本发明实施例涉及卫星链路安全,特别涉及一种基于dns检测卫星链路安全的方法、装置、设备及介质。
背景技术:
1、近年来出现了一些apt组织,利用卫星链路来隐藏其指挥控制服务器的位置,以逃避追踪。apt组织通过截取卫星向地面终端下发的数据,解析出地面终端的卫星ip,然后将解析出的卫星ip与其指挥控制服务器的域名进行绑定,以利用合法用户的卫星ip作为伪装,与受感染的其他地面终端通过卫星链路实现通信。此时卫星链路已经被劫持,而在受感染终端侧,由于从卫星链路接收到的流量都是来自合法用户的卫星ip,因此不会被认为是可疑的。
2、可见,亟需提供一种检测卫星链路安全的方法,以及时发现和预警apt攻击行为。
技术实现思路
1、本发明实施例提供了一种基于dns检测卫星链路安全的方法、装置、设备及介质,能够对卫星链路进行安全检测,以及时发现和预警apt攻击行为。
2、一方面,提供了一种基于dns检测卫星链路安全的方法,用于对目标网络节点与卫星网络之间的目标卫星链路进行安全检测,所述方法包括:
3、确定当前采集周期内与所述目标卫星链路相关的卫星ip;该相关的卫星ip包括所述目标网络节点的目标卫星ip和与所述目标卫星ip具有通信关系的其他卫星ip;其中,卫星ip是卫星供应商为网络节点分配的用于实现卫星通信的ip;
4、获取每一个相关卫星ip在当前采集周期内的域名系统dns流量,并基于所述dns流量确定每一个相关卫星ip所对应dns参量的统计值;
5、利用所述dns参量的统计值对所述dns参量在上一采集周期的基线值进行动态调整,并将动态调整后的基线值作为当前采集周期的基线值,以对所述dns参量的统计值进行异常检测,根据检测结果确定所述目标卫星链路是否安全。
6、另一方面,提供了一种基于dns检测卫星链路安全的装置,用于对目标网络节点与卫星网络之间的目标卫星链路进行安全检测,所述装置包括:
7、确定单元,用于确定当前采集周期内与所述目标卫星链路相关的卫星ip;该相关的卫星ip包括所述目标网络节点的目标卫星ip和与所述目标卫星ip具有通信关系的其他卫星ip;其中,卫星ip是卫星供应商为网络节点分配的用于实现卫星通信的ip;
8、获取单元,用于获取每一个相关卫星ip在当前采集周期内的域名系统dns流量,并基于所述dns流量确定每一个相关卫星ip所对应dns参量的统计值;
9、检测单元,用于利用所述dns参量的统计值对所述dns参量在上一采集周期的基线值进行动态调整,并将动态调整后的基线值作为当前采集周期的基线值,以对所述dns参量的统计值进行异常检测,根据检测结果确定所述目标卫星链路是否安全。
10、另一方面,提供了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器用于存放计算机程序,所述处理器用于执行所述存储器上所存放的计算机程序,以实现上述所述的基于dns检测卫星链路安全的方法的步骤。
11、另一方面,提供了一种计算机可读存储介质,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述所述基于dns检测卫星链路安全的方法的步骤。
12、另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述所述的基于dns检测卫星链路安全的方法的步骤。
13、本发明实施例提供了一种基于dns检测卫星链路安全的方法、装置、设备及介质,通过确定与目标卫星链路相关的卫星ip,可以获知在当前采集周期内有哪些网络节点与目标网络节点之间存在通信关系,这些卫星ip中可能会存在可疑,通过获取每一个相关卫星ip在当前采集周期内的dns流量,然后利用该dns流量确定dns参量的统计值,由于卫星网络具有高动态性,在正常情况下不同采集周期的统计值会受这种高动态性的影响,因此,在不同采集周期内不能使用固定的基线值,在每一个当前采集周期内,需要结合当前采集周期的采集数据对基线值进行动态调整,以使基线值能够反映卫星网络的最新变化,如此,利用动态调整后的基线值对当前采集周期内dns参量的统计值进行异常检测,能够更准确地检测出目标卫星链路是否安全,从而及时发现和预警apt攻击行为。
1.一种基于dns检测卫星链路安全的方法,其特征在于,用于对目标网络节点与卫星网络之间的目标卫星链路进行安全检测,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述dns参量包括域名、查询频率、存活时间和地理位置中的至少一种。
3.根据权利要求1所述的方法,其特征在于,所述利用所述dns参量的统计值对所述dns参量在上一采集周期的基线值进行动态调整,包括:
4.根据权利要求3所述的方法,其特征在于,所述利用指数加权平均法对所述dns参量在上一采集周期的基线值进行平滑处理,包括:
5.根据权利要求4所述的方法,其特征在于,在所述利用指数加权平均法对所述dns参量在上一采集周期的基线值进行平滑处理之前,还包括:
6.根据权利要求1-5中任一所述的方法,其特征在于,所述利用当前采集周期的基线值对所述dns参量的统计值进行异常检测,包括:
7.一种基于dns检测卫星链路安全的装置,其特征在于,用于对目标网络节点与卫星网络之间的目标卫星链路进行安全检测,所述装置包括:
8.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器用于存放计算机程序,所述处理器用于执行所述存储器上所存放的计算机程序,以实现上述权利要求1-6任一所述方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法的步骤。
10.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法的步骤。
