用于经由域名服务流量分析来检测恶意软件感染的系统和方法技术方案

本发明专利技术公开了一种用于经由域名服务流量分析来检测恶意软件感染的计算机实现的方法，所述方法可包括(1)在所述计算设备上检测源自所述计算设备的失败域名服务请求，(2)创建包括关于所述失败域名请求的信息和所述计算设备的静态唯一标识符的记录，(3)将所述记录与关于源自具有所述静态唯一标识符的所述计算设备的失败域名服务请求的一组先前记录相关联，以及(4)基于将所述记录与所述组的先前记录相关联，确定所述计算设备被生成了所述失败域名服务请求的恶意软件感染。本发明专利技术还公开了各种其它方法、系统和计算机可读介质。

System and method for detecting malware infection through domain name service flow analysis

The present invention discloses a method of computer implementation for detecting malware infection via domain name service flow analysis, the method may include (1) detecting a failed domain name service request from the computing device on the computing device, and (2) creating information about the failed domain name request and the calculated setting. A record of a static unique identifier is prepared, (3) associating the record with a set of previous records of a failed domain name service request derived from the described computing device with a static unique identifier from which it has a statically unique identifier, and (4) determining that the computing device is generated, based on the Association of the record with the previous record of the set. The malware infection of the failed domain name service request. Various other methods, systems, and computer-readable media are also disclosed.

【技术实现步骤摘要】
【国外来华专利技术】用于经由域名服务流量分析来检测恶意软件感染的系统和方法
技术介绍
病毒、特洛伊木马、间谍软件和其它类型的恶意软件对任何需要网络连接的计算设备都是一个持续的威胁。存在许多不同类型的安全系统来对付这些威胁，范围从浏览器插件程序到病毒扫描程序到防火墙等等。每天都会创建无数的新实例和恶意软件排列，需要不断更新安全系统。尽管有这种警惕性，计算设备仍然会受到各种类型的威胁的感染。一段恶意软件可能会绕过几层安全系统而不被检测到，然后可能会继续联系命令与控制服务器以确定下一步要采取的措施。许多用于修复恶意软件的传统系统可能会尝试识别或甚至拦截从恶意软件到命令与控制服务器的消息。这已使得恶意软件创建者寻找更多有创意的手段来将通信隐藏在恶意应用程序和服务器之间。攻击者使用的一种解决方案是使用域名服务(DNS)查找请求来查找并连接到指向命令与控制服务的域的恶意软件。某些恶意软件可能使用域名生成算法进行编码，从而使恶意软件能够连接到不断移动的命令与控制服务器，以避免被反恶意软件系统检测到。因此，本公开明确并解决了对用于经由DNS流量分析来检测恶意软件感染的另外的以及改进的系统和方法的需求。
技术实现思路
如将在下文中更详细描述的，本公开描述了用于经由DNS流量分析来检测恶意软件感染的各种系统和方法，所述DNS流量分析通过存储源自相同计算建议的失败DNS查找的记录并分析该记录以确定恶意软件是否可能已生成失败的查找。在一个示例中，用于经由DNS流量分析来检测恶意软件感染的计算机实现的方法可包括(1)在计算设备上检测源自计算设备的失败的DNS请求，(2)创建包括关于失败的域名请求的信息和计算设备的静态唯一标识符的记录，(3)将该记录与关于源自具有静态唯一标识符的计算设备的失败DNS请求的一组先前记录相关联，以及(4)基于将该记录与该组的先前记录相关联，确定计算设备被生成了失败的DNS请求的恶意软件感染。在一个实施方案中，创建记录可包括从计算设备向网络级分析系统发送消息，并且将该记录与该组的先前记录相关联可包括由网络级分析系统将该消息与由具有静态唯一标识符的计算设备发送的一组先前消息相关联。在该实施方案中，确定计算设备被恶意软件感染可包括由网络级分析系统确定计算设备被恶意软件感染。在一个示例中，关于源自具有静态唯一标识符的计算设备的失败DNS请求的该组的先前记录可包括源自在一组不同的网络上具有静态唯一标识符的计算设备的失败DNS请求的记录。在一些示例中，确定计算设备被恶意软件感染可包括确定具有静态唯一标识符的计算设备已经生成的失败DNS请求的百分比超过了失败DNS请求的良性百分比的预定阈值。在一个实施方案中，失败DNS请求的良性百分比的预定阈值可包括在一组计算设备中的失败DNS请求的统计标准。在一些示例中，计算机实现的方法还可包括基于确定计算设备被恶意软件感染，在具有静态唯一标识符的计算设备上执行恶意软件修复动作。在一个实施方案中，静态唯一标识符可包括未被网络分配给计算设备并且只能由管理员改变的标识符。在一个实施方案中，用于实现上述方法的系统可包括(1)存储在存储器中的检测模块，该检测模块在计算设备上检测源自该计算设备的失败的DNS请求，(2)存储在存储器中的创建模块，该创建模块创建包括关于失败的域名请求的信息和计算设备的静态唯一标识符的记录，(3)存储在存储器中的关联模块，该关联模块将该记录与关于源自具有静态唯一标识符的计算设备的失败DNS请求的一组先前记录相关联，(4)存储在存储器中的确定模块，该确定模块基于将该记录与该组的先前记录相关联，确定计算设备被生成了失败的DNS请求的恶意软件感染，以及(5)至少一个物理处理器，该至少一个物理处理器被配置成执行检测模块、创建模块、关联模块和确定模块。在一些示例中，可将上述方法编码为非暂态计算机可读介质上的计算机可读指令。例如，计算机可读介质可包括一个或多个计算机可执行指令，这些指令在由计算设备的至少一个处理器执行时可以使计算设备(1)在计算设备上检测源自该计算设备的失败的DNS请求，(2)创建包括关于失败的域名请求的信息和计算设备的静态唯一标识符的记录，(3)将该记录与关于源自具有静态唯一标识符的计算设备的失败DNS请求的一组先前记录相关联，以及(4)基于将该记录与该组先前记录相关联，确定计算设备被生成了失败的DNS请求的恶意软件感染。来自上述实施方案中的任何一者的特征可根据本文所述的一般原理彼此结合地使用。通过结合附图和权利要求阅读下面的详细描述，将会更充分地理解这些和其它实施方案、特征和优点。附图说明附图示出了多个示例性实施方案并且为说明书的一部分。这些附图结合下面的描述展示并且说明本公开的各种原理。图1是用于经由域名服务流量分析来检测恶意软件感染的示例性系统的框图。图2是用于经由域名服务流量分析来检测恶意软件感染的附加示例性系统的框图。图3是用于经由域名服务流量分析来检测恶意软件感染的示例性方法的流程图。图4是示例性的失败DNS查找记录的框图。图5是用于经由域名服务流量分析来检测恶意软件感染的示例性计算系统的框图。图6是能够实现本文描述和/或示出的实施方案中的一个或多个的示例性计算系统的框图。图7是能够实现本文描述和/或示出的实施方案中的一个或多个的示例性计算网络的框图。在全部附图中，相同引用字符和描述指示类似但未必相同的元件。虽然本文所述的示例性实施方案易受各种修改和替代形式的影响，但在附图中以举例的方式示出了特定实施方案并且将在本文详细描述这些实施方案。然而，本文所述的示例性实施方案并非旨在限于所公开的特定形式。相反，本公开涵盖落在所附权利要求范围内的所有修改形式、等同形式和替代形式。具体实施方式本公开整体涉及用于经由域名服务流量分析来检测恶意软件感染的系统和方法。如将在下文中更详细阐释的，通过使用计算设备的静态唯一标识符来关联失败的DNS请求，可以在网络上跟踪失败的请求，并且还可以在计算设备的互联网协议(IP)地址改变时跟踪失败的请求。以这种方式关联失败的DNS请求允许本文所述的系统和方法更有效地识别被恶意软件感染的计算设备。下面将参考图1、图2和图5提供用于经由域名服务流量分析来检测恶意软件感染的示例性系统的详细描述。还将结合图3提供对应计算机实现的方法的详细描述。将结合图4提供对应的示例性的失败DNS查找记录的详细描述。此外，将分别结合图6和图7提供能够实现本文所述实施方案中的一个或多个的示例性计算系统和网络体系结构的详细描述。图1是经由DNS流量分析来检测恶意软件感染的示例性系统100的框图。如该图所示，示例性系统100可包括用于执行一个或多个任务的一个或多个模块102。例如，以及如将在下文中更详细阐释的，示例性系统100可包括检测模块104，该检测模块在计算设备上检测源自该计算设备的失败的DNS请求。示例性系统100可另外包括创建模块106，该创建模块创建包括关于失败的域名请求的信息和计算设备的静态唯一标识符的记录。示例性系统100还可包括关联模块108，该关联模块将该记录与关于源自具有静态唯一标识符的计算设备的失败DNS请求的一组先前记录相关联。示例性系统100可另外包括确定模块110，该确定模块基于将该记录与该组的先前记录相关联，确定计算设备被生成了失败的DN本文档来自技高网...

【技术保护点】
1.一种用于经由域名服务流量分析来检测恶意软件感染的计算机实现的方法，所述方法的至少一部分由包括至少一个处理器的计算设备来执行，所述方法包括：在所述计算设备上检测源自所述计算设备的失败域名服务请求；创建包括关于所述失败的域名请求的信息和所述计算设备的静态唯一标识符的记录；将所述记录与关于源自具有所述静态唯一标识符的所述计算设备的失败域名服务请求的一组先前记录相关联；基于将所述记录与所述组的先前记录相关联，确定所述计算设备被生成了所述失败域名服务请求的恶意软件感染。

【技术特征摘要】
【国外来华专利技术】2015.11.30 US 14/9544251.一种用于经由域名服务流量分析来检测恶意软件感染的计算机实现的方法，所述方法的至少一部分由包括至少一个处理器的计算设备来执行，所述方法包括：在所述计算设备上检测源自所述计算设备的失败域名服务请求；创建包括关于所述失败的域名请求的信息和所述计算设备的静态唯一标识符的记录；将所述记录与关于源自具有所述静态唯一标识符的所述计算设备的失败域名服务请求的一组先前记录相关联；基于将所述记录与所述组的先前记录相关联，确定所述计算设备被生成了所述失败域名服务请求的恶意软件感染。2.根据权利要求1所述的计算机实现的方法，其中：创建所述记录包括从所述计算设备向网络级分析系统发送消息；将所述记录与所述组的先前记录相关联包括由所述网络级分析系统将所述消息与由具有所述静态唯一标识符的所述计算设备发送的一组先前消息相关联；确定所述计算设备被所述恶意软件感染包括由所述网络级分析系统确定所述计算设备被恶意软件感染。3.根据权利要求1所述的计算机实现的方法，其中关于源自具有所述静态唯一标识符的所述计算设备的失败域名服务请求的所述组的先前记录包括源自在多个不同网络上具有所述静态唯一标识符的所述计算设备的失败域名服务请求的记录。4.根据权利要求1所述的计算机实现的方法，其中确定所述计算设备被所述恶意软件感染包括确定具有所述静态唯一标识符的所述计算设备已经生成的失败域名服务请求的百分比超过了失败域名服务请求的良性百分比的预定阈值。5.根据权利要求4所述的计算机实现的方法，其中所述失败域名服务请求的良性百分比的预定阈值包括在多个计算设备中的失败域名服务请求的统计标准。6.根据权利要求1所述的计算机实现的方法，还包括基于确定所述计算设备被所述恶意软件感染，在具有所述静态唯一标识符的所述计算设备上执行恶意软件修复动作。7.根据权利要求1所述的计算机实现的方法，其中所述静态唯一标识符包括未被网络分配给所述计算设备并且只能由管理员改变的标识符。8.一种用于经由域名服务流量分析来检测恶意软件感染的系统，所述系统包括：存储在存储器中的检测模块，所述检测模块在所述计算设备上检测源自所述计算设备的失败域名服务请求；存储在存储器中的创建模块，所述创建模块创建包括关于所述失败的域名请求的信息和所述计算设备的静态唯一标识符的记录；存储在存储器中的关联模块，所述关联模块将所述记录与关于源自具有所述静态唯一标识符的所述计算设备的失败域名服务请求的一组先前记录相关联；存储在存储器中的确定模块，所述确定模块基于将所述记录与所述组的先前记录相关联，确定所述计算设备被生成了所述失败域名服务请求的恶意软件感染；至少一个物理处理器，所述至少一个物理处理器被配置为执行所述检测模块、所述创建模块、所述关联模块和所述确定模块。9.根据权利要求8所述的系统，其中：所述创建模块通过从所述计算设备向网络级分析系统发送消息来创建所述记录；所述关联模块通过由所述网络级分析系统将所述消息与由具有所述静态唯一标识符的所述计算设备发送的一组先前消息相关联来将所述记录与所述组的先前...

【专利技术属性】
技术研发人员：W·E·索贝尔，
申请(专利权)人：赛门铁克公司，
类型：发明
国别省市：美国,US