CN107534646A - 用于确定dns分组是否为恶意的提取数据分类 - Google Patents
用于确定dns分组是否为恶意的提取数据分类 Download PDFInfo
- Publication number
- CN107534646A CN107534646A CN201580079005.0A CN201580079005A CN107534646A CN 107534646 A CN107534646 A CN 107534646A CN 201580079005 A CN201580079005 A CN 201580079005A CN 107534646 A CN107534646 A CN 107534646A
- Authority
- CN
- China
- Prior art keywords
- dns
- extracted
- data
- malice
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文的示例公开了从域名系统(DNS)分组内的有效载荷字段中提取数据。根据与所提取的数据相关联的风险级别对所提取的数据进行分类。基于分类,可以将DNS分组确定为恶意的。
Description
背景技术
域名系统(DNS)使得应用能够基于用户友好的名称(例如,域名)而不是点分十进制表示法来在互联网上查找资源。在DNS系统中,客户端可以使用域名来请求互联网协议(IP)地址。
附图说明
在附图中,相同的附图标记指示相同的组件或框。以下具体实施方式参考附图,其中:
图1是包括用于从客户端与DNS服务器之间的业务中捕获DNS分组的装置的示例系统的框图,
图2是包括用于基于从DNS分组内的有效载荷字段中提取域名来确定DNS分组是否为恶意的装置的示例系统的框图;
图3是可由联网设备执行以基于对来自有效载荷字段的所提取的数据进行的分类来确定DNS分组是否为恶意的示例方法的流程图;
图4是可由计算设备执行以基于DNS分组是恶意的还是良性的来相应地记录DNS分组或者丢弃DNS分组的示例方法的流程图;
图5是可由计算设备执行以通过根据风险级别对来自DNS分组内的有效载荷字段的所提取的数据进行分类来确定DNS分组是否为恶意的示例方法的流程图;
图6是具有用于执行机器可读存储介质中的指令的处理资源的示例计算设备的框图,该指令用于基于DNS分组是恶意的还是良性的来记录或者丢弃DNS分组;以及
图7是具有用于执行机器可读存储介质中的指令的处理资源的示例计算设备的框图,该指令用于基于对来自DNS分组的所提取的数据进行的分类来记录或者丢弃DNS分组。
具体实施方式
在DNS系统中,客户端可以使用域名来请求IP地址;但是,域名可能是恶意的。恶意域名被认为是不安全的,因为这些域可能被带有恶意意图或目的地操作。可以通过对DNS分组内的报头进行处理来识别这样的恶意域名。例如,对DNS分组的源进行识别,并且基于该源是否被认为是恶意的,DNS分组可以反过来被分类为恶意的。这是低效的,因为DNS分组的源可能未被感染,但是源可能会将分组指引到恶意域名。此外,该示例可能不可靠,因为源可能看起来未受到感染,因此DNS分组可能被错误地标记为良性。
为了解决这些问题,本文公开的示例提供了用于识别DNS分组是否为恶意的可靠且高效的机制。这些示例基于对有效载荷字段内的所提取的数据进行的分类来确定DNS分组是否为恶意的。该示例从DNS分组内的有效载荷字段中提取数据,并且根据风险级别来对所提取的数据进行分类。基于风险级别的分类,这些示例识别DNS分组是否为恶意的。对有效载荷字段内的所提取的数据进行分类提供了用于识别DNS分组是否为恶意的更加可靠且准确的机制。
在其它示例中,如果DNS分组被标记为恶意的,则示例记录DNS分组。如果DNS分组被标记为良性的,则示例丢弃DNS分组。如果DNS分组被识别为良性的则丢弃DNS分组允许丢弃良性DNS业务中的许多。这还提供了附加的效率,因为这样做减少了被记录的总业务量。
在本文讨论的其它示例中,根据风险级别对所提取的数据进行分类包括识别所提取的数据是否对应于已知恶意域的列表。如果所提取的数据不对应于已知恶意域中的任一个,则示例可以随后进行到识别所提取的数据是否对应于已知良性域名的列表。在已知良性名的列表之前针对已知恶意域名的列表对所提取的数据进行处理通过捕获恶意业务中的许多来提供附加的可靠性。
现在参考附图,图1是包括用于从DNS服务器104与客户端106之间的业务中捕获DNS分组102的装置108的系统的框图。在模块110处,装置108从DNS数据分组102内的有效载荷字段中提取数据。在模块112处,使用所提取的数据,装置108根据与所提取的数据相关联的风险级别对所提取的数据进行分类。根据风险级别对所提取的数据进行分类,装置108可以进行到在模块114处确定DNS分组是否为恶意的。图1的系统表示用于接收和发送DNS业务的联网系统。因此,该系统的实现方式包括域名系统(DNS)联网、广域网、传统网络、局域网(LAN)、以太网、光缆网络、软件定义网络(SDN)、或能够处理DNS业务的其它类型的联网系统。尽管图1示出了如包括组件104、106、以及108的系统,但是不应对实现方式进行限制,因为系统可以包括诸如辅助装置的附加组件和/或附加DNS服务器。该实现方式可以在下图中详细讨论。
DNS分组102被认为是联网数据分组,其是在(多个)客户端106与DNS服务器104之间作为DNS业务传送的数据的格式化单元。DNS分组102由包括报头和有效负载字段的至少两种数据构成。报头描述各种信息,例如,分组的类型(例如,DNS)、哪些有效载荷字段包含在DNS分组102中等。报头可以包括作为DNS分组102的一部分的IP报头和DNS报头。报头之后是多个有效载荷字段。有效载荷字段是DNS分组102中的包含用于所提取的数据的那些字段。在一个实现方式中,由装置提取的数据是其中客户端106正在寻找相应的IP地址的域名。有效载荷字段的实现方式可以包括(通过示例的方式)查询字段、响应字段、权限字段、以及附加字段。
DNS服务器104是名称服务器,其实现用于提供对于针对目录服务的查询的响应的网络服务。DNS服务器104接收来自客户端106的、用于将域名转换成被发送回请求者的IP地址的服务协议请求。作为响应,DNS服务器104将IP地址返回给请求者(例如,客户端106)。在另一实现方式中,DNS服务器104用于识别并定位与域名相对应的互联网上的计算机系统和资源。因此,DNS服务器104是这样的计算系统:其用于提供诸如数据存储、互联网连接的网络服务,以及提供对于针对目录服务的查询的响应。因此,DNS服务器104的实现方式包括局域网(LAN)服务器、web服务器、云服务器、网络服务器、文件服务器、或能够接收域名请求并且作为响应而返回(多个)IP地址的其它类型的计算设备。
客户端106是对如由DNS服务器104提供的目录服务进行访问的联网组件。以这种方式,客户端106与DNS服务器交换DNS业务。因此,客户端106将具有域名的DNS请求发送到DNS服务器104,并且接收具有所请求的IP地址的DNS响应。客户端106的实现方式包括路由器、服务器、移动设备、计算设备、联网交换机、虚拟联网组件、或能够与DNS服务器104交换DNS业务的其它类型的联网组件。虽然客户端106包括用于与DNS服务器104交换DNS业务的多个计算设备,但是不应对实现方式进行限制,因为客户端可以包括单个计算设备和/或虚拟设备。
装置108从DNS服务器104与(多个)客户端106之间的DNS业务中捕获DNS分组102。在一个实现方式中,装置108捕获作为业务传输的分组的副本。在该实现方式中,装置108在DNS服务器104与(多个)客户端106之间的DNS业务的背景下进行操作。装置108被认为是专用于进行数据提取和对所提取的数据的分类的联网设备。因此,装置108的实现方式包括(通过示例的方式)路由器、服务器、联网交换机、计算设备、虚拟网络组件、或能够提取数据并对所提取的数据进行分类的其它类型的联网组件。
在模块110-114处,装置108基于对所提取的数据进行的分类来确定DNS分组是否为恶意的。装置108从DNS分组102的有效载荷字段中提取数据。使用所提取的数据,装置108进行到根据风险级别对所提取的数据进行分类。风险级别向装置108指示DNS分组是否为恶意的。例如,所提取的数据的高风险级别分类指示DNS分组是恶意的。在另一示例中,所提取的数据的低风险级别分类指示DNS分组不是恶意的,并且可以表示该DNS分组是良性的。这可以在后面的图中详细讨论。模块110-114可以包括(通过示例的方式)指令(例如,存储在机器可读介质上),该指令在(例如,由装置108)执行时实现模块110-114的功能。可替代地或另外,模块110-114可以包括实现模块110-114的功能的电子电路(即,硬件)。
图2是包括用于从客户端206与DNS服务器204之间的DNS业务中捕获DNS分组202的装置208的示例系统的框图。DNS分组202包括报头和有效载荷字段214。在模块210处,装置208从有效载荷字段214中提取域名。在实现方式中,所提取的域名可以包括qname和/或aname。基于所提取的域名,在模块212处,装置208继续进行到将域名分类为高风险级别或低风险级别。在按照风险级别对域名进行分类时,装置208可以利用恶意域名列表216。恶意域名列表216(也称为黑名单)包括指向恶意网站的域名的列表。因此,装置208将所提取的数据与恶意域名列表216进行比较,以识别所提取的域名是否被认为是高风险级别。基于确定所提取的域名与恶意域名列表216不对应,装置208可以利用良性域名列表218。良性域名列表218(也称为白名单)包括已知指向安全网站的那些域名。如果在模块212处所提取的域被分类为高风险级别,则装置208指示DNS分组102为恶意的。基于确定DNS分组202为恶意的,在模块222处,装置208将DNS分组202发送到辅助装置220以记录DNS分组202。如果在模块212处所提取的域名被分类为低风险级别,则在模块224处装置208丢弃DNS分组202。
DNS分组202包括报头和有效载荷字段214。有效载荷字段214是DNS分组202中的包含用于由装置208提取的数据的那些字段。有效载荷字段214还包括由装置208在模块210处提取的域名。通过示例的方式,有效载荷字段214包括问题字段、答复字段、权限字段、和/或附加字段。在实现方式中,装置208从有效载荷字段214内的问题字段中提取qname形式的域名,和/或从有效载荷字段214内的答复字段中提取aname形式的域名。查询字段内的域名被称为qname,而答复字段内的域名被称为aname。尽管图2示出了答复字段中的aname,但是不应对实现方式进行限制,因为aname可以包括在权限字段和/或附加字段中。
在模块210-212处,装置208提取qname和/或aname形式的域名。使用所提取的域名,装置208继续进行到将域名分类为高风险级别或低风险级别。域名的分类是通过识别所提取的域名是否对应于恶意域名列表(即,黑名单)216中的至少一个名称来确定的。所提取的域名与黑名单的对应关系是指所提取的域名或相关的先代域出现在恶意域名列表216上。如果所提取的域名与恶意域名列表216没有对应关系,则装置进行到识别所提取的域名与良性域名列表218是否有对应关系。例如,装置208提取域名“shopping.abc.com”,从而装置208识别“shopping.abc.com”或相关的先代域“abc.com”是否出现在恶意域名列表216上。在此示例中,先代域名“abc.com”出现在恶意域名列表216上。这意味着所提取的域名“shopping.abc.com”对应于恶意域名列表216。模块210-212在功能上可以类似于如图1中的模块110-112。
恶意域名列表216表示指向已知恶意网站的那些域名。通过针对已知恶意域名列表216对所提取的域名进行处理,装置208能够识别所提取的数据是否被认为是高风险级别的。
良性域名列表218表示指向已知安全网站的那些域名。这些域名已知是安全的域名。装置208在恶意域名列表216之后针对良性名称列表218对所提取的域名进行处理。换言之,如果所提取的域名不对应于恶意域名列表216上的域名中的任一个,则装置208继续进行到针对良性域名列表218对所提取的域名进行处理。例如,如果所提取的域名包括“shopping.com”,则装置208识别“shopping.com”是否对应于恶意域名列表216。由于“shopping.com”不对应于恶意域名列表216,所以装置208继续进行到识别“shopping.com”是否对应于域名列表218。在该示例中,“shopping.com”出现在良性域名列表218上,因此“shopping.com”被认为与218具有对应关系。因此,“shopping.com”被分类为低风险级别,并且DNS分组202被识别为良性的(即,不是恶意的)。
辅助装置220基于装置208确定DNS分组202是恶意的来接收DNS分组202。在模块222处,辅助装置220可以继续进行到记录DNS分组。在实现方式中,辅助装置220位于DNS服务器204和装置208远处。以这种方式,辅助装置220被认为是独立于装置208的装置。辅助装置220在结构上可以类似于如图1-2中的装置108和208。
在模块222处,辅助装置220基于确定DNS分组202为恶意的来记录DNS分组。在记录过程中,DNS分组202本地存储在辅助装置220上以用于进行分析。这种分析可以包括确定请求方是否受到感染和/或目标设备是否受到感染。例如,模块222可以包括执行域生成算法检查,跟踪来自特定请求方和/或目标请求方的、在一段时间内生成的多个恶意DNS分组。分析可以向辅助装置220指示DNS分组202的源和/或托管域名的机器是否可能受到感染。
在模块224处,基于所提取的域名分类为低风险级别,装置208确定DNS分组202是良性的。基于确定DNS分组202是良性的,装置208继续进行到丢弃DNS分组202。丢弃DNS分组表示丢掉来自安全网站或指向安全网站的DNS分组。这减少了可以被记录以用于分析的业务。尽管图2将模块224示为位于装置208远处,但是这是出于示例说明的目的而进行的,因为模块224可以位于作为装置208的一部分处。
图3示出了用于基于对来自有效载荷字段的所提取的数据进行的分类来确定DNS分组是否为恶意的示例方法的流程图。该方法可由计算设备执行以确定DNS分组是否为恶意的。在业务在DNS服务器与(多个)客户端之间传输时,计算设备捕获DNS分组。使用捕获的DNS分组,计算设备提取有效载荷字段内的数据。所提取的数据可以包括(通过示例的方式)诸如问题字段中的qname和/或响应字段中的aname的域名。使用所提取的数据,计算设备根据与所提取的数据相关联的风险级别对所提取的数据进行分类。基于对所提取的数据进行的分类,计算设备确定DNS分组是否为恶意的。在实现方式中,如果计算设备确定DNS分组是恶意的,则计算设备记录DNS分组以用于进一步分析。如果计算设备确定DNS分组不是恶意的(例如,良性的),则计算设备丢弃DNS分组,因为有效载荷字段内的内容被认为是指向未感染的机器或安全的网站,并且因此被认为是安全的。在讨论图3时,可以参考图1-2中的组件,以提供上下文示例。在一个实现方式中,装置104执行操作302-306,以基于对来自有效载荷字段的所提取的数据进行的分类来确定DNS分组是否为恶意的。尽管图3被描述为由装置104实现,但是其可以是可在其它合适的组件上执行的。例如,图3可以以如图6-7中的机器可读存储介质604和704上的可执行指令的形式实现。
在操作302处,计算设备从DNS分组内的有效载荷字段中提取数据。当业务在客户端与DNS服务器之间流送时,计算设备捕获DNS分组。在捕获DNS分组时,计算设备对包括数据的有效载荷字段进行处理。所提取的数据是在DNS分组的有效载荷字段中传输的数据。因此,由计算设备提取的数据可以包括(通过示例的方式)域名、qname、aname等。在实现方式中,所提取的数据取决于DNS分组的类型。例如,计算设备可以从DNS请求分组中提取qname和/或从DNS响应分组中的资源记录中提取aname。在从DNS分组内的有效载荷字段中提取数据之后,计算设备继续进行到对所提取的数据进行分类。
在操作304处,计算设备根据与所提取的数据相关联的风险级别对在操作302处获得的所提取的数据进行分类。可以将所提取的数据与恶意域列表(即,黑名单)进行比较。如果所提取的数据或所提取的数据的先代域出现在黑名单上,则计算设备将DNS分组分类为高风险级别。以这种方式,如果所提取的数据和/或先代域出现在黑名单上,则所提取的数据对应于黑名单。在确定恶意域列表中的任一个都不对应于所提取的数据和/或先代域之后,计算设备可以继续进行到将所提取的数据与良性域列表(即,白名单)进行比较。如果所提取的数据和/或先代域对应于白名单,则将DNS分组分类为低风险级别。取决于与所提取的数据相关联的风险级别,计算设备确定DNS分组是恶意的还是不是恶意的(即,是良性的)。
在操作306处,计算设备基于与所提取的数据相关联的风险级别的分类来确定DNS分组是否为恶意的。如果所提取的数据被分类为高风险级别,则这向计算设备指示DNS分组是恶意的。如果所提取的数据被分类为低风险级别,则这向计算设备指示DNS分组不是恶意的(即,是良性的)。
图4示出了用于基于DNS分组是恶意的还是良性的来相应地记录DNS分组或丢弃DNS分组的示例方法的流程图。该方法可由计算设备执行以记录或丢弃DNS分组。计算设备从DNS分组中的有效载荷字段中提取数据。使用所提取的数据,计算设备将所提取的数据与恶意域列表进行比较。如果所提取的数据对应于恶意域列表,则这指示DNS分组是恶意的。响应于确定DNS分组是恶意的,计算设备记录DNS分组以用于进行分析。如果所提取的数据不对应于恶意域列表,则计算设备继续进行到确定所提取的数据是否对应于良性域列表。如果所提取的数据对应于良性域列表,则所提取的数据被认为是低风险级别的,并且指示该DNS分组是良性的。响应于确定DNS分组是良性的,计算设备丢弃该DNS分组。在讨论图4时,可以参考图1-2中的组件,以提供上下文示例。在一个实现方式中,装置104执行操作402-412,以确定DNS分组是否为恶意的并且相应地进行响应。虽然图4被描述为由装置104实现,但是其可以是可在其它合适的组件上执行的。例如,图4可以以如图6-7所示的机器可读存储介质604和704上的可执行指令的形式实现。
在操作402处,计算设备从DNS分组的有效载荷字段中提取数据。所提取的数据用于对所提取的数据是被认为是高风险级别的还是低风险级别的进行分类。该风险级别用于如在操作404和408处确定DNS分组是恶意的还是良性的。操作402在功能上可以类似于如图3中的操作302。
在操作404处,使用来自操作402的所提取的数据,计算设备继续进行到确定DNS分组是否为恶意的。在操作404处,计算设备针对恶意域名列表(也被称为黑名单)对所提取的数据进行处理。如果所提取的数据对应于恶意域名列表,则所提取的数据被分类为具有高风险级别。高风险级别向计算设备指示该DNS分组是恶意的。在确定DNS分组是恶意的之后,计算设备继续进行到在操作406处记录DNS分组。如果所提取的数据不对应于黑名单,则计算设备继续进行到在操作408处确定DNS分组是否为良性的。
在操作406处,如果如在操作404处计算设备确定DNS分组是恶意的,则计算设备记录DNS分组。在一个实现方式中,计算设备本地记录DNS分组,而在另一实现方式中,计算设备将DNS分组发送到另一计算设备以记录DNS分组。在记录过程中,计算设备存储DNS分组,以便对恶意DNS分组进行处理以用于进行分析。这样的分析可以包括确定请求方是否被感染和/或接收者是否可能被感染。在记录过程期间,计算设备确定请求方(例如,客户端)是否执行域生成算法(DGA)。DGA用于周期性地生成大量DNS业务,该DNS业务能够用作其中恶意软件的对应命令和控制服务器驻留在受感染的机器上的会合点。因此,计算设备可以跟踪来自特定请求方的、在一段时间内生成的多个恶意DNS分组。这向计算设备指示请求方是否可能被感染。
在操作408处,当在操作404处确定DNS分组不是恶意的之后,计算设备确定DNS分组是否为良性的。计算设备针对良性域名列表对所提取的数据进行处理。因此,如果所提取的数据或者如果所提取的数据的先代域出现在良性列表上,则这指示所提取的数据被分类为处于低风险级别。将所提取的数据分类为处于低风险级别暗示该DNS分组是良性的。
在操作410处,当在操作408处确定DNS分组是良性的之后,计算设备丢弃DNS分组。丢弃DNS分组表示丢掉来自未受感染的机器或指向未受感染的机器的DNS分组。这减少了可以被记录以用于进行分析的业务。
在操作412处,在确定DNS分组既不是恶意的也不是良性的之后,这可以指示DNS分组可能被指向潜在恶意域名的中间级别。指示域名为潜在恶意的该中间级别也称为灰名单。因此,计算设备可以记录DNS分组以用于进一步分析。操作412在功能上可以类似于操作406。
图5示出了用于通过对所提取的数据进行分类来确定DNS分组是否为恶意的示例方法的流程图。该方法通过针对恶意域名列表并且随后针对良性域名列表对所提取的数据进行处理来对所提取的数据进行分类。该方法可由计算设备执行,以将来自DNS分组内的有效载荷字段的所提取的数据分类为高风险级别或低风险级别。在讨论图5时,可以参考图1-2中的组件,以提供上下文示例。在一个实现方式中,装置104执行操作502-524以确定DNS分组是否为恶意的并且相应地进行响应。尽管图5被描述为由装置104实现,但是其可以是可在其它合适的组件上执行的。例如,图5可以以如图6-7中的机器可读存储介质604和704上的可执行指令的形式实现。
在操作502处,计算设备从DNS分组中提取数据。所提取的数据可以包括如操作504-508处的qname和/或aname的域名。操作502在功能上可以类似于如图3-4中的操作302和402。
在操作504-508处,计算设备从DNS分组内的有效载荷字段中提取域名。在实现方式中,所提取的域名包括qname和/或aname中的至少一个。qname是从DNS分组内的问题字段中提取的,而aname是从如图2所示的响应字段、权限字段、和/或附加字段中提取的。使用域名,计算设备继续进行到对所提取的数据进行分类。
在操作510处,计算设备根据风险级别对所提取的数据进行分类。在实现方式中,计算设备提取域名并且针对恶意域名列表(即,黑名单)对域名进行处理以将域名分类为高风险级别。在确定域名和祖先域都不对应于黑名单之后,计算设备继续进行到针对良性域名列表(即,白名单)对域名进行处理。如果所提取的域名对应于白名单,则所提取的数据被分类为低风险级别。操作510在功能上可以类似于如图3中的操作304。
在操作512处,计算设备针对恶意域名列表对所提取的域名进行处理。以这种方式,计算设备确定所提取的域名是否对应于黑名单中的域名中的一个。所提取的域名的对应关系包括针对所提取的域名或与所提取的域名相关的先代域名对黑名单进行搜索。如果黑名单包括类似的所提取的域名或先代域名,则在操作514处将所提取的域分类为高风险级别。
在操作514处,基于确定所提取的域名对应于黑名单上列出的域名中的至少一个,计算设备将所提取的数据(例如,所提取的域名)分类为高风险级别。将所提取的数据分类为高风险级别表示所提取的数据指向恶意域。因此,高风险级别分类指示DNS分组是恶意的。
在操作516处,如果所提取的数据不对应于黑名单上的域名中的任一个,则计算设备继续进行到针对良性域名列表对所提取的数据进行处理。如果所提取的数据对应于良性域名列表(即,白名单)上的域名中的一个,则计算设备继续进行到将所提取的数据分类为低风险级别。
在操作518处,基于确定所提取的数据对应于良性域名列表,计算设备将所提取的数据分类为低风险级别。低风险级别表示所提取的数据指向安全的域名。将所提取的数据分类为低风险级别向计算设备指示DNS分组是良性的。
在操作520处,计算设备使用所提取的数据的分类来确定DNS分组是否为恶意的。操作520在功能上可以类似于如图3中的操作306。
在操作522处,如果在操作510处计算设备将所提取的数据分类为高风险级别分类,则这指示DNS分组是恶意的。基于确定DNS分组是恶意的,计算设备可以继续进行到记录DNS分组。
在操作524处,如果在操作510处计算设备将所提取的数据分类为低风险级别,则这指示DNS分组是良性的。基于确定DNS分组是良性的,计算设备可以继续进行到丢弃DNS分组。
图6是具有用于执行机器可读存储介质604内的指令606-614的处理资源602的计算设备600的框图。具体地,具有处理资源602的计算设备600用于识别DNS分组是否为恶意的并反过来记录DNS分组或丢弃DNS分组。虽然计算设备600包括处理资源602和机器可读存储介质604,但是计算设备600还可以包括适合于本领域技术人员的其它组件。例如,计算设备600可以包括如图1中的装置104。计算设备600是具有能够执行指令606-614的处理资源602的电子设备,并且因此,计算设备600的实施例包括装置、联网设备、服务器、交换机、移动设备、台式计算机、膝上型计算机、平板电脑、或能够执行指令606-614的其它类型的电子设备。指令606-614可以被实现为方法、功能、操作、以及其它过程,其作为存储在存储介质604上的机器可读指令实现,存储介质604可以是非暂时性的,例如,硬件存储设备(例如,随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM、电可擦除ROM、硬盘驱动器、以及闪速存储器)。
处理资源602可以获取、解码、以及执行指令606-614,以识别DNS分组是否为恶意的,然后记录DNS分组或丢弃DNS分组。具体地,处理资源602执行指令606-614以用于:从DNS分组内的有效载荷字段中提取数据;按风险级别对所提取的数据进行分类,例如,高风险级别或低风险级别;基于对所提取的数据进行的分类来识别DNS分组是否为恶意的;在确定DNS分组是恶意的之后记录DNS分组;并且在确定DNS分组不是恶意的(例如,是良性的)之后丢弃DNS分组。
机器可读存储介质604包括用于使处理资源602获取、解码、以及执行的指令606-614。在另一实施例中,机器可读存储介质604可以是包含或存储可执行指令的电子、磁性、光学的存储器、存储装置、闪存驱动器、或其它物理设备。因此,机器可读存储介质604可以包括例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器、存储器高速缓存、网络存储、光盘只读存储器(CDROM)等。因此,机器可读存储介质604可以包括应用和/或固件,其可以独立地和/或与处理资源602结合地使用来获取、解码、和/或执行机器可读存储介质604中的指令。应用和/或固件可以存储在机器可读存储介质604上和/或存储在计算设备600的另一位置上。
图7是具有用于执行机器可读存储介质704内的指令706-724的处理资源702的计算设备700的框图。具体地,具有处理资源702的计算设备700用于捕获DNS分组并从DNS分组内的有效载荷字段中提取数据。根据风险级别对所提取的数据进行分类,并且基于分类,计算设备700可以继续进行到识别DNS分组是否为恶意的。虽然计算设备700包括处理资源702和机器可读存储介质704,但是计算设备700还可以包括适合于本领域技术人员的其它组件。例如,计算设备700可以包括如图1中的装置104。计算设备700是具有能够执行指令706-724的处理资源702的电子设备,并且因此,计算设备700的实施例包括装置、联网设备、服务器、交换机、移动设备、台式计算机、膝上型计算机、平板电脑、或能够执行指令706-724的其它类型的电子设备。指令706-724可以被实现为方法、功能、操作、以及其它过程,其作为存储在存储介质704上的机器可读指令实现,存储介质704可以是非暂时性的,例如,硬件存储设备(例如,随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM、电可擦除ROM、硬盘驱动器、以及闪速存储器)。
处理资源702可以获取、解码、以及执行指令706-724以捕获DNS分组并且识别DNS分组是否为恶意的。具体地,处理资源702执行指令706-724以用于:从去往DNS服务器的业务中捕获DNS分组;从DNS分组中的有效载荷字段中提取数据,包括至少提取qname和/或aname;从DNS分组内的问题字段中提取qname;从DNS分组内的答复字段中提取aname;根据风险级别对所提取的数据进行分类;对qname进行分类;对aname进行分类;确定与所提取的数据相关联的风险级别;基于与所提取的数据相关联的风险级别来识别DNS分组是否为恶意的;如果风险级别足够高以指示DNS分组是恶意的,则记录DNS分组;并且如果风险级别足够低以指示DNS分组不是恶意的(例如,是良性的),则丢弃DNS分组。
机器可读存储介质704包括用于使处理资源702获取、解码、以及执行的指令706-724。在另一实施例中,机器可读存储介质704可以是包含或存储可执行指令的电子、磁性、光学的存储器、存储装置、闪存驱动器、或其它物理设备。因此,机器可读存储介质704可以包括例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器、存储器高速缓存、网络存储、光盘只读存储器(CDROM)等。因此,机器可读存储介质704可以包括应用和/或固件,其可以独立地和/或与处理资源702结合地使用来获取、解码、和/或执行机器可读存储介质704中的指令。应用和/或固件可以存储在机器可读存储介质704上和/或存储在计算设备700的另一位置上。
虽然本文已经示出并描述了某些实施例,但是本领域普通技术人员将非常了解,为了实现相同目的而计算出的各种各样的替代的和/或等效的实施例或实现方式可以代替所示出和所描述的实施例,而不脱离本公开的范围。本领域技术人员将容易地理解,实施例可以以各种方式实现。本申请旨在覆盖本文讨论的实施例的改动或变化。因此,显而易见,旨在仅由权利要求及其等同内容来限定实施例。
Claims (15)
1.一种可由计算设备执行的方法,所述方法包括:
从域名系统(DNS)分组内的有效载荷字段中提取数据;
根据与所提取的数据相关联的风险级别来对所提取的数据进行分类;以及
基于所述分类来确定所述DNS分组是否为恶意的。
2.根据权利要求1所述的方法,还包括:
基于确定所述DNS分组是恶意的,记录所述DNS分组以用于分析;
基于确定所述DNS分组不是恶意的,丢弃所述DNS分组。
3.根据权利要求1所述的方法,其中,根据与所提取的数据相关联的所述风险级别来对所提取的数据进行分类包括:
针对恶意域列表来对所提取的数据进行处理;
响应于确定所提取的数据对应于所述恶意域列表,将所提取的数据分类为高级别风险;
响应于确定所提取的数据不对应于所述恶意域列表,针对良性域列表来对所提取的数据进行处理;以及
响应于确定所提取的数据对应于所述良性域列表,将所提取的数据分类为低级别风险。
4.根据权利要求3所述的方法,其中,所提取的数据包括多个域名,并且其中,根据与所述多个域名相关联的所述风险级别来对所述多个域名进行分类包括:
基于所述多个域名中的至少一个域名对应于所述恶意域列表,将所述多个域名分类为高风险级别;以及
基于所述多个域名中的至少一个域名对应于域名列表并且所述域名中的任一个域名都不对应于所述恶意域列表,将所述多个域名分类为低风险级别。
5.根据权利要求1所述的方法,其中,所述风险级别包括黑名单、白名单、或灰名单中的至少一个。
6.根据权利要求1所述的方法,其中,从所述DNS分组内的所述有效载荷字段中提取数据包括:
从所述DNS分组内的所述有效载荷字段中提取域名,所述域名包括qname或aname中的至少一个。
7.一种系统,包括:
装置,其用于:
对去往DNS服务器或来自DNS服务器的域名系统(DNS)分组进行处理;
从所述DNS分组内的有效载荷字段中提取数据;
根据与所提取的数据相关联的风险级别来对所提取的数据进行分类;以及
基于所述分类来确定所述DNS分组是否为恶意的。
8.根据权利要求7所述的系统,包括:
辅助装置,其用于:
如果所述装置确定所述DNS分组是恶意的,则记录所述DNS分组;以及
所述装置用于:
如果所述装置确定所述DNS分组不是恶意的,则丢弃所述DNS分组。
9.根据权利要求7所述的系统,其中,所述装置位于所述DNS服务器远处。
10.根据权利要求7所述的系统,其中,所述装置从所述DNS分组内的所述有效载荷字段中提取数据包括:
从所述DNS分组中提取域名。
11.一种非暂时性机器可读存储介质,包括当由处理资源执行时使得计算设备进行以下操作的指令:
从域名系统(DNS)分组内的有效载荷字段中提取数据;
根据与所提取的数据相关联的风险级别来对所提取的数据进行分类;以及
基于所述风险级别的分类来识别所述DNS分组是否为恶意的;
基于将所述DNS分组识别为恶意的来记录所述DNS分组。
12.根据权利要求11所述的非暂时性机器可读存储介质,包括当由所述处理资源执行时使得所述计算设备进行以下操作的指令:
捕获去往DNS服务器或来自DNS服务器的所述DNS分组。
13.根据权利要求11所述的非暂时性机器可读存储介质,其中,基于所述分类来识别所述DNS分组是否为恶意的包括当由所述处理资源执行时使得所述计算设备进行以下操作的指令:
确定与所提取的数据相关联的所述风险级别,其中,较高的风险级别指示所述DNS分组是恶意的,而较低的风险级别指示较低的风险级别。
14.根据权利要求11所述的非暂时性机器可读存储介质,其中,从所述DNS分组内的所述有效载荷字段中提取数据包括当由所述处理资源执行时使得所述计算设备进行以下操作的指令:
从去往服务器的所述DNS分组内的问题字段中提取qname。
15.根据权利要求11所述的非暂时性机器可读存储介质,其中,从所述DNS分组内的所述有效载荷字段中提取数据包括当由所述处理资源执行时使得所述计算设备进行以下操作的指令:
从来自服务器的所述DNS分组内的答复字段中提取aname。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2015/047497 WO2017039591A1 (en) | 2015-08-28 | 2015-08-28 | Extracted data classification to determine if a dns packet is malicious |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107534646A true CN107534646A (zh) | 2018-01-02 |
Family
ID=58188070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580079005.0A Pending CN107534646A (zh) | 2015-08-28 | 2015-08-28 | 用于确定dns分组是否为恶意的提取数据分类 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10764307B2 (zh) |
| EP (1) | EP3275150B1 (zh) |
| CN (1) | CN107534646A (zh) |
| WO (1) | WO2017039591A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10708282B2 (en) * | 2017-03-27 | 2020-07-07 | International Business Machines Corporation | Unauthorized data access detection based on cyber security images |
| CN110611640A (zh) * | 2018-06-15 | 2019-12-24 | 成都蓝盾网信科技有限公司 | 一种基于随机森林的dns协议隐蔽通道检测方法 |
| US11086711B2 (en) * | 2018-09-24 | 2021-08-10 | International Business Machines Corporation | Machine-trainable automated-script customization |
| US10924456B1 (en) | 2020-07-14 | 2021-02-16 | Centripetal Networks, Inc. | Methods and systems for efficient encrypted SNI filtering for cybersecurity applications |
| US11722504B2 (en) * | 2020-12-26 | 2023-08-08 | Nozomi Networks Sagl | Method and apparatus for detecting anomalies of a DNS traffic |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005390A (zh) * | 2006-01-20 | 2007-07-25 | 日立通讯技术株式会社 | 通信系统 |
| CN103944788A (zh) * | 2014-05-06 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 基于网络通信行为的未知木马检测方法 |
| WO2014138205A2 (en) * | 2013-03-05 | 2014-09-12 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting a compromised computing host |
| CN104246788A (zh) * | 2012-04-18 | 2014-12-24 | 迈克菲公司 | 检测并防止恶意移动应用程序的安装 |
| US20150195299A1 (en) * | 2014-01-07 | 2015-07-09 | Fair Isaac Corporation | Cyber security adaptive analytics threat monitoring system and method |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100751622B1 (ko) * | 1999-11-26 | 2007-08-22 | 네테카 인코포레이티드 | 네트워크 어드레스 서버, 도메인 명칭 분석 방법, 및 컴퓨터 판독 가능 기록 매체 |
| US7814180B2 (en) | 2000-07-13 | 2010-10-12 | Infoblox, Inc. | Domain name service server |
| US7757283B2 (en) | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
| US7926108B2 (en) | 2005-11-23 | 2011-04-12 | Trend Micro Incorporated | SMTP network security processing in a transparent relay in a computer network |
| FI20065179A0 (fi) | 2006-03-20 | 2006-03-20 | Nixu Sofware Oy | Kokonaisuudeksi koottu nimipalvelin |
| KR20080006395A (ko) | 2006-07-12 | 2008-01-16 | 엘지전자 주식회사 | 렌더링디바이스의 개수를 제한하는 장치 및 그 방법 |
| US8451806B2 (en) | 2006-08-21 | 2013-05-28 | Citrix Sysrems, Inc. | Systems and methods for pinging a user's intranet IP address |
| WO2008084729A1 (ja) | 2006-12-28 | 2008-07-17 | Nec Corporation | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
| KR101336458B1 (ko) * | 2007-01-03 | 2013-12-04 | 주식회사 케이티 | 인터넷에서 dns 서버의 실시간 이상 탐지 시스템 및방법 |
| US7936670B2 (en) | 2007-04-11 | 2011-05-03 | International Business Machines Corporation | System, method and program to control access to virtual LAN via a switch |
| EP2222048A1 (en) | 2009-02-24 | 2010-08-25 | BRITISH TELECOMMUNICATIONS public limited company | Detecting malicious behaviour on a computer network |
| KR20120007299A (ko) | 2010-07-14 | 2012-01-20 | 주식회사 건화 | 스팀 혼합 수성가스 연소 버너 |
| KR101157908B1 (ko) | 2010-07-20 | 2012-06-22 | 세기미래기술 주식회사 | 멀티미디어 기능이 추가된 방송용 동보장치 |
| US20120047571A1 (en) | 2010-08-17 | 2012-02-23 | Richard Jeremy Duncan | Systems and methods for detecting preselected query type within a dns query |
| KR101188305B1 (ko) * | 2010-12-24 | 2012-10-09 | 한국인터넷진흥원 | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 |
| KR101223931B1 (ko) * | 2011-01-28 | 2013-02-05 | 주식회사 코닉글로리 | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 |
| US8966625B1 (en) | 2011-05-24 | 2015-02-24 | Palo Alto Networks, Inc. | Identification of malware sites using unknown URL sites and newly registered DNS addresses |
| KR101538374B1 (ko) | 2011-07-29 | 2015-07-22 | 한국전자통신연구원 | 사이버 위협 사전 예측 장치 및 방법 |
| US8875223B1 (en) | 2011-08-31 | 2014-10-28 | Palo Alto Networks, Inc. | Configuring and managing remote security devices |
| KR101187023B1 (ko) | 2012-05-11 | 2012-09-28 | 주식회사 이글루시큐리티 | 네트워크 비정상 트래픽 분석시스템 |
| EP2901612A4 (en) | 2012-09-28 | 2016-06-15 | Level 3 Communications Llc | APPARATUS, SYSTEM AND METHOD FOR IDENTIFYING AND MITIGATING MALICIOUS THREATS ON A NETWORK |
| KR101544322B1 (ko) * | 2014-08-18 | 2015-08-21 | 명지대학교 산학협력단 | 시각화를 이용한 악성 코드 탐지 시스템과 방법 |
| US9225734B1 (en) * | 2014-09-10 | 2015-12-29 | Fortinet, Inc. | Data leak protection in upper layer protocols |
| US10193929B2 (en) * | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
| US9794229B2 (en) * | 2015-04-03 | 2017-10-17 | Infoblox Inc. | Behavior analysis based DNS tunneling detection and classification framework for network security |
| WO2016175846A1 (en) * | 2015-04-30 | 2016-11-03 | Hewlett Packard Enterprise Development Lp | Extracting data from network communications |
-
2015
- 2015-08-28 EP EP15903182.2A patent/EP3275150B1/en active Active
- 2015-08-28 WO PCT/US2015/047497 patent/WO2017039591A1/en active Application Filing
- 2015-08-28 CN CN201580079005.0A patent/CN107534646A/zh active Pending
- 2015-08-28 US US15/573,872 patent/US10764307B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005390A (zh) * | 2006-01-20 | 2007-07-25 | 日立通讯技术株式会社 | 通信系统 |
| CN104246788A (zh) * | 2012-04-18 | 2014-12-24 | 迈克菲公司 | 检测并防止恶意移动应用程序的安装 |
| WO2014138205A2 (en) * | 2013-03-05 | 2014-09-12 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting a compromised computing host |
| US20150195299A1 (en) * | 2014-01-07 | 2015-07-09 | Fair Isaac Corporation | Cyber security adaptive analytics threat monitoring system and method |
| CN103944788A (zh) * | 2014-05-06 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 基于网络通信行为的未知木马检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10764307B2 (en) | 2020-09-01 |
| WO2017039591A1 (en) | 2017-03-09 |
| EP3275150B1 (en) | 2019-08-07 |
| EP3275150A1 (en) | 2018-01-31 |
| EP3275150A4 (en) | 2018-04-18 |
| US20180295142A1 (en) | 2018-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107534646A (zh) | 用于确定dns分组是否为恶意的提取数据分类 | |
| US6618755B1 (en) | Automatically identifying subnetworks in a network | |
| US9379952B2 (en) | Monitoring NAT behaviors through URI dereferences in web browsers | |
| CN104205774B (zh) | 网络地址储存库管理 | |
| US20100174829A1 (en) | Apparatus for to provide content to and query a reverse domain name system server | |
| EP2154860A2 (en) | Secure distributed item-level discovery service using secret sharing | |
| CN107547488A (zh) | 一种dns隧道检测方法以及dns隧道检测装置 | |
| TW201342861A (zh) | 網域追蹤方法與系統及其電腦可讀取記錄媒體 | |
| CN105991564A (zh) | 报文处理方法及装置 | |
| US7907543B2 (en) | Apparatus and method for classifying network packet data | |
| CN105872119A (zh) | 域名解析系统的实现方法及装置 | |
| US20240146753A1 (en) | Automated identification of false positives in dns tunneling detectors | |
| CN1941771A (zh) | 用于面向服务的体系结构应用的Web服务信息管理方法和系统 | |
| TWI656778B (zh) | Malicious domain detection method combining network information and network traffic | |
| CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
| Ayoub et al. | DNS for IoT: a survey | |
| CN104092751B (zh) | 一种业务访问方法和设备 | |
| US10686817B2 (en) | Identification of a DNS packet as malicious based on a value | |
| CN105608082A (zh) | 一种数据处理方法、设备及系统 | |
| CN111953931A (zh) | 一种数据的共享方法、装置和存储介质 | |
| CN106161339A (zh) | 获取ip访问关系的方法及装置 | |
| CN104158921B (zh) | 局域网内的设备的筛选方法和装置 | |
| CN108259350A (zh) | 一种报文传输方法、装置及机器可读存储介质 | |
| CN107547382A (zh) | 一种邻居关系发现方法和装置 | |
| KR100937853B1 (ko) | 센서 네트워크 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180102 |
|
| WD01 | Invention patent application deemed withdrawn after publication |