CN112565259B - 过滤dns隧道木马通信数据的方法及装置 - Google Patents
过滤dns隧道木马通信数据的方法及装置 Download PDFInfo
- Publication number
- CN112565259B CN112565259B CN202011410001.5A CN202011410001A CN112565259B CN 112565259 B CN112565259 B CN 112565259B CN 202011410001 A CN202011410001 A CN 202011410001A CN 112565259 B CN112565259 B CN 112565259B
- Authority
- CN
- China
- Prior art keywords
- dns
- tunnel
- filtering
- module
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 87
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 title claims abstract description 47
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000006854 communication Effects 0.000 title claims abstract description 26
- 238000004891 communication Methods 0.000 title claims abstract description 25
- 230000004044 response Effects 0.000 claims abstract description 50
- 238000012216 screening Methods 0.000 claims abstract description 46
- 238000000926 separation method Methods 0.000 claims abstract description 33
- 238000001514 detection method Methods 0.000 claims description 32
- 238000004458 analytical method Methods 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 16
- 238000004806 packaging method and process Methods 0.000 claims description 5
- 230000008676 import Effects 0.000 claims description 4
- 238000005206 flow analysis Methods 0.000 abstract description 6
- 230000002452 interceptive effect Effects 0.000 abstract description 3
- 238000007689 inspection Methods 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000006378 damage Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000001066 destructive effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及互联网域名技术领域,公开了一种过滤DNS隧道木马通信数据的方法及装置,该方法包括:对来自企业内网的请求报文和发往企业内网的响应报文在到达DNS服务器时,进行多次DNS隧道木马流量过滤筛选,其中,多次的所述过滤筛选包括:通过判断请求报文是否命中本地DNS缓存或DNS权威进行首次分离筛选;通过判断请求报文是否落入设定的黑白名单数据库进行二次分离筛选;通过判断响应报文的数据源为内网流量或外网流量进行第三次分离筛选。本发明基于DNS服务器的部署场景和DNS隧道木马的交互特征,采取三次过滤的方式,尽可能地减少向隧道模块发送的报文量,从而大大提高DNS隧道木马检查的效率和整体系统的性能,减轻安全设备对DNS隧道流量分析的负担。
Description
技术领域
本发明涉及互联网域名技术领域,具体涉及一种过滤DNS隧道木马通信数据的方法及装置。
背景技术
随着互联网的发展,国家近几年护网行动展开,常用的ICMP、SSH等隧道攻击越来越难成功,因为通过简单的防火墙策略即可拦截,所以大多数攻击者采用DNS隧道攻击,由于DNS协议是必不可少的网络通信协议之一,通过DNS隧道,更为隐秘,所以DNS隧道防护则成为重中之重。当前大多数DNS隧道防护的部署场景都是采用在网关的出口地方或者DNS服务器上直接部署,采集所有的网络流量,进行特征提取分析识别。
因此,无论是在网关出口还是在DNS服务器上部署采集所有的网络流量都是存在问题的。网络通信过程中,99%的报文都是白名单,然而把所有报文采集后,过多的冗余报文分析,增加系统资源开销,同时也增加了分析DNS隧道流量的难度,也就是增加了误判率和降低了识别率。
发明内容
针对现有技术的缺陷,本发明的目的是,提供一种过滤DNS隧道木马通信数据的方法及装置,基于DNS服务器的部署场景和DNS隧道木马的交互特征,采取三次过滤的方式,尽可能地减少向隧道模块发送的报文量,从而大大提高DNS隧道木马检查的效率和整体系统的性能,减轻安全设备对DNS隧道流量分析的负担。
本发明的第一方面,提供了一种过滤DNS隧道木马通信数据的方法,包括:
对来自企业内网的请求报文和发往企业内网的响应报文在到达DNS服务器时,进行多次DNS隧道木马流量过滤筛选,其中,多次的所述过滤筛选包括:
通过判断请求报文是否命中本地DNS缓存或权威进行首次分离筛选;
通过判断请求报文是否落入设定的黑白名单数据库进行二次分离筛选;
通过判断响应报文的数据源为内网流量或外网流量进行第三次分离筛选。
进一步地,对所述DNS隧道木马流量过滤的首次分离筛选包括:
对接收的所述请求报文,查询本地DNS服务器是否支持权威服务并判断是否命中本地权威,若是则直接封装DNS响应报文并返回查询结果;若否,则继续查询本地DNS缓存;其中,
若判断命中本地DNS缓存,则直接封装DNS响应报文并返回查询结果;若未命中本地DNS缓存,则进入下一步处理。
进一步地,对所述DNS隧道木马流量过滤的二次分离筛选包括:
检测DNS请求的域名信息是否命中黑名单数据库或白名单数据库,若请求的域名信息落入黑名单则拦截丢弃,若判断落入白名单则直接放行并标记来源,若判定既不属于黑名单也不属于白名单,则发往隧道检测模块进行分析。
进一步地,对所述DNS隧道木马流量过滤的第三次分离筛选包括:
根据所述响应报文的数据来源和标记进行判定,其中,将未命中白名单标记且发往企业内网环境的响应报文进行捕获并发往隧道检测模块,向外迭代请求的报文及其对应的响应报文则直接放行不做处理。
进一步地,对DNS请求报文经过所述的首次分离筛选或第二次分离筛选后,仍无法判断的请求报文发往隧道检测模块进行特征分析并返回威胁分值,根据威胁分值确定是否进行最终拦截;对DNS响应报文经过所述的第三次分离筛选后,仍无法判断的报文发往隧道检测模块进行特征分析并返回威胁分值,根据威胁分值确定是否进行最终拦截。
进一步地,通过设置告警阈值和拦截阈值进行告警与拦截,其中,对计算出的威胁分值大于告警阈值且小于拦截阈值的给出告警消息,对大于拦截阈值的直接拦截并添加到黑名单数据库中。
进一步地,所述黑名单数据库和白名单数据库的来源为手动输入、批量导入或者根据后续的威胁分值的阈值结果反馈。
进一步地,所述向外迭代请求的报文包括:从根服务器、顶级域名服务器、二级域名服务进行中间迭代查询请求的DNS报文,且这些请求报文对应的响应报文也是中间的迭代请求的结果。
本发明的第二方面,还提供了一种过滤DNS隧道木马通信数据的装置,该装置部署在DNS服务器端,该装置包括:第一过滤模块、第二过滤模块和第三过滤模块,其中,
所述第一过滤模块,通过判断来自企业网内网的请求报文是否命中本地DNS权威或缓存进行首次分离筛选;
所述第二过滤模块,通过判断来自企业网内网的请求报文是否落入设定的黑白名单数据库进行二次分离筛选;
所述第三过滤模块,通过判断发往企业网内网的响应报文的数据源为内网流量或外网流量进行第三次分离筛选。
进一步地,所述装置还包括隧道检测模块及报警拦截模块,其中,所述隧道检测模块对经过所述第一过滤模块、第二过滤模块处理过仍无法判断的DNS请求报文进行特征分析并打分,以及对经过所述第三过滤模块仍无法判断的DNS响应报文进行特征分析并打分,然后发送给报警拦截模块,所述报警拦截模块通过设置的告警阈值和拦截阈值,判定是否最终拦截。
与现有技术相比,本发明提供的一种过滤DNS隧道木马通信数据的方法及系统,达到了如下技术效果:
1、DNS隧道要保证信息到达对方,而正常DNS请求响应大多数会命中缓存,本发明利用本地权威和缓存模块进行一次分离筛选,可以过滤大部分正常报文。
2、DNS隧道通信特征往往会利用威胁主域名进行可持续攻击,当被识别后,本发明通过黑白名单机制,可有效阻止后续DNS隧道木马攻击破坏行为;同时可根据已知的威胁主域名添加黑名单、根据知名的二级域名添加白名单,来进行分离筛选,提高效率。
3、DNS服务器对内网的流量交互比较单一,然后对外的流量涉及到递归迭代流量复杂多样化,会话特征也不明显,本发明把DNS服务器内网流量和外网流量进行分离筛选,能够进一步减轻安全设备对DNS隧道流量分析的压力,尤其在DNS响应报文逻辑处理上尤为重要。
4、本发明采取三次过滤的方式,尽可能地减少向隧道模块发送的报文量,从而大大提高DNS隧道木马检查的效率和整体系统的性能,减轻安全设备对DNS隧道流量分析的负担。
附图说明
图1是本发明实施例中的过滤DNS隧道木马通信数据的系统的部署场景图。
图2是本发明实施例中的过滤DNS隧道木马通信数据的方法的请求报文处理的原理图。
图3是本发明实施例中的过滤DNS隧道木马通信数据的方法的响应报文处理的原理图。
图4是本发明实施例中的过滤DNS隧道木马通信数据的系统的架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例为实施本发明的较佳实施方式,所述描述是以说明本发明的一般原则为目的,并非用以限定本发明的范围。本发明的保护范围应当以权利要求所界定者为准,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1、图2、图3所示,本发明的一实施例提供了一种过滤DNS隧道木马通信数据的方法,该方法包括:
对来自企业内网的请求报文和发往企业内网的响应报文在到达DNS服务器时,进行多次DNS隧道木马流量过滤筛选,其中,多次的所述过滤筛选包括:
通过判断请求报文是否命中本地DNS缓存或权威进行首次分离筛选;
通过判断请求报文是否落入设定的黑白名单数据库进行二次分离筛选;
通过判断响应报文的数据源为内网流量或外网流量进行第三次分离筛选。
本发明实施例中的过滤DNS隧道木马通信数据的方法,其基于DNS服务器的部署场景和DNS隧道木马的交互特征,采取三次过滤的方式,尽可能地减少向隧道检测模块发送的报文量,从而大大提高DNS隧道木马检查的效率和整体系统的性能,减轻安全设备对DNS隧道流量分析的负担。
下面来对本发明的三次分离筛选进行详述。
第一次过滤DNS隧道木马流量:利用本地的DNS权威和缓存过滤。
首先,DNS隧道木马流量检测部署的位置是DNS服务器,而并非网关出口位置,因为结合DNS隧道木马流量特征,在DNS服务器上可以过滤掉95%的白名单报文。攻击者通过DNS隧道窃取文件,敏感信息等破坏行为,需要保证被控端和攻击者每次的消息交互必须到达对方,但DNS服务器为了提高DNS服务性能,减少不必要的通信负担,基本都具备缓存模块用以处理大量重复的DNS请求。DNS服务器的递归模块用以向根服务器、顶级域名服务器、二级域名服务器等迭代获取最终结果,然而被控端客户机发出的DNS隧道木马流量必须避免命中缓存才可以保证信息到达控制端C2服务器,此时就需要保证每次请求的域名不一样,然而在现网中,95%的流量都是会命中缓存,可根据此特征进行第一次过滤,减少分析DNS隧道木马流量的数据源请求报文。
在企业内网的DNS服务器部署场景时,来自内网的客户机请求报文达到DNS服务器时,如果DNS服务器支持权威模块,先查询权威,如果命中本地权威,则直接封装DNS响应报文返回给客户机,此报文不是DNS隧道木马流量。如果未命中本地权威,继续查询DNS缓存模块,如果命中缓存模块,则直接封装DNS响应报文返回给客户机,此报文也不是DNS隧道流量。如果未命中DNS缓存模块,则有可能是DNS隧道木马流量,则进入下一步处理。
由于DNS隧道要保证信息到达对方,而正常DNS请求响应大多数会命中缓存,利用缓存模块进行第一次分离筛选,可以过滤大部分正常报文,减少后续的处理量。
第二次过滤DNS隧道木马流量:利用黑白名单库过滤。
黑白名单匹配过滤,利用白名单和黑名单中已经加载的主域名的威胁情报信息,对所述DNS请求主域名信息进行实时检测,在判定所述DNS请求主域名信息为DNS黑名单时则直接拦截丢弃,在判定所述DNS请求主域名信息为白名单时则直接放行并标记,在判定所述DNS请求数据即不是黑名单也不是白名单时,则进入下一步的隧道检测模块识别判定逻辑。
黑名单数据可以通过手动输入,批量导入等配置下发,大多数都是已知的威胁域名,只要匹配到DNS查询主域名则直接拦截。黑名单数据的另外一个来源就是通过隧道检测模块自学习到威胁域名,被直接拦截丢弃的同时,要把学习的威胁主域名添加到黑名单,用于阻止后续利用此威胁主域名进行破坏行为。
白名单数据来源也是通过手动输入,支持批量导入。一般大多数是一些知名的二级域名,比如baidu.com,qq.com,zdns.cn,google.cn等,也有一些客户认定的非威胁主域名,比如容易误判的主域名,可通过添加白名单方式避免,降低误判率。在DNS服务器缓存模块处理后,可以通过查询白名单数据直接放行,避免后续DNS隧道检测模块的处理,减少资源浪费。有效的过滤掉冗余的流量,减轻安全设备分析隧道流量的压力。
由于DNS隧道通信特征往往会利用威胁主域名进行可持续攻击,当被识别后,通过黑白名单机制,可有效阻止后续DNS隧道木马攻击破坏行为。同时可根据已知的威胁主域名添加黑名单、根据知名的二级域名添加白名单,来进行分离筛选,提高效率。
第三次过滤DNS隧道木马流量:利用数据源类型过滤。
在DNS服务器部署场景中,报文必须是来自企业内网环境的数据流,即由内网客户机发出的请求报文和最后返回的应答报文,而向外迭代请求的报文都将被直接放行。具体来说,向外迭代请求的报文,指的是从根服务器、顶级域名服务器、二级域名服务器等中间迭代查询的DNS报文,这些报文对应的响应报文也是中间的迭代请求的结果,这些响应报文并不是期望的最终结果,向外迭代请求的报文及其对应的响应报文则直接放行不做处理。当最终结果DNS响应报文到达DNS服务器时,会通过转换封装,以DNS服务器内网接口IP地址为源IP进行响应,发往内网客户机,此时这个报文才是DNS隧道木马流量需要获取的数据源。区分正常迭代的响应流量和最终转换后的流量,需要结合DNS服务器业务处理逻辑,提取内网的数据流,这样就大大减少冗余的DNS响应报文,进一步减轻安全设备分析隧道流量的压力。
由于DNS服务器对内网的流量交互比较单一,然后对外的流量涉及到递归迭代流量复杂多样化,会话特征也不明显。所以把DNS服务器内网流量和外网流量进行分离筛选,能够进一步减轻安全设备对DNS隧道流量分析的压力,尤其在DNS响应报文逻辑处理上尤为重要。
经过第一次过滤和第二次过滤后依旧会有一定量的请求报文,无法判断(比如落入灰名单)需要交给隧道检测模块进行特征分析并打分,返回的威胁分值交给报警拦截模块进一步处理,正常转发请求或进行拦截。此外,对DNS响应报文经过所述的第三次过滤后,仍无法判断的响应报文也会发往隧道检测模块进行特征分析并返回威胁分值,根据威胁分值确定是否进行最终拦截还是正常转发响应。
当然,本领域技术人员应当能够理解的是,本实施例中的第一次、第二次、第三次过滤的顺序保证了过滤效果的最优化,但其只是一种最优选的过滤方式,但不代表本实施例所规定的顺序,比如还可以是先进行内网流量和外网流量的过滤筛选,再进行缓存命中的筛选,再进行黑白名单的筛选等顺序方式,事实上,前述三次过滤在实际运行中,也可以是并行进行。
关于隧道检测分析,可采用现有技术中常用的有效载荷分析(Payload Analysis)和流量分析(traffic analysis)。对于有效载荷分析,将分析一个或多个请求和响应的DNS有效载荷,以获得隧道指示器。对于流量分析,流量将随着时间的推移进行分析。将考虑计数、频率和其他请求属性。
在报警拦截模块中通过前端联动设置两个阈值:告警阈值和拦截阈值(0<告警阈值<拦截阈值<100)。客户可以根据不同场景需求灵活配置告警阈值和拦截阈值。如果DNS安全设备或者DNS隧道模块返回的威胁分值小于告警阈值,则直接放行。如果大于告警阈值且小于拦截阈值,则给出告警消息,由客户查看并决定是否加入黑名单。如果大于拦截阈值,则直接拉黑域名即添加黑名单,阻止后续通信流量继续通过该主域名进行破坏行为。
利用本发明实施例中的方法对设备ZDNS T5100(S)进行部署前和部署后分别检测。
部署前:使用设备T5100,未利用本发明的方法,采用模拟器发送DNS样本数据11G,当安全设备处理隧道检测流量样本达到2.3W QPS时,隧道分析节点100W,内存18G;这种没有采用过滤装置的处理并不能满足实际的业务需要。
部署后:使用设备T5100,利用本发明的方法,样本数据11G,然而真正到达安全设备处理的报文仅有0.44G,大大减少了安全设备的压力,内存瞬间降到720M,从资源分配核利用上,更适合部署在生产环境下长期稳定运行。
此外,使用本设备T5100,在利用了本发明实施例中的方法时,当安全设备处理隧道检测流量样本达到4000QPS时,整机DNS QPS是10W QPS。因为正常DNS业务场景中,命中缓存流量是96%,仅有4%的流量需要经递归模块处理。
与上述方法实施例相对应的,参照图4所示,本发明的另一实施例还提供了一种过滤DNS隧道木马通信数据的装置,该装置部署在DNS服务器端,该装置包括:第一过滤模块、第二过滤模块和第三过滤模块,其中,
第一过滤模块,通过判断来自企业网内网的请求报文是否命中本地DNS权威或缓存进行首次分离筛选,未命中,则进入第二过滤模块;
第二过滤模块,通过判断来自企业网内网的请求报文是否落入设定的黑白名单数据库进行二次分离筛选,若既不是黑名单也不是白名单,则定义为灰名单并发送给隧道检测模块进行特征提取分析;其中,黑白名单数据库中的名单,可以手动配置黑名单,也可以通过自动学习即隧道检测模块分析的结果自动添加黑名单。
第三过滤模块,通过判断发往企业网内网的响应报文的数据源为内网流量或外网流量进行第三次分离筛选,将未命中白名单标记且发往企业内网环境的响应报文进行捕获并发往隧道检测模块,向外迭代请求的报文则直接放行不做处理。
前述三个过滤模块作为DNS主业务模块主要完成权威查询、DNS缓存、迭代请求。数据收发依赖于企业内网DNS服务器的部署场景,捕获由内网数据流组成的数据信息,过滤掉外网迭代请求响应的众多冗余报文。黑白名单模块中,可以手动配置黑名单,也可以通过自动学习即隧道检测模块分析的结果自动添加黑名单。为了保证过滤效果,前述的是三个过滤模块对数据的过滤筛选是具有一定的先后顺序的,但是当然本领域技术人员应当能够理解的是,前述三个过滤模块亦可并行,或者是按照其它设定的先后顺序,在此不作任何限定。
进一步地,本发明实施例中的上述装置还包括隧道检测模块及报警拦截模块,其中,所述隧道检测模块对经过所述第一过滤模块、第二过滤模块处理过仍无法判断的请求报文进行特征分析并打分,然后发送给报警拦截模块,报警拦截模块通过设置的告警阈值和拦截阈值,判定是否最终拦截。此外,对DNS响应报文经过所述的第三过滤模块过滤后,仍无法判断的报文也会发往隧道检测模块进行特征分析并返回威胁分值,根据威胁分值确定是否进行最终拦截。其中,隧道检测模块不包含在DNS设备的主业务模块中,是一个单独的分析模块,可以是应用程序,也可以是一个安全设备,根据隧道木马特征进行通信行为和流量特征的分析和匹配。
为了能够提高检测DNS隧道流量的识别率和减少冗余的通信数据进而提高性能,需要对DNS隧道流量进行过滤,本发明通过在DNS主业务中部署有三个过滤模块,过滤掉了过多的报文,减少了隧道模块要处理的数据量,将有限的系统资源用于隧道流量的分析识别,提高系统运行的稳定性。同时可根据用户需求,对DNS隧道检测模块可以采用串路部署和旁路部署方式,串路部署一般用于实时分析拦截的场景,而旁路部署一般用于审计设备的安全分析。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种过滤DNS隧道木马通信数据的方法,其特征在于,所述方法包括:
对来自企业内网的请求报文和发往企业内网的响应报文在到达DNS服务器时,进行多次DNS隧道木马流量过滤筛选,其中,多次的所述过滤筛选包括:
通过判断请求报文是否命中本地DNS缓存或权威进行首次分离筛选;
通过判断请求报文是否落入设定的黑白名单数据库进行二次分离筛选;
通过判断响应报文的数据源为内网流量或外网流量进行第三次分离筛选。
2.根据权利要求1所述的方法,其特征在于,对所述DNS隧道木马流量过滤的首次分离筛选包括:
对接收的所述请求报文,查询本地DNS服务器是否支持权威服务并判断是否命中本地权威,若是则直接封装DNS响应报文并返回查询结果;若否,则继续查询本地DNS缓存;其中,
若判断命中本地DNS缓存,则直接封装DNS响应报文并返回查询结果;若未命中本地DNS缓存,则进入下一步处理。
3.根据权利要求2所述的方法,其特征在于,对所述DNS隧道木马流量过滤的二次分离筛选包括:
检测DNS请求的域名信息是否命中黑名单数据库或白名单数据库,若请求的域名信息落入黑名单则拦截丢弃,若判断落入白名单则直接放行并标记来源,若判定既不属于黑名单也不属于白名单,则发往隧道检测模块进行分析。
4.根据权利要求1、2或3所述的方法,其特征在于,对所述DNS隧道木马流量过滤的第三次分离筛选包括:
根据所述响应报文的数据来源和标记进行判定,其中,将未命中白名单标记且发往企业内网环境的响应报文进行捕获并发往隧道检测模块,向外迭代请求的报文及其对应的响应报文则直接放行不做处理。
5.根据权利要求4所述的方法,其特征在于,对DNS请求报文经过所述的首次分离筛选或第二次分离筛选后,仍无法判断的请求报文发往隧道检测模块进行特征分析并返回威胁分值,根据威胁分值确定是否进行最终拦截;对DNS响应报文经过所述的第三次分离筛选后,仍无法判断的报文发往隧道检测模块进行特征分析并返回威胁分值,根据威胁分值确定是否进行最终拦截。
6.根据权利要求5所述的方法,其特征在于,通过设置告警阈值和拦截阈值进行告警与拦截,其中,对计算出的威胁分值大于告警阈值且小于拦截阈值的给出告警消息,对大于拦截阈值的直接拦截并添加到黑名单数据库中。
7.根据权利要求3所述的方法,其特征在于,所述黑名单数据库和白名单数据库的来源为手动输入、批量导入或者根据后续的威胁分值的阈值结果反馈。
8.根据权利要求4所述的方法,其特征在于,所述向外迭代请求的报文包括:从根服务器、顶级域名服务器、二级域名服务进行中间迭代查询请求的DNS报文,且这些请求报文对应的响应报文也是中间的迭代请求的结果。
9.一种过滤DNS隧道木马通信数据的装置,其特征在于,所述装置部署在DNS服务器端,所述装置包括:第一过滤模块、第二过滤模块和第三过滤模块,其中,
所述第一过滤模块,通过判断来自企业网内网的请求报文是否命中本地DNS权威或缓存进行首次分离筛选;
所述第二过滤模块,通过判断来自企业网内网的请求报文是否落入设定的黑白名单数据库进行二次分离筛选;
所述第三过滤模块,通过判断发往企业网内网的响应报文的数据源为内网流量或外网流量进行第三次分离筛选。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括隧道检测模块及报警拦截模块,其中,所述隧道检测模块对经过所述第一过滤模块、第二过滤模块处理过仍无法判断的DNS请求报文进行特征分析并打分,以及对经过所述第三过滤模块仍无法判断的DNS响应报文进行特征分析并打分,然后发送给报警拦截模块,所述报警拦截模块通过设置的告警阈值和拦截阈值,判定是否最终拦截。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011410001.5A CN112565259B (zh) | 2020-12-04 | 2020-12-04 | 过滤dns隧道木马通信数据的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011410001.5A CN112565259B (zh) | 2020-12-04 | 2020-12-04 | 过滤dns隧道木马通信数据的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112565259A CN112565259A (zh) | 2021-03-26 |
| CN112565259B true CN112565259B (zh) | 2022-10-28 |
Family
ID=75048656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011410001.5A Active CN112565259B (zh) | 2020-12-04 | 2020-12-04 | 过滤dns隧道木马通信数据的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565259B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113141370B (zh) * | 2021-04-30 | 2022-09-16 | 国家计算机网络与信息安全管理中心山西分中心 | 一种内部网络流量的恶意dns隧道识别方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
| CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
| CN109639744A (zh) * | 2019-02-27 | 2019-04-16 | 深信服科技股份有限公司 | 一种dns隧道的检测方法及相关设备 |
| CN111756735A (zh) * | 2020-06-23 | 2020-10-09 | 北京天融信网络安全技术有限公司 | 一种dns隧道流量检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190081952A1 (en) * | 2016-02-15 | 2019-03-14 | Michael C. Wood | System and Method for Blocking of DNS Tunnels |
-
2020
- 2020-12-04 CN CN202011410001.5A patent/CN112565259B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
| CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
| CN109639744A (zh) * | 2019-02-27 | 2019-04-16 | 深信服科技股份有限公司 | 一种dns隧道的检测方法及相关设备 |
| CN111756735A (zh) * | 2020-06-23 | 2020-10-09 | 北京天融信网络安全技术有限公司 | 一种dns隧道流量检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112565259A (zh) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US11797671B2 (en) | Cyberanalysis workflow acceleration | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| JPWO2008084729A1 (ja) | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム | |
| CN111478920A (zh) | 一种隐蔽信道通信检测方法、装置及设备 | |
| CN112769833B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN112671759A (zh) | 基于多维度分析的dns隧道检测方法和装置 | |
| CN114374569B (zh) | 一种报文的检测方法、装置、电子设备和存储介质 | |
| US20230412591A1 (en) | Traffic processing method and protection system | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN112565259B (zh) | 过滤dns隧道木马通信数据的方法及装置 | |
| CN112272175A (zh) | 一种基于dns的木马病毒检测方法 | |
| JP5568344B2 (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
| JP3760919B2 (ja) | 不正アクセス防止方法、装置、プログラム | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| US8307445B2 (en) | Anti-worm program, anti-worm apparatus, and anti-worm method | |
| CN113037779A (zh) | 一种积极防御系统中的智能自学习白名单方法和系统 | |
| CN111490989A (zh) | 一种网络系统、攻击检测方法、装置及电子设备 | |
| CN116760596A (zh) | 域名类别识别方法、装置以及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |