DE102013208923A1 - System zum Erfassen des Vorhandenseins eines bösartigen Domain-Name-Service-Providers durch passive Überwachung - Google Patents

System zum Erfassen des Vorhandenseins eines bösartigen Domain-Name-Service-Providers durch passive Überwachung Download PDF

Info

Publication number
DE102013208923A1
DE102013208923A1 DE102013208923A DE102013208923A DE102013208923A1 DE 102013208923 A1 DE102013208923 A1 DE 102013208923A1 DE 102013208923 A DE102013208923 A DE 102013208923A DE 102013208923 A DE102013208923 A DE 102013208923A DE 102013208923 A1 DE102013208923 A1 DE 102013208923A1
Authority
DE
Germany
Prior art keywords
address
resolution response
network
dns resolution
dns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102013208923A
Other languages
English (en)
Other versions
DE102013208923B4 (de
Inventor
Jeffery L. Crume
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE102013208923A1 publication Critical patent/DE102013208923A1/de
Application granted granted Critical
Publication of DE102013208923B4 publication Critical patent/DE102013208923B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Ein in einem computerlesbaren Speichermedium ausgeführtes Verfahren, System und Computerprogrammprodukt werden zur Identifizierung eines bösartigen Domain-Name-Service-(DNS)-Servers offengelegt. Ausführungsformen weisen die passive Überwachung von Datenverkehr auf einem Zielnetzwerk; und das Identifizieren einer DNS-Auflösungsantwort im Datenverkehr des Netzwerks auf. Die DNS-Auflösungsantwort weist eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse auf. Die DNS-Auflösungsantwort wird mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen verglichen. Basierend auf den Ergebnissen des Vergleichs kann bestimmt werden, ob die DNS-Auflösungsantwort korrekt ist. In Fällen, in denen die DNS-Auflösungsantwort nicht korrekt ist, ist der Provider der DNS-Auflösungsantwort ein bösartiger DNS-Server.

Description

  • Querverweis auf verwandte Offenlegungen
  • Diese Patentanmeldung steht mit der Patentanmeldung US 13/479,418 in Verbindung, die zeitgleich mit dieser Anmeldung eingereicht wird.
  • Technischer Anwendungsbereich
  • Die Erfindung bezieht sich im Allgemeinen auf die Identifizierung nicht vertrauenswürdiger oder manipulierter Quellen von Netzwerkinformationen. Im Besonderen bezieht sich die Erfindung auf die Identifizierung eines bösartigen DNS-Servers durch passive Überwachung.
  • Hintergrund
  • Der Domain Name Service (DNS) löst alphanumerische Domainnamen in numerische IP-Adressen auf. Dieser Dienst (bzw. Service) wird durch eine große Ansammlung von Servern bereitgestellt, die im Internet wie auch in lokalen Intranets verteilt sind. Wenn jedoch die über diesen Dienst bereitgestellten Informationen nicht von einer autorisierten Quelle stammen, sondern vielmehr von einem System eines Angreifers, das nicht korrekte Informationen liefert, oder von einer autorisierten Quelle, die manipuliert wurde, kann der Netzwerkverkehr durch einen Denial-of-Service-(DOS)-Angriff manipuliert werden oder in einem Spoofing-(Fälschungs-) oder Man-in-the-Middle-Angriff falsch weitergeleitet werden. Dies kann dazu führen, dass sensibler Datenverkehr an nicht vertrauenswürdige Systeme zugestellt wird bzw. überhaupt nicht zugestellt wird.
  • Eine Möglichkeit, diese Dienste zu unterlaufen, besteht darin, dass ein Angreifer einen “Evil Twin”-WiFi-Hotspot einrichtet, der ich als vertrauenswürdiger drahtloser Zugangspunkt ausgibt und sich als Man-in-the-Middle (MITM) einrichtet, der den Netzwerkverkehr umleitet. Der MITM kann den gesamten Datenverkehr, der in das bösartige Netzwerk hineinfließt und herausgeht, untersuchen und verändern. Eine andere Möglichkeit für den Angreifer besteht darin, einen bösartigen Server einzurichten, der Netzwerkdienste kapert, indem an alle Knoten im Netzwerk eine Rundsendung abgesetzt wird, dass er online und zur Verarbeitung von DNS-Anforderungen verfügbar ist. Eine wiederum andere Möglichkeit für den Angreifer wäre es, einen vertrauenswürdigen DNS-Server zu manipulieren und ihn dazu zu veranlassen, fehlerhafte Ergebnisse zu erzeugen. In vielen Fällen wird der letzte Server, der eine Rundsendung vornimmt, von den anderen Knoten im Netzwerk als maßgeblich betrachtet.
  • Eine Lösung zum Erfassen solcher nicht vertrauenswürdiger oder manipulierter Quellen von Netzwerkinformationen ist die Verwendung eines DNS-Watchers (bzw. DNS-Überwachungsprogramm), der eine „Gesundheitsprüfung“ (bzw. Prüfen des unversehrten Zustands) durch Polling einer vorkonfigurierten Liste vertrauenswürdiger DNS-Server ausführt, um sicherzustellen, dass sie betriebsbereit sind und korrekte Ergebnisse zurückliefern. Dieses Verfahren weist jedoch verschiedene Nachteile auf. Polling-Operationen generieren zusätzlichen, überflüssigen Netzwerkverkehr und können von einem Angreifer durch Ausspähen des Zielnetzwerks entdeckt werden. Ein Polling-Ansatz überprüft auch nur, ob die Ausführung bekannter DNS-Server korrekt ist. Aufgrund der aktiven Natur des Pollings bestimmter bekannter DNS-Server kann damit die Korrektheit von DNS-Auflösungen nicht geprüft werden, die von anderen als den bekannten abgefragten Hosts zurückgegeben werden. Da bösartige DNS-Provider nicht vorab bekannt sind, würden sie von einer Polling-Lösung nicht entdeckt werden.
  • Kurzbeschreibung
  • Im Allgemeinen stellen Aspekte der vorliegenden Erfindung eine passive Überwachungslösung zur Identifizierung eines bösartigen DNS-Servers in einem Netzwerk bereit, die keinen zusätzlichen Netzwerkverkehr generiert und die in der Lage ist, DNS-Auflösungen zu überwachen, die sowohl von bekannten als auch nicht bekannten DNS-Servern bereitgestellt werden.
  • Ein erster Aspekt der Offenlegung stellt ein Verfahren zur Identifizierung eines bösartigen Domain-Name-Service-(DNS)-Servers bereit. Das Verfahren weist auf: passives Überwachen von Datenverkehr in einem Netzwerk; Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und Bestimmen, ob die DNS-Auflösungsantwort basierend auf dem Vergleich korrekt ist.
  • Ein zweiter Aspekt der Offenlegung stellt ein System zur Identifizierung eines bösartigen Domain-Name-Service-(DNS)-Servers bereit. Das System weist auf: eine Überwachungskomponente zum passiven Überwachen von Datenverkehr in einem Netzwerk; eine Identifizierungskomponente zum Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; eine Vergleichskomponente zum Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und eine Bestimmungskomponente zum Bestimmen, ob die DNS-Auflösungsantwort basierend auf dem Vergleich korrekt ist.
  • Ein dritter Aspekt der Offenlegung stellt ein in einem computerlesbaren Speichermedium ausgeführtes Computerprogrammprodukt bereit, bei dessen Ausführung durch eine Computingvorrichtung das Computersystem dazu veranlasst wird, ein Verfahren zur Identifizierung eines bösartigen Domain-Name-Service-(DNS)-Server zu implementieren. Das Verfahren weist auf: passives Überwachen von Datenverkehr in einem Netzwerk; Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und Bestimmen, ob die DNS-Auflösungsantwort basierend auf dem Vergleich korrekt ist.
  • Diese und andere Aspekte, Vorteile und herausragende Merkmale der Erfindung werden aus der folgenden Detailbeschreibung ersichtlich, die in Verbindung mit den Zeichnungen im Anhang, wo in den Zeichnungen ähnliche Teile durch ähnliche Bezugszeichen bezeichnet werden, Ausführungsformen der Erfindung offenlegt.
  • Kurzbeschreibung der Zeichnungen
  • 1 zeigt ein Datenverarbeitungssystem, das für die Implementierung einer Ausführungsform der Erfindung geeignet ist.
  • 2 zeigt ein schematisches Datenflussdiagramm, das die Überwachung eines Netzwerks gemäß einer Ausführungsform der Erfindung veranschaulicht.
  • 3 zeigt ein schematisches Datenflussdiagramm, das die Identifizierung eines bösartigen DNS-Servers gemäß einer Ausführungsform der Erfindung veranschaulicht.
  • 4 zeigt eine vorkonfigurierte DNS-Auflösungstabelle gemäß einer Ausführungsform der Erfindung.
  • 5 zeigt ein Flussdiagramm eines Verfahrens zur Identifizierung eines bösartigen DNS-Servers gemäß einer Ausführungsform der Erfindung.
  • Die Zeichnungen müssen nicht skaliert werden. Die Zeichnungen stellen nur Schemadarstellungen dar, die nicht dazu gedacht sind, spezielle Parameter der Erfindung abzubilden. Die Zeichnungen sind dazu gedacht, nur typische Ausführungsformen der Erfindung darzustellen und sollten daher nicht als Einschränkung des Umfangs der Erfindung betrachtet werden. In den Zeichnungen stellen ähnliche Referenznummern ähnliche Elemente dar.
  • Detaillierte Beschreibung der Erfindung
  • Wie oben ausgeführt, stellen Aspekte der vorliegenden Erfindung eine Lösung zum Erfassen des Vorhandenseins eines bösartigen DNS-Servers über die Verwendung eines Monitors bereit, der den Fluss des Datenverkehrs zwischen den Knoten in einem Netzwerk passiv beobachtet und in dem Netzwerk nach gefälschtem DNS-Datenverkehr sucht. In einigen Ausführungsformen kann das Netzwerk ein lokales Internet sein und in anderen kann das Netzwerk das Internet sein.
  • Es wird nun auf die Zeichnungen Bezug genommen. 1 zeigt einen veranschaulichenden Monitor 100 zum Erfassen des Vorhandenseins eines bösartigen DNS-Servers 215, der im Netzwerk 200 vorhanden sein kann. In diesem Umfang weist der Monitor 101 ein Computersystem 102 auf, das einen wie in diesem Dokument beschriebenen Prozess durchführen kann, um eine ungültige DNS-Auflösungsantwort von einem bösartigen DNS-Server 215 zu identifizieren. Im Besonderen wird ein Computersystem 102 mit einer Computingvorrichtung 104 dargestellt, die ein Identifizierungsprogramm 140 für einen bösartigen DNS-Server aufweist, durch das die Computingvorrichtung 104 funktionsfähig wird, einen bösartigen DNS-Server 215 zu identifizieren, indem ein in diesem Dokument beschriebener Prozess durchgeführt wird.
  • Die Computingvorrichtung 104 ist dargestellt mit einer Verarbeitungseinheit 106 (z. B. einen oder mehreren Prozessoren), einem Speicher (Memory) 110, einem Speichersystem (Storage System) 118 (z. B, einer Speicherhierarchie), einer Eingabe-/Ausgabe(Input/Output, I/O)-Schnittstellenkomponente 114 (z. B. eine oder mehrere I/O-Schnittstellen und/oder -vorrichtungen) und einen Kommunikations-Pathway 112. Im Allgemeinen führt die Verarbeitungseinheit 106 Programmcode aus, wie das Identifizierungsprogramm 140 für einen bösartigen DNS-Server, das wenigstens teilweise fest im Speicher 110 vorliegt. In diesem Umfang kann die Verarbeitungseinheit 106 eine einzelne Verarbeitungseinheit aufweisen oder über eine oder mehrere Verarbeitungseinheit an einem oder mehreren Standorten verteilt sein.
  • Der Speicher 110 kann auch lokalen Speicher aufweisen, der bei der konkreten Ausführung des Programmcodes genutzt wird, Massenspeicher (Speicher 118) und/oder Cachespeicher (nicht dargestellt), die einen temporären Speicher für wenigsten einen Teil des Programmcode bereitstellen, damit Code bei der Ausführung nicht so oft aus dem Massenspeicher 118 abgerufen werden muss. So kann der Speicher 110 jeden bekannten Typ von Datenspeichern und/oder Übertragungsmedien aufweisen, einschließlich magnetischer Medien, optischer Medien, Direktzugriffsspeicher (Random Access Memory, RAM), Festspeicher (Read-only Memory, ROM), eines Datencaches, eines Datenobjekts usw. Darüber hinaus kann der Speicher 110, ähnlich wie die Verarbeitungseinheit 116, sich an einem einzigen physischen Standort befinden, einen oder mehrere Typen von Datenspeichern aufweisen oder über eine Vielzahl physischer Systeme in verschiedenen Formen verteilt sein.
  • Bei der Ausführung des Programmcodes kann die Verarbeitungskomponente 106 Daten verarbeiten, was zum Lesen und/oder Schreiben umgewandelter Daten aus/in den Speicher 110 und/oder der I/O-Komponente 114 zur weiteren Verarbeitung führen kann. Der Pathway 112 stellt eine direkte oder indirekte Kommunikationsverbindung zwischen jeder der Komponenten im Computersystem 102 bereit. Die I/O-Schnittstellenkomponente 114 kann einen oder mehrere für menschliche Benutzer konzipierte I/O-Vorrichtungen aufweisen, die einem menschlichen Benutzer 120 die Interaktion mit dem Computersystem 102 und/oder einen oder mehreren Kommunikationsvorrichtungen ermöglichen, um einem Systembenutzer 120 die Kommunikation mit dem Computersystem 102 über jede beliebige Art von Kommunikationsverbindung zu ermöglichen.
  • In diesem Umfang kann ein Identifizierungsprogramm 140 für einen bösartigen DNS-Server eine Gruppe von Schnittstellen (z. B. grafische Benutzeroberfläche(n), Anwendungsprogrammschnittstelle und/oder Ähnliches) verwalten, mit denen menschliche und/oder Systembenutzer 120 mit dem Identifizierungsprogramm 140 für einen bösartigen DNS-Server interagieren können. Weiterhin kann das Identifizierungsprogramm 140 für einen bösartigen DNS-Server die Daten, wie die in der Tab. 220 (24) gespeicherten Daten, unter Verwendung jeder beliebigen Lösung verwalten (z. B. speichern, abrufen, erstellen, bearbeiten, organisieren, darstellen usw.).
  • In jeden Fall kann ein Computersystem 102 eine oder mehrere allgemeine Computing-Fertigungsprodukte 104 (wie Computingvorrichtungen) aufweisen, die in der Lage sind, darauf installierten Programmcode, wie das Identifizierungsprogramm 140 für einen bösartigen DNS-Server, auszuführen. Wie in diesem Dokument verwendet, versteht es sich, dass „Programmcode“ eine beliebige Zusammenstellung von Anweisungen in einer beliebigen Sprache, einem beliebigen Code oder einer beliebigen Notation bedeutet, die/der eine Computingvorrichtung mit einer Informationsverarbeitungsfähigkeit veranlasst, eine bestimmte Aktion entweder direkt oder nach einer beliebigen Kombination des Folgenden durchzuführen: (a) Konvertierung in eine andere Sprache, einen anderen Code oder eine andere Notation; (b) Reproduktion in einer anderen materiellen Form; und/oder (c) Dekomprimierung. In diesem Umfang kann ein Identifizierungsprogramm 140 für einen bösartigen DNS-Server als eine beliebige Kombination von Systemsoftware und/oder Anwendungssoftware ausgeführt werden. In jeden Fall besteht die technische Wirkung des Computersystems 102 darin, Verarbeitungsanweisungen für die Computingvorrichtung 104 bereitzustellen, um einen bösartigen DNS-Server zu identifizieren.
  • Weiterhin kann ein Identifizierungsprogramm 140 für einen bösartigen DNS-Server mit einer Gruppe von Modulen 142150 implementiert werden. In diesem Fall kann ein Modul 142150 dem Computersystem 102 ermöglichen, eine von dem Identifizierungsprogramm 140 des bösartigen DNS-Servers verwendete Gruppe von Aufgaben durchzuführen und kann eigenständig, getrennt von anderen Bereichen des Identifizierungsprogramms 140 für einen bösartigen DNS-Server entwickelt und/oder implementiert werden. Gemäß der Verwendung in diesem Dokument bedeutet der Begriff „Komponente“ eine beliebige Hardwarekonfiguration mit oder ohne Software, die die in Verbindung damit beschriebene Funktionalität unter Verwendung einer beliebigen Lösung implementiert, während der Begriff „Modul“ für Programmcode steht, der einem Computersystem 102 die Implementierung der in Verbindung damit beschriebenen Aktionen unter Verwendung einer beliebigen Lösung ermöglicht. Wenn ein Modul in einem Speicher 110 eines Computersystems 102, das eine Verarbeitungskomponente 106 aufweist, fest vorliegt, ist es ein wesentlicher Bestandteil einer Komponente, die die Aktionen implementiert. Unabhängig davon versteht es sich, dass zwei oder mehr Komponenten, Module und/oder Systeme einige Teile/alle Teile der zugehörigen Hardware und/oder Software gemeinsam verwenden können. Weiterhin versteht es sich, dass einige Teile der hier erörterten Funktionalität nicht als Bestandteil des Computersystems 102 implementiert werden können oder dass weitere Funktionalität als Teil des Computersystems 102 enthalten sein kann.
  • Wenn das Computersystem 102 mehrere Computingvorrichtungen 104 aufweist, kann jede Computingvorrichtung 104 nur einen Bereich des Identifizierungsprogramms 140 eines bösartigen DNS-Servers darauf fest vorliegend haben (z. B. ein oder mehrere Module 142150). Es versteht sich aber, dass das Computersystem 102 und ein Identifizierungsprogramm 140 für einen bösartigen DNS-Server nur für verschiedene mögliche gleichwertige Computersysteme stehen, die einen in diesem Dokument beschriebenen Prozess ausführen können. In diesem Umfang kann die vom Computersystem 102 und dem Identifizierungsprogramm 140 für einen bösartigen DNS-Server bereitgestellte Funktionalität in anderen Ausführungsformen wenigstens teilweise durch eine oder mehrere Computingvorrichtungen implementiert werden, die eine beliebige Kombination allgemeiner und/oder Spezialhardware mit oder ohne Programmcode aufweisen. In jeder Ausführungsform kann die Hardware und der Programmcode, falls enthalten, jeweils mit standardmäßigen Engineering-und Programmiertechniken erstellt werden.
  • Wenn das Computersystem 102 mehrere Computingvorrichtungen 104 aufweist, können die Computingvorrichtungen über jede Art von Kommunikationsverbindung kommunizieren. Weiterhin kann das Computersystem 102 bei der Durchführung eines in diesem Dokument beschriebenen Prozesses mit einem oder mehreren Computersystemen unter Verwendung einer beliebigen Art von Kommunikationsverbindung kommunizieren. In jedem Fall kann die Kommunikationsverbindung eine beliebige Kombination von verschiedenen Arten von kabelgebundenen und/oder drahtlosen Verbindungen aufweisen; eine beliebige Kombination von einem oder mehreren Typen von Netzwerken aufweisen; und/oder eine beliebige Kombination von verschiedenen Arten von Übertragungstechniken und -protokollen nutzen.
  • Wie in dem vorliegenden Dokument erörtert, ermöglicht das Identifizierungsprogramm 140 für einen bösartigen DNS-Server dem Computersystem 102, eine Identifizierung eines bösartigen DNS-Servers zu implementieren. In diesem Umfang wird ein Identifizierungsprogramm 140 für einen bösartigen DNS-Server einschließlich eines Überwachungsmoduls 142, eines Identifizierungsmoduls 144, eines Vergleichsmoduls 146, eines Bestimmungsmoduls 148 und eines Alarmmoduls 150 dargestellt.
  • Im Folgenden wird nun auf 23 Bezug genommen, wo die Netzwerkumgebung 200, in der der Monitor 100 verwendet werden kann, dargestellt wird. Wie dargestellt, kann ein Netzwerk 200 einen Anforderer (Requester) 205 enthalten, der eine von einem Benutzer oder einem Server betriebene Client-Workstation sein kann. Weitere Anforderer 205 können im Netzwerk 200 enthalten sein, sie wurden aber aus Gründen der Einfachheit in der Darstellung des Netzwerks 200 in den 23 weggelassen. Der Anforderer 205 kann eine DNS-Auflösungsanforderung 201 zur Auflösung eines alphanumerischen Domainnamens eines bestimmten Hosts in eine numerische IP-Adresse senden.
  • Wie in 2 dargestellt, wird unter normalen Betriebsbedingungen, bei denen im Netzwerk 200 kein Angreifer vorhanden ist, die DNS-Auflösungsanforderung 201 empfangen und vom autorisierten DNS-Server 210 verarbeitet, der eine DNS-Auflösungsantwort 202 sendet. In diesem Fall kann die DNS-Auflösungsantwort 202 eine gültige und exakte Zuordnung des Domainnamens zur IP-Adresse enthalten.
  • In anderen Fällen, wie in 3 dargestellt, kann ein bösartiger DNS-Server 215 eines Angreifers im Netzwerk 200 zum Zweck der Nachahmung eines anderen Computingsystems vorhanden sein. In diesem Fall wird von einem bösartigen DNS-Server 215 eine DNS-Auflösungsanforderung 201 empfangen und verarbeitet und die DNS-Auflösungsantwort 202 wird vom bösartigen DNS-Server 215 bereitgestellt. Eine solche DNS-Auflösungsantwort 202 kann eine nicht korrekte Zuordnung des Domainnamens zur IP-Adresse aufweisen, was entweder zu einer falschen Weiterleitung des Netzwerkverkehrs in einem Spoofing-Angriff führt, bei dem sensibler Datenverkehr an ein nicht vertrauenswürdiges System geliefert wird, oder der Netzwerkverkehr in einem Denial-of-Service(DOS)-Angriff behindert wird.
  • In beiden Fällen ist der Monitor 100 an einem strategischen Punkt im Netzwerk 200 positioniert, sodass der Monitor 100 den Fluss des Netzwerkverkehrs zwischen den Knoten im Netzwerk 200 beobachten kann. Wie oben mit Bezugnahme auf 1 erörtert, weist der Monitor 100 die Module 142150 auf, die bei der Ausführung durch ein Computersystem 102 die passive Überwachung des Datenverkehrs im Netzwerk 200 durchführen, darunter unter anderem des Netzwerkverkehrs, der DNS-Auflösungsanforderung 201 und der DNS-Auflösungsantwort 202.
  • Es wird gleichzeitig auf die 13 Bezug genommen, wobei das Überwachungsmodul 142 als Bestandteil des Monitors 100 die Überwachung 143 des Datenverkehrs im Netzwerk 200 durchführt, darunter die DNS-Auflösungsanforderungen 201 und die DNS-Auflösungsantworten 202. Die Identifizierungskomponente 144 kann in dem im Netzwerk 200 überwachten Datenverkehr eine DNS-Auflösungsantwort 202 identifizieren. Wie oben erwähnt, weist eine DNS-Auflösungsantwort 202 eine Zuordnung eines Domainnamens 225 zu einer IP-Adresse 230 als Reaktion auf eine vom Anforderer 205 gesendete DNS-Auflösungsanforderung 201 auf.
  • Sobald eine DNS-Auflösungsantwort 202 identifiziert ist, kann ein Vergleichsmodul 146 einen Vergleich der DNS-Auflösungsantwort 202 vornehmen, wobei die bekannten Zuordnungen in einer vorkonfigurierten Liste bekannter Zuordnungen von Domainnamen zu IP-Adressen, die in einer bekannten DNS-Auflösungstabelle 220 enthaltenen sind, gespeichert sind. Es ist bekannt, dass die in Tabelle 220 enthaltenen Zuordnungen von Domainnamen zu IP-Adressen gültig sind. Wie in 4 dargestellt, kann die in Tabelle 220 gespeicherte IP-Adresse 230 als eine spezielle IP-Adresse ausgedrückt werden, wie yyy·yyy·yyy·yyy, die IP-Adresse der Domain mybank.com. In anderen Ausführungsformen können die in der Tabelle 200 gespeicherten IP-Adressen 230 als Bereich von IP-Adressen unter Verwendung von wenigstens einem Platzhalter ausgedrückt werden. Ein Bereich von IP-Adressen kann breit gefächert sein, darunter verschiedene Platzhalter wie zum Beispiel xxx.*.*.*, der IP-Adressbereich für die Domain company.com. In anderen Ausführungsformen kann der Bereich von IP-Adressen enger gefasst sein, zum Beispiel mit nur einem Platzhalter, wie zzz.zzz.zzz.1??, der IP-Adressbereich für die Domain email.org.
  • Gemäß Ausführungsformen der Erfindung muss die in der Tabelle 220 gespeicherte Liste der zugewiesenen Domainnamen 225 und IP-Adressen 230 keine erschöpfende Liste von Domains sein, auf die ein Benutzer von Netzwerk 200 zugreifen kann oder für die ein Anforderer 205 DNS-Auflösungen anfordern kann. Stattdessen kann eine ausgewählte Anzahl an Hosts in der Tabelle 220 als repräsentative Stichprobe enthalten sein. In einigen Ausführungsformen kann die Tabelle 220 eine vorkonfigurierte Liste von Domains und deren zugehörige IP-Adressen enthalten, deren Auswahl zur Aufnahme in Tabelle 220 auf der Domain basiert, die besonders sensible Informationen, auf die die Netzwerkbenutzer zugreifen, hostet. In anderen Ausführungsformen kann die Tabelle 220 eine vorkonfigurierte Liste von Domains und deren zugehörige IP-Adressen aufweisen, deren Auswahl zur Aufnahme in Tabelle 220 auf einer hohen Anzahl von Besuchen durch Benutzer des Netzwerks 200 und daher auf einer hohen Wahrscheinlichkeit eines großen zu überwachenden Stichprobenpools von DNS-Auflösungsanforderungen und – antworten basiert.
  • Es wird wieder auf 13 Bezug genommen. Das Bestimmungsmodul 148 führt eine Bestimmung durch, ob die DNS-Auflösungsantwort 202 eine korrekte und gültige Zuordnung der IP-Adresse zum Domainnamen enthält. Diese Bestimmung basiert auf dem vom Vergleichsmodul 146 durchgeführten Vergleich. Wenn die Zuordnung in der DNS-Auflösungsantwort 202 der Zuordnung für den in der Tabelle 220 gespeicherten entsprechenden Domainnamen entspricht, wird die DNS-Auflösungsantwort 202 als korrekt bestimmt. Dies gibt an, dass die DNS-Auflösungsantwort 202 zu dem autorisierten DNS-Server 210 gesendet wurde (2). Wenn die Zuordnung in der DNS-Auflösungsantwort 202 nicht der Zuordnung für den in der Tabelle 220 gespeicherten entsprechenden Domainnamen entspricht, wird die DNS-Auflösungsantwort 202 als nicht korrekt bestimmt. Es gibt an, dass die DNS-Auflösungsantwort 202 an einen bösartigen DNS-Server 215 gesendet wurde (3), und kann auf das Auftreten eines Spoofing- oder DOS-Angriffs hinweisen. In diesem Fall sendet das Alarmmodul 150 einen Alarm 240, um den Anforderer 205 über den gefälschten DNS-Datenverkehr zu informieren. In verschiedenen Ausführungsformen kann der Alarm 240 die Form einer Nachricht (E-Mail, SMS usw.), eines Logeintrags oder einer anderen Form von Benachrichtigung über ein Sicherheitsereignis annehmen, das das verdächtige Verhalten dokumentiert und die Aufmerksamkeit darauf lenkt.
  • Das obige Verfahren wird in einem Flussdiagramm in 5 dargestellt. Wie oben beschrieben, überwacht ein Monitor passiv den Datenverkehr in einem Netzwerk. Über dieses Netzwerk fordert eine anfordernde Workstation eine DNS-Auflösung einer bestimmten Domain an.
  • Eine DNS-Auflösungsantwort wird von einem DNS-Server an den Anforderer über das Netzwerk zurückgegeben. Die DNS-Auflösungsantwort wird vom Monitor aus dem überwachten Netzwerkverkehr identifiziert. Nach der Identifizierung wird die Zuordnung einer IP-Adresse zu einer Domain, die in der DNS-Auflösungsantwort enthaltenen ist, mit einer vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains verglichen. Wenn weder die Domain noch die IP-Adresse in der DNS-Auflösungsantwort in der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains erscheint, kehrt der Monitor einfach zur Überwachung des Netzwerks zurück.
  • Wenn entweder die Domain oder die IP-Adresse in der DNS-Auflösungsantwort in der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains erscheint, wird die in der DNS-Auflösungsanforderung enthaltene Zuordnung mit der entsprechenden Zuordnung in der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains verglichen. Wenn die Zuordnung übereinstimmt, d.h. sowohl die IP-Adresse und die entsprechende Domain in der DNS-Auflösungsantwort und der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains identisch sind, dann kann bestimmt werden, dass die DNS-Auflösungsantwort korrekt ist und der DNS-Server, der sie gesendet hat, autorisiert ist. Wenn jedoch die Zuordnung nicht übereinstimmt, d.h. die Domains unterschiedlichen IP-Adressen in der DNS-Auflösungsantwort und der vorkonfigurierten Liste bekannter Zuordnung von IP-Adressen zu Domains entspricht (oder die IP-Adresse entspricht unterschiedlichen Domains in der DNS-Auflösungsantwort und der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains), dann kann bestimmt werden, dass die DNS-Auflösungsantwort ungültig ist. In diesem Fall kann daraus geschlossen werden, dass der DNS-Server, der sie gesendet hat, nicht autorisiert ist und ein bösartiger DNS-Server sein kann. In diesem Fall wird ein Alarm ausgelöst, der den Anforderer über das Sicherheitsrisiko benachrichtigt.
  • Wenngleich die Erfindung in diesem Dokument als ein Verfahren und System zur Identifizierung eines bösartigen DNS-Servers dargestellt und beschrieben wird, versteht es sich, dass Aspekte der Erfindung weiterhin verschiedene alternative Ausführungsformen vorsehen können. Zum Beispiel sieht die Erfindung in einer Ausführungsform ein Computerprogramm vor, das auf wenigstens einem computerlesbaren Medium fest vorliegt, das bei der Ausführung einem Computersystem ermöglicht, die Identifizierung eines bösartigen DNS-Servers zu implementieren. In diesem Umfang weist das computerlesbare Medium Programmcode auf, wie das Identifizierungsprogramm 140 für einen bösartigen DNS-Server (1), der einige oder alle der in diesem Dokument beschriebenen Prozesse implementiert. Es versteht sich, dass der Begriff „computerlesbares Medium“ ein oder mehrere eines beliebigen Typs eines materiellen Ausdruckmediums aufweist, dass nicht bekannt oder in Zukunft entwickelt wird, von dem ein Exemplar des Programmcode erhalten, wiedergegeben oder anderweitig durch eine Computingvorrichtung kommuniziert werden kann. Zum Beispiel kann das computerlesbare Medium aufweisen: eine oder mehrere tragbare Speicherfertigungsprodukte; ein oder mehrere Speicherkomponenten (Memory/Storage) einer Computingvorrichtung; Papier und/oder Ähnliches.
  • In einer anderen Ausführungsform stellt die Erfindung ein Verfahren bereit, das ein Exemplar von Programmcode bereitstellt, wie das Identifizierungsprogramm 140 für einen bösartigen DNS-Server (1), das einige oder alle der in diesem Dokument beschriebenen Prozesse implementiert. In diesem Fall kann ein Computersystem ein Exemplar von Programmcode verarbeiten, der einen Teil oder den gesamten des in diesem Dokument beschriebenen Prozesses implementiert, um für den Empfang an einem zweiten entfernten Standort eine Gruppe von Datensignalen zu generieren und zu übertragen, die einen oder mehrere seiner Eigenschaften dergestalt festgelegt und/oder geändert haben, um ein Exemplar des Programmcodes in der Gruppe von Datensignalen zu kodieren. Ebenso stellt eine Ausführungsform der Erfindung ein Verfahren zum Erfassen eines Exemplars von Programmcode bereit, der einen Teil oder den gesamten des in diesem Dokument beschriebenen Prozesses implementiert, was ein Computersystem aufweist, dass die in diesem Dokument beschriebene Gruppe von Datensignale empfängt und die Gruppe von Datensignalen in ein Exemplar des Computerprogramms übersetzt, das wenigstens auf einem computerlesbaren Medium fest vorliegt. In jedem Fall kann die Gruppe von Datensignalen mit jeder beliebigen Art von Kommunikationsverbindung übertragenen/empfangen werden.
  • In wiederum einer anderen Ausführungsform stellt die Erfindung ein Verfahren zum Generieren eines Systems zur Identifizierung eines bösartigen DNS-Servers bereit. In diesem Fall kann ein Computersystem, wie das Computersystem 102 (1), erhalten werden (z. B. erstellt, verwaltet, verfügbar gemacht werden usw.) und eine oder mehrere Komponenten zum Durchführen eines in diesem Dokument beschriebenen Prozesses können erhalten (z. B. erstellt, erworben, verwendet, geändert usw.) und auf dem Computersystem bereitgestellt werden. In diesem Umfang kann die Bereitstellung (Deployment) eines oder mehrere aufweisen von: (1) Installation von Programmcode auf einer Computingvorrichtung; (2) Hinzufügen von einer oder mehreren Computing-und/oder I/O-Vorrichtungen zu dem Computersystem; (3) Aufnahme und/oder Modifikation des Computersystems, um die Durchführung eines in diesem Dokument beschriebenen Prozesses zu ermöglichen; und/oder Ähnliches.
  • Wie in diesem Dokument verwendet, bezeichnen die Begriffe „ erstes“, „zweites“ und Ähnliche nicht eine Reihenfolge, Menge oder Bedeutung, sondern werden nur zur Unterscheidung eines Elements von einem anderen verwendet, und die Begriffe „ein“ oder „eine“ bezeichnen hier keine Mengenbeschränkung, sondern geben stattdessen das Vorhandensein von wenigstens einem der referenzierten Elemente an. Der in Verbindung mit einer Mengenangabe verwendete Modifizierer „etwa“ schließt den angegebenen Wert mit ein und hat die vom Kontext vorgegebene Bedeutung (enthält zum Beispiel den Fehlergrad, der der Messung einer bestimmten Menge zugeordnet ist). Das Suffix „(en)“ ist gemäß der Verwendungen in diesem Dokument dazu gedacht, sowohl die Singular- wie auch die Pluralform des zu modifizierenden Begriffs zu beinhalten, wodurch ein oder mehrere Vorkommen des Begriffes (wie zum Beispiel Verarbeitungseinheit(en) ein oder mehrere Bearbeitungseinheiten beinhaltet) beinhalten. Die in diesem Dokument offengelegten Bereiche sind inkludierend und unabhängig kombinierbar (z. B. Bereiche von „bis zu etwa drei Platzhaltern“ oder im Besonderen beinhaltet „etwa ein Platzhalter bis etwa drei Platzhalter“ die Endpunkte und alle Zwischenwerte der Bereiche von „etwa ein Platzhalter bis etwa zwei Platzhalter” usw.).
  • Die Beschreibungen der verschiedenen Ausführungsformen der vorliegenden Erfindung wurden für Veranschaulichungszwecke dargestellt, ist jedoch nicht dazu gedacht, als erschöpfend oder auf die offengelegten Ausführungsformen beschränkt zu sein. Für Fachleute werden viele Modifikationen und Variationen ersichtlich sein, ohne dabei vom Umfang und Geist der beschriebenen Ausführungsformen abzuweichen. Die hier verwendete Terminologie wurde gewählt, um die Prinzipien der Ausführungsformen, der praktischen Anwendung oder der technischen Verbesserung gegenüber im Markt erhältlichen Technologien am besten zu erklären, oder um anderen Fachleuten das Verständnis der hier offengelegten Ausführungsformen zu ermöglichen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 13479418 A [0001]

Claims (15)

  1. Folgendes wird beansprucht: Ein Verfahren zum Identifizieren eines bösartigen Domain Name Service(DNS)-Servers, wobei das Verfahren aufweist: passives Überwachen von Datenverkehr in einem Netzwerk; Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und Bestimmen basierend auf dem Vergleich, ob die DNS-Auflösungsantwort korrekt ist.
  2. Das Verfahren nach Anspruch 1, das weiterhin ein Senden eines Alarms in dem Fall aufweist, in dem die DNS-Auflösungsantwort als nicht korrekt bestimmt wird.
  3. Das Verfahren nach Anspruch 2, wobei der Alarm wenigstens eines aufweist von einer E-Mail-Nachricht, einer SMS-Nachricht, einem Logeintrag oder einer Benachrichtigung über einen Sicherheitsvorfall.
  4. Das Verfahren nach Anspruch 1, wobei jede IP-Adresse in der vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen eine bestimmte IP-Adresse ist.
  5. Das Verfahren nach Anspruch 1, wobei jede IP-Adresse in der vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen ein Bereich von IP-Adressen ist, der durch wenigstens einen Platzhalter ausgedrückt wird.
  6. Das Verfahren nach Anspruch 1, wobei die vorkonfigurierte Liste bekannter Zuordnungen von Domains zu IP-Adressen eine vorkonfigurierte Liste von Domains aufweist, die von Benutzern eines Netzwerks am häufigsten besucht werden.
  7. Das Verfahren nach Anspruch 1, wobei die vorkonfigurierte Liste bekannter Zuordnungen von Domains zu IP-Adressen eine vorkonfigurierte Liste von Domains aufweist, die sensible Informationen hosten, auf die von Netzwerkbenutzern zugegriffen wird.
  8. Das Verfahren nach Anspruch 1, wobei das Netzwerk ein Internet aufweist.
  9. Ein System zum Identifizieren eines bösartigen Domain Name Service(DNS)-Servers, wobei das Verfahren aufweist: eine Überwachungskomponente zur passiven Überwachung von Datenverkehr in einem Netzwerk; eine Identifizierungskomponente zum Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; eine Vergleichskomponente zum Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und eine Bestimmungskomponente zum Bestimmen basierend auf dem Vergleich, ob die DNS-Auflösungsantwort korrekt ist.
  10. Das System nach Anspruch 9, das weiterhin eine Alarmkomponente zum Senden eines Alarms in dem Fall aufweist, wenn die DNS-Auflösungsantwort als nicht korrekt bestimmt wird.
  11. Das System nach Anspruch 10, wobei die Alarmkomponente wenigstens eines aufweist von einer E-Mail-Nachricht, einer SMS-Nachricht, einem Logeintrag oder einer Benachrichtigung über einen Sicherheitsvorfall.
  12. Das System nach Anspruch 9, wobei jede IP-Adresse in der vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen eine bestimmte IP-Adresse ist, und/oder wobei jede IP-Adresse in der vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen ein Bereich von IP-Adressen ist, der durch wenigstens einen Platzhalter ausgedrückt wird, und/oder wobei die vorkonfigurierte Liste bekannter Zuordnungen von Domains zu IP-Adressen eine vorkonfigurierte Liste von Domains aufweist, die von Benutzern eines Netzwerks am häufigsten besucht werden, und/oder wobei die vorkonfigurierte Liste bekannter Zuordnungen von Domains zu IP-Adressen eine vorkonfigurierte Liste Domains aufweist, die sensible Informationen hosten, auf die von Netzwerkbenutzer zugegriffen wird.
  13. Das Verfahren nach Anspruch 9, wobei das Netzwerk ein Internet aufweist.
  14. Ein in einem computerlesbaren Speichermedium ausgeführtes Computerprogrammprodukt, das bei dessen Ausführung durch eine Computingvorrichtung das Computersystem dazu veranlasst, ein Verfahren zur Identifizierung eines bösartigen Domain Name Service(DNS)-Servers zu implementieren, wobei das Verfahren aufweist: passives Überwachen von Datenverkehr in einem Netzwerk; Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und Bestimmen basierend auf dem Vergleich, ob die DNS-Auflösungsantwort korrekt ist.
  15. Das Computerprogrammprodukt nach Anspruch 14, wobei das Verfahren weiterhin das Senden eines Alarms in dem Fall aufweist, in dem die DNS-Auflösungsantwort als nicht korrekt bestimmt wird, und/oder wobei jede IP-Adresse in der vorkonfigurierten Liste der bekannten Zuordnungen von Domains zu IP-Adressen eine ist von: einer bestimmten IP-Adresse, oder einem Bereich von IP-Adressen, die mit wenigstens einem Platzhalter ausgedrückt werden, und/oder wobei das Netzwerk ein Intranet aufweist.
DE102013208923.6A 2012-05-24 2013-05-14 System zum Erfassen des Vorhandenseins eines bösartigen Domain-Name-Service-Providers durch passive Überwachung Active DE102013208923B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/479,412 US9225731B2 (en) 2012-05-24 2012-05-24 System for detecting the presence of rogue domain name service providers through passive monitoring
US13/479,412 2012-05-24

Publications (2)

Publication Number Publication Date
DE102013208923A1 true DE102013208923A1 (de) 2013-11-28
DE102013208923B4 DE102013208923B4 (de) 2014-10-16

Family

ID=49547172

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013208923.6A Active DE102013208923B4 (de) 2012-05-24 2013-05-14 System zum Erfassen des Vorhandenseins eines bösartigen Domain-Name-Service-Providers durch passive Überwachung

Country Status (4)

Country Link
US (2) US9225731B2 (de)
JP (1) JP2013247674A (de)
CN (1) CN103428200A (de)
DE (1) DE102013208923B4 (de)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9225731B2 (en) 2012-05-24 2015-12-29 International Business Machines Corporation System for detecting the presence of rogue domain name service providers through passive monitoring
US20130318605A1 (en) * 2012-05-24 2013-11-28 International Business Machines Corporation System for detecting rogue network protocol service providers
US8613089B1 (en) 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
GB2518460B (en) * 2013-12-09 2015-10-28 F Secure Corp Unauthorised/Malicious redirection
CN105338123B (zh) * 2014-05-28 2018-10-02 国际商业机器公司 用于在网络中解析域名的方法、装置和系统
CN104168339A (zh) * 2014-06-30 2014-11-26 汉柏科技有限公司 防止域名劫持的方法及设备
GB2545491B (en) * 2015-12-18 2020-04-29 F Secure Corp Protection against malicious attacks
US10230743B1 (en) 2016-05-12 2019-03-12 Wells Fargo Bank, N.A. Rogue endpoint detection
CN106060067B (zh) * 2016-06-29 2018-12-25 上海交通大学 基于Passive DNS迭代聚类的恶意域名检测方法
US10594728B2 (en) 2016-06-29 2020-03-17 AVAST Software s.r.o. Detection of domain name system hijacking
US10574674B2 (en) * 2016-07-08 2020-02-25 Nec Corporation Host level detect mechanism for malicious DNS activities
CN108156262B (zh) * 2018-02-13 2019-06-25 中国联合网络通信集团有限公司 一种检查dns配置文件的有效性的方法及装置
CN110912925A (zh) * 2019-12-04 2020-03-24 北京小米移动软件有限公司 检测域名系统dns劫持的方法及装置、存储介质
CN114039943A (zh) * 2021-07-28 2022-02-11 中国建设银行股份有限公司 一种域名系统的数据处理方法及装置
CN116319113B (zh) * 2023-05-23 2023-08-11 阿里云计算有限公司 一种域名解析异常的检测方法和电子设备

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020093527A1 (en) 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
US7631084B2 (en) * 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
US7873985B2 (en) 2002-01-08 2011-01-18 Verizon Services Corp. IP based security applications using location, port and/or device identifier information
US8001271B1 (en) * 2002-10-21 2011-08-16 Arbor Networks, Inc. Method and apparatus for locating naming discrepancies
US7966661B2 (en) 2004-04-29 2011-06-21 Microsoft Corporation Network amplification attack mitigation
US7756933B2 (en) 2004-12-13 2010-07-13 Collactive Ltd. System and method for deterring rogue users from attacking protected legitimate users
US20060176822A1 (en) * 2005-02-09 2006-08-10 International Business Machines Corporation Method, system, service, and computer program product for identifying incorrect domain name to internet protocol (IP) address mappings
WO2006090392A2 (en) * 2005-02-24 2006-08-31 Rsa Security Inc. System and method for detecting and mitigating dns spoofing trojans
US7436783B2 (en) 2005-04-04 2008-10-14 Apple Inc. Method and apparatus for detecting a router that improperly responds to ARP requests
GB2425681A (en) 2005-04-27 2006-11-01 3Com Corporaton Access control by Dynamic Host Configuration Protocol snooping
JP4213689B2 (ja) * 2005-07-08 2009-01-21 株式会社クローバー・ネットワーク・コム ファーミング詐欺防止システム、ネットワーク端末装置及びプログラム
US9015090B2 (en) * 2005-09-06 2015-04-21 Daniel Chien Evaluating a questionable network communication
US7716740B2 (en) 2005-10-05 2010-05-11 Alcatel Lucent Rogue access point detection in wireless networks
US7873993B2 (en) 2005-11-09 2011-01-18 Cisco Technology, Inc. Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation
US20070186276A1 (en) 2006-02-09 2007-08-09 Mcrae Matthew Auto-detection and notification of access point identity theft
US20070271220A1 (en) * 2006-05-19 2007-11-22 Chbag, Inc. System, method and apparatus for filtering web content
US8000698B2 (en) 2006-06-26 2011-08-16 Microsoft Corporation Detection and management of rogue wireless network connections
US20080060054A1 (en) 2006-09-05 2008-03-06 Srivastava Manoj K Method and system for dns-based anti-pharming
US8069483B1 (en) 2006-10-19 2011-11-29 The United States States of America as represented by the Director of the National Security Agency Device for and method of wireless intrusion detection
US7706267B2 (en) * 2007-03-06 2010-04-27 Hewlett-Packard Development Company, L.P. Network service monitoring
US7823202B1 (en) 2007-03-21 2010-10-26 Narus, Inc. Method for detecting internet border gateway protocol prefix hijacking attacks
US8219800B2 (en) 2007-06-06 2012-07-10 Cisco Technology, Inc. Secure neighbor discovery router for defending host nodes from rogue routers
US8312541B2 (en) 2007-07-17 2012-11-13 Cisco Technology, Inc. Detecting neighbor discovery denial of service attacks against a router
CA2711467A1 (en) 2008-01-23 2009-07-30 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for pooling network resources
US20090327487A1 (en) 2008-06-30 2009-12-31 Eric Olson Method and system for discovering dns resolvers
US8191137B2 (en) 2008-07-30 2012-05-29 International Business Machines Corporation System and method for identification and blocking of malicious use of servers
US7930428B2 (en) * 2008-11-11 2011-04-19 Barracuda Networks Inc Verification of DNS accuracy in cache poisoning
CN101420433B (zh) 2008-12-01 2013-03-13 成都市华为赛门铁克科技有限公司 防御域名系统欺骗攻击的方法及装置
US20100262688A1 (en) 2009-01-21 2010-10-14 Daniar Hussain Systems, methods, and devices for detecting security vulnerabilities in ip networks
CN101567815B (zh) * 2009-05-27 2011-05-11 清华大学 域名服务器dns放大攻击的有效检测与抵御方法
JP2011049745A (ja) * 2009-08-26 2011-03-10 Toshiba Corp Dnsキャッシュ・ポイズニング攻撃を防御する装置
US8924519B2 (en) 2009-11-03 2014-12-30 Microsoft Corporation Automated DNS configuration with local DNS server
US8370933B1 (en) * 2009-11-24 2013-02-05 Symantec Corporation Systems and methods for detecting the insertion of poisoned DNS server addresses into DHCP servers
CN102082836B (zh) * 2009-11-30 2013-08-14 中国移动通信集团四川有限公司 一种dns安全监控系统及方法
US8321551B2 (en) * 2010-02-02 2012-11-27 Symantec Corporation Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions
US8719900B2 (en) * 2010-05-18 2014-05-06 Amazon Technologies, Inc. Validating updates to domain name system records
CN102223422B (zh) * 2011-08-02 2014-07-09 杭州迪普科技有限公司 一种dns报文处理方法及网络安全设备
US9225731B2 (en) 2012-05-24 2015-12-29 International Business Machines Corporation System for detecting the presence of rogue domain name service providers through passive monitoring
US20130318605A1 (en) 2012-05-24 2013-11-28 International Business Machines Corporation System for detecting rogue network protocol service providers
US20130332986A1 (en) * 2012-06-08 2013-12-12 Bluebox Methods and apparatus for dynamically reducing virtual private network traffic from mobile devices

Also Published As

Publication number Publication date
DE102013208923B4 (de) 2014-10-16
US9225731B2 (en) 2015-12-29
US9648033B2 (en) 2017-05-09
CN103428200A (zh) 2013-12-04
US20130318170A1 (en) 2013-11-28
US20160036845A1 (en) 2016-02-04
JP2013247674A (ja) 2013-12-09

Similar Documents

Publication Publication Date Title
DE102013208923B4 (de) System zum Erfassen des Vorhandenseins eines bösartigen Domain-Name-Service-Providers durch passive Überwachung
DE112013000387B4 (de) Dynamisches Abtasten einer Webanwendung durch Verwendung von Webdatenverkehrs- Informationen
DE69922857T2 (de) Rechnersicherheit durch Virusuntersuchung
DE202018006616U1 (de) Beschleunigung des Arbeitsablaufs von Cyberanalysen
DE60210408T2 (de) Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes
DE69926147T2 (de) Verfahren und gerät um die sicherheitsverletzlichkeit vernetzter geräte zu kontrollieren
DE602005000017T2 (de) Kommunikationsvorrichtung, Verfahren und Programm zur Namenauflösung
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE112011103273B4 (de) Verfahren, Computerprogrammprodukt und Vorrichtung zur Weitergabe von Identitäten über Anwendungsebenen unter Verwendung von kontextabhängiger Zuordnung und gesetzten Werten
DE202016009026U1 (de) Regelbasierte Netzwerkbedrohungsdetektion
DE202016008885U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
CN107438079A (zh) 一种网站未知异常行为的检测方法
US20070124806A1 (en) Techniques for tracking actual users in web application security systems
US9379952B2 (en) Monitoring NAT behaviors through URI dereferences in web browsers
DE202012013734U1 (de) System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation
DE202012013482U1 (de) Verteilung von Zugriffsinformationen auf Overlay-Netzwerken
DE102012218704A1 (de) Erkennung von schwachstellen für dom-basiertes cross-site-scripting
DE102012220716A1 (de) Verfahren, Datenverarbeitungsvorrichtung und Programm zum Identifizieren vertraulicher Daten
DE102008016197A1 (de) Identifizieren eines Anwendungsbenutzers als Quelle einer Datenbank-Aktivität
DE60114763T2 (de) Verfahren und Vorrichtung für filtern von Zugriff, und Computerprodukt
DE112014002789T5 (de) Netzwerksicherheitssystem
DE102012218575A1 (de) Schützen der Privatsphäre beim Austauschen von Daten mit einem Webserver
CN108270778A (zh) 一种dns域名异常访问检测方法及装置
DE112017006993T5 (de) System und Verfahren zum Erfassen einer Netztopologie
CN111314301A (zh) 一种基于dns解析的网站访问控制方法及装置

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: SPIES DANNER & PARTNER PATENTANWAELTE PARTNERS, DE

Representative=s name: LIFETECH IP SPIES DANNER & PARTNER PATENTANWAE, DE

Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE

Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R082 Change of representative

Representative=s name: LIFETECH IP SPIES DANNER & PARTNER PATENTANWAE, DE

Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE

Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE

R020 Patent grant now final
R082 Change of representative

Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE

Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE

R082 Change of representative

Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000