过滤DNS隧道木马通信数据的方法及装置制造方法及图纸

本发明专利技术涉及互联网域名技术领域，公开了一种过滤DNS隧道木马通信数据的方法及装置，该方法包括：对来自企业内网的请求报文和发往企业内网的响应报文在到达DNS服务器时，进行多次DNS隧道木马流量过滤筛选，其中，多次的所述过滤筛选包括：通过判断请求报文是否命中本地DNS缓存或DNS权威进行首次分离筛选；通过判断请求报文是否落入设定的黑白名单数据库进行二次分离筛选；通过判断响应报文的数据源为内网流量或外网流量进行第三次分离筛选。本发明专利技术基于DNS服务器的部署场景和DNS隧道木马的交互特征，采取三次过滤的方式，尽可能地减少向隧道模块发送的报文量，从而大大提高DNS隧道木马检查的效率和整体系统的性能，减轻安全设备对DNS隧道流量分析的负担。备对DNS隧道流量分析的负担。备对DNS隧道流量分析的负担。

【技术实现步骤摘要】
过滤DNS隧道木马通信数据的方法及装置


[0001]本专利技术涉及互联网域名
，具体涉及一种过滤DNS隧道木马通信数据的方法及装置。

技术介绍

[0002]随着互联网的发展，国家近几年护网行动展开，常用的ICMP、SSH等隧道攻击越来越难成功，因为通过简单的防火墙策略即可拦截，所以大多数攻击者采用DNS隧道攻击，由于DNS协议是必不可少的网络通信协议之一，通过DNS隧道，更为隐秘，所以DNS隧道防护则成为重中之重。当前大多数DNS隧道防护的部署场景都是采用在网关的出口地方或者DNS服务器上直接部署，采集所有的网络流量，进行特征提取分析识别。
[0003]因此，无论是在网关出口还是在DNS服务器上部署采集所有的网络流量都是存在问题的。网络通信过程中，99％的报文都是白名单，然而把所有报文采集后，过多的冗余报文分析，增加系统资源开销，同时也增加了分析DNS隧道流量的难度，也就是增加了误判率和降低了识别率。

技术实现思路

[0004]针对现有技术的缺陷，本专利技术的目的是，提供一种过滤DNS隧道木马通信数据的方法及装置，基于DNS服务器的部署场景和DNS隧道木马的交互特征，采取三次过滤的方式，尽可能地减少向隧道模块发送的报文量，从而大大提高DNS隧道木马检查的效率和整体系统的性能，减轻安全设备对DNS隧道流量分析的负担。
[0005]本专利技术的第一方面，提供了一种过滤DNS隧道木马通信数据的方法，包括：
[0006]对来自企业内网的请求报文和发往企业内网的响应报文在到达DNS服务器时，进行多次DNS隧道木马流量过滤筛选，其中，多次的所述过滤筛选包括：
[0007]通过判断请求报文是否命中本地DNS缓存或权威进行首次分离筛选；
[0008]通过判断请求报文是否落入设定的黑白名单数据库进行二次分离筛选；
[0009]通过判断响应报文的数据源为内网流量或外网流量进行第三次分离筛选。
[0010]进一步地，对所述DNS隧道木马流量过滤的首次分离筛选包括：
[0011]对接收的所述请求报文，查询本地DNS服务器是否支持权威服务并判断是否命中本地权威，若是则直接封装DNS响应报文并返回查询结果；若否，则继续查询本地DNS缓存；其中，
[0012]若判断命中本地DNS缓存，则直接封装DNS响应报文并返回查询结果；若未命中本地DNS缓存，则进入下一步处理。
[0013]进一步地，对所述DNS隧道木马流量过滤的二次分离筛选包括：
[0014]检测DNS请求的域名信息是否命中黑名单数据库或白名单数据库，若请求的域名信息落入黑名单则拦截丢弃，若判断落入白名单则直接放行并标记来源，若判定既不属于黑名单也不属于白名单，则发往隧道检测模块进行分析。
[0015]进一步地，对所述DNS隧道木马流量过滤的第三次分离筛选包括：
[0016]根据所述响应报文的数据来源和标记进行判定，其中，将未命中白名单标记且发往企业内网环境的响应报文进行捕获并发往隧道检测模块，向外迭代请求的报文及其对应的响应报文则直接放行不做处理。
[0017]进一步地，对DNS请求报文经过所述的首次分离筛选或第二次分离筛选后，仍无法判断的请求报文发往隧道检测模块进行特征分析并返回威胁分值，根据威胁分值确定是否进行最终拦截；对DNS响应报文经过所述的第三次分离筛选后，仍无法判断的报文发往隧道检测模块进行特征分析并返回威胁分值，根据威胁分值确定是否进行最终拦截。
[0018]进一步地，通过设置告警阈值和拦截阈值进行告警与拦截，其中，对计算出的威胁分值大于告警阈值且小于拦截阈值的给出告警消息，对大于拦截阈值的直接拦截并添加到黑名单数据库中。
[0019]进一步地，所述黑名单数据库和白名单数据库的来源为手动输入、批量导入或者根据后续的威胁分值的阈值结果反馈。
[0020]进一步地，所述向外迭代请求的报文包括：从根服务器、顶级域名服务器、二级域名服务进行中间迭代查询请求的DNS报文，且这些请求报文对应的响应报文也是中间的迭代请求的结果。
[0021]本专利技术的第二方面，还提供了一种过滤DNS隧道木马通信数据的装置，该装置部署在DNS服务器端，该装置包括：第一过滤模块、第二过滤模块和第三过滤模块，其中，
[0022]所述第一过滤模块，通过判断来自企业网内网的请求报文是否命中本地DNS权威或缓存进行首次分离筛选；
[0023]所述第二过滤模块，通过判断来自企业网内网的请求报文是否落入设定的黑白名单数据库进行二次分离筛选；
[0024]所述第三过滤模块，通过判断发往企业网内网的响应报文的数据源为内网流量或外网流量进行第三次分离筛选。
[0025]进一步地，所述装置还包括隧道检测模块及报警拦截模块，其中，所述隧道检测模块对经过所述第一过滤模块、第二过滤模块处理过仍无法判断的DNS请求报文进行特征分析并打分，以及对经过所述第三过滤模块仍无法判断的DNS响应报文进行特征分析并打分，然后发送给报警拦截模块，所述报警拦截模块通过设置的告警阈值和拦截阈值，判定是否最终拦截。
[0026]与现有技术相比，本专利技术提供的一种过滤DNS隧道木马通信数据的方法及系统，达到了如下技术效果：
[0027]1、DNS隧道要保证信息到达对方，而正常DNS请求响应大多数会命中缓存，本专利技术利用本地权威和缓存模块进行一次分离筛选，可以过滤大部分正常报文。
[0028]2、DNS隧道通信特征往往会利用威胁主域名进行可持续攻击，当被识别后，本专利技术通过黑白名单机制，可有效阻止后续DNS隧道木马攻击破坏行为；同时可根据已知的威胁主域名添加黑名单、根据知名的二级域名添加白名单，来进行分离筛选，提高效率。
[0029]3、DNS服务器对内网的流量交互比较单一，然后对外的流量涉及到递归迭代流量复杂多样化，会话特征也不明显，本专利技术把DNS服务器内网流量和外网流量进行分离筛选，能够进一步减轻安全设备对DNS隧道流量分析的压力，尤其在DNS响应报文逻辑处理上尤为
重要。
[0030]4、本专利技术采取三次过滤的方式，尽可能地减少向隧道模块发送的报文量，从而大大提高DNS隧道木马检查的效率和整体系统的性能，减轻安全设备对DNS隧道流量分析的负担。
附图说明
[0031]图1是本专利技术实施例中的过滤DNS隧道木马通信数据的系统的部署场景图。
[0032]图2是本专利技术实施例中的过滤DNS隧道木马通信数据的方法的请求报文处理的原理图。
[0033]图3是本专利技术实施例中的过滤DNS隧道木马通信数据的方法的响应报文处理的原理图。
[0034]图4是本专利技术实施例中的过滤DNS隧道木马通信数据的系统的架构图。
具体实施方式
[0035]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例为实施本专利技术的较佳实施方式，所述描述是以说明本专利技术的一般原则为目的，并非用以限定本专利技术的范围。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种过滤DNS隧道木马通信数据的方法，其特征在于，所述方法包括：对来自企业内网的请求报文和发往企业内网的响应报文在到达DNS服务器时，进行多次DNS隧道木马流量过滤筛选，其中，多次的所述过滤筛选包括：通过判断请求报文是否命中本地DNS缓存或权威进行首次分离筛选；通过判断请求报文是否落入设定的黑白名单数据库进行二次分离筛选；通过判断响应报文的数据源为内网流量或外网流量进行第三次分离筛选。2.根据权利要求1所述的方法，其特征在于，对所述DNS隧道木马流量过滤的首次分离筛选包括：对接收的所述请求报文，查询本地DNS服务器是否支持权威服务并判断是否命中本地权威，若是则直接封装DNS响应报文并返回查询结果；若否，则继续查询本地DNS缓存；其中，若判断命中本地DNS缓存，则直接封装DNS响应报文并返回查询结果；若未命中本地DNS缓存，则进入下一步处理。3.根据权利要求2所述的方法，其特征在于，对所述DNS隧道木马流量过滤的二次分离筛选包括：检测DNS请求的域名信息是否命中黑名单数据库或白名单数据库，若请求的域名信息落入黑名单则拦截丢弃，若判断落入白名单则直接放行并标记来源，若判定既不属于黑名单也不属于白名单，则发往隧道检测模块进行分析。4.根据权利要求1、2或3所述的方法，其特征在于，对所述DNS隧道木马流量过滤的第三次分离筛选包括：根据所述响应报文的数据来源和标记进行判定，其中，将未命中白名单标记且发往企业内网环境的响应报文进行捕获并发往隧道检测模块，向外迭代请求的报文及其对应的响应报文则直接放行不做处理。5.根据权利要求4所述的方法，其特征在于，对DNS请求报文经过所述的首次分离筛选或第二次分离筛选后，仍无法判断的请求报文发往隧道检测模块进行特征分析并返回威胁分值，根据威胁分值确定是...

【专利技术属性】
技术研发人员：郭爱杰，孙浩然，吴琦，邢志杰，毛伟，
申请(专利权)人：互联网域名系统北京市工程研究中心有限公司，
类型：发明
国别省市：