The present invention discloses a method of computer implementation for detecting malware infection via domain name service flow analysis, the method may include (1) detecting a failed domain name service request from the computing device on the computing device, and (2) creating information about the failed domain name request and the calculated setting. A record of a static unique identifier is prepared, (3) associating the record with a set of previous records of a failed domain name service request derived from the described computing device with a static unique identifier from which it has a statically unique identifier, and (4) determining that the computing device is generated, based on the Association of the record with the previous record of the set. The malware infection of the failed domain name service request. Various other methods, systems, and computer-readable media are also disclosed.
【技术实现步骤摘要】
【国外来华专利技术】用于经由域名服务流量分析来检测恶意软件感染的系统和方法
技术介绍
病毒、特洛伊木马、间谍软件和其它类型的恶意软件对任何需要网络连接的计算设备都是一个持续的威胁。存在许多不同类型的安全系统来对付这些威胁,范围从浏览器插件程序到病毒扫描程序到防火墙等等。每天都会创建无数的新实例和恶意软件排列,需要不断更新安全系统。尽管有这种警惕性,计算设备仍然会受到各种类型的威胁的感染。一段恶意软件可能会绕过几层安全系统而不被检测到,然后可能会继续联系命令与控制服务器以确定下一步要采取的措施。许多用于修复恶意软件的传统系统可能会尝试识别或甚至拦截从恶意软件到命令与控制服务器的消息。这已使得恶意软件创建者寻找更多有创意的手段来将通信隐藏在恶意应用程序和服务器之间。攻击者使用的一种解决方案是使用域名服务(DNS)查找请求来查找并连接到指向命令与控制服务的域的恶意软件。某些恶意软件可能使用域名生成算法进行编码,从而使恶意软件能够连接到不断移动的命令与控制服务器,以避免被反恶意软件系统检测到。因此,本公开明确并解决了对用于经由DNS流量分析来检测恶意软件感染的另外的以及改进的系统和方法的需求。
技术实现思路
如将在下文中更详细描述的,本公开描述了用于经由DNS流量分析来检测恶意软件感染的各种系统和方法,所述DNS流量分析通过存储源自相同计算建议的失败DNS查找的记录并分析该记录以确定恶意软件是否可能已生成失败的查找。在一个示例中,用于经由DNS流量分析来检测恶意软件感染的计算机实现的方法可包括(1)在计算设备上检测源自计算设备的失败的DNS请求,(2)创建包括关于失败的域名请求的信息和计算设备 ...
【技术保护点】
1.一种用于经由域名服务流量分析来检测恶意软件感染的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的计算设备来执行,所述方法包括:在所述计算设备上检测源自所述计算设备的失败域名服务请求;创建包括关于所述失败的域名请求的信息和所述计算设备的静态唯一标识符的记录;将所述记录与关于源自具有所述静态唯一标识符的所述计算设备的失败域名服务请求的一组先前记录相关联;基于将所述记录与所述组的先前记录相关联,确定所述计算设备被生成了所述失败域名服务请求的恶意软件感染。
【技术特征摘要】
【国外来华专利技术】2015.11.30 US 14/9544251.一种用于经由域名服务流量分析来检测恶意软件感染的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的计算设备来执行,所述方法包括:在所述计算设备上检测源自所述计算设备的失败域名服务请求;创建包括关于所述失败的域名请求的信息和所述计算设备的静态唯一标识符的记录;将所述记录与关于源自具有所述静态唯一标识符的所述计算设备的失败域名服务请求的一组先前记录相关联;基于将所述记录与所述组的先前记录相关联,确定所述计算设备被生成了所述失败域名服务请求的恶意软件感染。2.根据权利要求1所述的计算机实现的方法,其中:创建所述记录包括从所述计算设备向网络级分析系统发送消息;将所述记录与所述组的先前记录相关联包括由所述网络级分析系统将所述消息与由具有所述静态唯一标识符的所述计算设备发送的一组先前消息相关联;确定所述计算设备被所述恶意软件感染包括由所述网络级分析系统确定所述计算设备被恶意软件感染。3.根据权利要求1所述的计算机实现的方法,其中关于源自具有所述静态唯一标识符的所述计算设备的失败域名服务请求的所述组的先前记录包括源自在多个不同网络上具有所述静态唯一标识符的所述计算设备的失败域名服务请求的记录。4.根据权利要求1所述的计算机实现的方法,其中确定所述计算设备被所述恶意软件感染包括确定具有所述静态唯一标识符的所述计算设备已经生成的失败域名服务请求的百分比超过了失败域名服务请求的良性百分比的预定阈值。5.根据权利要求4所述的计算机实现的方法,其中所述失败域名服务请求的良性百分比的预定阈值包括在多个计算设备中的失败域名服务请求的统计标准。6.根据权利要求1所述的计算机实现的方法,还包括基于确定所述计算设备被所述恶意软件感染,在具有所述静态唯一标识符的所述计算设备上执行恶意软件修复动作。7.根据权利要求1所述的计算机实现的方法,其中所述静态唯一标识符包括未被网络分配给所述计算设备并且只能由管理员改变的标识符。8.一种用于经由域名服务流量分析来检测恶意软件感染的系统,所述系统包括:存储在存储器中的检测模块,所述检测模块在所述计算设备上检测源自所述计算设备的失败域名服务请求;存储在存储器中的创建模块,所述创建模块创建包括关于所述失败的域名请求的信息和所述计算设备的静态唯一标识符的记录;存储在存储器中的关联模块,所述关联模块将所述记录与关于源自具有所述静态唯一标识符的所述计算设备的失败域名服务请求的一组先前记录相关联;存储在存储器中的确定模块,所述确定模块基于将所述记录与所述组的先前记录相关联,确定所述计算设备被生成了所述失败域名服务请求的恶意软件感染;至少一个物理处理器,所述至少一个物理处理器被配置为执行所述检测模块、所述创建模块、所述关联模块和所述确定模块。9.根据权利要求8所述的系统,其中:所述创建模块通过从所述计算设备向网络级分析系统发送消息来创建所述记录;所述关联模块通过由所述网络级分析系统将所述消息与由具有所述静态唯一标识符的所述计算设备发送的一组先前消息相关联来将所述记录与所述组的先前...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。