CN109474575A - 一种dns隧道的检测方法及装置 - Google Patents
一种dns隧道的检测方法及装置 Download PDFInfo
- Publication number
- CN109474575A CN109474575A CN201811054346.4A CN201811054346A CN109474575A CN 109474575 A CN109474575 A CN 109474575A CN 201811054346 A CN201811054346 A CN 201811054346A CN 109474575 A CN109474575 A CN 109474575A
- Authority
- CN
- China
- Prior art keywords
- request data
- dns
- dns request
- gray list
- warning information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Abstract
本发明实施例公开一种DNS隧道的检测方法及装置,其中,方法包括:获取域名系统DNS请求数据,每一DNS请求数据的字段包括:请求时间、客户端IP、域名、主域名、请求包大小;利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对DNS请求数据进行检测,在判定DNS请求数据为DNS隧道时生成黑名单告警信息,在判定DNS请求数据为疑似DNS隧道时生成灰名单告警信息;接收用户对生成的灰名单告警信息是否为误判的确认指令,若根据确认指令确定生成的灰名单告警信息不是误判,则将生成的灰名单告警信息加入黑名单。本发明实施例能实现检测DNS隧道,检测速度快,检测结果准确率高。
Description
技术领域
本发明实施例涉及互联网技术领域,具体涉及一种DNS隧道的检测方法及装置。
背景技术
企业内网环境中,DNS(Domain Name System,域名系统)协议是必不可少的网络通信协议之一,为了访问互联网和内网资源,DNS提供域名解析服务,将域名和IP(网络之间互连的协议)地址进行转换。大部分防火墙和入侵检测设备基本不会对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,通过建立DNS隧道从而达到敏感信息盗窃、文件传输、回传控制指令、回弹Shell(壳)等目的。
目前,检测DNS隧道技术的方法主要有以下两种:基于域名黑名单和基于请求域名长度及请求数量统计分析方法。
第一种基于域名黑名单:这是传统防火墙最常用的方法,防火墙通过对黑名单内域名的访问进行阻止和告警从而发现dns隧道。但是,这样只能对已发现的域名进行检测和阻断,对于未知的新域名就无能为力了,而且需要投入大量的人力、财力来维护这个黑名单,性价比很低;
第二种基于请求域名长度及请求数量统计分析方法:采用这种方法,是将客户端请求的DNS域名中长度大于长度阈值的[请求IP,域名]元组记录下来,然后统计[请求IP,域名]的数量,当数量大于告警阈值时则判定此客户端使用了DNS隧道技术,但是攻击者可以使用商业渗透套件或一些开源软件等快速轻易地构建DNS隐蔽隧道,并且可以通过修改域名长度、请求频率等特征轻易绕过传统基于规则的DNS隧道的检测模型。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种DNS隧道的检测方法及装置。
第一方面,本发明实施例提出一种DNS隧道的检测方法,包括:
获取域名系统DNS请求数据,每一DNS请求数据的字段,包括:请求时间、客户端IP、域名、主域名、请求包大小;
利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息;
接收用户对所生成的灰名单告警信息是否为误判的确认指令,若根据所述确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单。
可选地,所述利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息,包括:
将所述DNS请求数据中的主域名与白名单进行匹配,若所述DNS请求数据中的主域名命中白名单,则检测结束;
若未命中白名单,则将所述DNS请求数据中的主域名分别与黑名单和灰名单进行匹配;
若所述DNS请求数据中的主域名命中黑名单,则判定所述DNS请求数据为DNS隧道并生成黑名单告警信息;
若所述DNS请求数据中的主域名命中灰名单,则判定所述DNS请求数据为疑似DNS隧道并生成灰名单告警信息;
若所述DNS请求数据中的主域名未命中黑名单且未命中灰名单,则查询所述DNS请求数据中的主域名的威胁情报信息;
根据所述威胁情报信息判断所述主域名是否为命令和控制C&C或域名生成算法DGA域名,若是则判定所述DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所述DNS请求数据中的主域名加入灰名单。
可选地,在接收用户对所生成的灰名单告警信息是否为误判的确认指令之后,所述方法还包括:
若根据所述确认指令确定所生成的灰名单告警信息为误判,则将所生成的灰名单告警信息加入白名单。
可选地,所述方法还包括:
周期性的获取预设时间段内的DNS请求数据;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的非A记录请求的比例,若所述所有第一元组的非A记录请求的比例大于预设第一阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有主域名的子域名数量,若所述子域名数量大于预设第二阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
查询所获取的预设时间段内的DNS请求数据中所有主域名的子域名中有解析记录的比例,若所述子域名中有解析记录的比例小于预设第三阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求数据包大小之和,若所述所有第一元组的请求数据包大小之和大于预设第四阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求时间分布,若所述所有第一元组的请求时间分布具有周期性趋势,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单。
可选地,所述第一元组中的元素包括:客户端IP和主域名。
第二方面,本发明实施例还提出一种DNS隧道的检测装置,包括:
获取模块,用于获取域名系统DNS请求数据,每一DNS请求数据的字段,包括:请求时间、客户端IP、域名、主域名、请求包大小;
实时检测模块,用于利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息;
确定模块,用于接收用户对所生成的灰名单告警信息是否为误判的确认指令;若根据所述确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单。
可选地,所述实时检测模块,具体用于
将所述DNS请求数据中的主域名与白名单进行匹配,若所述DNS请求数据中的主域名命中白名单,则检测结束;
若未命中白名单,则将所述DNS请求数据中的主域名分别与黑名单和灰名单进行匹配;
若所述DNS请求数据中的主域名命中黑名单,则判定所述DNS请求数据为DNS隧道并生成黑名单告警信息;
若所述DNS请求数据中的主域名命中灰名单,则判定所述DNS请求数据为疑似DNS隧道并生成灰名单告警信息;
若所述DNS请求数据中的主域名未命中黑名单且未命中灰名单,则查询所述DNS请求数据中的主域名的威胁情报信息;
根据所述威胁情报信息判断所述主域名是否为C&C或DGA域名,若是则判定所述DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所述DNS请求数据中的主域名加入灰名单。
可选地,所述确定模块,还用于
若根据所述确认指令确定所生成的灰名单告警信息为误判,则将所生成的灰名单告警信息加入白名单。
可选地,所述装置还包括:
周期性检测模块,用于
周期性的获取预设时间段内的DNS请求数据;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的非A记录请求的比例,若所述所有第一元组的非A记录请求的比例大于预设第一阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有主域名的子域名数量,若所述子域名数量大于预设第二阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
查询所获取的预设时间段内的DNS请求数据中所有主域名的子域名中有解析记录的比例,若所述子域名中有解析记录的比例小于预设第三阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求数据包大小之和,若所述所有第一元组的请求数据包大小之和大于预设第四阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求时间分布,若所述所有第一元组的请求时间分布具有周期性趋势,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单。
可选地,所述第一元组中的元素包括:客户端IP和主域名。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在第处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,所述存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述方法。
由上述技术方案可知,本发明实施例提供的一种DNS隧道的检测方法及装置,通过利用白名单、黑名单、灰名单和获取的DNS请求数据中的主域名的威胁情报信息,对获取的DNS请求数据进行检测,在判定DNS请求数据为DNS隧道时生成黑名单告警信息,在判定DNS请求数据为疑似DNS隧道时生成灰名单告警信息;接收用户对所生成的灰名单告警信息是否为误判的确认指令,若根据该确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单,由此,能够实现检测DNS隧道,基于动态的黑白灰名单检测,检测速度快,将自动检测和人工确认相结合,检测结果准确率高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种DNS隧道的检测方法的流程示意图;
图2为本发明一实施例提供的一种DNS隧道的检测装置的结构示意图;
图3为本发明一实施例提供的电子设备的实体结构示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本发明一实施例提供的一种DNS隧道的检测方法的流程示意图,如图1所示,本实施例的DNS隧道的检测方法,包括:
S1、获取域名系统DNS请求数据,每一DNS请求数据的字段,包括:请求时间、客户端IP、域名、主域名、请求包大小。
可以理解的是,获取域名系统DNS请求数据后,可以将获取的DNS请求数据存储本地数据库中。
S2、利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息。
可以理解的是,步骤S2属于实时检测DNS隧道。
需要说明的是,本实施例所述DNS隧道(DNS tunnel)是利用DNS协议建立的传输通道,是通常被用于网络攻击和窃密木马的传输通道。
S3、接收用户对所生成的灰名单告警信息是否为误判的确认指令,若根据所述确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单。
可以理解的是,步骤S3是在步骤S2生成灰名单告警信息后,通过接收人工的确认指令,来确定所生成的灰名单告警信息是否为误判,进而进行处理。
本发明实施例提供的一种DNS隧道的检测方法,通过处理器来实现,通过利用白名单、黑名单、灰名单和获取的DNS请求数据中的主域名的威胁情报信息,对获取的DNS请求数据进行检测,在判定DNS请求数据为DNS隧道时生成黑名单告警信息,在判定DNS请求数据为疑似DNS隧道时生成灰名单告警信息;接收用户对所生成的灰名单告警信息是否为误判的确认指令,若根据该确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单,由此,能够实现检测DNS隧道,基于动态的黑白灰名单检测,检测速度快,将自动检测和人工确认相结合,检测结果准确率高。
进一步地,在上述实施例的基础上,所述步骤S3在接收用户对所生成的灰名单告警信息是否为误判的确认指令之后,还可以包括:
若根据所述确认指令确定所生成的灰名单告警信息为误判,则将所生成的灰名单告警信息加入白名单。
由此,可以基于检测结果动态调整黑白灰名单。
进一步地,在上述实施例的基础上,所述步骤S2可以包括:
将所述DNS请求数据中的主域名与白名单进行匹配,若所述DNS请求数据中的主域名命中白名单,则检测结束;
若未命中白名单,则将所述DNS请求数据中的主域名分别与黑名单和灰名单进行匹配;
若所述DNS请求数据中的主域名命中黑名单,则判定所述DNS请求数据为DNS隧道并生成黑名单告警信息;
若所述DNS请求数据中的主域名命中灰名单,则判定所述DNS请求数据为疑似DNS隧道并生成灰名单告警信息;
若所述DNS请求数据中的主域名未命中黑名单且未命中灰名单,则查询所述DNS请求数据中的主域名的威胁情报信息;
根据所述威胁情报信息判断所述主域名是否为C&C(命令和控制)或DGA(域名生成算法)域名,若是则判定所述DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所述DNS请求数据中的主域名加入灰名单。
可以理解的是,本实施例基于黑白灰名单快速判断,应用威胁情报信息来判断,基于检测结果动态调整黑白灰名单。
进一步地,在上述实施例的基础上,本实施例所述方法还可以包括:
周期性的获取预设时间段内的DNS请求数据;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的非A(Address)记录请求的比例,若所述所有第一元组的非A记录请求的比例大于预设第一阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有主域名的子域名数量,若所述子域名数量大于预设第二阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
查询所获取的预设时间段内的DNS请求数据中所有主域名的子域名中有解析记录的比例,若所述子域名中有解析记录的比例小于预设第三阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求数据包大小之和,若所述所有第一元组的请求数据包大小之和大于预设第四阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求时间分布,若所述所有第一元组的请求时间分布具有周期性趋势,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单。
可以理解的是,此处属于周期性检测DNS隧道。
可以理解的是,本实施例可以周期性的从本地数据库中获取预设时间段内的DNS请求数据。
在具体应用中,所述第一元组中的元素可以包括:客户端IP和主域名。
可以理解的是,所述预设第一阈值、预设第二阈值、预设第三阈值、预设第四阈值均可根据实际情况进行动态调整与设置,本实施例并不对其进行限制。举例来说,所述预设第三阈值可以为1/2。
需要说明的是,本实施例中,A(Address)记录是用来指定主机名(或域名)对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的网页服务器(web server)上,同时也可以设置域名的子域名。
可以理解的是,DNS隧道通常具如下特征:一、正常的DNS请求中A(及AAAA)记录所占比例较大,通常超过80%,AAAA记录是用来将域名解析到IPv6(第六代互联网协议)地址的DNS记录,用户可以将一个域名解析到IPv6地址上,也可以将子域名解析到IPv6地址上,木马型DNS隧道为了便于发送数据,请求类型主要为TXT、KEY等;二、C&C型DNS隧道为了保持与C&C服务器的通讯,通常会发送心跳信息,因而这部分DNS请求具有周期性的特征;三、木马型DNS隧道为了盗取数据,通常会通过构造大量子域名的方式在短时间内传输大量数据,而正常的DNS请求则只会传输少量数据;正常的子域名会存在解析记录,但这些子域名历史上从未被解析过;正常域名其子域名数量一般不会超过100,但木马型的DNS隧道所构造的子域名数量在短时间内即可达到数百甚至数千;四、有部分正常的域名请求可能也会具有上述特征,可以通过设置白名单来过滤掉已知的正常域名。本实施例所述方法是基于这些特征进行DNS隧道检测。
可以理解的是,本实施例的周期性检测DNS隧道是基于多个维度综合判断,包括但不限于:非A+AAAA记录请求类型所占比例、子域名数量、访问频率、单位时间请求流量等,是将实时检测与周期性检测相结合,应用域名解析记录来判断,检测结果漏报率低,准确度高。
本发明实施例提供的一种DNS隧道的检测方法,能够实现检测DNS隧道,基于动态的黑白灰名单检测,检测速度快,将自动检测和人工确认相结合,检测结果准确率高,基于多个维度检测,漏报率低。
图2示出了本发明一实施例提供的一种DNS隧道的检测装置的结构示意图,如图2所示,本实施例的DNS隧道的检测装置,包括:获取模块21、实时检测模块22和确定模块23;其中:
所述获取模块21,用于获取域名系统DNS请求数据,每一DNS请求数据的字段,包括:请求时间、客户端IP、域名、主域名、请求包大小;
所述实时检测模块22,用于利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息;
所述确定模块23,用于接收用户对所生成的灰名单告警信息是否为误判的确认指令;若根据所述确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单。
具体地,所述获取模块21获取域名系统DNS请求数据,每一DNS请求数据的字段,包括:请求时间、客户端IP、域名、主域名、请求包大小;所述实时检测模块22利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息;所述确定模块23接收用户对所生成的灰名单告警信息是否为误判的确认指令;若根据所述确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单。
需要说明的是,本实施例所述DNS隧道(DNS tunnel)是利用DNS协议建立的传输通道,是通常被用于网络攻击和窃密木马的传输通道。
可以理解的是,所述获取模块21获取域名系统DNS请求数据后,可以将获取的DNS请求数据存储本地数据库中。
可以理解的是,所述确定模块23是在所述实时检测模块22生成灰名单告警信息后,通过接收人工的确认指令,来确定所生成的灰名单告警信息是否为误判,进而进行处理。
本发明实施例提供的一种DNS隧道的检测装置,应用于处理器,能够实现检测DNS隧道,基于动态的黑白灰名单检测,检测速度快,将自动检测和人工确认相结合,检测结果准确率高。
进一步地,在上述实施例的基础上,所述确定模块23,还可用于
若根据所述确认指令确定所生成的灰名单告警信息为误判,则将所生成的灰名单告警信息加入白名单。
由此,可以基于检测结果动态调整黑白灰名单。
进一步地,在上述实施例的基础上,所述实时检测模块,可具体用于
将所述DNS请求数据中的主域名与白名单进行匹配,若所述DNS请求数据中的主域名命中白名单,则检测结束;
若未命中白名单,则将所述DNS请求数据中的主域名分别与黑名单和灰名单进行匹配;
若所述DNS请求数据中的主域名命中黑名单,则判定所述DNS请求数据为DNS隧道并生成黑名单告警信息;
若所述DNS请求数据中的主域名命中灰名单,则判定所述DNS请求数据为疑似DNS隧道并生成灰名单告警信息;
若所述DNS请求数据中的主域名未命中黑名单且未命中灰名单,则查询所述DNS请求数据中的主域名的威胁情报信息;
根据所述威胁情报信息判断所述主域名是否为C&C或DGA域名,若是则判定所述DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所述DNS请求数据中的主域名加入灰名单。
可以理解的是,本实施例基于黑白灰名单快速判断,应用威胁情报信息来判断,基于检测结果动态调整黑白灰名单。
进一步地,在上述实施例的基础上,本实施例所述装置还可以包括图中未示出的:周期性检测模块,用于
周期性的获取预设时间段内的DNS请求数据;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的非A记录请求的比例,若所述所有第一元组的非A记录请求的比例大于预设第一阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有主域名的子域名数量,若所述子域名数量大于预设第二阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
查询所获取的预设时间段内的DNS请求数据中所有主域名的子域名中有解析记录的比例,若所述子域名中有解析记录的比例小于预设第三阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求数据包大小之和,若所述所有第一元组的请求数据包大小之和大于预设第四阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求时间分布,若所述所有第一元组的请求时间分布具有周期性趋势,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单。
可以理解的是,此处属于周期性检测DNS隧道。
可以理解的是,本实施例可以周期性的从本地数据库中获取预设时间段内的DNS请求数据。
在具体应用中,所述第一元组中的元素可以包括:客户端IP和主域名。
可以理解的是,所述预设第一阈值、预设第二阈值、预设第三阈值、预设第四阈值均可根据实际情况进行动态调整与设置,本实施例并不对其进行限制。举例来说,所述预设第三阈值可以为1/2。
需要说明的是,本实施例中,A(Address)记录是用来指定主机名(或域名)对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的网页服务器(web server)上,同时也可以设置域名的子域名。
可以理解的是,DNS隧道通常具如下特征:一、正常的DNS请求中A(及AAAA)记录所占比例较大,通常超过80%,AAAA记录是用来将域名解析到IPv6(第六代互联网协议)地址的DNS记录,用户可以将一个域名解析到IPv6地址上,也可以将子域名解析到IPv6地址上,木马型DNS隧道为了便于发送数据,请求类型主要为TXT、KEY等;二、C&C型DNS隧道为了保持与C&C服务器的通讯,通常会发送心跳信息,因而这部分DNS请求具有周期性的特征;三、木马型DNS隧道为了盗取数据,通常会通过构造大量子域名的方式在短时间内传输大量数据,而正常的DNS请求则只会传输少量数据;正常的子域名会存在解析记录,但这些子域名历史上从未被解析过;正常域名其子域名数量一般不会超过100,但木马型的DNS隧道所构造的子域名数量在短时间内即可达到数百甚至数千;四、有部分正常的域名请求可能也会具有上述特征,可以通过设置白名单来过滤掉已知的正常域名。本实施例所述方法是基于这些特征进行DNS隧道检测。
可以理解的是,本实施例的周期性检测DNS隧道是基于多个维度综合判断,包括但不限于:非A+AAAA记录请求类型所占比例、子域名数量、访问频率、单位时间请求流量等,是将实时检测与周期性检测相结合,应用域名解析记录来判断,检测结果漏报率低,准确度高。
本发明实施例提供的一种DNS隧道的检测装置,能够实现检测DNS隧道,基于动态的黑白灰名单检测,检测速度快,将自动检测和人工确认相结合,检测结果准确率高,基于多个维度检测,漏报率低。
本实施例的DNS隧道的检测装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图3示出了本发明一实施例提供的一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器301、存储器302、总线303及存储在存储器302上并可在处理器301上运行的计算机程序;
其中,所述处理器301和存储器302通过所述总线303完成相互间的通信;
所述处理器301执行所述计算机程序时实现上述方法实施例所提供的方法,例如包括:获取域名系统DNS请求数据,每一DNS请求数据的字段,包括:请求时间、客户端IP、域名、主域名、请求包大小;利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息;接收用户对所生成的灰名单告警信息是否为误判的确认指令,若根据所述确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法实施例所提供的方法,例如包括:获取域名系统DNS请求数据,每一DNS请求数据的字段,包括:请求时间、客户端IP、域名、主域名、请求包大小;利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息;接收用户对所生成的灰名单告警信息是否为误判的确认指令,若根据所述确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置/系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (12)
1.一种DNS隧道的检测方法,其特征在于,包括:
获取域名系统DNS请求数据,每一DNS请求数据的字段,包括:请求时间、客户端IP、域名、主域名、请求包大小;
利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息;
接收用户对所生成的灰名单告警信息是否为误判的确认指令,若根据所述确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单。
2.根据权利要求1所述的方法,其特征在于,所述利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息,包括:
将所述DNS请求数据中的主域名与白名单进行匹配,若所述DNS请求数据中的主域名命中白名单,则检测结束;
若未命中白名单,则将所述DNS请求数据中的主域名分别与黑名单和灰名单进行匹配;
若所述DNS请求数据中的主域名命中黑名单,则判定所述DNS请求数据为DNS隧道并生成黑名单告警信息;
若所述DNS请求数据中的主域名命中灰名单,则判定所述DNS请求数据为疑似DNS隧道并生成灰名单告警信息;
若所述DNS请求数据中的主域名未命中黑名单且未命中灰名单,则查询所述DNS请求数据中的主域名的威胁情报信息;
根据所述威胁情报信息判断所述主域名是否为命令和控制C&C或域名生成算法DGA域名,若是则判定所述DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所述DNS请求数据中的主域名加入灰名单。
3.根据权利要求1所述的方法,其特征在于,在接收用户对所生成的灰名单告警信息是否为误判的确认指令之后,所述方法还包括:
若根据所述确认指令确定所生成的灰名单告警信息为误判,则将所生成的灰名单告警信息加入白名单。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
周期性的获取预设时间段内的DNS请求数据;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的非A记录请求的比例,若所述所有第一元组的非A记录请求的比例大于预设第一阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有主域名的子域名数量,若所述子域名数量大于预设第二阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
查询所获取的预设时间段内的DNS请求数据中所有主域名的子域名中有解析记录的比例,若所述子域名中有解析记录的比例小于预设第三阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求数据包大小之和,若所述所有第一元组的请求数据包大小之和大于预设第四阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求时间分布,若所述所有第一元组的请求时间分布具有周期性趋势,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单。
5.根据权利要求4所述的方法,其特征在于,所述第一元组中的元素包括:客户端IP和主域名。
6.一种DNS隧道的检测装置,其特征在于,包括:
获取模块,用于获取域名系统DNS请求数据,每一DNS请求数据的字段,包括:请求时间、客户端IP、域名、主域名、请求包大小;
实时检测模块,用于利用白名单、黑名单、灰名单和所述DNS请求数据中的主域名的威胁情报信息,对所述DNS请求数据进行实时检测,在判定所述DNS请求数据为DNS隧道时生成黑名单告警信息,在判定所述DNS请求数据为疑似DNS隧道时生成灰名单告警信息;
确定模块,用于接收用户对所生成的灰名单告警信息是否为误判的确认指令;若根据所述确认指令确定所生成的灰名单告警信息不是误判,则将所生成的灰名单告警信息加入黑名单。
7.根据权利要求6所述的装置,其特征在于,所述实时检测模块,具体用于
将所述DNS请求数据中的主域名与白名单进行匹配,若所述DNS请求数据中的主域名命中白名单,则检测结束;
若未命中白名单,则将所述DNS请求数据中的主域名分别与黑名单和灰名单进行匹配;
若所述DNS请求数据中的主域名命中黑名单,则判定所述DNS请求数据为DNS隧道并生成黑名单告警信息;
若所述DNS请求数据中的主域名命中灰名单,则判定所述DNS请求数据为疑似DNS隧道并生成灰名单告警信息;
若所述DNS请求数据中的主域名未命中黑名单且未命中灰名单,则查询所述DNS请求数据中的主域名的威胁情报信息;
根据所述威胁情报信息判断所述主域名是否为C&C或DGA域名,若是则判定所述DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所述DNS请求数据中的主域名加入灰名单。
8.根据权利要求6所述的装置,其特征在于,所述确定模块,还用于
若根据所述确认指令确定所生成的灰名单告警信息为误判,则将所生成的灰名单告警信息加入白名单。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
周期性检测模块,用于
周期性的获取预设时间段内的DNS请求数据;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的非A记录请求的比例,若所述所有第一元组的非A记录请求的比例大于预设第一阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有主域名的子域名数量,若所述子域名数量大于预设第二阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
查询所获取的预设时间段内的DNS请求数据中所有主域名的子域名中有解析记录的比例,若所述子域名中有解析记录的比例小于预设第三阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求数据包大小之和,若所述所有第一元组的请求数据包大小之和大于预设第四阈值,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单;
统计所获取的预设时间段内的DNS请求数据中所有第一元组的请求时间分布,若所述所有第一元组的请求时间分布具有周期性趋势,则判定所获取的DNS请求数据为疑似DNS隧道,生成灰名单告警信息,并将所获取的DNS请求数据中的主域名加入灰名单。
10.根据权利要求9所述的装置,其特征在于,所述第一元组中的元素包括:客户端IP和主域名。
11.一种电子设备,其特征在于,包括:处理器、存储器、总线及存储在存储器上并可在第处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现如权利要求1-5中任一项所述的方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811054346.4A CN109474575B (zh) | 2018-09-11 | 2018-09-11 | 一种dns隧道的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811054346.4A CN109474575B (zh) | 2018-09-11 | 2018-09-11 | 一种dns隧道的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109474575A true CN109474575A (zh) | 2019-03-15 |
| CN109474575B CN109474575B (zh) | 2022-04-12 |
Family
ID=65664205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811054346.4A Active CN109474575B (zh) | 2018-09-11 | 2018-09-11 | 一种dns隧道的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109474575B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109831461A (zh) * | 2019-03-29 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
| CN110071829A (zh) * | 2019-04-12 | 2019-07-30 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN110187955A (zh) * | 2019-05-27 | 2019-08-30 | 四川大学 | 一种动静态结合的Docker容器内容安全性检测方法和装置 |
| CN110381089A (zh) * | 2019-08-23 | 2019-10-25 | 南京邮电大学 | 基于深度学习对恶意域名检测防护方法 |
| CN111343042A (zh) * | 2020-02-05 | 2020-06-26 | 网宿科技股份有限公司 | 一种dns解析的测试方法及测试系统 |
| CN111756735A (zh) * | 2020-06-23 | 2020-10-09 | 北京天融信网络安全技术有限公司 | 一种dns隧道流量检测方法及装置 |
| CN111953673A (zh) * | 2020-08-10 | 2020-11-17 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN112118205A (zh) * | 2019-06-19 | 2020-12-22 | 腾讯科技(深圳)有限公司 | 一种域名信息检测的方法及相关装置 |
| CN112565259A (zh) * | 2020-12-04 | 2021-03-26 | 互联网域名系统北京市工程研究中心有限公司 | 过滤dns隧道木马通信数据的方法及装置 |
| CN113067792A (zh) * | 2020-01-02 | 2021-07-02 | 深信服科技股份有限公司 | 一种xss攻击识别方法、装置、设备及介质 |
| CN113676379A (zh) * | 2021-09-01 | 2021-11-19 | 上海观安信息技术股份有限公司 | 一种dns隧道检测方法、装置、系统及计算机存储介质 |
| CN113839948A (zh) * | 2021-09-26 | 2021-12-24 | 新华三信息安全技术有限公司 | 一种dns隧道流量检测方法、装置、电子设备和存储介质 |
| CN115297083A (zh) * | 2022-08-03 | 2022-11-04 | 左道明 | 基于数据量和行为特征的域名系统隧道检测方法和系统 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
| CN102957694A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 一种判断钓鱼网站的方法及装置 |
| CN103326894A (zh) * | 2013-05-29 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | Dns隧道检测的方法和装置 |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
| CN104754071A (zh) * | 2013-12-31 | 2015-07-01 | 金琥 | 基于dns协议标准检测dns隧道数据的方法 |
| CN104780185A (zh) * | 2014-01-10 | 2015-07-15 | 腾讯科技(深圳)有限公司 | 信息分享控制方法及装置 |
| CN105024982A (zh) * | 2014-04-29 | 2015-11-04 | 中国移动通信集团设计院有限公司 | 一种网络接入方法、装置和服务器 |
| CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
| CN105791039A (zh) * | 2014-12-22 | 2016-07-20 | 北京启明星辰信息安全技术有限公司 | 一种基于特征片段自发现的可疑隧道检测方法与系统 |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN107451476A (zh) * | 2017-07-21 | 2017-12-08 | 上海携程商务有限公司 | 基于云平台的网页后门检测方法、系统、设备及存储介质 |
| CN107547488A (zh) * | 2016-06-29 | 2018-01-05 | 华为技术有限公司 | 一种dns隧道检测方法以及dns隧道检测装置 |
| CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
-
2018
- 2018-09-11 CN CN201811054346.4A patent/CN109474575B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
| CN102957694A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 一种判断钓鱼网站的方法及装置 |
| CN103326894A (zh) * | 2013-05-29 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | Dns隧道检测的方法和装置 |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
| CN104754071A (zh) * | 2013-12-31 | 2015-07-01 | 金琥 | 基于dns协议标准检测dns隧道数据的方法 |
| CN104780185A (zh) * | 2014-01-10 | 2015-07-15 | 腾讯科技(深圳)有限公司 | 信息分享控制方法及装置 |
| CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
| CN105024982A (zh) * | 2014-04-29 | 2015-11-04 | 中国移动通信集团设计院有限公司 | 一种网络接入方法、装置和服务器 |
| CN105791039A (zh) * | 2014-12-22 | 2016-07-20 | 北京启明星辰信息安全技术有限公司 | 一种基于特征片段自发现的可疑隧道检测方法与系统 |
| CN107547488A (zh) * | 2016-06-29 | 2018-01-05 | 华为技术有限公司 | 一种dns隧道检测方法以及dns隧道检测装置 |
| CN107451476A (zh) * | 2017-07-21 | 2017-12-08 | 上海携程商务有限公司 | 基于云平台的网页后门检测方法、系统、设备及存储介质 |
| CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 章思宇: "基于DNS的隐蔽通道流量检测", 《通信学报》 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109831461B (zh) * | 2019-03-29 | 2021-10-26 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
| CN109831461A (zh) * | 2019-03-29 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
| CN110071829A (zh) * | 2019-04-12 | 2019-07-30 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN110071829B (zh) * | 2019-04-12 | 2022-03-04 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN110187955A (zh) * | 2019-05-27 | 2019-08-30 | 四川大学 | 一种动静态结合的Docker容器内容安全性检测方法和装置 |
| CN112118205B (zh) * | 2019-06-19 | 2022-08-16 | 腾讯科技(深圳)有限公司 | 一种域名信息检测的方法及相关装置 |
| CN112118205A (zh) * | 2019-06-19 | 2020-12-22 | 腾讯科技(深圳)有限公司 | 一种域名信息检测的方法及相关装置 |
| CN110381089A (zh) * | 2019-08-23 | 2019-10-25 | 南京邮电大学 | 基于深度学习对恶意域名检测防护方法 |
| CN113067792A (zh) * | 2020-01-02 | 2021-07-02 | 深信服科技股份有限公司 | 一种xss攻击识别方法、装置、设备及介质 |
| CN111343042A (zh) * | 2020-02-05 | 2020-06-26 | 网宿科技股份有限公司 | 一种dns解析的测试方法及测试系统 |
| CN111756735A (zh) * | 2020-06-23 | 2020-10-09 | 北京天融信网络安全技术有限公司 | 一种dns隧道流量检测方法及装置 |
| CN111953673B (zh) * | 2020-08-10 | 2022-07-05 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN111953673A (zh) * | 2020-08-10 | 2020-11-17 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN112565259A (zh) * | 2020-12-04 | 2021-03-26 | 互联网域名系统北京市工程研究中心有限公司 | 过滤dns隧道木马通信数据的方法及装置 |
| CN112565259B (zh) * | 2020-12-04 | 2022-10-28 | 互联网域名系统北京市工程研究中心有限公司 | 过滤dns隧道木马通信数据的方法及装置 |
| CN113676379A (zh) * | 2021-09-01 | 2021-11-19 | 上海观安信息技术股份有限公司 | 一种dns隧道检测方法、装置、系统及计算机存储介质 |
| CN113676379B (zh) * | 2021-09-01 | 2022-08-09 | 上海观安信息技术股份有限公司 | 一种dns隧道检测方法、装置、系统及计算机存储介质 |
| CN113839948A (zh) * | 2021-09-26 | 2021-12-24 | 新华三信息安全技术有限公司 | 一种dns隧道流量检测方法、装置、电子设备和存储介质 |
| CN113839948B (zh) * | 2021-09-26 | 2023-10-24 | 新华三信息安全技术有限公司 | 一种dns隧道流量检测方法、装置、电子设备和存储介质 |
| CN115297083A (zh) * | 2022-08-03 | 2022-11-04 | 左道明 | 基于数据量和行为特征的域名系统隧道检测方法和系统 |
| CN115297083B (zh) * | 2022-08-03 | 2023-09-12 | 左道明 | 基于数据量和行为特征的域名系统隧道检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109474575B (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109474575A (zh) | 一种dns隧道的检测方法及装置 | |
| CN104067280B (zh) | 用于检测恶意命令和控制通道的系统和方法 | |
| KR101544322B1 (ko) | 시각화를 이용한 악성 코드 탐지 시스템과 방법 | |
| Kozlov et al. | Security and privacy threats in IoT architectures. | |
| CN102624706B (zh) | 一种dns隐蔽信道的检测方法 | |
| US8806632B2 (en) | Systems, methods, and devices for detecting security vulnerabilities in IP networks | |
| US9680842B2 (en) | Detecting co-occurrence patterns in DNS | |
| US20100125663A1 (en) | Systems, methods, and devices for detecting security vulnerabilities in ip networks | |
| US11095671B2 (en) | DNS misuse detection through attribute cardinality tracking | |
| CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| Kebande et al. | Adding digital forensic readiness as a security component to the IoT domain | |
| WO2006073784A2 (en) | System, apparatuses, and method for linking and advising of network events related to resource access | |
| EP2076836A2 (en) | Real-time identification of an asset model and categorization of an asset to assist in computer network security | |
| Gersch et al. | Rover: Route origin verification using dns | |
| CN107154939A (zh) | 一种数据追踪的方法及系统 | |
| CN109802919A (zh) | 一种web网页访问拦截方法及装置 | |
| WO2017101874A1 (zh) | Apt攻击的检测方法、终端设备、服务器及系统 | |
| CN106131054B (zh) | 基于安全云的网络入侵协同检测方法 | |
| CN108076006B (zh) | 一种查找被攻击主机的方法及日志管理服务器 | |
| CN114301706B (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
| CN104410642B (zh) | 基于arp协议的设备接入感知方法 | |
| CN103905456A (zh) | 基于熵模型的dns反解攻击的检测系统和方法 | |
| KR100830434B1 (ko) | 악성코드 수집 시스템 및 방법 | |
| CN106572072A (zh) | 一种对攻击者进行追踪定位的方法及系统 | |
| Kim et al. | A novel approach to detection of mobile rogue access points |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |