JP6651511B2 - ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 - Google Patents
ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 Download PDFInfo
- Publication number
- JP6651511B2 JP6651511B2 JP2017518888A JP2017518888A JP6651511B2 JP 6651511 B2 JP6651511 B2 JP 6651511B2 JP 2017518888 A JP2017518888 A JP 2017518888A JP 2017518888 A JP2017518888 A JP 2017518888A JP 6651511 B2 JP6651511 B2 JP 6651511B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- network traffic
- subdomain
- response
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005641 tunneling Effects 0.000 title claims description 15
- 238000000034 method Methods 0.000 title description 8
- 230000004044 response Effects 0.000 claims description 39
- 108020001568 subdomains Proteins 0.000 claims 4
- 230000003213 activating effect Effects 0.000 claims 2
- 230000005540 biological transmission Effects 0.000 claims 1
- 238000012545 processing Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004549 pulsed laser deposition Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本出願は、2014年10月7日に出願された米国特許出願第14/508,987号の優先権を主張するものであり、この文献の内容は引用により本明細書に組み入れられる。
302 SLDのサブドメイン要求を追跡
304 符号化されたサブドメインデータのサイズを測定
306 サブドメイン要求の応答データのサイズを測定
308 比率が閾値を上回るか?
310 値が閾値を上回るか?
312 DNSトンネルと見なす
314 値が閾値を上回るか?
316 DNSデータ流出と見なす
318 対抗措置を適用
Claims (9)
- プロセッサと、
前記プロセッサとネットワークに結合され、ネットワークトラフィックを収集するネットワークインターフェイス回路と、
前記プロセッサに接続されたメモリと、
を備えた装置であって、前記メモリは命令を記憶し、該命令は、前記プロセッサによって実行されると、
前記ネットワークトラフィックに関連する第2レベルドメインを保存し、
前記第2レベルドメインの一意のサブドメインを含むサブドメインに対する、前記ネットワークトラフィック中の要求を追跡し、
前記ネットワークトラフィック中の符号化されたサブドメインデータであって、前記符号化されたサブドメインデータは、トンネリングサーバに送信された符号化されたサブドメインデータの送信ペイロードである、前記符号化されたサブドメインデータのサイズを測定し、
前記ネットワークトラフィック中のサブドメイン要求に対する応答データのサイズを測定し、
前記第2レベルドメインのサブドメインに対する前記ネットワークトラフィック中の要求数に対する、前記ネットワークトラフィック中の一意のサブドメインの数の比率が第1の閾値を上回っている場合、第1の既成条件が確立されたと見なし、
前記第1の既成条件に応答して、前記ネットワークトラフィック中の符号化されたサブドメインデータの前記サイズが第2の閾値を上回り、前記ネットワークトラフィック中のサブドメイン要求に対する応答データの前記サイズが第3の閾値を上回っている場合、見なしドメイン名システムトンネル行為として指定された第2の既成条件が確立されたと判断し、
前記第1の既成条件に応答して、前記ネットワークトラフィック中の前記サブドメインデータの前記サイズが前記第2の閾値を上回っている場合、見なしドメイン名システムデータ流出行為として指定された第3の既成条件が確立されたと判断し、
サブドメイン応答の数に対する、前記ネットワークトラフィック中のサブドメイン要求の数の比率が約1であることを確認する、
ことを特徴とする装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、前記ネットワークトラフィック中のサブドメイン要求に対する応答データのサイズが特定の閾値を下回っていることを確認する命令を含む、
請求項1に記載の装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、対抗措置を適用又は発動する命令を含む、
請求項1に記載の装置。 - 前記対抗措置は、ドメインアクセス制限を含む、
請求項3に記載の装置。 - 前記対抗措置は、応答ポリシーゾーンを呼び出すことを含む、
請求項3に記載の装置。 - プロセッサと、
前記プロセッサとネットワークに結合され、ネットワークトラフィックを収集するネットワークインターフェイス回路と、
前記プロセッサに接続されたメモリと、
を備えた装置であって、前記メモリは命令を記憶し、該命令は、前記プロセッサによって実行されると、
前記ネットワークトラフィックに関連する第2レベルドメインを保存し、
前記第2レベルドメインの一意のサブドメインを含むサブドメインに対する、前記ネットワークトラフィック中の要求を追跡し、
問い合わせを受けた前記第2レベルドメインの一意のサブドメインに対する一意の応答数を求め、
前記一意の応答に対する応答ペイロードの平均サイズを測定し、
前記第2レベルドメインの一意のサブドメインが問い合わせを受けた回数が第1の閾値を上回り、問い合わせを受けた前記第2レベルドメインの一意のサブドメインに対する一意の応答の数が第2の閾値を上回り、前記一意の応答に対する前記応答ペイロードの平均サイズが第3の閾値を上回っている場合、ドメイン名システムデータ侵入を示す条件が確立されたと判断する、
ことを特徴とする装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、対抗措置を適用又は発動する命令を含む、
請求項6に記載の装置。 - 前記対抗措置は、ドメインアクセス制限を含む、
請求項7に記載の装置。 - 前記対抗措置は、応答ポリシーゾーンを呼び出すことを含む、
請求項7に記載の装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/508,987 US9729413B2 (en) | 2014-10-07 | 2014-10-07 | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration |
US14/508,987 | 2014-10-07 | ||
PCT/US2015/053957 WO2016057377A1 (en) | 2014-10-07 | 2015-10-05 | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017534198A JP2017534198A (ja) | 2017-11-16 |
JP6651511B2 true JP6651511B2 (ja) | 2020-02-19 |
Family
ID=55633613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017518888A Active JP6651511B2 (ja) | 2014-10-07 | 2015-10-05 | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9729413B2 (ja) |
EP (1) | EP3204857B1 (ja) |
JP (1) | JP6651511B2 (ja) |
WO (1) | WO2016057377A1 (ja) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11201848B2 (en) | 2011-07-06 | 2021-12-14 | Akamai Technologies, Inc. | DNS-based ranking of domain names |
US10742591B2 (en) | 2011-07-06 | 2020-08-11 | Akamai Technologies Inc. | System for domain reputation scoring |
US9843601B2 (en) * | 2011-07-06 | 2017-12-12 | Nominum, Inc. | Analyzing DNS requests for anomaly detection |
US9794229B2 (en) | 2015-04-03 | 2017-10-17 | Infoblox Inc. | Behavior analysis based DNS tunneling detection and classification framework for network security |
US10462116B1 (en) * | 2015-09-15 | 2019-10-29 | Amazon Technologies, Inc. | Detection of data exfiltration |
US10075458B2 (en) * | 2016-04-29 | 2018-09-11 | International Business Machines Corporation | Cognitive and contextual detection of malicious DNS |
FR3053195A1 (fr) * | 2016-06-23 | 2017-12-29 | Orange | Procede et dispositif de controle de flux de donnees transmis selon le protocole dns (domain name system). |
US10097568B2 (en) | 2016-08-25 | 2018-10-09 | International Business Machines Corporation | DNS tunneling prevention |
US10230760B2 (en) * | 2016-10-24 | 2019-03-12 | Verisign, Inc. | Real-time cloud-based detection and mitigation of DNS data exfiltration and DNS tunneling |
US10412107B2 (en) | 2017-03-22 | 2019-09-10 | Microsoft Technology Licensing, Llc | Detecting domain name system (DNS) tunneling based on DNS logs and network data |
US11153330B1 (en) * | 2017-11-22 | 2021-10-19 | Cisco Technology, Inc. | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis |
JP6999931B2 (ja) * | 2018-01-10 | 2022-01-19 | 株式会社国際電気通信基礎技術研究所 | 通信方法、通信システム、mecサーバ、dnsサーバ、および、トラフィック誘導ルータ |
EP3651426A1 (en) * | 2018-11-06 | 2020-05-13 | Efficient IP SAS | Method and system for detecting and blocking data transfer using dns protocol |
US11595357B2 (en) * | 2019-10-23 | 2023-02-28 | Cisco Technology, Inc. | Identifying DNS tunneling domain names by aggregating features per subdomain |
US11606385B2 (en) * | 2020-02-13 | 2023-03-14 | Palo Alto Networks (Israel Analytics) Ltd. | Behavioral DNS tunneling identification |
US11811820B2 (en) | 2020-02-24 | 2023-11-07 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious C and C channel to fixed IP detection |
CN114124367B (zh) * | 2020-08-31 | 2023-03-24 | Oppo广东移动通信有限公司 | 一种数据传输方法、装置及存储介质 |
US11916942B2 (en) | 2020-12-04 | 2024-02-27 | Infoblox Inc. | Automated identification of false positives in DNS tunneling detectors |
US20220407870A1 (en) * | 2021-06-17 | 2022-12-22 | Allot Ltd. | System, Device, and Method of Detecting and Mitigating DNS Tunneling Attacks in a Communication Network |
US20230344660A1 (en) * | 2022-04-20 | 2023-10-26 | EllansaLabs Inc. | System and Method for Etching Internal Surfaces of Transparent Gemstones with Information Pertaining to a Blockchain |
WO2023063996A1 (en) * | 2022-04-20 | 2023-04-20 | EllansaLabs Inc. | System and method for etching internal surfaces of transparent gemstones with information pertaining to a blockchain |
US20230388322A1 (en) * | 2022-05-26 | 2023-11-30 | Blackberry Limited | Domain name system tunneling detection |
US11968222B2 (en) | 2022-07-05 | 2024-04-23 | Palo Alto Networks (Israel Analytics) Ltd. | Supply chain attack detection |
US11867637B2 (en) | 2022-12-15 | 2024-01-09 | EllansaLabs Inc. | Systems for authentication and related devices and methods |
US11783145B2 (en) | 2022-12-21 | 2023-10-10 | EllansaLabs Inc. | Systems for authentication and related devices and methods |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
MXPA02000287A (es) * | 1999-07-09 | 2004-05-21 | Mark J Harris | Sistema y metodo para dirigir una red utilizando numeros telefonicos. |
US7970878B1 (en) * | 2005-11-16 | 2011-06-28 | Cisco Technology, Inc. | Method and apparatus for limiting domain name server transaction bandwidth |
JP4296184B2 (ja) * | 2006-03-13 | 2009-07-15 | 日本電信電話株式会社 | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
US7530105B2 (en) | 2006-03-21 | 2009-05-05 | 21St Century Technologies, Inc. | Tactical and strategic attack detection and prediction |
US7441429B1 (en) * | 2006-09-28 | 2008-10-28 | Narus, Inc. | SIP-based VoIP traffic behavior profiling |
JP5568344B2 (ja) * | 2010-03-18 | 2014-08-06 | 株式会社ラック | 攻撃検出装置、攻撃検出方法、及びプログラム |
US8544100B2 (en) * | 2010-04-16 | 2013-09-24 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
US9003518B2 (en) | 2010-09-01 | 2015-04-07 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert DNS tunnels |
US9049229B2 (en) * | 2010-10-28 | 2015-06-02 | Verisign, Inc. | Evaluation of DNS pre-registration data to predict future DNS traffic |
US9026644B2 (en) * | 2011-03-10 | 2015-05-05 | Verizon Patent And Licensing Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
US9467421B2 (en) * | 2011-05-24 | 2016-10-11 | Palo Alto Networks, Inc. | Using DNS communications to filter domain names |
US8819817B2 (en) * | 2011-05-25 | 2014-08-26 | Apple Inc. | Methods and apparatus for blocking usage tracking |
-
2014
- 2014-10-07 US US14/508,987 patent/US9729413B2/en active Active
-
2015
- 2015-10-05 JP JP2017518888A patent/JP6651511B2/ja active Active
- 2015-10-05 WO PCT/US2015/053957 patent/WO2016057377A1/en active Application Filing
- 2015-10-05 EP EP15849113.4A patent/EP3204857B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017534198A (ja) | 2017-11-16 |
US20160099852A1 (en) | 2016-04-07 |
US9729413B2 (en) | 2017-08-08 |
EP3204857B1 (en) | 2021-12-15 |
EP3204857A4 (en) | 2018-05-16 |
WO2016057377A1 (en) | 2016-04-14 |
EP3204857A1 (en) | 2017-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6651511B2 (ja) | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 | |
US9935921B2 (en) | Correlating nameserver IPv6 and IPv4 addresses | |
US11606388B2 (en) | Method for minimizing the risk and exposure duration of improper or hijacked DNS records | |
US9300623B1 (en) | Domain name system cache integrity check | |
US9641434B1 (en) | Private network address obfuscation and verification | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
US8719937B2 (en) | Methods and systems for network attack detection and prevention through redirection | |
US20170155678A1 (en) | Attack mitigation in content delivery networks using stenographic network addressing | |
JP5587732B2 (ja) | ドメイン・ネーム・サービス(dns)データベースへのアクセスを管理するコンピュータ実施方法、コンピュータ・プログラム、およびシステム | |
US20170153980A1 (en) | Anonymized network addressing in content delivery networks | |
JP6483819B2 (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
EP3354001A1 (en) | Secure domain name resolution in computer networks | |
EP3306900B1 (en) | Dns routing for improved network security | |
CN104348924A (zh) | 一种域名解析方法、系统及装置 | |
WO2022267977A1 (zh) | 信息处理方法、中间解析器、网络设备及存储介质 | |
Yan et al. | The road to DNS privacy | |
US11122004B1 (en) | Externally applying internal network domain name system (DNS) policies | |
US20220103579A1 (en) | System and apparatus for internet traffic inspection via localized dns caching | |
KR101645222B1 (ko) | 어드밴스드 도메인 네임 시스템 및 운용 방법 | |
Kumar et al. | Effective Method of Prevention of Cache Poisoning for Wild Card Secure DNS–A Novel Approach | |
Sehgal et al. | Securing web access—dns threats and remedies | |
Carli | Security Issues with DNS | |
Mohaisen et al. | Does query blocking improve DNS privacy? Quantifying privacy under partial blocking deployment | |
WO2016066466A1 (en) | Data access method, devices and computer programs | |
CN106470195A (zh) | 消息的签名方法和域名服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170608 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181003 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190612 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190624 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190918 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190924 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191223 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6651511 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |