本發明公開了一種可信威脅情報的物聯網終端安全控制方法以及系統，屬于電網終端安全技術領域。本發明一種可信威脅情報的物聯網終端安全控制方法，評估出一段時間內網絡中有多少終端訪問了某一個威脅域名，或是感染了同類的惡意程序，便于客戶及時確定影響范圍，形成應急處理方案。本發明利用DNS緩存探測技術，結合泛在電力物聯網威脅情報，對網絡面臨的安全威脅和風險進行識別感知，實現無流量鏡像條件下泛在終端威脅在線檢測，滿足泛在電力物聯網環境下對跨平臺、跨裝備的終端威脅檢測的需求，提升公司內部網絡安全威脅檢測能力。

技術領域

本發明涉及一種可信威脅情報的物聯網終端安全控制方法以及系統，屬于電網終端安全技術領域。

背景技術

中國專利(授權公告號CN103327015B)公開了一種基于DNS緩存探測的特定區域惡意代碼感染主機規模估計方法。該方法通過對特定區域范圍內DNS解析器進行探測，收集惡意域名在各個DNS解析器中的緩存信息，并基于該信息構建貝葉斯預測濾波模型，估計惡意代碼在相應網絡域中感染主機的規模。

但上述專利中并未提及如何維護威脅情報使其長期有效，在實際應用中存在威脅情報可信的問題。

進一步，上述方法在探測服務器上進行的DNS緩存探測方法在實際應用中會出現運營商DNS緩存劫持，運營商為了節省寬帶結算費用，會將探測服務器發送的DNS請求攔截轉發到運營商自建的DNS服務器，而后運營商通過修改目標地址的方法將解析請求返回給探測服務器。運營商DNS緩存劫持過程導致無法將探測數據發送到被監控的DNS服務器上，導致緩存探測結果準確性大大降低，無法獲取實際需探測DNS服務器上的緩存數據。

發明內容

針對現有技術的缺陷，本發明的目的在于提供一種通過機器學習的方法實現威脅情報可信評估，包括有情報采集、情報家族構建、情報存儲、情報知識庫、情報可信分析和情報數據交互等功能；通過威脅情報可信評估獲取準確的威脅情報，極大的提高了終端威脅告警精準性，減少誤報、漏報等問題的物聯網終端安全控制方法以及系統。

本發明的另一目的在于提供一種在網絡中架設緩存檢測服務器并進行抓包，探測服務器首先向緩存檢測服務器發送約定過的DNS請求數據，如緩存檢測服務器接收到由探測服務器發送的約定DNS請求數據后，則判斷通信鏈路中不存在運營商DNS緩存劫持，進而探測服務器向被檢測DNS服務器發送緩存探測請求；

如緩存檢測服務器在單位時間內未能收到約定的DNS請求數據，緩存檢測服務器則通知探測服務器存在運營商DNS緩存劫持，此時緩存探測服務器將開啟全局代理模式，通過預設的無運營商DNS緩存劫持鏈路向被檢測DNS發送緩存探測請求的能夠有效提高緩存探測結果準確性，能夠準確獲取實際需探測DNS服務器上的緩存數據的可信威脅情報的物聯網終端安全控制方法以及系統。

為實現上述目的一，本發明的技術方案為：

一種可信威脅情報的物聯網終端安全控制方法，

主要包括以下步驟：

第一步，探測服務器向被檢測DNS服務器發送緩存探測請求；

第二步，從可信威脅情報庫獲取待探測域名列表；

第三步，對DNS緩存進行探測，通過在DNS請求數據包中設置關閉遞歸查詢標志位，再從待探測域名列表中獲取域名后向待檢測DNS服務器發送緩存查詢請求，并記錄和處理探測結果；

如果探測結果發現，檢測DNS服務器存在威脅域名以及惡意程序，則進行第四步；

否則進行第七步；

第四步，對探測到的存在威脅域名以及惡意程序的情報，

利用機器算法進行威脅情報可信評估，進而區分是可信情報還是不可信威脅情報，如果是可信情報，則進行第五步；

否則進行第七步；