CN111771364A - 经由dns属性在远程网络中进行基于云的异常流量检测和保护 - Google Patents
经由dns属性在远程网络中进行基于云的异常流量检测和保护 Download PDFInfo
- Publication number
- CN111771364A CN111771364A CN201980014996.2A CN201980014996A CN111771364A CN 111771364 A CN111771364 A CN 111771364A CN 201980014996 A CN201980014996 A CN 201980014996A CN 111771364 A CN111771364 A CN 111771364A
- Authority
- CN
- China
- Prior art keywords
- address
- local network
- dns
- central platform
- dns server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
远离本地网络的中央平台可以检测到本地网络上的异常。中央平台可以为本地网络分配唯一的DNS服务器IP地址对。中央平台可以从本地网络接收配置数据,并使用配置数据和分配的DNS服务器IP地址对来唯一地识别本地网络上的设备。在本地网络的当前网络流统计信息与期望的网络流统计信息不匹配的情况下,可以使用分配的DNS服务器IP地址对和配置数据来识别导致异常行为的设备。
Description
技术领域
本公开通常涉及网络系统,并且更具体地,涉及使用域名系统(DNS)和其他网络行为和/或属性的基于云的分析,来检测和保护本地网络中的设备免受异常。
背景技术
为远程网络(诸如家庭网络或办公室网络)上的设备提供安全性可能很困难。造成这种困难的原因之一是,充当远程网络和因特网服务提供商(ISP)之间网关的路由器通常会被分配本质上动态的因特网协议(IP)地址。换句话说,分配给特定远程网络的特定路由器的IP地址可能会随时间更改。结果,由于与数据流相关联的IP地址可以更改,因此可能难以表征流入和流出诸如家庭或办公室网络之类的远程网络的数据流。
发明内容
在一方面,本发明的主题通过配置网关设备以利用唯一的静态DNS名称服务器对,来提供对来自具有非静态IP地址的网关设备的异常网络流量的基于云的检测以及针对其的保护。
该系统和方法使得能够通过以下来在本地网络中进行异常检测:(i)通过中央平台维护多个DNS服务器IP地址;(ii)通过中央平台接收本地网络的配置数据;(iii)通过中央平台向本地网络分配DNS服务器IP地址对,其中,在多个DNS服务器IP地址的配对中,将DNS服务器IP地址对选择为唯一的;(iv)通过中央平台至少部分地基于配置数据和分配给本地网络的DNS服务器IP地址对来识别本地网络内的设备。
附图说明
为了更好地理解本发明的主题,可以参考附图,其中:
图1是示出了示例系统的框图,该示例系统基于DNS属性对远程网络中的异常网络流量执行基于云的检测和保护其免于远程网络中的异常网络流量。
图2是示出用于在系统中进行供应以执行基于云的DNS异常保护的方法的操作的序列图。
图3是示出用于更新系统以执行基于云的DNS异常保护的方法的操作的序列图。
图4是示出用于基于云的DNS异常保护的方法的操作的流程图。
图5是可以在其上执行本发明主题的实施例的计算机系统的示例实施例的框图。
具体实施方式
在本发明的示例实施例的以下详细描述中,参考附图,该附图形成本发明的示例实施例的一部分,并且其中通过图示的方式示出了可以实践本发明的特定示例实施例。对这些实施例进行足够详细的描述,以使本领域技术人员能够实践本发明的主题,并且应该理解,可以利用其他实施例,并且可以在不脱离本发明主题的范围的情况下进行逻辑、机械、电气和其他更改。
以下详细描述的一些部分是根据对计算机存储器内的数据位的操作的算法和符号表示来呈现的。这些算法描述和表示是数据处理领域的技术人员用来最有效地将他们工作的实质传达给本领域其他技术人员的方式。这里的算法通常被认为是导致期望结果的自相一致的步骤序列。这些步骤是需要物理操纵物理量的步骤。通常,尽管不是必须的,这些量采用能够被存储、传输、组合、比较和以其他方式操纵的电信号或磁信号的形式。有时,主要出于通用的原因,已经证明将这些信号称为比特、值、元素、符号、字符、术语、数字等是方便的。然而,应该记住,所有这些和类似术语都与适当的物理量相关联,并且仅仅是应用于这些量的方便标签。除非另有明确说明,否则从以下讨论中可明显看出,诸如“处理”或“计算”或“运算”或“确定”或“显示”等术语是指计算机系统或类似计算设备的动作和过程,其将表示为计算机系统的寄存器和存储器内的物理(例如,电子)量的数据操纵和变换为类似地表示为计算机系统存储器或寄存器或其他此类信息存储、传输或显示设备内的物理量的其他数据。
在附图中,始终使用相同的附图标记来表示出现在多个图中的相同部件。信号和连接可以用相同的参考数字或标号表示,并且实际含义将从其在说明书的上下文中的使用中变得清楚。通常,给定项目或本发明的一部分的附图标记的第一个数字应对应于首先识别项目或部分的图号。
各种实施例的描述仅被解释为示例,并未描述本发明主题的每个可能实例。使用当前或未来技术的组合可以实现许多替换方案,这仍然属于权利要求的范围。因此,以下详细描述不应被视为具有限制意义,并且本发明主题的范围仅由所附权利要求限定。
许多ISP为其客户的网关设备分配动态IP地址,该地址可能会定期更改。例如,分配给特定客户的网关设备的IP地址可以每天、每周或每月更改。另外,远程识别局域网(LAN)(诸如家庭网络)中的设备可能具有挑战性,因为这些设备通常隐藏在LAN网关路由器上实现的NAT(网络地址转换)后面。因特网协议地址空间是有限的,因此家庭中的每个局域网通常使用本地(即“专用”)地址空间,例如,伴随NAT的192.168.1.x。路由器、接入点或用作网关路由器的其他设备采用NAT,以允许LAN上的任何设备与更广泛的因特网(即公共地址空间网络)通信。NAT通过用网关设备(例如,路由器、接入点等)的IP地址重写每个LAN设备的IP地址,并在其返回时使用传输控制协议(TCP)端口号对流量进行解复用来实现此目的。
本发明的实施例可以识别本地网络(例如,专用地址空间网络)内的设备的异常行为,其中该识别在远离本地网络的一个或多个计算平台上执行。在一些方面,从可用DNS服务器池中为网关路由器分配了特定的DNS服务器对。唯一的DNS服务器对分配可以使算法在远离网关路由器(例如,在云上)的一个或多个计算平台上执行,以识别由网关路由器发送和/或寻址到网关路由器(即每个单独的ISP客户)的网络数据。一旦识别了网关路由器,就可以基于在本地网络外部(即,在更广泛的因特网上、在网关路由器与本地网络相对的一侧)观察到的网络流量,更轻松地识别和分类本地网络中的设备。例如,中央平台可以基于查找算法、一种或多种机器学习算法(例如,机器学习引擎等)等来识别和分类本地网络设备。基于所识别和/或分类的设备,然后可以将适当的机器学习配置文件与本地网络相关联。适当的机器学习配置文件的这种关联可以使有效的异常检测算法可用于从远程计算平台检测本地网络内的设备受到威胁的时间。
图1是示出了用于执行基于云的DNS异常保护的示例系统100的框图。在一些实施例中,系统100可以包括具有路由器104、计算机106、智能电话108、游戏控制台110、物联网(IoT)设备112和膝上型计算机114的本地网络102。系统100可以进一步包括中央平台124和客户路由器120A、120B和120C。客户路由器120A、120B和120C可以连接到相同的本地网络或分离的本地网络。例如,每个客户路由器120A、120B和120C可以向/从不同的ISP网络发送和接收网络数据。
本地网络102能够促进路由器104、计算机106、智能手机108、游戏控制台110、IoT设备112和膝上型计算机114之间的数据(例如网络数据包等)交换。本地网络102可以是有线网络、无线网络或两者的组合。在一些实施例中,本地网络102可以是家庭网络。在替代实施例中,网络102可以是小型企业中的网络或公司网络。本地网络102包括利用专用IP地址空间的网络。尽管本地网络102的地理规模/空间范围不受限制,但是可以包括本地网络102的网络的示例包括但不限于纳米级网络、近场网络、体域网(BAN)、个人域网(PAN)、近距离域网(NAN)、局域网(LAN)、无线局域网(WLAN)、家庭域网(HAN)、存储域网(SAN),以及校园域网(CAN)。在其他实施例中,本地网络102是允许数据通过串行或并行通信信道(例如,铜线、光纤、计算机总线、无线通信信道等)物理传输的任何介质。
计算机106可以是台式计算机、服务器计算机、机顶盒或具有使该设备能够执行程序的处理器和存储器的任何其他设备。
智能手机108可以是任何类型的智能手机。智能手机的示例包括基于
的智能手机、
和
手机。实施例不限于任何特定类型的智能手机。
游戏控制台110是通常被设计为玩视频游戏的专用计算设备。游戏控制台的非限制性示例包括
系列游戏控制台、
系列游戏控制台和
系列游戏控制台。
IoT设备112可以是任何类型的设备,包括处理器和网络接口以经由本地网络102传输数据。此类设备的示例包括但不限于智能电视、智能家用电器、传感器、生物芯片、办公设备、可植入医疗设备和基于车辆的设备。
膝上型计算机114可以是便携式计算设备,包括传统的膝上型计算机或平板计算机。
路由器104是网关设备,其向/从客户的ISP网络发送和接收本地网络102上的设备的网络数据(例如,数据包等)。路由器104可以是独立路由器、无线路由器或接入点、调制解调器/路由器或在两个网络之间转发数据的任何其他设备。在一些实施例中,路由器104能够在利用第一寻址方案(诸如专用IP地址空间)的第一网络(例如,本地网络102)或子网、与利用第二寻址方案(诸如公共IP地址空间)的第二网络(例如,ISP网络、广域网)或子网之间转发数据包。路由器104通常由ISP分配动态IP地址。在一些实施例中,由ISP分配给路由器的动态IP地址的第一两个八位字节不更改,而作为由ISP动态分配IP地址的一部分的第二两个八位字节可以更改。例如,在图1所示的示例中,路由器104已经由ISP分配了动态IP地址24.1.12.9。ISP可以在以后的时间向路由器104分配不同的IP地址,例如24.1.97.209。但是,不期望ISP将24.99.17.34的IP地址分配给路由器104。
中央平台124可以是可以为诸如本地网络102之类的本地网络提供供应、域名和分析服务的服务器(或多个服务器)。在一些实施例中,中央平台124可以包括DNS名称服务器池118A和机器学习引擎122。
DNS名称服务器池118A包括DNS服务器池,每个DNS服务器具有分配的IP地址。在一些实施例中,DNS名称服务器池118A具有可用于分配给本地网络(例如,本地网络102)的254个DNS服务器。DNS服务器可以全部驻留在单个服务器上(例如,中央平台124或其他服务器),或者它们可以分布在多个服务器上。在图1所示的示例中,可以在192.0.2.1到192.0.2.254的范围内为DNS名称服务器池118A中的每个DNS服务器分配唯一的地址。DNS名称服务器池可将DNS服务器提供给多个本地网络,如图1中的DNS名称服务器池118B和客户路由器120A、120B和120C所示。在一些实施例中,DNS名称服务器池将DNS服务器及其分配的IP地址存储为体现在计算平台(例如,中央平台124等)的有形的、非暂时性的计算机可读介质中的计算机可读数据值。
在一些实施例中,两个唯一的DNS名称服务器被静态地分配给由ISP管理的65,000个IP地址的组中的每个路由器,其中两个DNS名称服务器的IP地址对在该组内是唯一的。通过为65,000个IP地址的每一组分配两个“唯一”名称服务器,可以在65,000个IP地址的组中区分多达31878(=253X 252/2)个不同的客户路由器。如果组IP地址的组中的客户路由器的数量越来越接近极限,则可以供应其他DNS名称服务器池。将两个唯一的DNS名称服务器分配给组中的路由器,以便为每个路由器分配唯一的DNS名称服务器对。因此,即使路由器动态分配的IP地址随时间更改,也可以通过确定路由器104使用的DNS名称服务器对来唯一地识别路由器104。
机器学习引擎122基于从本地网络102接收的网络流量确定网络流统计信息。机器学习引擎122可以将网络流统计信息与其他数据(诸如网络(例如,本地网络102)的网络设备列表)一起使用,以创建网络的网络配置文件126,并识别网络上的异常行为(例如,僵尸网络、因特网扫描、隐私泄漏等)。在一些实施例中,机器学习引擎122至少输出识别出的异常的严重性标签和/或分类置信度。机器学习引擎122可以是中央平台124的组件,或者可以是另一个系统或平台(诸如网络安全系统、网络控制系统、网络智能平台等)的组件。在一些实施例中,机器学习引擎122和/或网络配置文件126可以由体现在计算平台(例如,中央平台124等)的有形、非暂时性计算机可读介质中的一个或多个处理器可执行指令和/或计算机可读数据值组成,以在由计算设备的处理器执行时实现一种或多种机器学习算法。
中央平台124可以经由一个或多个有线网络、无线网络或两者的组合的任何集合耦合到客户路由器104。在一些方面,可通信地将中央平台124耦合到客户路由器104的网络可以是组成因特网的一个或多个网络。在一些实施例中,可通信地将中央平台124耦合到路由器(例如,客户路由器104)的网络被称为ISP网络和/或广域网。可通信地将中央平台124耦合到路由器的网络包括利用公共IP地址空间的网络。尽管不限制可通信地将中央平台124耦合到路由器的网络的地理规模/空间范围,但是可以包括该网络的网络的示例包括但不限于骨干网、城域网(MAN)、广域网(WAN)、全域网GAN)、公用电话交换网(PSTN)和因特网域网(IAN)。在另一个实施例中,网络是允许数据通过串行或并行通信信道(例如,铜线、光纤、计算机总线、无线通信信道等)物理传输的任何介质。
在一些实施例中,本地网络102上的设备可以可选地包括代理116。代理116可以执行诸如扫描本地网络102的操作,以识别本地网络102上的设备并将其报告给中央平台124。这可以使中央平台124能够支持更智能的异常网络行为的过滤和检测。然而,应注意,这样的代理116不是实施例的要求,并且本地网络不需要安装任何专门的软件或硬件组件来促进网络流量和异常事件的识别。代理116可以是被下载到用户的智能手机、膝上型计算机、平板计算机、台式计算机或本地网络102的其他设备上的应用(例如,体现在有形的、非暂时性计算机可读介质中的处理器可执行指令等)。
应当注意,尽管在图1中仅示出了一个本地网络102,但是中央平台124可以从许多不同的本地网络接收数据。
以图1所示的设备的数量和类型为例。受益于本公开的本领域技术人员将理解,网络102可以包括比图1所示的更多或更少的设备和设备类型。
现在将参照图2-4呈现关于上述系统100的操作的更多细节。
图2是示出用于在系统(例如,系统200)中进行供应以执行基于云的DNS异常保护的方法的操作的序列图200。在一些实施例中,可以由在本地网络102和中央平台124上的计算设备(例如,计算机106等)上执行的代理116来执行操作。
在操作202,代理116可以扫描本地网络102以确定本地网络102的本地配置。例如,代理116可以确定当前在本地网络102上存在的设备,以及关于设备的信息,诸如它们的本地IP地址和媒体访问控制(MAC)地址。另外,代理116可以获取关于客户的路由器104的信息。例如,代理116可以获取路由器104的型号和/或MAC地址。
在操作204,代理116可以接收客户识别数据。客户识别数据可以是与客户相关联的电子邮件地址、与客户相关联的电话号码或与客户相关联的其他识别信息。在一些实施例中,可以经由在其上执行代理116的计算设备的图形用户界面来提供客户识别数据。
在操作206,代理116将本地配置信息和/或客户识别数据发送到中央平台124。
在操作208,中央平台124可以使用本地配置信息来确定服务水平。例如,中央平台124可以使用路由器模型信息和/或路由器MAC地址来确定中央平台124可以提供给连接在本地网络102上的设备的服务水平。例如,在某些情况下,即使当不需要这种重新分配时,路由器104也可以重新分配NAT端口号。这种重新分配会使单个设备的检测更加困难。结果,中央平台124可以相应地调整其服务水平。另外,在某些情况下,本地网络102上的设备混合可能包括太多不使用可预测端口号或不使用DNS的设备。这会使行为分析更加困难。因此,中央平台124可以调整其可以相应地提供的服务水平。在上述情况下,中央平台124可以指示其可以为本地网络102提供阻止和/或异常检测,但是不能在单个设备水平上提供阻止和/或异常检测。可替代地,中央平台124可以指示本地网络102上的某些设备不能被保护。附加地或可替代地,在操作208,中央平台124可以使用客户识别数据来确定服务水平。例如,中央平台124可以使用客户识别数据来确定用于连接在本地网络102上的设备的服务的保护水平、用于启用用于连接在本地网络102上的设备的特征等。
在操作210,中央平台124可以存储用于本地网络102的本地配置信息。可以将存储的信息提供给机器学习引擎122,以用于分析本地网络102的网络行为。例如,机器学习引擎122可以使用表示路由器104的类型和/或连接在本地网络102上的设备的类型的信息来识别本地网络102上的异常流量。
在操作212,中央平台124可以将DNS名称服务器对从DNS名称服务器池118A分配给路由器104。另外,中央平台124可以将分配的DNS服务器IP地址对与配置文件126中的客户记录相关联。在一些实施例中,系统将完全唯一的对分配给被分配了DNS名称服务器对的第一客户网络(例如,本地网络102)。也就是说,分配的对的IP地址中没有重叠。例如,可以将/l6块内的前128个客户路由器(例如,一组具有相同的前两个八位字节的IP地址)分配给完全唯一的DNS名称服务器对。唯一对的分配可能是理想的,因为它可以帮助表征网络流。例如,在早期分配过程中使用唯一对可以使机器学习引擎122在为DNS名称服务器分配部分重叠的IP地址(即,与另一个客户路由器共享的IP,但该对对该块内的该客户路由器是唯一的)之前更充分地表征给定IP块的动态性质。
在操作214,中央平台124将分配的DNS名称服务器的IP地址对提供给代理116。另外,中央平台还可以提供要由中央平台124提供的服务水平。
在操作216,路由器104被配置为使用所分配的DNS名称服务器的IP地址对。在一些实施例中,代理116可以与路由器104通信以在路由器104中设置DNS名称服务器的IP地址。在替代实施例中,DNS名称服务器的IP地址可以显示或以其他方式提供给用户,该用户可以在路由器104中手动设置DNS IP地址。在其中路由器支持EDNS(用于DNS的扩展机制)的其他替代实施例中,可以启用EDNS以便支持EDNS MAC注入。启用EDNS可能是理想的,因为它使路由器向中央平台124提供信息,这可以使中央平台更容易识别进行DNS查询的各个设备。
在操作218,代理116可以向中央平台124提供路由器104的DNS服务器设置完成的指示。
在操作220,代理116可以发送两个具有预定的不存在的DNS名称的测试DNS请求(每个测试DNS请求被分配给每个分配的DNS名称服务器),以验证路由器设置。如果没有对DNS请求的响应,则代理116可以尝试重新供应路由器,或者指示用户检查DNS设置并重置路由器。
在操作222,中央平台124可以将令牌(例如,web cookie等)提供给代理116,该令牌可以用于基于浏览器的访问。在一些实施例中,web cookie可以是“长寿命”的cookie。
在操作224,代理116使web浏览器应用在设备上通过链接被打开,该链接会将webcookie注入浏览器中以便以后进行访问。例如,可以使用长寿命的cookie,该cookie会将有关已确认的DNS服务器IP地址对的信息包含到web访问令牌中。即使代理116被卸载或以其他方式不运行,这也可以允许通过浏览器进行访问。
如上所述,代理116是可选的,并且在一些实施例中可能不存在。因此,可以将上述某些操作替换为由本地网络102的用户或管理员执行的操作。例如,如果代理116不存在于本地网络102上,则在一些实施例中,本地网络102的用户或管理员可以在获取IP地址之后将它们手动地供应给他们的路由器(例如,通过经由网页的注册等)。此外,用户或代理可以在注册时提供电子邮件地址或其他识别信息。此外,在提供识别信息之前,可能不会分配DNS服务器IP地址对。同样,在一些实施例中,页面中具有“特殊”域名的网页可以用于验证客户路由器的DNS服务器IP地址的正确设置。
图3是示出用于更新系统(例如,系统100)以执行基于云的DNS异常保护的方法的操作的序列图300。可以周期性地执行操作以验证当前路由器104的IP地址。
在操作302,本地网络设备320(例如,智能手机108、平板计算机、膝上型计算机114等)上的代理116检测到本地网络设备320已连接或重新连接到本地网络102。在一些实施例中,代理116可以使用服务集标识符(SSID)或路由器MAC地址验证来验证本地网络设备320已经连接(或重新连接)到本地网络102。
在操作304,代理116可以将DNS查找请求发送到路由器104当前正在使用的DNS名称服务器322(即,分配给路由器104的一对DNS名称服务器之一)。该请求可以包括作为初始设置的一部分由中央平台124提供给代理116的令牌。令牌可用于帮助验证源IP地址已连接到已分配的DNS服务器118中的一个或两个。例如,令牌可用于验证源IP地址(即,由NAT转换并由中央平台124看到的地址)当前属于使用令牌识别的订户。在一些实施例中,请求可以是来自DNS名称服务器的AAAA记录。
在操作306,DNS名称服务器322将具有所请求的IP地址和cookie的回复提供给代理116。在一些实施例中,回复是AAAA记录的形式,其中cookie被提供作为记录的一部分。
在操作308,代理116将包括本地网络102的网络名称、cookie和客户ID的消息发送到中央平台124。客户ID可以是在初始供应过程中提供的用户电子邮件或电话号码。客户ID也可以代表长期订户身份。
在操作310,中央平台124提供对该消息的响应。该响应可以指示验证已完成。可替代地,该响应可以指示需要用户动作。例如,该响应可以指示需要用分配的DNS服务器IP地址对重新供应路由器104。
图4是示出用于基于云的DNS异常保护的方法的操作的流程图400。
在框402,DNS名称服务器(例如,DNS名称服务器322)接收针对IP地址查找的DNS请求。该请求将包括来自始发网络(例如,本地网络102)的源IP地址(如果正在使用NAT,则通常是路由器104的IP地址),以及作为请求的接收者的DNS名称服务器的入口IP地址。
在框404处,进行检查以确定DNS名称服务器是否知道源IP地址。换句话说,DNS名称服务器可以检查以确定它是否是为与源IP地址相关联的网络102分配的DNS名称服务器。
当DNS名称服务器不知道源IP地址时,流程进行到框406,DNS名称服务器注释(例如,经由标志等)路由器104的潜在IP地址更改。然后该方法在框408处结束,在框408处,丢弃包含DNS请求的数据包,以迫使路由器104使用分配给路由器104的另一个DNS名称服务器。另一个DNS名称服务器可以查找该注释,并使用该注释的存在来验证路由器的IP地址更改。例如,在另一个DNS名称服务器收到第二个DNS查找请求之后,并响应于确定源IP地址与另一个DNS名称服务器不相关联、并且注释存在(即,存在指示该源IP地址可以与本地网络102上的路由器104的IP地址更改相关联的数据),则可以将源IP地址重新分配给该DNS服务器IP地址对。
当在框404处的检查导致DNS名称服务器确定DNS名称服务器知道源IP地址时,则可以可靠地识别客户路由器104。
在框410,确定本地网络102的流统计信息。可以基于由机器学习引擎122对发送到本地网络102和/或从本地网络102发送的数据包的检查,对流统计信息进行建模。统计信息可以包括DNS查询、查询中使用的端口号、IP序列号、DNS序列号、正在查找的域名、数据包大小等。可以在与客户路由器104相关联的配置文件(例如,配置文件126)中维护网络102的统计信息。
在框412处,DNS名称服务器可以将与源IP地址相关联的网络的当前流统计信息与期望的流统计信息进行比较。期望的流统计信息可以基于本地网络102上设备的混合和类型以及网络102的过去网络行为。
在框414处,针对与源IP地址相关联的本地网络102,DNS名称服务器可以基于当前流统计信息与期望的流统计信息的比较,来确定是否检测到异常(例如,僵尸网络、因特网扫描、隐私泄漏等)。
当未检测到异常时,流程进行到框416,在框416中,该方法继续进行所请求的DNS查找。然后该方法结束。
当检测到异常时,流程进行到框418以确定是否要警告用户。在一些实施例中,异常的严重性可以用于确定是否要警告用户。例如,机器学习引擎(例如,机器学习引擎122等)可以分析异常并且包括将严重性标签分配给异常的至少一个输出,该严重性标签可以由中央平台124的各方面解释以产生对用户的警告。此外,与异常检测相关联的置信度水平可以用于确定是否要警告用户。例如,机器学习引擎(例如,机器学习引擎122等)可以分析异常并包括分配分类的置信度的至少一个输出,该置信度可以由中央平台124的各方面解释以产生对用户的警告。当要警告用户时,流程进行到框420。当不警告用户时,流程进行到框424。
在框420,由DNS名称服务器确定引起检测到的异常的设备。在一些实施例中,可以基于过去的DNS查询使用与设备相关联的识别信息来确定设备。例如,可以通过设备进行的其他DNS查询来初始识别设备,然后使用端口号和/或DNS序列号将其与以前的查询相关联。
在用户的本地网络102上具有代理116的实施例中,确定算法可以使用由初始扫描给出的设备信息。可替代地,如果路由器104支持EDNS,则可以从路由器104在DNS查询期间添加的EDNS信息中确定设备。
此外,异常本身的性质可以指示存在问题的设备。在庞大的用户群(例如,至少1000个)上,如果仅在已知在其网络上具有特定设备的用户看到异常,则可以确定该异常很可能与该设备相关联。
在框422,向用户警告异常行为。在一些实施例中,警告可以包括到代理116的推送通知,该推送通知然后可以使警告被显示给用户(例如,经由计算设备的图形用户界面等)。在替代实施例中,警告可以包括短消息服务(SMS)消息或发送到客户的计算设备的电子邮件。流程然后前进到框424。
在框424处,可以响应于DNS查找而不是与在请求中识别的域名相关联的IP地址来返回“阻止页”的IP地址。阻止页可以包含为什么阻止查找的信息。例如,阻止页可以提供有关检测到的异常的信息。客户可以选择阻止其家庭的某些站点。客户还可以选择按设备阻止某些站点,只要系统能够充分识别该设备即可。
返回阻止页的IP地址后,该方法结束。
从上面可以看出,基于云的中央平台可以从订阅的客户路由器接收所有DNS查询。基于入口IP和与DNS请求的源相关联的/l6块,中央平台可以区分各个客户路由器。在块中的前128个客户期间完成的表征可以帮助平台能够保持此识别,即使客户路由器的IP地址发生更改。
可以基于DNS查找的源IP地址和分配用于处理来自该源IP地址的DNS请求的DNS名称服务器来识别客户路由器。可以经由执行机器学习算法的计算设备对DNS流量进行建模,以了解该客户路由器和/或本地网络的流量异常情况。IP序列号、DNS序列号和DNS源端口号以及正在查找的域名可以帮助识别本地网络上的各个设备并关联流量。即使与客户路由器相关联的IP地址随时间更改,流量也可以被关联。
某些实施方案的其他方面
在一些实施例中,分配对的第一DNS名称服务器可以偶尔使输入的DNS请求超时,以便“强制”分配对的第二DNS名称服务器由客户端路由器(例如,客户路由器104)使用。这是理想的,因为它可以帮助识别和/或验证与通过DNS名称服务器对的DNS流量相关联的客户路由器。
如上所述,在一些实施例中,在第一次启动DNS名称服务器池118期间可以发生网络表征阶段。在此阶段期间,对于每个/l6 IP块的前128个启动的客户路由器(例如,家用IP为24.l2.x.y的前128个客户路由器),可以播种该块的“动态”特性。
在一些实施例中,“动态”可以包括三种类型:
·长期动态(IP地址很少更改(例如,更改的频率小于每月一次等)))
·短期动态(IP地址在一个月/周的范围内更改,即客户重置设备时)
·定期动态(所有客户都在特定时间更改其IP)
在一些实施例中,机器学习引擎122可以使用以下原始数据参数:时间戳、客户ID、IP地址、置信度。当IP块中有128个或更少的订户并且系统分配唯一的DNS名称服务器(即,DNS名称服务器对的IP地址中没有重叠)时,可以将置信度初始地设置为一(“1”),值1表示总置信度。
原始数据参数可以按以下格式转换为数据:客户ID、IP地址的前三个八位字节、开始时间、周开始日期、月开始日期、持续时间、置信度。
然后,机器学习引擎122可以确定这些字段中任何一个周围的数据群集。例如,在上午4点(4am)更改了客户路由器的所有IP地址的ISP,会在“开始小时(Start Hour)”字段中显示强大的群集;对于在某周或某月中的某天进行重置的ISP,将分别发生“周开始日期”字段和“月开始日期”字段的类似群集。可替代地,仅将IP地址租用的最大持续时间限制到路由器104的ISP可以显示在该持续时间附近的群集。在一些实施例中,在ISP以不同的块分割客户路由器的情况下(例如,所有静态分配的IP地址的格式为24.12.250.x),包括IP地址的前三个八位字节。
IP地址块的群集可以为分类算法提供有关分配给IP地址稳定性多少权重的指示。例如,如果IP地址属于稳定的群集,则异常检测算法可以对IP分配具有较高的置信度(例如,大于95%等)。另一方面,如果在属于频繁更改的群集的家庭(例如,本地网络102)中检测到异常,则可能是因为IP地址已更改并且该模型仅在查看来自另一家庭的数据。
机器学习引擎122对该群集模型的输出将其自身表现为IP地址稳定性的表征,并作为一个或多个特征(例如,IP地址稳定性、IP地址年龄估计)而成为机器学习检测模型的输入。然后可以训练异常检测模型以学习此特征的效果。为了抑制误报,这是合乎需要的。
另外,在一些实施例中,即使在分配了块中的前128个客户路由器之后,原始IP地址稳定性群集也可以继续运行,但是基于对于给定观察到的传入IP地址对,在所分配的DNS服务器地址中存在多少重叠的情况,“置信度”值会降低。因此,新的稳定性观测可以继续影响群集,但是权重低于原始观测。
图5是可以在其上执行本发明主题的实施例的计算机系统500的示例实施例的框图。例如,计算机系统500可以全部或部分地包括中央平台124、计算机106、智能电话108、游戏控制台110、IoT设备112、膝上型计算机114和本地网络设备320的方面。图5的描述旨在提供可以与本发明一起实现的合适的计算机硬件和合适的计算环境的简要、通常描述。在一些实施例中,在由计算机执行的计算机可执行指令(诸如程序模块)的一般上下文中描述了本发明的主题。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。
如上所述,这里公开的系统可以分布在许多物理主机上。因此,图5的许多系统和子系统可以涉及实现这里公开的发明主题。
此外,本领域技术人员将理解,本发明可以用其他计算机系统配置来实践,包括手持设备、多处理器系统、基于微处理器或可编程的消费电子产品、智能电话、网络PC、小型计算机、大型计算机等。本发明的实施例还可以在分布式计算机环境中实践,其中任务由通过通信网络链接的I/O远程处理设备执行。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备中。
参考图5,示例实施例扩展到计算机系统500的示例形式的机器,在该机器内可以执行用于使机器执行这里所讨论的任何一种或多种方法的指令。在替换示例实施例中,机器作为独立设备操作或者可以连接(例如,联网)到其他机器。在联网部署中,机器可以在服务器-客户端网络环境中以服务器或客户端机器的能力运行,或者作为端对端(peer-to-peer)(或分布式)网络环境中的对等机器运行。此外,虽然仅示出了单个机器,但术语“机器”还应被视为包括单独或联合执行一组(或多组)指令以执行这里所讨论的任何一种或多种方法的任何机器集合。
示例计算机系统500可以包括处理器502(例如,中央处理单元(CPU)、图形处理单元(GPU)或两者)、经由总线508彼此通信的主存储器504和静态存储器506。计算机系统500还可包括视频显示单元510(例如,液晶显示器(LCD)或阴极射线管(CRT))。在示例实施例中,计算机系统500还包括字母-数字输入设备512(例如,键盘)、用户界面(UI)导航设备或光标控制设备514(例如,鼠标)、磁盘驱动单元516、信号生成设备518(例如,扬声器)和网络接口设备520中的一个或多个。
磁盘驱动器单元516包括机器可读介质522,其上存储有一组或多组指令524和由本文所述的任何一个或多个方法或功能实现或使用的数据结构(例如,软件指令)。指令524还可以在由计算机系统500执行期间完全或至少部分地驻留在主存储器504内或处理器502内,主存储器504和处理器502也构成机器可读介质。
虽然机器可读介质522在示例实施例中被示为单个介质,但是术语“机器可读介质”可以包括存储一个或多个指令的单个介质或多个介质(例如,集中式或分布式数据库,或相关联的高速缓存和服务器)。术语“机器可读介质”还应被视为包括能够存储、编码或携带由机器执行的指令的任何有形介质,并且使得机器执行本发明的实施例的任何一个或多个方法,或者能够存储、编码或承载由这些指令使用或与之相关联的数据结构。因此,术语“机器可读存储介质”应被视为包括但不限于可以以非暂时方式存储信息的固态存储器和光学与磁性介质,即,能够存储信息的介质。机器可读介质的具体示例包括非易失性存储器,包括例如半导体存储器设备(例如,可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)和闪存设备);磁盘,诸如内部硬盘和可移动磁盘;磁光盘;和CD-ROM和DVD-ROM磁盘。
还可以通过通信网络526经由网络接口设备520使用信号传输介质并利用许多众所周知的传输协议(例如,FTP,HTTP)中的任何一种来发送或接收指令524。通信网络的示例包括局域网(LAN)、广域网(WAN)、因特网、移动电话网络、普通老式电话(POTS)网络和无线数据网络(例如,
和
网络)。术语“机器可读信号介质”应被视为包括能够存储、编码或携带由机器执行的指令的任何暂时无形介质,并且包括数字或模拟通信信号或其他无形介质以便于这样的软件的通信。
在一方面,用于在本地网络(例如,本地网络102)中异常检测的方法包括由中央平台(例如,中央平台124)维护多个DNS服务器IP地址(例如,在DNS服务器池118A中)。该方法包括由中央平台接收(例如,操作206)用于本地网络的配置数据,并将DNS服务器IP地址对分配(例如,操作212)到本地网络。在多个维护的DNS服务器IP地址的配对中,分配给本地网络的DNS服务器IP地址对被选择为唯一。中央平台至少部分地基于配置数据和分配给本地网络的DNS服务器IP地址对,来识别本地网络中的设备(例如,客户路由器104、计算机106、智能手机108、游戏控制台110、IoT设备112、膝上型计算机114等)。在一些实施例中,分配给本地网络(例如,网络上的路由器104等)的IP地址是动态的(即,IP地址随时间更改)。由于随时间的更改,IP地址的动态性质阻止了基于IP地址识别本地网络中的设备。因此,尽管本地网络的IP地址随时间更改,但分配的DNS服务器IP地址对仍用于识别本地网络内的设备。
在一些实施例中,中央平台可以向本地网络上的代理(例如,代理116)提供(例如,操作222)令牌,并从代理接收DNS查找请求(例如,操作304,操作402等)。DNS查找请求可以包含来自令牌的信息。中央平台可以至少部分地基于来自令牌的信息以及接收DNS查找请求的DNS服务器的IP地址,来确定(例如,操作404)本地网络被正确地分配给该DNS服务器IP地址对。
在其他实施例中,具有DNS服务器IP地址对的第一IP地址的中央平台的第一DNS服务器可以接收(例如,操作402)第一DNS查找请求。中央平台可以确定(例如,操作404)与DNS查找请求相关联的源IP地址是否与第一DNS服务器相关联。响应于确定源IP地址不与第一DNS服务器相关联,中央平台可以丢弃(例如,操作408)第一DNS查找请求,并创建(例如,操作406)指示源IP地址可以与本地网络上的路由器(例如,路由器104)的IP地址更改相关联的数据。
在又一实施例中,具有DNS服务器IP地址对的第二IP地址的中央平台的第二DNS服务器可以接收第二DNS查找请求。中央平台可以确定源IP地址是否与第二DNS服务器相关联。响应于确定源IP地址不与第二DNS服务器相关联并且存在指示源IP地址可以与本地网络上的路由器的IP地址更改相关联的数据,中央平台可以向DNS服务器IP地址对重新分配源IP地址。
在进一步的实施例中,中央平台可以接收(例如,操作402)来自本地网络上的设备的DNS查找请求,并且至少部分地基于接收DNS查找请求的DNS服务器接收器的源IP地址来确定(例如,操作404)与DNS查找请求相关联的本地网络。中央平台还可以确定(例如,操作410)本地网络的当前流统计信息。中央平台的机器学习引擎(例如,机器学习引擎122)可以至少部分地基于当前流统计信息与期望的流统计信息之间的比较(例如,操作412)来确定(例如,操作414)本地网络中的异常。
在又一实施例中,机器学习引擎可以至少部分地基于包括用于本地网络的配置数据、源IP地址中的端口号和DNS序列号的组中的至少一个成员,确定(例如,操作420)引起异常的本地网络上的设备。
在另一方面,系统包括通过总线(例如,总线508)连接的网络接口(例如,网络接口设备520)、至少一个处理器(例如,处理器502)和至少一个非暂时性计算机可读存储介质(例如,主存储器504)。网络接口被配置为将系统通信地连接到广域网(例如,ISP网络)。至少一个非暂时性计算机可读存储介质被配置为存储用于维护多个DNS服务器IP地址的一个或多个数据值(例如,在DNS服务器池118A中)。至少一个非暂时性计算机可读存储介质还存储一个或多个处理器可执行指令(例如,指令524),所述指令在由所述至少一个处理器执行时提供中央平台(例如,中央平台124)。中央平台被配置为接收(例如,操作206)用于经由网关路由器(例如,客户路由器104)通信地耦合到广域网的本地网络(例如,本地网络102)的配置数据。中央平台还被配置为向网关路由器分配(例如,操作212)DNS服务器IP地址对,使得来自本地网络的DNS查找请求被路由到所分配的DNS服务器IP地址对中的至少一个。在所维护的多个DNS服务器IP地址的配对中,所分配的DNS服务器IP地址对是唯一的。中央平台还被配置为至少部分地基于配置数据和分配给网关路由器的DNS服务器IP地址对来识别本地网络中的计算设备(例如,客户路由器104、计算机106、智能手机108、游戏控制台110、IoT设备112、膝上型计算机114等)。
在又一方面,非暂时性计算机可读存储介质(例如,机器可读介质522)包括可由计算机执行的一组指令(例如,指令524)。非暂时性计算机可读存储介质包括用于由中央平台(例如,中央平台124)维护多个DNS服务器IP地址(例如,在DNS服务器池118A中)的指令。非暂时性计算机可读存储介质还包括用于由中央平台接收(例如,操作206)本地网络(例如,本地网络102)的配置数据、以及由中央设备为本地网络分配(例如,操作212)DNS服务器IP地址对的指令。在多个维护的DNS服务器IP地址的配对中,分配给本地网络的DNS服务器IP地址对被选择为唯一的。非暂时性计算机可读存储介质还包括用于由中央平台至少部分地基于配置数据和分配给所述本地网络的DNS服务器IP地址对来识别所述本地网络中的设备(例如,客户路由器104、计算机106、智能手机108、游戏控制台110、IoT设备112、膝上型计算机114等)的指令。在一些在实施例中,分配给本地网络的IP地址是动态的,这避免基于所分配的IP地址在本地网络内识别设备,因为分配的IP地址随时间更改。
尽管已经参考具体示例实施例描述了本发明主题的概述,但是在不脱离本发明实施例的更广泛的精神和范围的情况下,可以对这些实施例进行各种修改和更改。这里,本发明主题的这些实施例可以仅仅为了方便而单独地或共同地被称为术语“发明”,并且在实际上公开了多个发明或发明构思的情况下不意图将本申请的范围自愿地限制于任何单个发明或发明构思。
从前面的描述显而易见的是,本发明主题的某些方面不受这里所示示例的特定细节的限制,因此本领域技术人员将理解期望的其他修改和应用或其等同物。因此,权利要求旨在覆盖不脱离本发明主题的精神和范围的所有这些修改和应用。因此,显而易见的是,本发明的主题仅由所附权利要求及其等同物限制。
提供摘要以符合37 C.F.R.§1.72(b)以允许读者快速确定技术公开的性质和要点。提交摘要时的理解是,它不会用于限制权利要求的范围。
Claims (20)
1.一种用于本地网络中异常检测的方法,所述方法包括:
由中央平台维护多个DNS服务器IP地址;
由所述中央平台接收所述本地网络的配置数据;
由所述中央平台为所述本地网络分配DNS服务器IP地址对,其中,在多个DNS服务器IP地址的配对中,所述DNS服务器IP地址对被选择为唯一的;以及
由所述中央平台至少部分地基于所述配置数据和分配给所述本地网络的所述DNS服务器IP地址对来识别所述本地网络中的设备。
2.根据权利要求1所述的方法,还包括:
由所述中央平台向所述本地网络上的代理提供令牌;
由所述中央平台接收来自所述代理的DNS查找请求,所述DNS查找请求包括来自所述令牌的信息;以及
由所述中央平台至少部分地基于所述来自所述令牌的信息和接收所述DNS查找请求的DNS服务器的IP地址,确定将所述本地网络正确分配给所述DNS服务器IP地址对。
3.根据权利要求1所述的方法,还包括:
通过具有所述DNS服务器IP地址对的第一IP地址的所述中央平台的第一DNS服务器,接收第一DNS查找请求;以及
响应于至少部分地基于与所述第一DNS查找请求相关联的源IP地址、确定所述源IP地址不与所述第一DNS服务器相关联,丢弃所述第一DNS查找请求并创建指示所述源IP地址可能与所述本地网络上路由器的IP地址更改相关联的数据。
4.根据权利要求3所述的方法,还包括:
通过具有所述DNS服务器IP地址对的第二IP地址的所述中央平台的第二DNS服务器,接收第二DNS查找请求;以及
响应于确定所述源IP地址与所述第二DNS服务器不相关联,并且存在指示所述源IP地址可能与所述本地网络上的所述路由器的IP地址更改相关联的数据,将所述源IP地址重新分配给所述DNS服务器IP地址对。
5.根据权利要求1所述的方法,还包括:
由所述中央平台从所述本地网络上的设备接收DNS查找请求;
由所述中央平台至少部分地基于所述DNS查找请求的源IP地址、和接收所述DNS查找请求的DNS服务器的IP地址,确定与所述DNS查找请求相关联的所述本地网络;
由所述中央平台确定所述本地网络的当前流统计信息;以及
由所述中央平台的机器学习引擎至少部分地基于所述当前流统计信息与期望的流统计信息的比较,确定所述本地网络中的异常。
6.根据权利要求5所述的方法,还包括:
由所述机器学习引擎至少部分地基于包括所述本地网络的配置数据、所述源IP地址中的端口号,以及DNS序列号的组中的至少一个成员,来确定导致异常的所述本地网络上的设备。
7.根据权利要求1所述的方法,其中,分配给所述本地网络的IP地址是动态的,由于所分配的IP地址随时间更改,从而避免基于所分配的IP地址在所述本地网络内识别所述设备。
8.一种系统,包括:
网络接口,其配置为可通信地将所述系统连接到广域网;
至少一个处理器,通过总线连接到所述网络接口;和
至少一个非暂时性计算机可读存储介质,通过所述总线连接到所述网络接口设备和所述至少一个处理器,
其中,所述至少一个非暂时性计算机可读存储介质被配置为存储用于维护多个DNS服务器IP地址的一个或多个数据值,并且
其中,所述至少一个非暂时性计算机可读存储介质存储一个或多个数据值处理器可执行指令,所述指令在由所述至少一个处理器执行时,提供中央平台,所述中央平台配置为:
接收本地网络的配置数据,其中,所述本地网络经由网关路由器通信地耦合到所述广域网,
将DNS服务器IP地址对分配给所述网关路由器,使得将来自所述本地网络的DNS查找请求被路由到所分配的DNS服务器IP地址对中的至少一个,其中在维护的多个DNS服务器IP地址的配对中,所分配的DNS服务器IP地址对是唯一的,以及
至少部分地基于所述配置数据和分配给所述网关路由器的DNS服务器IP地址对来识别所述本地网络中的计算设备。
9.根据权利要求8所述的系统,其中,所述至少一个非暂时性计算机可读存储介质存储一个或多个处理器可执行指令,所述指令在由所述至少一个处理器执行时还配置所述中央平台以:
向所述本地网络上的代理提供令牌;
接收来自所述代理的DNS查找请求,所述DNS查找请求包括来自所述令牌的信息;以及
至少部分地基于来自所述令牌的信息和接收所述DNS查找请求的DNS服务器的IP地址,确定将所述本地网络正确分配给所述DNS服务器IP地址对。
10.根据权利要求8所述的系统,其中,所述至少一个非暂时性计算机可读存储介质存储一个或多个处理器可执行指令,所述指令在由所述至少一个处理器执行时还配置所述中央平台以:
通过具有所述DNS服务器IP地址对的第一IP地址的所述中央平台的第一DNS服务器,接收第一DNS查找请求;以及
响应于至少部分地基于与所述第一DNS查找请求相关联的源IP地址、确定所述源IP地址不与所述第一DNS服务器相关联,丢弃所述第一DNS查找请求并创建指示所述源IP地址可能与所述本地网络上的所述网关路由器的IP地址更改相关联的数据。
11.根据权利要求10所述的系统,其中,所述至少一个非暂时性计算机可读存储介质存储一个或多个处理器可执行指令,所述指令在由所述至少一个处理器执行时还配置所述中央平台以:
通过具有所述DNS服务器IP地址对的第二IP地址的所述中央平台的第二DNS服务器,接收第二DNS查找请求;以及
响应于确定所述源IP地址与所述第二DNS服务器不相关联,并且存在指示所述源IP地址可能与所述本地网络上的所述网关路由器的IP地址更改相关联的数据,将所述源IP地址重新分配给所述DNS服务器IP地址对。
12.根据权利要求8所述的系统,其中,所述至少一个非暂时性计算机可读存储介质存储一个或多个处理器可执行指令,所述指令在由所述至少一个处理器执行时还配置所述中央平台以:
从所述本地网络上的设备接收DNS查找请求;
至少部分地基于所述DNS查找请求的源IP地址、和接收所述DNS查找请求的DNS服务器的IP地址,确定与所述DNS查找请求相关联的所述本地网络;
确定所述本地网络的当前流统计信息;以及
至少部分地基于所述当前流统计信息与期望的流统计信息的比较,由在所述中央平台内运行的一个或多个机器学习算法来确定所述本地网络中的异常。
13.根据权利要求12所述的系统,其中,所述至少一个非暂时性计算机可读存储介质存储一个或多个处理器可执行指令,所述指令在由所述至少一个处理器执行时还配置所述中央平台以:
至少部分地基于包括所述本地网络的所述配置数据、所述源IP地址中的端口号,以及DNS序列号的组中的至少一个成员,确定导致异常的所述本地网络上的设备。
14.根据权利要求8所述的系统,其中,分配给所述网关路由器的IP地址是动态的,由于所分配的IP地址随时间更改,从而避免基于所分配的IP地址在所述本地网络内识别所述计算设备。
15.一种非暂时性计算机可读存储介质,包括一组可由计算机执行的指令,该非暂时性计算机可读存储介质包括:
用于由中央平台维护多个DNS服务器IP地址的指令;
用于由所述中央平台接收所述本地网络的配置数据的指令;
用于由所述中央平台为所述本地网络分配DNS服务器IP地址对的指令,其中,在多个DNS服务器IP地址的配对中,所述DNS服务器IP地址对被选择为唯一的;以及
用于由所述中央平台至少部分地基于配置数据和分配给所述本地网络的DNS服务器IP地址对来识别所述本地网络中的设备的指令,
其中,分配给所述本地网络的IP地址是动态的,由于所分配的IP地址随时间更改,从而避免基于所分配的IP地址在所述本地网络内识别所述设备。
16.根据权利要求15所述的非暂时性计算机可读存储介质,还包括:
用于由所述中央平台向所述本地网络上的代理提供令牌的指令;
用于由所述中央平台接收来自所述代理的DNS查找请求的指令,所述DNS查找请求包括来自所述令牌的信息;以及
用于由所述中央平台至少部分地基于来自所述令牌的信息和接收所述DNS查找请求的DNS服务器的IP地址,确定将所述本地网络正确分配给所述DNS服务器IP地址对的指令。
17.根据权利要求15所述的非暂时性计算机可读存储介质,还包括:
用于通过具有所述DNS服务器IP地址对的第一IP地址的所述中央平台的第一DNS服务器,接收第一DNS查找请求的指令;以及
用于响应于至少部分地基于与所述第一DNS查找请求相关联的源IP地址、确定所述源IP地址不与所述第一DNS服务器相关联,丢弃所述第一DNS查找请求并创建指示所述源IP地址可能与所述本地网络上路由器的IP地址更改相关联的数据的指令。
18.根据权利要求17所述的非暂时性计算机可读存储介质,还包括:
用于通过具有所述DNS服务器IP地址对的第二IP地址的所述中央平台的第二DNS服务器,接收第二DNS查找请求的指令;以及
用于响应于确定所述源IP地址与所述第二DNS服务器不相关联,并且存在指示所述源IP地址可能与所述本地网络上的所述路由器的IP地址更改相关联的数据,将所述源IP地址重新分配给所述DNS服务器IP地址对的指令。
19.根据权利要求15所述的非暂时性计算机可读存储介质,还包括:
用于由所述中央平台从所述本地网络上的设备接收DNS查找请求的指令;
用于由所述中央平台至少部分地基于所述DNS查找请求的源IP地址、和接收所述DNS查找请求的DNS服务器的IP地址,确定与所述DNS查找请求相关联的所述本地网络的指令;
用于由所述中央平台确定所述本地网络的当前流统计信息的指令;以及
用于由所述中央平台的机器学习引擎至少部分地基于所述当前流统计信息与期望的流统计信息的比较,来确定所述本地网络中的异常的指令。
20.根据权利要求19所述的非暂时性计算机可读存储介质,还包括:
用于由所述机器学习引擎至少部分地基于包括所述本地网络的配置数据、所述源IP地址中的端口号,以及DNS序列号的组中的至少一个成员,确定导致异常的所述本地网络上的设备的指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862615935P | 2018-01-10 | 2018-01-10 | |
| US62/615,935 | 2018-01-10 | ||
| PCT/IB2019/000047 WO2019138294A1 (en) | 2018-01-10 | 2019-01-10 | Cloud-based anomalous traffic detection and protection in a remote network via dns properties |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111771364A true CN111771364A (zh) | 2020-10-13 |
| CN111771364B CN111771364B (zh) | 2022-08-23 |
Family
ID=66001254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980014996.2A Active CN111771364B (zh) | 2018-01-10 | 2019-01-10 | 经由dns属性在远程网络中进行基于云的异常流量检测和保护 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11005871B2 (zh) |
| CN (1) | CN111771364B (zh) |
| WO (1) | WO2019138294A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112769970A (zh) * | 2020-12-16 | 2021-05-07 | 上海牙木通讯技术有限公司 | 一种用于dns ecs智能透传的方法和系统 |
| CN116915786A (zh) * | 2023-09-13 | 2023-10-20 | 杭州立方控股股份有限公司 | 一种多服务器协同的车牌识别及车辆管理系统 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10805331B2 (en) | 2010-09-24 | 2020-10-13 | BitSight Technologies, Inc. | Information technology security assessment system |
| US9438615B2 (en) | 2013-09-09 | 2016-09-06 | BitSight Technologies, Inc. | Security risk management |
| US10425380B2 (en) | 2017-06-22 | 2019-09-24 | BitSight Technologies, Inc. | Methods for mapping IP addresses and domains to organizations using user activity data |
| WO2019138294A1 (en) * | 2018-01-10 | 2019-07-18 | AVAST Software s.r.o. | Cloud-based anomalous traffic detection and protection in a remote network via dns properties |
| US10257219B1 (en) | 2018-03-12 | 2019-04-09 | BitSight Technologies, Inc. | Correlated risk in cybersecurity |
| US10812520B2 (en) | 2018-04-17 | 2020-10-20 | BitSight Technologies, Inc. | Systems and methods for external detection of misconfigured systems |
| US11171970B2 (en) | 2018-05-01 | 2021-11-09 | Royal Bank Of Canada | System and method for reducing false positive security events |
| US11200323B2 (en) | 2018-10-17 | 2021-12-14 | BitSight Technologies, Inc. | Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios |
| US10521583B1 (en) | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
| US10749837B2 (en) * | 2018-11-16 | 2020-08-18 | T-Mobile Usa, Inc. | Network access control based on profile type |
| US11171960B2 (en) * | 2018-12-03 | 2021-11-09 | At&T Intellectual Property I, L.P. | Network security management based on collection and cataloging of network-accessible device information |
| US11570070B2 (en) * | 2018-12-14 | 2023-01-31 | Newsouth Innovations Pty Limited | Network device classification apparatus and process |
| US11704494B2 (en) * | 2019-05-31 | 2023-07-18 | Ab Initio Technology Llc | Discovering a semantic meaning of data fields from profile data of the data fields |
| US10726136B1 (en) | 2019-07-17 | 2020-07-28 | BitSight Technologies, Inc. | Systems and methods for generating security improvement plans for entities |
| US11956265B2 (en) | 2019-08-23 | 2024-04-09 | BitSight Technologies, Inc. | Systems and methods for inferring entity relationships via network communications of users or user devices |
| CN110572406B (zh) * | 2019-09-12 | 2022-03-22 | 深信服科技股份有限公司 | 一种失陷主机确定方法、系统及相关装置 |
| US10848382B1 (en) | 2019-09-26 | 2020-11-24 | BitSight Technologies, Inc. | Systems and methods for network asset discovery and association thereof with entities |
| US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
| CN110995542B (zh) * | 2019-12-16 | 2022-04-22 | 金蝶智慧科技(深圳)有限公司 | 一种网络状态检测方法、系统及相关设备 |
| US10791140B1 (en) * | 2020-01-29 | 2020-09-29 | BitSight Technologies, Inc. | Systems and methods for assessing cybersecurity state of entities based on computer network characterization |
| US10893067B1 (en) | 2020-01-31 | 2021-01-12 | BitSight Technologies, Inc. | Systems and methods for rapidly generating security ratings |
| US10764298B1 (en) | 2020-02-26 | 2020-09-01 | BitSight Technologies, Inc. | Systems and methods for improving a security profile of an entity based on peer security profiles |
| US11023585B1 (en) | 2020-05-27 | 2021-06-01 | BitSight Technologies, Inc. | Systems and methods for managing cybersecurity alerts |
| US11122073B1 (en) | 2020-12-11 | 2021-09-14 | BitSight Technologies, Inc. | Systems and methods for cybersecurity risk mitigation and management |
| CN115913597A (zh) * | 2021-09-30 | 2023-04-04 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
| CN113935438B (zh) * | 2021-12-14 | 2022-04-26 | 杭州海康威视数字技术股份有限公司 | 基于设备角色的物联网设备异常检测方法、系统及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1435038A (zh) * | 1999-12-23 | 2003-08-06 | 方案有限公司 | 通过配置到不同网络的计算机对网络访问的服务器及其方法 |
| CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和系统 |
| CN102055815A (zh) * | 2010-12-17 | 2011-05-11 | 北京世纪互联工程技术服务有限公司 | 获取访客本地域名解析服务器的系统 |
| CN102868694A (zh) * | 2012-09-17 | 2013-01-09 | 北京奇虎科技有限公司 | 控制客户端访问网络的检测方法、装置和系统 |
| CN103152222A (zh) * | 2013-01-05 | 2013-06-12 | 中国科学院信息工程研究所 | 一种基于主机群特征检测速变攻击域名的方法 |
| US20130232251A1 (en) * | 2012-03-01 | 2013-09-05 | Justin Pauley | Network Appliance for Monitoring Network Requests for Multimedia Content |
| US20130250801A1 (en) * | 2012-03-20 | 2013-09-26 | Sony Corporation | Method and apparatus for auto-registering devices in a wireless network |
| CN104639391A (zh) * | 2015-01-04 | 2015-05-20 | 中国联合网络通信集团有限公司 | 一种生成网络流量记录的方法及相应的流量检测设备 |
| US20160381023A1 (en) * | 2015-06-25 | 2016-12-29 | Imperva, Inc. | Detection of compromised unmanaged client end stations using synchronized tokens from enterprise-managed client end stations |
| US20170111389A1 (en) * | 2015-10-18 | 2017-04-20 | NxLabs Limited | Method and system for protecting domain name system servers against distributed denial of service attacks |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7958246B2 (en) * | 2007-08-09 | 2011-06-07 | Kount Inc. | Establishing unique sessions for DNS subscribers |
| US8762506B2 (en) * | 2010-12-30 | 2014-06-24 | Verisign, Inc | Method and system for partitioning recursive name servers |
| WO2016164050A1 (en) * | 2015-04-10 | 2016-10-13 | Hewlett Packard Enterprise Development Lp | Network anomaly detection |
| US10129203B2 (en) * | 2015-07-09 | 2018-11-13 | International Business Machines Corporation | Network client ID from external managment host via management network |
| WO2019138294A1 (en) * | 2018-01-10 | 2019-07-18 | AVAST Software s.r.o. | Cloud-based anomalous traffic detection and protection in a remote network via dns properties |
-
2019
- 2019-01-10 WO PCT/IB2019/000047 patent/WO2019138294A1/en active Application Filing
- 2019-01-10 CN CN201980014996.2A patent/CN111771364B/zh active Active
- 2019-01-10 US US16/245,042 patent/US11005871B2/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1435038A (zh) * | 1999-12-23 | 2003-08-06 | 方案有限公司 | 通过配置到不同网络的计算机对网络访问的服务器及其方法 |
| CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和系统 |
| CN102055815A (zh) * | 2010-12-17 | 2011-05-11 | 北京世纪互联工程技术服务有限公司 | 获取访客本地域名解析服务器的系统 |
| US20130232251A1 (en) * | 2012-03-01 | 2013-09-05 | Justin Pauley | Network Appliance for Monitoring Network Requests for Multimedia Content |
| US20130250801A1 (en) * | 2012-03-20 | 2013-09-26 | Sony Corporation | Method and apparatus for auto-registering devices in a wireless network |
| CN102868694A (zh) * | 2012-09-17 | 2013-01-09 | 北京奇虎科技有限公司 | 控制客户端访问网络的检测方法、装置和系统 |
| CN103152222A (zh) * | 2013-01-05 | 2013-06-12 | 中国科学院信息工程研究所 | 一种基于主机群特征检测速变攻击域名的方法 |
| CN104639391A (zh) * | 2015-01-04 | 2015-05-20 | 中国联合网络通信集团有限公司 | 一种生成网络流量记录的方法及相应的流量检测设备 |
| US20160381023A1 (en) * | 2015-06-25 | 2016-12-29 | Imperva, Inc. | Detection of compromised unmanaged client end stations using synchronized tokens from enterprise-managed client end stations |
| US20170111389A1 (en) * | 2015-10-18 | 2017-04-20 | NxLabs Limited | Method and system for protecting domain name system servers against distributed denial of service attacks |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112769970A (zh) * | 2020-12-16 | 2021-05-07 | 上海牙木通讯技术有限公司 | 一种用于dns ecs智能透传的方法和系统 |
| CN112769970B (zh) * | 2020-12-16 | 2023-04-07 | 牙木科技股份有限公司 | 一种用于dns ecs智能透传的方法和系统 |
| CN116915786A (zh) * | 2023-09-13 | 2023-10-20 | 杭州立方控股股份有限公司 | 一种多服务器协同的车牌识别及车辆管理系统 |
| CN116915786B (zh) * | 2023-09-13 | 2023-12-01 | 杭州立方控股股份有限公司 | 一种多服务器协同的车牌识别及车辆管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190215331A1 (en) | 2019-07-11 |
| CN111771364B (zh) | 2022-08-23 |
| WO2019138294A1 (en) | 2019-07-18 |
| US11005871B2 (en) | 2021-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111771364B (zh) | 经由dns属性在远程网络中进行基于云的异常流量检测和保护 | |
| US10200402B2 (en) | Mitigating network attacks | |
| US9742795B1 (en) | Mitigating network attacks | |
| US9794281B1 (en) | Identifying sources of network attacks | |
| US10880199B2 (en) | Data driven orchestrated network being responsive to environmental conditions using a light weight distributed controller | |
| US8214537B2 (en) | Domain name system using dynamic DNS and global address management method for dynamic DNS server | |
| US10708128B2 (en) | Data driven orchestrated network with installation control using a light weight distributed controller | |
| US20160315973A1 (en) | Systems and methods to process network communications for network-based services | |
| CN106210155B (zh) | 连接应用服务器的方法和装置 | |
| US11171809B2 (en) | Identity-based virtual private network tunneling | |
| EP3142322B1 (en) | Auto configuration server and method | |
| US10075354B2 (en) | Identification of servers by common wide area network addresses | |
| Korczyński et al. | Don’t forget to lock the front door! inferring the deployment of source address validation of inbound traffic | |
| US10862862B2 (en) | Identifying devices on a remote network | |
| US11526564B2 (en) | Triggered scanning based on network available data change | |
| Albakour et al. | Pushing Alias Resolution to the Limit | |
| Marksteiner et al. | Automatically determining a network reconnaissance scope using passive scanning techniques | |
| US20230328102A1 (en) | Network security with server name indication | |
| Caiazza et al. | TCP‐based traceroute: An evaluation of different probing methods | |
| US10959100B1 (en) | Secured communications routing in a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |