CN114422495A - 一种针对DNS over HTTP协议的安全监管方法 - Google Patents
一种针对DNS over HTTP协议的安全监管方法 Download PDFInfo
- Publication number
- CN114422495A CN114422495A CN202210090360.XA CN202210090360A CN114422495A CN 114422495 A CN114422495 A CN 114422495A CN 202210090360 A CN202210090360 A CN 202210090360A CN 114422495 A CN114422495 A CN 114422495A
- Authority
- CN
- China
- Prior art keywords
- information
- analysis
- over http
- dns
- dns over
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000004458 analytical method Methods 0.000 claims abstract description 77
- 230000004044 response Effects 0.000 claims abstract description 19
- 230000002159 abnormal effect Effects 0.000 claims abstract description 13
- 230000002354 daily effect Effects 0.000 claims description 5
- 230000003442 weekly effect Effects 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 4
- 230000003203 everyday effect Effects 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims 1
- 238000007405 data analysis Methods 0.000 abstract description 7
- 238000010219 correlation analysis Methods 0.000 abstract 1
- 238000012544 monitoring process Methods 0.000 description 11
- 238000007726 management method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000013523 data management Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种针对DNS over HTTP协议的安全监管方法,包括输入DNS over HTTP流量,通过特征标识采集流量信息;对采集到的流量信息进行实时解析,得到响应负载然后对其进行深度解析得到解析信息;分析关联解析信息以确定ICP业务;将解析信息与预设信息进行比对判断是否一致,是则将解析信息上报并显示,否则将解析信息标记为异常信息,显示并进行异常告警。本发明能够精准解析DNS over HTTP流量并进行数据分析,得到解析服务器IP、解析次数、解析地址、解析时延统计信息,及时发现DNS over HTTP厂商服务故障等安全服务隐患,解决对DNS over HTTP协议解析监管缺失问题。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种针对DNS over HTTP协议的安全监管方法。
背景技术
DNS域名解析是互联网应用的实际寻址方式,是十分重要的Internet基础设施,是互联网的起点和入口,基于Internet的各种Web服务、Email服务都依赖DNS。随着互联网的迅猛发展和技术的进步,网络安全事件频繁发生,各种针对DNS系统的攻击行为不断升级。为了保障DNS系统的高效稳定运行,DNS系统的解析服务质量,提升互联网用户的业务使用体验,越来越多的互联网公司开始使用DNS over HTTP技术解析域名,利用HTTP协议的开放性和可定制性,基于HTTP协议为传输载体进行DNS域名解析和调度,绕过运营商Loacl DNS。
现有的DNS管理系统具备基础数据管理查询、解析服务器节点信息录入、违规域名管控、状态监控等功能。而DNS over HTTP技术以HTTP协议提供DNS域名解析服务,现有的运营商DNS安全管理系统目前无法监测这种流量,存在DNS over HTTP协议监管缺失问题,不能满足工信部提出的《互联网域名管理办法》监管要求,严重影响DNS域名服务的信息安全。
发明内容
有鉴于此,本发明要解决的问题是提供一种针对DNS over HTTP协议的安全监管方法。
为解决上述技术问题,本发明采用的技术方案是:一种针对DNS over HTTP协议的安全监管方法,包括以下步骤:
S1:输入DNS over HTTP流量,通过特征标识采集流量信息;
S2:对采集到的所述流量信息进行实时解析,得到响应负载然后对其进行深度解析得到解析信息;
S3:分析关联所述解析信息以确定ICP业务;
S4:将解析信息与预设信息进行比对判断是否一致,是则将所述解析信息上报并显示,否则将所述解析信息标记为异常信息,显示并进行异常告警。
在本发明中,优选地,输入DNS over HTTP流量具体为根据HTTP协议提取具有特征标识的字符串,经由DPI设备进行过滤得到采集流量信息。
在本发明中,优选地,步骤S2的实时解析具体包括以下步骤:
S21:根据采集流量信息记录五元组信息,从会话连接五元组信息获取厂商解析服务器IP地址、解析的域名;
S22:计算并记录DNS over HTTP连接解析的响应时延;
S23:对响应负载进行深度解析,提取所述DNS over HTTP连接解析的IP地址列表并进行日志记录。
在本发明中,优选地,步骤S3的所述分析关联具体包括以下步骤:
S31:统计解析服务器IP的每日解析次数、每周解析次数;
S32:根据所述每日解析次数和每周解析次数计算得到平均时延;
S33:依据平均时延得到解析成功率,然后通过解析服务器IP查询与之对应的厂商信息;
S34:根据解析域名信息确定使用DNS over HTTP解析服务的ICP业务。
在本发明中,优选地,所述五元组信息包括源Ip、源端口、目的Ip、目的端口、协议。
在本发明中,优选地,所述特征标识设置为/d?dn=、?dns=、&dn=、?domain=或?host_key。
本发明具有的优点和积极效果是:与现有技术相比,本发明输入DNS over HTTP流量,使用HTTP协议向DNS服务器的端口发送请求,采集流量信息,这样就可以绕开了运营商的LocalDNS,域名解析请求不会受到域名解析异常的困扰,能够精准解析DNS over HTTP流量并进行数据分析,得到解析服务器IP、解析次数、解析地址、解析时延统计信息;通过数据分析进行状态、服务监管,提供厂商服务器IP监测、ICP信息关联服务、异常数据检测;可及时发现DNS over HTTP厂商服务故障、调度异常等安全服务隐患,解决对DNS over HTTP协议解析的监管缺失问题,能够实现DNS over HTTP服务监管和解析数据分析。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明的一种针对DNS over HTTP协议的安全监管方法的示意图;
图2是本发明的一种针对DNS over HTTP协议的安全监管方法的实时解析的示意图;
图3是本发明的一种针对DNS over HTTP协议的安全监管方法的分析关联的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当组件被称为“固定于”另一个组件,它可以直接在另一个组件上或者也可以存在居中的组件。当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。当一个组件被认为是“设置于”另一个组件,它可以是直接设置在另一个组件上或者可能同时存在居中组件。本文所使用的术语“垂直的”、“水平的”、“左”、“右”以及类似的表述只是为了说明的目的。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
如图1所示,本发明提供一种针对DNS over HTTP协议的安全监管方法,包括以下步骤:
S1:输入DNS over HTTP流量,通过特征标识采集流量信息;
S2:对采集到的所述流量信息进行实时解析,得到响应负载然后对其进行深度解析得到解析信息;
S3:分析关联所述解析信息以确定ICP业务;
S4:将解析信息与预设信息进行比对判断是否一致,是则将所述解析信息上报并显示,否则将所述解析信息标记为异常信息,显示并进行异常告警。
在本实施例中,进一步地,输入DNS over HTTP流量具体为根据HTTP协议提取具有特征标识的字符串,经由DPI设备进行过滤得到采集流量信息。
如图2所示,在本实施例中,进一步地,步骤S2的实时解析具体包括以下步骤:
S21:根据采集流量信息记录五元组信息,从会话连接五元组信息获取厂商解析服务器IP地址、解析的域名;
S22:计算并记录DNS over HTTP连接解析的响应时延;
S23:对响应负载进行深度解析,提取所述DNS over HTTP连接解析的IP地址列表并进行日志记录。
如图3所示,在本实施例中,进一步地,步骤S3的所述分析关联具体包括以下步骤:
S31:统计解析服务器IP的每日解析次数、每周解析次数;
S32:根据所述每日解析次数和每周解析次数计算得到平均时延;
S33:依据平均时延得到解析成功率,然后通过解析服务器IP查询与之对应的厂商信息;
S34:根据解析域名信息确定使用DNS over HTTP解析服务的ICP业务。
在本实施例中,进一步地,所述五元组信息包括源Ip、源端口、目的Ip、目的端口、协议。
在本实施例中,进一步地,所述特征标识设置为/d?dn=、?dns=、&dn=、?domain=或?host_key。由于DNS over HTTP依赖HTTP协议,URI作为统一资源标识符,表示的是web上每一种可用的资源,如HTML文档、图像、视频片段、程序等都由一个URI进行标识的,在URI中具有明显的特征标识,比如:/d?dn=、?dns=、&dn=、?domain=、?host_key等特定字符串,字符串能够作为识别DNS over HTTP服务器的标志,根据这些特定字符串通过DPI设备进行过滤,进而确保了DNS over HTTP流量的精准采集。
本发明的工作原理和工作过程如下:工作时,首先输入DNS over HTTP流量,使用HTTP协议向DNS服务器的端口发送请求,采集流量信息,这样就可以绕开了运营商的LocalDNS,用户解析域名请求通过HTTP协议直接透传给DNS服务器的IP上,用户在客户端的域名解析请求不会受到域名解析异常的困扰,由于DNS over HTTP依赖HTTP协议,URI作为统一资源标识符,表示的是web上每一种可用的资源,如HTML文档、图像、视频片段、程序等都由一个URI进行标识的,在URI中具有明显的特征标识,比如:/d?dn=、?dns=、&dn=、?domain=、?host_key等特定字符串,字符串能够作为识别DNS over HTTP服务器的标志,根据这些特定字符串通过DPI(深度包检测技术)设备进行过滤,是指对以太网应用层数据的应用协议识别,数据包内容检测与深度解码技术,进而保障DNS over HTTP流量的精准采集;
然后对采集到的每一条DNS over HTTP流量信息进行实时解析,得到响应负载然后对其进行深度解析得到解析信息;具体而言,先根据采集流量信息记录五元组信息,其中,五元组信息包括源Ip、源端口、目的Ip、目的端口、协议,从会话连接五元组信息获取厂商解析服务器IP地址、解析的域名,然后计算并记录每条DNS over HTTP连接解析的响应时延;对响应负载进行深度解析,提取DNS over HTTP连接解析的IP地址列表并进行日志记录。域名系统(DNS)是一个将域名和IP地址相互映射的分布式数据库,而其主要任务就是管理域名和IP的对应关系,是十分重要的Internet基础设施,是互联网的起点和入口,基于Internet的各种Web服务、Email服务都依赖DNS。在Internet上,各节点都可以用IP地址唯一标识,通过IP这一互联网上每一个网络和每一台主机所分配到的逻辑地址,一台主机即可访问另一台主机。为了解决IP地址太长、太难记的问题,当用户需要访问一个网站的时候,只需要输入域名即可访问其Web网站。为了将域名映射成IP地址,应用程序先调用一个名为解析器的库程序,将域名作为参数传递给该程序,解析器向本地DNS服务器发送一个包含该域名的请求报文,本地DNS服务器查询该域名,然后返回一个包含该域名对应IP地址的响应报文给解析器,解析器再将IP地址返回给调用方。
接下来分析关联解析信息以确定ICP业务,具体过程为先统计解析服务器IP的每日解析次数、每周解析次数,然后根据所述每日解析次数和每周解析次数计算得到平均时延,依据平均时延得到解析成功率,然后通过解析服务器IP查询与之对应的厂商信息,根据解析域名信息确定使用DNS over HTTP解析服务的ICP业务,这里的ICP业务指的是网络内容服务商,即向广大用户综合提供互联网信息业务和增值业务的电信运营商。
本发明除能够实现DNS over HTTP流量日志、解析日志、所有解析数据的查询、实时监测和及时上报的基础数据管理功能以外,还能将解析信息与预设信息进行比对判断是否一致,是则将所述解析信息上报并显示,否则将所述解析信息标记为异常信息,显示并进行异常告警,对当前的整个DNS over HTTP解析安全监管过程,提供监管状态监控、解析服务的异常告警和统计展示信息功能,此外,本发明能够与已有的其它DNS解析系统、管局信安系统等进行扩展性数据对接,进而完善DNS信息安全服务的监管能力。
与现有技术相比,本发明输入DNS over HTTP流量,使用HTTP协议向DNS服务器的端口发送请求,采集流量信息,这样就可以绕开了运营商的LocalDNS,域名解析请求不会受到域名解析异常的困扰,能够精准解析DNS over HTTP流量并进行数据分析,得到解析服务器IP、解析次数、解析地址、解析时延统计信息;通过数据分析进行状态、服务监管,提供厂商服务器IP监测、ICP信息关联服务、异常数据检测;可及时发现DNS over HTTP厂商服务故障、调度异常等安全服务隐患,解决对DNS over HTTP协议解析的监管缺失问题,能够实现DNS over HTTP服务监管和解析数据分析。
以上对本发明的实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明范围所作的均等变化与改进等,均应仍归属于本专利涵盖范围之内。
Claims (6)
1.一种针对DNS over HTTP协议的安全监管方法,其特征在于,包括以下步骤:
S1:输入DNS over HTTP流量,通过特征标识采集流量信息;
S2:对采集到的所述流量信息进行实时解析,得到响应负载然后对其进行深度解析得到解析信息;
S3:分析关联所述解析信息以确定ICP业务;
S4:将解析信息与预设信息进行比对判断是否一致,是则将所述解析信息上报并显示,否则将所述解析信息标记为异常信息,显示并进行异常告警。
2.根据权利要求1所述的一种针对DNS over HTTP协议的安全监管方法,其特征在于,输入DNS over HTTP流量具体为根据HTTP协议提取具有特征标识的字符串,经由DPI设备进行过滤得到采集流量信息。
3.根据权利要求1所述的一种针对DNS over HTTP协议的安全监管方法,其特征在于,步骤S2的实时解析具体包括以下步骤:
S21:根据采集流量信息记录五元组信息,从会话连接五元组信息获取厂商解析服务器IP地址、解析的域名;
S22:计算并记录DNS over HTTP连接解析的响应时延;
S23:对响应负载进行深度解析,提取所述DNS over HTTP连接解析的IP地址列表并进行日志记录。
4.根据权利要求1所述的一种针对DNS over HTTP协议的安全监管方法,其特征在于,步骤S3的所述分析关联具体包括以下步骤:
S31:统计解析服务器IP的每日解析次数、每周解析次数;
S32:根据所述每日解析次数和每周解析次数计算得到平均时延;
S33:依据平均时延得到解析成功率,然后通过解析服务器IP查询与之对应的厂商信息;
S34:根据解析域名信息确定使用DNS over HTTP解析服务的ICP业务。
5.根据权利要求3所述的一种针对DNS over HTTP协议的安全监管方法,其特征在于,所述五元组信息包括源Ip、源端口、目的Ip、目的端口、协议。
6.根据权利要求2所述的一种针对DNS over HTTP协议的安全监管方法,其特征在于,所述特征标识设置为/d?dn=、?dns=、&dn=、?domain=或?host_key。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210090360.XA CN114422495B (zh) | 2022-01-25 | 2022-01-25 | 一种针对DNS over HTTP协议的安全监管方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210090360.XA CN114422495B (zh) | 2022-01-25 | 2022-01-25 | 一种针对DNS over HTTP协议的安全监管方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114422495A true CN114422495A (zh) | 2022-04-29 |
CN114422495B CN114422495B (zh) | 2023-10-24 |
Family
ID=81277205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210090360.XA Active CN114422495B (zh) | 2022-01-25 | 2022-01-25 | 一种针对DNS over HTTP协议的安全监管方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114422495B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102790807A (zh) * | 2011-05-16 | 2012-11-21 | 奇智软件(北京)有限公司 | 域名解析代理方法和系统、域名解析代理服务器 |
US20160027317A1 (en) * | 2014-07-28 | 2016-01-28 | Seung Woo Lee | Vocal practic and voice practic system |
US20160323304A1 (en) * | 2014-01-14 | 2016-11-03 | Pfu Limited | Information processing apparatus, method and computer-readable medium |
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
CN108040124A (zh) * | 2017-12-27 | 2018-05-15 | 北京奇安信科技有限公司 | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 |
CN108063833A (zh) * | 2016-11-07 | 2018-05-22 | 中国移动通信有限公司研究院 | Http dns解析报文处理方法及装置 |
CN109618024A (zh) * | 2019-02-01 | 2019-04-12 | 网宿科技股份有限公司 | 一种基于http的域名解析方法和系统 |
CN110868379A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 基于dns解析报文的入侵威胁指标拓展方法、装置及电子设备 |
-
2022
- 2022-01-25 CN CN202210090360.XA patent/CN114422495B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102790807A (zh) * | 2011-05-16 | 2012-11-21 | 奇智软件(北京)有限公司 | 域名解析代理方法和系统、域名解析代理服务器 |
US20160323304A1 (en) * | 2014-01-14 | 2016-11-03 | Pfu Limited | Information processing apparatus, method and computer-readable medium |
US20160027317A1 (en) * | 2014-07-28 | 2016-01-28 | Seung Woo Lee | Vocal practic and voice practic system |
CN108063833A (zh) * | 2016-11-07 | 2018-05-22 | 中国移动通信有限公司研究院 | Http dns解析报文处理方法及装置 |
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
CN108040124A (zh) * | 2017-12-27 | 2018-05-15 | 北京奇安信科技有限公司 | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 |
CN110868379A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 基于dns解析报文的入侵威胁指标拓展方法、装置及电子设备 |
CN109618024A (zh) * | 2019-02-01 | 2019-04-12 | 网宿科技股份有限公司 | 一种基于http的域名解析方法和系统 |
Non-Patent Citations (2)
Title |
---|
张千帆: "《基于DoH 流量 的DGA 识别方法》", 《信息科技》, no. 2021 * |
张千帆: "《基于DoH流量的DGA识别方法》", 《信息科技》, no. 2021 * |
Also Published As
Publication number | Publication date |
---|---|
CN114422495B (zh) | 2023-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9571516B1 (en) | Cloud service usage monitoring system | |
US7801985B1 (en) | Data transfer for network interaction fraudulence detection | |
CN101933003B (zh) | 自动化的应用依赖性映射 | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
CN103973781B (zh) | 一种基于代理服务器的屏幕监控方法及其系统 | |
US9426049B1 (en) | Domain name resolution | |
US20130191890A1 (en) | Method and system for user identity recognition based on specific information | |
US20170339173A1 (en) | Data transfer for network interaction fraudulence detection | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
JP2006120130A (ja) | アクセスログの管理システム及び管理方法 | |
KR20120087393A (ko) | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 | |
CN102088377A (zh) | 一种用于资产管理的人机对应方法及装置 | |
CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
CN107040546B (zh) | 一种域名劫持检测与联动处置方法及系统 | |
US6954785B1 (en) | System for identifying servers on network by determining devices that have the highest total volume data transfer and communication with at least a threshold number of client devices | |
CN113438332B (zh) | 一种DoH服务标识方法及装置 | |
CN114611576A (zh) | 电网中终端设备的精准识别技术 | |
CN114422495A (zh) | 一种针对DNS over HTTP协议的安全监管方法 | |
CN111177281A (zh) | 一种访问管控方法、装置、设备及存储介质 | |
KR20060079782A (ko) | 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 | |
CN114417198A (zh) | 一种网络诈骗预警方法、装置、预警设备、系统 | |
JP6169954B2 (ja) | サービス推定装置及び方法 | |
JP6170001B2 (ja) | 通信サービス分類装置、方法及びプログラム | |
CN111865724A (zh) | 视频监控设备信息采集控制实现方法 | |
CN104660727A (zh) | 一种基于dns端的业务识别方法及其系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |