CN115190108B - 一种检测被监控设备的方法、装置、介质及电子设备 - Google Patents
一种检测被监控设备的方法、装置、介质及电子设备 Download PDFInfo
- Publication number
- CN115190108B CN115190108B CN202210818919.6A CN202210818919A CN115190108B CN 115190108 B CN115190108 B CN 115190108B CN 202210818919 A CN202210818919 A CN 202210818919A CN 115190108 B CN115190108 B CN 115190108B
- Authority
- CN
- China
- Prior art keywords
- domain name
- network
- access
- name resolution
- monitored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 103
- 238000001514 detection method Methods 0.000 claims abstract description 171
- 230000006399 behavior Effects 0.000 claims description 78
- 230000008569 process Effects 0.000 claims description 18
- 238000012544 monitoring process Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 7
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000012216 screening Methods 0.000 claims description 3
- 230000006855 networking Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种检测被监控设备的方法、装置、介质及电子设备,该方法包括:获取在域名解析设备与被监控设备之间传输的报文,其中,所述域名解析设备和所述被监控设备均部署于第一网络中,所述被监控设备被配置为通过所述域名解析设备进行域名解析;根据多个所述报文得到与所述被监控设备对应的域名解析行为统计结果,其中,一个报文与所述被监控设备发出的一次域名解析任务对应;至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,其中,所述检测结果用于表征所述被监控设备是否访问过第二网络,或者确认所述被监控设备是否具有至少两张网卡。通过本申请实施例的技术方案可实现联网设备的多网卡检测或者上网行为检测。
Description
技术领域
本申请涉及设备属性检测领域,具体而言本申请实施例涉及一种检测被监控设备的方法、装置、介质及电子设备。
背景技术
DNS(Domain Name System,域名解析***)就是把域名指向网站空间IP,让人们通过在域名注册商那里注册的域名可以方便地看到自己开发的网站内容的一种服务。IP地址是网络上标识站点的数字地址,为了方便记忆,采用域名来代替IP地址标识站点地址。域名解析就是域名到IP地址的转换过程。
多网卡,通常指的是,一般用户网络只允许联网设备有一个网卡进行数据访问,当存在非法的网卡接入(例如USB随身wifi)时应当进行告警操作。
相关技术为了获取被监控设备的属性(例如,该属性包括确认被监控设备上是否具有多于一张网络或者确认被监控设备是否访问了不允许访问的网络内的设备或者服务器),需要使用在被监控设备上安装专用客户端软件或者向被监控设备发送查询流量的方式来确定被监控设备的属性。
可以理解的是,这些技术方案需要在被监控设备上重新安装客户端软件或者需要向被监控设备发送专门的查询流量因此导致数据处理量大造成技术方案的通用性较低。例如,安装的客户端与被监控设备的操作***相关,因此降低了技术方案的通用性。
因此如何提升获取被监控设备的属性信息的技术效果成了亟待解决的技术问题。
发明内容
本申请实施例的目的在于提供一种检测被监控设备的方法、装置、介质及电子设备,通过本申请实施例的技术方案在获取被监控设备的属性信息时无需使用客户端和主动发送查询流量即可实现联网设备的多网卡检测或者上网行为检测,获取被监控设备的属性信息。
第一方面,本申请实施例提供一种检测被监控设备的方法,应用于检测设备,所述方法包括:获取在域名解析设备与被监控设备之间传输的报文,其中,所述域名解析设备和所述被监控设备均部署于第一网络中,所述被监控设备被配置为通过所述域名解析设备进行域名解析;根据多个所述报文得到与所述被监控设备对应的域名解析行为统计结果,其中,一个报文与所述被监控设备发出的一次域名解析任务对应;至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,其中,所述检测结果用于表征所述被监控设备是否访问过第二网络,或者确认所述被监控设备是否具有至少两张网卡。
本申请的一些实施例通过统计被监控设备的域名解析行为统计结果来确定被监控设备是否具有至少两张网卡或者是否访问过第二网络,与相关技术必须依赖向被监控设备发送查询数据报文或者安装客户端来得到检测结果的技术方案相比不仅不需要对被监控设备进行重新配置而且提升了检测结果的准确性。
在一些实施例中,所述报文是将所述被监控设备的流量全部镜像至所述检测设备得到的,或,所述报文是将所述检测设备串联进所述第一网络得到的。
与相关技术获取检测结果的技术方案相比,本申请的一些实施例无需改变第一网络的现状,只需将第一网络(例如,某个内网)的流量引流至检测设备即可(包括但不限于串联部署、旁路镜像等),提升了技术方案的通用性。
在一些实施例中,所述获取在域名解析设备与被监控设备之间传输的报文,包括:在监控时段内,获取由所述域名解析设备向所述被监控设备返回的至少一条域名解析结果报文,其中,每条域名解析结果至少包括对一条域名解析请求携带的域名进行解析得到的一个第一IP地址;所述根据多个所述报文得到与所述被监控设备对应的域名解析行为统计结果,包括:记录与所述至少一条域名解析结果报文中的各条域名解析结果报文对应的第一IP地址,得到第一IP地址列表;所述至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,包括:根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果,其中,所述第一检测结果用于表征所述被监控设备是否具有所述至少两张网卡。
本申请的一些实施例通过获取在监控时段内与被监控设备对应的域名解析结果报文(即对被监控设备发出的域名解析请求报文返回的解析结果报文)携带的IP地址(即与域名报文解析请求中被解析域名对应的IP地址,也就是被监控设备所欲访问的访问IP地址),并根据这些IP地址的实际访问比例得到第一检测结果,与相关技术方案相比在不需要对被监控设备作出任何改变的情况下显著提升了检测结果的准确性。
在一些实施例中,在所述根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果之前,所述方法还包括:获取所述被监控设备的访问行为统计结果,其中,所述访问行为统计结果用于表征所述被监控设备在获得所述域名解析结果报文后的访问行为;所述至少根据所述域名解析行为统计结果获取对所述被监控设备的第一检测结果,包括:根据所述访问行为统计结果和所述域名解析行为统计结果得到所述第一检测结果。
本申请的一些实施例通过统计被监控设备的访问行为统计特征以及DNS解析行为统计特征来得到第一检测结果,可以提升得到的检测结果的准确性。
在一些实施例中,所述获取所述被监控设备的访问行为统计结果,包括:记录所述被监控设备各次访问的第二IP地址,得到第二IP地址列表,其中,所述第二IP地址为所述各次访问的目的IP地址;所述根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果,包括:根据所述第二IP地址列表得到所述访问比例,并根据所述访问比例得到所述第一检测结果。
本申请的一些实施例通过统计被监控设备在实际访问各个设备或者服务器等的目标IP地址,并根据这些地址来确定第一IP地址列表中地址的被访问比例,提升了得到的访问比例值的准确性和客观性,进而提升得到的第一检测结果的准确性。
在一些实施例中,所述第一IP地址列表记录N条第一IP地址,其中,N为大于或等于1的整数;其中,所述根据所述第二IP地址列表得到所述访问比例,包括:根据所述第二IP地址列表确认所述第一IP地址列表中存在M个第一IP地址被所述被监控设备访问,其中,M为大于或等于0的整数,且M小于或等于N;计算M与N的比值得到所述访问比例;所述根据所述访问比例得到所述第一检测结果,包括:根据所述访问比例与阈值的大小关系得到所述第一检测结果。
本申请的一些实施例通过将访问比例与预设阈值进行比较得到第一检测结果,可以提升得到的检测结果的准确性。
在一些实施例中,所述根据所述访问比例与阈值的大小关系得到所述第一检测结果,包括:若确认所述访问比例小于所述阈值则确认所述被监控设备被配置有至少两张网卡,其中,所述至少两张网卡中的第一网卡用于访问所述第一网络,所述至少两张网卡中的除所述第一网卡外的网卡用于访问第二网络;若确认所述访问比例大于或等于所述阈值则确认所述被监控设备被配置有一张网卡,其中,所述网卡用于对所述第一网络中的设备进行访问。
本申请一些实施例在确定访问比例较大时则推定被监控设备存在至少两张网卡,在确定访问比例较小时则推定被监控设备仅有一张网卡,可以提升检测结果的准确性。
在一些实施例中,所述获取域名解析设备与被监控设备之间的报文,包括:针对一次域名解析过程,获取由所述被监控设备向所述域名解析设备发送的域名解析请求报文,或者,获取由所述域名解析设备向所述被监控设备返回的域名解析结果报文,其中,所述域名解析结果或者所述域名解析请求报文均包括待解析的域名;所述根据多个所述报文得到所述被监控设备的域名解析行为统计结果,包括:在监控时段内,获取所有的所述待解析的域名并记录所述域名,得到待解析域名集合;所述至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,包括:至少根据所述待解析域名集合得到第二检测结果,其中,所述第二检测结果用于表征所述被监控设备是否访问过所述第二网络。
本申请的一些实施例通过统计被监控设备输入的所有的待解析域名的统计特征来推定所述被监控设备是否访问过不同于其所在网络的其他网络,与相关技术方案相比准确率更高且不需要修改网络架构或者修改被监控设备。
在一些实施例中,所述至少根据所述待解析域名集合得到第二检测结果,包括:从所述待解析域名集合中筛选出属于预设访问域名列表中的域名,得到目标待分析域名集合;根据所述目标待分析域名集合得到所述第二检测结果。
本申请的一些实施例还需要借助预设访问域名列表得到最终的待分析域名集合,进而得到被监控设备是否访问过第二网络,提升了检测结果的准确性和处理速度。
在一些实施例中,所述预设访问域名列表包括禁止访问域名列表或者允许访问域名列表,其中,所述禁止访问域名列表中的各域名属于禁止所述被监控设备访问的域名,所述允许访问域名列表中的域名属于允许所述被监控设备访问的域名。
本申请的一些实施例的预设访问域名列表包括黑名单列表(即禁止被监控设备访问的域名列表)和白名单列表(即允许本被监控设备访问的域名列表),该技术方案的通用性更好。
在一些实施例中,所述目标待分析域名集合是通过所述禁止访问域名列表得到的,其中,所述根据所述目标待分析域名集合得到所述第二检测结果,包括:获取所述目标待分析域名集合中域名的种类总数目;若所述种类总数目大于预设种类阈值则确认所述被监控设备访问过所述第二网络;或者,若所述种类总数目小于或等于预设种类阈值则确认所述被监控设备未访问过所述第二网络。
本申请的一些实施例通过统计由被监控设备打算访问的禁止其访问的地址的种类数目来得到第二检测结果,即该被监控设备打算访问的禁止其访问的网址的种类越多则推定该被监控设备访问过禁止其访问的第二网络,可以理解的是,这个技术方案可以提升得到的推定结果的准确性。
在一些实施例中,所述目标待分析域名集合是通过所述禁止访问域名列表得到的,其中,所述根据所述目标待分析域名集合得到所述第二检测结果,包括:统计所述目标待分析域名集合中目标域名的出现次数,得到所述目标域名的总次数;若确认所述总次数大于出现次数阈值则确认所述被监控设备访问过所述第二网络;或者,若所述总次数小于或等于出现次数阈则确认所述被监控设备未访问过所述第二网络。
本申请的一些实施例通过统计由被监控设备打算访问的禁止其访问的某个地址的总次数来得到第二检测结果,即该被监控设备打算访问的禁止其访问的网址的次数越多则推定该被监控设备访问过禁止其访问的第二网络,可以理解的是,这个技术方案可以提升得到的推定结果的准确性。
在一些实施例中,所述目标待分析域名集合是通过所述允许访问域名列表得到的,其中,所述根据所述目标待分析域名集合得到所述第二检测结果,包括:获取所述目标待分析域名集合中域名的种类总数目;若所述种类总数目大于预设种类阈值则确认所述被监控设备未访问过所述第二网络;或者,若所述种类总数目小于或等于预设种类阈值则确认所述被监控设备访问过所述第二网络。
本申请的一些实施例通过统计由被监控设备打算访问的允许其访问的地址的种类数目来得到第二检测结果,即该被监控设备打算访问的允许其访问的网址的种类越多则推定该被监控设备未访问过禁止其访问的第二网络,可以理解的是,这个技术方案可以提升得到的推定结果的准确性。
在一些实施例中,所述目标待分析域名集合是通过所述允许访问域名列表得到的,其中,所述根据所述目标待分析域名集合得到所述第二检测结果,包括:统计所述目标待分析域名集合中目标域名的出现次数,得到所述目标域名的总次数;若确认所述总次数大于出现次数阈值则确认所述被监控设备未访问过所述第二网络;或者,若所述总次数小于或等于出现次数阈则确认所述被监控设备访问过所述第二网络。
本申请的一些实施例通过统计由被监控设备打算访问的允许其访问的某个地址的总次数来得到第二检测结果,即该被监控设备打算访问的允许其访问的网址的次数越多则推定该被监控设备未访问过禁止其访问的第二网络,可以理解的是,这个技术方案可以提升得到的推定结果的准确性。
在一些实施例中,所述第一网络为内网网络,所述第二网络为外网网络。
本申请的一些实施例可以确定被监控设备是否访问过外网,进而提升内网设备的安全性。
在一些实施例中,在所述至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果之后,所述方法还包括:若确认所述检测结果表征所述被监控设备具有所述至少两张网卡或者确认所述被监控设备存在访问所述第二网络的情况时,则生成告警文件或者执行阻断策略。
本申请的一些实施例若确认被监控设备存在风险时则生成告警文件或者直接阻断对应的风险操作,提升整个第一网络的安全性。
第二方面,本申请的一些实施例提供一种检测被监控设备的装置,所述装置包括:报文获取模块,被配置为获取在域名解析设备与被监控设备之间传输的报文,其中,所述域名解析设备和所述被监控设备均部署于第一网络中,所述被监控设备被配置为通过所述域名解析设备进行域名解析;域名解析行为统计结果获取模块,被配置为根据多个所述报文得到与所述被监控设备对应的域名解析行为统计结果,其中,一个报文与所述被监控设备发出的一次域名解析任务对应;检测结果获取模块,被配置为至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,其中,所述检测结果用于表征所述被监控设备是否访问过第二网络,或者确认所述被监控设备是否具有至少两张网卡。
第三方面,本申请的一些实施例提供一种计算机存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任意实施例所述的方法。
第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的第一网络的架构图;
图2为本申请实施例提供的被配置为一台设备通过多个网卡进行域名解析的过程示意图;
图3为本申请实施例提供的网络架构图之一;
图4为本申请实施例提供的网络架构图之二;
图5为本申请实施例提供的检测被监控设备的方法的流程图;
图6为本申请实施例提供的检测被监控设备的装置的组成框图;
图7为本申请实施例提供的电子设备的组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合图1示例性阐述现有技术方案获取检测结果的技术方案存在的缺陷。
请参看图1,图1为本申请实施例提供的第一网络10的架构图,在该第一网络10中包括第一终端设备101、第二终端设备102、第三终端设备103、第四终端设备104、第一域名解析服务器201、第二域名解析服务器202以及网关401。
相关技术为了确定第一网络10的任意一台终端设备是否具有至少两张网卡或者确认所述任一一台终端设备是否访问过第二网络的检测结果,分别采用如下的方式来实现。
例如,相关技术为了得到第一终端设备101是否具有至少两张网卡,需要为第一终端设备专门设置一台测试设备,该测试设备会向第一终端设备发送查询数据包,并通过第一终端设备101反馈的针对查询数据包的应答数据包来确定该第一终端设备101是否被配置了至少两张网卡。不难理解的是,通过为各个被监控设备设置测试设备并向各被监控设备发送查询数据包的方式会增加被监控设备的数据处理量,影响用户的上网感受度,另外由于不同终端设备的操作***也不同,因此导致发送查询数据包也需要具有差异性因此技术方案的通用性较差。
例如,相关技术为了确定第一终端设备101是否访问了禁止访问的网络,可以通过地址库的方式进行非法外联判断,可以理解的是仅根据地址库判断是否存在非法外联(作为与第二网络连接的一种示例)并不能准确判断其是否真实有多网卡行为,且会存在大量的误报,例如,当用户只连接内网,而用户只是在自己设备的浏览其中输入了非法网址,这就会造成产生大量访问禁止网络的误报。
与上述相关技术相比,本申请的一些实施例通过对第一网络的接入设备产生的内网流量进行分析即可检测网络设备(即被监控设备)的多网卡行为和该网络设备是否访问了禁止访问的网络,且无需像现有技术那样改造用户网络和安装客户端软件等操作。
下面结合上网过程介绍提出本申请实施例技术方案的设计原理。第一步,用户手动向被监控设备输入一个网址。第二步,该被监控设备上的浏览器会使用域名解析服务器DNS将网址的域名解析成IP地址,此时如果用户电脑(或被监控设备)有多网卡,则该被监控设备生产的域名解析请求报文就会分别发往与各网卡分别对应配置的域名解析服务器即DNS服务器。第三步,被监控设备上的浏览器会使用DNS服务器返回的IP地址(通过一条域名解析结果报文携带该IP地址)进行数据访问(即执行一次访问)。第四步,当存在多网卡时,访问的目的IP(来自于域名解析结果报文中的一个报文中)只会使用优先级更高的网卡进行访问,此时会出现被监控设备上的全部网卡有DNS的域名解析请求报文和域名解析结果报文,但是只有优先级高的网卡有数据访问报文的情况。本申请的发明人正是在发现该规律的基础上通过分析被监控设备的域名解析行为统计结果,并根据该结果来得到对被监控设备的检测结果。
例如,如图2所示,第一终端设备101被配置为具有第一网卡和第二网卡,且第一网卡通过第一DNS服务器进行域名解析,第二网卡通过第二DNS服务器进行域名解析。若某个用户通过第一终端设备101的浏览器输入一个网址域名时,则该设备会分别通过两张网卡向自己对应的DNS服务器发送域名解析请求报文(该报文携带有待解析的域名即图2的网址域名)并接收有个域名解析服务器返回的域名解析结果包括(该报文携带了与待解析域名对应的IP地址,即图1的第一IP地址和第二IP地址)。若图2的第二网卡的优先级更高,则该第一终端设备101后续会通过该网卡并通过第二IP地址访问第二网络(例如,图2的外部网络500)。不难理解的是,图2的第一网卡在整个过程中仅传输了DNS解析报文111(包括域名解析请求报文和域名解析结果报文)而并没有实际访问报文,而第二网卡在整个过程中除了传输DNS解析报文之外还传输该被监控设备访问外部网络500的访问数据,即从第二网卡传输的流量数据包括数据访问报文和DNS解析报文121。本申请的发明人正是利用了这些规律提出了对被监控设备进行监控并得到检测结果的技术方案。
下面结合图3和图4示例性阐述本申请一些实施例的架构图。
如图3所示,与图1不同的是,该图中还设置有一个独立的检测设备301,该检测设备与网络401连接,且该网关401通过旁路镜像将内网10的流量数据引向该检测设备301进而使得该检测设备301执行本申请一些实施例的检测被监控设备的方法。
如图4所示,与图3不同的是在该图中该检测设备301并没有与网关连接,该检测设备301是通过串联进第一网络的方式得到第一网络10的流量数据。图4除包括除了包括位于第一网络10内的第二域名服务器之外还包括第三域名解析服务器203,该域名解析服务器通过外网与第五终端设备105(即被监控设备)连接,需要说明的是该检测设备301仅能够获取第一网络10的流量数据而不能获得第三域名解析服务器203上的流量数据,本申请的一些实施例正是通过分析第一网络10内的各域名解析服务器的域名解析报文(包括域名解析请求报文和域名解析结果报文),例如,图4的检测设备301获取第一域名解析请求报文和第一域名解析结果报文。图4还示出了百度服务器205,若该被监控设备即第五终端设备105可以访问外网时,则该设备就可以访问图4的百度服务器205。
也就是说,本申请的一些实施例提出在第一网络(例如,某个内网)环境搭建一个流量检测设备(即检测设备),并将待检测设备(即被监控设备)的流量全部镜像至检测设备或将该检测设备串联进第一网络来得到被监控设备的流量数据,并对这些流量数据执行本申请一些实施例的检测被监控设备的方法。
需要说明的是,本申请的一些实施例的检测设备还可以通过与图3或图4不同的其他实施例来获取被监控设备的域名解析报文和/或访问报文以得到检测结果。
下面结合图5示例性阐述由图3或图4的检测设备执行的检测被监控设备的方法。
如图5所示,本申请的一些实施例提供一种检测被监控设备的方法,应用于检测设备,该方法包括:S101,获取在域名解析设备与被监控设备之间传输的报文,其中,所述域名解析设备和所述被监控设备均部署于第一网络中,所述被监控设备被配置为通过所述域名解析设备进行域名解析;S102,根据多个所述报文得到与所述被监控设备对应的域名解析行为统计结果,其中,一个报文与所述被监控设备发出的一次域名解析任务对应;S103,至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,其中,所述检测结果用于表征所述被监控设备是否访问过第二网络,或者确认所述被监控设备是否具有至少两张网卡。
也就是说,本申请的一些实施例通过统计被监控设备的域名解析行为统计结果来确定被监控设备是否具有至少两张网卡或者是否访问过第二网络,与相关技术必须依赖向被监控设备发送查询数据报文或者安装客户端来得到检测结果的技术方案相比本申请的一些实施例不仅不需要对被监控设备进行重新配置而且提升了检测结果的准确性。
下面示例性阐述上述步骤的实现过程。
需要说明的是,在本申请的一些实施例中,S101的所述报文是将被监控设备的流量全部镜像至所述的检测设备得到的,例如,如图3所示。在本申请的另一些实施例中,S101的所述报文是将所述检测设备串联进所述第一网络得到的。在本申请的一些实施例中,S101所述的报文为由被监控设备向域名解析设备发出的域名解析请求报文,该报文携带有待解析的域名。在本申请的另一些实施例中,S101所述的报文包括由域名解析设备针对域名解析请求报文向被监控设备返回的域名解析结果报文,该报文携带待解析的域名以及针对待解析域名解析得到的IP地址(即第一地址)。
可以理解的是,与相关技术获取检测结果的技术方案相比,本申请的一些实施例无需改变第一网络的现状,只需将第一网络(例如,某个内网)的流量引流至检测设备即可(包括但不限于串联部署、旁路镜像等),提升了技术方案的通用性。
下面示例性阐述获取被监控设备是否具有两张网卡的技术方案。
例如,在本申请的一些实施例中,S101示例性包括:在监控时段内,获取由所述域名解析设备向所述被监控设备返回的至少一条域名解析结果报文,其中,每条域名解析结果至少包括对一条域名解析请求携带的域名进行解析得到的一个第一IP地址。相应的,S102示例性包括:记录与所述至少一条域名解析结果报文中的各条域名解析结果报文对应的第一IP地址,得到第一IP地址列表。S103示例性包括:根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果,其中,所述第一检测结果用于表征所述被监控设备是否具有所述至少两张网卡。
也就是说,本申请的一些实施例通过获取在监控时段内与被监控设备对应的域名解析结果报文(即对被监控设备发出的域名解析请求报文返回的解析结果报文)携带的IP地址(即与域名报文解析请求中被解析域名对应的IP地址,也就是被监控设备所欲访问的访问IP地址),并根据对这些IP地址的实际访问比例得到第一检测结果,与相关技术方案相比本申请的实施例在不需要对被监控设备作出任何改变的情况下就能获取被监控设备是否被配置为具有两张网卡且与现有相关技术方案相比本申请的实施例显著提升了检测结果的准确性。
需要说明的是,为了进一步获取对由所述域名解析设备解析出来的IP地址进行访问的比例还需要获取被被监控设备访问的访问IP地址统计结果。例如,在本申请的一些实施例中,在S103所述根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果之前所述方法还包括:获取所述被监控设备的访问行为统计结果,其中,所述访问行为统计结果用于表征所述被监控设备在获得所述域名解析结果报文后的访问行为。相应的S103所述至少根据所述域名解析行为统计结果获取对所述被监控设备的第一检测结果示例性包括:根据所述访问行为统计结果和所述域名解析行为统计结果得到所述第一检测结果。也就是说,本申请的一些实施例通过统计被监控设备的访问行为统计特征以及DNS解析行为统计特征来得到第一检测结果,可以提升得到的检测结果的准确性。
例如,在本申请的一些实施例中,所述获取所述被监控设备的访问行为统计结果示例性包括:记录所述被监控设备各次访问的第二IP地址,得到第二IP地址列表,其中,所述第二IP地址为所述各次访问的目的IP地址,一次访问与一次域名解析过程对应。相应的,所述根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果示例性包括:根据所述第二IP地址列表得到所述访问比例,并根据所述访问比例得到所述第一检测结果。
本申请的一些实施例通过统计被监控设备在实际访问各个设备或者服务器等的目标IP地址,并根据这些地址来确定第一IP地址列表中地址的被访问比例,提升了得到的访问比例值的准确性和客观性,进而提升得到的第一检测结果的准确性。
下面通过公式示例性阐述获取第一检测结果的过程。
例如,在本申请的一些实施例中,所述第一IP地址列表记录N条第一IP地址,其中,N为大于或等于1的整数;其中,所述根据所述第二IP地址列表得到所述访问比例示例性包括:根据所述第二IP地址列表确认所述第一IP地址列表中存在M个第一IP地址被所述被监控设备访问,其中,M为大于或等于0的整数,且M小于或等于N;计算M与N的比值得到所述访问比例。相应的,所述根据所述访问比例得到所述第一检测结果示例性包括:根据所述访问比例与阈值的大小关系得到所述第一检测结果。本申请的一些实施例通过将访问比例与预设阈值进行比较得到第一检测结果,可以提升得到的检测结果的准确性。
例如,在本申请的一些实施例中,所述根据所述访问比例与阈值的大小关系得到所述第一检测结果示例性包括:若确认所述访问比例小于所述阈值则确认所述被监控设备被配置有至少两张网卡,其中,所述至少两张网卡中的第一网卡用于访问所述第一网络,所述至少两张网卡中的除所述第一网卡外的网卡用于访问第二网络;若确认所述访问比例大于或等于所述阈值则确认所述被监控设备被配置有一张网卡,其中,所述网卡用于对所述第一网络中的设备进行访问。
本申请一些实施例在确定访问比例较大时则推定被监控设备存在至少两张网卡,在确定访问比例较小时则推定被监控设备仅有一张网卡,可以提升检测结果的准确性。
结合上述描述不难发现,本申请的一些实施例通过对网络设备的内网流量进行分析即可检测网络设备的多网卡行为,无需像现有技术那样改造用户网络和安装客户端软件等操作。
下面结合一个具体示例(即第一网络为某个内网)阐述获取被监控设备是否具有多张网卡的第一检测结果。
通过对如上步骤分析,本发明提出在内网环境搭建一个流量检测设备(或简称为上下文的检测设备),并将待检测设备的流量全部镜像至检测设备或串联进用户网络。并在检测设备做如下操作:
第一步,对流量进行监听,即检测设备对被监控网络(即第一网络)产生的流量数据进行监听。
假设第一网络为某个的内网,正如前文所描述的,本申请的一些实施例既可以在内网环境搭建一个流量检测设备,并将被监控设备的流量全部镜像至该检测设备。本申请的一些实施例可以将检测设备串联进用户所在的内部网络(即第一网络)以得到被监听的流量数据。
对流量进行监听,这里包括但不限于使用抓包技术。
第二步,分析DNS的流量并解析域名解析服务器返回的DNS对应的IP并记录IP地址(得到第一IP地址列表)。
也就是说,由检测设备对域名解析服务器(即与被监控设备位于同一内网且该被监控设备通过该域名解析服务器进行域名解析)针对域名解析请求报文返回的域名解析结果报文(或者称为域名解析结果应答报文)中携带的解析出来的IP地址,并记录这些IP地址。需要说明的是,这些IP地址是对被监控对象在一段时间内发出的多个域名解析请求的响应数据报文进行统计才能得到的。
例如,通过分析捕获到的网络流量,并根据DNS协议解析出其域名对应的IP字段得到第一IP地址,并将第一IP地址保存在一个HashMap(但不限于这个存储容器)中。
第三步,分析用户的所有访问数据流量,并记录用户访问的所有IP列表。
也就是说,由检测设备分析用户在上一步获取到各个域名解析结果报文后的实际访问行为,得到由该被监控设备的实际访问IP地址列表(即第二IP地址列表)。
可以理解的是,针对一次实际访问过程均需要首先发送域名解析请求报文,之后根据域名解析设备反馈的域名解析结构报文得到访问用的IP地址,之后再通过该IP地址进行实际的访问。经过上文的描述可知,如果被监控设备被配置为具有多张网卡时,每张网卡会与不同的域名解析设备连接进而获取不同的域名解析结果报文,因此导致了虽然第一网络内的域名解析设备虽然向被监控设备反馈了访问用的IP地址,但是该被监控设备并没有利用该IP地址进行实际访问而是通过与其它网卡对应返回的IP地址进行了访问。正是由于这些原因,因此本申请的实施例通过统计域名解析服务器返回的IP地址和对这些IP地址的访问情况即可确认被监控设备是否具有多张网卡。
例如,通过分析捕获到的网络流量,并统计被监控设备访问的IP(即第二IP地址),并将第二IP地址保存在一个HashMap(但不限于这个存储容器)中。
第四步,通过统计并比较,统计用户网络设备(即被监控各设备)通过DNS解析得到了IP地址,但是又没有对这个IP进行访问的IP数量。
例如,通过与被监控设备连接的域名解析设备在监控时段内针对由该被监控设备发出的十条域名解析请求均反馈了域名解析结果,得到十个第一IP地址,组成包括十个元素的第一IP地址列表。在被监控设备获取到一个第一IP地址后,实时监听该被监控设备的实际访问的IP地址,得到一个对应的第二地址,可以理解的是,在本申请的一些实施例中,第二地址与第一地址可能属于相同的地址,在本申请的一些实施例中,第二地址与第一地址可能属于不同的地址。采用第一地址和第二地址的描述方式主要是为了说明一类地址是由和被监控设备位于同一内网且与该被监控设备的网卡连接的域名解析设备反馈的域名解析IP地址,另一类IP地址是由被监控设备实际访问的IP地址。
例如,通过比较得到域名解析返回的IP地址,但是没有进行数据访问的IP地址占比,以此为依据判定是否有另一张优先级更高的网卡,有优先级更高的网卡即不合法。
第五步,通过统计未访问的IP数量(即由和被监控设备位于同一内网且与该被监控设备连接的域名解析服务器返回但是没被被监控设备访问的第一IP地址)计算出一个比例,当该比例超过一个阈值(可通过参数配置)时,即判定该网络设备存在多网卡。通俗来讲就是一直解析DNS,但是又没有数据访问,那么说明有一个优先级更高的网卡。
下面结合一个具体项目示例性阐述获取第一检测结果的技术方案。
某项目要求,公司内电脑只允许访问内网资源,内网(作为第一网络的一个示例)不可以访问除内网外的其他资源(其他资源对应于第二网络),但是总有违规人员通过USB-WIFI连接手机热点的方式访问外网。对客户内网造成不安全风险。不难理解的是,通过本申请上述示例提供的获取第一检测结果的技术方案可以解决该技术问题,具体过程示例性包括:
第一步,在客户现场部署一台流量检测设备,即部署检测设备。
第二步,将用户现场所有内网电脑(即各个被监控设备)的流量在核心交换机镜像给第一步部署的检测设备。
第三步,检测设备实时分析每台电脑的DNS解析行为,并记录得到与各个被监控设备对应的第一IP地址列表。
第四步,检测设备实时分析每台电脑的IP地址访问行为,并记录得到与各个被监控设备对应第二IP地址列表。
第五步,通过比较得到有DNS解析行为的IP但是没有进行此IP访问的占比数量,并与设置好的占比比较,超过此阈值的判定存在多网卡行为。
第六步,检测到网络设备多网卡,进行告警日志记录和对应阻断策略。
不难理解的是,本申请的实施例无需改造用户网络(作为第一网络的一个示例),不对客户上网设备(作为被监控设备的一个示例)或网络(作为第一网络的一个示例)造成额外负担,并且可以准确识别网络设备多网卡行为。例如,在本申请的一些实施例中检测被监控设备的方法示例性包括:通过分析流量的DNS服务器返回的数据包,记录设备DNS解析得到的IP列表;通过使用流量分析的方法,统计出网络设备对外访问的IP并记录;通过判断有DNS解析但是没有数据访问的IP比例是否超限的方式,判断网络设备是否有多网卡。本申请实施例的技术方案部署简单快捷,无需改变用户现有网络架构,无需对用户上网设备安装客户端和加载脚本。
下面示例性阐述获取被监控设备是否访问了禁止其访问的第二网络的技术方案。
在本申请的一些实施例中,S101示例性包括:针对一次域名解析过程,获取由所述被监控设备向所述域名解析设备发送的域名解析请求报文,或者,获取由所述域名解析设备向所述被监控设备返回的域名解析结果报文,其中,所述域名解析结果或者所述域名解析请求报文均包括待解析的域名。相应的S102示例性包括:在监控时段内,获取所有的所述待解析的域名并记录所述域名,得到待解析域名集合。S103示例性包括:至少根据所述待解析域名集合得到第二检测结果,其中,所述第二检测结果用于表征所述被监控设备是否访问过所述第二网络。
也就是说,本申请的一些实施例通过统计被监控设备输入的所有的待解析域名的统计特征来推定所述被监控设备是否访问过不同于其所在网络的其他网络,与相关技术方案相比准确率更高且不需要修改网络架构或者修改被监控设备。
例如,在本申请的一些实施例中,S103所述至少根据所述待解析域名集合得到第二检测结果示例性包括:从所述待解析域名集合中筛选出属于预设访问域名列表中的域名,得到目标待分析域名集合;根据所述目标待分析域名集合得到所述第二检测结果。例如,在本申请的一些实施例中,所述预设访问域名列表包括禁止访问域名列表或者允许访问域名列表,其中,所述禁止访问域名列表中的各域名属于禁止所述被监控设备访问的域名,所述允许访问域名列表中的域名属于允许所述被监控设备访问的域名。
本申请的一些实施例还需要借助预设访问域名列表得到最终的待分析域名集合,进而得到被监控设备是否访问过第二网络,提升了检测结果的准确性和处理速度。本申请的一些实施例的预设访问域名列表包括黑名单列表(即禁止被监控设备访问的域名列表)和白名单列表(即允许本被监控设备访问的域名列表),该技术方案的通用性更好。
下面结合四个示例示例性阐述获取第二检测结果的过程。
例如,在本申请的一些实施例中,所述目标待分析域名集合是通过所述禁止访问域名列表得到的,其中,S103示例性包括:获取所述目标待分析域名集合中域名的种类总数目;若所述种类总数目大于预设种类阈值则确认所述被监控设备访问过所述第二网络;或者,若所述种类总数目小于或等于预设种类阈值则确认所述被监控设备未访问过所述第二网络。
本申请的一些实施例通过统计由被监控设备打算访问的禁止其访问的地址的种类数目来得到第二检测结果,即该被监控设备打算访问的禁止其访问的网址的种类越多则推定该被监控设备访问过禁止其访问的第二网络,可以理解的是,这个技术方案可以提升得到的推定结果的准确性。
例如,在本申请的一些实施例中,所述目标待分析域名集合是通过所述禁止访问域名列表得到的,其中,S103示例性包括:统计所述目标待分析域名集合中目标域名(属于禁止访问域名列表中某个禁止访问的域名)的出现次数,得到所述目标域名的总次数;若确认所述总次数大于出现次数阈值则确认所述被监控设备访问过所述第二网络;或者,若所述总次数小于或等于出现次数阈则确认所述被监控设备未访问过所述第二网络。
本申请的一些实施例通过统计由被监控设备打算访问的禁止其访问的某个地址的总次数来得到第二检测结果,即该被监控设备打算访问的禁止其访问的网址的次数越多则推定该被监控设备访问过禁止其访问的第二网络,可以理解的是,这个技术方案可以提升得到的推定结果的准确性。
例如,在一些实施例中,所述目标待分析域名集合是通过所述允许访问域名列表得到的,其中,S103示例性包括:获取所述目标待分析域名集合中域名的种类总数目;若所述种类总数目大于预设种类阈值则确认所述被监控设备未访问过所述第二网络;或者,若所述种类总数目小于或等于预设种类阈值则确认所述被监控设备访问过所述第二网络。
本申请的一些实施例通过统计由被监控设备打算访问的允许其访问的地址的种类数目来得到第二检测结果,即该被监控设备打算访问的允许其访问的网址的种类越多则推定该被监控设备未访问过禁止其访问的第二网络,可以理解的是,这个技术方案可以提升得到的推定结果的准确性。
例如,在本申请的一些实施例中,所述目标待分析域名集合是通过所述允许访问域名列表得到的,其中,S103示例性包括:统计所述目标待分析域名集合中目标域名(属于禁止访问域名列表中某个禁止访问的域名)的出现次数,得到所述目标域名的总次数;若确认所述总次数大于出现次数阈值则确认所述被监控设备未访问过所述第二网络;或者,若所述总次数小于或等于出现次数阈则确认所述被监控设备访问过所述第二网络。
本申请的一些实施例通过统计由被监控设备打算访问的允许其访问的某个地址的总次数来得到第二检测结果,即该被监控设备打算访问的允许其访问的网址的次数越多则推定该被监控设备未访问过禁止其访问的第二网络,可以理解的是,这个技术方案可以提升得到的推定结果的准确性。
例如,在本申请的一些实施例中,所述第一网络为内网网络,所述第二网络为外网网络。本申请的一些实施例可以确定被监控设备是否访问过外网,进而提升内网设备的安全性。
例如,在本申请的一些实施例中,所述第一网络和所述第二网络属于不同的局域网络。本申请的一些实施例可以确定被监控设备是否访问其他局域网,进而提升内网设备的安全性。
不难理解的是,为了获取第二检测结果本申请的一些实施例无需改变网络现状,只需将内网流量引流过来即可(包括但不限于串联部署、旁路镜像等),本申请中无需用户电脑(作为被监控设备的一个示例)安装客户端、加载脚本等操作,本申请实施例为了获得第二检测结果无需主动发送轮训流量,对客户的内网不会造成网络负担并且部署方便。
下面以第一网络为某个内网示例性阐述检测被监控设备的方法的实现流程。结合上文描述不难理解的是,本申请的一些实施例需要在内网(第一网络的一个示例)环境搭建一个流量检测设备(或简称为检测设备),并将待检测设备(或称为被监控设备)的流量全部镜像至检测设备或将检测设备串联进该内网。
第一步,建立典型网址库。
需要说明的是,该典型网址库用于存储禁止访问域名列表。可以理解的是,若被监控设备访问该典型网址库中的某个网址表示该被监控设备进行了外网访问行为,比如在该典型网址库中存储如下地址:www.***.com,若检测到被监控设备访问该地址则认为该被监控设备进行了外网非法访问。
例如,对流量进行监听,这里包括但不限于使用抓包技术。
第二步,对流量进行监听。
由检测设备对内网中的设备(例如,该设备可以为被监控设备,或者为与被监控设备位于同一内网的且与该被监控设备连接的域名解析服务器,或者为位于内网的网关)进行流量监听。
例如,通过分析第一步捕获到的网络流量,并根据DNS协议解析出其域名解析数据包的域名字段,并将域名保存在一个HashMap(但不限于这个存储容器)中得到待解析域名集合,并统计出每个域名解析的访问次数和时间。
第三步,分析DNS的流量并解析DNS解析的域名并记录。
检测设备对接收的域名解析相关的流量数据进行解析得到域名解析请求包括或者域名解析结果报文携带的被解析的域名,并记录这些域名,得到待解析域名集合。
例如,该第三步通过判断前一段时间(可通过参数设置)的域名解析情况,包括但不限于通过判断访问域名解析的种类个数、访问域名解析的总数是否超过阈值(也可通过参数设置)、域名是否在网址库中,来判定用户是否有异常上网行为。
第四步,通过对DNS记录的分析,通过统计域名解析的域名的种类和数量,判断该设备是否有上网行为。
也就是说,本申请的一些实施例通过分析待解析域名集合中域名的种类或者同级域名被解析次数确定该被监控设备是否进行了外网(作为第二网络的一个示例)访问。
需要说明的是,本申请的一些实施例为了确定被监控设备是否进行非法外网访问,需要执行如下过程:确定内网设备(即任一被监控设备)访问第一步建立的典型网址库中的网址即可进行进一步判定,该进一步判断包括如下两个策略之一:第一策略通过域名种类判断,即记录前一段时间的域名解析网址个数,如果超过阈值,则认为产生上网行为;第二策略通过解析次数判断,即通过判断前一段时间域名解析次数是否超过阈值,则认为产生上网行为。
下面结合一个项目示例性阐述获取第二检测结果的过程。
某项目要求,公司内电脑(被监控设备的具体示例)只允许访问内网(作为第一网络的一个示例)资源,内网不可以访问外网(作为第二网络的一个示例),但是总有违规人员通过USB-WIFI连接手机热点的方式访问外网,对客户内网(作为第一网络的示例)造成不安全风险。因此采用本申请一些实施例提供的检测被监控设备的方法可以解决这个项目的问题,该方法实现过程示例性包括:
第一步,在客户现场部署一台流量检测设备(或简称为检测设备)。
也就是在第一网络中部署检测设备对该第一网络的流量数据进行监听以获取S101记载的报文。
第二步,将用户现场所有内网电脑(作为各个被监控设备的示例)的流量在核心交换机镜像给流量检测设备。
第三步,流量检测设备实时分析每台电脑的DNS解析行为。
第四步,通过地址库、域名种类、解析次数联合判断是否有上外网行为。
第五步,检测到上网设备访问互联网行为,进行告警日志记录和对应阻断策略。
不难理解的是,本申请的一些实施例通过分析流量的DNS解析行为,记录用户的访问行为;通过使用网址库、域名种类判断、解析次数判断的方式分析用户上网设备是否存在上网行为。
结合上述示例不难发现,为了即时解决发现的某个被监控设备具备两张网卡或者某个被监控设备进行了非法网络访问等行为造成的风险,需要即时提供预警信息。例如,在本申请的一些实施例中,在S102之后,所述检测被监控设备的方法还包括:若确认所述检测结果表征所述被监控设备具有所述至少两张网卡或者确认所述被监控设备存在访问所述第二网络的情况时,则生成告警文件或者执行阻断策略。本申请的一些实施例若确认被监控设备存在风险时则生成告警文件或者直接阻断对应的风险操作,提升整个第一网络的安全性。
请参考图6,图6示出了本申请实施例提供一种检测被监控设备的装置,应理解,该装置与上述图5方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。装置包括至少一个能以软件或固件的形式存储于存储器中或固化在装置的操作***中的软件功能模块,该提供一种检测被监控设备的装置包括:报文获取模块601、域名解析行为统计结果获取模块602以及检测结果获取模块603。
报文获取模块601,被配置为获取在域名解析设备与被监控设备之间传输的报文,其中,所述域名解析设备和所述被监控设备均部署于第一网络中,所述被监控设备被配置为通过所述域名解析设备进行域名解析。
域名解析行为统计结果获取模块602,被配置为根据多个所述报文得到与所述被监控设备对应的域名解析行为统计结果,其中,一个报文与所述被监控设备发出的一次域名解析任务对应。
检测结果获取模块603,被配置为至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,其中,所述检测结果用于表征所述被监控设备是否访问过第二网络,或者确认所述被监控设备是否具有至少两张网卡。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
本申请的一些实施例提供一种计算机存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如上述检测被监控设备的方法任一实施例所述的方法。
本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如上述检测被监控设备的方法任一实施例所述的方法。
如图7所示,本申请的一些实施例提供一种电子设备700,该电子设备700包括存储器710、处理器720以及存储在所述存储器710上并可在所述处理器720上运行的计算机程序,其中,所述处理器720通过总线730从存储器710读取程序并执行所述程序时可实现如上述检测被监控设备的方法中任意实施例所述的方法。
处理器520可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器520可以是微处理器。
存储器510可以用于存储由处理器520执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器520可以用于执行存储器510中的指令以实现图5中所示的方法。存储器510包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (18)
1.一种检测被监控设备的方法,应用于检测设备,其特征在于,所述方法包括:
获取在域名解析设备与被监控设备之间传输的报文,其中,所述域名解析设备和所述被监控设备均部署于第一网络中,所述被监控设备被配置为通过所述域名解析设备进行域名解析;
根据多个所述报文得到与所述被监控设备对应的域名解析行为统计结果,其中,一个报文与所述被监控设备发出的一次域名解析任务对应;
至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,其中,所述检测结果用于表征所述被监控设备是否访问过第二网络并确认所述被监控设备是否具有至少两张网卡;
其中,
所述获取在域名解析设备与被监控设备之间传输的报文,包括:
在监控时段内,获取由所述域名解析设备向所述被监控设备返回的至少一条域名解析结果报文,其中,每条域名解析结果至少包括对一条域名解析请求携带的域名进行解析得到的一个第一IP地址;
所述根据多个所述报文得到与所述被监控设备对应的域名解析行为统计结果,包括:
记录与所述至少一条域名解析结果报文中的各条域名解析结果报文对应的第一IP地址,得到第一IP地址列表;
所述至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,包括:
根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果,其中,所述第一检测结果用于表征所述被监控设备是否具有所述至少两张网卡,所述第一检测结果是通过访问比例与阈值的大小关系得到的,所述访问比例是根据第二IP地址列表得到的,所述第二IP地址列表是被所述被监控设备访问的访问IP地址统计结果,所述第二IP地址列表是通过记录所述被监控设备各次访问的第二IP地址得到的,所述第二IP地址为所述各次访问的目的IP地址。
2.如权利要求1所述的方法,其特征在于,所述报文是将所述被监控设备的流量全部镜像至所述检测设备得到的,或,所述报文是将所述检测设备串联进所述第一网络得到的。
3.如权利要求1所述的方法,其特征在于,在所述根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果之前,所述方法还包括:
获取所述被监控设备的访问行为统计结果,其中,所述访问行为统计结果用于表征所述被监控设备在获得所述域名解析结果报文后的访问行为;
所述至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,包括:
根据所述访问行为统计结果和所述域名解析行为统计结果得到所述第一检测结果。
4.如权利要求3所述的方法,其特征在于,
所述获取所述被监控设备的访问行为统计结果,包括:
记录所述被监控设备在各次访问时的所述第二IP地址,得到所述第二IP地址列表,其中,所述第二IP地址为所述各次访问的目的IP地址;
所述根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果,包括:
根据所述第二IP地址列表得到所述访问比例,并根据所述访问比例得到所述第一检测结果。
5.如权利要求4所述的方法,其特征在于,所述第一IP地址列表记录N条第一IP地址,其中,N为大于或等于1的整数;其中,
所述根据所述第二IP地址列表得到所述访问比例,包括:
根据所述第二IP地址列表确认所述第一IP地址列表中存在M个第一IP地址被所述被监控设备访问,其中,M为大于或等于0的整数,且M小于或等于N;
计算M与N的比值得到所述访问比例;
所述根据所述访问比例得到所述第一检测结果,包括:
根据所述访问比例与阈值的大小关系得到所述第一检测结果。
6.如权利要求5所述的方法,其特征在于,所述根据所述访问比例与阈值的大小关系得到所述第一检测结果,包括:
若确认所述访问比例小于所述阈值则确认所述被监控设备被配置有至少两张网卡,其中,所述至少两张网卡中的第一网卡用于访问所述第一网络,所述至少两张网卡中的除所述第一网卡外的网卡用于访问第二网络;
若确认所述访问比例大于或等于所述阈值则确认所述被监控设备被配置有一张网卡,其中,所述网卡用于对所述第一网络中的设备进行访问。
7.如权利要求1所述的方法,其特征在于,
所述获取在域名解析设备与被监控设备之间传输的报文,包括:
针对一次域名解析过程,获取由所述被监控设备向所述域名解析设备发送的域名解析请求报文,或者,获取由所述域名解析设备向所述被监控设备返回的域名解析结果报文,其中,所述域名解析结果或者所述域名解析请求报文均包括待解析的域名;
所述根据多个所述报文得到所述被监控设备的域名解析行为统计结果,包括:
在监控时段内,获取所有的所述待解析的域名并记录所述域名,得到待解析域名集合;
所述至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,包括:
至少根据所述待解析域名集合得到第二检测结果,其中,所述第二检测结果用于表征所述被监控设备是否访问过所述第二网络。
8.如权利要求7所述的方法,其特征在于,所述至少根据所述待解析域名集合得到第二检测结果,包括:
从所述待解析域名集合中筛选出属于预设访问域名列表中的域名,得到目标待分析域名集合;
根据所述目标待分析域名集合得到所述第二检测结果。
9.如权利要求8所述的方法,其特征在于,所述预设访问域名列表包括禁止访问域名列表或者允许访问域名列表,其中,所述禁止访问域名列表中的各域名属于禁止所述被监控设备访问的域名,所述允许访问域名列表中的域名属于允许所述被监控设备访问的域名。
10.如权利要求9所述的方法,其特征在于,所述目标待分析域名集合是通过所述禁止访问域名列表得到的,其中,
所述根据所述目标待分析域名集合得到所述第二检测结果,包括:
获取所述目标待分析域名集合中域名的种类总数目;
若所述种类总数目大于预设种类阈值则确认所述被监控设备访问过所述第二网络;或者,若所述种类总数目小于或等于预设种类阈值则确认所述被监控设备未访问过所述第二网络。
11.如权利要求9所述的方法,其特征在于,其特征在于,所述目标待分析域名集合是通过所述禁止访问域名列表得到的,其中,
所述根据所述目标待分析域名集合得到所述第二检测结果,包括:
统计所述目标待分析域名集合中目标域名的出现次数,得到所述目标域名的总次数;
若确认所述总次数大于出现次数阈值则确认所述被监控设备访问过所述第二网络;或者,若所述总次数小于或等于出现次数阈则确认所述被监控设备未访问过所述第二网络。
12.如权利要求9所述的方法,其特征在于,所述目标待分析域名集合是通过所述允许访问域名列表得到的,其中,
所述根据所述目标待分析域名集合得到所述第二检测结果,包括:
获取所述目标待分析域名集合中域名的种类总数目;
若所述种类总数目大于预设种类阈值则确认所述被监控设备未访问过所述第二网络;或者,若所述种类总数目小于或等于预设种类阈值则确认所述被监控设备访问过所述第二网络。
13.如权利要求9所述的方法,其特征在于,所述目标待分析域名集合是通过所述允许访问域名列表得到的,其中,
所述根据所述目标待分析域名集合得到所述第二检测结果,包括:
统计所述目标待分析域名集合中目标域名的出现次数,得到所述目标域名的总次数;
若确认所述总次数大于出现次数阈值则确认所述被监控设备未访问过所述第二网络;或者,若所述总次数小于或等于出现次数阈则确认所述被监控设备访问过所述第二网络。
14.如权利要求8-13任一项所述的方法,其特征在于,所述第一网络为内网网络,所述第二网络为外网网络。
15.如权利要求1所述的方法,其特征在于,在所述至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果之后,所述方法还包括:
若确认所述检测结果表征所述被监控设备具有所述至少两张网卡或者确认所述被监控设备存在访问所述第二网络的情况时,则生成告警文件或者执行阻断策略。
16.一种检测被监控设备的装置,其特征在于,所述装置包括:
报文获取模块,被配置为获取在域名解析设备与被监控设备之间传输的报文,其中,所述域名解析设备和所述被监控设备均部署于第一网络中,所述被监控设备被配置为通过所述域名解析设备进行域名解析;
域名解析行为统计结果获取模块,被配置为根据多个所述报文得到所述被监控设备的域名解析行为统计结果,其中,一个报文与所述被监控设备发出的一次域名解析任务对应;
检测结果获取模块,被配置为至少根据所述域名解析行为统计结果获取对所述被监控设备的检测结果,其中,所述检测结果用于表征所述被监控设备是否访问过第二网络并确认所述被监控设备是否具有至少两张网卡;
其中,
所述报文获取模块还被配置为:
在监控时段内,获取由所述域名解析设备向所述被监控设备返回的至少一条域名解析结果报文,其中,每条域名解析结果至少包括对一条域名解析请求携带的域名进行解析得到的一个第一IP地址;
所述域名解析行为统计结果获取模块还被配置为:
记录与所述至少一条域名解析结果报文中的各条域名解析结果报文对应的第一IP地址,得到第一IP地址列表;
所述检测结果获取模块还被配置为:
根据所述被监控设备对所述第一IP地址列表中地址的访问比例得到第一检测结果,其中,所述第一检测结果用于表征所述被监控设备是否具有所述至少两张网卡,所述第一检测结果是通过访问比例与阈值的大小关系得到的,所述访问比例是根据第二IP地址列表得到的,所述第二IP地址列表是被所述被监控设备访问的访问IP地址统计结果所述第二IP地址列表是通过记录所述被监控设备各次访问的第二IP地址得到的,所述第二IP地址为所述各次访问的目的IP地址。
17.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现如权利要求1-15中任意一项权利要求所述的方法。
18.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如权利要求1-15中任意一项权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210818919.6A CN115190108B (zh) | 2022-07-12 | 2022-07-12 | 一种检测被监控设备的方法、装置、介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210818919.6A CN115190108B (zh) | 2022-07-12 | 2022-07-12 | 一种检测被监控设备的方法、装置、介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115190108A CN115190108A (zh) | 2022-10-14 |
| CN115190108B true CN115190108B (zh) | 2023-07-18 |
Family
ID=83518604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210818919.6A Active CN115190108B (zh) | 2022-07-12 | 2022-07-12 | 一种检测被监控设备的方法、装置、介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115190108B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116155549B (zh) * | 2022-12-23 | 2023-12-29 | 武汉雨滴科技有限公司 | 终端外联检测方法、装置、电子设备及存储介质 |
| CN117376030B (zh) * | 2023-12-06 | 2024-03-26 | 深圳依时货拉拉科技有限公司 | 流量异常检测方法、装置、计算机设备及可读存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750480A (zh) * | 2005-09-29 | 2006-03-22 | 西安交大捷普网络科技有限公司 | 一种内网计算机非法外联的检测方法 |
| CN101272380A (zh) * | 2008-02-19 | 2008-09-24 | 北大方正集团有限公司 | 一种网络行为管理的方法、***及装置 |
| CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
-
2022
- 2022-07-12 CN CN202210818919.6A patent/CN115190108B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN115190108A (zh) | 2022-10-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115190108B (zh) | 一种检测被监控设备的方法、装置、介质及电子设备 | |
| US11057427B2 (en) | Method for identifying phishing websites and hindering associated activity | |
| US7526806B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
| CN103701793B (zh) | 服务器肉鸡的识别方法和装置 | |
| US9830453B1 (en) | Detection of code modification | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| CN109428857B (zh) | 一种恶意探测行为的检测方法和装置 | |
| CN109889511B (zh) | 进程dns活动监控方法、设备及介质 | |
| CN109561097B (zh) | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 | |
| CN109067794B (zh) | 一种网络行为的检测方法和装置 | |
| CN112016078A (zh) | 一种登录设备的封禁检测方法、装置、服务器和存储介质 | |
| CN111030887B (zh) | web服务器发现方法、装置和电子设备 | |
| CN109361574A (zh) | 基于JavaScript脚本的NAT检测方法、***、介质和设备 | |
| CN108076006B (zh) | 一种查找被攻击主机的方法及日志管理服务器 | |
| CN111193727A (zh) | 运行监测***及运行监测方法 | |
| CN114301700A (zh) | 调整网络安全防御方案的方法、装置、***及存储介质 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及*** | |
| CN111131203B (zh) | 一种外联监控方法及装置 | |
| CN109218461B (zh) | 一种检测隧道域名的方法及装置 | |
| CN111970262A (zh) | 网站的第三方服务启用状态的检测方法、装置和电子装置 | |
| CN111625700A (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
| EP3531279A1 (en) | Method and apparatus for detecting page redirection circulation | |
| CN109194621B (zh) | 流量劫持的检测方法、装置及*** | |
| CN113923039A (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
| CN108055246B (zh) | 一种非正常网络空间资产自动加入黑名单的控制*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |