一种基于DNS日志分析的APT攻击检测系统和方法

摘要

一种基于DNS日志分析的APT攻击检测系统，包括DNS查询日志记录模块、日志分析模块和攻击检测检测模块；同时，利用该检测系统实现了APT的攻击检测：首先，通过DNS查询日志记录模块采集DNS查询请求，形成DNS查询日志；其次，日志分析模块对DNS查询日志与SSH登录尝试信息进行模式匹配，分析计算时间密度、覆盖范围和时间关联；然后，按照源IP地址对SSH登录尝试信息进行分组；最后，攻击检测模块根据日志分析模块的结果判断是否发生攻击并确定攻击类型。本发明是一种轻量级的攻击检测方式，消耗的资源远远小于分析整个网络流量所需资源，且采用日志分析的方式，不需要实时对网络进行监听，从而对网络几乎不产生影响。

说明书

技术领域

本发明涉及计算机网络安全领域的高持续攻击的检测系统和方法，尤其涉及一 种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测系统和方法。

背景技术

计算机网络已成为实现资源、信息共享的重要设施，网络的广泛运用已经 导致了新的社会、伦理和政治问题。APT(Advanced Persistent Threat，高级持续 性威胁)是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行 为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营 与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对 象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、 搜集情报的行为，就是一种“网络间谍”的行为。

DNS(Domain Name System，域名系统)是因特网的一项核心服务，它作为 可以将域名和IP地址相互映射的个分布式数据库，能够使人更便的访问互 联网,而不用去记住能够被机器直接读取的IP数串。DNS查询从大的方向上讲， 有两种查询模式：一种是正向解析，客户端给出一个域名，例如 www.example.com的查询请求，服务器返回其对应的IP地址，例如1.2.3.4；相 对的是rDNS，即DNS反向解析，则是将IP解析成其对应域名。

SSH为Secure Shell的缩写，由IETF的网络工作小组(Network Working  Group)所制定；SSH是建立在应用层和传输层基础上的安全协议。SSH是目 前较可靠、专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协 议可以有效防止远程管理过程中的信息泄露问题。通过SSH可连接到开放SSH 登陆的主机并获得相应权限，也成为渗透攻击的切入点之一。

目前，对APT危机所采取的措施主要是用户主动防御，即提高企业用户的信 息安全意识，防患于未然；暗转网络安全预警系统。然而，网络安全预警系统是一 种基于硬件的网络安全技术，能够针对局域网内的安全事件自动进行归纳总结，并 根据这些数据对全忘安全进行预警。但是，对于从海量数据中分析潜伏的威胁，上 述防御措施存在漏洞，并且很难对所有海量数据进行分析，可能会错过潜伏的APT 攻击。

因此，本领域的技术人员致力于开发一种针对SSH扫描和密码爆破的基于 DNS日志分析的APT攻击检测系统和方法。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是提供一种针对SSH 扫描和密码爆破的基于DNS日志分析的APT攻击检测系统和方法。

为实现上述目的，本发明提供了一种基于DNS日志分析的APT攻击检测系统， 其特征在于，包括DNS查询日志记录模块、日志分析模块和攻击检测检测模块；

所述DNS查询日志记录模块用于记录DNS查询请求，所述DNS查询日志包 括查询时间、源IP地址和查询内容；

所述日志分析模块用于根据所述DNS查询日志记录模块记录的所述DNS查询 日志计算源IP地址关联、时间关联和查询内容关联；

所述攻击检测模块用于根据所述日志分析模块分析的结果判断是否存在攻击 以及确定攻击来源和类型。

一种基于DNS日志分析的APT攻击检测方法，其特征在于，包括：

步骤一，所述DNS查询日志记录模块采集DNS查询请求，并形成相应的DNS 查询日志；

步骤二，在所述日志分析模块中，对所述DNS查询日志与SSH登录尝试信息 进行模式匹配，并分析计算时间密度、覆盖范围和时间关联；

步骤三，对所述SSH登录尝试信息按照源IP地址进行分组，每一个源IP地 址对应一个SSH登录尝试信息组；

步骤四，在所述攻击检测模块中，根据所述时间密度、所述覆盖范围和所述时 间关联判断是否发生攻击并确定攻击类型。

进一步地，所述步骤二中，所述DNS查询请求与所述SSH登录尝试信息之间 的模式匹配包括按时间顺序读取所述DNS查询日志；并对所述DNS查询日志中的 每一条DNS查询请求进行如下操作：

步骤21，判断DNS查询请求是否为反解请求：如果是，则跳转至步骤22，如 果不是，则放弃DNS查询请求；

步骤22，判断DNS反解是否成功：如果DNS反解失败，则DNS查询请求是 SSH尝试登陆，并跳转至步骤24；如果DNS反解成功，则跳转至步骤23；如果 DNS反解超出TTL时间，则丢弃DNS查询请求；

步骤23，对DNS查询请求继续向后搜索，并判断是否存在反解结果的正向解 析请求：如果存在，则认为DNS查询请求是SSH登录尝试，并跳转至步骤24； 如果不存在，则丢弃DNS查询请求；

步骤24，DNS反解请求中的查询内容所对应的IP地址即SSH登陆源IP地址， 发出DNS查询的IP地址即SSH登陆的目标。

进一步地，所述步骤四还包括：计算每一个源IP地址对应的SSH登录尝试信 息组的体积比和密度比，并将体积比和密度比分别与体积比阈值和密度比阈值进行 比较，以判断是否发生攻击和确定攻击类型。

进一步地，所述体积比和所述密度比按照RPCL算法计算的。

进一步地，判断是否发生攻击和确定攻击类型:

(1)当所述体积比大于体积比阈值、SSH登录源IP地址为内网IP，则判定 内网IP进行SSH扫描。

(2)当所述密度比大于密度比阈值、SSH登录源IP地址为内网IP，则判定 内网IP进行SSH暴力破解。

(3)当所述体积比大于体积比阈值、SSH登录源IP地址为外网IP，则判定 为外网IP进行SSH扫描。

(4)当所述密度比大于密度比阈值、SSH登录源IP地址为外网IP，则判定 为外网IP进行SSH暴力破解。

(5)满足(1)、(2)之一时，认为该内网主机被非法控制；满足(3)、(4) 之一时，认为受到外网攻击，有组织或个人在尝试进入内网；当某内网IP满足 (1)、(2)之一，且为SSH登录源IP，同时满足(3)、(4)之一，且为SSH 登录的目标，则认为已有组织或个人通过攻击该主机渗透进入了内网。 进一步地，所述体积比阈值为0.2，密度比阈值为2。

本发明提供了一种轻量级的攻击检测方式，相比较流量监测而言，由于分析的 数据为DNS请求，消耗的资源远远小于分析整个网络流量所需资源。并且采用日 志分析的方式，不需要实时对网络进行监听，从而对网络几乎不产生影响。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明， 以充分地了解本发明的目的、特征和效果。

附图说明

图1是本发明的一种基于DNS日志分析的APT攻击检测系统的结构示意图；

图2是本发明的日志分析模块中的DNS查询日志与SSH登录尝试信息的模式 匹配流程图；

图3是本发明的攻击检测模块中对SSH登录尝试信息组的攻击检测流程图。

具体实施方式

下面结合附图对本发明的实施例作详细说明，本实施例在以本发明技术方案前 提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不 限于下述的实施例。

本发明的一种基于DNS日志分析的APT攻击检测系统具体如图1所示，包括 DNS查询日志记录模块、日志分析模块和攻击检测模块。其中，

DNS查询日志记录模块：其是用于记录DNS的查询动作DNS以形成DNS日 志，查询动作主要包括查询时间time、源IP地址ipsrc和查询内容qname；

日志分析模块：用于将DNS的查询动作请求转换为SSH登录尝试信息，并计 算SSH登录尝试的时间密度、覆盖范围和时间关联；

攻击检测模块：用于根据日志分析模块分析计算得到SSH登录尝试的时间密 度、覆盖范围和时间关联，判断是否产生攻击并确定攻击类型。

本发明的一种基于DNS日志分析的APT攻击检测方法的流程也是如图1所 示：

步骤一，DNS查询日志记录模块采集DNS查询请求，即DNS Query，并形成 相应的DNS查询日志，即DNS log；

步骤二，在日志分析模块中，对DNS查询请求进行模式匹配，将其转换为SSH 登录尝试信息，即SSH Log，并分析计算每一个SSH登录尝试的时间密度、覆盖 范围和时间关联；

步骤三，对SSH登录尝试信息按照SSH客户端的源IP地址进行分组，每一 个源IP地址对应一组SSH登录尝试信息组，即DNS反解请求中的qname。在本 发明的一个较佳实施例中，SSH登录尝试包括源IP1、源IP2、源IP3；

步骤四，在攻击检测模块中，根据SSH登录尝试的时间密度、覆盖范围和时 间关联判断是否发生攻击并确定攻击类型。

其中，步骤二当中，将DNS查询日志中的DNS查询请求转换为SSH登录尝 试信息，是按照时间顺序读取DNS查询日志DNS Log内的查询请求，DNS查询 日志内的每一条DNS查询请求具体是按照如图2所示的流程与SSH登录尝试信息 进行匹配的：

(1)，以生存时间为限，进行DNS反解，即向后搜索查询结果；

(2)，判断DNS反解是否成功：如果DNS反解失败，则认为此条DNS查询 请求是SSH登陆尝试；如果DNS反解成功，则跳转至(3)；如果DNS反解超出 TTL时间，则丢弃此条DNS查询请求；

(3)，对此条DNS查询请求继续向后搜索，并判断是否存在反解结果的正向 解析请求：如果存在，则认为此条DNS查询请求是SSH登录尝试；如果不存在， 则丢弃此条DNS查询请求。

其中，DNS反解请求中的查询内容所对应的IP地址即SSH登陆源IP地址， 发出DNS查询的IP地址即SSH登陆的目标。

步骤四当中，对每一组SSH登录尝试信息组进行攻击判断和攻击类型确定是 按照图3所示进行的：

1，对SSH登录尝试信息组进行统计，并计算体积比和密度比：

(1)将点分制IP作为4维空间坐标，放入4维空间；

(2)采用RPCL(Rival Penalized Competitive Learning，竞争学习)算 法进行聚类，聚类标准是各点之间欧氏距离；

(3)其中S_p为各类的请求密度，S_a为总请求密度，V_p为各类地址空间大小，V_a为总地址空间大小；

(4)S_p＝C_p/V_p，C_p为该类中请求总数，V_p为该类地址空间体积；

(5)S_a＝C_a/V_a，C_a为对应请求总数，V_a为地址空间总体积。

2，将体积比和密度比分别于体积比阈值和密度比阈值进行比较，以判定是否 发生攻击并确定攻击类型：

(1)当体积比大于体积比阈值，且SSH登录源IP地址为内网IP，则判定内 网IP进行SSH扫描，并且，内网主机已被非法控制。

(2)当密度比大于密度比阈值、且SSH登录源IP地址为内网IP，则判定内 网IP进行SSH暴力破解，并且，内网主机已被非法控制。

(3)当体积比大于体积比阈值、且SSH登录源IP地址为外网IP，则判定外 网IP进行SSH扫描，并且，有组织或个人在尝试进入内网。

(4)当密度比大于密度比阈值、且SSH源登录IP地址为外网IP，则判定外 网IP进行SSH暴力破解，并且有组织或个人在尝试进入内网。

(5)当内网IP满足(1)、(2)之一，且为SSH登录源IP地址，同时满足(3)、 (4)之一，且为SSH登录的目标，则认为已有组织或个人通过攻击该主机渗透进 入了内网。

在本发明的较佳实施例中，体积比阈值为0.2，密度比阈值为2。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术无需 创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中 技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验 可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。