CN108322444A - 命令与控制信道的检测方法、装置和系统 - Google Patents
命令与控制信道的检测方法、装置和系统 Download PDFInfo
- Publication number
- CN108322444A CN108322444A CN201711498429.8A CN201711498429A CN108322444A CN 108322444 A CN108322444 A CN 108322444A CN 201711498429 A CN201711498429 A CN 201711498429A CN 108322444 A CN108322444 A CN 108322444A
- Authority
- CN
- China
- Prior art keywords
- sequence
- request
- detected
- response
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种命令与控制信道的检测方法、装置和系统。其中,该方法包括:获取待检测对象的第一请求序列,其中,第一请求序列中包括多个域名解析请求;变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列;发送第二请求序列至目标服务器,并接收目标服务器根据第二请求序列返回的第一响应序列;根据第一响应序列得到待检测对象的第一检测结果,其中,第一检测结果用于表征待检测对象是否使用命令与控制信道。本发明解决了现有技术中命令与控制信道的检测效率低的技术问题。
Description
技术领域
本发明涉及互联网安全领域,具体而言,涉及一种命令与控制信道的检测方法、装置和系统。
背景技术
恶意软件(Malware)是指通过特定的程序来控制另一台计算机。黑客可以利用恶意软件远程操控该计算机,任意毁坏或窃取主机上的文件和用户密码。受控主机就是被黑客攻破,种植了恶意软件的电脑。恶意软件通常通过连接CC服务器来获得命令,受控主机与CC服务器之间的连接及其使用的协议,成为恶意软件的控制信道,简称C2通道(Command&Control Channel)。DNS(全称为:Domain Name System)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库。域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个唯一的IP地址,在Internet上域名与IP地址之间是一一对应的,DNS就是进行域名解析的服务。
2017年Talos实验室发现并分析了一类新的恶意软件,使用DNS协议在恶意软件和CC服务器之间进行双向通信。为实现DNS偷渡,黑客会首先搭建DNS服务器,并注册大量域名,如malinfo.net,并将*.malinfo.net的解析都指向该DNS服务器,假设为Mal-DNS。这样,互联网中任意位置的主机,在查询malinfo.net及其子域名的时候,都会将请求发送到Mal-DNS服务器,使Mal-DNS成为进行CC控制的公共通信节点。CC服务器可以使用Mal-DNS来与受控主机通信,使用DNS协议传输C2控制信息,这种方式称为DNS偷渡。
由于DNS协议的分布式递归查询的特性,主机发出的DNS请求,一般都是经过LDNS(Local DNS)服务器转发给上层服务结点,这样在内网或者边界,安全设备无法感知到Mal-DNS的存在,所以也无法根据连接目标来进行C2的检测。
为了解决上述问题,传统的安全产品(如IDS)是目前常用的检测C2通道的方式,IDS对恶意软件控制信道的识别,主要使用两种方法:一种是基于已知知识的签名技术。它们手工分析已知恶意软件的静态特征和网络特征,提取字端或字段哈希值作为签名,对网络连接中传输的信息进行匹配识别;另一种是采用威胁情报来识别连接目标为已知CC服务器。由于主机只和LDNS通信,所以无法根据连接目标IP来检测。一种可行的方法是根据查询的域名来检测,通过分析恶意软件在DNS中查询的域名,制作威胁情报,并进行检测。
但是,由于DNS偷渡的C2信道,使用标准DNS协议来查询记录,其控制信息隐藏于域名和TXT等记录中,其内容非常便于混淆和隐藏,签名匹配方式基本无效。而且,域名和IP不同,由于域名的无限性,黑客非常容易去淘汰已经暴露的域名,保持通道的有效性。
针对现有技术中命令与控制信道的检测效率低的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种命令与控制信道的检测方法、装置和系统,以至少解决现有技术中命令与控制信道的检测效率低的技术问题。
根据本发明实施例的一个方面,提供了一种命令与控制信道的检测方法,包括:获取待检测对象的第一请求序列,其中,第一请求序列中包括多个域名解析请求;变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列;发送第二请求序列至目标服务器,并接收目标服务器根据第二请求序列返回的第一响应序列;根据第一响应序列得到待检测对象的第一检测结果,其中,第一检测结果用于表征待检测对象是否使用命令与控制信道。
进一步地,根据第一响应序列得到待检测对象的第一检测结果包括:获取第一请求序列对应的第二响应序列;判断第一响应序列与第二响应序列是否一致;如果第一响应序列与第二响应序列一致,则确定第一检测结果为待检测对象未使用命令与控制信道;如果第一响应序列与第二响应序列不一致,则确定第一检测结果为待检测对象使用命令与控制信道。
进一步地,在确定检测结果为待检测对象使用命令与控制信道的情况下,上述方法还包括:确定待检测对象安装有特定的应用程序,并对待检测对象发送的域名解析请求进行拦截。
进一步地,在获取待检测对象的第一请求序列之后,上述方法包括:将第一请求序列发送至目标服务器,并接收目标服务器根据第一请求序列返回的第二响应序列;将第二响应序列发送至待检测对象,并将第二响应序列进行存储。
进一步地,获取待检测对象的第一请求序列包括:获取待检测对象在预设时间段内连续发送的多个域名解析请求。
进一步地,在获取待检测对象的第一请求序列之前,上述方法还包括:获取多个对象发送的域名解析请求;对每个对象发送的域名解析请求进行自动生成域名检测或流量检测,得到每个对象的第二检测结果,其中,第二检测结果用于表征每个对象发送的域名解析请求中的域名是否为自动生成域名或每个对象发送的域名解析请求是否存在异常;在任意一个对象的第二检测结果为任意一个对象发送的域名解析请求中的域名为自动生成域名或每个对象发送的域名解析请求存在异常的情况下,确定任意一个对象为待检测对象。
根据本发明实施例的另一方面,还提供了一种命令与控制信道的检测方法,包括:获取第一序列;依据第一序列获取第二序列,其中,第二序列和第一序列中包含相同的域名解析请求,且第二序列和第一序列中域名解析请求的发送顺序不同;获取第一序列和第二序列的响应,并比较第一序列和第二序列的响应;依据比较结果确定是否存在命令与控制信道。
进一步地,依据比较结果确定是否存在命令与控制信道包括:在比较结果为第一序列和第二序列的响应一致的情况下,确定不存在命令与控制信道;在比较结果为第一序列和第二序列的响应不一致的情况下,确定存在命令与控制信道。
根据本发明实施例的另一方面,还提供了一种命令与控制信道的检测装置,包括:获取模块,用于获取待检测对象的第一请求序列,其中,第一请求序列中包括多个域名解析请求;第一处理模块,用于变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列;通信模块,用于发送第二请求序列至目标服务器,并接收目标服务器根据第二请求序列返回的响应序列;第二处理模块,用于根据响应序列得到待检测对象的第一检测结果,其中,第一检测结果用于表征待检测对象是否使用命令与控制信道。
根据本发明实施例的另一方面,还提供了一种命令与控制信道的检测装置,包括:第一获取模块,用于获取第一序列;第二获取模块,用于依据第一序列获取第二序列,其中,第二序列和第一序列中包含相同的域名解析请求,且第二序列和第一序列中域名解析请求的发送顺序不同;比较模块,用于获取第一序列和第二序列的响应,并比较第一序列和第二序列的响应;确定模块,用于依据比较结果确定是否存在命令与控制信道。
根据本发明实施例的另一方面,还提供了一种命令与控制信道的检测系统,包括:待检测对象,用于发送第一请求序列,其中,第一请求序列中包括多个域名解析请求;检测设备,与待检测对象具有通信关系,用于变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列,并发送第二请求序列至目标服务器;目标服务器,与检测设备具有通信关系,用于根据第二请求序列发送第一响应序列至检测设备;检测设备还用于根据第一响应序列得到待检测对象的第一检测结果,其中,第一检测结果用于表征待检测对象是否使用命令与控制信道。
进一步地,检测设备包括:存储器,用于存储第一请求序列对应的第二响应序列;处理器,与存储器连接,用于判断第一响应序列与第二响应序列是否一致,如果第一响应序列与第二响应序列一致,则确定第一检测结果为待检测对象未使用命令与控制信道,如果第一响应序列与第二响应序列不一致,则确定第一检测结果为待检测对象使用命令与控制信道。
进一步地,检测设备还包括:拦截装置,与处理器连接,用于在确定检测结果为待检测对象使用命令与控制信道的情况下,确定待检测对象为携带有恶意软件的对象,并对待检测对象发送的域名解析请求进行拦截。
根据本发明实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述的命令与控制信道的检测方法。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述的命令与控制信道的检测方法。
在本发明实施例中,获取待检测对象的第一请求序列,变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列,发送第二请求序列至目标服务器,并接收目标服务器根据第二请求序列返回的第一响应序列,根据第一响应序列得到待检测对象的第一检测结果,从而实现检测C2信道的目的。容易注意到的是,由于偷渡信道的特点,通过改变第一请求序列中的域名解析请求的顺序,使得通过检测目标服务器返回的第一响应序列,即可得到C2信道的检测结果,从而达到提高检测准确度,提升网络安全性的技术效果,进而解决了现有技术中命令与控制信道的检测效率低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种命令与控制信道的检测方法的流程图;
图2是根据本发明实施例的一种可选的命令与控制信道的检测系统的示意图;
图3是根据本发明实施例的另一种命令与控制信道的检测方法的流程图;
图4是根据本发明实施例的一种命令与控制信道的检测装置的示意图;
图5是根据本发明实施例的另一种命令与控制信道的检测装置的示意图;以及
图6是根据本发明实施例的一种命令与控制信道的检测系统的示意图。
其中,在上述附图中包含如下附图标记:
21、正常主机;22、受控主机;23、二代防火墙。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,提供了一种命令与控制信道的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种命令与控制信道的检测方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取待检测对象的第一请求序列,其中,第一请求序列中包括多个域名解析请求。
具体地,上述的待检测对象可以是连接互联网的计算机终端,例如,个人电脑PC、笔记本电脑等,可以包括:携带有恶意软件的受控主机和未携带有恶意软件的正常主机。
步骤S104,变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列。
步骤S106,发送第二请求序列至目标服务器,并接收目标服务器根据第二请求序列返回的第一响应序列。
具体地,上述的目标服务器可以是DNS服务器,包括:正常DNS服务器,黑客搭建的恶意DNS服务器和CC服务器。
步骤S108,根据第一响应序列得到待检测对象的第一检测结果,其中,第一检测结果用于表征待检测对象是否使用命令与控制信道。
需要说明的是,由于恶意软件通过DNS承载控制信令,与正常DNS查询有两个主要区别:C2信道一般会有简单的协议定义,有连接的建立,关联和拆除的过程;正常DNS查询是无状态的,而偷渡行为使用查询报文汇报命令结果,使用响应报文下发指令,使得两个查询之间存在依赖关系,成为前后顺序敏感的有状态序列。
在一种可选的方案中,在待检测对象向DNS服务器发送域名解析请求(DNS请求)的过程中,可以将待检测对象发送的多个DNS请求进行保存,得到第一请求序列,将第一请求序列中的多个DNS请求的顺序打乱,得到第二请求序列,并重新发送第二请求序列,由于DNS偷渡行为是使用无状态的DNS协议,偷渡有状态的C2通信,DNS请求序列的改变会破坏C2协议,或者命令下发与执行结果的顺序相关,使得恶意CC服务器无法正常工作,而正常DNS服务器可以正常工作,从而根据目标服务器返回的第一响应序列,可以达到检测待检测对象是否使用C2信道的目的。
例如,以如图2所示的应用场景为例进行详细说明,内部网络的所有主机(包括正常主机21和受控主机22)通过二代防火墙23接入外部网络,为了能够通过二代防火墙23对高级长期威胁进行发现和减缓,二代防火墙23可以获取任意一个主机发送第一请求序列,该第一请求序列包括6个DNS请求,分别为:Q1、Q2、Q3、Q4、Q5和Q6,对上述6个DNS请求打乱顺序,得到第二请求序列为:Q4、Q3、Q1、Q2、Q6和Q5,并将第二请求序列发送给目标服务器,并检测目标服务器返回的相应的响应序列,从而确定任意一个主机是否使用C2信道。
需要说明的是,通过检测对DNS请求序列进行重放和检查被称为DNS挑战,恶意DNS服务器和CC服务器要应对DNS挑战,实现难度很大,最终使得C2信道变得脆弱,大大提高其恶意行为的成本。
根据本发明上述实施例,获取待检测对象的第一请求序列,变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列,发送第二请求序列至目标服务器,并接收目标服务器根据第二请求序列返回的第一响应序列,根据第一响应序列得到待检测对象的第一检测结果,从而实现检测C2信道的目的。容易注意到的是,由于偷渡信道的特点,通过改变第一请求序列中的域名解析请求的顺序,使得通过检测目标服务器返回的第一响应序列,即可得到C2信道的检测结果,从而达到提高检测准确度,提升网络安全性的技术效果,进而解决了现有技术中命令与控制信道的检测效率低的技术问题。
可选地,在本发明上述实施例中,步骤S108,根据第一响应序列得到待检测对象的第一检测结果包括:获取第一请求序列对应的第二响应序列;判断第一响应序列与第二响应序列是否一致;如果第一响应序列与第二响应序列一致,则确定第一检测结果为待检测对象未使用命令与控制信道;如果第一响应序列与第二响应序列不一致,则确定第一检测结果为待检测对象使用命令与控制信道。
需要说明的是,DNS请求序列的改变会破坏C2协议,或者命令下发与执行结果的顺序相关,使得恶意CC服务器无法正常工作,若非特殊设计,恶意服务器无法恢复历史通信上下文,也无法返回历史记录,因此,第二请求序列对应的第一响应序列与第一请求序列对应的第二响应序列不一致。
在一种可选的方案中,可以通过将第一请求序列对应的第二响应序列和第二请求序列对应的第一响应序列进行比较,如果两个响应序列一致,则确定待检测对象未使用C2信道;如果两个响应序列不一致,则确定待检测对象使用C2信道,从而得到相应的检测结果。
例如,仍以如图2所示的应用场景为例进行详细说明,二代防火墙23可以获取第一请求序列Q1、Q2、Q3、Q4、Q5和Q6对应的第二响应序列为R1、R2、R3、R4、R5和R6,在将6个DNS请求打乱成Q4、Q3、Q1、Q2、Q6和Q5之后,接收到的第一响应序列为R4、R3、R1、R2、R6和R5,两个响应序列一致,从而确定待检测对象使用C2信道,如果第一请求序列是正常主机21发送的,则二代防火墙23接收到的第一响应序列也为R1、R2、R3、R4和R5,从而确定正常主机21未使用C2信道,也即未种植有恶意软件。如果第一请求序列是受控主机22发送的,例如,受控主机22发送的Q1为CONN,对应的响应R1为ping:aupw.pw,受控主机22发送的Q2为ping:unknown host aupw.pw,对应的响应R2为ping:reln.info,受控主机22发送的Q3为ping:unknown host reln.info,对应的响应R3为su–ftp,受控主机22发送的Q4为This accountis currently not available,对应的响应R4为su–bin,受控主机22发送的Q5为Thisaccount is currently not available,对应的响应R5为echo>/var/log/messages,受控主机22发送的Q6为[root@i-aaaaaab~]#。在将6个DNS请求打乱成Q4、Q3、Q1、Q2、Q6和Q5之后,由于接收到的第一响应序列不再是R4、R3、R1、R2、R5和R6,也即,接收到的第一响应序列和第二响应序列不一致,从而确定受控主机22使用C2信道,也即确定受控主机22中种植了恶意软件。
可选地,在本发明上述实施例中,在确定检测结果为待检测对象使用命令与控制信道的情况下,该方法还包括:确定待检测对象安装有特定的应用程序,并对待检测对象发送的域名解析请求进行拦截。
具体地,上述的特定的应用程序可以是黑客安装在受控主机中的恶意软件,黑客利用恶意软件运程操控该受控主机。
在一种可选的方案中,在检测到待检测对象使用C2信道之后,可以确定待检测对象中种植了恶意软件,为了有效应对DNS偷渡的C2信道,可以对种植了恶意软件的计算机终端发送的DNS请求进行拦截。
例如,仍以如图2所示的应用场景为例进行详细说明,二代防火墙23在确定受控主机22使用C2信道,也即确定受控主机22中种植了恶意软件,则二代防火墙23可以拦截受控主机22发送的DNS请求。
可选地,在本发明上述实施例中,在获取待检测对象的第一请求序列之后,该方法包括:将第一请求序列发送至目标服务器,并接收目标服务器根据第一请求序列返回的第二响应序列;将第二响应序列发送至待检测对象,并将第二响应序列进行存储。
在一种可选的方案中,可以在待检测对象发送DNS请求序列至目标服务器,目标服务器返回对应的第二响应序列至待检测对象的过程中,可以将第二响应序列进行保存,从而在接收到打乱顺序后的DNS请求序列对应的第一响应序列之后,可以通过比较两个响应序列,确定待检测对象是否使用C2信道。
可选地,在本发明上述实施例中,步骤S102,获取待检测对象的第一请求序列包括:获取待检测对象在预设时间段内连续发送的多个域名解析请求。
具体地,上述的预设时间段可以根据需要进行设定,本发明对此不做具体限定。
在一种可选的方案中,由于恶意软件发送的DNS请求之间存在依赖关系,为了能够实现C2信道检测,可以在一段时间内,保存待检测对象发送的DNS请求序列,并保存该DNS请求序列对应的响应序列。
可选地,在本发明上述实施例中,在步骤S102,获取待检测对象的第一请求序列之前,该方法还包括:获取多个对象发送的域名解析请求;对每个对象发送的域名解析请求进行自动生成域名检测或流量检测,得到每个对象的第二检测结果,其中,第二检测结果用于表征每个对象发送的域名解析请求中的域名是否为自动生成域名或每个对象发送的域名解析请求是否存在异常;在任意一个对象的第二检测结果为任意一个对象发送的域名解析请求中的域名为自动生成域名或每个对象发送的域名解析请求存在异常的情况下,确定任意一个对象为待检测对象。
在一种可选的方案中,由于通过DNS请求序列的重放和检查来检测C2信道的准确度高,但是效率低,为了能够提高检测效率,可以首先通过现有的DGA(域名生成算法,是Democratic Governors Association的检测)检测或流量检测算法对所有对象发送的DNS请求进行检测,如果一个主机发送的DNS请求中包含DGA算法生成的域名,或者该主机发送的DNS请求的频率过高,则可以确定该主机有可能种植了恶意软件,进一步可以对该主机进行DNS挑战,确定该主机是否使用C2信道,从而确定该主机是否种植了恶意软件。
通过上述方案,可以通过DNS挑战检测C2信道,可以有效发现恶意软件的存在,减缓高级长期威胁;准确检测和应对DNS偷渡的C2信道,降低误判率;而且不影响原来网络架设与拓扑。
实施例2
根据本发明实施例,提供了一种命令与控制信道的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图3是根据本发明实施例的另一种命令与控制信道的检测方法的流程图,如图3所示,该方法包括如下步骤:
步骤S302,获取第一序列。
具体地,上述的第一序列可以是携带有恶意软件的受控主机或未携带有恶意软件的正常主机发送DNS请求序列,包含多个DNS请求。
步骤S304,依据第一序列获取第二序列,其中,第二序列和第一序列中包含相同的域名解析请求,且第二序列和第一序列中域名解析请求的发送顺序不同。
具体地,上述的第二序列可以是变更第一序列中DNS请求的发送顺序之后,得到的DNS请求序列。
步骤S306,获取第一序列和第二序列的响应,并比较第一序列和第二序列的响应。
步骤S308,依据比较结果确定是否存在命令与控制信道。
需要说明的是,由于恶意软件通过DNS承载控制信令,与正常DNS查询有两个主要区别:C2信道一般会有简单的协议定义,有连接的建立,关联和拆除的过程;正常DNS查询是无状态的,而偷渡行为使用查询报文汇报命令结果,使用响应报文下发指令,使得两个查询之间存在依赖关系,成为前后顺序敏感的有状态序列。
在一种可选的方案中,在待检测对象向DNS服务器发送域名解析请求(DNS请求)的过程中,可以将待检测对象发送的多个DNS请求进行保存,得到第一请求序列,将第一请求序列中的多个DNS请求的顺序打乱,得到第二请求序列,并重新发送第二请求序列,由于DNS偷渡行为是使用无状态的DNS协议,偷渡有状态的C2通信,DNS请求序列的改变会破坏C2协议,或者命令下发与执行结果的顺序相关,使得恶意CC服务器无法正常工作,而正常DNS服务器可以正常工作,从而根据目标服务器返回的第一响应序列,可以达到检测待检测对象是否使用C2信道的目的。
需要说明的是,通过检测对DNS请求序列进行重放和检查被称为DNS挑战,恶意DNS服务器和CC服务器要应对DNS挑战,实现难度很大,最终使得C2信道变得脆弱,大大提高其恶意行为的成本。
根据本发明上述实施例,获取第一序列,依据第一序列获取第二序列,获取第一序列和第二序列的响应,并比较第一序列和第二序列的响应,依据比较结果确定是否存在命令与控制信道,从而实现检测C2信道的目的。容易注意到的是,由于偷渡信道的特点,通过改变第一请求序列中的域名解析请求的顺序,使得通过检测目标服务器返回的第一响应序列,即可得到C2信道的检测结果,从而达到提高检测准确度,提升网络安全性的技术效果,进而解决了现有技术中命令与控制信道的检测效率低的技术问题。
可选地,在本发明上述实施例中,步骤S308,依据比较结果确定是否存在命令与控制信道包括:在比较结果为第一序列和第二序列的响应一致的情况下,确定不存在命令与控制信道;在比较结果为第一序列和第二序列的响应不一致的情况下,确定存在命令与控制信道。
需要说明的是,DNS请求序列的改变会破坏C2协议,或者命令下发与执行结果的顺序相关,使得恶意CC服务器无法正常工作,若非特殊设计,恶意服务器无法恢复历史通信上下文,也无法返回历史记录,因此,第二请求序列对应的第一响应序列与第一请求序列对应的第二响应序列不一致。
在一种可选的方案中,可以通过将第一请求序列对应的第二响应序列和第二请求序列对应的第一响应序列进行比较,如果两个响应序列一致,则确定待检测对象未使用C2信道;如果两个响应序列不一致,则确定待检测对象使用C2信道,从而得到相应的检测结果。
实施例3
根据本发明实施例,提供了一种命令与控制信道的检测装置的实施例。
图4是根据本发明实施例的一种命令与控制信道的检测装置的示意图,如图4所示,该装置包括:
获取模块42,用于获取待检测对象的第一请求序列,其中,第一请求序列中包括多个域名解析请求。
具体地,上述的待检测对象可以是连接互联网的计算机终端,例如,个人电脑PC、笔记本电脑等,可以包括:携带有恶意软件的受控主机和未携带有恶意软件的正常主机。
第一处理模块44,用于变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列。
通信模块46,用于发送第二请求序列至目标服务器,并接收目标服务器根据第二请求序列返回的第一响应序列。
具体地,上述的目标服务器可以是DNS服务器,包括:正常DNS服务器,黑客搭建的恶意DNS服务器和CC服务器。
第二处理模块48,用于根据第一响应序列得到待检测对象的第一检测结果,其中,第一检测结果用于表征待检测对象是否使用命令与控制信道。
需要说明的是,由于恶意软件通过DNS承载控制信令,与正常DNS查询有两个主要区别:C2信道一般会有简单的协议定义,有连接的建立,关联和拆除的过程;正常DNS查询是无状态的,而偷渡行为使用查询报文汇报命令结果,使用响应报文下发指令,使得两个查询之间存在依赖关系,成为前后顺序敏感的有状态序列。
在一种可选的方案中,在待检测对象向DNS服务器发送域名解析请求(DNS请求)的过程中,可以将待检测对象发送的多个DNS请求进行保存,得到第一请求序列,将第一请求序列中的多个DNS请求的顺序打乱,得到第二请求序列,并重新发送第二请求序列,由于DNS偷渡行为是使用无状态的DNS协议,偷渡有状态的C2通信,DNS请求序列的改变会破坏C2协议,或者命令下发与执行结果的顺序相关,使得恶意CC服务器无法正常工作,而正常DNS服务器可以正常工作,从而根据目标服务器返回的第一响应序列,可以达到检测待检测对象是否使用C2信道的目的。
需要说明的是,通过检测对DNS请求序列进行重放和检查被称为DNS挑战,恶意DNS服务器和CC服务器要应对DNS挑战,实现难度很大,最终使得C2信道变得脆弱,大大提高其恶意行为的成本。
根据本发明上述实施例,获取待检测对象的第一请求序列,变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列,发送第二请求序列至目标服务器,并接收目标服务器根据第二请求序列返回的第一响应序列,根据第一响应序列得到待检测对象的第一检测结果,从而实现检测C2信道的目的。容易注意到的是,由于偷渡信道的特点,通过改变第一请求序列中的域名解析请求的顺序,使得通过检测目标服务器返回的第一响应序列,即可得到C2信道的检测结果,从而达到提高检测准确度,提升网络安全性的技术效果,进而解决了现有技术中命令与控制信道的检测效率低的技术问题。
实施例4
根据本发明实施例,提供了一种命令与控制信道的检测装置的实施例。
图5是根据本发明实施例的另一种命令与控制信道的检测装置的示意图,如图5所示,该装置包括:
第一获取模块52,用于获取第一序列。
具体地,上述的第一序列可以是携带有恶意软件的受控主机或未携带有恶意软件的正常主机发送DNS请求序列,包含多个DNS请求。
第二获取模块54,用于依据第一序列获取第二序列,其中,第二序列和第一序列中包含相同的域名解析请求,且第二序列和第一序列中域名解析请求的发送顺序不同。
具体地,上述的第二序列可以是变更第一序列中DNS请求的发送顺序之后,得到的DNS请求序列。
比较模块56,用于获取第一序列和第二序列的响应,并比较第一序列和第二序列的响应。
确定模块58,用于依据比较结果确定是否存在命令与控制信道。
需要说明的是,由于恶意软件通过DNS承载控制信令,与正常DNS查询有两个主要区别:C2信道一般会有简单的协议定义,有连接的建立,关联和拆除的过程;正常DNS查询是无状态的,而偷渡行为使用查询报文汇报命令结果,使用响应报文下发指令,使得两个查询之间存在依赖关系,成为前后顺序敏感的有状态序列。
在一种可选的方案中,在待检测对象向DNS服务器发送域名解析请求(DNS请求)的过程中,可以将待检测对象发送的多个DNS请求进行保存,得到第一请求序列,将第一请求序列中的多个DNS请求的顺序打乱,得到第二请求序列,并重新发送第二请求序列,由于DNS偷渡行为是使用无状态的DNS协议,偷渡有状态的C2通信,DNS请求序列的改变会破坏C2协议,或者命令下发与执行结果的顺序相关,使得恶意CC服务器无法正常工作,而正常DNS服务器可以正常工作,从而根据目标服务器返回的第一响应序列,可以达到检测待检测对象是否使用C2信道的目的。
需要说明的是,通过检测对DNS请求序列进行重放和检查被称为DNS挑战,恶意DNS服务器和CC服务器要应对DNS挑战,实现难度很大,最终使得C2信道变得脆弱,大大提高其恶意行为的成本。
根据本发明上述实施例,获取第一序列,依据第一序列获取第二序列,获取第一序列和第二序列的响应,并比较第一序列和第二序列的响应,依据比较结果确定是否存在命令与控制信道,从而实现检测C2信道的目的。容易注意到的是,由于偷渡信道的特点,通过改变第一请求序列中的域名解析请求的顺序,使得通过检测目标服务器返回的第一响应序列,即可得到C2信道的检测结果,从而达到提高检测准确度,提升网络安全性的技术效果,进而解决了现有技术中命令与控制信道的检测效率低的技术问题。
实施例5
根据本发明实施例,提供了一种命令与控制信道的检测系统的实施例。
图6是根据本发明实施例的一种命令与控制信道的检测系统的示意图,如图6所示,该系统包括:待检测对象62、检测设备64和目标服务器66。
其中,待检测对象62用于发送第一请求序列,其中,第一请求序列中包括多个域名解析请求;检测设备64与待检测对象具有通信关系,用于变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列,并发送第二请求序列至目标服务器;目标服务器66与检测设备具有通信关系,用于根据第二请求序列发送第一响应序列至检测设备;检测设备还用于根据第一响应序列得到待检测对象的第一检测结果,其中,第一检测结果用于表征待检测对象是否使用命令与控制信道。
具体地,上述的待检测对象可以是连接互联网的计算机终端,例如,个人电脑PC、笔记本电脑等,可以包括:携带有恶意软件的受控主机和未携带有恶意软件的正常主机;上述的检测设备可以是防火墙,或者其他用户安全防护的设备,也可以是安装在待检测对象上的检测软件;上述的目标服务器可以是DNS服务器,包括:正常DNS服务器,黑客搭建的恶意DNS服务器和CC服务器。
需要说明的是,由于恶意软件通过DNS承载控制信令,与正常DNS查询有两个主要区别:C2信道一般会有简单的协议定义,有连接的建立,关联和拆除的过程;正常DNS查询是无状态的,而偷渡行为使用查询报文汇报命令结果,使用响应报文下发指令,使得两个查询之间存在依赖关系,成为前后顺序敏感的有状态序列。
在一种可选的方案中,在待检测对象向DNS服务器发送域名解析请求(DNS请求)的过程中,可以将待检测对象发送的多个DNS请求进行保存,得到第一请求序列,将第一请求序列中的多个DNS请求的顺序打乱,得到第二请求序列,并重新发送第二请求序列,由于DNS偷渡行为是使用无状态的DNS协议,偷渡有状态的C2通信,DNS请求序列的改变会破坏C2协议,或者命令下发与执行结果的顺序相关,使得恶意CC服务器无法正常工作,而正常DNS服务器可以正常工作,从而根据目标服务器返回的第一响应序列,可以达到检测待检测对象是否使用C2信道的目的。
需要说明的是,通过检测对DNS请求序列进行重放和检查被称为DNS挑战,恶意DNS服务器和CC服务器要应对DNS挑战,实现难度很大,最终使得C2信道变得脆弱,大大提高其恶意行为的成本。
根据本发明上述实施例,检测设备获取待检测对象的第一请求序列,变更第一请求序列中多个域名解析请求的发送顺序,得到第二请求序列,发送第二请求序列至目标服务器,并接收目标服务器根据第二请求序列返回的第一响应序列,根据第一响应序列得到待检测对象的第一检测结果,从而实现检测C2信道的目的。容易注意到的是,由于偷渡信道的特点,通过改变第一请求序列中的域名解析请求的顺序,使得通过检测目标服务器返回的第一响应序列,即可得到C2信道的检测结果,从而达到提高检测准确度,提升网络安全性的技术效果,进而解决了现有技术中命令与控制信道的检测效率低的技术问题。
可选地,在本发明上述实施例中,检测设备包括:存储器和处理器。
其中,存储器用于存储第一请求序列对应的第二响应序列;处理器与存储器连接,用于判断第一响应序列与第二响应序列是否一致,如果第一响应序列与第二响应序列一致,则确定第一检测结果为待检测对象未使用命令与控制信道,如果第一响应序列与第二响应序列不一致,则确定第一检测结果为待检测对象使用命令与控制信道。
需要说明的是,DNS请求序列的改变会破坏C2协议,或者命令下发与执行结果的顺序相关,使得恶意CC服务器无法正常工作,若非特殊设计,恶意服务器无法恢复历史通信上下文,也无法返回历史记录,因此,第二请求序列对应的第一响应序列与第一请求序列对应的第二响应序列不一致。
在一种可选的方案中,可以通过将第一请求序列对应的第二响应序列和第二请求序列对应的第一响应序列进行比较,如果两个响应序列一致,则确定待检测对象未使用C2信道;如果两个响应序列不一致,则确定待检测对象使用C2信道,从而得到相应的检测结果。
可选地,在本发明上述实施例中,检测设备还包括:拦截装置。
其中,拦截装置与处理器连接,用于在确定检测结果为待检测对象使用命令与控制信道的情况下,确定待检测对象为携带有恶意软件的对象,并对待检测对象发送的域名解析请求进行拦截。
在一种可选的方案中,在检测到待检测对象使用C2信道之后,可以确定待检测对象中种植了恶意软件,为了有效应对DNS偷渡的C2信道,可以对种植了恶意软件的计算机终端发送的DNS请求进行拦截。
实施例6
根据本发明实施例,提供了一种存储介质的实施例,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述实施例1或2中的命令与控制信道的检测方法。
实施例7
根据本发明实施例,提供了一种处理器的实施例,处理器用于运行程序,其中,程序运行时执行上述实施例1或2中的命令与控制信道的检测方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (15)
1.一种命令与控制信道的检测方法,其特征在于,包括:
获取待检测对象的第一请求序列,其中,所述第一请求序列中包括多个域名解析请求;
变更所述第一请求序列中所述多个域名解析请求的发送顺序,得到第二请求序列;
发送所述第二请求序列至目标服务器,并接收所述目标服务器根据所述第二请求序列返回的第一响应序列;
根据所述第一响应序列得到所述待检测对象的第一检测结果,其中,所述第一检测结果用于表征所述待检测对象是否使用命令与控制信道。
2.根据权利要求1所述的方法,其特征在于,根据所述第一响应序列得到所述待检测对象的第一检测结果包括:
获取所述第一请求序列对应的第二响应序列;
判断所述第一响应序列与所述第二响应序列是否一致;
如果所述第一响应序列与所述第二响应序列一致,则确定所述第一检测结果为所述待检测对象未使用所述命令与控制信道;
如果所述第一响应序列与所述第二响应序列不一致,则确定所述第一检测结果为所述待检测对象使用所述命令与控制信道。
3.根据权利要求2所述的方法,其特征在于,在确定所述第一检测结果为所述待检测对象使用所述命令与控制信道的情况下,所述方法还包括:
确定所述待检测对象安装有特定的应用程序,并对所述待检测对象发送的域名解析请求进行拦截。
4.根据权利要求1所述的方法,其特征在于,在获取待检测对象的第一请求序列之后,所述方法包括:
将所述第一请求序列发送至所述目标服务器,并接收所述目标服务器根据所述第一请求序列返回的第二响应序列;
将所述第二响应序列发送至所述待检测对象,并将所述第二响应序列进行存储。
5.根据权利要求1所述的方法,其特征在于,获取待检测对象的第一请求序列包括:
获取所述待检测对象在预设时间段内连续发送的所述多个域名解析请求。
6.根据权利要求1所述的方法,其特征在于,在获取待检测对象的第一请求序列之前,所述方法还包括:
获取多个对象发送的域名解析请求;
对每个对象发送的域名解析请求进行自动生成域名检测或流量检测,得到所述每个对象的第二检测结果,其中,所述第二检测结果用于表征所述每个对象发送的域名解析请求中的域名是否为自动生成域名或所述每个对象发送的域名解析请求是否存在异常;
在任意一个对象的第二检测结果为所述任意一个对象发送的域名解析请求中的域名为自动生成域名或所述每个对象发送的域名解析请求存在异常的情况下,确定所述任意一个对象为所述待检测对象。
7.一种命令与控制信道的检测方法,其特征在于,包括:
获取第一序列;
依据所述第一序列获取第二序列,其中,所述第二序列和所述第一序列中包含相同的域名解析请求,且所述第二序列和所述第一序列中域名解析请求的发送顺序不同;
获取所述第一序列和所述第二序列的响应,并比较所述第一序列和所述第二序列的响应;
依据比较结果确定是否存在命令与控制信道。
8.根据权利要求7所述的方法,其特征在于,依据比较结果确定是否存在命令与控制信道包括:
在所述比较结果为所述第一序列和所述第二序列的响应一致的情况下,确定不存在所述命令与控制信道;
在所述比较结果为所述第一序列和所述第二序列的响应不一致的情况下,确定存在所述命令与控制信道。
9.一种命令与控制信道的检测装置,其特征在于,包括:
获取模块,用于获取待检测对象的第一请求序列,其中,所述第一请求序列中包括多个域名解析请求;
第一处理模块,用于变更所述第一请求序列中所述多个域名解析请求的发送顺序,得到第二请求序列;
通信模块,用于发送所述第二请求序列至目标服务器,并接收所述目标服务器根据所述第二请求序列返回的响应序列;
第二处理模块,用于根据所述响应序列得到所述待检测对象的第一检测结果,其中,所述第一检测结果用于表征所述待检测对象是否使用命令与控制信道。
10.一种命令与控制信道的检测装置,其特征在于,包括:
第一获取模块,用于获取第一序列;
第二获取模块,用于依据所述第一序列获取第二序列,其中,所述第二序列和所述第一序列中包含相同的域名解析请求,且所述第二序列和所述第一序列中域名解析请求的发送顺序不同;
比较模块,用于获取所述第一序列和所述第二序列的响应,并比较所述第一序列和所述第二序列的响应;
确定模块,用于依据比较结果确定是否存在命令与控制信道。
11.一种命令与控制信道的检测系统,其特征在于,包括:
待检测对象,用于发送第一请求序列,其中,所述第一请求序列中包括多个域名解析请求;
检测设备,与所述待检测对象具有通信关系,用于变更所述第一请求序列中所述多个域名解析请求的发送顺序,得到第二请求序列,并发送所述第二请求序列至目标服务器;
所述目标服务器,与所述检测设备具有通信关系,用于根据所述第二请求序列发送第一响应序列至所述检测设备;
所述检测设备还用于根据所述第一响应序列得到所述待检测对象的第一检测结果,其中,所述第一检测结果用于表征所述待检测对象是否使用命令与控制信道。
12.根据权利要求11所述的系统,其特征在于,所述检测设备包括:
存储器,用于存储所述第一请求序列对应的第二响应序列;
处理器,与所述存储器连接,用于判断所述第一响应序列与所述第二响应序列是否一致,如果所述第一响应序列与所述第二响应序列一致,则确定所述第一检测结果为所述待检测对象未使用所述命令与控制信道,如果所述第一响应序列与所述第二响应序列不一致,则确定所述第一检测结果为所述待检测对象使用所述命令与控制信道。
13.根据权利要求12所述的系统,其特征在于,所述检测设备还包括:
拦截装置,与所述处理器连接,用于在确定所述检测结果为所述待检测对象使用所述命令与控制信道的情况下,确定所述待检测对象为携带有恶意软件的对象,并对所述待检测对象发送的域名解析请求进行拦截。
14.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至8中任意一项所述的命令与控制信道的检测方法。
15.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至8中任意一项所述的命令与控制信道的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711498429.8A CN108322444B (zh) | 2017-12-29 | 2017-12-29 | 命令与控制信道的检测方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711498429.8A CN108322444B (zh) | 2017-12-29 | 2017-12-29 | 命令与控制信道的检测方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108322444A true CN108322444A (zh) | 2018-07-24 |
| CN108322444B CN108322444B (zh) | 2021-05-14 |
Family
ID=62893778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711498429.8A Active CN108322444B (zh) | 2017-12-29 | 2017-12-29 | 命令与控制信道的检测方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108322444B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111279259A (zh) * | 2017-11-01 | 2020-06-12 | 佳能株式会社 | 相机、附件装置及其控制方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986642A (zh) * | 2010-10-18 | 2011-03-16 | 中国科学院计算技术研究所 | 一种Domain Flux数据流的检测系统和方法 |
| CN102571796A (zh) * | 2012-01-13 | 2012-07-11 | 电子科技大学 | 一种移动互联网中僵尸木马防护方法及其系统 |
| US20130031625A1 (en) * | 2011-07-29 | 2013-01-31 | Electronics And Telecommunications Research Institute | Cyber threat prior prediction apparatus and method |
| CN103685184A (zh) * | 2012-09-14 | 2014-03-26 | 上海宝信软件股份有限公司 | 一种基于小流统计分析的对等僵尸主机识别方法 |
| CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测系统和方法 |
| US20150026809A1 (en) * | 2013-07-22 | 2015-01-22 | Verint Systems, Ltd. | Systems and methods for identifying malicious hosts |
| CN104378450A (zh) * | 2013-08-12 | 2015-02-25 | 深圳市腾讯计算机系统有限公司 | 网络攻击的防护方法及装置 |
| US20150195299A1 (en) * | 2014-01-07 | 2015-07-09 | Fair Isaac Corporation | Cyber security adaptive analytics threat monitoring system and method |
| US20160036836A1 (en) * | 2014-07-31 | 2016-02-04 | Cisco Technology, Inc. | Detecting DGA-Based Malicious Software Using Network Flow Information |
| CN105681250A (zh) * | 2014-11-17 | 2016-06-15 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
| CN106663176A (zh) * | 2014-06-30 | 2017-05-10 | 日本电信电话株式会社 | 检测装置、检测方法以及检测程序 |
-
2017
- 2017-12-29 CN CN201711498429.8A patent/CN108322444B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986642A (zh) * | 2010-10-18 | 2011-03-16 | 中国科学院计算技术研究所 | 一种Domain Flux数据流的检测系统和方法 |
| US20130031625A1 (en) * | 2011-07-29 | 2013-01-31 | Electronics And Telecommunications Research Institute | Cyber threat prior prediction apparatus and method |
| CN102571796A (zh) * | 2012-01-13 | 2012-07-11 | 电子科技大学 | 一种移动互联网中僵尸木马防护方法及其系统 |
| CN103685184A (zh) * | 2012-09-14 | 2014-03-26 | 上海宝信软件股份有限公司 | 一种基于小流统计分析的对等僵尸主机识别方法 |
| US20150026809A1 (en) * | 2013-07-22 | 2015-01-22 | Verint Systems, Ltd. | Systems and methods for identifying malicious hosts |
| CN104378450A (zh) * | 2013-08-12 | 2015-02-25 | 深圳市腾讯计算机系统有限公司 | 网络攻击的防护方法及装置 |
| US20150195299A1 (en) * | 2014-01-07 | 2015-07-09 | Fair Isaac Corporation | Cyber security adaptive analytics threat monitoring system and method |
| CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测系统和方法 |
| CN106663176A (zh) * | 2014-06-30 | 2017-05-10 | 日本电信电话株式会社 | 检测装置、检测方法以及检测程序 |
| US20160036836A1 (en) * | 2014-07-31 | 2016-02-04 | Cisco Technology, Inc. | Detecting DGA-Based Malicious Software Using Network Flow Information |
| CN105681250A (zh) * | 2014-11-17 | 2016-06-15 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
Non-Patent Citations (4)
| Title |
|---|
| GUODONG ZHAO 等: ""Detecting APT Malware Infections Based on Malicious DNS and Traffic Analysis"", 《SPECIAL SECTION ON BIG DATA FOR GREEN COMMUNICATIONS AND COMPUTING》 * |
| HYOYOUNG LIM 等: ""Malware Classification Method Based on Sequence of Traffic Flow"", 《2015 INTERNATIONAL CONFERENCE ON INFORMATION SYSTEMS SECURITY AND PRIVACY》 * |
| NIGE THE SECURITY GUY: ""APT Detection Indicators – Part 3: Command & Control Channels"", 《HTTPS://NIGESECURITYGUY.WORDPRESS.COM/2014/04/03/APT-DETECTION-INDICATORS-PART-3/#COMMENTS》 * |
| 王涛, 余顺争: ""中心式结构僵尸网络的检测方法研究"", 《小型微型计算机系统》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111279259A (zh) * | 2017-11-01 | 2020-06-12 | 佳能株式会社 | 相机、附件装置及其控制方法 |
| CN111279259B (zh) * | 2017-11-01 | 2021-11-12 | 佳能株式会社 | 相机、附件装置及其控制方法 |
| US11201996B2 (en) | 2017-11-01 | 2021-12-14 | Canon Kabushiki Kaisha | Camera, accessory apparatus, and their control methods |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108322444B (zh) | 2021-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CN101800746B (zh) | 检测僵尸网络中控制主机域名的方法、装置和系统 | |
| US11349862B2 (en) | Systems and methods for testing known bad destinations in a production network | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
| CN106470188B (zh) | 安全威胁的检测方法、装置以及安全网关 | |
| CN107547488A (zh) | 一种dns隧道检测方法以及dns隧道检测装置 | |
| CN106982234A (zh) | 一种arp攻击防御方法及装置 | |
| CN105897947B (zh) | 移动终端的网络访问方法和装置 | |
| Zhao et al. | Analysis of privacy disclosure in DNS query | |
| CN107733867B (zh) | 一种发现僵尸网络及防护的方法、系统和存储介质 | |
| CN108173813A (zh) | 漏洞检测方法及装置 | |
| CN110768999A (zh) | 一种设备非法外联的检测方法及装置 | |
| CN108156270A (zh) | 域名请求处理方法和装置 | |
| US10097418B2 (en) | Discovering network nodes | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| CN106789858A (zh) | 一种访问控制方法和装置以及服务器 | |
| CN101931627A (zh) | 安全检测方法、装置和网络侧设备 | |
| CN101599857A (zh) | 检测共享接入主机数目的方法、装置及网络检测系统 | |
| CN108322444A (zh) | 命令与控制信道的检测方法、装置和系统 | |
| CN106060006A (zh) | 一种访问方法及装置 | |
| CN106534141A (zh) | 一种防止域名服务器被攻击的方法、系统及防火墙 | |
| CN111314370A (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
| TWI677803B (zh) | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 | |
| US10015179B2 (en) | Interrogating malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Suzhou City, Jiangsu Province Applicant after: SHANSHI NETWORK COMMUNICATION TECHNOLOGY CO., LTD. Address before: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Suzhou City, Jiangsu Province Applicant before: HILLSTONE NETWORKS |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |