技术摘要：
本发明公开了一种可信威胁情报的物联网终端安全控制方法以及系统，属于电网终端安全技术领域。本发明一种可信威胁情报的物联网终端安全控制方法，评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序，便于客户及时确定影响范围，形成应  全部
背景技术：
中国专利(授权公告号CN103327015B)公开了一种基于DNS缓存探测的特定区域恶 意代码感染主机规模估计方法。该方法通过对特定区域范围内DNS解析器进行探测，收集恶 意域名在各个DNS解析器中的缓存信息，并基于该信息构建贝叶斯预测滤波模型，估计恶意 代码在相应网络域中感染主机的规模。 但上述专利中并未提及如何维护威胁情报使其长期有效，在实际应用中存在威胁 情报可信的问题。 进一步，上述方法在探测服务器上进行的DNS缓存探测方法在实际应用中会出现 运营商DNS缓存劫持，运营商为了节省宽带结算费用，会将探测服务器发送的DNS请求拦截 转发到运营商自建的DNS服务器，而后运营商通过修改目标地址的方法将解析请求返回给 探测服务器。运营商DNS缓存劫持过程导致无法将探测数据发送到被监控的DNS服务器上， 导致缓存探测结果准确性大大降低，无法获取实际需探测DNS服务器上的缓存数据。
技术实现要素：
针对现有技术的缺陷，本发明的目的在于提供一种通过机器学习的方法实现威胁 情报可信评估，包括有情报采集、情报家族构建、情报存储、情报知识库、情报可信分析和情 报数据交互等功能；通过威胁情报可信评估获取准确的威胁情报，极大的提高了终端威胁 告警精准性，减少误报、漏报等问题的物联网终端安全控制方法以及系统。 本发明的另一目的在于提供一种在网络中架设缓存检测服务器并进行抓包，探测 服务器首先向缓存检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探 测服务器发送的约定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而 探测服务器向被检测DNS服务器发送缓存探测请求； 如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器 则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通 过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求的能够有效提高缓存 探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据的可信威胁情报的物 联网终端安全控制方法以及系统。 为实现上述目的一，本发明的技术方案为： 一种可信威胁情报的物联网终端安全控制方法， 主要包括以下步骤： 第一步，探测服务器向被检测DNS服务器发送缓存探测请求； 第二步，从可信威胁情报库获取待探测域名列表； 5 CN 111600842 A 说　明　书 2/10 页 第三步，对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位， 再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理 探测结果； 如果探测结果发现，检测DNS服务器存在威胁域名以及恶意程序，则进行第四步； 否则进行第七步； 第四步，对探测到的存在威胁域名以及恶意程序的情报， 利用机器算法进行威胁情报可信评估，进而区分是可信情报还是不可信威胁情 报，如果是可信情报，则进行第五步； 否则进行第七步； 威胁情报可信评估主要包括有情报采集、情报家族构建、情报存储、情报知识库、 情报可信分析和情报数据交互； 第五步，通过一系列缓存更新时间来计算出DNS查询的总发送速率； 通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速 率； 根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名 的主机数量； 第六步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是 感染了同类的恶意程序，便于客户及时确定影响范围，形成应急处理方案； 第七步，当前网络环境安全，继续对网络中威胁域名和恶意程序威胁态势进行监 控、评估、预警。 当物联网终端感染僵尸网络等恶意程序后，受感染终端往往会通过恶意程序中预 置的域名与黑客主控端建立通信连接，从而受到黑客控制，给企业网络安全带来更进一步 的威胁。 本发明利用DNS缓存探测技术，结合泛在电力物联网威胁情报，对网络面临的安全 威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力 物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测 能力。 具体来说： 1、解决泛在电力物联网痛点，弥补泛终端管控短板。 随着物联网终端设备的激增，大量物联网设备产生大量网络流量，而传统的基于 流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓 存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的恶 意程序威胁发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜 在网络威胁和隐秘通信的检测能力。 2、提升公司泛在物联网终端主动防护能力 传统windows、Linux等系统可以通过安装杀毒软件实现终端管控，但泛在物联网 设备种类不同、型号各异、嵌入式系统各异，导致传统的补丁升级、病毒防御、端点保护等技 术无法发挥防御效果。通过引入泛在电力物联网威胁情报技术，实现对僵尸网络、蠕虫病 毒、C&C节点、Tor节点、匿名代理、DGA域名、挖矿木马、间谍软件、勒索软件、攻击页面、钓鱼 6 CN 111600842 A 说　明　书 3/10 页 网站、垃圾邮件等多种类型高级威胁进行实时监测。 3、支撑护网行动，实现全网安全事件态势感知。 能够加强国网公司所属设备与系统的安全事件分析与处置，协助国网公司开展护 网行动、重大活动及会议的网络安全保障，提升网络安全队伍快速响应处置能力，提高安全 事件的态势感知。 4、向国家监管机关输出安全预警能力，提升工作亮点。 由于本工具不需要监控流量和日志的特性，部署在互联网中即可对能源行业、全 国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头 兵的作用，向国家监管机关输出安全预警能力，提升工作亮点。 进一步，能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类 型，深度推断恶意通信的意图及内容。 为实现上述目的二，本发明的技术方案为： 所述第一步，在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存 检测服务器发送约定过的DNS请求数据，如缓存检测服务器接收到由探测服务器发送的约 定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检 测DNS服务器发送缓存探测请求； 如缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器 则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通 过预设的无运营商DNS缓存劫持链路向被检测DNS发送缓存探测请求。 本发明加入检测运营商DNS缓存劫持功能，能够有效提高缓存探测结果准确性，能 够准确获取实际需探测DNS服务器上的缓存数据，进而提高物联网终端的安全性。 作为优选技术措施： 所述第四步，所述机器算法为TransE算法和RNN算法；利用TransE算法和RNN算法 来区分可信情报和不可信威胁情报，从而达到威胁情报置信度判断。 作为优选技术措施： 可信威胁情报判断实现步骤如下： 步骤1：对多个共享平台的威胁情报文档进行分析和数据预处理，划分训练样本和 测试样本集； 步骤2：将威胁情报转化为三元组结构化数据，从时间、内容和领域知识三个维度， 结合TransE计算方法提取特征向量，构造输入特征空间中； 步骤3：训练集通过非监督贪婪逐层方法预训练，其中RNN算法逐层进行训练，得到 每一层的参数用于初始化，顶层设置BP网络，通过反向传播网络将误差自顶向下传播，微调 整个TransE网络直至收敛，得到基于TransE算法和RNN算法结合的可信判别分类器； 步骤4：将得到的特征空间输入到可信判别分类器中，得到威胁情报的二分类可信 判别结果。 进一步，同时在威胁情报的基础上，利用本发明的电力物联网威胁域名推断算法， 结合不同网络中域名的共生特性，将已知恶意域名的恶意行传递给未知域名，推断所有未 知域名的恶意似然性，减少未知威胁域名漏报情况。 作为优选技术措施： 7 CN 111600842 A 说　明　书 4/10 页 所述第五步，缓存的更新时间被记录在一个一维数组中，对数组中所有元素，计算 数组后一个元素和前一个元素之间的差，并对这些差值求和。 作为优选技术措施： 为了测量域名的访问量，需要求出单个主机发送域名S的DNS查询速率； 这能够通过对DNS查询的到达间隔时间进行建模来得到； 对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名S的DNS查询 的间隔时间是独立同分布的随机变量； 在得到建模数据集之后，使用以下步骤来估测单个主机发送域名S的DNS查询的速 率C： (1)根据建模数据集，计算出每个主机发送域名S的DNS查询间隔时间序列； (2)绘制出DNS查询间隔时间序列的累积分布函数曲线； (3)使用指数分布对画出的累积分布函数曲线进行拟合； (4)曲线拟合完成后，指数分布函数的参数即为单个主机发送域名S的DNS查询的 速率。 作为优选技术措施： 对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名q的DNS查询 的间隔时间是独立同分布的随机变量；单个主机发送域名S的DNS查询的间隔时间符合指数 分布。 作为优选技术措施： n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量； 所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n，λ)； n表示访问域名的主机数量；因此伽马分布Gamma(n，λ)的总平均速率λ符合以下公 式： λ＝nλc 根据公式来估测访问域名的主机数量；通过DNS缓存探测估测出了DNS查询的总发 送速率λ，对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λc；推导 主机数量为： 。 作为优选技术措施： 每台主机发送域名S的DNS查询的间隔时间是独立同分布的指数随机变量；通过指 数随机变量的这个性质，能够推出一个结论：如果X1 … Xn是具有均值1/λ的独立同分布的 指数随机变量，则X1 … Xn是具有参数为n和λ的伽马分布； 所述伽马分布的计算公式为： 伽马分布的随机变量X的概率密度函数为： 其中伽马函数定义为： 8 CN 111600842 A 说　明　书 5/10 页 指数分布是a＝1的伽马分布，所以当n＝1时即具有密度为： 则由指数随机变量可以推导为： 。 一种可信威胁情报的物联网终端安全控制系统， 应用上述的一种可信威胁情报的物联网终端安全控制方法； 主要包括：信息采集层、数据分析层、功能层、展示层； 1、信息采集层 提供数据采集及处理功能，对系统基础数据进行预处理，完成DNS缓存记录探测、 DNS解析日志收集、威胁情报数据接入、外部API接口数据接入等多种处理环节，然后上传到 大数据处理平台进行统一分析处理； 2、数据分析层 主要提供系统实时与异步计算服务功能以及安全大数据分析服务；主要包含对信 息采集层的数据预处理、数据存储，通过威胁情报匹配、日志分析、威胁评估算法等技术手 段对元数据进行综合分析，分析结果结合原始记录及威胁摘要信息进行威胁确认，更新至 系统告警事件库和威胁信誉库； 3、功能层 提供系统安全功能服务，主要包含DNS缓存探测服务、恶意威胁监测算法、威胁规 模评估算法、失陷资产追溯服务、关联威胁推断算法等功能，支撑系统安全功能实现； 4、展示层 提供一套B/S架构的综合应用系统，实现对系统分析结果展示与数据分析业务；包 含威胁态势感知、风险预警、统计分析、威胁处置等可视化呈现功能。 与现有技术相比，本发明具有以下有益效果： 本发明利用DNS缓存探测技术，结合泛在电力物联网威胁情报，对网络面临的安全 威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力 物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测 能力。 具体来说： 1、解决泛在电力物联网痛点，弥补泛终端管控短板。 随着物联网终端设备的激增，大量物联网设备产生大量网络流量，而传统的基于 9 CN 111600842 A 说　明　书 6/10 页 流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓 存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的恶 意程序威胁发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜 在网络威胁和隐秘通信的检测能力。 2、提升公司泛在物联网终端主动防护能力 传统windows、Linux等系统可以通过安装杀毒软件实现终端管控，但泛在物联网 设备种类不同、型号各异、嵌入式系统各异，导致传统的补丁升级、病毒防御、端点保护等技 术无法发挥防御效果。通过引入泛在电力物联网威胁情报技术，实现对僵尸网络、蠕虫病 毒、C&C节点、Tor节点、匿名代理、DGA域名、挖矿木马、间谍软件、勒索软件、攻击页面、钓鱼 网站、垃圾邮件等多种类型高级威胁进行实时监测。 3、支撑护网行动，实现全网安全事件态势感知。 能够加强国网公司所属设备与系统的安全事件分析与处置，协助国网公司开展护 网行动、重大活动及会议的网络安全保障，提升网络安全队伍快速响应处置能力，提高安全 事件的态势感知。 4、向国家监管机关输出安全预警能力，提升工作亮点。 由于本工具不需要监控流量和日志的特性，部署在互联网中即可对能源行业、全 国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头 兵的作用，向国家监管机关输出安全预警能力，提升工作亮点。 进一步，能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类 型，深度推断恶意通信的意图及内容。 附图说明 图1为本发明DNS缓存探测工作流程图； 图2为本发明威胁情报可信判别原理图； 图3为本发明威胁情报可信判别流程图； 图4为应用本发明的管控示图； 图5为本发明恶意程序在线感知监测系统总体架构。