基于域名系统（DNS）日志和网络数据检测DNS隧道技术方案

一种用于检测域名服务器隧道的系统，包括处理器和被存储在有形机器可读介质上的机器可读指令，机器可读指令当由处理器执行时，将处理器配置为：在预定时间段期间，收集从域名服务器接收到的对查询的响应，查询由计算设备发送到域名服务器，响应包括因特网协议(IP)地址；在预定时间段期间收集由计算设备访问的IP地址；比较来自域名服务器的响应中的由计算设备接收的IP地址和由计算设备访问的IP地址；以及基于比较检测域名服务器隧道。

DNS tunnel detection based on domain name system (DNS) log and network data

A system for detecting a domain name server tunnel includes a processor and a machine-readable instruction stored on a tangible machine-readable medium. When the machine-readable instruction is executed by the processor, the processor is configured to collect the response to the query received from the domain name server during a predetermined period of time, and the query is sent to the domain name server by a computing device. The response includes: Internet Protocol (IP) address; collect IP addresses accessed by computing devices during a predetermined period of time; compare IP addresses received by computing devices and accessed by computing devices in responses from domain name servers; and detect domain name server tunnels based on comparison.

【技术实现步骤摘要】
【国外来华专利技术】基于域名系统(DNS)日志和网络数据检测DNS隧道
本公开总体上涉及网络通信，并且更具体地涉及基于域名系统(DNS)日志和网络数据检测DNS隧道(tunneling)。
技术介绍
在此提供的背景描述是为了总体呈现本公开的内容。目前命名的专利技术者的工作，在本背景部分中描述的工作的程度上，以及在提交申请时可能不具备现有技术资格的描述的方面，既不明示也不暗示地被承认为针对本公开的现有技术。域名系统(DNS)是因特网上使用的协议和服务。DNS通常用于将域名映射到因特网协议(IP)地址。当用户在web浏览器中输入域名(例如，example.com)时，DNS用于执行转发查找以寻找针对该域名的一个或多个IP地址。DNS是分层的系统。层级的每个等级可以由具有不同所有权的另一服务器提供。对于因特网，存在13个根DNS服务器，标记为A到M。这些根DNS服务器通过多于13个物理服务器来实施。DNS的分层特性可以用一个示例来解释。考虑名为my.test.example.com的域的IP地址的示例请求。新的请求将首先去往根DNS服务器寻找哪个DNS服务器控制.com顶级域。.comDNS服务器将提供控制example.com域的DNS服务器。接着，example.comDNS服务器将提供控制test.example.com域的DNS服务器。最后，test.example.comDNS服务器将提供my.test.example.com的IP地址。利用分层的系统，给定域的所有者可以为其域定义授权服务器。也就是说，用户控制了其域的DNS查询的最终目的地主机。在典型的企业中，端点不会直接向因特网发送DNS请求。因特网DNS服务器将DNS服务提供给端点。然而，由于DNS将转发请求直到授权域名服务器被接触到，具有内部端点访问权限的攻击者可能利用企业用于DNS隧道的DNS基础设施连接到攻击者控制的域。DNS隧道是在受损的客户端与恶意的DNS服务器之间的DNS查询和响应中嵌入数据的方法，其允许数据泄露和僵尸网络的命令和控制(下文将解释)。通过DNS隧道，另一协议可以通过DNS被隧道。DNS隧道可以被用于命令和控制、数据泄露、和/或任何IP流量的隧道。DNS隧道允许绕过防火墙网络中的访问和安全策略。这样的安全漏洞会被误用于以下活动，诸如免费的web浏览、命令和控制流量、和/或网络间谍活动。DNS隧道是可能的，因为DNS请求通常不会在防火墙被过滤掉，有效地打开了安全漏洞。信息绕开第一线网络安全机制的事实使得DNS隧道在除了免费的web浏览之外非常有吸引力。一些示例包括命令和控制以及网络间谍攻击中的数据泄露，其中攻击者需要DNS提供的可用但不明显的通信信道。DNS隧道通过将数据封装到DNS包中而工作。通常，隧道客户端(例如，受损的客户端)封装数据在针对特定域名的查询中发送。域名解析器通过启动请求域名的查找过程将隧道流量视为常规请求，可能递归地询问其他域名解析器。在该操作结束时，请求由隧道服务器(例如，恶意的DNS服务器)处理。隧道服务器取回封装的数据并通过封装隧道数据(例如，恶意IP地址和/或数据)在DNS响应消息的回答部分对DNS查询进行响应。DNS协议还用于感染僵尸病毒的计算机与命令和控制(C&C)服务器之间的僵尸网络通信。“僵尸”是一类恶意软件，其允许攻击者控制受感染的计算机。僵尸网络(术语“僵尸网络”是由词语“机器人”和“网络”形成)是不被计算机所有者所知的、受恶意的软件(恶意软件)感染并由网络罪犯控制的计算机网络，其建立以转发传输(包括垃圾邮件或病毒)到因特网上的其他计算机。由于DNS协议被用于大多数因特网服务，所以基于僵尸网络通信中DNS协议使用的可能性，很难简单地阻塞DNS流量，这就是攻击者在僵尸网络通信中使用DNS协议的原因。
技术实现思路
一种系统包括处理器和被存储在有形机器可读介质上的机器可读指令，机器可读指令当通过处理器执行时，将处理器配置为：在预定时间段期间，收集从域名服务器接收到的对查询的响应，查询由计算设备发送到域名服务器，响应包括因特网协议(IP)地址；在预定时间段期间，收集由计算设备访问的IP地址；比较来自域名服务器的响应中的由计算设备接收到的IP地址和由计算设备访问的IP地址；以及基于比较检测域名服务器隧道。在其他特征中，机器可读指令还将处理器配置为：当来自域名服务器的响应中的由计算设备接收到的IP地址与由计算设备访问的IP地址之间的关联小于或等于预定阈值时，检测域服务器隧道。在其他特征中，机器可读指令还将处理器配置为：当由计算设备访问的IP地址与来自域名服务器的响应中的由计算设备接收到的IP地址之间的差异大于或等于预定阈值时，检测域服务器隧道。在其他特征中，机器可读指令还将处理器配置为：当由计算设备访问的IP地址的数目小于或等于来自域名服务器的响应中的由计算设备接收到的IP地址的数目的预定百分比时，检测域服务器隧道。在其他特征中，机器可读指令还将处理器配置为：当基于比较检测到域名服务器隧道时，生成指示域名服务器是恶意的指示。在其他特征中，机器可读指令还将处理器配置为：当基于比较检测到域名服务器隧道时，生成指示计算设备上的数据安全是受损的指示。在其他特征中，机器可读指令还将处理器配置为：当来自域名服务器的响应中的由计算设备接收到的IP地址与由计算设备访问的IP地址之间差异大于或等于预定阈值时，生成指示。在其他特征中，机器可读指令还将处理器配置为：当来自域名服务器的响应中的由计算设备接收到的IP地址与由计算设备访问的IP地址之间的差异大于或等于预定阈值时，并且当检测到与计算设备和域名服务器中的一个或多个的通信相关联的另一条件时，以预定的置信度水平指示域名服务器隧道的出现。在其他特征中，其他条件包括从计算设备发送具有大于或等于预定长度的域名的查询。而在其他特征中，一种用于检测计算设备与域名服务器之间的域名服务器隧道的方法，包括：在预定时间段期间，收集从域名服务器接收到的对查询的响应，查询由计算设备发送到域名服务器，响应包括因特网协议(IP)地址；监测计算设备与除了域名服务器之外的设备之间的通信；在预定时间段期间，基于该监测收集由计算设备访问的IP地址；比较来自域名服务器的响应中的由计算设备接收到的IP地址与由计算设备访问的IP地址；以及基于比较检测域名服务器隧道。在其他特征中，该方法还包括：当来自域名服务器的响应中的由计算设备接收到的IP地址与由计算设备访问的IP地址之间的关联小于或等于预定阈值时，确定域名服务器隧道存在。在其他特征中，该方法还包括：当由计算设备访问的IP地址与来自域名服务器的响应中的由计算设备接收到的IP地址之间的差异大于或等于预定阈值时，确定域名服务器隧道存在。在其他特征中，该方法还包括：当由计算设备访问的IP地址的数目小于或等于来自域名服务器的响应中的由计算设备接收到的IP地址的数目的预定百分比时，确定域名服务器隧道存在。在其他特征中，该方法还包括：当基于比较检测到域名服务器隧道时，生成指示域名服务器是恶意的指示。在其他特征中，该方法还包括：当基于比较检测到域名服务器隧道时，生成指示计算设备上的数据安全是受损的指示。在其他特征中，该方法还包括：当来自域名服务器的响应中由计算设备接本文档来自技高网...

【技术保护点】
1.一种系统，包括：处理器；以及机器可读指令，其被存储在有形的机器可读介质上，所述机器可读指令当由所述处理器执行时，将所述处理器配置为：在预定时间段期间，收集从域名服务器接收到的对查询的响应，所述查询由计算设备发送到所述域名服务器，所述响应包括因特网协议(IP)地址；在所述预定时间段期间，收集由所述计算设备访问的IP地址；比较来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址和由所述计算设备访问的所述IP地址；以及基于所述比较检测域名服务器隧道。

【技术特征摘要】
【国外来华专利技术】2017.03.22 US 15/466,3001.一种系统，包括：处理器；以及机器可读指令，其被存储在有形的机器可读介质上，所述机器可读指令当由所述处理器执行时，将所述处理器配置为：在预定时间段期间，收集从域名服务器接收到的对查询的响应，所述查询由计算设备发送到所述域名服务器，所述响应包括因特网协议(IP)地址；在所述预定时间段期间，收集由所述计算设备访问的IP地址；比较来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址和由所述计算设备访问的所述IP地址；以及基于所述比较检测域名服务器隧道。2.根据权利要求1所述的系统，其中所述机器可读指令还将所述处理器配置为：当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的关联小于或等于预定阈值时，检测所述域名服务器隧道。3.根据权利要求1所述的系统，其中所述机器可读指令还将所述处理器配置为：当由所述计算设备访问的所述IP地址与来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址之间的差异大于或等于预定阈值时，检测所述域名服务器隧道。4.根据权利要求1所述的系统，其中所述机器可读指令还将所述处理器配置为：当由所述计算设备访问的所述IP地址的数目小于或等于来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址的数目的预定百分比时，检测所述域名服务器隧道。5.根据权利要求1所述的系统，其中所述机器可读指令还将所述处理器配置为：当所述域名服务器隧道基于所述比较而被检测到时，生成指示所述域名服务器是恶意的指示。6.根据权利要求1所述的系统，其中所述机器可读指令还将所述处理器配置为：当所述域名服务器隧道基于所述比较而被检测到时，生成指示所述计算设备上的数据安全是受损的指示。7.根据权利要求1所述的系统，其中所述机器可读指令还将所述处理器配置为：当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的差异大于或等于预定阈值时，生成指示。8.根据权利要求1所述的系统，其中所述机器可读指令还将所述处理器配置为：当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的差异大于或等于预定阈值时，并且当与所述计算设备和所述域名服务器中的一个或多个的通信相关联的另一条件被检测到时，以预定的置信度水平指示所述域名服务器隧道的出现，其中所述另一条件包括从所述计算设备发送的具有大于或等于预定长度的域名的查询。9.一种用于检测计算设备与域名服务器之间的域名服务器隧道的方法，所述方法包括：在预定时间段期间，收集从域名服务器接收到的对查询的响应，所述查询由计算设备发送到所述域...

【专利技术属性】
技术研发人员：A·布鲁茨库斯，R·莱文，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US