JP2013247674A - 不正ドメイン・ネーム・サービス(dns)サーバを識別するための方法、システムおよびコンピュータ・プログラム(受動監視を通じて不正ドメイン・ネーム・サービス・プロバイダの存在を検出するためのシステム) - Google Patents

不正ドメイン・ネーム・サービス(dns)サーバを識別するための方法、システムおよびコンピュータ・プログラム(受動監視を通じて不正ドメイン・ネーム・サービス・プロバイダの存在を検出するためのシステム) Download PDF

Info

Publication number
JP2013247674A
JP2013247674A JP2013080924A JP2013080924A JP2013247674A JP 2013247674 A JP2013247674 A JP 2013247674A JP 2013080924 A JP2013080924 A JP 2013080924A JP 2013080924 A JP2013080924 A JP 2013080924A JP 2013247674 A JP2013247674 A JP 2013247674A
Authority
JP
Japan
Prior art keywords
domain
dns
resolution response
dns resolution
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013080924A
Other languages
English (en)
Inventor
Lake Crume Jeffery
ジェファリー・レイク・クルム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2013247674A publication Critical patent/JP2013247674A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Abstract

【課題】不正ドメイン・ネーム・サービス(DNS)サーバを識別するための方法、システム、およびコンピュータ読取り可能記憶媒体において具現化されるコンピュータ・プログラム製品を提供する。
【解決手段】実施形態は、目標ネットワーク上のトラフィックを受動的に監視するステップと、ネットワーク上のトラフィックにおけるDNS解決応答を識別するステップとを含む。DNS解決応答は、ドメイン対インターネット・プロトコル(IP)アドレスのマッピングを含む。このDNS解決応答は、ドメイン対IPアドレスの既知のマッピングの予め構成されたリストと比較される。この比較の結果に基づいて、このDNS解決応答が正しいかどうかが判定され得る。DNS解決応答が誤っている場合は、そのDNS解決応答のプロバイダが不正DNSサーバである。
【選択図】図3

Description

関連出願(米国特許出願における相互参照)
本特許出願は、本出願と同時に提出される同一の譲受人に譲渡された米国特許出願連続番号第13/479,418号(代理人整理番号CHA920120011US1、対応日本国出願は無し)に関連するものである。
本発明は一般的に、ネットワーク情報に対する信頼性のない、または損なわれたソースを識別することに関する。より特定的には、本発明は受動監視を介して不正(rogue)DNSサーバを識別することに関する。
ドメイン・ネーム・サービス(Domain Name Service:DNS)は、英数字のドメイン・ネームを解決して数字のIPアドレスにする。このサービスは、インターネットの周囲に分散するサーバおよびローカル・イントラネット内のサーバの緩い集合体によって提供される。しかしながら、もしこのサービスを通じて供給された情報が認可されたソースではなく誤った情報を供給する攻撃者のシステムから来たものであったり、損なわれた認可ソースから来たものであったりすれば、ネットワーク・トラフィックがサービス拒否(denial of service:DOS)攻撃によって妨げられるか、またはスプーフィング(なりすまし)もしくは中間者攻撃によって誤ってルート指定されるおそれがある。その結果、機密のトラフィックが信頼性のないシステムに配信されるか、またはまったく配信されないことが起こり得る。
これらのサービスを破壊し得るやり方の1つは、信頼性あるワイヤレス・アクセス・ポイントを詐称して自身を中間者(man−in−the−middle:MITM)として確立する「エビル・ツイン」WiFiホットスポットを攻撃者が設定することによって、ネットワーク・トラフィックを再ルート指定することである。MITMは、この不正ネットワークに出入りするすべてのトラフィックを調べて修正できる。別のやり方は、攻撃者が不正サーバを設定し、それがオンラインであってDNS要求を処理するために利用可能であることをネットワーク内のすべてのノードに一斉通信することによって、ネットワーク・サービスをハイジャックすることである。さらに別のやり方は、攻撃者が信頼性あるDNSサーバを損なわせて誤った結果を生成させることである。多くの場合、最後に一斉通信するサーバはネットワークの他のノードによって信頼すべきものとみなされる。
ネットワーク情報のこうした信頼性のない、または損なわれたソースを検出するための解決策の1つは、信頼性あるDNSサーバの予め構成されたリストをポーリングして、それらが動作中であって適切な結果を返していることを確認することによって「ヘルス・チェック」を行うDNSウォッチャを使用することである。
しかしながらこの方法にはいくつかの欠点がある。ポーリング動作は追加の余剰なネットワーク・トラフィックを生成し、攻撃者による目標ネットワークの偵察によって発見されるおそれがある。加えて、ポーリング・アプローチは既知のDNSサーバが適切に動作しているかどうかを確認するだけである。特定の既知DNSサーバをポーリングするという能動的性質のために、ポーリングされる既知のホスト以外のホストによって返されたDNS解決の正しさを確認することはできない。不正DNSプロバイダが前もって既知になることはないため、それらはポーリング解決策によってチェックされないままとなる。
一般的に、本発明の局面は、追加のネットワーク・トラフィックを生じず、かつ既知および未知のDNSサーバ両方によって提供されるDNS解決を監視できる、ネットワーク内の不正DNSサーバを識別するための受動監視解決策を提供する。
本開示の第1の局面は、不正ドメイン・ネーム・サービス(DNS)サーバを識別するための方法を提供する。この方法は、ネットワーク上のトラフィックを受動的に監視するステップと、ネットワーク上のトラフィックにおけるDNS解決応答を識別するステップであって、このDNS解決応答はドメイン対インターネット・プロトコル(internet protocol:IP)アドレスのマッピングを含む、ステップと、このDNS解決応答をドメイン対IPアドレスの既知のマッピングの予め構成されたリストと比較するステップと、この比較に基づいてこのDNS解決応答が正しいかどうかを判定するステップとを含む。
本開示の第2の局面は、不正ドメイン・ネーム・サービス(DNS)サーバを識別するためのシステムを提供する。このシステムは、ネットワーク上のトラフィックを受動的に監視するための監視構成要素と、ネットワーク上のトラフィックにおけるDNS解決応答を識別するための識別構成要素であって、このDNS解決応答はドメイン対インターネット・プロトコル(IP)アドレスのマッピングを含む、識別構成要素と、このDNS解決応答をドメイン対IPアドレスの既知のマッピングの予め構成されたリストと比較するための比較構成要素と、この比較に基づいてこのDNS解決応答が正しいかどうかを判定するための判定構成要素とを含む。
本開示の第3の局面は、計算デバイスによって実行されるときに、不正ドメイン・ネーム・サービス(DNS)サーバを識別するための方法をコンピュータ・システムに実施させる、(コンピュータ読取り可能記憶媒体において具現化され得る)コンピュータ・プログラムを提供する。この方法は、ネットワーク上のトラフィックを受動的に監視するステップと、ネットワーク上のトラフィックにおけるDNS解決応答を識別するステップであって、このDNS解決応答はドメイン対インターネット・プロトコル(IP)アドレスのマッピングを含む、ステップと、このDNS解決応答をドメイン対IPアドレスの既知のマッピングの予め構成されたリストと比較するステップと、この比較に基づいてこのDNS解決応答が正しいかどうかを判定するステップとを含む。
本発明の実施形態を実現するために好適なデータ処理システムを示す図である。 本発明の実施形態に従う、ネットワークの監視を例示する概略的データ・フロー図である。 本発明の実施形態に従う、不正DNSサーバの識別を例示する概略的データ・フロー図である。 本発明の実施形態に従う、予め構成されたDNS解決テーブルを示す図である。 本発明の実施形態に従う、不正DNSサーバを識別する方法に対するフロー・チャートである。
本発明の上記の局面およびその他の局面、利点ならびに目立った特徴は、添付の図面とともに本発明の実施形態を開示する以下の詳細な説明から明らかになるであろう。各図面中、同様の部分には同じ参照符号を付す。
図面は必ずしも縮尺どおりではない。図面は単なる概略的表示であり、本発明の特定のパラメータを描写することは意図されていない。図面は本発明の典型的な実施形態のみを示すことが意図されたものであるため、本発明の範囲を限定するものと考えられるべきではない。図面における同じ番号は同様の構成要素を表す。
上に示されるとおり、本発明の局面は、ネットワークを横切るノード間のトラフィックの流れを受動的に観察し、そのネットワークにおけるスプーフィングされたDNSトラフィックを探すモニタの使用によって、不正DNSサーバの存在を検出するための解決策を提供する。いくつかの実施形態において、ネットワークはローカル・イントラネットであってもよく、別の実施形態において、ネットワークはインターネットであってもよい。
図面を参照すると、図1は、ネットワーク200内に存在し得る不正DNSサーバ215の存在を検出するための例示的モニタ100を示す。そのためにモニタ100は、不正DNSサーバ215からの無効DNS解決応答を識別するために本明細書に記載されるプロセスを行い得るコンピュータ・システム102を含む。特に、コンピュータ・システム102は不正DNSサーバ識別プログラム140を含む計算デバイス104を含むことが示されており、不正DNSサーバ識別プログラム140は本明細書に記載されるプロセスを行うことによって不正DNSサーバ215を識別するために計算デバイス104を動作可能にする。
計算デバイス104は、処理ユニット106(例、1つまたはそれ以上のプロセッサ)と、メモリ110と、記憶システム118(例、記憶階層)と、入力/出力(input/output:I/O)インタフェース構成要素114(例、1つまたはそれ以上のI/Oインタフェースもしくはデバイスまたはその両方)と、通信経路112とを含むことが示される。一般的に処理ユニット106は、たとえば不正DNSサーバ識別プログラム140などのプログラム・コードを実行し、このプログラム・コードは少なくとも部分的にメモリ110内に固定されている。そのために、処理ユニット106は単一の処理ユニットを含んでいてもよいし、1つまたはそれ以上の位置の1つまたはそれ以上の処理ユニット間に分散されていてもよい。
メモリ110はさらに、プログラム・コードの実際の実行中に用いられるローカル・メモリ、バルク記憶装置(記憶システム118)、もしくは実行中にバルク記憶システム118からコードを検索しなければならない回数を減らすために少なくともいくつかのプログラム・コードの一時記憶を提供するキャッシュ・メモリ(図示せず)、またはその組み合わせを含んでもよい。このようにメモリ110は、磁気媒体、光学媒体、ランダム・アクセス・メモリ(random access memory:RAM)、リード・オンリ・メモリ(read−only memory:ROM)、データ・キャッシュ、データ・オブジェクトなどを含むあらゆる公知のタイプのデータ記憶媒体もしくは送信媒体またはその両方を含んでもよい。さらに、処理ユニット106と同様、メモリ110は1つまたはそれ以上のタイプのデータ記憶装置を含む単一の物理的位置にあってもよいし、さまざまな形の複数の物理的システム間に分散されていてもよい。
プログラム・コードを実行する間、処理ユニット106はデータを処理してもよく、その結果として、さらなる処理のためにメモリ110もしくはI/Oインタフェース構成要素114またはその両方からの、またはそこへの変換データの読取りもしくは書込みまたはその両方がもたらされてもよい。経路112は、コンピュータ・システム102の各構成要素間の直接的または間接的な通信リンクを提供する。I/Oインタフェース構成要素114は、システム・ユーザ120があらゆるタイプの通信リンクを用いてコンピュータ・システム102と通信できるようにするために、ヒト・ユーザ120がコンピュータ・システム102もしくは1つもしくはそれ以上の通信デバイスまたはその両方と対話できるようにする1つまたはそれ以上のヒトI/Oデバイスを含んでもよい。
そのために、不正DNSサーバ識別プログラム140は、ヒトもしくはシステム・ユーザまたはその両方120が不正DNSサーバ識別プログラム140と対話できるようにするインタフェースの組(例、グラフィカル・ユーザ・インタフェース(単数または複数)、アプリケーション・プログラム・インタフェース、もしくはその類似物またはその組み合わせ)を管理できる。さらに不正DNSサーバ識別プログラム140は、あらゆる解決策を用いて、たとえばテーブル220(図2〜4)に保存されるデータなどのデータを管理(例、保存、検索、作成、操作、編成、提供など)できる。
いずれの場合にも、コンピュータ・システム102は、それにインストールされるたとえば不正DNSサーバ識別プログラム140などのプログラム・コードを実行できる1つまたはそれ以上の汎用計算製造品(例、計算デバイス104)を含んでもよい。本明細書において用いられる「プログラム・コード」とは、情報処理能力を有する計算デバイスに、直接的に、または以下の動作すなわち(a)別の言語、コードもしくは表記法への変換、(b)異なる材料形式での再生、もしくは(c)復元、またはその組み合わせのあらゆる組み合わせの後に、特定の動作を行わせるための、あらゆる言語、コードまたは表記法の命令のあらゆる集合体を意味することが理解される。そのために、不正DNSサーバ識別プログラム140は、システム・ソフトウェアもしくはアプリケーション・ソフトウェアまたはその両方のあらゆる組み合わせとして具現化されてもよい。いずれの場合にも、コンピュータ・システム102の技術的効果は、不正DNSサーバを識別するために計算デバイス104に処理命令を与えることである。
さらに、不正DNSサーバ識別プログラム140は、モジュール142〜150の組を用いて実現されてもよい。この場合、モジュール142〜150は、不正DNSサーバ識別プログラム140によって用いられるタスクの組をコンピュータ・システム102が行い得るようにでき、かつ不正DNSサーバ識別プログラム140の他の部分とは離れて別々に開発もしくは実現されるか、またはその両方であってもよい。本明細書において用いられる「構成要素(component)」という用語は、あらゆる解決策を用いてそれとともに記載される機能を実現する、ソフトウェアを伴うかまたは伴わないハードウェアのあらゆる構成を意味し、一方「モジュール」という用語は、あらゆる解決策を用いてそれとともに記載される動作をコンピュータ・システム102が実現できるようにするプログラム・コードを意味する。処理構成要素(ユニット)106を含むコンピュータ・システム102のメモリ110の中に固定されるとき、モジュールは動作を実現する構成要素の実質的部分である。それに関わらず、2つまたはそれ以上の構成要素、モジュール、もしくはシステムまたはその組み合わせが、そのそれぞれのハードウェアもしくはソフトウェアまたはその両方の一部/すべてを共有してもよいことが理解される。さらに、本明細書において考察される機能のいくつかは実現されなくてもよいし、追加の機能がコンピュータ・システム102の部分として含まれてもよいことが理解される。
コンピュータ・システム102が複数の計算デバイス104を含むとき、各計算デバイス104には不正DNSサーバ識別プログラム140の一部しか固定されなくてもよい(例、1つまたはそれ以上のモジュール142〜150)。しかしながら、コンピュータ・システム102および不正DNSサーバ識別プログラム140は、本明細書に記載されるプロセスを行い得るさまざまな可能な同等コンピュータ・システムを表しているだけであることが理解される。そのために、他の実施形態においては、コンピュータ・システム102および不正DNSサーバ識別プログラム140によって提供される機能が、プログラム・コードを有するかまたは有さない汎用ハードウェアもしくは特定目的ハードウェアまたはその両方のあらゆる組み合わせを含む1つまたはそれ以上の計算デバイスによって少なくとも部分的に実現されてもよい。各実施形態において、ハードウェアおよびプログラム・コードが含まれるとき、それらはそれぞれ標準的な工学およびプログラミング技術を用いて作成されてもよい。
コンピュータ・システム102が複数の計算デバイス104を含むとき、それらの計算デバイスはあらゆるタイプの通信リンクを通じて通信してもよい。さらに、本明細書に記載されるプロセスを行う間に、コンピュータ・システム102はあらゆるタイプの通信リンクを用いて1つまたはそれ以上の他のコンピュータ・システムと通信してもよい。いずれの場合にも、通信リンクはさまざまなタイプのワイヤード・リンクもしくはワイヤレス・リンクまたはその両方のあらゆる組み合わせを含んでもよいし、1つまたはそれ以上のタイプのネットワークのあらゆる組み合わせを含んでもよいし、さまざまなタイプの送信技術およびプロトコルのあらゆる組み合わせを用いてもよいし、それらを組み合わせていてもよい。
本明細書において考察されるとおり、不正DNSサーバ識別プログラム140は、コンピュータ・システム102が不正DNSサーバの識別を実施することを可能にする。このために、不正DNSサーバ識別プログラム140は監視モジュール142と、識別モジュール144と、比較モジュール146と、判定モジュール148と、警告モジュール150とを含むことが示される。
ここで図2〜3を参照すると、モニタ100が用いられ得るネットワーク環境200が示されている。図示されるとおり、ネットワーク200はリクエスタ205を含んでもよく、リクエスタ205はユーザまたはサーバによって動作されるクライアント・ワークステーションであってもよい。ネットワーク200には付加的なリクエスタ205が含まれていてもよいが、簡略にするために図2〜3のネットワーク200の描写からは割愛されている。リクエスタ205は、特定のホストの英数字のドメイン・ネームを解決して数字のIPアドレスにするためのDNS解決要求201を送ってもよい。
図2に示されるとおり、ネットワーク200に攻撃者が存在しない通常動作条件下では、認可DNSサーバ210がDNS解決要求201を受け取って処理し、DNS解決応答202を送る。その場合、DNS解決応答202はドメイン・ネーム対IPアドレスの有効かつ正確なマッピングを含んでもよい。
他の場合には、図3に示されるとおり、攻撃者の不正DNSサーバ215が別の計算システムを詐称する目的でネットワーク200に存在することがある。この場合、不正DNSサーバ215がDNS解決要求201を受け取って処理し、不正DNSサーバ215がDNS解決応答202を提供する。こうしたDNS解決応答202は、誤ったドメイン・ネーム対IPアドレスのマッピングを含むかもしれず、その結果、機密トラフィックを信頼性のないシステムに配信するスプーフィング攻撃によってネットワーク・トラフィックが誤ってルート指定されるか、またはサービス拒否(DOS)攻撃によってネットワーク・トラフィックが妨げられる。
いずれの場合にも、モニタ100がネットワーク200上のノード間のネットワーク・トラフィックの流れを観察できるように、モニタ100はネットワーク200の戦略的地点に位置決めされる。図1を参照して上に考察したとおり、モニタ100はモジュール142〜150を含み、これらのモジュールはコンピュータ・システム102によって実行されるときに、ネットワーク・トラフィックの中でも特にDNS解決要求201およびDNS解決応答202を含む、ネットワーク200上のトラフィックに対する受動監視を行う。
図1〜3を同時に参照すると、モニタ100の部分である監視モジュール142は、DNS解決要求201およびDNS解決応答202を含む、ネットワーク200を横切るトラフィックの監視143を行う。識別モジュール144は、ネットワーク200上の監視されるトラフィックの中のDNS解決応答202を識別できる。前に言及したとおり、DNS解決応答202は、リクエスタ205から送られたDNS解決要求201に応答したドメイン・ネーム225対IPアドレス230のマッピングを含む。
DNS解決応答202が識別されると、比較モジュール146は、既知のDNS解決テーブル220に含まれるドメイン・ネームおよびIPアドレスの既知のマッピングの予め構成されたリストに保存された既知のマッピングとDNS解決応答202との比較を行うことができる。テーブル220に含まれるドメイン・ネーム対IPアドレスのマッピングは、有効であることが既知である。図4に示されるとおり、テーブル220に保存されるIPアドレス230は、特定のIPアドレス、たとえばmybank.comというドメインのIPアドレスyyy.yyy.yyy.yyyなどとして表されてもよい。他の実施形態において、テーブル220に保存されるIPアドレス230は、少なくとも1つのワイルド・カードを用いたIPアドレスの範囲として表されてもよい。IPアドレスの範囲はいくつかのワイルド・カードを含む広いものであってもよく、たとえばcompany.comというドメインに対するIPアドレス範囲xxx.*.*.*などであってもよい。他の実施形態において、IPアドレスの範囲は、たとえばただ1つのワイルド・カードを有するもっと狭いものであってもよく、たとえばemail.orgというドメインに対するIPアドレス範囲zzz.zzz.zzz.1??などであってもよい。
本発明の実施形態に従うと、テーブル220に保存されるマップされたドメイン・ネーム225およびIPアドレス230のリストは、ネットワーク200のユーザがアクセスし得るドメインまたはリクエスタ205がDNS解決を要求し得るドメインの網羅的リストである必要はない。むしろ、選択された数のホストが代表的サンプルとしてテーブル220に含まれていてもよい。いくつかの実施形態において、テーブル220はドメインおよびそのそれぞれのIPアドレスの予め構成されたリストを含んでもよく、テーブル220に含ませるために何を選択するのかについては、ネットワーク・ユーザによってアクセスされる特に機密の情報をホスティングするドメインに基づいていてもよい。他の実施形態において、テーブル220はドメインおよびそのそれぞれのIPアドレスの予め構成されたリストを含んでもよく、テーブル220に含ませるために何を選択するのかについては、ネットワーク200のユーザが訪れている頻度の高さ、ひいては監視すべきDNS解決要求および応答のサンプル・プールが大きくなる可能性の高さに基づいていてもよい。
再び図1〜3を参照すると、判定モジュール148は、DNS解決応答202がIPアドレス対ドメイン・ネームの正しくかつ有効なマッピングを含んでいるかどうかの判定を行う。この判定は、比較モジュール146によって行われる比較に基づいている。DNS解決応答202におけるマッピングがテーブル220に保存されたそれぞれのドメイン・ネームに対するマッピングと一致するとき、DNS解決応答202は正しいと判定される。このことから、DNS解決応答202が認可DNSサーバ210(図2)から送られたものであろうことがわかる。DNS解決応答202におけるマッピングがテーブル220におけるそれぞれのドメイン・ネームに対するマッピングと一致しないとき、DNS解決応答202は無効と判定される。このことから、DNS解決応答202が不正DNSサーバ215(図3)から送られたものであろうことがわかるであろうし、さらにスプーフィングまたはDOS攻撃が起こったであろうことがわかるであろう。この場合には、警告モジュール150が警告240を送って、スプーフィングされたDNSトラフィックをリクエスタ205に通知する。さまざまな実施形態において、警告240はメッセージ(eメール、SMSなど)、ログ・エントリ、または不審な挙動を記述して注意を喚起するその他の形のセキュリティ事象通知の形を取ってもよい。
前述の方法を図5のフロー・チャートに示している。前述のとおり、モニタはネットワーク上のトラフィックを受動的に監視する。このネットワークを通じて、要求ワークステーションが特定のドメインのDNS解決を要求する。DNSサーバによって、DNS解決応答がネットワークを通じてリクエスタに戻される。監視されるネットワーク・トラフィックの中からこのDNS解決応答がモニタによって識別される。識別されると、DNS解決応答に含まれるIPアドレス対ドメインのマッピングが、IPアドレス対ドメインの既知のマッピングの予め構成されたリストと比較される。IPアドレス対ドメインの既知のマッピングの予め構成されたリストの中にDNS解決応答の中のドメインもIPアドレスも現れないときは、モニタは単純にネットワークの監視に戻る。
DNS解決応答の中のドメインまたはIPアドレスが、IPアドレス対ドメインの既知のマッピングの予め構成されたリストの中に現れるとき、DNS解決応答に含まれるマッピングがIPアドレス対ドメインの既知のマッピングの予め構成されたリスト内の対応するマッピングと比較される。マッピングが一致するとき、すなわちDNS解決応答およびIPアドレス対ドメインの既知のマッピングの予め構成されたリストにおいてIPアドレスとそれぞれのドメインとが両方とも同じであるときは、そのDNS解決応答が正しいものであり、それを送ったDNSサーバは認可されたものであると判定できる。しかしマッピングが一致しないとき、すなわちDNS解決応答およびIPアドレス対ドメインの既知のマッピングの予め構成されたリストにおいてドメインが異なるIPアドレスに対応しているとき(またはDNS解決応答およびIPアドレス対ドメインの既知のマッピングの予め構成されたリストにおいてIPアドレスが異なるドメインに対応しているとき)は、そのDNS解決応答が無効であると判定できる。こうした場合には、それを送ったDNSサーバが認可されておらず、不正DNSサーバのおそれがあると結論付けられ得る。この場合は警告が開始され、リクエスタにセキュリティの危険を警告する。
本明細書においては不正DNSサーバを識別するための方法およびシステムとして示され説明されているが、本発明の局面はさまざまな代替的実施形態をさらに提供することが理解される。たとえば一実施形態において、本発明は少なくとも1つのコンピュータ読取り可能媒体に固定されたコンピュータ・プログラムを提供し、このコンピュータ・プログラムは実行されるときにコンピュータ・システムが不正DNSサーバの識別を実施することを可能にする。そのためにコンピュータ読取り可能媒体は、本明細書に記載されるプロセスの一部またはすべてを実施するたとえば不正DNSサーバ識別プログラム140(図1)などのプログラム・コードを含む。「コンピュータ読取り可能媒体」という用語は、計算デバイスがそこからプログラム・コードのコピーを認識、再生または別様で通信することができる、現在公知であるかまたは後に開発される1つまたはそれ以上のあらゆるタイプの表現の有形媒体を含むことが理解される。たとえば、コンピュータ読取り可能媒体は、1つまたはそれ以上の携帯型記憶装置製造品、計算デバイスの1つまたはそれ以上のメモリ/記憶構成要素、紙、もしくはその類似品またはその組み合わせを含んでもよい。
別の実施形態において、本発明は、本明細書に記載されるプロセスの一部またはすべてを実施するたとえば不正DNSサーバ識別プログラム140(図1)などのプログラム・コードのコピーを提供する方法を提供する。この場合、コンピュータ・システムは本明細書に記載されるプロセスの一部またはすべてを実施するプログラム・コードのコピーを処理して、第2の別の位置における受信のためにデータ信号の組を生成および送信でき、このデータ信号の組はプログラム・コードの特性集合の1つもしくはそれ以上を有するか、もしくはこのデータ信号の組においてプログラム・コードのコピーを符号化するような態様で変更されているか、またはその両方である。同様に、本発明の実施形態は、本明細書に記載されるプロセスの一部またはすべてを実施するプログラム・コードのコピーを取得する方法を提供し、この方法は、コンピュータ・システムが本明細書に記載されるデータ信号の組を受け取るステップと、このデータ信号の組を翻訳して少なくとも1つのコンピュータ読取り可能媒体に固定されるコンピュータ・プログラムのコピーにするステップとを含む。どちらの場合にも、データ信号の組はあらゆるタイプの通信リンクを用いて送信/受信されてもよい。
さらに別の実施形態において、本発明は不正DNSサーバを識別するためのシステムを生成する方法を提供する。この場合には、たとえばコンピュータ・システム102(図1)などのコンピュータ・システムが得られてもよく(例、作製される、維持される、利用可能にされるなど)、さらに本明細書に記載されるプロセスを行うための1つまたはそれ以上の構成要素が得られて(例、作製される、購入される、使用される、修正されるなど)そのコンピュータ・システムに配置されてもよい。そのために、この配置は以下のステップの1つまたはそれ以上を含んでもよい。(1)計算デバイスにプログラム・コードをインストールするステップ、(2)コンピュータ・システムに1つまたはそれ以上の計算デバイスもしくはI/Oデバイスまたはその両方を追加するステップ、(3)コンピュータ・システムを本明細書に記載されるプロセスを行い得るように組み込むか、もしくは修正するか、またはその両方を行うステップ、もしくは類似のステップまたはその組み合わせ。
本明細書において用いられる「第1の」、「第2の」などの用語は、いかなる順序、数量または重要性も表しておらず、1つの構成要素と別の構成要素とを区別するために用いられるものであり、さらに本明細書における「a」および「an」という用語は数量の限定を表すものではなく、参照される項目の少なくとも1つの存在を表すものである。数量に関連して用いられる「約」という修飾語は述べられる値を包括するものであり、その状況によって規定される意味を有する(例、特定の数量の測定に関連する誤差の程度を含む)。本明細書において用いられる「(単数または複数)」という接尾辞は、それが修飾する用語の単数形および複数形の両方を含むことが意図されており、それによってその用語の1つまたはそれ以上を含む(例、サーバ(単数または複数)は1つまたはそれ以上のサーバを含む)。本明細書に開示される範囲は包括的であり、独立に組み合わせ可能である(例、「最大約3個のワイルド・カード、またはより特定的に、約1個のワイルド・カードから約3個のワイルド・カード」という範囲は、「約1個のワイルド・カードから約2個のワイルド・カード」などの範囲の端点およびすべての中間値を包括している)。
本発明のさまざまな実施形態の説明は例示の目的のために提供されたものであり、開示される実施形態に対して網羅的または限定的になることは意図されていない。記載される実施形態の範囲および趣旨から逸脱することなく、通常の当業者には多くの修正形および変更形が明らかになるであろう。本明細書において用いられる用語は、実施形態の原理、実際の適用、もしくは市場において見出される技術からの技術的改善点を最もよく説明するため、または他の通常の当業者が本明細書に開示される実施形態を理解できるようにするために選択されたものである。
100 モニタ
143 監視
200 ネットワーク
201 DNS解決要求
202 DNS解決応答
205 リクエスタ
210 認可DNS
215 不正DNS
220 テーブル
240 警告

Claims (20)

  1. 不正ドメイン・ネーム・サービス(DNS)サーバを識別するための方法であって、前記方法は、
    ネットワーク上のトラフィックを受動的に監視するステップと、
    前記ネットワーク上の前記トラフィックにおけるDNS解決応答を識別するステップであって、前記DNS解決応答はドメイン対インターネット・プロトコル(IP)アドレスのマッピングを含む、識別するステップと、
    前記DNS解決応答をドメイン対IPアドレスの既知のマッピングの予め構成されたリストと比較するステップと、
    前記比較するステップに基づいて前記DNS解決応答が正しいかどうかを判定するステップと
    を含む、方法。
  2. 前記DNS解決応答が誤りであると判定された場合に警告を送るステップをさらに含む、請求項1に記載の方法。
  3. 前記警告は、eメール・メッセージ、SMSメッセージ、ログ・エントリ、またはセキュリティ事象通知のうちの少なくとも1つを含む、請求項2に記載の方法。
  4. ドメイン対IPアドレスの既知のマッピングの前記予め構成されたリスト内の各IPアドレスは、特定のIPアドレスである、請求項1に記載の方法。
  5. ドメイン対IPアドレスの既知のマッピングの前記予め構成されたリスト内の各IPアドレスは、少なくとも1つのワイルド・カードを用いて表されるIPアドレスの範囲である、請求項1に記載の方法。
  6. ドメイン対IPアドレスの既知のマッピングの前記予め構成されたリストは、ネットワークのユーザが最も頻繁に訪れたドメインの予め構成されたリストを含む、請求項1に記載の方法。
  7. ドメイン対IPアドレスの既知のマッピングの前記予め構成されたリストは、ネットワーク・ユーザによってアクセスされる機密情報をホスティングするドメインの予め構成されたリストを含む、請求項1に記載の方法。
  8. 前記ネットワークはイントラネットを含む、請求項1に記載の方法。
  9. 不正ドメイン・ネーム・サービス(DNS)サーバを識別するためのシステムであって、
    ネットワーク上のトラフィックを受動的に監視するための監視構成要素と、
    前記ネットワーク上の前記トラフィックにおけるDNS解決応答を識別するための識別構成要素であって、前記DNS解決応答はドメイン対インターネット・プロトコル(IP)アドレスのマッピングを含む、識別構成要素と、
    前記DNS解決応答をドメイン対IPアドレスの既知のマッピングの予め構成されたリストと比較するための比較構成要素と、
    前記比較に基づいて前記DNS解決応答が正しいかどうかを判定するための判定構成要素と
    を含む、システム。
  10. 前記DNS解決応答が誤りであると判定された場合に警告を送るための警告構成要素をさらに含む、請求項9に記載のシステム。
  11. 前記警告は、eメール・メッセージ、SMSメッセージ、ログ・エントリ、またはセキュリティ事象通知のうちの少なくとも1つを含む、請求項10に記載のシステム。
  12. ドメイン対IPアドレスの既知のマッピングの前記予め構成されたリスト内の各IPアドレスは、特定のIPアドレスである、請求項9に記載のシステム。
  13. ドメイン対IPアドレスの既知のマッピングの前記予め構成されたリスト内の各IPアドレスは、少なくとも1つのワイルド・カードを用いて表されるIPアドレスの範囲である、請求項9に記載のシステム。
  14. ドメイン対IPアドレスの既知のマッピングの前記予め構成されたリストは、ネットワークのユーザが最も頻繁に訪れたドメインの予め構成されたリストを含む、請求項9に記載のシステム。
  15. ドメイン対IPアドレスの既知のマッピングの前記予め構成されたリストは、ネットワーク・ユーザによってアクセスされる機密情報をホスティングするドメインの予め構成されたリストを含む、請求項9に記載のシステム。
  16. 前記ネットワークはイントラネットを含む、請求項9に記載のシステム。
  17. コンピュータ・プログラムであって、前記コンピュータ・プログラムは、計算デバイスによって実行されるときに、不正ドメイン・ネーム・サービス(DNS)サーバを識別するための方法の各ステップをコンピュータ・システムに実施させ、前記方法は、
    ネットワーク上のトラフィックを受動的に監視するステップと、
    前記ネットワーク上の前記トラフィックにおけるDNS解決応答を識別するステップであって、前記DNS解決応答はドメイン対インターネット・プロトコル(IP)アドレスのマッピングを含む、識別するステップと、
    前記DNS解決応答をドメイン対IPアドレスの既知のマッピングの予め構成されたリストと比較するステップと、
    前記比較するステップに基づいて前記DNS解決応答が正しいかどうかを判定するステップと
    を含む、コンピュータ・プログラム。
  18. 前記方法は、前記DNS解決応答が誤りであると判定された場合に警告を送るステップをさらに含む、請求項17に記載のコンピュータ・プログラム。
  19. ドメイン対IPアドレスの既知のマッピングの前記予め構成されたリスト内の各IPアドレスは、
    特定のIPアドレス、または
    少なくとも1つのワイルド・カードを用いて表されるIPアドレスの範囲
    のうちの1つである、請求項17に記載のコンピュータ・プログラム。
  20. 前記ネットワークはイントラネットを含む、請求項17に記載のコンピュータ・プログラム。
JP2013080924A 2012-05-24 2013-04-09 不正ドメイン・ネーム・サービス(dns)サーバを識別するための方法、システムおよびコンピュータ・プログラム(受動監視を通じて不正ドメイン・ネーム・サービス・プロバイダの存在を検出するためのシステム) Pending JP2013247674A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/479,412 US9225731B2 (en) 2012-05-24 2012-05-24 System for detecting the presence of rogue domain name service providers through passive monitoring
US13/479412 2012-05-24

Publications (1)

Publication Number Publication Date
JP2013247674A true JP2013247674A (ja) 2013-12-09

Family

ID=49547172

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013080924A Pending JP2013247674A (ja) 2012-05-24 2013-04-09 不正ドメイン・ネーム・サービス(dns)サーバを識別するための方法、システムおよびコンピュータ・プログラム(受動監視を通じて不正ドメイン・ネーム・サービス・プロバイダの存在を検出するためのシステム)

Country Status (4)

Country Link
US (2) US9225731B2 (ja)
JP (1) JP2013247674A (ja)
CN (1) CN103428200A (ja)
DE (1) DE102013208923B4 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9225731B2 (en) 2012-05-24 2015-12-29 International Business Machines Corporation System for detecting the presence of rogue domain name service providers through passive monitoring
US20130318605A1 (en) * 2012-05-24 2013-11-28 International Business Machines Corporation System for detecting rogue network protocol service providers
US8856924B2 (en) 2012-08-07 2014-10-07 Cloudflare, Inc. Mitigating a denial-of-service attack in a cloud-based proxy service
GB2518460B (en) * 2013-12-09 2015-10-28 F Secure Corp Unauthorised/Malicious redirection
CN105338123B (zh) * 2014-05-28 2018-10-02 国际商业机器公司 用于在网络中解析域名的方法、装置和系统
CN104168339A (zh) * 2014-06-30 2014-11-26 汉柏科技有限公司 防止域名劫持的方法及设备
GB2545491B (en) * 2015-12-18 2020-04-29 F Secure Corp Protection against malicious attacks
US10230743B1 (en) 2016-05-12 2019-03-12 Wells Fargo Bank, N.A. Rogue endpoint detection
US10594728B2 (en) 2016-06-29 2020-03-17 AVAST Software s.r.o. Detection of domain name system hijacking
CN106060067B (zh) * 2016-06-29 2018-12-25 上海交通大学 基于Passive DNS迭代聚类的恶意域名检测方法
US10574674B2 (en) * 2016-07-08 2020-02-25 Nec Corporation Host level detect mechanism for malicious DNS activities
CN108156262B (zh) * 2018-02-13 2019-06-25 中国联合网络通信集团有限公司 一种检查dns配置文件的有效性的方法及装置
CN110912925A (zh) * 2019-12-04 2020-03-24 北京小米移动软件有限公司 检测域名系统dns劫持的方法及装置、存储介质
CN114039943A (zh) * 2021-07-28 2022-02-11 中国建设银行股份有限公司 一种域名系统的数据处理方法及装置
CN116319113B (zh) * 2023-05-23 2023-08-11 阿里云计算有限公司 一种域名解析异常的检测方法和电子设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006526843A (ja) * 2003-04-08 2006-11-24 ジュニパー ネットワークス, インコーポレイテッド クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム
JP2007020004A (ja) * 2005-07-08 2007-01-25 Casio Comput Co Ltd ファーミング詐欺防止システム、ネットワーク端末装置及びプログラム
JP2008532133A (ja) * 2005-02-24 2008-08-14 アールエスエイ セキュリティー インコーポレーテッド Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法
JP2011049745A (ja) * 2009-08-26 2011-03-10 Toshiba Corp Dnsキャッシュ・ポイズニング攻撃を防御する装置
US7930428B2 (en) * 2008-11-11 2011-04-19 Barracuda Networks Inc Verification of DNS accuracy in cache poisoning
WO2011146217A1 (en) * 2010-05-18 2011-11-24 Amazon Technologies, Inc. Validating updates to domain name system records
US20120124087A1 (en) * 2002-10-21 2012-05-17 Arbor Networks Method and apparatus for locating naming discrepancies
JP2013519257A (ja) * 2010-02-02 2013-05-23 シマンテック コーポレーション 異常なdns名前解決を検出するための複数のソースを発信源とする集計dns情報の使用

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020093527A1 (en) 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
US7873985B2 (en) 2002-01-08 2011-01-18 Verizon Services Corp. IP based security applications using location, port and/or device identifier information
US7966661B2 (en) 2004-04-29 2011-06-21 Microsoft Corporation Network amplification attack mitigation
US7756933B2 (en) 2004-12-13 2010-07-13 Collactive Ltd. System and method for deterring rogue users from attacking protected legitimate users
US20060176822A1 (en) * 2005-02-09 2006-08-10 International Business Machines Corporation Method, system, service, and computer program product for identifying incorrect domain name to internet protocol (IP) address mappings
US7436783B2 (en) 2005-04-04 2008-10-14 Apple Inc. Method and apparatus for detecting a router that improperly responds to ARP requests
GB2425681A (en) 2005-04-27 2006-11-01 3Com Corporaton Access control by Dynamic Host Configuration Protocol snooping
US9015090B2 (en) * 2005-09-06 2015-04-21 Daniel Chien Evaluating a questionable network communication
US7716740B2 (en) 2005-10-05 2010-05-11 Alcatel Lucent Rogue access point detection in wireless networks
US7873993B2 (en) 2005-11-09 2011-01-18 Cisco Technology, Inc. Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation
US20070186276A1 (en) 2006-02-09 2007-08-09 Mcrae Matthew Auto-detection and notification of access point identity theft
US20070271220A1 (en) * 2006-05-19 2007-11-22 Chbag, Inc. System, method and apparatus for filtering web content
US8000698B2 (en) 2006-06-26 2011-08-16 Microsoft Corporation Detection and management of rogue wireless network connections
US20080060054A1 (en) 2006-09-05 2008-03-06 Srivastava Manoj K Method and system for dns-based anti-pharming
US8069483B1 (en) 2006-10-19 2011-11-29 The United States States of America as represented by the Director of the National Security Agency Device for and method of wireless intrusion detection
US7706267B2 (en) * 2007-03-06 2010-04-27 Hewlett-Packard Development Company, L.P. Network service monitoring
US7823202B1 (en) 2007-03-21 2010-10-26 Narus, Inc. Method for detecting internet border gateway protocol prefix hijacking attacks
US8219800B2 (en) 2007-06-06 2012-07-10 Cisco Technology, Inc. Secure neighbor discovery router for defending host nodes from rogue routers
US8312541B2 (en) 2007-07-17 2012-11-13 Cisco Technology, Inc. Detecting neighbor discovery denial of service attacks against a router
CN101926153A (zh) 2008-01-23 2010-12-22 艾利森电话股份有限公司 用于对网络资源进行池处理的方法和设备
US20090327487A1 (en) 2008-06-30 2009-12-31 Eric Olson Method and system for discovering dns resolvers
US8191137B2 (en) 2008-07-30 2012-05-29 International Business Machines Corporation System and method for identification and blocking of malicious use of servers
CN101420433B (zh) 2008-12-01 2013-03-13 成都市华为赛门铁克科技有限公司 防御域名系统欺骗攻击的方法及装置
US20100262688A1 (en) 2009-01-21 2010-10-14 Daniar Hussain Systems, methods, and devices for detecting security vulnerabilities in ip networks
CN101567815B (zh) * 2009-05-27 2011-05-11 清华大学 域名服务器dns放大攻击的有效检测与抵御方法
US8924519B2 (en) 2009-11-03 2014-12-30 Microsoft Corporation Automated DNS configuration with local DNS server
US8370933B1 (en) * 2009-11-24 2013-02-05 Symantec Corporation Systems and methods for detecting the insertion of poisoned DNS server addresses into DHCP servers
CN102082836B (zh) * 2009-11-30 2013-08-14 中国移动通信集团四川有限公司 一种dns安全监控系统及方法
CN102223422B (zh) * 2011-08-02 2014-07-09 杭州迪普科技有限公司 一种dns报文处理方法及网络安全设备
US20130318605A1 (en) 2012-05-24 2013-11-28 International Business Machines Corporation System for detecting rogue network protocol service providers
US9225731B2 (en) 2012-05-24 2015-12-29 International Business Machines Corporation System for detecting the presence of rogue domain name service providers through passive monitoring
US20130332986A1 (en) * 2012-06-08 2013-12-12 Bluebox Methods and apparatus for dynamically reducing virtual private network traffic from mobile devices

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120124087A1 (en) * 2002-10-21 2012-05-17 Arbor Networks Method and apparatus for locating naming discrepancies
JP2006526843A (ja) * 2003-04-08 2006-11-24 ジュニパー ネットワークス, インコーポレイテッド クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム
JP2008532133A (ja) * 2005-02-24 2008-08-14 アールエスエイ セキュリティー インコーポレーテッド Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法
JP2007020004A (ja) * 2005-07-08 2007-01-25 Casio Comput Co Ltd ファーミング詐欺防止システム、ネットワーク端末装置及びプログラム
US7930428B2 (en) * 2008-11-11 2011-04-19 Barracuda Networks Inc Verification of DNS accuracy in cache poisoning
JP2011049745A (ja) * 2009-08-26 2011-03-10 Toshiba Corp Dnsキャッシュ・ポイズニング攻撃を防御する装置
JP2013519257A (ja) * 2010-02-02 2013-05-23 シマンテック コーポレーション 異常なdns名前解決を検出するための複数のソースを発信源とする集計dns情報の使用
WO2011146217A1 (en) * 2010-05-18 2011-11-24 Amazon Technologies, Inc. Validating updates to domain name system records

Also Published As

Publication number Publication date
CN103428200A (zh) 2013-12-04
DE102013208923A1 (de) 2013-11-28
US20130318170A1 (en) 2013-11-28
DE102013208923B4 (de) 2014-10-16
US20160036845A1 (en) 2016-02-04
US9648033B2 (en) 2017-05-09
US9225731B2 (en) 2015-12-29

Similar Documents

Publication Publication Date Title
US9648033B2 (en) System for detecting the presence of rogue domain name service providers through passive monitoring
US10812501B2 (en) DGA behavior detection
US10574698B1 (en) Configuration and deployment of decoy content over a network
US20210234837A1 (en) System and method to detect and prevent Phishing attacks
Li et al. You've got vulnerability: Exploring effective vulnerability notifications
US9923961B2 (en) Integrity check of DNS server setting
US8286225B2 (en) Method and apparatus for detecting cyber threats
US9473528B2 (en) Identification of malware sites using unknown URL sites and newly registered DNS addresses
US7702772B2 (en) Discovering and determining characteristics of network proxies
US8533581B2 (en) Optimizing security seals on web pages
US11729134B2 (en) In-line detection of algorithmically generated domains
CN108063833B (zh) Http dns解析报文处理方法及装置
US20210112093A1 (en) Measuring address resolution protocol spoofing success
US20230412563A1 (en) Systems and methods for dns smart access
Skwarek et al. Characterizing vulnerability of DNS AXFR transfers with global-scale scanning
US10432646B2 (en) Protection against malicious attacks
KR20190031473A (ko) 보안 개인 서버 시스템 및 방법
Pannu et al. Exploring proxy detection methodology
WO2014059159A2 (en) Systems and methods for testing and managing defensive network devices
US20130318605A1 (en) System for detecting rogue network protocol service providers
Liu et al. Dial" N" for NXDomain: The Scale, Origin, and Security Implications of DNS Queries to Non-Existent Domains
US20230370492A1 (en) Identify and block domains used for nxns-based ddos attack
CN112995277B (zh) 访问处理方法、装置及代理服务器
Akhavan Niaki et al. Cache me outside: A new look at DNS cache probing
Lloyd et al. Towards more rigorous domain-based metrics: quantifying the prevalence and implications of “Active” Domains

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160315

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170518

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170620