CN115001761A - 基于dns解析的实时感知计算机被黑客远程控制的监测方法 - Google Patents
基于dns解析的实时感知计算机被黑客远程控制的监测方法 Download PDFInfo
- Publication number
- CN115001761A CN115001761A CN202210552538.8A CN202210552538A CN115001761A CN 115001761 A CN115001761 A CN 115001761A CN 202210552538 A CN202210552538 A CN 202210552538A CN 115001761 A CN115001761 A CN 115001761A
- Authority
- CN
- China
- Prior art keywords
- dns
- log
- command
- frequency command
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000012544 monitoring process Methods 0.000 title claims abstract description 29
- 230000008447 perception Effects 0.000 title claims description 7
- 230000000007 visual effect Effects 0.000 claims abstract description 35
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012806 monitoring device Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 8
- 230000001360 synchronised effect Effects 0.000 claims description 7
- 238000005096 rolling process Methods 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 2
- 238000012913 prioritisation Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000008140 language development Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提出了一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法,其中,该方法包括:获取操作***的高频命令,并建立DNS解析服务器,其中,高频命令为黑客远程控制计算机后高频执行的操作***原生命令;对高频命令***暗桩,在执行***暗桩的高频命令时,发送DNS解析请求至DNS解析服务器;通过DNS解析服务器响应解析请求,并且生成DNS解析日志;将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志。本申请通过脚本批量化部署,可以在短时间内实现低成本大规模的部署,实时感知黑客对计算机的远程控制行为。
Description
技术领域
本申请涉及网络安全监测发现技术领域,尤其涉及基于DNS解析的实时感知计算机被黑客远程控制的监测方法和装置。
背景技术
网络安全的本质是攻防对抗。黑客攻击涵盖了漏洞利用、社工钓鱼、供应链攻击等多种手法,虽然黑客攻击手法多样,但最终都着眼于对目标计算机的远控以实现敏感数据窃取和纵深打击。对于防守方人员来说需要及时发现黑客对计算机的远控行为,一方面阻止黑客对计算机上数据的窃取,另一方面阻止黑客以此计算机为跳板继续攻击其它计算机以扩大攻击战果。随着攻防对抗愈演愈烈,黑客采取了多种手法来规避防守方的监测手段,因此需要新的思路来改变当前传统、被动且滞后的防守态势。
目前防守方对计算机被黑客远程控制的监控,采取的主流技术包括基于网络流量的分析与基于计算机安全客户端的检测(EDR)。前者需要在网络中部署大量的流量采集探针,后者需要在每台计算机上安装安全客户端,同时上述两种方法都需要大量安全规则做支撑才能从海量数据中发现黑客的远控行为。
目前这些主流监测技术的局限性在于:对于流量探针,部署少了存在监控盲区,部署多了安全成本巨大,此外流量需要存储,安全成本巨大。对于计算机安全终端,同样存在部署广度的问题,同时存在操作***适配性和业务兼容性问题。此外两者都还存安全规则的设置问题,一旦黑客攻击能绕过现有规则就无从发现。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法,解决了现有方法存在安全策略和规则配置方面的技术问题,同时还解决了现有方法对于监测点位有数量要求以及操作***兼容性的技术问题,利用操作***的原生命令,能够通过脚本批量化部署,不存在***兼容性问题,可以在短时间内实现低成本大规模的部署,从而实时感知黑客对计算机的远程控制行为。
本申请的第二个目的在于提出一种基于DNS解析的实时感知计算机被黑客远程控制的监测装置。
本申请的第三个目的在于提出一种计算机设备。
本申请的第四个目的在于提出一种非临时性计算机可读存储介质。
为达上述目的,本申请第一方面实施例提出了一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法,包括:获取操作***的高频命令,并建立DNS解析服务器,其中,高频命令为黑客远程控制计算机后高频执行的操作***原生命令;对高频命令***暗桩,在执行***暗桩的高频命令时,发送DNS解析请求至DNS解析服务器;通过DNS解析服务器响应解析请求,并且生成DNS解析日志;将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志。
可选地,在本申请的一个实施例中,对高频命令***暗桩,包括:
使用别名技术对高频命令***暗桩,和/或
使用程序同步调用与路径优先技术对高频命令***暗桩。
可选地,在本申请的一个实施例中,使用别名技术对高频命令***暗桩,包括:
通过配置alias命令或使用注册表与自定义批处理文件,对高频命令***暗桩。
可选地,在本申请的一个实施例中,通过配置alias命令或使用注册表与自定义批处理文件,对高频命令***暗桩,包括:
利用“&&”符号执行高频命令和触发DNS解析请求的命令;
对触发DNS解析请求的命令进行重定向处理,以使定向处理后的DNS解析请求不返回执行结果。
可选地,在本申请的一个实施例中,使用程序同步调用与路径优先技术对高频命令***暗桩,包括:
通过程序同时调用高频命令和触发DNS解析请求的命令,并控制程序仅获取高频命令的执行结果;
利用操作***的路径优先原则,在PATH环境变量中设置***暗桩的程序处于高优先级。
可选地,在本申请的一个实施例中,执行***暗桩的高频命令包括执行高频命令和执行触发DNS解析请求的命令,在执行***暗桩的高频命令时,发送DNS解析请求至DNS解析服务器,包括:
在黑客远程控制计算机后执行***暗桩的高频命令时,
执行高频命令,返回执行结果;
发送DNS解析请求至DNS解析服务器进行解析,不返回执行结果。
可选地,在本申请的一个实施例中,将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志,包括:
配置syslog策略,将DNS解析日志实时发送至可视化日志服务器;
通过DNS解析服务器设置特殊的虚构域名作为DNS解析锚点,并通过可视化日志服务器将DNS解析锚点作为关键字过滤DNS解析日志,对过滤得到的DNS解析日志进行实时滚动展示。
为达上述目的,本申请第二方面实施例提出了一种基于DNS解析的实时感知计算机被黑客远程控制的监测装置,包括:
获取模块,用于获取操作***的高频命令,其中,高频命令为黑客远程控制计算机后高频执行的操作***原生命令;
建立模块,用于建立DNS解析服务器;
***模块,用于对高频命令***暗桩;
执行模块,用于在执行***暗桩的高频命令时,发送DNS解析请求至DNS解析服务器;
解析模块,用于通过DNS解析服务器响应解析请求,并且生成DNS解析日志;
日志展示模块,用于将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志。
为达上述目的,本申请第三方面实施例提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时,实现上述施例所述的基于DNS解析的实时感知计算机被黑客远程控制的监测方法。
为了实现上述目的,本申请第四方面实施例提出了一种非临时性计算机可读存储介质,当所述存储介质中的指令由处理器被执行时,能够执行一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法。
本申请实施例的基于DNS解析的实时感知计算机被黑客远程控制的监测方法、基于DNS 解析的实时感知计算机被黑客远程控制的监测装置、计算机设备和非临时性计算机可读存储介质,解决了现有方法存在安全策略和规则配置方面的技术问题,同时还解决了现有方法对于监测点位有数量要求以及操作***兼容性的技术问题,利用操作***的原生命令,能够通过脚本批量化部署,不存在***兼容性问题,可以在短时间内实现低成本大规模的部署,从而实时感知黑客对计算机的远程控制行为。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请实施例一所提供的一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法的流程图;
图2为本申请实施例的基于DNS解析的实时感知计算机被黑客远程控制的监测方法的另一个流程图;
图3为本申请实施例的二所提供的一种基于DNS解析的实时感知计算机被黑客远程控制的监测装置的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
本申请借鉴了黑客对计算机的攻击思维,引入了“暗桩”(DNS解析请求同步执行)的概念,黑客的攻击思维:黑客在攻击中常利用远程命令执行(RCE)漏洞,部分此类漏洞执行时不会回显结果,为了确认命令成功,采用了执行DNS解析命令的方法,一旦能在dnslog.cn等平台能看到解析记录,就证明这个漏洞能够利用。
本申请借鉴并改进了攻击思维并通过技术手段进行了实现。在黑客以技术或社工手段对计算机进行远程控制后,收集信息为提权和横向移动攻击做准备时,需要执行一系列的信息收集命令,而正常管理员因为对这些信息熟知而执行频率非常低。因此可以在黑客高频执行的信息收集命令中***“暗桩”,即让黑客执行这些高频命令时,隐式的执行DNS解析命令,并发送到特定的DNS服务器生成解析日志并实时发送到可视化日志监控设备以发现黑客对计算机的远程控制行为。
下面参考附图描述本申请实施例的基于DNS解析的实时感知计算机被黑客远程控制的监测方法和装置。
图1为本申请实施例一所提供的一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法的流程图。
如图1所示,该基于DNS解析的实时感知计算机被黑客远程控制的监测方法包括以下步骤:
步骤101,获取操作***的高频命令,并建立DNS解析服务器,其中,高频命令为黑客远程控制计算机后高频执行的操作***原生命令;
步骤102,对高频命令***暗桩,在执行***暗桩的高频命令时,发送DNS解析请求至DNS解析服务器;
步骤103,通过DNS解析服务器响应解析请求,并且生成DNS解析日志;
步骤104,将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志。
本申请实施例的基于DNS解析的实时感知计算机被黑客远程控制的监测方法,通过获取操作***的高频命令,并建立DNS解析服务器,其中,高频命令为黑客远程控制计算机后高频执行的操作***原生命令;对高频命令***暗桩,在执行***暗桩的高频命令时,发送DNS解析请求至DNS解析服务器;通过DNS解析服务器响应解析请求,并且生成 DNS解析日志;将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志。由此,能够解决现有方法存在安全策略和规则配置方面的技术问题,同时还可以解决现有方法对于监测点位有数量要求以及操作***兼容性的技术问题,利用操作***的原生命令,能够通过脚本批量化部署,不存在***兼容性问题,可以在短时间内实现低成本大规模的部署,从而实时感知黑客对计算机的远程控制行为。
本申请可以单独部署,也可以与现有的企业级安全措施形成异构互补,同时可进一步利用开源日志***的restful接口,实现自动邮件告警,进一步提升其实时感知能力。
获取操作***的高频命令,其中,高频命令为黑客远程控制计算机后为了收集信息高频执行而管理员几乎不会执行的命令,典型的命令如whoami,黑客需要执行此命令得知当前账户权限,而管理员对此熟知而不用执行。
建立专用的DNS解析服务器,设置特殊的虚构域名作为DNS解析锚点,一旦收到对此域名的解析请求,就会生成DNS解析日志。
进一步地,在本申请实施例中,对高频命令***暗桩,包括:
使用别名技术对高频命令***暗桩,和/或
使用程序同步调用与路径优先技术对高频命令***暗桩。
进一步地,在本申请实施例中,使用别名技术对高频命令***暗桩,包括:
通过配置alias命令或使用注册表与自定义批处理文件,对高频命令***暗桩。
对于Linux操作***,通过配置alias命令,对高频命令***暗桩;对于Windows操作***,使用注册表+自定义批处理脚本,对高频命令***暗桩。
进一步地,在本申请实施例中,通过配置alias命令或使用注册表与自定义批处理文件,对高频命令***暗桩,包括:
利用“&&”符号执行高频命令和触发DNS解析请求的命令;
对触发DNS解析请求的命令进行重定向处理,以使定向处理后的DNS解析请求不对黑客返回执行结果。
使用别名技术对高频命令***暗桩,其本质利用的是操作***命令同时执行的原理,不论在Windows还是Linux操作***中,都可以利用“&&”符号同时执行两条命令。一条命令为对计算机进行攻击时执行的高频命令,称为命令1,另一条命令为触发DNS解析请求的nslookup命令,为命令2。正常情况下两条命令都会返回执行结果,但这样会引起对计算机进行攻击的人的警觉,因此需要对命令2做重定向处理,使其既能触发DNS域名解析请求又不对黑客返回结果。
使用别名技术执行命令1,实现的效果是命令1与命令2同时执行,其中,Linux***可通过在环境变量中配置alias实现对高频命令***暗桩,Windows***可通过注册表与自定义批处理文件实现对高频命令***暗桩。
进一步地,在本申请实施例中,使用程序同步调用与路径优先技术对高频命令***暗桩,包括:
通过程序同时调用高频命令和触发DNS解析请求的命令,并控制程序仅获取高频命令的执行结果;
利用操作***的路径优先原则,在PATH环境变量中设置***暗桩的程序处于高优先级。
使用程序同步调用与路径优先技术对高频命令***暗桩,实质是通过开发程序实现两个命令同步执行的效果。以C语言为例,通过C语言开发程序同时调用命令1与DNS解析命令2,同时控制程序只获取命令1的执行结果。
以黑客高频执行的命令whoami为例(其本质是调用Windows***的whoami.exe或Linux***的whoami),将C语言开发的程序编译并命名为whoami.exe(或whoami)。执行这个whoami.exe(或whoami),可以同时执行两条命令,即执行命令1,又执行命令2 触发DNS解析。
操作***存在原生命令whoami.exe和通过C语言编译的含“暗桩”的命令whoami.exe,如何让黑客执行whoami时调用自编译含“暗桩”的命令whoami.exe,可以利用操作***执行路径优先的概念。不论Windows还是Linux***,都存在***环境变量PATH,其保存着执行路径,对于同名文件,排在前面的路径优先执行。通过在PATH环境变量中设置***暗桩的程序处于高优先级,优先调用含“暗桩”的命令whoami.exe。
使用别名技术或者程序同步调用与路径优先技术都可以实现让黑客无感知的执行命令并触发“暗桩”实现DNS解析并生成DNS日志。
进一步地,在本申请实施例中,执行***暗桩的高频命令包括执行高频命令和执行触发DNS解析请求的命令,在执行***暗桩的高频命令时,发送DNS解析请求至DNS解析服务器,包括:
在黑客远程控制计算机后执行***暗桩的高频命令时,
执行高频命令,返回执行结果;
发送DNS解析请求至DNS解析服务器进行解析,不对黑客返回执行结果。
进一步地,在本申请实施例中,将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志,包括:
配置syslog策略,将DNS解析日志实时发送至可视化日志服务器;
通过DNS解析服务器设置特殊的虚构域名作为DNS解析锚点,并通过可视化日志服务器将DNS解析锚点作为关键字过滤DNS解析日志,对过滤得到的DNS解析日志进行实时滚动展示。
示例性的,可以通过配置syslog策略,使DNS解析日志能实时发送到开源可视化日志分析***graylog2(或ELK Stack),然后可以配置graylog2接收DNS解析服务器发送的syslog日志,根据DNS解析锚点关键字过滤日志信息,并设置实时可视化滚动展示功能实时滚动展示过滤得到的DNS解析日志。
图2为本申请实施例的基于DNS解析的实时感知计算机被黑客远程控制的监测方法的另一个流程图。
如图2所示,该基于DNS解析的实时感知计算机被黑客远程控制的监测方法,包括黑客利用漏洞或社会工程学等手段获取服务器A控制权(服务器A已经被防守方植入监测暗桩),并在服务器A上执行信息收集命令以便黑客了解权限和网段等信息,黑客执行信息收集命令的同时会触发暗桩执行DNS解析命令到特定的DNS服务器B,但不显示解析结果; DNS服务器B响应解析请求并生成日志;将DNS日志以syslog实时发送到可视化日志服务器C;可视化日志服务器C基于锚点信息滚动更新展示黑客的远控信息。
图3为本申请实施例的二所提供的一种基于DNS解析的实时感知计算机被黑客远程控制的监测装置的结构示意图。
如图3所示,该基于DNS解析的实时感知计算机被黑客远程控制的监测装置,包括:
获取模块10,用于获取操作***的高频命令,其中,高频命令为黑客远程控制计算机后高频执行的操作***原生命令;
建立模块20,用于建立DNS解析服务器;
***模块30,用于对高频命令***暗桩;
执行模块40,用于在执行***暗桩的高频命令时,发送DNS解析请求至DNS解析服务器;
解析模块50,用于通过DNS解析服务器响应解析请求,并且生成DNS解析日志;
日志展示模块60,用于将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志。
本申请实施例的基于DNS解析的实时感知计算机被黑客远程控制的监测装置,包括获取模块,用于获取操作***的高频命令,其中,高频命令为黑客远程控制计算机后高频执行的操作***原生命令;建立模块,用于建立DNS解析服务器;***模块,用于对高频命令***暗桩;执行模块,用于在执行***暗桩的高频命令时,发送DNS解析请求至DNS 解析服务器;解析模块,用于通过DNS解析服务器响应解析请求,并且生成DNS解析日志;日志展示模块,用于将DNS解析日志实时发送至可视化日志服务器,通过可视化日志服务器展示DNS解析日志。由此,能够解决现有方法存在安全策略和规则配置方面的技术问题,同时还可以解决现有方法对于监测点位有数量要求以及操作***兼容性的技术问题,利用操作***的原生命令,能够通过脚本批量化部署,不存在***兼容性问题,可以在短时间内实现低成本大规模的部署,从而实时感知黑客对计算机的远程控制行为。
为了实现上述实施例,本申请还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时,实现上述施例所述的基于DNS解析的实时感知计算机被黑客远程控制的监测方法。
为了实现上述实施例,本申请还提出了一种非临时性计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例的基于DNS解析的实时感知计算机被黑客远程控制的监测方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行***、装置或设备(如基于计算机的***、包括处理器的***或其他可以从指令执行***、装置或设备取指令并执行指令的***)使用,或结合这些指令执行***、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行***、装置或设备或结合这些指令执行***、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种基于DNS解析的实时感知计算机被黑客远程控制的监测方法,其特征在于,
获取操作***的高频命令,并建立DNS解析服务器,其中,所述高频命令为黑客远程控制计算机后高频执行的操作***原生命令;
对所述高频命令***暗桩,在执行***暗桩的高频命令时,发送DNS解析请求至所述DNS解析服务器;
通过所述DNS解析服务器响应解析请求,并且生成DNS解析日志;
将所述DNS解析日志实时发送至可视化日志服务器,通过所述可视化日志服务器展示所述DNS解析日志。
2.如权利要求1所述的方法,其特征在于,所述对所述高频命令***暗桩,包括:
使用别名技术对所述高频命令***暗桩,和/或
使用程序同步调用与路径优先技术对所述高频命令***暗桩。
3.如权利要求2所述的方法,其特征在于,所述使用别名技术对所述高频命令***暗桩,包括:
通过配置alias命令或使用注册表与自定义批处理文件,对所述高频命令***暗桩。
4.如权利要求3所述的方法,其特征在于,所述通过配置alias命令或使用注册表与自定义批处理文件,对所述高频命令***暗桩,包括:
利用“&&”符号执行所述高频命令和触发DNS解析请求的命令;
对所述触发DNS解析请求的命令进行重定向处理,以使定向处理后的DNS解析请求不返回执行结果。
5.如权利要求2所述的方法,其特征在于,所述使用程序同步调用与路径优先技术对所述高频命令***暗桩,包括:
通过程序同时调用所述高频命令和触发DNS解析请求的命令,并控制所述程序仅获取所述高频命令的执行结果;
利用操作***的路径优先原则,在PATH环境变量中设置***暗桩的程序处于高优先级。
6.如权利要求1所述的方法,其特征在于,执行***暗桩的高频命令包括执行高频命令和执行触发DNS解析请求的命令,所述在执行***暗桩的高频命令时,发送DNS解析请求至所述DNS解析服务器,包括:
在黑客远程控制计算机后执行***暗桩的高频命令时,
执行高频命令,返回执行结果;
发送DNS解析请求至DNS解析服务器进行解析,不返回执行结果。
7.如权利要求1所述的方法,其特征在于,所述将所述DNS解析日志实时发送至可视化日志服务器,通过所述可视化日志服务器展示所述DNS解析日志,包括:
配置syslog策略,将所述DNS解析日志实时发送至所述可视化日志服务器;
通过DNS解析服务器设置特殊的虚构域名作为DNS解析锚点,并通过所述可视化日志服务器将所述DNS解析锚点作为关键字过滤所述DNS解析日志,对过滤得到的DNS解析日志进行实时滚动展示。
8.一种基于DNS解析的实时感知计算机被黑客远程控制的监测装置,其特征在于,包括:
获取模块,用于获取操作***的高频命令,其中,所述高频命令为黑客远程控制计算机后高频执行的操作***原生命令;
建立模块,用于建立DNS解析服务器;
***模块,用于对所述高频命令***暗桩;
执行模块,用于在执行***暗桩的高频命令时,发送DNS解析请求至所述DNS解析服务器;
解析模块,用于通过所述DNS解析服务器响应解析请求,并且生成DNS解析日志;
日志展示模块,用于将所述DNS解析日志实时发送至可视化日志服务器,通过所述可视化日志服务器展示所述DNS解析日志。
9.一种计算机设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一所述的方法。
10.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210552538.8A CN115001761B (zh) | 2022-05-20 | 基于dns解析的实时感知计算机被黑客远程控制的监测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210552538.8A CN115001761B (zh) | 2022-05-20 | 基于dns解析的实时感知计算机被黑客远程控制的监测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115001761A true CN115001761A (zh) | 2022-09-02 |
| CN115001761B CN115001761B (zh) | 2024-07-30 |
Family
ID=
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100805316B1 (ko) * | 2007-07-26 | 2008-02-21 | 주식회사 나우콤 | 명령어 코드 통제리스트 기반의 웹 서비스 보안시스템 및그 방법 |
| CN102880471A (zh) * | 2012-09-24 | 2013-01-16 | 中兴通讯股份有限公司 | 基于命令行的命令执行方法及命令行操作*** |
| US8869268B1 (en) * | 2007-10-24 | 2014-10-21 | Symantec Corporation | Method and apparatus for disrupting the command and control infrastructure of hostile programs |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | ***股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
| CN106685970A (zh) * | 2016-12-29 | 2017-05-17 | 北京奇虎科技有限公司 | 反向连接后门的检测方法及装置 |
| CN107483567A (zh) * | 2017-08-03 | 2017-12-15 | 广州华多网络科技有限公司 | 一种分布式日志搜索的方法及*** |
| CN111049784A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN113014573A (zh) * | 2021-02-23 | 2021-06-22 | 杭州安恒信息技术股份有限公司 | Dns服务器的监控方法、***、电子装置和存储介质 |
| US20210297417A1 (en) * | 2020-03-23 | 2021-09-23 | Microsoft Technology Licensing, Llc | Secure remote troubleshooting of private cloud |
| CN113923192A (zh) * | 2021-09-29 | 2022-01-11 | 深信服科技股份有限公司 | 一种流量审计方法、装置、***、设备和介质 |
| CN114039943A (zh) * | 2021-07-28 | 2022-02-11 | 中国建设银行股份有限公司 | 一种域名***的数据处理方法及装置 |
| CN114168383A (zh) * | 2021-12-01 | 2022-03-11 | 北京联创新天科技有限公司 | 一种应用状态监控重启工具、方法、介质及设备 |
| CN114238978A (zh) * | 2021-11-04 | 2022-03-25 | 广东电网有限责任公司广州供电局 | 漏洞扫描***、方法和计算机设备 |
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100805316B1 (ko) * | 2007-07-26 | 2008-02-21 | 주식회사 나우콤 | 명령어 코드 통제리스트 기반의 웹 서비스 보안시스템 및그 방법 |
| US8869268B1 (en) * | 2007-10-24 | 2014-10-21 | Symantec Corporation | Method and apparatus for disrupting the command and control infrastructure of hostile programs |
| CN102880471A (zh) * | 2012-09-24 | 2013-01-16 | 中兴通讯股份有限公司 | 基于命令行的命令执行方法及命令行操作*** |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | ***股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
| CN106685970A (zh) * | 2016-12-29 | 2017-05-17 | 北京奇虎科技有限公司 | 反向连接后门的检测方法及装置 |
| CN107483567A (zh) * | 2017-08-03 | 2017-12-15 | 广州华多网络科技有限公司 | 一种分布式日志搜索的方法及*** |
| CN111049784A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| US20210297417A1 (en) * | 2020-03-23 | 2021-09-23 | Microsoft Technology Licensing, Llc | Secure remote troubleshooting of private cloud |
| CN113014573A (zh) * | 2021-02-23 | 2021-06-22 | 杭州安恒信息技术股份有限公司 | Dns服务器的监控方法、***、电子装置和存储介质 |
| CN114039943A (zh) * | 2021-07-28 | 2022-02-11 | 中国建设银行股份有限公司 | 一种域名***的数据处理方法及装置 |
| CN113923192A (zh) * | 2021-09-29 | 2022-01-11 | 深信服科技股份有限公司 | 一种流量审计方法、装置、***、设备和介质 |
| CN114238978A (zh) * | 2021-11-04 | 2022-03-25 | 广东电网有限责任公司广州供电局 | 漏洞扫描***、方法和计算机设备 |
| CN114168383A (zh) * | 2021-12-01 | 2022-03-11 | 北京联创新天科技有限公司 | 一种应用状态监控重启工具、方法、介质及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 王九菊 , 郭学理: "如何防止黑客利用telnet或rlogin攻击Linux***", 《微型机与应用》, no. 09, 30 October 2002 (2002-10-30) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112187825B (zh) | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 | |
| US9473520B2 (en) | Systems and methods for incubating malware in a virtual organization | |
| US20050005171A1 (en) | Real-time vulnerability monitoring | |
| US20030131256A1 (en) | Managing malware protection upon a computer network | |
| US20060259775A2 (en) | Policy-protection proxy | |
| GB2517740A (en) | A Monitoring Arrangement | |
| CN109150848B (zh) | 一种基于Nginx的蜜罐的实现方法及*** | |
| US20060259946A2 (en) | Automated staged patch and policy management | |
| CN114257413A (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
| CN114826662B (zh) | 一种自定义规则防护方法、装置、设备及可读存储介质 | |
| Deeter et al. | APHIDS: A mobile agent-based programmable hybrid intrusion detection system | |
| CN111813627A (zh) | 应用审计方法、装置、终端、***及可读存储介质 | |
| US20050022003A1 (en) | Client capture of vulnerability data | |
| US11979426B2 (en) | Predictive vulnerability management analytics, orchestration, automation and remediation platform for computer systems. networks and devices | |
| CN108737421B (zh) | 一种发现网络内潜在威胁的方法、***、装置及存储介质 | |
| CN115001761B (zh) | 基于dns解析的实时感知计算机被黑客远程控制的监测方法 | |
| CN115001761A (zh) | 基于dns解析的实时感知计算机被黑客远程控制的监测方法 | |
| CN105389511B (zh) | 一种病毒查杀方法、装置及电子设备 | |
| CN115242461B (zh) | 一种机器人操作***ros安全测试***及方法 | |
| US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| CN116956310B (zh) | 漏洞防护方法、装置、设备和可读存储介质 | |
| CN107733927B (zh) | 一种僵尸网络文件检测的方法、云服务器、装置及*** | |
| CN114827086B (zh) | 一种探测ip发现方法、装置、设备及存储介质 | |
| CN118138324A (zh) | 一种威胁情报库更新方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |