用于检测对域名系统记录系统的更新的方法、系统和介质技术方案

本发明专利技术涉及用于检测对域名系统记录系统的更新的方法、系统和介质。在所述方法中，接收数据点的流，每个数据点描述域名系统的记录。针对各个数据点，从多个处理器中选择处理器。所述处理器各自被配置为将数据点应用于评估所述数据点是否在集合中的公共过滤器。在所述选择的处理器处，将所述各个数据点应用于所述公共过滤器以确定在所述集合中是否包括所述记录。当确定在所述集合中不包括所述记录时，提供指示所述域名系统包括新记录的消息，并且更新所述公共过滤器以将所述数据点包括在所述集合中。

【技术实现步骤摘要】
用于检测对域名系统记录系统的更新的方法、系统和介质本申请是分案申请，其原案申请是申请日为2016年8月4日，申请号为201610630826.5，专利技术名称为“用于检测对域名系统记录系统的更新的方法、系统和介质”。
本领域大体上涉及网络安全性，并且更具体地涉及收集并且处理域名系统(DNS)记录。
技术介绍
例如，通信网络可以允许在两个地理位置上相距遥远的位置之间传输数据。为了通过网络发送数据，通常将数据分为片，称为数据包或者块。每个数据包或者块可以具有指示数据包的目的地以及数据包所应该路由的中间转发装置的目的地网络地址(诸如，IP地址)。这些地址常常为数值，很难被记住，并且可以经常变化。为了识别目的地，经常使用域名。域名识别目的地主机或者服务器并且可以映射到对应的网络地址。例如，域名www.example.com可以映射到网络地址93.184.216.119。为了将域名映射到网络地址，可以使用域名系统(DNS)。DNS可以将命名空间分为层级，该层级具有控制该层级的不同部分的不同组织。在层级的不同部分中，不同的名称服务器可以存储资源记录，该资源记录将域名映射到网络地址。为了从域名查找网络地址，DNS可以使用解析器，该解析器可以针对不同的名称服务器执行查询序列。例如，用于解析www.example.com的查询序列可以开始于根名称服务器，该根名称服务器指示针对.com的名称服务器的地址。然后，DNS解析器可以向用于.com的名称服务器查询用于example.com的名称服务器的地址。然后，DNS解析器可以向用于example.com的名称服务器查询www.example.com的地址。实际上，由于解析器不需要针对每个请求查阅整个序列，所以解析器可以缓存不同的名称服务器的地址。每天都有许多新的域被注册。然而，并不是所有的域都是为了合法的目的而注册。一些域是为了恶意的目的而注册。一种恶意目的是影响网络服务。这些可以被称为拒绝服务攻击。拒绝服务攻击的一个示例是传输控制协议(TCP)泛洪攻击滥用。其它网络滥用可能不试图影响服务，相反，出于其它不恰当的目的，可能会发出网络请求，包括应用级请求。在这些滥用中，自动化系统可能会发出应用请求，该应用请求例如设立假用户账户并且试图诱使用户移交机密信息，诸如，她的密码、信用卡信息或者社会保障号，或者运行其它骗局。可以注册域来支持这些滥用以及其它类型的网络滥用，包括：恶意软件、网络钓鱼或者垃圾邮件。为了防止网络滥用，网络管理员可以将DNS解析器配置为阻塞或者重定向对被认为是恶意的域名的查找。例如，域名服务响应策略区(DNSRPZ)提供阻塞或者重定向指定域名查找的机制。在这些网络滥用中，攻击者常常在注册之后立即使用他们的域名并且仅使用很短一段时间。相反，合法的网络服务可能不会在注册之后太快使用它们的域名并且会继续使用它们的域名很长一段时间。因此，可以将新观察到的域(NOD)，例如，在特定时段(例如，过去5分钟、1小时、12小时或者甚至24小时)内已经注册的域，识别为潜在恶意的。服务可用于向DNS解析器提供这些新观察到的域，以在该时段内阻塞域名查找。但是大规模地追踪新观察到的域可能需要很大的计算量。需要更加有效地检测新观察到的域的系统和方法。
技术实现思路
在实施例中，计算机实现的方法检测对域名系统记录系统的更新。在该方法中，接收数据点的流，每个数据点描述域名系统的记录。针对各个数据点，从多个处理器中选择处理器。处理器各自被配置为将数据点应用于评估所述数据点是否在集合中的公共过滤器。在选择的处理器处，将各个数据点应用于公共过滤器以确定在集合中是否包括记录。当确定在集合中不包括记录时，提供指示域名系统包括新记录的消息，并且更新公共过滤器以将数据点包括在集合中。也公开了系统和计算机程序产品实施例。下面参照附图详细地描述本专利技术的进一步实施例、特征和优点以及不同实施例的结构和操作。附图说明包括在本文中并且形成说明书的部分的附图示出了本公开并且连同本说明书进一步用于阐释本公开的原理并且使本领域的技术人员能够制作和使用本公开。图1是图示了根据实施例的用于识别先前未观察到的新DNS记录的系统的示意图。图2是更详细地图示了图1所示的更新器的示例架构的示意图。图3是图示了在图1中的系统阻塞潜在恶意域名的示例应用的流程图。图4是图示了根据实施例的用于识别先前未观察到的新DNS记录的方法的流程图。元件第一次出现的附图通常由对应附图标记的最左边的一个或多个数字指示。在附图中，同样的附图标记可以指示相同的或者功能相似的元件。具体实施方式实施例通过使用共享公共过滤器的多个处理器加快了识别新域名记录的过程。过滤器被配置为确定域记录信息是否存在于先前检测到的信息集中。如果过滤器指示检测到的域名记录信息不存在于集合中，则将域识别为新观察到的。当新观察到域时，将域信息排队，以便写入至公共过滤器。处理器可以，例如，在分布式计算环境中的不同线程或甚至不同机器上并行地运行。相反，可以通过使用单个写入器线程将所有排队的新观察到的域都写入至公共过滤器，以提供一致性并且防止死锁。通过使多个处理器并行地运行，实施例可以更加快速地并且有效地检测新域名记录。具体地，可能都不需要多个阅读器线程和写入器来在公共过滤器上获取锁定。这样，实施例允许可扩展性，从而使系统能够快速地处理大量数据。例如，本文所公开的技术可以用于检测对其它大分布式数据库的更新。虽然为了说明起见针对域名数据对实施例进行了描述，但是本领域的技术人员要认识到，本公开的方面(诸如，具有将数据与公共过滤器进行比较的并行阅读器处理器)也适用于其它类型的数据。这样，实施例可以用于检测各种不同数据类型的变化。将下述详细说明分为几个部分。第一部分参照图1描述了用于检测在来自DNS数据的流的大量DNS记录之中的新DNS记录的系统。第二部分参照图2描述了用于更新用于识别每个DNS记录的新颖性的公共过滤器的机制。第三部分参照图3描述了DNS数据处理系统针对网络安全性的应用。最后，第四部分参照图4描述了用于识别先前未观察到的新DNS记录的方法，该方法可以用在图1中的系统的操作中。识别新DNS记录图1是图示了DNS数据处理系统100的示意图。DNS数据处理系统100识别先前未被系统观察到的并且未被记录在DNS数据库中的新DNS记录。DNS数据处理系统100包括流接收器104、变化检测器120、布隆过滤器(Bloomfilter)116、流输出器112、DNS数据库108、更新器118和时移复制器(time-shiftduplicator)120。下面描述了这些部件中的每一个。DNS数据处理系统100接收DNS数据记录102作为输入。DNS数据记录102可以是数据点的流，每个数据点描述域名系统的记录。可以从由DNS传感器节点阵列观察到的DNS记录中检测DNS响应记录102，如下面将参照图3所描述的。当该数据在互联网上被使用时，该数据实时提供DNS配置和内容数据的快照。可以将DNS响应记录分解为多个资源记录集合(RRset)。RRset可以包括一个或者多个DNS资源记录(RR)。RR可以是单个DNS记录，并且可以包括多个字段。这些字段包括：●所有者名称字段，该所有者名称字段可以指定完全合格的本文档来自技高网...

【技术保护点】
1.一种用于检测对域名系统记录系统的更新的计算机实现的方法，所述方法包括：接收数据点的流，每个所述数据点描述域名系统的记录；针对在所述数据点的流中的各个数据点：从多个处理器中选择处理器，每个处理器被配置为将数据点应用于公共过滤器，其中所述公共过滤器是确定如下之一的概率性数据结构：所述数据点(i)可能在集合中或者(ii)肯定不在集合中；在所述选择的处理器处，将所述各个数据点应用于所述公共过滤器以确定在所述集合中是否包括所述记录；当确定在所述集合中肯定不包括所述记录时：提供指示所述域名系统包括新记录的消息；并且更新所述公共过滤器以将所述数据点包括在所述集合中。

【技术特征摘要】
2015.08.04 US 14/817,8801.一种用于检测对域名系统记录系统的更新的计算机实现的方法，所述方法包括：接收数据点的流，每个所述数据点描述域名系统的记录；针对在所述数据点的流中的各个数据点：从多个处理器中选择处理器，每个处理器被配置为将数据点应用于公共过滤器，其中所述公共过滤器是确定如下之一的概率性数据结构：所述数据点(i)可能在集合中或者(ii)肯定不在集合中；在所述选择的处理器处，将所述各个数据点应用于所述公共过滤器以确定在所述集合中是否包括所述记录；当确定在所述集合中肯定不包括所述记录时：提供指示所述域名系统包括新记录的消息；并且更新所述公共过滤器以将所述数据点包括在所述集合中。2.根据权利要求1所述的方法，进一步包括：将所述数据点组织为多个数据包，其中，所述选择包括为在所述多个数据包中的各个数据包选择处理器；以及将所述数据包发送至所述选择的处理器以将所述公共过滤器应用于在所述数据包中的每个数据点。3.根据权利要求1所述的方法，进一步包括：针对在所述数据点的流中的各个数据点，将所述记录存储在数据库中；以及基于所述数据库来更新所述公共过滤器。4.根据权利要求3所述的方法，进一步包括：当确定在所述集合中肯定不包括所述记录时，将来自所述数据库的所述记录和数据存储到队列中；以及对来自所述队列的数据进行检索以更新所述公共过滤器。5.根据权利要求1所述的方法，进一步包括：响应于所述消息，阻塞与所述记录相关联的域。6.根据权利要求1所述的方法，其中，所述数据点的流包括：(i)来自所述域名系统的新基本域名、(ii)来自所述域名系统的完全合格的域名、(iii)来自所述域名系统的完全合格的域名的资源记录类型的指示、(iv)来自所述域名系统的完全合格的域名的资源记录的识别、和(v)来自所述域名系统的完全合格的域名的资源记录的集合的识别。7.根据权利要求1所述的方法，其中，从多个处理器中选择处理器是基于负载平衡机制，以便在所有的所述多个处理器之间平均分配处理负荷。8.一种具有在其上存储的指令的非暂时性计算机可读介质，所述指令在由至少一个计算装置执行时使所述至少一个计算装置执行用于检测对域名系统记录系统的更新的方法，所述方法包括：接收数据点的流，每个所述数据点描述域名系统的记录；针对在所述数据点的流中的各个数据点：从多个处理器中选择处理器，每个处理器被配置为将数据点应用于公共过滤器，其中所述公共过滤器是确定如下之一的概率性数据结构：所述数据点(i)可能在集合中或者(ii)肯定不在集合中；在所述选择的处理器处，将所述各个数据点应用于所述公共过滤器以确定在所述集合中是否包括所述记录；当确定在所述集合中肯定不包括所述记录时：提供指示所述域名系统包括新记录的消息；并且更新所述公共过滤器以将所述数据点包括在所述集合中。9.根据权利要求8所述的计算机可读介质，所述方法进一步包括：将所述数据点组织为多个数据包，其中，所述选择包括为在所述多个数据包中的各个数据包选择处理器；以及将所述数据包发送至所述选择的处理器以将所述公共过滤器应用于在所述数据包中的每个数据点。10.根据权利要求8所述的计算机可读介质，所述方法进一步包括：针对在所述数据点...

【专利技术属性】
技术研发人员：亨利·斯特恩，
申请(专利权)人：法赛特安全公司，
类型：发明
国别省市：美国,US