A system for detecting a domain name server tunnel includes a processor and a machine-readable instruction stored on a tangible machine-readable medium. When the machine-readable instruction is executed by the processor, the processor is configured to collect the response to the query received from the domain name server during a predetermined period of time, and the query is sent to the domain name server by a computing device. The response includes: Internet Protocol (IP) address; collect IP addresses accessed by computing devices during a predetermined period of time; compare IP addresses received by computing devices and accessed by computing devices in responses from domain name servers; and detect domain name server tunnels based on comparison.
【技术实现步骤摘要】
【国外来华专利技术】基于域名系统(DNS)日志和网络数据检测DNS隧道
本公开总体上涉及网络通信,并且更具体地涉及基于域名系统(DNS)日志和网络数据检测DNS隧道(tunneling)。
技术介绍
在此提供的背景描述是为了总体呈现本公开的内容。目前命名的专利技术者的工作,在本背景部分中描述的工作的程度上,以及在提交申请时可能不具备现有技术资格的描述的方面,既不明示也不暗示地被承认为针对本公开的现有技术。域名系统(DNS)是因特网上使用的协议和服务。DNS通常用于将域名映射到因特网协议(IP)地址。当用户在web浏览器中输入域名(例如,example.com)时,DNS用于执行转发查找以寻找针对该域名的一个或多个IP地址。DNS是分层的系统。层级的每个等级可以由具有不同所有权的另一服务器提供。对于因特网,存在13个根DNS服务器,标记为A到M。这些根DNS服务器通过多于13个物理服务器来实施。DNS的分层特性可以用一个示例来解释。考虑名为my.test.example.com的域的IP地址的示例请求。新的请求将首先去往根DNS服务器寻找哪个DNS服务器控制.com顶级域。.comDNS服务器将提供控制example.com域的DNS服务器。接着,example.comDNS服务器将提供控制test.example.com域的DNS服务器。最后,test.example.comDNS服务器将提供my.test.example.com的IP地址。利用分层的系统,给定域的所有者可以为其域定义授权服务器。也就是说,用户控制了其域的DNS查询的最终目的地主机。在典型的企业中,端点不会直 ...
【技术保护点】
1.一种系统,包括:处理器;以及机器可读指令,其被存储在有形的机器可读介质上,所述机器可读指令当由所述处理器执行时,将所述处理器配置为:在预定时间段期间,收集从域名服务器接收到的对查询的响应,所述查询由计算设备发送到所述域名服务器,所述响应包括因特网协议(IP)地址;在所述预定时间段期间,收集由所述计算设备访问的IP地址;比较来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址和由所述计算设备访问的所述IP地址;以及基于所述比较检测域名服务器隧道。
【技术特征摘要】
【国外来华专利技术】2017.03.22 US 15/466,3001.一种系统,包括:处理器;以及机器可读指令,其被存储在有形的机器可读介质上,所述机器可读指令当由所述处理器执行时,将所述处理器配置为:在预定时间段期间,收集从域名服务器接收到的对查询的响应,所述查询由计算设备发送到所述域名服务器,所述响应包括因特网协议(IP)地址;在所述预定时间段期间,收集由所述计算设备访问的IP地址;比较来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址和由所述计算设备访问的所述IP地址;以及基于所述比较检测域名服务器隧道。2.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的关联小于或等于预定阈值时,检测所述域名服务器隧道。3.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当由所述计算设备访问的所述IP地址与来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址之间的差异大于或等于预定阈值时,检测所述域名服务器隧道。4.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当由所述计算设备访问的所述IP地址的数目小于或等于来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址的数目的预定百分比时,检测所述域名服务器隧道。5.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当所述域名服务器隧道基于所述比较而被检测到时,生成指示所述域名服务器是恶意的指示。6.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当所述域名服务器隧道基于所述比较而被检测到时,生成指示所述计算设备上的数据安全是受损的指示。7.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的差异大于或等于预定阈值时,生成指示。8.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的差异大于或等于预定阈值时,并且当与所述计算设备和所述域名服务器中的一个或多个的通信相关联的另一条件被检测到时,以预定的置信度水平指示所述域名服务器隧道的出现,其中所述另一条件包括从所述计算设备发送的具有大于或等于预定长度的域名的查询。9.一种用于检测计算设备与域名服务器之间的域名服务器隧道的方法,所述方法包括:在预定时间段期间,收集从域名服务器接收到的对查询的响应,所述查询由计算设备发送到所述域...
【专利技术属性】
技术研发人员:A·布鲁茨库斯,R·莱文,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。