[发明专利]一种可信威胁情报的物联网终端安全控制方法以及系统

说明书

本发明公开了一种可信威胁情报的物联网终端安全控制方法以及系统，属于电网终端安全技术领域。本发明一种可信威胁情报的物联网终端安全控制方法，评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序，便于客户及时确定影响范围，形成应急处理方案。本发明利用DNS缓存探测技术，结合泛在电力物联网威胁情报，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

技术领域

本发明涉及一种可信威胁情报的物联网终端安全控制方法以及系统，属于电网终端安全技术领域。

背景技术

中国专利(授权公告号CN103327015B)公开了一种基于DNS缓存探测的特定区域恶意代码感染主机规模估计方法。该方法通过对特定区域范围内DNS解析器进行探测，收集恶意域名在各个DNS解析器中的缓存信息，并基于该信息构建贝叶斯预测滤波模型，估计恶意代码在相应网络域中感染主机的规模。

但上述专利中并未提及如何维护威胁情报使其长期有效，在实际应用中存在威胁情报可信的问题。

进一步，上述方法在探测服务器上进行的DNS缓存探测方法在实际应用中会出现运营商DNS缓存劫持，运营商为了节省宽带结算费用，会将探测服务器发送的DNS请求拦截转发到运营商自建的DNS服务器，而后运营商通过修改目标地址的方法将解析请求返回给探测服务器。运营商DNS缓存劫持过程导致无法将探测数据发送到被监控的DNS服务器上，导致缓存探测结果准确性大大降低，无法获取实际需探测DNS服务器上的缓存数据。

发明内容

针对现有技术的缺陷，本发明的目的在于提供一种通过机器学习的方法实现威胁情报可信评估，包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情报数据交互等功能；通过威胁情报可信评估获取准确的威胁情报，极大的提高了终端威胁告警精准性，减少误报、漏报等问题的物联网终端安全控制方法以及系统。

本发明的另一目的在于提供一种在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；

如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求的能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据的可信威胁情报的物联网终端安全控制方法以及系统。

为实现上述目的一，本发明的技术方案为：

一种可信威胁情报的物联网终端安全控制方法，

主要包括以下步骤：

第一步，探测服务器向被检测DNS服务器发送缓存探测请求；

第二步，从可信威胁情报库获取待探测域名列表；

第三步，对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

如果探测结果发现，检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；

否则进行第七步；

第四步，对探测到的存在威胁域名以及恶意程序的情报，

利用机器算法进行威胁情报可信评估，进而区分是可信情报还是不可信威胁情报，如果是可信情报，则进行第五步；

否则进行第七步；