CN112118205B - 一种域名信息检测的方法及相关装置 - Google Patents
一种域名信息检测的方法及相关装置 Download PDFInfo
- Publication number
- CN112118205B CN112118205B CN201910532015.5A CN201910532015A CN112118205B CN 112118205 B CN112118205 B CN 112118205B CN 201910532015 A CN201910532015 A CN 201910532015A CN 112118205 B CN112118205 B CN 112118205B
- Authority
- CN
- China
- Prior art keywords
- domain name
- name information
- information
- amount
- information amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Examining Or Testing Airtightness (AREA)
- Testing Of Short-Circuits, Discontinuities, Leakage, Or Incorrect Line Connections (AREA)
Abstract
本申请实施例公开了一种域名信息检测的方法及相关装置,通过获取域名信息的信息量,并且对比该域名信息的信息量是否超过历史数据中与该域名信息所对应的信息量常规值,来检测DNS隧道中是否发生信息泄露,从而使得即便在域名信息中掺杂构造好的有意义的内容也无法绕开检测,有效地提高了检测的准确率。本申请实施例方法包括:获取第一域名信息,第一域名信息为待检测的域名信息;根据第一域名信息确定第一域名信息的第一域名信息量;在域名信息的历史数据中获取与第一域名信息对应的第二域名信息;根据第二域名信息确定第二域名信息的第二域名信息量;若第一域名信息量与第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种域名信息检测的方法及相关装置。
背景技术
域名系统(Domain Name System,DNS)是因特网最关键的基础服务之一,它将域名与因特网协议(Internet Protocol,IP)地址相互映射,使人们能够方便地访问互联网,而不必记忆复杂的IP地址。
大部分防火墙和入侵检测设备基本不会对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,攻击者可以基于DNS协议构建隐蔽信道(即DNS隧道)来达到敏感信息盗窃、文件传输、回传控制指令等目的。
为了对DNS隧道进行有效的防御,现有技术所采用的技术手段为:通过检测DNS隧道中所传输的域名信息本身的特征,例如检测域名信息中的内容是否有意义,来实现对DNS隧道的检测。但是这种检测方法的检测准确率较低,通过在域名信息中掺杂构造好的有意义的内容即可绕过这种检测方法。
发明内容
本申请实施例提供了一种域名信息检测的方法及相关装置,通过获取域名信息的信息量,并且对比该域名信息的信息量是否超过历史数据中与该域名信息所对应的信息量常规值,来检测DNS隧道中是否发生信息泄露,从而使得即便在域名信息中掺杂构造好的有意义的内容也无法绕开检测,有效地提高了检测的准确率。
本申请实施例第一方面提供一种域名信息检测的方法,包括:
获取第一域名信息,第一域名信息为待检测的域名信息;
根据第一域名信息确定第一域名信息的第一域名信息量;
在域名信息的历史数据中获取与第一域名信息对应的第二域名信息;
根据第二域名信息确定第二域名信息的第二域名信息量;
若第一域名信息量与第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。
本申请实施例第二方面提供一种域名信息检测的装置,包括:
获取单元,用于获取第一域名信息,第一域名信息为待检测的域名信息;
确定单元,用于根据第一域名信息确定第一域名信息的第一域名信息量;
获取单元,还用于在域名信息的历史数据中获取与第一域名信息对应的第二域名信息;
确定单元,还用于根据第二域名信息确定第二域名信息的第二域名信息量;
输出单元,用于若第一域名信息量与第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。
在一种可能的设计中,在本申请实施例的第二方面的一种实现方式中,
第一域名信息包括以下的一种信息或多种信息的组合:单个域名类型对应的域名信息、单个终端对应的域名信息或多个终端对应的域名信息集合。
在一种可能的设计中,在本申请实施例的第二方面的一种实现方式中,
获取单元,还用于获取DNS隧道的DNS信息;
确定单元,还用于根据DNS信息确定第一域名信息以及第一信息,第一信息与第一域名信息具有关联关系,第一信息包括请求传输第一域名信息的时间信息、请求传输第一域名信息的源IP地址、请求传输第一域名信息的源终端名称或请求传输第一域名信息的用户名称。
在一种可能的设计中,在本申请实施例的第二方面的一种实现方式中,
确定单元,还用于根据预置时间段内的第一域名信息和第一信息,确定第一域名信息量;
其中,第一域名信息量包括以下的一种信息量或多种信息量的组合:单个域名类型对应的域名信息在预置时间段内的域名信息量之和、单个终端对应的域名信息在预置时间段内的域名信息量之和或多个终端对应的域名信息集合在预置时间段内的域名信息量之和。
在一种可能的设计中,在本申请实施例的第二方面的一种实现方式中,
域名信息量表示域名信息中最大级别部分的字符数。
在一种可能的设计中,在本申请实施例的第二方面的一种实现方式中,
输出单元,还用于若第一域名信息量与第二域名信息量之间的差值大于或等于第二预置阈值,输出第一域名信息,其中,第一域名信息量为单个域名类型对应的域名信息在预置时间段内的域名信息量之和;
或,
输出单元,还用于若第一域名信息量与第二域名信息量之间的差值大于或等于第三预置阈值,输出第一域名信息,其中,第一域名信息量为单个终端对应的域名信息在预置时间段内的域名信息量之和;
或,
输出单元,还用于若第一域名信息量与第二域名信息量之间的差值大于或等于第四预置阈值,输出第一域名信息,其中,第一域名信息量为多个终端对应的域名信息集合在预置时间段内的域名信息量之和。
在一种可能的设计中,在本申请实施例的第二方面的一种实现方式中,还包括调整单元;
调整单元,用于调整第一预置阈值的大小,以使得输出报警信号的次数小于或等于第五预置阈值。
在一种可能的设计中,在本申请实施例的第二方面的一种实现方式中,
调整单元,还用于调整预置时间段的长度,以使得输出报警信号的次数小于或等于第五预置阈值。
本申请实施例第三方面提供一种终端设备,包括:存储器、收发器、处理器以及总线系统;
其中,存储器用于存储程序;
处理器用于执行存储器中的程序,包括如下步骤:
获取第一域名信息,第一域名信息为待检测的域名信息;
根据第一域名信息确定第一域名信息的第一域名信息量;
在域名信息的历史数据中获取与第一域名信息对应的第二域名信息;
根据第二域名信息确定第二域名信息的第二域名信息量;
若第一域名信息量与第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号;
总线系统用于连接存储器以及处理器,以使存储器以及处理器进行通信。
本申请实施例的第四方面提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的方法。
本申请实施例的第五方面提供了一种包含指令的计算机程序产品,当其在计算机或处理器上运行时,使得计算机或处理器执行上述任一方面的方法。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请实施例提供了一种域名信息检测的方法及相关装置,通过获取域名信息的信息量,并且对比该域名信息的信息量是否超过历史数据中与该域名信息所对应的信息量常规值,来检测DNS隧道中是否发生信息泄露,从而使得即便在域名信息中掺杂构造好的有意义的内容也无法绕开检测,有效地提高了检测的准确率。
附图说明
图1为本申请实施例提供的一种系统的一个架构示意图;
图2为本申请实施例提供的一种域名信息检测的方法的示例图;
图3为本申请实施例提供的一个检测装置的系统架构图;
图4为本申请实施例中提供的域名信息检测的装置一个实施例示意图;
图5为本申请实施例中提供的域名信息检测的装置的另一实施例示意图;
图6示出的是与本申请实施例提供的终端相关的部分结构的框图。
具体实施方式
本申请实施例提供了一种域名信息检测的方法及相关装置,通过获取域名信息的信息量,并且对比该域名信息的信息量是否超过历史数据中与该域名信息所对应的信息量常规值,来检测DNS隧道中是否发生信息泄露,从而使得即便在域名信息中掺杂构造好的有意义的内容也无法绕开检测,有效地提高了检测的准确率。
在网络通信中,通常将IP地址作为主机的网络层标识,由于IP地址是由一串数字组成的,不便于记忆,于是,为了便于记忆,与IP地址对应的主机域名应运而生。在通信过程中,由于需要使用主机的IP地址对该主机进行访问,因此需要能够将主机域名转换成相应的IP地址。DNS是一种用于传输控制协议/因特网互联协议(Transmiss ion ControlProtocol/Internet Protocol,TCP/IP)的应用程序的分布式数据库,它提供主机域名和IP地址之间的转换信息,通常用于将域名转换为IP地址。其中,域名解析,也称为DNS查询,其具体过程如下:1)客户端向DNS服务器发送域名解析请求;2)DNS服务器对域名进行解析;3)DNS服务器将解析结果返回给客户端;4)客户端从该结果中选择一个IP地址进行访问。
DNS隧道,就是利用DNS查询过程建立起隐蔽信道,实现数据传输的技术。DNS协议在查询的时候,如果查询的域名在DNS服务器本机的缓存中没有查询到,它就会去互联网上查询,最终返回结果。如果在互联网上有台定制的DNS服务器,只要依靠DNS的协议约定,就可以交换数据包。从DNS协议上看,只是在一次次的查询某个特定域名,并得到解析结果,但实际上是在和外部通讯。此时,虽然客户端并没有直接连到局域网外的机器,网关不会转发IP数据包出去,但是局域网上的DNS服务器帮忙做了中转,这就是DNS隧道的基本原理。
由于大部分防火墙和入侵检测设备基本不会对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段,攻击者往往会利用DNS隧道来达到敏感信息盗窃、文件传输、回传控制指令等目的。因此,有必要对DNS隧道进行有效的防御,以抵御攻击者的恶意攻击。
然而,目前对DNS隧道进行检测的方法大都是基于DNS隧道中所传输的域名信息本身的特征,通过对域名信息的特征进行检测来判断DNS隧道是否发生信息泄露,检测准确率较低,容易被攻击者通过在域名信息中掺杂有意义的内容而绕过。
有鉴于此,本申请实施例提供了一种域名信息检测的方法及相关装置,通过检测DNS隧道中域名信息的信息量,并且将该信息量与信息量常规值进行对比,能够很好的检测出DNS隧道中是否发生信息泄露,并且攻击者即便在域名信息中掺杂构造好的有意义的内容也无法绕开检测,有效地提高了检测的准确率。
应理解,本申请实施例提供的域名信息检测的方法可以应用于DNS隧道检测的场景,具体地,可以应用于企业内网通过DNS隧道向外网传输数据的场景。例如,在企业内网的终端通过DNS隧道向外网的DNS服务器请求域名解析时,对DNS隧道中所传输的DNS信息(例如域名信息)进行检测,以判断是否有攻击者在利用DNS隧道进行恶意攻击。
请参阅图1,图1为本申请实施例提供的一种系统的一个架构示意图;本申请实施例提供的域名信息检测的方法可以应用于图1所示的系统。如图1所示,该系统包括:终端、检测装置和DNS服务器;用户通过在终端上进行操作,来向DNS服务器发送DNS信息,请求解析域名;检测装置,则是用于对域名信息进行检测的装置,能够对终端通过DNS隧道向DNS服务器发送的DNS信息进行检测,从而检测DNS信息中的域名信息是否异常;DNS服务器则对终端请求解析的域名进行解析,并且返回解析结果。其中,终端可以是通过检测装置与DNS服务器连接,即终端所发送的DNS信息经过检测装置进行检测之后再发送至DNS服务器;终端也可以是直接与DNS服务器连接,检测装置在终端向DNS服务器发送DNS信息的过程中对DNS信息进行检测。
其中,终端具体可以包括但不限于个人电脑、智能手机、掌上电脑、平板电脑、笔记本电脑等终端设备。
下面将从检测装置的角度,对本申请实施例提供的一种域名信息检测的方法进行介绍。请参阅图2,图2为本申请实施例提供的一种域名信息检测的方法的示例图。
本申请实施例提供的一种域名信息检测的方法,包括:
201、获取第一域名信息,第一域名信息为待检测的域名信息;
在本实施例中,在终端向DNS服务器发送DNS信息的过程中,检测装置可以获取该DNS信息,通过对DNS信息进行解析,获得DNS信息中待检测的域名信息。检测装置获取DNS信息的过程可以是终端通过检测装置向DNS服务器发送DNS信息,检测装置直接获取该DNS信息;还可以是检测装置通过监控DNS隧道,来获取DNS隧道中所传输的DNS信息。
其中,检测装置可以是部署有入侵检测系统(Intrusion Detection Systems,IDS)的设备,能够对DNS隧道中所传输的数据进行记录,从而获取DNS信息。
202、根据第一域名信息确定第一域名信息的第一域名信息量;
由于域名信息通常是由字符串所构成的,例如“tencent.com”或者“qq.com”等,可以根据第一域名信息中的字符串内容来确定第一域名信息对应的第一域名信息量,从而确定终端通过DNS信息向外传输的信息量。
其中,确定域名信息的域名信息量可以是根据字符串中字符的数量来确定,例如,对于“tencent.com”而言,其字符的数量为11,因此,它的信息量可以确定为11;又例如,对于“qq.com”而言,其字符的数量为6,因此,它的信息量可以确定为6。
203、在域名信息的历史数据中获取与第一域名信息对应的第二域名信息;
可以理解的是,对于一个企业而言,企业内部每天都会有大量的终端通过DNS隧道向外发送DNS信息(一些特殊情况下除外,例如节假日等),以请求域名解析,将企业内部中过去的这些向外发送的DNS信息中的域名信息保存下来之后,便可以形成域名信息的历史数据。
其中,第二域名信息可以是与第一域名信息对应的历史同期信息,例如在以一天为一个计算周期的情况下,当天为周一,那么与当天的第一域名信息所对应的第二域名信息则可以为上一周周一的域名信息;又例如,以一小时为一个计算周期的情况下,当前时间段为早上10点至早上11点,那么与该时间段内的第一域名信息所对应的第二域名信息则可以为昨天的早上10点至早上11点的域名信息。在本实施例中,计算周期可以根据实际情况来确定,并不限定于一天或者是一个小时,还可以是其他的时间区间,在此不再赘述。
204、根据第二域名信息确定第二域名信息的第二域名信息量;
在本实施例中,在获得与第一域名信息对应的第二域名信息之后,同样可以根据第二域名信息的字符串内容来确定第二域名信息对应的域名信息量。
另外,考虑到在一些特殊情况下,例如在节假日等情况下,第二域名信息与第一域名信息之间的信息量可能差异较大,因此,第二域名信息量还可以是前几个周期内的第二域名信息所对应的信息量,或者是几个周期内的第二域名信息所对应的信息量的平均值。
例如,以计算周期为一天为例,当天为周一,那么对应的历史同期时间则为上周周一,但是上周周一可能是节假日(例如春节或劳动节等),此时,上周周一的第二域名信息量显然会较小,甚至可能为0,当天的第一域名信息量与上周周一的第二域名信息量并不匹配,上周周一的第二域名信息量并不具备参考价值。在这种情况下,则可以取前几个周期内的其中一个周期的第二域名信息所对应的信息量,例如取上上周周一的第二域名信息量,甚至是上上上周周一的第二域名信息量;也可以是取前几个周期的第二域名信息量的平均值。
又例如,以计算周期为一小时为例,当天内所有小时段内的第一域名信息均与前一天对应的小时段内的第二域名信息相对应,然而前一天可能为节假日(例如周日等),周日的每一个小时段内的第二域名信息的信息量可能均较小;此时,则可以取前几个周期内的其中一个周期的第二域名信息的信息量,例如取上周五或上周四的第二域名信息的信息量。
205、若第一域名信息量与第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。
在本实施例中,在计算得到当前周期内的所有第一域名信息对应的第一域名信息量,以及与当前周期内的第一域名信息所对应的第二域名信息的第二域名信息量之后,可以将第一域名信息量与第二域名信息量进行对比,即将第二域名信息量作为当前周期内向外传输信息量的一个常规值或者是参考值,当第一域名信息量与第二域名信息量之间的差值较大的时候,则可以认为当前周期内的第一域名信息量存在异常,即可能存在恶意向外泄露信息的可能,此时,则可以输出报警信号,以提示用户进行异常处理。
其中,第一预置阈值可以是根据企业内部的具体情况来确定的,例如,综合企业内部在多个周期内的域名信息量来确定域名信息量所对应的波动范围,进而根据该波动范围来确定第一预置阈值。例如,在确定得到某一周期内的域名信息量的波动范围为300-350的时候,显然域名信息量可能在区间300-350中取任意值,并且两个不同周期内的域名信息量之间的差值最大的时候是50,此时,可以取第一预置阈值为大于或者是等于50的一个值,例如70,这样,便可以在第一域名信息量与第二域名信息量之间的差值大于70的时候,输出报警信号;值得值得注意的是,将第一预置阈值设置为大于50的70,能够在不影响检测准确率的情况下,尽量避免产生误报。
另外,在本实施例中,输出报警信号可以是检测装置输出声光报警信号,或者是在显示装置上输出显示类报警信号,例如是文本告警信息或图形告警信息,除了上述的报警信号之外,报警信号还可以是其他的形式,此处不对报警信号的形式做具体限定。
本申请实施例中,通过获取域名信息的信息量,并且对比该域名信息的信息量是否超过历史数据中与该域名信息所对应的信息量常规值,来检测DNS隧道中是否发生信息泄露,并不利用DNS隧道中所传输的域名信息的特征,而是从域名信息的字符串内容等于外传信息量的角度来统计分析外传信息量,并且对比外传信息量是否超出常规值,能够有效发现DNS隧道中的信息泄露,从而使得即便在域名信息中掺杂构造好的有意义的内容也无法绕开检测,有效地提高了检测的准确率。
可选地,在上述图2对应的一个实施例的基础上,本申请实施例提供的域名信息检测的方法一个可选实施例中,
第一域名信息包括以下的一种信息或多种信息的组合:单个域名类型对应的域名信息、单个终端对应的域名信息或多个终端对应的域名信息集合。
在本实施例中,在统计一个周期内的第一域名信息时,可以从不同的维度去进行统计,例如,统计在一天内,相同的域名类型所对应的所有第一域名信息;或者是,统计在一天内,同一个终端的所有第一域名信息;或者是,统计在一天内,多个终端(例如一个部门内的所有终端或一个企业内的所有终端)对应的所有第一域名信息。
具体地,可以是统计在一天内,所有以“tencent.com”为域名后缀的域名信息,例如“123.tencent.com”或“abshdf.tencent.com”等;或者是,统计在一天内,终端名称为“lennonma-pc1”向外传输的所有域名信息,例如“123.tencent.com”、“123.qq.com”或“asdfg.qq.com”等;又或者是,统计在一天内,整个企业内部的所有终端向外传输的所有域名信息,即一天内所有的向外传输的域名信息,例如“123.tencent.com”、“abshdf.tencent.com”、“123.qq.com”或“asdfg.qq.com”等。
同理,在第一域名信息指代的是同一个周期内不同维度下的域名信息时,第二域名信息则可以是对应的周期内不同维度下的域名信息。例如,当第一域名信息指代的是当天内所有以“tencent.com”为域名后缀的域名信息时,第二域名信息则可以是前一天内所有以“tencent.com”为域名后缀的域名信息;当第一域名信息指代的是当天内终端名称为“lennonma-pc1”向外传输的所有域名信息时,第二域名信息则可以是前一天内终端名称为“lennonma-pc1”向外传输的所有域名信息;当第一域名信息指代的是当天内整个企业内部的所有终端向外传输的所有域名信息时,第二域名信息则可以是前一天内整个企业内部的所有终端向外传输的所有域名信息。即第二域名信息统计域名信息的维度和第一域名信息统计域名信息的维度是一致的。
其次,本实施例中,通过在不用的维度进行域名信息的统计,对比外传信息量是否超出单种类型域名、个体或者群体等维度的常规值,能够有效发现DNS隧道中单种类型域名泄露信息的情况、个体泄露信息的情况或是群体泄露信息的情况,从不同的维度下进行了覆盖,能够有效地提高域名信息检测的准确率。
可选地,在上述图2对应的一个实施例的基础上,本申请实施例提供的域名信息检测的方法一个可选实施例中,
获取第一域名信息,包括:
获取DNS隧道的DNS信息;
根据DNS信息确定第一域名信息以及第一信息,第一信息与第一域名信息具有关联关系,第一信息包括请求传输第一域名信息的时间信息、请求传输第一域名信息的源IP地址、请求传输第一域名信息的源终端名称或请求传输第一域名信息的用户名称。
由于终端向外网的DNS服务器请求域名解析时,通常是以发送DNS数据包的形式进行的,因此,在本实施例中,可以是通过部署有IDS的检测装置或类似设备来记录向外传输的DNS数据包,然后,基于TCP/IP协议和DNS协议来解析获得的DNS数据包,得到DNS信息,其次,通过对DNS信息进行格式化,可以得到不同类型的信息:时间信息、源IP地址信息、源终端名称信息、用户名称信息和域名信息,例如:20170101221245、192.168.1.2、123.qq.com;最后,通过动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)设备获取时间信息、源IP地址信息、源终端名称信息、用户名称信息和域名信息之间的对应关系,以便于通过源终端名称或用户名称确定单终端、多终端或用户名称所属的群体等,例如,得到如下信息:20170101221245、192.168.1.2、lennonma-pc1、lennonma、123.qq.com;其中,这些信息都是具有关联关系的,分别代表了请求传输第一域名信息的时间、源IP地址、源终端名称和用户名称。
可选地,在上述图2对应的一个实施例的基础上,本申请实施例提供的域名信息检测的方法一个可选实施例中,
根据第一域名信息确定第一域名信息量,包括:
根据预置时间段内的第一域名信息和第一信息,确定第一域名信息量;
其中,第一域名信息量包括以下的一种信息量或多种信息量的组合:单个域名类型对应的域名信息在预置时间段内的域名信息量之和、单个终端对应的域名信息在预置时间段内的域名信息量之和或多个终端对应的域名信息集合在预置时间段内的域名信息量之和。
在本实施例中,在确定第一域名信息量的时候,可以根据当前第一域名信息所属的维度来进行确定。例如,在获取到一天内的所有DNS信息时,根据每个域名信息所属的域名类型,确定每个不同的域名类型下的所有域名信息,然后将属于同一个域名类型下的所有域名信息对应的域名信息量进行叠加,得到对应的域名信息量总和,并将该域名信息量总和作为第一域名信息量,以用于与对应的第二域名信息量进行对比。同理,对于单个终端对应的域名信息在预置时间段内的域名信息量之和,可以是先根据第一信息中的终端名称确定同一终端下的所有域名信息,然后基于相同的原理进行求取;对于多个终端对应的域名信息集合在预置时间段内的域名信息量之和,同样可以基于相同的原理进行求取。
可选地,在上述图2对应的一个实施例的基础上,本申请实施例提供的域名信息检测的方法一个可选实施例中,
域名信息量表示域名信息中最大级别部分的字符数。
对于一个域名而言,一个完整的域名通常是由两个或两个以上的部分组成,各部分之间用英文的句号“.”来分隔,倒数第一个“.”的右边部分称为顶级域名(也称为一级域名,包含一个合法字符串,和一个域名后缀,例如“com”、“org”或“net”等),顶级域名的左边部分字符串到下个“.”为止称为二级域名,二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。
经过分析得知,一个域名中级别较小的部分,例如一级域名部分、二级域名部分等,所包含的信息量往往是较小且较为常规的,例如是“qq.com”、“tencent.com”或“oa.tencent.com”等,而在最大级别的域名部分(即域名中最左边的一个部分)则可能包含有较大的信息量,且往往容易是攻击者用于携带信息的部分。因此,在本实施例中,在统计一个域名的信息量的时候,可以是统计该域名中最大级别部分的字符数,来确定该域名的信息量。
例如,对于域名“123456.tencent.com”而言,“com”为一级域名部分,“tencent”为二级域名部分,“123456”为三级域名部分(同时也是最大级别的域名部分),因此,可以是统计三级域名部分“123456”的字符数作为该域名信息的信息量,即信息量为6。
又例如,对于域名“qwertyu.oa.tencent.com”而言,“com”为一级域名部分,“tencent”为二级域名部分,“oa”为三级域名部分,“qwertyu”为四级域名部分(同时也是最大级别的域名部分),因此,可以是统计四级域名部分“qwertyu”的字符数作为该域名信息的信息量,即信息量为7。
可选地,在上述图2对应的一个实施例的基础上,本申请实施例提供的域名信息检测的方法一个可选实施例中,
若第一域名信息量与第二域名信息量之间的差值大于或等于第一预置阈值,包括:
若第一域名信息量与第二域名信息量之间的差值大于或等于第二预置阈值,其中,第一域名信息量为单个域名类型对应的域名信息在预置时间段内的域名信息量之和;
或,
若第一域名信息量与第二域名信息量之间的差值大于或等于第三预置阈值,其中,第一域名信息量为单个终端对应的域名信息在预置时间段内的域名信息量之和;
或,
若第一域名信息量与第二域名信息量之间的差值大于或等于第四预置阈值,其中,第一域名信息量为多个终端对应的域名信息集合在预置时间段内的域名信息量之和。
在本实施例中,由于不同维度下的第一域名信息对应的信息量是不一样的,针对不同维度下的第一域名信息,在比对第一域名信息量和第二域名信息量时,可以设置不同的阈值。
例如,当第一域名信息量为单个域名类型对应的域名信息在预置时间段内的域名信息量之和时,比如是“tencent.com”域名类型下所对应的域名信息,第二域名信息量的波动范围是300-350,此时,可以确定第二预置阈值为70,当第一域名信息量与第二域名信息量之间的差值大于70时,则输出报警信号。
又例如,当第一域名信息量为单个终端对应的域名信息在预置时间段内的域名信息量之和时,比如是终端“lennonma-pc1”所对应的域名信息,第二域名信息量的波动范围是50-70,此时,可以确定第二预置阈值为30,当第一域名信息量与第二域名信息量之间的差值大于30时,则输出报警信号。
又例如,当第一域名信息量为多个终端对应的域名信息集合在预置时间段内的域名信息量之和时,比如是整个企业内部所有终端所对应的域名信息,第二域名信息量的波动范围是2000-2500,此时,可以确定第二预置阈值为700,当第一域名信息量与第二域名信息量之间的差值大于700时,则输出报警信号。
此外,除了通过判断第一域名信息量和第二域名信息量之间的差值是否超出预置阈值来确定是否输出报警信号之外,还可以是判断第一域名信息量超出第二域名信息量的比例。例如,当第二域名信息量为300时,第一域名信息量超出第二域名信息量20%的时候,可以判定第一域名信息异常,从而输出报警信号。
同样地,针对不同维度下的第一域名信息,同样可以设置不同的比例。例如,针对第一域名信息量为单个终端对应的域名信息在预置时间段内的域名信息量之和的情况,可以设置当第一域名信息量溢出第二域名信息量的第一比例时,输出报警信号;针对第一域名信息量为单个终端对应的域名信息在预置时间段内的域名信息量之和的情况,可以设置当第一域名信息量溢出第二域名信息量的第二比例时,输出报警信号;针对第一域名信息量为多个终端对应的域名信息集合在预置时间段内的域名信息量之和的情况,可以设置当第一域名信息量溢出第二域名信息量的第三比例时,输出报警信号。其中,第一比例、第二比例和第三比例均可以根据不同维度下的第二域名信息量来确定,在此不再赘述。
可选地,在上述图2对应的一个实施例的基础上,本申请实施例提供的域名信息检测的方法一个可选实施例中,
在输出第一域名信息之后,方法还包括:
调整第一预置阈值的大小,以使得输出报警信号的次数小于或等于第五预置阈值。
在本实施例中,通过对大量的黑客攻击事件进行分析得知,对于一个企业而言,每日发生一件真实的黑客攻击事件已经是极限了,即在大部分情况下,每个企业每天发生的黑客攻击事件不会超出一件;另外,在定位到第一域名信息异常,并且输出报警信号之后,往往需要专门的维护人员进行排查分析,而对异常进行排查分析往往会消耗较多的时间,而每个企业内部能够派遣维护人员对异常进行排查分析的情况都是不同的,大部分的企业每日最多能够处理的异常事件通常是10件左右。显然,当每天的报警次数较多的时候,与实际可能受到的攻击次数相差较远,且会占据较多的人力、物力资源对异常事件进行排查分析。
有鉴于此,可以结合企业每日发生真实的黑客攻击事件的次数以及每日能够处理的异常事件的件数,确定每日输出报警信号的次数,即确定第五预置阈值,例如确定第五预置阈值为6。
可以理解的是,在确定了每日输出报警信息的次数小于或等于第五预置阈值的情况下,可以通过调整第一预置阈值的大小,来使得在该第一预置阈值的基础下,每日输出报警信息的次数能够满足要求。显然,当第一预置阈值越大的情况下,第一域名信息量与第二域名信息量之间的差值大于第一预置阈值的概率越低,输出的报警信号也会越少;当第一预置阈值越小的情况下,第一域名信息量与第二域名信息量之间的差值大于第一预置阈值的概率则会越大,输出的报警信号也会越多。基于此,在确定了第五预置阈值之后,可以根据当前输出报警信息的次数对第一阈值的大小进行调整,如果每日输出的报警信息的次数过多,则将第一预置阈值调大;如果每日输出的报警信息的次数过少,则将第一预置阈值调小。
可选地,在上述图2对应的一个实施例的基础上,本申请实施例提供的域名信息检测的方法一个可选实施例中,
在输出第一域名信息之后,方法还包括:
调整预置时间段的长度,以使得输出报警信号的次数小于或等于第五预置阈值。
在本实施例中,由于在设置不同的时间区间作为计算第一域名信息量的周期时,可能会影响到输出报警信号的次数。因此,可以通过调整预置时间段的长度来使得输出报警信号的次数小于或等于第五预置阈值。例如,当前的时间区间为24小时的时候,可以将时间区间调整为12小时,使得用于对比的第一域名信息量以及第二域名信息量均产生了变化,最终使得输出报警信号的次数小于或等于第五预置阈值。
可以理解的是,在本实施例中,可以是通过单独调整第一预置阈值的大小来使得输出报警信号的次数小于或等于第五预置阈值;也可以是单独调整预置时间段的长度来使得输出报警信号的次数小于或等于第五预置阈值;还可以是同时协调性地调整第一预置阈值的大小以及预置时间段的长度来使得输出报警信号的次数小于或等于第五预置阈值。
为了便于理解,以下将结合具体的例子来对确定第一域名信息量的过程进行详细的介绍。请参阅图3,图3为本申请实施例提供的一个检测装置的系统架构图。
其中,按检测装置所实现的功能,可以将检测装置内部的功能模块分成几个系统,分别为:域名采集系统、域名信息量实时计算系统、域名合法信息量生成系统、信息量溢出判定系统以及报警系统。
具体地,每个系统所实现的主要功能如下:
域名采集系统:
a、采集DNS隧道中所传输的DNS信息,并且对DNS信息进行解析,得到对应的域名信息。
域名信息量实时计算系统:
a、实时统计单个域名类型下对应的第一域名信息的外传信息量;
b、实时统计每个终端对应的第一域名信息的外传信息量;
c、实时统计一个群体中所有终端对应的第一域名信息的外传信息量,例如全企业所有终端、全部的开发终端、全部的手机终端、某部门的全部终端等;
d、控制统计第一域名信息量的时间区间,如24小时、1小时、15分钟等,实现每日的报警次数小于或等于第五预置阈值,并且联动配置系统实现统计区间的调整。
域名合法信息量生成系统:
a、根据单个域名类型下对应的第一域名信息的外传信息量,实时获取历史同期的第二域名信息的合理外传信息量作为合法值;
b、根据每个终端对应的第一域名信息的外传信息量,实时获取历史同期的第二域名信息的合理外传信息量作为合法值;
c、根据一个群体中所有终端对应的第一域名信息的外传信息量,实时获取历史同期的第二域名信息的合理外传信息量作为合法值;
d、控制统计第二域名信息量的时间区间,如24小时、1小时、15分钟等,实现每日的报警次数小于或等于第五预置阈值,并且联动配置系统实现统计区间的调整。
信息量溢出判定系统:
a、结合域名信息量实时计算系统以及域名合法信息量生成系统的结果,实时判定外传信息量是否溢出合法值,从而生成异常事件;
b、通过配置系统与域名信息量实时计算系统以及域名合法信息量生成系统进行联动,动态调整统计区间。
报警系统:
a、接收异常事件,并且输出报警信号。
基于上述的系统,确定第一域名信息量的流程具体如下:
一、假设域名采集系统对DNS隧道中传输的数据进行检测,得到了4个DNS数据包,并且对这四个DNS数据包进行解析,得到了如下的4个部分DNS信息:
1、20170101221245、192.168.1.2、lennonma-pc1、lennonma、qwertyu.oa.tencent.com;
2、20170101221246、192.168.1.2、lennonma-pc1、lennonma、qwertyu.oa.tencent.com;
3、20170101221247、192.168.1.3、leon-pc1,leon、asdfghjk.oa.tencent.com;
4、20170101221247、192.168.1.2、lennonma-pc1、lennonma、123456.tencent.com;
二、域名信息量实时计算系统对4个部分的DNS信息进行信息量计算,获得每部分DNS信息对应的域名信息量。其中,第1部分所提取的字符串为qwertyu,即其信息量为7;第2部分所提取的字符串为qwertyu,即其信息量为7;第3部分所提取的字符串为asdfghjk,即其信息量为8;第4部分所提取的字符串为123456,即其信息量为6。
其次,根据不同的维度实时计算对应的域名信息量。
1)、实时计算不同域名类型下的所有域名信息对应的域名信息量:
确定统计区间,也就是对比区间,如1小时,24小时等,在该统计区间内进行不同域名类型下的所有域名信息对应的域名信息量的计算;
对于“oa.tencent.com”域名,对应的字符串包括有:qwertyu、qwertyu、asdfghjk;域名信息量为7+7+8=22;
对于“tencent.com”域名,对应的字符串包括有:123456;域名信息量为6。
2)、实时计算不同终端下的所有域名信息对应的域名信息量:
确定统计区间,也就是对比区间,如1小时,24小时等,在该统计区间内进行不同终端下的所有域名信息对应的域名信息量的计算;
对于“lennonma-pc1”终端,对应的字符串包括有:qwertyu、qwertyu、123456;域名信息量为7+7+6=20;
对于“leon-pc1”终端,对应的字符串包括有:asdfghjk;域名信息量为8。
3)、实时计算所有终端下的所有域名信息对应的域名信息量:
确定统计区间,也就是对比区间,如1小时,24小时等,在该统计区间内进行所有终端下的所有域名信息对应的域名信息量的计算;
对于“lennonma-pc1”终端和“leon-pc1”终端,对应的字符串包括有:qwertyu、qwertyu、123456、asdfghjk;域名信息量为7+7+6+8=28。
三、域名合法信息量生成系统
a、确定统计区间,也就是对比区间,如1小时,24小时等;
b、在统计区间内,计算确定合法值:
根据单个域名类型下对应的第一域名信息的外传信息量,实时获取历史同期的第二域名信息的合理外传信息量作为合法值;
根据每个终端对应的第一域名信息的外传信息量,实时获取历史同期的第二域名信息的合理外传信息量作为合法值;
根据一个群体中所有终端对应的第一域名信息的外传信息量,实时获取历史同期的第二域名信息的合理外传信息量作为合法值。
c、联动配置系统,动态调整统计区间,来控制每日输出报警信号的次数小于或等于N,N为第五预置阈值。
四、信息量溢出判定系统:
a、配置溢出比例,如单个域名类型下对应的第一域名信息量为超出a%,单个终端对应的第一域名信息量为超出b%,多个终端对应的第一域名信息量为超出c%
b、联动配置系统,动态调整累加区间,如当前设置为24小时。控制每日报警量小于或等于N=单个域名类型下对应的第一域名信息量超出a%的报警数A+单个终端对应的第一域名信息量超出b%的报警数B+单个终端对应的第一域名信息量c%的报警数C
c、根据企业内部具体情况,设定N,例如设定N为6;
d、调整A+B+C=6公式中的比例,由于根据统计可知,异常概率为A>B>C,则可以设置A=3,B=2,C=1。
下面对本申请实施例中的域名信息检测的装置进行详细描述,请参阅图4,图4为本申请实施例中提供的域名信息检测的装置一个实施例示意图,域名信息检测的装置40包括:
获取单元401,用于获取第一域名信息,第一域名信息为待检测的域名信息;
确定单元402,用于根据第一域名信息确定第一域名信息的第一域名信息量;
获取单元401,还用于在域名信息的历史数据中获取与第一域名信息对应的第二域名信息;
确定单元402,还用于根据第二域名信息确定第二域名信息的第二域名信息量;
输出单元403,用于若第一域名信息量与第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。
可选地,在上述图4所对应的实施例的基础上,本申请实施例提供的域名信息检测的装置40的另一实施例中,
第一域名信息包括以下的一种信息或多种信息的组合:单个域名类型对应的域名信息、单个终端对应的域名信息或多个终端对应的域名信息集合。
可选地,在上述图4所对应的实施例的基础上,本申请实施例提供的域名信息检测的装置40的另一实施例中,
获取单元401,还用于获取DNS隧道的DNS信息;
确定单元402,还用于根据DNS信息确定第一域名信息以及第一信息,第一信息与第一域名信息具有关联关系,第一信息包括请求传输第一域名信息的时间信息、请求传输第一域名信息的源IP地址、请求传输第一域名信息的源终端名称或请求传输第一域名信息的用户名称。
可选地,在上述图4所对应的实施例的基础上,本申请实施例提供的域名信息检测的装置40的另一实施例中,
确定单元402,还用于根据预置时间段内的第一域名信息和第一信息,确定第一域名信息量;
其中,第一域名信息量包括以下的一种信息量或多种信息量的组合:单个域名类型对应的域名信息在预置时间段内的域名信息量之和、单个终端对应的域名信息在预置时间段内的域名信息量之和或多个终端对应的域名信息集合在预置时间段内的域名信息量之和。
可选地,在上述图4所对应的实施例的基础上,本申请实施例提供的域名信息检测的装置40的另一实施例中,
域名信息量表示域名信息中最大级别部分的字符数。
可选地,在上述图4所对应的实施例的基础上,本申请实施例提供的域名信息检测的装置40的另一实施例中,
输出单元403,还用于若第一域名信息量与第二域名信息量之间的差值大于或等于第二预置阈值,输出第一域名信息,其中,第一域名信息量为单个域名类型对应的域名信息在预置时间段内的域名信息量之和;
或,
输出单元403,还用于若第一域名信息量与第二域名信息量之间的差值大于或等于第三预置阈值,输出第一域名信息,其中,第一域名信息量为单个终端对应的域名信息在预置时间段内的域名信息量之和;
或,
输出单元403,还用于若第一域名信息量与第二域名信息量之间的差值大于或等于第四预置阈值,输出第一域名信息,其中,第一域名信息量为多个终端对应的域名信息集合在预置时间段内的域名信息量之和。
可选地,在上述图4所对应的实施例的基础上,请参阅图5,图5为本申请实施例中提供的域名信息检测的装置的另一实施例示意图;在本申请实施例提供的域名信息检测的装置40的另一实施例中,还包括调整单元404;
调整单元404,用于调整第一预置阈值的大小,以使得输出报警信号的次数小于或等于第五预置阈值。
可选地,在上述图4所对应的实施例的基础上,本申请实施例提供的域名信息检测的装置40的另一实施例中,
调整单元404,还用于调整预置时间段的长度,以使得输出报警信号的次数小于或等于第五预置阈值。
本申请实施例还提供了一种终端,如图6所示,为了便于说明,仅示出了与本申请实施例相关的部分,具体技术细节未揭示的,请参照本申请实施例方法部分。该终端可以为包括个人电脑、智能手机、掌上电脑、笔记本电脑等任意终端设备,以个人电脑为例:
图6示出的是与本申请实施例提供的终端相关的部分结构的框图。参考图6,个人电脑包括:存储器610、输入单元620、显示单元630、传感器640、音频电路650、无线保真(wireless fidelity,WiFi)模块660、处理器670、以及电源680等部件。本领域技术人员可以理解,图6中示出的个人电脑结构并不构成对个人电脑的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图6对个人电脑的各个构成部件进行具体的介绍:
存储器610可用于存储软件程序以及模块,处理器670通过运行存储在存储器610的软件程序以及模块,从而执行个人电脑的各种功能应用以及数据处理。存储器610可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据个人电脑的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器610可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元620可用于接收输入的数字或字符信息,以及产生与个人电脑的用户设置以及功能控制有关的键信号输入。具体地,输入单元620可包括触控面板621以及其他输入设备622。触控面板621,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板621上或在触控面板621附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板621可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器670,并能接收处理器670发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板621。除了触控面板621,输入单元620还可以包括其他输入设备622。具体地,其他输入设备622可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元630可用于显示由用户输入的信息或提供给用户的信息以及个人电脑的各种菜单。显示单元630可包括显示面板631,可选的,可以采用液晶显示器(liquidcrystal display,LCD)、有机发光二极管(organic light-emitting diode,OLED)等形式来配置显示面板631。进一步的,触控面板621可覆盖显示面板631,当触控面板621检测到在其上或附近的触摸操作后,传送给处理器670以确定触摸事件的类型,随后处理器670根据触摸事件的类型在显示面板631上提供相应的视觉输出。虽然在图6中,触控面板621与显示面板631是作为两个独立的部件来实现个人电脑的输入和输入功能,但是在某些实施例中,可以将触控面板621与显示面板631集成而实现个人电脑的输入和输出功能。
音频电路650、扬声器651,传声器652可提供用户与个人电脑之间的音频接口。音频电路650可将接收到的音频数据转换后的电信号,传输到扬声器651,由扬声器651转换为声音信号输出;另一方面,传声器652将收集的声音信号转换为电信号,由音频电路650接收后转换为音频数据,再将音频数据输出处理器670处理后,将音频数据输出至存储器610以便进一步处理。
WiFi属于短距离无线传输技术,个人电脑通过WiFi模块660可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图6示出了WiFi模块660,但是可以理解的是,其并不属于个人电脑的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器670是个人电脑的控制中心,利用各种接口和线路连接整个个人电脑的各个部分,通过运行或执行存储在存储器610内的软件程序和/或模块,以及调用存储在存储器610内的数据,执行个人电脑的各种功能和处理数据,从而对个人电脑进行整体监控。可选的,处理器670可包括一个或多个处理单元;可选的,处理器670可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器670中。
个人电脑还包括给各个部件供电的电源680(比如电池),可选的,电源可以通过电源管理系统与处理器670逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,个人电脑还可以包括摄像头、蓝牙模块等,在此不再赘述。
在本申请实施例中,终端设备所包括的处理器670还具有以下功能:
获取第一域名信息,第一域名信息为待检测的域名信息;
根据第一域名信息确定第一域名信息的第一域名信息量;
在域名信息的历史数据中获取与第一域名信息对应的第二域名信息;
根据第二域名信息确定第二域名信息的第二域名信息量;
若第一域名信息量与第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (9)
1.一种域名信息检测的方法,其特征在于,所述方法应用于企业内网通过DNS隧道向外网传输数据的场景,包括:
获取第一域名信息,所述第一域名信息为待检测的域名信息;所述第一域名信息包括以下的一种信息或多种信息的组合:单个域名类型对应的域名信息、单个终端对应的域名信息或多个终端对应的域名信息集合;
根据所述第一域名信息确定所述第一域名信息的第一域名信息量;所述第一域名信息量根据所述第一域名信息中字符串的字符数量确定;
在域名信息的历史数据中获取与所述第一域名信息对应的第二域名信息;
根据所述第二域名信息确定所述第二域名信息的第二域名信息量;
若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。
2.根据权利要求1所述的域名信息检测的方法,其特征在于,所述获取第一域名信息,包括:
获取DNS隧道的DNS信息;
根据所述DNS信息确定所述第一域名信息以及第一信息,所述第一信息与所述第一域名信息具有关联关系,所述第一信息包括请求传输所述第一域名信息的时间信息、请求传输所述第一域名信息的源IP地址、请求传输所述第一域名信息的源终端名称或请求传输所述第一域名信息的用户名称。
3.根据权利要求2所述的域名信息检测的方法,其特征在于,所述根据所述第一域名信息确定第一域名信息量,包括:
根据预置时间段内的所述第一域名信息和所述第一信息,确定所述第一域名信息量;
其中,所述第一域名信息量包括以下的一种信息量或多种信息量的组合:单个域名类型对应的域名信息在所述预置时间段内的域名信息量之和、单个终端对应的域名信息在所述预置时间段内的域名信息量之和或多个终端对应的域名信息集合在所述预置时间段内的域名信息量之和。
4.根据权利要求3所述的域名信息检测的方法,其特征在于,所述域名信息量表示域名信息中最大级别部分的字符数。
5.根据权利要求3或4所述的域名信息检测的方法,其特征在于,若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第一预置阈值,包括:
若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第二预置阈值,其中,所述第一域名信息量为单个域名类型对应的域名信息在所述预置时间段内的域名信息量之和;
或,
若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第三预置阈值,其中,所述第一域名信息量为单个终端对应的域名信息在所述预置时间段内的域名信息量之和;
或,
若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第四预置阈值,其中,所述第一域名信息量为多个终端对应的域名信息集合在所述预置时间段内的域名信息量之和。
6.根据权利要求1所述的域名信息检测的方法,其特征在于,在所述输出所述第一域名信息之后,所述方法还包括:
调整所述第一预置阈值的大小,以使得输出报警信号的次数小于或等于第五预置阈值。
7.根据权利要求2所述的域名信息检测的方法,其特征在于,在所述输出所述第一域名信息之后,所述方法还包括:
调整预置时间段的长度,以使得输出报警信号的次数小于或等于第五预置阈值。
8.一种域名信息检测的装置,其特征在于,包括:
获取单元,用于获取第一域名信息,所述第一域名信息为待检测的域名信息;所述第一域名信息包括以下的一种信息或多种信息的组合:单个域名类型对应的域名信息、单个终端对应的域名信息或多个终端对应的域名信息集合;所述第一域名信息为企业内网通过DNS隧道向外网传输数据的场景下的域名信息;
确定单元,用于根据所述第一域名信息确定所述第一域名信息的第一域名信息量;所述第一域名信息量根据所述第一域名信息中字符串的字符数量确定;
所述获取单元,还用于在域名信息的历史数据中获取与所述第一域名信息对应的第二域名信息;
所述确定单元,还用于根据所述第二域名信息确定所述第二域名信息的第二域名信息量;
输出单元,用于若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。
9.一种终端设备,其特征在于,包括:存储器、收发器、处理器以及总线系统;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,包括如下步骤:
获取第一域名信息,所述第一域名信息为待检测的域名信息;所述第一域名信息包括以下的一种信息或多种信息的组合:单个域名类型对应的域名信息、单个终端对应的域名信息或多个终端对应的域名信息集合;所述第一域名信息为企业内网通过DNS隧道向外网传输数据的场景下的域名信息;
根据所述第一域名信息确定所述第一域名信息的第一域名信息量;所述第一域名信息量根据所述第一域名信息中字符串的字符数量确定;
在域名信息的历史数据中获取与所述第一域名信息对应的第二域名信息;
根据所述第二域名信息确定所述第二域名信息的第二域名信息量;
若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号;
所述总线系统用于连接所述存储器以及所述处理器,以使所述存储器以及所述处理器进行通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910532015.5A CN112118205B (zh) | 2019-06-19 | 2019-06-19 | 一种域名信息检测的方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910532015.5A CN112118205B (zh) | 2019-06-19 | 2019-06-19 | 一种域名信息检测的方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112118205A CN112118205A (zh) | 2020-12-22 |
| CN112118205B true CN112118205B (zh) | 2022-08-16 |
Family
ID=73795669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910532015.5A Active CN112118205B (zh) | 2019-06-19 | 2019-06-19 | 一种域名信息检测的方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112118205B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143084B (zh) * | 2021-11-30 | 2024-02-23 | 安天科技集团股份有限公司 | 恶意域名判定方法、装置、电子设备及存储介质 |
| CN115118464A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
| CN115118463A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101826996A (zh) * | 2010-03-19 | 2010-09-08 | 中国科学院计算机网络信息中心 | 域名系统流量检测方法与域名服务器 |
| CN107547488A (zh) * | 2016-06-29 | 2018-01-05 | 华为技术有限公司 | 一种dns隧道检测方法以及dns隧道检测装置 |
| EP3313044A1 (en) * | 2016-10-24 | 2018-04-25 | Verisign, Inc. | Real-time cloud based detection and mitigation of dns data exfiltration and dns tunneling |
| CN108848201A (zh) * | 2018-06-14 | 2018-11-20 | 深信服科技股份有限公司 | 检测利用dns隧道传输隐秘数据的方法、系统及装置 |
| CN109218461A (zh) * | 2018-08-09 | 2019-01-15 | 北京奇安信科技有限公司 | 一种检测隧道域名的方法及装置 |
| CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10412107B2 (en) * | 2017-03-22 | 2019-09-10 | Microsoft Technology Licensing, Llc | Detecting domain name system (DNS) tunneling based on DNS logs and network data |
-
2019
- 2019-06-19 CN CN201910532015.5A patent/CN112118205B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101826996A (zh) * | 2010-03-19 | 2010-09-08 | 中国科学院计算机网络信息中心 | 域名系统流量检测方法与域名服务器 |
| CN107547488A (zh) * | 2016-06-29 | 2018-01-05 | 华为技术有限公司 | 一种dns隧道检测方法以及dns隧道检测装置 |
| EP3313044A1 (en) * | 2016-10-24 | 2018-04-25 | Verisign, Inc. | Real-time cloud based detection and mitigation of dns data exfiltration and dns tunneling |
| CN108848201A (zh) * | 2018-06-14 | 2018-11-20 | 深信服科技股份有限公司 | 检测利用dns隧道传输隐秘数据的方法、系统及装置 |
| CN109218461A (zh) * | 2018-08-09 | 2019-01-15 | 北京奇安信科技有限公司 | 一种检测隧道域名的方法及装置 |
| CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112118205A (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107835149B (zh) | 基于dns流量分析的网络窃密行为检测方法以及装置 | |
| CN112118205B (zh) | 一种域名信息检测的方法及相关装置 | |
| US9503468B1 (en) | Detecting suspicious web traffic from an enterprise network | |
| US10805340B1 (en) | Infection vector and malware tracking with an interactive user display | |
| US8856928B1 (en) | Protecting electronic assets using false profiles in social networks | |
| US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
| WO2020134790A1 (zh) | 一种数据异常检测方法、装置及终端设备 | |
| US20160241589A1 (en) | Method and apparatus for identifying malicious website | |
| WO2009155453A1 (en) | System and method for fast flux detection | |
| WO2017000439A1 (zh) | 一种恶意行为的检测方法、系统、设备及计算机存储介质 | |
| CN107508903A (zh) | 一种网页内容的访问方法及终端设备 | |
| CN111225002A (zh) | 一种网络攻击溯源方法、装置、电子设备和存储介质 | |
| CN112350974A (zh) | 物联网的安全监测方法、装置及电子设备 | |
| CN104836696A (zh) | 一种ip地址的检测方法及装置 | |
| CN109271779A (zh) | 一种安装包检测方法、终端设备及服务器 | |
| CN108540582B (zh) | 一种终端标识的处理方法、服务器及终端 | |
| CN116541865A (zh) | 基于数据安全的密码输入方法、装置、设备及存储介质 | |
| US11658863B1 (en) | Aggregation of incident data for correlated incidents | |
| US9985980B1 (en) | Entropy-based beaconing detection | |
| CN108112016B (zh) | 无线局域网安全评估方法及装置 | |
| CN111371917B (zh) | 一种域名检测方法及系统 | |
| US9426168B1 (en) | Fast-flux detection utilizing domain name system information | |
| CN116032501A (zh) | 网络异常行为检测方法、装置、电子设备及存储介质 | |
| CN111031004A (zh) | 业务流量处理的方法、业务流量学习的方法、装置及系统 | |
| CN113904843A (zh) | 一种终端异常dns行为的分析方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |