本文公开的示例涉及基于安全级别和域名访问信息来确定是否允许对IP地址的访问。在一个实施方式中,处理器拦截对与域名相关的域名系统请求的响应,并且基于请求和/或响应来更新安全级别。处理器可以基于安全级别以及域名与存储的与先前域名访问相关的信息的比较来确定是转发还是阻止响应。
【技术实现步骤摘要】
【国外来华专利技术】基于安全级别和访问历史的IP地址访问
技术介绍
恶意软件可以使用命令和控制渗透技术,其中,受感染设备上的恶意软件与将指令发送到恶意软件的命令和控制中心进行通信,例如以搜索或发送存储在设备上的数据。在一些情况下,域生成算法可以用于生成一组域名,恶意软件可以使用其与命令中心进行通信,以使得当域名的子集被阻止时恶意软件仍然能够与命令中心通信。附图说明附图描述了示例性实施例。以下详细描述参考了附图,其中:图1是示出用于基于安全级别和访问历史来确定IP地址访问的计算系统的一个示例的框图。图2是示出用于基于安全级别和访问历史来确定IP地址访问的方法的一个示例的流程图。图3是示出用于基于安全级别和访问历史来确定IP地址访问的方法的一个示例的流程图。图4是示出基于不同安全级别的IP地址访问差异的一个示例的图。具体实施方式在一个实施方式中,计算系统拦截对域名服务(DNS)请求的响应,所述DNS请求针对与域名相关的IP地址。计算系统可以基于安全级别以及域名与存储的与先前域名访问相关的信息的比较来确定是转发IP地址还是阻止IP地址。可以基于聚合网络业务信息来确定安全级别,并且先前域名访问信息可以包括在特定时间段期间先前由电子设备和/或用户访问的域名。作为示例,计算系统可以确定与电子设备相关联的安全级别,例如安全级别是否在网络业务过滤级别上。计算系统可以基于DNS请求和/或响应来确定是否增加、维持或降低安全级别。如果在网络过滤模式下,则计算系统可以将与DNS请求相关联的域名与先前访问的域名的列表进行比较。如果域名不在列表上或者不满足其他先前的访问标准,则可以发送NXDOMAIN响应来代替作为DNS响应而被接收的IP地址,以使得电子设备不能访问IP地址。如果域名满足访问标准,则计算系统可以发送作为DNS响应而被接收的IP地址,以使得电子设备可以使用IP地址进行通信。使用基于对可疑活动和新域名请求的检测来确定是否选择性地阻止网络业务的系统可以高效地防止或减轻一些网络攻击。阻止对新域名的访问可以防止恶意软件使用一组潜在域名中的任何一个来与命令和控制中心进行通信。自动化系统可以减少IT人员监测的参与和时间,且并减轻用户的负担。例如,当系统在低安全级别中而没有网络过滤时,用户可以不经历任何变化,并且在较高安全级别期间的效果可以限于无法访问新网站。用户可以是能够继续执行与先前访问的网站(例如,作为用户工作的一部分而频繁访问的网站)相关的任务的。图1是示出用于基于安全级别和访问历史来确定IP地址访问的计算系统的一个示例的框图。例如,计算系统100可以基于安全级别来确定是否过滤网络业务。如果安全级别处于网络过滤级别,则DNS域名请求可以与历史访问信息(例如,先前访问的域名的列表)相比较,以确定是否允许对作为DNS响应而被接收的IP地址的访问。计算系统100可以包括存储装置104、DNS服务器103、处理器101和安全模块102。DNS服务器103可以是任何合适的DNS服务器。例如,DNS服务器103可以使用DNS协议来解析域名以将IP地址与域名相关联。DNS服务器103可以从处理器101接收请求,例如在处理器101执行用于与DNS服务器103进行通信的安全模块102指令的情况下。处理器101可以经由网络与DNS服务器103进行通信。DNS服务器103可以从处理器101接收包括域名的请求,并且用相关联的IP地址来对处理器101进行响应。存储装置104可以存储历史域名访问信息105和安全级别信息106。存储装置104可以是与处理器101通信的任何合适的存储装置。在一个实施方式中,处理器101经由网络与存储装置104通信。历史域名访问信息105可以包括与历史域名访问相关的任何合适的信息。例如,历史域名访问信息105可以包括域名、相关IP地址、访问时间和/或访问频率。当另外的域名被访问时,历史域名访问信息105可以被更新。历史域名访问信息105可以与特定电子设备的访问、特定用户的访问和/或一组用户的访问相关联。历史域名访问信息105可以通过用户或电子设备先前未访问的另外的域名来增强。例如,可以基于机器学习、外部域列表和/或用户输入来增强历史域名访问信息105。作为示例,历史域名访问信息105可以在用户了访问域名A并且机器学习指示访问了域名A的用户中的90%也访问另外的域名的情况下包括该另外的域名。安全级别信息106可以包括关于当前安全级别的信息。安全级别信息106可以包括用于确定与处理器101相关联的安全级别的度量。例如,可以存储和更新关于域名访问模式的聚合安全度量,以使得基于聚合安全度量与门限的比较来更新安全级别。处理器101可以是中央处理单元(CPU)、基于半导体的微处理器或适合于检索和执行指令的任何其他设备。替代或附加于提取、解码和执行指令,处理器101可以包括一个或多个集成电路(IC)或其他电子电路,其包括用于执行以下描述的功能的多个电子组件。以下描述的功能可以由多个处理器执行。处理器101可以与任何合适的计算设备相关联,例如膝上型计算机或移动计算设备。处理器101可以与安全模块102通信。安全模块102可以用硬件、固件和/或软件来体现。安全模块102可以存储在存储装置104中或单独的存储设备或分区中。安全模块102可以存储在机器可读存储介质中。机器可读存储介质可以是任何合适的机器可读介质,例如存储可执行指令或其他数据的电、磁、光或其他物理存储设备(例如,硬盘驱动器、随机存取存储器、闪速存储器等等)。机器可读存储介质可以是例如计算机可读的非暂时性介质。安全模块102可以在计算系统100内具有与DNS服务器103相关的任何合适的配置。安全模块102可以存储在软件栈中与请求客户端应用和DNS解析器相比较低的错误控制层处。安全模块可以拦截去往DNS服务器103的请求和/或来自DNS服务器103的响应。在错误控制层中,安全模块102可以通过阻止业务在软件栈中上下移动来阻止去往和/或来自DNS服务器103的业务。在一个实施方式中,安全模块102驻留在应用层处,以使得安全模块102拦截、监测和/或控制去往和/或来自DNS服务器103的业务。在一个实施方式中,安全模块驻留在网络上,以使得其在DNS服务器103的请求和/或响应跨网络被转发时监测DNS服务器103的请求和/或响应。在一个实施方式中,安全模块102存储在DNS服务器103上。例如,安全模块102可以对将请求发送到DNS服务器103的多个电子设备执行安全监测,所述多个电子设备例如在相同公司环境中的多个电子设备。安全模块102可以包括可由处理器101和/或另一处理器执行的指令。例如,安全模块102可以包括DNS响应访问指令107、安全级别更新指令108、域名访问确定指令109和访问确定输出指令110。DNS响应接收指令107可以包括用于访问与IP地址相关的信息的指令,所述IP地址作为去往DNS服务器103的DNS请求的响应而被接收。例如,处理器101可以在转发IP地址之前分析接收的响应,以允许处理器101经由IP地址进行通信。安全级别更新指令108可以包括用于基于去往DNS服务器103的DNS请求和/或来自DNS服务器103的响应来更新安全级别信息105的指令。安全级别信息106可以包本文档来自技高网...
【技术保护点】
1.一种计算系统,包括:存储装置,其用于存储:历史域名访问信息和安全级别信息;安全模块,其包括用于执行以下操作的指令:访问与IP地址相关的信息,所述IP地址作为对与域名相关的域名系统请求的响应而被接收;基于所述请求和所述响应中的至少一个来更新安全级别;基于所述安全级别以及对所述域名与所述历史域名访问信息的比较来确定是否允许对所述IP地址的访问;以及输出与访问确定相关的信息;以及处理器,其用于执行安全模块指令。
【技术特征摘要】
【国外来华专利技术】1.一种计算系统,包括:存储装置,其用于存储:历史域名访问信息和安全级别信息;安全模块,其包括用于执行以下操作的指令:访问与IP地址相关的信息,所述IP地址作为对与域名相关的域名系统请求的响应而被接收;基于所述请求和所述响应中的至少一个来更新安全级别;基于所述安全级别以及对所述域名与所述历史域名访问信息的比较来确定是否允许对所述IP地址的访问;以及输出与访问确定相关的信息;以及处理器,其用于执行安全模块指令。2.如权利要求1所述的计算系统,其中,所述存储装置还用于存储聚合安全度量,并且其中,更新所述安全级别包括:基于所述请求和所述响应中的至少一个来更新所述聚合安全度量;以及基于所述聚合安全度量与安全级别标准相比较来更新所述安全级别。3.如权利要求2所述的计算系统,其中,所述聚合安全度量与以下各项中的至少一项的数量相关:域名系统请求、没有返回响应的域名系统请求、与未被包括在域名访问列表中的域名相关的域名系统请求、与相同域的子域相关的域名系统请求、具有不在域名访问列表历史列表中的非解析域名的域名系统请求、以及非重复域名系统请求。4.如权利要求2所述的计算系统,其中,更新所述安全级别包括基于以下各项中的至少一项来更新所述安全级别:所述聚合安全度量超过门限的量、所述聚合安全度量超过门限的频率、以及所述安全等级已被提高的时间量。5.如权利要求1所述的计算系统,其中,所述处理器还用于基于以下各项中的至少一项来增强所述历史域名访问信息:机器学习、外部域名列表、以及用户输入。6.如权利要求1所述的计算系统,其中,所述安全级别可以包括以下各项中的至少一项:域名非过滤级别、域名过滤的第一级别、以及域名过滤的第二级别。7.如权利要求1所述的计算系统,其中,确定是否允许访问包括:基于与所述历史域名访问信...
【专利技术属性】
技术研发人员:A·J·鲍德温,D·C·埃拉姆,J·格里芬,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。