一種定位內網中的受控主機的方法、設備及系統。所述方法包括：外網的檢測設備獲取內網主機向外網中的DNS服務器發送的DNS請求報文中攜帶的目標域名和內網主機的標識替代信息；檢測設備在檢測出目標域名為惡意域名且內網主機為受控內網主機的情況下，向內網中的查詢設備發送查詢請求，查詢請求包括目標域名和受控內網主機的標識替代信息；查詢設備根據目標域名和受控內網主機的標識替代信息，查詢映射表獲取受控內網主機的標識信息，并向檢測設備發送受控內網主機的標識信息。本申請在保證內網的隱私數據的安全性的前提下，實現快速地定位獲取到受控內網主機的標識信息。

技術領域

本申請實施例涉及網絡安全技術領域，特別涉及一種定位內網中的受控主機的方法、設備及系統。

背景技術

高級持續性威脅(Advanced Persistent Threat，APT)攻擊是指一些專業且有組織的黑客利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的一種攻擊手段。一些重點機構(如政府、企業、機關單位等)的網絡在遭受APT攻擊之后，位于外網的控制主機可以通過命令和控制(Command and Control，CC)指令對內網中的受控主機(以下稱為“受控內網主機”)進行控制，例如控制受控內網主機更新本地文件、探測內網中的其它主機等。

基于域名系統(Domain Name System，DNS)協議流量的CC異常檢測方法能夠識別出處于外聯階段的受控內網主機，外聯階段是指受控內網主機正在與控制主機進行通訊的階段。該方法主要通過對DNS協議流量進行分析，以檢測CC通訊異常。為了確保重點機構的網絡的安全性，互聯網安全監控機構(如公安網監)會從互聯網服務提供商(InternetService Provider，ISP)的DNS服務器中鏡像所有的DNS流量，通過對該DNS流量進行分析，以檢測上述重點機構的網絡是否遭受APT攻擊。進一步地，在檢測出重點機構的網絡遭受到APT攻擊的情況下，互聯網安全監控機構需要溯源定位出重點機構內網中的受控內網主機的互聯網協議(Internet Protocol，IP)地址，及時發出安全監控報告通報給重點機構的負責人，責令其對網絡進行整改，提高安全防護能力。

在一些重點機構的網絡中，經常會在網絡內部部署DNS代理(proxy)服務器，并且在網絡邊界部署網絡地址轉換(Network Address Translation，NAT)設備。因此，受控內網主機使用的地址是內網IP地址，受控內網主機發送的DNS請求報文的源IP地址在經過兩次轉換后，才會到達外網。其中一次轉換是由DNS代理服務器將受控內網主機發出的DNS請求報文中的源IP地址由受控內網主機的內網IP地址轉換為DNS代理服務器的IP地址，另一次轉換是由NAT設備對上述經DNS代理服務器轉換后的DNS請求報文中的源IP地址進行內外網地址轉換，由DNS代理服務器的IP地址轉換為公網IP地址。

這樣，互聯網安全監控機構中相關的分析設備需要收集上述NAT設備的NAT日志和DNS代理服務器的業務日志，對上述日志做關聯分析后才能溯源到受控內網主機的IP地址。具體來講，相關的分析設備首先基于NAT日志溯源得到DNS代理服務器的IP地址，然后基于DNS代理服務器的業務日志溯源得到受控內網主機的IP地址。

因此，上述現有技術提供的定位內網中的受控主機的方法，至少存在如下技術問題：

第一，效率低且實時性差；相關的分析設備需要做2次日志溯源分析才能定位到受控內網主機的IP地址，對日志進行分析需要耗費較多時間，且由于安全隔離網閘(GAP)的存在，不能保證日志能夠實時傳遞到上述分析設備；

第二，兼容性差；由于不同廠商的日志格式不統一，因此分析設備很難兼容適配不同廠商的NAT設備生成的NAT日志、也很難兼容適配不同廠商的DNS代理設備生成的業務日志。

發明內容

本申請實施例提供了一種定位內網中的受控主機的方法、設備及系統，用以解決現有技術提供的定位內網中的受控主機的方法所存在的效率低、實時性差以及兼容性差的問題。