志分析模块中，对所述DNS查询日志与SSH登录尝试信息进行模式匹配，并分析计算时间密度、覆盖范围和时间关联；

步骤三，对所述SSH登录尝试信息按照源IP地址进行分组，每一个源IP地址对应一个SSH登录尝试信息组；

步骤四，在所述攻击检测模块中，根据所述时间密度、所述覆盖范围和所述时间关联判断是否发生攻击并确定攻击类型，其中密度比体积比其中S_p为各类的请求密度，S_a为总请求密度，V_p为各类地址空间大小，V_a为总地址空间大小。

进一步地，所述步骤二中，所述DNS查询请求与所述SSH登录尝试信息之间的模式匹配包括按时间顺序读取所述DNS查询日志；并对所述DNS查询日志中的每一条DNS查询请求进行如下操作：

步骤21，判断DNS查询请求是否为反解请求：如果是，则跳转至步骤22，如果不是，则放弃DNS查询请求；

步骤22，判断DNS反解是否成功：如果DNS反解失败，则DNS查询请求是SSH尝试登录，并跳转至步骤24；如果DNS反解成功，则跳转至步骤23；如果DNS反解超出TTL时间，则丢弃DNS查询请求；