JP2017534198A - ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 - Google Patents
ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 Download PDFInfo
- Publication number
- JP2017534198A JP2017534198A JP2017518888A JP2017518888A JP2017534198A JP 2017534198 A JP2017534198 A JP 2017534198A JP 2017518888 A JP2017518888 A JP 2017518888A JP 2017518888 A JP2017518888 A JP 2017518888A JP 2017534198 A JP2017534198 A JP 2017534198A
- Authority
- JP
- Japan
- Prior art keywords
- processor
- response
- size
- threshold
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005641 tunneling Effects 0.000 title description 13
- 238000000034 method Methods 0.000 title description 7
- 230000004044 response Effects 0.000 claims abstract description 42
- 230000009471 action Effects 0.000 claims abstract description 6
- 108020001568 subdomains Proteins 0.000 claims 2
- 238000012545 processing Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
装置がプロセッサとプロセッサに接続されたメモリとを含む。メモリは命令を記憶し、この命令はプロセッサによって実行されると、第2レベルドメインを保存し、第2レベルドメインのサブドメインに対する要求を追跡し、符号化されたサブドメインデータのサイズを決定し、サブドメイン要求のための応答データのサイズを決定する。サブドメイン要求の数に対する一意のサブドメインの数の比率が第1の閾値を上回っている場合、第1の既成条件が確立される。第1の既成条件に応答して、サブドメインデータのサイズが第2の閾値を上回り、応答データのサイズが第3の閾値を上回っている場合、見なしドメイン名システムトンネル行為に対応する第2の既成条件が確立されたと判断する。第1の既成条件に応答して、サブドメインデータのサイズが第2の閾値を上回っている場合、見なしドメイン名システムデータ流出行為に対応する第3の既成条件が確立されたと判断する。【選択図】図3
Description
〔関連出願との相互参照〕
本出願は、2014年10月7日に出願された米国特許出願第14/508,987号の優先権を主張するものであり、この文献の内容は引用により本明細書に組み入れられる。
本出願は、2014年10月7日に出願された米国特許出願第14/508,987号の優先権を主張するものであり、この文献の内容は引用により本明細書に組み入れられる。
本発明は、一般にコンピュータネットワークにおけるトラフィック処理に関する。具体的には、本発明は、ドメイン名システムのトンネル、流出(exfiltration)及び侵入(infiltration)を識別する技術に関する。
ドメイン名システム(DNS)は、インターネット又はプライベートネットワークに接続された装置のための階層的な分散型ネーミングシステムである。DNSは、記憶したドメイン名を、ローカル装置に必要な数値的IPアドレスに容易に変換する。例えば、www.example.comというドメイン名は、93.184.216.119(IPv4の場合)、及び2606:2800:220:6d:26bf:1447:1079:aa7(IPv6の場合)というアドレスに変換することができる。
ドメイン名は、ドットによって連結され区切られた、ラベルと呼ばれる1又は2以上の部分を含む。www.example.comというドメインでは、最も右側のラベルが最上位ドメインを表し、この場合は「com」が最上位ドメインである。階層は、右から左に移行する。左側の各ラベルは、右側のドメインのサブドメインを指定する。同じ例によれば、「example」というラベルが「com」ドメインのサブドメインであり、「www」が「example.com」のサブドメインである。サブドメインは、最大127のレベルを有することができる。
DNSは、不正目的で使用されることがある。ネットワーク100について検討する。攻撃装置(機械又はマシン)101は、脆弱性攻撃のための指令及び制御センターとして動作する。具体的には、攻撃装置101は、ネットワーク102を使用して、一連の脆弱性のある装置104_1、104_2〜104_Nにアクセスする。装置104_Nは、ローカルネットワークインフラ106(例えば、インターネットサービスプロバイダ又はISP)内に存在する。ネットワーク106内には、オープンリゾルバ107及びネームサーバ108も存在する。ネットワーク106は、信頼できるネームサーバであるネームサーバ112に結合された別のネットワーク110に接続されている。信頼できるネームサーバ112は、サポートされているドメインに対する責任がある。信頼できるネームサーバ112は、サブドメインに関する権限を、再帰的ネームサーバ108などの他のネームサーバに委託することができる。
攻撃装置101、及び/又は脆弱性のある装置104のうちの1つ又は2つ以上は、DNSトンネルを形成することができる。すなわち、DNSプロトコルを使用して、ハイパーテキスト転送プロトコル(HTTP)又はセキュアソケットレイヤ(SSL)プロトコルなどの他のプロトコルへのトンネリングを行う。DNSを用いたファイル転送などの、データ漏洩であるデータ流出にも同じ装置を使用することができる。これらは、有料WiFiホットスポットをうまく避け、又は他のネットワーク保護方法を迂回してリソースにアクセスする一般的技術である。DNSの設計では、結果が未だローカルにキャッシュされていない場合、DNSリゾルバインフラがインターネット上の信頼できるサーバと交信することによって所与のドメインに関する情報を発見しようと試みる必要があるので、DNSは、トンネリングを行うのに便利なプロトコルである。このことは、DNS要求を、特定のサーバへの接続を生じるキャッシュミスを強制するように細工できることを意味する。
DNSのトンネリング技術及び流出技術は、一意のサブドメイン及びリソースレコード(RR)応答を細工することによってこれらのアーキテクチャ構造を利用する。通常、DNSトンネリングシステムは、送信ペイロードを、信頼できるサーバになり済ましたトンネリングサーバに送られる(例えば、ベース32)符号化されたサブドメインとして符号化する。通常、サーバからの応答は、RRに(例えば、ベース32)符号化される。通常は、TXTレコード又はCNAMEレコードを用いてペイロードがクライアントに戻され、このペイロードにセッションデータが詰め込まれる。他のレコードが利用されることもある。この機能を容易にする、DNSトンネリングに利用可能なクライアント/サーバシステムは数多く存在する。
同様に、データ流出では、符号化されたサブドメインにペイロードを詰め込む。トンネリングとは対照的に、通常、応答は非常に小さく、セッション又は受信通知を維持するために使用される。DNSは、ユーザデータグラムプロトコル(UDP)を使用しているため損失を伴うことがあり、通常、応答は、最後のデータパケットを正常に受け取ったことを示す。
データ侵入も同様の技術を用いて行うことができ、この場合、ペイロードがRR応答内で符号化され、サブドメインでの応答はセッションデータにすぎない。
このため、DNSトンネリング、流出及び侵入を識別する技術を確立することが望ましいと思われる。
装置が、プロセッサと、プロセッサに接続されたメモリとを含む。メモリは命令を記憶し、この命令は、プロセッサによって実行されると、第2レベルドメインを保存し、第2レベルドメインのサブドメインに対する要求を追跡し、符号化されたサブドメインデータのサイズを決定し、サブドメイン要求のための応答データのサイズを決定する。サブドメイン要求の数に対する一意のサブドメインの数の比率が第1の閾値を上回っている場合、第1の既成条件が確立される。第1の既成条件に応答して、サブドメインデータのサイズが第2の閾値を上回り、応答データのサイズが第3の閾値を上回っている場合、見なしドメイン名システムトンネル行為に対応する第2の既成条件が確立されたと判断する。第1の既成条件に応答して、サブドメインデータのサイズが第2の閾値を上回っている場合、見なしドメイン名システムデータ流出行為に対応する第3の既成条件が確立されたと判断する。
本発明は、以下の詳細な説明を添付図面と併せて読むことによってさらに完全に理解される。
図面の複数のビュー全体を通じて、同じ参照符号は対応する要素を示す。
図2に、本発明の実施形態に従って構成された装置200を示す。装置200は、バス214を介して入力/出力装置212に接続された中央処理装置210などの標準的な構成要素を含む。入力/出力装置212は、キーボード、マウス及びタッチ式ディスプレイなどを含むことができる。バス214には、ネットワークインターフェイス回路216も接続される。ネットワークインターフェイス回路216は、有線ネットワークと無線ネットワークのあらゆる組み合わせとすることができるネットワークへの接続性を提供する。バス214には、メモリ220も接続される。メモリ220は、本発明の動作を実行するための、中央処理装置210によって実行される命令を記憶する。1つの実施形態では、メモリ220が、DNSトンネル行為を識別する命令を含むDNSトンネル識別子222を記憶する。メモリ220は、DNSデータ流出行為を識別する命令を含むDNSデータ流出モジュール224を記憶することもできる。メモリ220は、DNSデータ侵入行為を識別する命令を含むDNSデータ侵入識別子226も記憶する。最後に、メモリ228は、識別された不正行為に応答して1又は2以上の対抗措置を行う命令を含む対抗措置モジュール228を記憶する。装置200は、特定の行為の識別に専念することができる。或いは、モジュール222、224、226及び/又は228を再帰的ネームサーバ又はその他のネットワーク接続リソースに組み込むこともできる。
図3に、DNSトンネル識別子222及びDNSデータ流出識別子224の実施形態に関連する処理動作を示す。最初にDNS要求を受け取り、第2レベルドメイン(SLD)を保存する(300)。例えば、「example.com」というSLDを保存することができる。このSLDの評判エントリを記録することもできる。abcdefg.example.comというドメイン例について検討する。SLDは、example.comである。先頭に追加されたabcdefgというサブドメインを濃度集合と比較する。この値が既に濃度集合内に存在する場合、濃度集合は変更されない。存在しない場合、このサブドメインを濃度集合に追加する。濃度集合についてのあらゆる問い合わせは、集合内の一意のエントリの数を表す値を戻す。
次に、SLDの一意のサブドメイン要求の数を追跡する(302)。この動作では、スライディング時間ウィンドウを使用することができる。一意のサブドメインの例としては、abscdefg.example.com及びhijklmn.example.comが挙げられる。
次に、符号化されたサブドメインデータのサイズを測定する(304)。次に、各一意のサブドメイン要求の応答データのサイズを測定する(306)。次に、比率を閾値と比較する(308)。具体的には、要求数に対する一意のサブドメインの数の比率を、0.65又は約0.65の値の第1の閾値と比較する。閾値を上回っていない場合(308−「いいえ」)、制御はブロック302に戻る。閾値を上回っている場合(308−「はい」)、サブドメインデータのサイズを第2の閾値と比較し、応答データのサイズを第3の閾値と比較する。一例として、第2の閾値は50〜120とすることができ、62又は約62に設定することができる。一例として、第3の閾値は100〜500とすることができ、112又は約112に設定することができる。
第2及び第3の閾値を上回っている場合(310−「はい」)、この行為はDNSトンネルと見なされる(312)。ブロック310において検証した両方の値が満たされていない場合(310−「いいえ」)、再びサブドメインデータのサイズを第2の閾値と比較すれる。サブドメインデータのサイズが第2の閾値を上回っている場合(314−「はい」)、この行為はDNSデータ流出と見なされる(316)。そうでなければ(314−「いいえ」)、制御はブロック302に戻る。流出の識別では、応答に対する要求の比率のチェックを必要とすることもでき、この比率は1に近いはずである。応答データの量が一定の閾値を下回っていることを確認するチェックを行うこともできる。図3の処理は、最小パケットサイズ比率のチェックを含むこともできる。例えば、50バイトを上回る要求の数が65%よりも多く、100バイトを上回る応答の数が50%よりも多い場合には、DNSトンネルが存在する。流出の場合には、最小応答パケットサイズの閾値が無視される。
見なしDNSトンネル又は見なしDNSデータ流出の場合には、対抗措置を適用することができる(318)。対抗措置モジュール228を使用して、対抗措置を適用又は発動することができる。例えば、応答ポリシーゾーン(RPZ)は、DNS再帰的リゾルバにおいてドメイン名情報ゾーンのカスタマイズ処理を可能にするために使用される機構である。悪意のあるドメインが報告され始めた時にこれらのドメインからの保護に役立つように、DNS RPZフィードを用いた商用サービスが利用可能である。対抗措置は、DNSトンネリング、流出又は侵入に関連する既知の不正ドメインをブロックすることを含むことができる。
図3の処理は、問い合わせのSLD及び送信元IPアドレスに関連して実行することができる。送信元IPアドレスは、わずかに低い閾値を使用することができる。ドメインを問い合わせる送信元IPアドレスの濃度を追跡することができる。要求数を一意のIPアドレスの数で除算することができる。これにより、一意のIPアドレス当たりの要求数が得られ、この数は、ブロック308、310及び314の動作の実行前に閾値を上回らなければならない。
流出行為の識別の変形例を使用することもできる。例えば、総応答量が総要求量未満でなければならないという条件を指定することができる。流出と見なされるドメイン/IPの要求量/応答量の閾値は、トンネリングに使用される閾値とは異なることができる。要求数に対する一意のサブドメインの数の比率の閾値は、さらに高くすることもできる。
トンネリング検出のためのさらなる改善は、さらに粒度の高い閾値が適用されるように、(リソースレコードが要求されている)特定の要求タイプを追跡することを含むことができる。Aレコードについての問い合わせは、はるかに大きなペイロード限界を有するCNAME、TXT、又はANY要求に比べてRRのデータ空間が制限されるという理由で異なる閾値を有することができる。
図4に、DNSデータ侵入識別子226の実施形態によって行われる処理動作を示す。最初の動作400及び402は、図3に関連して説明した動作300及び302に対応する。次に、いくつかの値を収集する。具体的には、一意のサブドメインが問い合わせを受けた回数を求め(404)、一意の応答の数を求め(406)、応答ペイロードの平均サイズを求める(408)。収集された値を特定の閾値と比較する。一例として、一意のサブドメインが問い合わせを受ける閾値は、0〜1とすることができ、0.25又は約0.25に設定することができる。一意の応答の閾値は、0.5〜1.0とすることができ、0.65又は約0.65に設定することができる。平均サイズの応答ペイロードの閾値は、50〜112とすることができ、62又は約62に設定することができる。各閾値を上回っている場合(410−「はい」)、トラフィックはDNSデータ侵入と見なされる。そうでなければ(410−「いいえ」)、制御はブロック402に戻る。このトラフィックには、対抗措置を適用することができる(414)。
本発明の実施形態は、様々なコンピュータ実装動作を実行するためのコンピュータコードを有する非一時的コンピュータ可読記憶媒体を含むコンピュータストレージ製品に関する。これらの媒体及びコンピュータコードは、本発明のために特別に設計され構築されたものとすることも、或いはコンピュータソフトウェア技術の当業者に周知の利用可能な種類のものとすることもできる。コンピュータ可読媒体の例としては、以下に限定されるわけではないが、磁気媒体、光学媒体、磁気光学媒体、並びに特定用途向け集積回路(「ASIC」)、プログラマブル論理装置(「PLD」)、ROMデバイス及びRAMデバイスなどの、プログラムコードを記憶して実行するように特別に構成されたハードウェア装置が挙げられる。コンピュータコードの例としては、コンパイラなどによって生成されたマシンコード、及びコンピュータがインタープリタを用いて実行する高水準コードを含むファイルが挙げられる。例えば、本発明の実施形態は、JAVA(登録商標)、C++、又はその他のオブジェクト指向プログラミング言語及び開発ツールを用いて実装することができる。本発明の別の実施形態は、マシン実行可能ソフトウェア命令の代わりに、又はマシン実行可能ソフトウェア命令と組み合わせて、ハードワイヤード回路で実装することもできる。
上述の説明では、本発明を完全に理解できるように説明目的で特定の専門用語を使用している。しかしながら、当業者には、本発明を実施するために特定の詳細は不要であることが明らかであろう。従って、上述した本発明の特定の実施形態についての説明は、例示及び説明を目的として示したものである。これらの説明は、完全なものでも、或いは開示した厳密な形態に本発明を限定するものではなく、上記の教示に照らして多くの修正及び変形が可能である。これらの実施形態は、本発明の原理及びその実際の応用を最良に説明することにより、他の当業者が本発明及び様々な実施形態を考えられる特定の使用に適した形で様々に修正して最良に利用できるように選択して説明したものである。本発明の範囲は、以下の特許請求の範囲及びその同等物によって定められるように意図される。
300 SLDを保存
302 SLDのサブドメイン要求を追跡
304 符号化されたサブドメインデータのサイズを測定
306 サブドメイン要求の応答データのサイズを測定
308 比率が閾値を上回るか?
310 値が閾値を上回るか?
312 DNSトンネルと見なす
314 値が閾値を上回るか?
316 DNSデータ流出と見なす
318 対抗措置を適用
302 SLDのサブドメイン要求を追跡
304 符号化されたサブドメインデータのサイズを測定
306 サブドメイン要求の応答データのサイズを測定
308 比率が閾値を上回るか?
310 値が閾値を上回るか?
312 DNSトンネルと見なす
314 値が閾値を上回るか?
316 DNSデータ流出と見なす
318 対抗措置を適用
Claims (18)
- プロセッサと、
前記プロセッサに接続されたメモリと、
を備えた装置であって、前記メモリは命令を記憶し、該命令は、前記プロセッサによって実行されると、
第2レベルドメインを保存し、
前記第2レベルドメインのサブドメインに対する要求を追跡し、
符号化されたサブドメインデータのサイズを測定し、
サブドメイン要求に対する応答データのサイズを測定し、
サブドメイン要求数に対する一意のサブドメインの数の比率が第1の閾値を上回っている場合、第1の既成条件が確立されたと見なし、
前記第1の既成条件に応答して、前記サブドメインデータの前記サイズが第2の閾値を上回り、前記応答データの前記サイズが第3の閾値を上回っている場合、見なしドメイン名システムトンネル行為に対応する第2の既成条件が確立されたと判断する、
ことを特徴とする装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、前記第1の既成条件に応答して、前記サブドメインデータの前記サイズが前記第2の閾値を上回っている場合、見なしドメイン名システムデータ流出行為に対応する第3の既成条件が確立されたと判断する命令を含む、
請求項1に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、応答に対する要求の比率が約1であることを確認する命令を含む、
請求項2に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、応答データの量が特定の閾値を下回っていることを確認する命令を含む、
請求項3に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、最小パーセンテージの要求パケットが特定のバイトサイズを上回っていることを確認する命令を含む、
請求項4に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、最小パーセンテージの要求パケットが特定のバイトサイズを上回り、最小パーセンテージの応答パケットが別の特定のバイトサイズを上回ることを確認した後に、ドメイン名システムトンネル行為であると見なす命令を含む、
請求項1に記載の装置。 - 前記要求タイプは、閾値を決定するために使用される、
請求項1に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、対抗措置を適用又は発動する命令を含む、
請求項1に記載の装置。 - 前記対抗措置は、ドメインアクセス制限を含む、
請求項8に記載の装置。 - 前記対抗措置は、応答ポリシーゾーンを呼び出すことを含む、
請求項8に記載の装置。 - 前記対抗措置は、警告、通知及びログエントリを含む、
請求項8に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、送信元パケットのメトリックを収集する命令を含む、
請求項8に記載の装置。 - プロセッサと、
前記プロセッサに接続されたメモリと、
を備えた装置であって、前記メモリは命令を記憶し、該命令は、前記プロセッサによって実行されると、
第2レベルドメインを保存し、
前記第2レベルドメインのサブドメインに対する要求を追跡し、
問い合わせに対する一意の応答数を求め、
応答ペイロードの平均サイズを測定し、
一意のサブドメインが問い合わせを受けた回数が第1の閾値を上回り、問い合わせに対する一意の応答の数が第2の閾値を上回り、応答ペイロードの平均サイズが第3の閾値を上回っている場合、ドメイン名システムデータ侵入を示す条件が確立されたと判断する、
ことを特徴とする装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、一意のサブドメインが問い合わせを受けた回数を求める命令を含む、
請求項13に記載の装置。 - 前記要求タイプは、閾値を決定するために使用される、
請求項13に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、対抗措置を適用又は発動する命令を含む、
請求項13に記載の装置。 - 前記対抗措置は、ドメインアクセス制限を含む、
請求項16に記載の装置。 - 前記対抗措置は、応答ポリシーゾーンを呼び出すことを含む、
請求項16に記載の装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/508,987 | 2014-10-07 | ||
| US14/508,987 US9729413B2 (en) | 2014-10-07 | 2014-10-07 | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration |
| PCT/US2015/053957 WO2016057377A1 (en) | 2014-10-07 | 2015-10-05 | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017534198A true JP2017534198A (ja) | 2017-11-16 |
| JP6651511B2 JP6651511B2 (ja) | 2020-02-19 |
Family
ID=55633613
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017518888A Active JP6651511B2 (ja) | 2014-10-07 | 2015-10-05 | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9729413B2 (ja) |
| EP (1) | EP3204857B1 (ja) |
| JP (1) | JP6651511B2 (ja) |
| WO (1) | WO2016057377A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019121975A (ja) * | 2018-01-10 | 2019-07-22 | 株式会社国際電気通信基礎技術研究所 | 通信方法、通信システム、mecサーバ、dnsサーバ、および、トラフィック誘導ルータ |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9843601B2 (en) * | 2011-07-06 | 2017-12-12 | Nominum, Inc. | Analyzing DNS requests for anomaly detection |
| US11201848B2 (en) | 2011-07-06 | 2021-12-14 | Akamai Technologies, Inc. | DNS-based ranking of domain names |
| US10742591B2 (en) | 2011-07-06 | 2020-08-11 | Akamai Technologies Inc. | System for domain reputation scoring |
| US9794229B2 (en) * | 2015-04-03 | 2017-10-17 | Infoblox Inc. | Behavior analysis based DNS tunneling detection and classification framework for network security |
| US10462116B1 (en) * | 2015-09-15 | 2019-10-29 | Amazon Technologies, Inc. | Detection of data exfiltration |
| US10075458B2 (en) * | 2016-04-29 | 2018-09-11 | International Business Machines Corporation | Cognitive and contextual detection of malicious DNS |
| FR3053195A1 (fr) * | 2016-06-23 | 2017-12-29 | Orange | Procede et dispositif de controle de flux de donnees transmis selon le protocole dns (domain name system). |
| US10097568B2 (en) | 2016-08-25 | 2018-10-09 | International Business Machines Corporation | DNS tunneling prevention |
| US10230760B2 (en) | 2016-10-24 | 2019-03-12 | Verisign, Inc. | Real-time cloud-based detection and mitigation of DNS data exfiltration and DNS tunneling |
| US10412107B2 (en) | 2017-03-22 | 2019-09-10 | Microsoft Technology Licensing, Llc | Detecting domain name system (DNS) tunneling based on DNS logs and network data |
| US11153330B1 (en) | 2017-11-22 | 2021-10-19 | Cisco Technology, Inc. | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis |
| EP3651426A1 (en) * | 2018-11-06 | 2020-05-13 | Efficient IP SAS | Method and system for detecting and blocking data transfer using dns protocol |
| US11595357B2 (en) * | 2019-10-23 | 2023-02-28 | Cisco Technology, Inc. | Identifying DNS tunneling domain names by aggregating features per subdomain |
| US11606385B2 (en) * | 2020-02-13 | 2023-03-14 | Palo Alto Networks (Israel Analytics) Ltd. | Behavioral DNS tunneling identification |
| US11811820B2 (en) | 2020-02-24 | 2023-11-07 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious C and C channel to fixed IP detection |
| CN114124367B (zh) * | 2020-08-31 | 2023-03-24 | Oppo广东移动通信有限公司 | 一种数据传输方法、装置及存储介质 |
| US11916942B2 (en) | 2020-12-04 | 2024-02-27 | Infoblox Inc. | Automated identification of false positives in DNS tunneling detectors |
| US20220407870A1 (en) * | 2021-06-17 | 2022-12-22 | Allot Ltd. | System, Device, and Method of Detecting and Mitigating DNS Tunneling Attacks in a Communication Network |
| US20230344660A1 (en) * | 2022-04-20 | 2023-10-26 | EllansaLabs Inc. | System and Method for Etching Internal Surfaces of Transparent Gemstones with Information Pertaining to a Blockchain |
| US11664986B2 (en) * | 2022-04-20 | 2023-05-30 | EllansaLabs Inc. | System and method for etching internal surfaces of transparent gemstones with information pertaining to a blockchain |
| US20230388322A1 (en) * | 2022-05-26 | 2023-11-30 | Blackberry Limited | Domain name system tunneling detection |
| US11968222B2 (en) | 2022-07-05 | 2024-04-23 | Palo Alto Networks (Israel Analytics) Ltd. | Supply chain attack detection |
| US11867637B2 (en) | 2022-12-15 | 2024-01-09 | EllansaLabs Inc. | Systems for authentication and related devices and methods |
| US11783145B2 (en) | 2022-12-21 | 2023-10-10 | EllansaLabs Inc. | Systems for authentication and related devices and methods |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007251282A (ja) * | 2006-03-13 | 2007-09-27 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
| US7970878B1 (en) * | 2005-11-16 | 2011-06-28 | Cisco Technology, Inc. | Method and apparatus for limiting domain name server transaction bandwidth |
| JP2011199507A (ja) * | 2010-03-18 | 2011-10-06 | Lac Co Ltd | 攻撃検出装置、攻撃検出方法、及びプログラム |
| US20120233311A1 (en) * | 2011-03-10 | 2012-09-13 | Verizon Patent And Licensing, Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
| US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR0012639A (pt) | 1999-07-09 | 2002-05-28 | Mark J Harris | Sistema de endereçamento de rede e método usando números telefônicos |
| US7530105B2 (en) | 2006-03-21 | 2009-05-05 | 21St Century Technologies, Inc. | Tactical and strategic attack detection and prediction |
| US7441429B1 (en) * | 2006-09-28 | 2008-10-28 | Narus, Inc. | SIP-based VoIP traffic behavior profiling |
| US8544100B2 (en) | 2010-04-16 | 2013-09-24 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
| US9003518B2 (en) | 2010-09-01 | 2015-04-07 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert DNS tunnels |
| US9049229B2 (en) * | 2010-10-28 | 2015-06-02 | Verisign, Inc. | Evaluation of DNS pre-registration data to predict future DNS traffic |
| US8819817B2 (en) * | 2011-05-25 | 2014-08-26 | Apple Inc. | Methods and apparatus for blocking usage tracking |
-
2014
- 2014-10-07 US US14/508,987 patent/US9729413B2/en active Active
-
2015
- 2015-10-05 WO PCT/US2015/053957 patent/WO2016057377A1/en active Application Filing
- 2015-10-05 EP EP15849113.4A patent/EP3204857B1/en active Active
- 2015-10-05 JP JP2017518888A patent/JP6651511B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7970878B1 (en) * | 2005-11-16 | 2011-06-28 | Cisco Technology, Inc. | Method and apparatus for limiting domain name server transaction bandwidth |
| JP2007251282A (ja) * | 2006-03-13 | 2007-09-27 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
| JP2011199507A (ja) * | 2010-03-18 | 2011-10-06 | Lac Co Ltd | 攻撃検出装置、攻撃検出方法、及びプログラム |
| US20120233311A1 (en) * | 2011-03-10 | 2012-09-13 | Verizon Patent And Licensing, Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
| US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
| JP2014519751A (ja) * | 2011-05-24 | 2014-08-14 | パロ・アルト・ネットワークス・インコーポレーテッド | ドメイン名をフィルタリングするためのdns通信の使用 |
Non-Patent Citations (1)
| Title |
|---|
| GREG FARHAM: "Detecting DNS Tunneling", SANS INSTITUTE READING ROOM, JPN6019022844, 25 February 2013 (2013-02-25), ISSN: 0004058934 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019121975A (ja) * | 2018-01-10 | 2019-07-22 | 株式会社国際電気通信基礎技術研究所 | 通信方法、通信システム、mecサーバ、dnsサーバ、および、トラフィック誘導ルータ |
| JP6999931B2 (ja) | 2018-01-10 | 2022-01-19 | 株式会社国際電気通信基礎技術研究所 | 通信方法、通信システム、mecサーバ、dnsサーバ、および、トラフィック誘導ルータ |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3204857A4 (en) | 2018-05-16 |
| US9729413B2 (en) | 2017-08-08 |
| WO2016057377A1 (en) | 2016-04-14 |
| EP3204857A1 (en) | 2017-08-16 |
| EP3204857B1 (en) | 2021-12-15 |
| JP6651511B2 (ja) | 2020-02-19 |
| US20160099852A1 (en) | 2016-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6651511B2 (ja) | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| EP3433993B1 (en) | Secure resource-based policy | |
| JP6483819B2 (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
| US9648033B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
| EP3306900B1 (en) | Dns routing for improved network security | |
| BR102012010346A2 (pt) | Servidor de assinatura de extensão de segurança de sistema de nome de domínio (dnssec) e método de criptografar informações de sistema de nome de domínio (dns) utilizando o mesmo | |
| Hao et al. | {End-Users} get maneuvered: Empirical analysis of redirection hijacking in content delivery networks | |
| US10341286B2 (en) | Methods and systems for updating domain name service (DNS) resource records | |
| Shulman et al. | Towards security of internet naming infrastructure | |
| US11444931B1 (en) | Managing name server data | |
| US11777960B2 (en) | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis | |
| Kintis et al. | Understanding the privacy implications of ecs | |
| US20230412563A1 (en) | Systems and methods for dns smart access | |
| US20140075553A1 (en) | Domain name system rebinding attack protection | |
| US11811806B2 (en) | System and apparatus for internet traffic inspection via localized DNS caching | |
| US10057210B2 (en) | Transaction-based network layer address rotation | |
| KR101645222B1 (ko) | 어드밴스드 도메인 네임 시스템 및 운용 방법 | |
| Shulman et al. | DNSSEC for cyber forensics | |
| WO2017163104A1 (en) | System and method for mitigating dns attacks | |
| Hama Amin et al. | Preventing DNS misuse for Reflection/Amplification attacks with minimal computational overhead on the Internet. | |
| Randall | Names to Conjure With: Measuring and Combating Online Adversaries by Examining Their Use of Naming Systems | |
| Dolmans | Preventing DNS Amplification Attacks using white-and greylisting | |
| Ciric et al. | The Concept of Consumer IP Address Preservation Behind the Load Balancer | |
| Rafiee et al. | Challenges and Solutions for DNS Security in IPv6 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170608 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181003 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190612 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190624 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190918 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190924 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191223 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200122 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6651511 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |