本发明专利技术提供了一种进程DNS活动监控方法、设备及介质。其中,该方法基于域名服务提供者服务的监控进程DNS解析及其解析结果的方法,可以高效的在不影响系统稳定性的情况下关联进程、域名、IP地址三者之间的关系,避免了从驱动层解析DNS数据报文存在的问题,降低了监控系统的复杂度。
Process DNS Activity Monitoring Method, Equipment and Media
The invention provides a process DNS activity monitoring method, equipment and medium. Among them, this method is based on DNS parsing of monitoring process of domain name service provider service and its parsing results. It can efficiently correlate the relationship among process, domain name and IP address without affecting the stability of the system. It avoids the problem of parsing DNS data message from the driver layer and reduces the complexity of the monitoring system.
【技术实现步骤摘要】
进程DNS活动监控方法、设备及介质
本专利技术涉及软件安全领域,具体而言,涉及一种进程DNS活动监控方法、设备及介质。
技术介绍
NSP(NamespaceServiceProvider,域名服务提供者)服务和LSP(LayeredServiceProvider,分层服务提供者)服务类似,是Windows提供的一种应用在应用层的从数据到程序之间可以修改监控数据的一种机制,可以先于解析动作加载用于解析重定向等功能。DNS(DomainNameSystem,域名系统),万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过域名,最终得到该域名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。恶意软件技术的与日俱增,涌现了许多逃避安全软件检测的手段。其中之一的技术为DGA(域名生成算法)。通过对特定域名的访问,恶意软件可以接受来自服务器的指令,根据指令完成不同的侵害计算机财产安全的行为。DGA(域名生成算法)是恶意软件自身约定的算法生成一个随机域名字符串的一种技术。有别于传统的后门域名生成方式。传统的域名使用方式一般是通过固定的字符串域名嵌入到程序中,然后进行访问。而域名生成算法的产生可以使得程序在运行期间可以实时、动态生成。只需服务器与恶意软件通过相同的算法生成相同的域名,并且服务器注册通过算法生成的域名,客户端即可对该域名进行访问。该种域名是可以短时大量生成,极易由软件开发者控制,可以随时上线或者下线,具有高并发、高时效、高易失的特点,极大的增加了通过静态域名的监控来实现恶意软件的判别难度。通过对大量恶意软件样本的观察分析可以发现,恶意软件在何时访问了域名,访问了什么域名,以及该域名对应的实时IP这样的相关信息,对于判别恶意软件是有极大的帮助的。在知道某些IP地址已经被加入黑名单的情况下,如果能够关联进程、域名、IP之间的信息,对于提高分辨恶意软件的效率与准确率。
技术实现思路
本专利技术提供了一种进程DNS活动监控方法、设备及介质,以至少解决相关技术中从驱动层解析DNS数据报文存在的问题。第一方面,本专利技术实施例提供了一种进程DNS活动监控方法,包括:监控模块注册到域名服务提供者服务;所述监控模块通过所述域名服务提供者服务,在进程进行域名解析时,监听所述进程的域名请求,并解析系统服务响应于所述域名请求的数据。第二方面,本专利技术实施例提供了一种进程DNS活动监控设备,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现第一方面所述的方法。第三方面,本专利技术实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当所述计算机程序指令被处理器执行时实现第一方面所述的方法。通过本专利技术实施例提供的进程DNS活动监控方法、设备及介质,采用监控模块注册到域名服务提供者服务;监控模块通过域名服务提供者服务,在进程进行域名解析时,监听所述进程的域名请求,并解析系统服务响应于所述域名请求的数据的方式,解决了从驱动层解析DNS数据报文存在的问题,降低了监控系统的复杂度。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的进程DNS活动监控方法的流程图;图2是根据本专利技术实施例的进程DNS活动监控设备的硬件结构示意图;图3是根据本专利技术优选实施例的进程DNS活动监控方法的流程图。具体实施方式下面将详细描述本专利技术的各个方面的特征和示例性实施例,为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细描述。应理解,此处所描述的具体实施例仅用于解释本专利技术,并不用于限定本专利技术。对于本领域技术人员来说,本专利技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本专利技术的示例来提供对本专利技术更好的理解。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。在本实施例中提供了一种进程DNS活动监控方法,图1是根据本专利技术实施例的进程DNS活动监控方法的流程图,如图1所示,该流程包括如下步骤:步骤S101,监控模块注册到域名服务提供者服务;步骤S102,监控模块通过域名服务提供者服务,在进程进行域名解析时,监听进程的域名请求,并解析系统服务响应于域名请求的数据。通过上述步骤,将监控模块注册到域名服务提供者服务,使得监控模块可以通过域名服务提供者服务在进程进行域名解析时,监听进程的域名请求,并解析系统服务响应于域名请求的数据,解决了从驱动层解析DNS数据报文存在的问题,降低了监控系统的复杂度。可选地,监控模块通过域名服务提供者服务,在进程进行域名解析时,监听进程的域名请求,并解析系统服务响应于域名请求的数据包括:监控模块通过域名服务提供者服务,在进程进行域名解析时,监听进程的进程ID信息和域名请求中的域名信息,并解析系统服务响应于域名请求的IP地址信息。通过上述方式实现了进程、域名和IP地址的关联。在传统技术中从内核驱动层监控本机的UDP53通信端口,通过分析数据流,解析DNS数据报文,来获取本机访问域名,该种方法不易将访问发起动作、域名解析结果以及发起进程之间的关系进行关联,并且复杂度较高,内核的某些数据操作也有可能降低系统的稳定性。而采用本实施例的方法,不但能够更容易地在应用层获得域名、进程ID和域名解析得到的IP地址之间的对应关系,还见底了复杂度,提升了系统的稳定性,避免了在驱动层进行监控可能导致的系统稳定性降低的问题。相对于传统技术中在应用层通过挂钩相关域名解析函数来记录域名访问的监控方法,该方法由于修改了进程本身的执行代码,较易被发现,会增加恶意软件逃逸的几率,另外挂钩需要对每一个进行DNS查询的函数都进行处理,也提升了软件设计的复杂度。而采用本实施例的方法,不需要对进程本身的执行代码进行修改,不易被发现也不易被绕过。可选地,在步骤S103中,在进程开始进行域名解析时,监控模块被加载到进程的进程空间;在进程解析域名的过程中,监控模块记录域名请求的发起信息,发起信息至少包括:域名信息、进程ID信息。可选地,在步骤S103中还包括:在进程完成域名解析时,监控模块记录域名解析结果,域名解析结果至少包括:系统服务响应于域名请求的IP地址信息。通过上述的优选方式,能够获得进程访问的域名、进程ID以及域名解析得到的IP地址之间的对应关系。可选地,在在进程开始进行域名解析时,监控模块被加载到进程的进程空间之后,进程通过API接口进行初始化,建立与监控系统的服务端的通信机制。可选地,监控模块则可以通过通信机制,将进程ID信息、域名信息和IP地址信息发送给监控系统的服务端本文档来自技高网...
【技术保护点】
1.一种进程DNS活动监控方法,其特征在于,包括:监控模块注册到域名服务提供者服务;所述监控模块通过所述域名服务提供者服务,在进程进行域名解析时,监听所述进程的域名请求,并解析系统服务响应于所述域名请求的数据。
【技术特征摘要】
1.一种进程DNS活动监控方法,其特征在于,包括:监控模块注册到域名服务提供者服务;所述监控模块通过所述域名服务提供者服务,在进程进行域名解析时,监听所述进程的域名请求,并解析系统服务响应于所述域名请求的数据。2.根据权利要求1所述的方法,其特征在于,所述监控模块通过所述域名服务提供者服务,在进程进行域名解析时,监听所述进程的域名请求,并解析系统服务响应于所述域名请求的数据包括:所述监控模块通过所述域名服务提供者服务,在进程进行域名解析时,监听所述进程的进程ID信息和所述域名请求中的域名信息,并解析系统服务响应于所述域名请求的IP地址信息。3.根据权利要求1所述的方法,其特征在于,所述监控模块通过所述域名服务提供者服务,在进程进行域名解析时,监听所述进程的域名请求包括:在所述进程开始进行域名解析时,所述监控模块被加载到所述进程的进程空间;在所述进程解析域名的过程中,所述监控模块记录域名请求的发起信息,所述发起信息至少包括:域名信息、进程ID信息。4.根据权利要求3所述的方法,其特征在于,所述监控模块解析系统服务响应于所述域名请求的IP地址信息包括:在所述进程完成域名解析时,所述监控模块记录域名解析结果,所述域名解析结果至少包括...
【专利技术属性】
技术研发人员:李智,孙浩,刘伟,黄河,敖雪,李杰,周广宇,赵瑾,张健,陈思剑,杜英鹏,
申请(专利权)人:中国人民解放军六一六六零部队,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。