JP2017534198A - ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 - Google Patents
ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 Download PDFInfo
- Publication number
- JP2017534198A JP2017534198A JP2017518888A JP2017518888A JP2017534198A JP 2017534198 A JP2017534198 A JP 2017534198A JP 2017518888 A JP2017518888 A JP 2017518888A JP 2017518888 A JP2017518888 A JP 2017518888A JP 2017534198 A JP2017534198 A JP 2017534198A
- Authority
- JP
- Japan
- Prior art keywords
- processor
- response
- size
- threshold
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005641 tunneling Effects 0.000 title description 13
- 238000000034 method Methods 0.000 title description 7
- 230000004044 response Effects 0.000 claims abstract description 42
- 230000009471 action Effects 0.000 claims abstract description 6
- 108020001568 subdomains Proteins 0.000 claims 2
- 238000012545 processing Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
Description
本出願は、2014年10月7日に出願された米国特許出願第14/508,987号の優先権を主張するものであり、この文献の内容は引用により本明細書に組み入れられる。
302 SLDのサブドメイン要求を追跡
304 符号化されたサブドメインデータのサイズを測定
306 サブドメイン要求の応答データのサイズを測定
308 比率が閾値を上回るか?
310 値が閾値を上回るか?
312 DNSトンネルと見なす
314 値が閾値を上回るか?
316 DNSデータ流出と見なす
318 対抗措置を適用
Claims (18)
- プロセッサと、
前記プロセッサに接続されたメモリと、
を備えた装置であって、前記メモリは命令を記憶し、該命令は、前記プロセッサによって実行されると、
第2レベルドメインを保存し、
前記第2レベルドメインのサブドメインに対する要求を追跡し、
符号化されたサブドメインデータのサイズを測定し、
サブドメイン要求に対する応答データのサイズを測定し、
サブドメイン要求数に対する一意のサブドメインの数の比率が第1の閾値を上回っている場合、第1の既成条件が確立されたと見なし、
前記第1の既成条件に応答して、前記サブドメインデータの前記サイズが第2の閾値を上回り、前記応答データの前記サイズが第3の閾値を上回っている場合、見なしドメイン名システムトンネル行為に対応する第2の既成条件が確立されたと判断する、
ことを特徴とする装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、前記第1の既成条件に応答して、前記サブドメインデータの前記サイズが前記第2の閾値を上回っている場合、見なしドメイン名システムデータ流出行為に対応する第3の既成条件が確立されたと判断する命令を含む、
請求項1に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、応答に対する要求の比率が約1であることを確認する命令を含む、
請求項2に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、応答データの量が特定の閾値を下回っていることを確認する命令を含む、
請求項3に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、最小パーセンテージの要求パケットが特定のバイトサイズを上回っていることを確認する命令を含む、
請求項4に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、最小パーセンテージの要求パケットが特定のバイトサイズを上回り、最小パーセンテージの応答パケットが別の特定のバイトサイズを上回ることを確認した後に、ドメイン名システムトンネル行為であると見なす命令を含む、
請求項1に記載の装置。 - 前記要求タイプは、閾値を決定するために使用される、
請求項1に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、対抗措置を適用又は発動する命令を含む、
請求項1に記載の装置。 - 前記対抗措置は、ドメインアクセス制限を含む、
請求項8に記載の装置。 - 前記対抗措置は、応答ポリシーゾーンを呼び出すことを含む、
請求項8に記載の装置。 - 前記対抗措置は、警告、通知及びログエントリを含む、
請求項8に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、送信元パケットのメトリックを収集する命令を含む、
請求項8に記載の装置。 - プロセッサと、
前記プロセッサに接続されたメモリと、
を備えた装置であって、前記メモリは命令を記憶し、該命令は、前記プロセッサによって実行されると、
第2レベルドメインを保存し、
前記第2レベルドメインのサブドメインに対する要求を追跡し、
問い合わせに対する一意の応答数を求め、
応答ペイロードの平均サイズを測定し、
一意のサブドメインが問い合わせを受けた回数が第1の閾値を上回り、問い合わせに対する一意の応答の数が第2の閾値を上回り、応答ペイロードの平均サイズが第3の閾値を上回っている場合、ドメイン名システムデータ侵入を示す条件が確立されたと判断する、
ことを特徴とする装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、一意のサブドメインが問い合わせを受けた回数を求める命令を含む、
請求項13に記載の装置。 - 前記要求タイプは、閾値を決定するために使用される、
請求項13に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、対抗措置を適用又は発動する命令を含む、
請求項13に記載の装置。 - 前記対抗措置は、ドメインアクセス制限を含む、
請求項16に記載の装置。 - 前記対抗措置は、応答ポリシーゾーンを呼び出すことを含む、
請求項16に記載の装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/508,987 | 2014-10-07 | ||
US14/508,987 US9729413B2 (en) | 2014-10-07 | 2014-10-07 | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration |
PCT/US2015/053957 WO2016057377A1 (en) | 2014-10-07 | 2015-10-05 | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017534198A true JP2017534198A (ja) | 2017-11-16 |
JP6651511B2 JP6651511B2 (ja) | 2020-02-19 |
Family
ID=55633613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017518888A Active JP6651511B2 (ja) | 2014-10-07 | 2015-10-05 | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9729413B2 (ja) |
EP (1) | EP3204857B1 (ja) |
JP (1) | JP6651511B2 (ja) |
WO (1) | WO2016057377A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019121975A (ja) * | 2018-01-10 | 2019-07-22 | 株式会社国際電気通信基礎技術研究所 | 通信方法、通信システム、mecサーバ、dnsサーバ、および、トラフィック誘導ルータ |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9843601B2 (en) * | 2011-07-06 | 2017-12-12 | Nominum, Inc. | Analyzing DNS requests for anomaly detection |
US11201848B2 (en) | 2011-07-06 | 2021-12-14 | Akamai Technologies, Inc. | DNS-based ranking of domain names |
US10742591B2 (en) | 2011-07-06 | 2020-08-11 | Akamai Technologies Inc. | System for domain reputation scoring |
US9794229B2 (en) * | 2015-04-03 | 2017-10-17 | Infoblox Inc. | Behavior analysis based DNS tunneling detection and classification framework for network security |
US10462116B1 (en) * | 2015-09-15 | 2019-10-29 | Amazon Technologies, Inc. | Detection of data exfiltration |
US10075458B2 (en) * | 2016-04-29 | 2018-09-11 | International Business Machines Corporation | Cognitive and contextual detection of malicious DNS |
FR3053195A1 (fr) * | 2016-06-23 | 2017-12-29 | Orange | Procede et dispositif de controle de flux de donnees transmis selon le protocole dns (domain name system). |
US10097568B2 (en) | 2016-08-25 | 2018-10-09 | International Business Machines Corporation | DNS tunneling prevention |
US10230760B2 (en) | 2016-10-24 | 2019-03-12 | Verisign, Inc. | Real-time cloud-based detection and mitigation of DNS data exfiltration and DNS tunneling |
US10412107B2 (en) | 2017-03-22 | 2019-09-10 | Microsoft Technology Licensing, Llc | Detecting domain name system (DNS) tunneling based on DNS logs and network data |
US11153330B1 (en) | 2017-11-22 | 2021-10-19 | Cisco Technology, Inc. | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis |
EP3651426A1 (en) * | 2018-11-06 | 2020-05-13 | Efficient IP SAS | Method and system for detecting and blocking data transfer using dns protocol |
US11595357B2 (en) * | 2019-10-23 | 2023-02-28 | Cisco Technology, Inc. | Identifying DNS tunneling domain names by aggregating features per subdomain |
US11606385B2 (en) * | 2020-02-13 | 2023-03-14 | Palo Alto Networks (Israel Analytics) Ltd. | Behavioral DNS tunneling identification |
US11811820B2 (en) | 2020-02-24 | 2023-11-07 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious C and C channel to fixed IP detection |
CN114124367B (zh) * | 2020-08-31 | 2023-03-24 | Oppo广东移动通信有限公司 | 一种数据传输方法、装置及存储介质 |
US11916942B2 (en) | 2020-12-04 | 2024-02-27 | Infoblox Inc. | Automated identification of false positives in DNS tunneling detectors |
US20220407870A1 (en) * | 2021-06-17 | 2022-12-22 | Allot Ltd. | System, Device, and Method of Detecting and Mitigating DNS Tunneling Attacks in a Communication Network |
US20230344660A1 (en) * | 2022-04-20 | 2023-10-26 | EllansaLabs Inc. | System and Method for Etching Internal Surfaces of Transparent Gemstones with Information Pertaining to a Blockchain |
US11664986B2 (en) * | 2022-04-20 | 2023-05-30 | EllansaLabs Inc. | System and method for etching internal surfaces of transparent gemstones with information pertaining to a blockchain |
US20230388322A1 (en) * | 2022-05-26 | 2023-11-30 | Blackberry Limited | Domain name system tunneling detection |
US11968222B2 (en) | 2022-07-05 | 2024-04-23 | Palo Alto Networks (Israel Analytics) Ltd. | Supply chain attack detection |
US11867637B2 (en) | 2022-12-15 | 2024-01-09 | EllansaLabs Inc. | Systems for authentication and related devices and methods |
US11783145B2 (en) | 2022-12-21 | 2023-10-10 | EllansaLabs Inc. | Systems for authentication and related devices and methods |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007251282A (ja) * | 2006-03-13 | 2007-09-27 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
US7970878B1 (en) * | 2005-11-16 | 2011-06-28 | Cisco Technology, Inc. | Method and apparatus for limiting domain name server transaction bandwidth |
JP2011199507A (ja) * | 2010-03-18 | 2011-10-06 | Lac Co Ltd | 攻撃検出装置、攻撃検出方法、及びプログラム |
US20120233311A1 (en) * | 2011-03-10 | 2012-09-13 | Verizon Patent And Licensing, Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
BR0012639A (pt) | 1999-07-09 | 2002-05-28 | Mark J Harris | Sistema de endereçamento de rede e método usando números telefônicos |
US7530105B2 (en) | 2006-03-21 | 2009-05-05 | 21St Century Technologies, Inc. | Tactical and strategic attack detection and prediction |
US7441429B1 (en) * | 2006-09-28 | 2008-10-28 | Narus, Inc. | SIP-based VoIP traffic behavior profiling |
US8544100B2 (en) | 2010-04-16 | 2013-09-24 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
US9003518B2 (en) | 2010-09-01 | 2015-04-07 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert DNS tunnels |
US9049229B2 (en) * | 2010-10-28 | 2015-06-02 | Verisign, Inc. | Evaluation of DNS pre-registration data to predict future DNS traffic |
US8819817B2 (en) * | 2011-05-25 | 2014-08-26 | Apple Inc. | Methods and apparatus for blocking usage tracking |
-
2014
- 2014-10-07 US US14/508,987 patent/US9729413B2/en active Active
-
2015
- 2015-10-05 WO PCT/US2015/053957 patent/WO2016057377A1/en active Application Filing
- 2015-10-05 EP EP15849113.4A patent/EP3204857B1/en active Active
- 2015-10-05 JP JP2017518888A patent/JP6651511B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7970878B1 (en) * | 2005-11-16 | 2011-06-28 | Cisco Technology, Inc. | Method and apparatus for limiting domain name server transaction bandwidth |
JP2007251282A (ja) * | 2006-03-13 | 2007-09-27 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
JP2011199507A (ja) * | 2010-03-18 | 2011-10-06 | Lac Co Ltd | 攻撃検出装置、攻撃検出方法、及びプログラム |
US20120233311A1 (en) * | 2011-03-10 | 2012-09-13 | Verizon Patent And Licensing, Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
JP2014519751A (ja) * | 2011-05-24 | 2014-08-14 | パロ・アルト・ネットワークス・インコーポレーテッド | ドメイン名をフィルタリングするためのdns通信の使用 |
Non-Patent Citations (1)
Title |
---|
GREG FARHAM: "Detecting DNS Tunneling", SANS INSTITUTE READING ROOM, JPN6019022844, 25 February 2013 (2013-02-25), ISSN: 0004058934 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019121975A (ja) * | 2018-01-10 | 2019-07-22 | 株式会社国際電気通信基礎技術研究所 | 通信方法、通信システム、mecサーバ、dnsサーバ、および、トラフィック誘導ルータ |
JP6999931B2 (ja) | 2018-01-10 | 2022-01-19 | 株式会社国際電気通信基礎技術研究所 | 通信方法、通信システム、mecサーバ、dnsサーバ、および、トラフィック誘導ルータ |
Also Published As
Publication number | Publication date |
---|---|
EP3204857A4 (en) | 2018-05-16 |
US9729413B2 (en) | 2017-08-08 |
WO2016057377A1 (en) | 2016-04-14 |
EP3204857A1 (en) | 2017-08-16 |
EP3204857B1 (en) | 2021-12-15 |
JP6651511B2 (ja) | 2020-02-19 |
US20160099852A1 (en) | 2016-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6651511B2 (ja) | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
EP3433993B1 (en) | Secure resource-based policy | |
JP6483819B2 (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
US9648033B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
EP3306900B1 (en) | Dns routing for improved network security | |
BR102012010346A2 (pt) | Servidor de assinatura de extensão de segurança de sistema de nome de domínio (dnssec) e método de criptografar informações de sistema de nome de domínio (dns) utilizando o mesmo | |
Hao et al. | {End-Users} get maneuvered: Empirical analysis of redirection hijacking in content delivery networks | |
US10341286B2 (en) | Methods and systems for updating domain name service (DNS) resource records | |
Shulman et al. | Towards security of internet naming infrastructure | |
US11444931B1 (en) | Managing name server data | |
US11777960B2 (en) | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis | |
Kintis et al. | Understanding the privacy implications of ecs | |
US20230412563A1 (en) | Systems and methods for dns smart access | |
US20140075553A1 (en) | Domain name system rebinding attack protection | |
US11811806B2 (en) | System and apparatus for internet traffic inspection via localized DNS caching | |
US10057210B2 (en) | Transaction-based network layer address rotation | |
KR101645222B1 (ko) | 어드밴스드 도메인 네임 시스템 및 운용 방법 | |
Shulman et al. | DNSSEC for cyber forensics | |
WO2017163104A1 (en) | System and method for mitigating dns attacks | |
Hama Amin et al. | Preventing DNS misuse for Reflection/Amplification attacks with minimal computational overhead on the Internet. | |
Randall | Names to Conjure With: Measuring and Combating Online Adversaries by Examining Their Use of Naming Systems | |
Dolmans | Preventing DNS Amplification Attacks using white-and greylisting | |
Ciric et al. | The Concept of Consumer IP Address Preservation Behind the Load Balancer | |
Rafiee et al. | Challenges and Solutions for DNS Security in IPv6 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170608 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181003 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190612 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190624 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190918 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190924 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191223 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6651511 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |