【技术实现步骤摘要】
一种域名信息检测的方法及相关装置
本申请涉及计算机
,尤其涉及一种域名信息检测的方法及相关装置。
技术介绍
域名系统(DomainNameSystem,DNS)是因特网最关键的基础服务之一,它将域名与因特网协议(InternetProtocol,IP)地址相互映射,使人们能够方便地访问互联网,而不必记忆复杂的IP地址。大部分防火墙和入侵检测设备基本不会对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,攻击者可以基于DNS协议构建隐蔽信道(即DNS隧道)来达到敏感信息盗窃、文件传输、回传控制指令等目的。为了对DNS隧道进行有效的防御,现有技术所采用的技术手段为:通过检测DNS隧道中所传输的域名信息本身的特征,例如检测域名信息中的内容是否有意义,来实现对DNS隧道的检测。但是这种检测方法的检测准确率较低,通过在域名信息中掺杂构造好的有意义的内容即可绕过这种检测方法。...
【技术保护点】
1.一种域名信息检测的方法,其特征在于,包括:/n获取第一域名信息,所述第一域名信息为待检测的域名信息;/n根据所述第一域名信息确定所述第一域名信息的第一域名信息量;/n在域名信息的历史数据中获取与所述第一域名信息对应的第二域名信息;/n根据所述第二域名信息确定所述第二域名信息的第二域名信息量;/n若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。/n
【技术特征摘要】
1.一种域名信息检测的方法,其特征在于,包括:
获取第一域名信息,所述第一域名信息为待检测的域名信息;
根据所述第一域名信息确定所述第一域名信息的第一域名信息量;
在域名信息的历史数据中获取与所述第一域名信息对应的第二域名信息;
根据所述第二域名信息确定所述第二域名信息的第二域名信息量;
若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第一预置阈值,输出报警信号。
2.根据权利要求1所述的域名信息检测的方法,其特征在于,所述第一域名信息包括以下的一种信息或多种信息的组合:单个域名类型对应的域名信息、单个终端对应的域名信息或多个终端对应的域名信息集合。
3.根据权利要求2所述的域名信息检测的方法,其特征在于,所述获取第一域名信息,包括:
获取DNS隧道的DNS信息;
根据所述DNS信息确定所述第一域名信息以及第一信息,所述第一信息与所述第一域名信息具有关联关系,所述第一信息包括请求传输所述第一域名信息的时间信息、请求传输所述第一域名信息的源IP地址、请求传输所述第一域名信息的源终端名称或请求传输所述第一域名信息的用户名称。
4.根据权利要求3所述的域名信息检测的方法,其特征在于,所述根据所述第一域名信息确定第一域名信息量,包括:
根据预置时间段内的所述第一域名信息和所述第一信息,确定所述第一域名信息量;
其中,所述第一域名信息量包括以下的一种信息量或多种信息量的组合:单个域名类型对应的域名信息在所述预置时间段内的域名信息量之和、单个终端对应的域名信息在所述预置时间段内的域名信息量之和或多个终端对应的域名信息集合在所述预置时间段内的域名信息量之和。
5.根据权利要求4所述的域名信息检测的方法,其特征在于,所述域名信息量表示域名信息中最大级别部分的字符数。
6.根据权利要求4或5所述的域名信息检测的方法,其特征在于,若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第一预置阈值,包括:
若所述第一域名信息量与所述第二域名信息量之间的差值大于或等于第二预置阈值,其中,所述第一域名信息量为单个域名类型对应的域名信息在所述预置时间段内的域名信息...
【专利技术属性】
技术研发人员:马立伟,王月强,张刚,李志豪,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。