CN113923192A - 一种流量审计方法、装置、***、设备和介质 - Google Patents
一种流量审计方法、装置、***、设备和介质 Download PDFInfo
- Publication number
- CN113923192A CN113923192A CN202111152738.6A CN202111152738A CN113923192A CN 113923192 A CN113923192 A CN 113923192A CN 202111152738 A CN202111152738 A CN 202111152738A CN 113923192 A CN113923192 A CN 113923192A
- Authority
- CN
- China
- Prior art keywords
- service
- dns
- data center
- security
- dns log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例公开了一种流量审计方法、装置、***、设备和介质,应用于云安全平台,云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,数据中心部署有转换服务、安全感知服务和检测响应服务。目标节点的审核服务将获取的DNS流量解析为DNS日志。目标节点的连接服务将DNS日志上传至数据中心。数据中心的转换服务依据DNS日志包含的字段信息,将DNS日志转换为索引文件。索引文件可以更加直观的展示DNS日志所包含的信息,便于用户查询和调用。数据中心的安全感知服务对DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理,实现了对原始流量的智能化分析处理。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种流量审计方法、装置、***、设备和计算机可读存储介质。
背景技术
流量审计产品可以支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险,实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
目前许多客户使用流量审计产品管理自身的流量审计,审计出日志提供给客户进行参考。但是流量审计产品存在如下缺点:流量审计产品提供的DNS(Domain Name System,域名***)日志以字符串的形式呈现,不便于用户阅读和调用。流量审计产品提供的DNS日志虽然精准的记录了访问行为,但是流量审计产品无法自动分析出异常行为,也无法采取对应的处置措施。流量审计产品提供DNS日志之后,需要依赖于管理人员对DNS日志进行分析,确定出终端设备是否存在异常行为,从而针对于存在异常行为的终端设备进行处理。
可见,如何实现对原始流量的智能化分析处理,是本领域技术人员需要解决的问题。
发明内容
本申请实施例的目的是提供一种流量审计方法、装置、***、设备和计算机可读存储介质,可以实现对原始流量的智能化分析处理。
为解决上述技术问题,本申请实施例提供一种流量审计方法,应用于云安全平台,所述云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,所述数据中心部署有转换服务、安全感知服务和检测响应服务;所述方法包括:
所述目标节点的审核服务将获取的DNS流量解析为DNS日志;
所述目标节点的连接服务将所述DNS日志上传至所述数据中心;
所述数据中心的转换服务依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件;
所述数据中心的安全感知服务对所述DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理。
可选地,所述将获取的DNS流量解析为DNS日志包括:
接收DNS流量;
所述目标节点的审核服务在所述DNS流量中存在与DNS白名单记录的域名不匹配的目标DNS流量情况下,根据租户信息以及所述目标DNS流量中包含的IP地址,确定出对应的设备标识信息;按照设定的数据格式,将所述目标DNS流量及其对应的所述设备标识信息转换为DNS日志。
可选地,所述数据中心的转换服务依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件包括:
所述数据中心的转换服务将预设时间段内所述DNS日志中每个终端设备各自对应的请求信息和响应信息合成待处理文档;
所述数据中心的转换服务按照设定的索引格式,将所述待处理文档转换为索引文件;其中,所述索引格式包括租户信息、地址信息、端口信息、时间信息和设备标识信息。
可选地,所述数据中心的安全感知服务对所述DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理包括:
所述数据中心的安全感知服务利用安全感知平台对所述DNS日志进行分析,生成安全事件;基于所述安全事件对应的终端信息,生成处置记录;其中,所述处置记录中包括终端设备和处理方式;
所述数据中心的检测响应服务按照所述处置记录中包含的处理方式对相应的终端设备执行远程处理。
可选地,所述云安全平台还包括租户***;
在所述数据中心的转换服务依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件之后还包括:
所述租户***接收查询指令;依据所述查询指令中携带的标识信息,从所述索引文件中读取对应的DNS日志和/或安全事件。
本申请实施例还提供了一种流量审计装置,应用于云安全平台,所述云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,所述数据中心部署有转换服务、安全感知服务和检测响应服务;所述装置包括解析单元、发送单元、转换单元和分析单元;
所述解析单元,用于利用所述目标节点的审核服务将获取的DNS流量解析为DNS日志;
所述发送单元,用于利用所述目标节点的连接服务将所述DNS日志上传至所述数据中心;
所述转换单元,用于利用所述数据中心的转换服务依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件;
所述分析单元,用于利用所述数据中心的安全感知服务对所述DNS日志进行安全分析,以利用所述数据中心的检测响应服务对存在安全风险的终端设备执行远程处理。
可选地,所述解析单元用于利用所述目标节点的审核服务接收DNS流量;在所述DNS流量中存在与DNS白名单记录的域名不匹配的目标DNS流量情况下,根据租户信息以及所述目标DNS流量中包含的IP地址,确定出对应的设备标识信息;按照设定的数据格式,将所述目标DNS流量及其对应的所述设备标识信息转换为DNS日志。
可选地,所述转换单元用于利用所述数据中心的转换服务将预设时间段内所述DNS日志中每个终端设备各自对应的请求信息和响应信息合成待处理文档;按照设定的索引格式,将所述待处理文档转换为索引文件;其中,所述索引格式包括租户信息、地址信息、端口信息、时间信息和设备标识信息。
可选地,所述分析单元包括生成子单元和处理子单元;
所述生成子单元,用于利用安全感知平台对所述DNS日志进行分析,生成安全事件;基于所述安全事件对应的终端信息,生成处置记录;其中,所述处置记录中包括终端设备和处理方式;
所述处理子单元,用于利用所述数据中心的检测响应服务按照所述处置记录中包含的处理方式对相应的终端设备执行远程处理。
可选地,所述云安全平台还包括租户***;所述装置还包括查询单元;
所述查询单元,用于利用所述租户***接收查询指令;依据所述查询指令中携带的标识信息,从所述索引文件中读取对应的DNS日志和/或安全事件。
本申请实施例还提供了一种流量审计***,包括数据中心和至少一个节点;
所述目标节点,用于将获取的DNS流量解析为DNS日志;将所述DNS日志上传至所述数据中心;
所述数据中心,用于依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件;对所述DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理。
可选地,还包括流量分发器;
所述流量分发器,用于根据预设引流策略将DNS流量引流至目标节点。
可选地,所述预设引流策略包括基于租户信息选取与租户距离最近的节点作为目标节点。
可选地,所述流量分发器利用硬件引流方式和/或软件引流方式获取DNS流量。
本申请实施例还提供了一种流量审计设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上述流量审计方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述流量审计方法的步骤。
由上述技术方案可以看出,流量审计方案应用于云安全平台,云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,数据中心部署有转换服务、安全感知服务和检测响应服务。目标节点的审核服务将获取的DNS流量解析为DNS日志。DNS日志以数据中心可识别的数据格式呈现。目标节点的连接服务将DNS日志上传至数据中心。数据中心的转换服务依据DNS日志包含的字段信息,将DNS日志转换为索引文件。索引文件可以更加直观的展示DNS日志所包含的信息,可以便于用户查询和调用。数据中心的安全感知服务对DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理。在该技术方案中,在解析得到DNS日志之后,进一步对其进行转换从而得到便于用户查询调用的索引文件,提升了DNS日志的可视化水平。通过对DNS日志进行安全分析,可以自动识别出存在安全风险的终端设备,并且可以及时对存在安全风险的终端设备进行远程处理,提升了云安全平台的安全性。相比于传统方式中流量审计产品以字符串的形式向用户呈现DNS日志,本申请实现了对原始流量的智能化分析,通过生成索引文件,提升了DNS日志的可视化水平;通过对DNS日志进行安全分析,提升了云安全平台的安全性。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种流量审计的场景示意图;
图2为本申请实施例提供的一种流量审计方法的流程图;
图3为本申请实施例提供的一种流量审计装置的结构示意图;
图4为本申请实施例提供的一种流量审计***的结构示意图;
图5为本申请实施例提供的一种流量审计***中设备交互的示意图;
图6为本申请实施例提供的一种流量审计设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
传统方式中,采用流量审计产品对终端设备的DNS流量进行审计,从而得到DNS日志。流量审计产品提供DNS日志之后,需要依赖于管理人员对DNS日志进行分析,从而识别各终端设备是否存在安全风险。由于DNS日志以字符串的形式呈现,不便于用户阅读和调用,分析过程对人员的专业性要求较高,并且分析的时效性较差。
故此,本申请实施例提供了一种流量审计方法、装置、***、设备和计算机可读存储介质。在本申请实施例中,可以在搭建的云安全平台中部署不同的服务分别对DNS流量进行相应的处理,从而对存在安全风险的终端设备及时进行处理,并且可以得到便于用户阅读和调用的索引文件。
图1为本申请实施例提供的一种流量审计的场景示意图,图1的云安全平台包括数据中心和至少一个节点。每个节点均部署有审核服务和连接服务。其中,审核服务可以对获取的DNS流量进行解析,从而得到DNS日志。连接服务用于实现节点与数据中心之间的交互,节点通过连接服务可以将DNS日志上传至数据中心。图1中是以向数据中心上传DNS日志的目标节点为例。
云安全平台是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。节点上部署的连接服务可以基于云安全平台设置,通过连接服务实现节点与数据中心的交互。
数据中心部署有转换服务、安全感知服务和检测响应服务。转换服务可以依据DNS日志包含的字段信息,将DNS日志转换为索引文件。安全感知服务用于对DNS日志进行安全分析。检测响应服务可以对存在安全风险的终端设备执行远程处理。图1中是由安全感知服务对DNS日志进行安全分析,产生的安全事件,基于该安全事件生成处置记录,从而触发检测响应服务对存在安全风险的终端设备执行远程处理。除此之外,在本申请实施例中,也可以将转换服务充当数据中心的中央处理器,安全感知服务对DNS日志进行安全分析,可以产生安全事件,此时转换服务可以获取安全感知服务产生的安全事件,基于该安全事件生成处置记录,从而触发检测响应服务对存在安全风险的终端设备执行远程处理。
安全感知服务可以将日志与规则库以及分析引擎做相关的对比,从而识别安全事件,安全事件指的是存在安全风险的事件。传统方式中,检测响应服务部署在终端设备,用于在终端设备存在安全风险时进行安全处理,在本申请实施例中,将检测响应服务部署在云安全平台的数据中心,可以远程实现对终端设备的安全处理。
在实际应用中,目标节点上的部署的审计服务可以将获取的DNS流量解析为DNS日志;DNS日志以***可识别的数据格式呈现。目标节点通过连接服务可以将DNS日志上传至数据中心。数据中心可以依据DNS日志包含的字段信息,将DNS日志转换为索引文件;索引文件可以更加直观的展示DNS日志所包含的信息,可以便于用户查询和调用。在实际应用中,可以将索引文件存储在数据中心的数据库中。
为了提升云安全平台的智能化管理水平,实现对安全事件的及时处理,云安全平台的数据中心可以利用安全感知服务对DNS日志进行安全分析,当安全感知服务分析出存在安全事件之后,可以将安全事件存储在安全感知服务的数据库中。数据中心可以通过转换服务从安全感知服务的数据库中获取安全事件,进一步对安全事件进行分析,生成处置记录。处置记录中可以包括终端设备和处理方式。数据中心通过对安全事件进行分析,可以确定出该安全事件发生在哪个或哪些终端设备,从而调用检测响应服务对存在安全风险的终端设备执行远程处理。
在该技术方案中,在目标节点解析得到DNS日志之后,数据中心进一步对其进行转换从而得到便于用户查询调用的索引文件,提升了DNS日志的可视化水平。通过利用安全感知服务对DNS日志进行安全分析,可以自动识别出存在安全风险的终端设备,数据中心利用检测响应服务可以及时对存在安全风险的终端设备进行远程处理,提升了云安全平台的安全性。相比于传统方式中流量审计产品以字符串的形式向用户呈现DNS日志,本申请实现了对原始流量的智能化分析处理,通过生成索引文件,提升了DNS日志的可视化水平;通过对DNS日志进行安全分析,提升了云安全平台的安全性。
接下来,详细介绍本申请实施例所提供的一种流量审计方法。图2为本申请实施例提供的一种流量审计方法的流程图,应用于云安全平台,云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,数据中心部署有转换服务、安全感知服务和检测响应服务;该方法包括:
S201:目标节点的审核服务将获取的DNS流量解析为DNS日志。
云安全平台往往包含较多的节点,在具体实现中,可以基于租户信息确定选取哪个节点或哪些节点执行将获取的DNS流量解析为DNS日志的操作。节点的部署位置不同,本申请实施例中,云安全平台包含的节点可以部署在不同的城市。基于租户信息可以确定出租户属于哪个城市,从而选取与租户距离最近的节点作为目标节点。
在本申请实施例中,在目标节点上部署有审核服务和连接服务,这些服务既可以承载在目标节点的虚拟机或容器上,也可以承载在节点的底层架构,对于目标节点上审核服务和连接服务的具体承载方式不做限定。
在实际应用中,可以预先设定DNS日志的数据格式。例如,可以按照源地址、目的地址、源端口、目的端口、时间等顺序记录每组DNS流量中包含的信息,从而得到DNS日志。
考虑到实际应用中,存在安全风险的DNS流量中包含的域名往往比较独特,因此在本申请实施例中,可以基于域名对DNS流量进行初步的筛选。
在获取DNS流量之后,可以判断DNS流量中是否存在与DNS白名单记录的域名不匹配的目标DNS流量。
DNS白名单中记录的是较为常规的域名,即终端设备常访问的安全域名。当DNS流量中包含的域名与DNS白名单记录的域名匹配时,说明DNS流量不存在访问异常,此时无需对该DNS流量进行处理。
在DNS流量中存在与DNS白名单记录的域名不匹配的目标DNS流量情况下,说明目标DNS流量存在访问异常,此时可以根据租户信息以及目标DNS流量中包含的IP地址,确定出对应的设备标识信息。
云安全平台上存储管理有租户信息。相同租户信息下可能对应有多个终端设备。IP地址包含有源IP地址和目的IP地址,在本申请实施例中,设备标识信息可以以源IP地址为依据。设备标识信息可以用于唯一标识终端设备。在具体实现中,可以按照设定的规则对租户信息和源IP地址进行处理,生成设备标识信息。
规则可以由云安全平台的管理人员设定,在此不做限定,例如,规则可以为哈希运算,即对租户信息和源IP地址进行哈希运算,从而生成设备标识信息。
云安全平台管理的终端设备数量往往较多,每个终端设备有其对应的DNS流量,目标节点的审核服务可以对获取的DNS流量进行解析,依据DNS流量中包含的IP地址(Internet Protocol Address,互联网协议地址)、MAC地址(Media Access ControlAddress,媒体存取控制位址)、设备标识信息等可以将同一终端设备与同一目标设备交互的DNS流量划分为一组数据。按照设定的数据格式,可以将每个终端设备的目标DNS流量转换为目标DNS日志。
在实际应用中,流量分发器通过引流的方式获取DNS流量,并将DNS流量传输至目标节点。引流方式可以包括硬件引流方式和软件引流方式。
硬件引流方式是在终端设备的流量出口部署硬件引流设备。通过硬件引流获取终端设备的DNS流量。硬件引流需要依赖于引流设备实现,引流设备可以捕获终端设备的DNS流量,经由流量分发器DP传输至目标节点。
软件引流方式是在终端设备上安装引流软件。通过在终端设备部署虚拟的IP认证即可实现软件引流。流量分发器通过软件引流获取终端设备的DNS流量,并将DNS流量传输至目标节点,以便于目标节点对DNS流量进行解析,得到DNS日志。
在本申请实施例中,对于获取DNS流量的方式不做限定,既可以通过硬件引流,也可以通过软件引流,或者是两者相结合。
S202:目标节点的连接服务将DNS日志上传至数据中心。
在本申请实施例中,可以在目标节点上部署可以实现与数据中心交互的连接服务,目标节点通过连接服务可以将DNS日志上传至数据中心。
S203:数据中心的转换服务依据DNS日志包含的字段信息,将DNS日志转换为索引文件。
字段信息可以包括地址信息、端口信息、时间信息、日志类型等。其中,日志类型可以包括请求和响应两种类型。
在本申请实施例中,为了提升DNS日志的可视化水平,以便于用户阅读和调用,可以利用转换服务将DNS日志转换为索引文件。
在具体实现中,部署在数据中心的转换服务可以将预设时间段内DNS日志中每个终端设备各自对应的请求信息和响应信息合成待处理文档;按照设定的索引格式,将待处理文档转换为索引文件;其中,索引格式可以包括租户信息、地址信息、端口信息、时间信息和设备标识信息。
预设时间段的取值可以根据实际需求设定,在此不做限定。通过设备预设时间段,可以有效的控制待处理文档的数据量,有效的避免长时间数据累计造成待处理文档数据量较大,不便于后续分析调用的情况发生。
设备标识信息可以是基于租户信息和源IP地址得到。
索引格式指的是对哪些信息设置索引。索引格式可以基于实际需求设定,为了便于DNS日志的阅读和调用,可以按照租户信息、地址信息、端口信息、时间信息和设备标识信息的排列顺序,对DNS日志这些信息依次设置索引。
在实际应用中,转换服务可以由Flink组件实现,Flink组件可以将DNS日志解析生成elasticsearch文档,并***对应的索引,从而得到索引文件,以供用户通过云安全平台的可视化界面进行查询。
S204:数据中心的安全感知服务对DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理。
在本申请实施例中,可以利用安全感知平台对DNS日志进行分析,生成安全事件。安全事件用于指示DNS日志存在异常行为,即云安全平台下的终端设备存在安全风险。
但是具体是哪台或哪些终端设备存在问题,还需要数据中心进一步分析。数据中心可以对安全事件进行分析,确定出安全事件对应的终端信息。数据中心对安全事件的分析方式属于现有较为成熟的技术,在此不做赘述。
数据中心基于安全事件对应的终端信息,可以生成处置记录;其中,处置记录中包括终端设备和处理方式。
在本申请实施例中,检测响应服务可以由检测响应服务实现。检测响应服务可以按照处置记录中包含的处理方式对相应的终端设备执行远程处理。
不同类型的安全事件对应的处理方式有所不同,处理方式可以包括对终端设备进行杀毒,隔离终端设备出现问题的文件等。
由上述技术方案可以看出,流量审计方法应用于云安全平台,云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,数据中心部署有转换服务、安全感知服务和检测响应服务。目标节点的审核服务将获取的DNS流量解析为DNS日志。DNS日志以数据中心可识别的数据格式呈现。目标节点的连接服务将DNS日志上传至数据中心。数据中心的转换服务依据DNS日志包含的字段信息,将DNS日志转换为索引文件。索引文件可以更加直观的展示DNS日志所包含的信息,可以便于用户查询和调用。数据中心的安全感知服务对DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理。在该技术方案中,在解析得到DNS日志之后,进一步对其进行转换从而得到便于用户查询调用的索引文件,提升了DNS日志的可视化水平。通过对DNS日志进行安全分析,可以自动识别出存在安全风险的终端设备,并且可以及时对存在安全风险的终端设备进行远程处理,提升了云安全平台的安全性。相比于传统方式中流量审计产品以字符串的形式向用户呈现DNS日志,本申请实现了对原始流量的智能化分析,通过生成索引文件,提升了DNS日志的可视化水平;通过对DNS日志进行安全分析,提升了云安全平台的安全性。
考虑到实际应用中,DNS日志的数据量较大,为了保证DNS日志的有序处理,在按照设定的数据格式,将目标DNS流量及其对应的资产信息转换为DNS日志之后,数据中心可以按照消息队列要求的数据格式,将DNS日志进行格式转换,并将格式转换后的DNS日志存储至消息队列中。
消息队列的类型可以有多种,在实际应用中消息队列可以采用kafka。
不同类型的消息队列其对应的数据格式有所不同,因此在实际应用中,需要将DNS日志转换为消息队列要求的数据格式。
通过消息队列存储DNS日志,保证了DNS日志的有序性,从而便于后续对DNS日志的有序处理。
在本申请实施例中,数据中心的转换服务在依据DNS日志包含的字段信息,将DNS日志转换为索引文件之后,可以将索引文件存储至转换服务的数据库。
云安全平台还可以包括租户***,租户***可以提供可视化界面,管理人员可以通过可视化界面查询和调用所需的DNS日志和/或安全事件。
在具体实现中,当管理人员需要查询数据时,可以在可视化界面上输入查询指令。相应的,租户***接收查询指令;可以依据查询指令中携带的标识信息,从索引文件中读取对应的DNS日志和/或安全事件。
其中,标识信息可以为地址信息、租户信息和/或时间信息。
地址信息可以包括IP地址和/或MAC地址。其中,IP地址可以为源IP地址,也可以为目的IP地址;MAC地址可以为源MAC地址,也可以为目的MAC地址。
通过将DNS日志转换为索引文件,可以实现所需数据的快速查询,极大的提升了DNS日志的查询效率。
图3为本申请实施例提供的一种流量审计装置的结构示意图,应用于云安全平台,云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,数据中心部署有转换服务、安全感知服务和检测响应服务;装置包括解析单元31、发送单元32、转换单元33和分析单元34;
解析单元31,用于利用目标节点的审核服务将获取的DNS流量解析为DNS日志;
发送单元32,用于利用目标节点的连接服务将DNS日志上传至数据中心;
转换单元33,用于利用数据中心的转换服务依据DNS日志包含的字段信息,将DNS日志转换为索引文件;
分析单元34,用于利用数据中心的安全感知服务对DNS日志进行安全分析,以利用数据中心的检测响应服务对存在安全风险的终端设备执行远程处理。
可选地,解析单元用于利用目标节点的审核服务接收DNS流量;在DNS流量中存在与DNS白名单记录的域名不匹配的目标DNS流量情况下,根据租户信息以及目标DNS流量中包含的IP地址,确定出对应的设备标识信息;按照设定的数据格式,将目标DNS流量及其对应的设备标识信息转换为DNS日志。
可选地,转换单元用于利用数据中心的转换服务将预设时间段内DNS日志中每个终端设备各自对应的请求信息和响应信息合成待处理文档;按照设定的索引格式,将待处理文档转换为索引文件;其中,索引格式包括租户信息、地址信息、端口信息、时间信息和设备标识信息。
可选地,分析单元包括生成子单元和处理子单元;
生成子单元,用于利用安全感知平台对DNS日志进行分析,生成安全事件;基于安全事件对应的终端信息,生成处置记录;其中,处置记录中包括终端设备和处理方式;
处理子单元,用于利用数据中心的检测响应服务按照处置记录中包含的处理方式对相应的终端设备执行远程处理。
可选地,云安全平台还包括租户***;装置还包括查询单元;
查询单元,用于利用租户***接收查询指令;依据查询指令中携带的标识信息,从索引文件中读取对应的DNS日志和/或安全事件。
图3所对应实施例中特征的说明可以参见图2所对应实施例的相关说明,这里不再一一赘述。
由上述技术方案可以看出,流量审计装置应用于云安全平台,云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,数据中心部署有转换服务、安全感知服务和检测响应服务。目标节点的审核服务将获取的DNS流量解析为DNS日志。DNS日志以数据中心可识别的数据格式呈现。目标节点的连接服务将DNS日志上传至数据中心。数据中心的转换服务依据DNS日志包含的字段信息,将DNS日志转换为索引文件。索引文件可以更加直观的展示DNS日志所包含的信息,可以便于用户查询和调用。数据中心的安全感知服务对DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理。在该技术方案中,在解析得到DNS日志之后,进一步对其进行转换从而得到便于用户查询调用的索引文件,提升了DNS日志的可视化水平。通过对DNS日志进行安全分析,可以自动识别出存在安全风险的终端设备,并且可以及时对存在安全风险的终端设备进行远程处理,提升了云安全平台的安全性。相比于传统方式中流量审计产品以字符串的形式向用户呈现DNS日志,本申请实现了对原始流量的智能化分析,通过生成索引文件,提升了DNS日志的可视化水平;通过对DNS日志进行安全分析,提升了云安全平台的安全性。
图4为本申请实施例提供的一种流量审计***的结构示意图,包括数据中心41和至少一个节点42;
目标节点42,用于将获取的DNS流量解析为DNS日志;将DNS日志上传至数据中心41;
数据中心41,用于依据DNS日志包含的字段信息,将DNS日志转换为索引文件;对DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理。
可选地,还包括流量分发器;
流量分发器,用于根据预设引流策略将DNS流量引流至目标节点。
可选地,预设引流策略包括基于租户信息选取与租户距离最近的节点作为目标节点。
可选地,流量分发器获取DNS流量包括:
流量分发器利用硬件引流方式和/或软件引流方式将DNS流量引流至目标节点。
图5为本申请实施例提供的一种流量审计***中设备交互的示意图,流量审计***包括有至少一个节点、数据中心和租户***。在实际应用中,根据数据中心所需实现的功能,可以将数据中心划分为三部分服务,分别为转换服务、安全感知服务和检测响应服务。在实际应用中,在云安全平台下可以利用安全感知服务分析平台提供安全感知服务,利用Flink组件提供转换服务。图5中转换服务、安全感知服务和检测响应服务构成了云安全平台的数据中心。图5中是以转换服务基于安全事件和资产信息生成处置记录为例。
为了实现云安全平台与租户的交互,云安全平台可以通过租户***,提供可视化界面,以便于租户通过租户***实现与云安全平台的交互。在初始状态下,管理人员可通过租户***提供的可视化界面,配置转换服务与检测响应服务进行对接,用于向检测响应服务下发指令,使得检测响应服务对终端设备进行远程控制。管理人员可以配置检测响应服务与转换服务对接,检测响应服务可以将终端设备的资产信息传输至转换服务。资产信息可以包括终端设备的设备编号、IP地址等信息。
流量分发器可以将获取的DNS流量传输至部署有审计服务的目标节点。获取DNS流量的方式可以包括硬件引流和软件引流。图5中是以两台终端设备采用不同的引流方式获取DNS流量为例,在实际应用中,对于一台终端设备也可以同时采用硬件引流和软件引流。目标节点的审计服务获取到DNS流量之后,可以对DNS流量进行解析,以将DNS流量按照数据中心存储数据的格式要求转换为DNS日志。连接服务可以将DNS日志上传至数据中心的kafka进行存储,方便数据中心后续对DNS日志的调用。
在本申请实施例中,数据中心可以通过nta_genlog进程定时获取kafka中存储的DNS日志,数据中心的安全感知服务可以对DNS日志进行分析,生成安全事件。数据中心的转换服务可以结合检测响应服务的资产信息,对安全事件进一步分析,生成处置记录;其中,处置记录中可以包括终端设备和处理方式。检测响应服务可以根据处置记录对相应的终端设备进行远程处理,降低安全事件对终端设备造成的影响。
在本申请实施例中,目标节点将获取的DNS流量解析为DNS日志;DNS日志以***可识别的数据格式呈现。数据中心的转换服务依据DNS日志包含的字段信息,可以将DNS日志转换为索引文件;索引文件可以更加直观的展示DNS日志所包含的信息,可以便于用户查询和调用。数据中心部署的安全感知服务可以对DNS日志进行安全分析,以便于数据中心触发检测响应服务对存在安全风险的终端设备执行远程处理。在该技术方案中,在目标节点解析得到DNS日志之后,数据中心进一步对其进行转换从而得到便于用户查询调用的索引文件,提升了DNS日志的可视化水平。安全感知服务可以对DNS日志进行安全分析,数据中心基于安全事件和资产信息,可以自动识别出存在安全风险的终端设备,可以及时触发检测响应服务对存在安全风险的终端设备进行远程处理,提升了云安全平台的安全性。相比于传统方式中流量审计产品以字符串的形式向用户呈现DNS日志,本申请实现了对原始流量的智能化分析,通过生成索引文件,提升了DNS日志的可视化水平;通过对DNS日志进行安全分析,提升了云安全平台的安全性。
图6为本申请实施例提供的一种流量审计设备的结构图,如图6所示,流量审计设备包括:存储器20,用于存储计算机程序;
处理器21,用于执行计算机程序时实现如上述实施例流量审计方法的步骤。
本实施例提供的流量审计设备可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器21还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器20可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器20至少用于存储以下计算机程序201,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例公开的流量审计方法的相关步骤。另外,存储器20所存储的资源还可以包括操作***202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作***202可以包括Windows、Unix、Linux等。数据203可以包括但不限于DNS日志、索引文件等。
在一些实施例中,流量审计设备还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
本领域技术人员可以理解,图6中示出的结构并不构成对流量审计设备的限定,可以包括比图示更多或更少的组件。
可以理解的是,如果上述实施例中的流量审计方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、磁碟或者光盘等各种可以存储程序代码的介质。
基于此,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述流量审计方法的步骤。
本发明实施例所述计算机可读存储介质的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
以上对本申请实施例所提供的一种流量审计方法、装置、***、设备和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上对本申请所提供的一种流量审计方法、装置、***、设备和计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (12)
1.一种流量审计方法,其特征在于,应用于云安全平台,所述云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,所述数据中心部署有转换服务、安全感知服务和检测响应服务;所述方法包括:
所述目标节点的审核服务将获取的DNS流量解析为DNS日志;
所述目标节点的连接服务将所述DNS日志上传至所述数据中心;
所述数据中心的转换服务依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件;
所述数据中心的安全感知服务对所述DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理。
2.根据权利要求1所述的流量审计方法,其特征在于,所述将获取的DNS流量解析为DNS日志包括:
接收DNS流量;
所述目标节点的审核服务在所述DNS流量中存在与DNS白名单记录的域名不匹配的目标DNS流量情况下,根据租户信息以及所述目标DNS流量中包含的IP地址,确定出对应的设备标识信息;按照设定的数据格式,将所述目标DNS流量及其对应的所述设备标识信息转换为DNS日志。
3.根据权利要求1所述的流量审计方法,其特征在于,所述数据中心的转换服务依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件包括:
所述数据中心的转换服务将预设时间段内所述DNS日志中每个终端设备各自对应的请求信息和响应信息合成待处理文档;
所述数据中心的转换服务按照设定的索引格式,将所述待处理文档转换为索引文件;其中,所述索引格式包括租户信息、地址信息、端口信息、时间信息和设备标识信息。
4.根据权利要求1所述的流量审计方法,其特征在于,所述数据中心的安全感知服务对所述DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理包括:
所述数据中心的安全感知服务利用安全感知平台对所述DNS日志进行分析,生成安全事件;基于所述安全事件对应的终端信息,生成处置记录;其中,所述处置记录中包括终端设备和处理方式;
所述数据中心的检测响应服务按照所述处置记录中包含的处理方式对相应的终端设备执行远程处理。
5.根据权利要求1至4任意一项所述的流量审计方法,其特征在于,所述云安全平台还包括租户***;
在所述数据中心的转换服务依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件之后还包括:
所述租户***接收查询指令;依据所述查询指令中携带的标识信息,从所述索引文件中读取对应的DNS日志和/或安全事件。
6.一种流量审计装置,其特征在于,应用于云安全平台,所述云安全平台包括数据中心和至少一个节点,每个节点上部署有审核服务和连接服务,所述数据中心部署有转换服务、安全感知服务和检测响应服务;所述装置包括解析单元、发送单元、转换单元和分析单元;
所述解析单元,用于利用所述目标节点的审核服务将获取的DNS流量解析为DNS日志;
所述发送单元,用于利用所述目标节点的连接服务将所述DNS日志上传至所述数据中心;
所述转换单元,用于利用所述数据中心的转换服务依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件;
所述分析单元,用于利用所述数据中心的安全感知服务对所述DNS日志进行安全分析,以利用所述数据中心的检测响应服务对存在安全风险的终端设备执行远程处理。
7.一种流量审计***,其特征在于,包括数据中心和至少一个节点;
所述目标节点,用于将获取的DNS流量解析为DNS日志;将所述DNS日志上传至所述数据中心;
所述数据中心,用于依据所述DNS日志包含的字段信息,将所述DNS日志转换为索引文件;对所述DNS日志进行安全分析,以触发检测响应服务对存在安全风险的终端设备执行远程处理。
8.根据权利要求7所述的流量审计***,其特征在于,还包括流量分发器;
所述流量分发器,用于根据预设引流策略将DNS流量引流至目标节点。
9.根据权利要求7所述的流量审计***,其特征在于,所述预设引流策略包括基于租户信息选取与租户距离最近的节点作为目标节点。
10.根据权利要求9所述的流量审计***,其特征在于,所述流量分发器利用硬件引流方式和/或软件引流方式获取DNS流量。
11.一种流量审计设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至5任意一项所述流量审计方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任意一项所述流量审计方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111152738.6A CN113923192A (zh) | 2021-09-29 | 2021-09-29 | 一种流量审计方法、装置、***、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111152738.6A CN113923192A (zh) | 2021-09-29 | 2021-09-29 | 一种流量审计方法、装置、***、设备和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113923192A true CN113923192A (zh) | 2022-01-11 |
Family
ID=79237147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111152738.6A Pending CN113923192A (zh) | 2021-09-29 | 2021-09-29 | 一种流量审计方法、装置、***、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113923192A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114567678A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种云安全服务的资源调用方法、装置及电子设备 |
| CN114826758A (zh) * | 2022-05-11 | 2022-07-29 | 绿盟科技集团股份有限公司 | 一种针对域名解析***dns的安全分析方法及装置 |
| CN115001761A (zh) * | 2022-05-20 | 2022-09-02 | 裴志宏 | 基于dns解析的实时感知计算机被黑客远程控制的监测方法 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130014253A1 (en) * | 2011-07-06 | 2013-01-10 | Vivian Neou | Network Protection Service |
| US20150127670A1 (en) * | 2013-11-01 | 2015-05-07 | Salesforce.Com, Inc. | Methods and systems for processing a log file |
| CN108763957A (zh) * | 2018-05-29 | 2018-11-06 | 电子科技大学 | 一种数据库的安全审计***、方法及服务器 |
| CN109033813A (zh) * | 2018-07-09 | 2018-12-18 | 携程旅游信息技术(上海)有限公司 | Linux操作日志的审计***和方法 |
| CN109729147A (zh) * | 2018-11-28 | 2019-05-07 | 国云科技股份有限公司 | 一种云环境下支持多租户的审计***及实现方法 |
| US20200007585A1 (en) * | 2018-02-06 | 2020-01-02 | Akamai Technologies, Inc. | Secure request authentication for a threat protection service |
| CN112148698A (zh) * | 2020-09-10 | 2020-12-29 | 深圳供电局有限公司 | 一种大数据平台的日志审计方法及*** |
| CN112291232A (zh) * | 2020-10-27 | 2021-01-29 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
| CN112738221A (zh) * | 2020-12-28 | 2021-04-30 | 中国建设银行股份有限公司 | 对象存储流量的审计方法及装置 |
| CN112738040A (zh) * | 2020-12-18 | 2021-04-30 | 国家计算机网络与信息安全管理中心 | 一种基于dns日志的网络安全威胁检测方法、***及装置 |
| CN113032710A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种综合审计监管*** |
| US11089047B1 (en) * | 2020-05-12 | 2021-08-10 | Zscaler, Inc. | Systems and methods for monitoring and displaying security posture and risk |
| CN113269531A (zh) * | 2021-06-04 | 2021-08-17 | 深圳墨门善守科技有限公司 | 基于云-端架构的多租户上网行为审计管控方法及相关设备 |
-
2021
- 2021-09-29 CN CN202111152738.6A patent/CN113923192A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130014253A1 (en) * | 2011-07-06 | 2013-01-10 | Vivian Neou | Network Protection Service |
| US20150127670A1 (en) * | 2013-11-01 | 2015-05-07 | Salesforce.Com, Inc. | Methods and systems for processing a log file |
| US20200007585A1 (en) * | 2018-02-06 | 2020-01-02 | Akamai Technologies, Inc. | Secure request authentication for a threat protection service |
| CN108763957A (zh) * | 2018-05-29 | 2018-11-06 | 电子科技大学 | 一种数据库的安全审计***、方法及服务器 |
| CN109033813A (zh) * | 2018-07-09 | 2018-12-18 | 携程旅游信息技术(上海)有限公司 | Linux操作日志的审计***和方法 |
| CN109729147A (zh) * | 2018-11-28 | 2019-05-07 | 国云科技股份有限公司 | 一种云环境下支持多租户的审计***及实现方法 |
| US11089047B1 (en) * | 2020-05-12 | 2021-08-10 | Zscaler, Inc. | Systems and methods for monitoring and displaying security posture and risk |
| CN112148698A (zh) * | 2020-09-10 | 2020-12-29 | 深圳供电局有限公司 | 一种大数据平台的日志审计方法及*** |
| CN112291232A (zh) * | 2020-10-27 | 2021-01-29 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
| CN112738040A (zh) * | 2020-12-18 | 2021-04-30 | 国家计算机网络与信息安全管理中心 | 一种基于dns日志的网络安全威胁检测方法、***及装置 |
| CN112738221A (zh) * | 2020-12-28 | 2021-04-30 | 中国建设银行股份有限公司 | 对象存储流量的审计方法及装置 |
| CN113032710A (zh) * | 2021-04-13 | 2021-06-25 | 上海汉邦京泰数码技术有限公司 | 一种综合审计监管*** |
| CN113269531A (zh) * | 2021-06-04 | 2021-08-17 | 深圳墨门善守科技有限公司 | 基于云-端架构的多租户上网行为审计管控方法及相关设备 |
Non-Patent Citations (1)
| Title |
|---|
| 周昕毅: "Linux集群运维平台用户权限管理及日志审计***实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114567678A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种云安全服务的资源调用方法、装置及电子设备 |
| CN114826758A (zh) * | 2022-05-11 | 2022-07-29 | 绿盟科技集团股份有限公司 | 一种针对域名解析***dns的安全分析方法及装置 |
| CN114826758B (zh) * | 2022-05-11 | 2023-05-16 | 绿盟科技集团股份有限公司 | 一种针对域名解析***dns的安全分析方法及装置 |
| CN115001761A (zh) * | 2022-05-20 | 2022-09-02 | 裴志宏 | 基于dns解析的实时感知计算机被黑客远程控制的监测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113923192A (zh) | 一种流量审计方法、装置、***、设备和介质 | |
| JP6559694B2 (ja) | 自動sdk受容 | |
| CN106713332B (zh) | 网络数据的处理方法、装置和*** | |
| EP3646549B1 (en) | Firewall configuration manager | |
| CN111752799A (zh) | 一种业务链路跟踪方法、装置、设备及储存介质 | |
| CN108964968A (zh) | 一种容器云环境下的服务接入管理方法和*** | |
| CN109669795A (zh) | 崩溃信息处理方法及装置 | |
| CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
| US11297105B2 (en) | Dynamically determining a trust level of an end-to-end link | |
| WO2023109524A1 (zh) | 信息泄露监测方法及***、电子设备 | |
| CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
| US11038803B2 (en) | Correlating network level and application level traffic | |
| CN114338600A (zh) | 一种设备指纹的推选方法、装置、电子设备和介质 | |
| CN110362993A (zh) | 恶意进程识别方法、终端、服务器、***及存储介质 | |
| CN115712646A (zh) | 一种告警策略生成方法、装置和存储介质 | |
| CN112822204A (zh) | 一种nat的检测方法、装置、设备及介质 | |
| US11233703B2 (en) | Extending encrypted traffic analytics with traffic flow data | |
| CN111585830A (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
| CN115208689A (zh) | 基于零信任的访问控制方法、装置及设备 | |
| CN111385293B (zh) | 一种网络风险检测方法和装置 | |
| US20210336863A1 (en) | A method and device for monitoring host computers | |
| WO2019220480A1 (ja) | 監視装置、監視方法及びプログラム | |
| CN112769599B (zh) | 一种资源自动接入方法、***及可读存储介质 | |
| CN114679290B (zh) | 一种网络安全管理方法及电子设备 | |
| CN115827426A (zh) | 一种测试数据构造方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |