用于DNS安全性的智能白名单制造技术

提供了用于域名系统（DNS）安全性的智能白名单的技术。在一些实施例中，根据一些实施例的用于DNS安全性的智能白名单的系统/过程/计算机程序产品包括：接收网络相关事件数据集，其中网络相关事件数据集包括域名系统（DNS）相关事件数据；接收网络相关威胁数据集，其中网络相关威胁数据集包括DNS相关威胁数据；以及使用网络相关事件数据集和网络相关威胁数据集生成白名单，其中该白名单包括DNS相关事件数据中包括的网络域的子集，其基于DNS相关事件数据和DNS相关威胁数据的数据驱动模型。件数据和DNS相关威胁数据的数据驱动模型。件数据和DNS相关威胁数据的数据驱动模型。

【技术实现步骤摘要】
【国外来华专利技术】用于DNS安全性的智能白名单

技术介绍

[0001]域名系统网络服务在基于IP的网络中通常无处不在。通常，客户端（例如，计算设备）试图通过使用网址（例如，包括域名或完全限定域名的统一资源定位符（URL））在因特网上连接到（一个或多个）服务器。网址被转化成IP地址。域名系统（DNS）负责执行从网址到IP地址的该转化。具体地，包括网址的请求被发送到DNS服务器，该DNS服务器用对应的IP地址或者在域尚未注册的情况下——即不存在的域——用错误消息进行回复（例如，NX 域响应，在本文也称为NXDOMAIN响应，由DNS服务器针对不存在的域返回）。
附图说明
[0002]本专利技术的各种实施例在以下详细描述和附图中公开。
[0003]图1是根据一些实施例的用于域名系统（DNS）安全性的智能白名单的系统架构的图解。
[0004]图2是根据一些实施例的用于生成和部署用于DNS安全性的事件驱动智能列表的系统处理架构的概述。
[0005]图3是根据一些实施例的生成用于DNS安全性的事件驱动智能列表的过程。
[0006]图4A是根据一些实施例的按域的基于云的安全性解决方案的数据覆盖的图表。
[0007]图4B是根据一些实施例的按域的样本DNS数据源覆盖的顶部95%与DNS威胁数据相比较的图表。
[0008]图5是图示根据一些实施例的与威胁指示符相比较的流行域的示例集的绘图。
[0009]图6是图示根据一些实施例的用于智能列表的模拟的变化似然函数的图表。
[0010]图7是图示根据一些实施例的用于DNS安全性的智能白名单的过程的流程图。
[0011]图8是图示根据一些实施例的用于DNS安全性的智能白名单的过程的另一流程图。
具体实施方式
[0012]本专利技术可以以众多方式实现，包括作为过程；装置；系统；物质的组成；体现在计算机可读存储介质上的计算机程序产品；和/或处理器，诸如被配置为执行存储在耦合到处理器的存储器上和/或由该存储器提供的指令的处理器。在本说明书中，这些实现或者本专利技术可以采取的任何其他形式可以被称为技术。一般来说，在本专利技术的范围内，可以变更所公开的过程的步骤次序。除非另有说明，否则被描述为被配置为执行任务的诸如处理器或存储器的组件可以被实现为被临时配置为在给定时间执行该任务的通用组件或被制造为执行该任务的特定组件。如本文使用的，术语“处理器”指代被配置为处理数据（诸如计算机程序指令）的一个或多个设备、电路和/或处理核心。
[0013]下面提供了本专利技术的一个或多个实施例的详细描述以及图示本专利技术原理的附图。结合此类实施例描述了本专利技术，但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定，并且本专利技术包括许多替代、修改和等同物。为了提供对本专利技术的透彻理解，在以下描述中阐述了众多具体细节。这些细节是出于示例的目的而提供的，并且本专利技术可以根
据权利要求书来实践，而无需这些具体细节中的一些或全部。为了清楚的目的，没有详细描述与本专利技术相关的
中已知的技术材料，以便不会不必要地模糊本专利技术。
[0014]域名系统网络服务在基于IP的网络中通常无处不在。通常，客户端（例如，计算设备）试图通过使用网址（例如，包括域名或完全限定域名的统一资源定位符（URL））在因特网上连接到（一个或多个）服务器。网址被转化成IP地址。域名系统（DNS）负责执行从网址到IP地址的该转化。具体地，包括网址的请求被发送到DNS服务器，该DNS服务器用用对应的IP地址或者在域尚未注册的情况下——即不存在的域——用错误消息进行回复（例如，NX 域响应，在本文也称为NXDOMAIN响应，由DNS服务器针对不存在的域返回）。
[0015]黑名单（例如，也称为阻止列表）通常指代可以应用于例如URL、域名、IP地址和/或其他名称/地址（例如，电子邮件地址、文件名等）以拒绝访问黑名单上包括的任何此类对象的访问控制机制。白名单（例如，也称为允许列表）指代可以应用于例如URL、域名、IP地址和/或其他名称/地址（例如，电子邮件地址、文件名等）以允许访问白名单上包括的任何对象的访问控制机制。
[0016]例如，包括在黑名单上的URL或域名可以被DNS服务器和/或网络浏览器应用，以拒绝访问用户访问该URL或域名的网络浏览请求。作为另一个示例，包括在白名单上的URL或域名可以由DNS服务器和/或网络浏览器应用，以允许访问用户访问该URL或域名的网络浏览请求。
[0017]黑名单和/或白名单可以应用于诸如为企业网络和/或家庭网络提供增强的访问控制和网络安全性。例如，黑名单和/或白名单可以应用于网络和/或主机/端点设备中的DNS服务器、防火墙、电子邮件服务器和/或其他元件。例如，DNS服务器可以被配置为实施包括一个或多个网址的黑名单和/或白名单（例如，包括域名和/或FQDN的URL），诸如以分别阻止用户访问恶意软件网站或其他未授权网站（例如，酒精、赌博和/或其他类型的网站，基于企业网络的配置的网络/安全策略），或允许用户访问授权网站（例如，内部的、预先批准的和/或其他类型的授权网站，基于企业网络的配置的网络/安全策略）。
[0018]黑名单实现——包括在商业上可获得的DNS安全产品中发现的实现——通常容易因人以及因自动化而出错。白名单通常被用作预防措施，以最小化此类错误的影响，但在不断演变的网站和因特网环境中，白名单创建和管理起来在技术上具有挑战性且耗时。
[0019]例如，白名单经常是陈旧的，并且包括不相关的或过于宽泛的项目。白名单优选地也是短列表（例如，相对短的域列表，它不过度地包括潜在的不期望的、灰色软件和/或恶意软件的域），同时最小化黑名单中的错误对客户的生产数据环境的影响。
[0020]现有的白名单方法通常基于手动列表创建过程，这是耗时且容易出错的过程。现有的白名单方法也可能使用基于在威胁指示符列表中发现的假阳性的手动精选列表，这通常导致不了解上下文的陈旧和有问题的条目，并引起白名单尺寸方面的膨胀。例如，被发现是良性的域可能稍后被恶意的行动者购买。白名单的另一种常见方法是使用公开可获得的列表来创建白名单，所述公开可获得的列表诸如在https://www.alexa.com/siteinfo/100k.to处可获得的Alexa顶部十万网站列表、在https://majestic.com/reports/majestic
‑
million处可获得的Majestic Million、在https://www.domcop.com/处可获得的DomCop或其他商业上/公开可获得的顶部访问网站列表。然而，这是危险的方法，因为已知这些列表偶尔包括恶意域（例如，恶意软件域），并且此外，它们是从可能无法正确建模数
据生产环境的角度生成的。在一些现有的方法中，考虑了客户网络内域的流行度，但不考虑环境中的威胁。照此，现有方法通常创建白名单，所述白名单通常要么太小且无效，要么太大且不安全（例如，通过包括不应该被列入白名单的域，诸如通过包括恶意软件域和/或对于特本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种系统，包括：处理器，被配置为：接收网络相关事件数据集，其中网络相关事件数据集包括域名系统（DNS）相关事件数据；接收网络相关威胁数据集，其中网络相关威胁数据集包括DNS相关威胁数据；和使用网络相关事件数据集和网络相关威胁数据集生成白名单，其中所述白名单包括DNS相关事件数据中包括的网络域的子集，其基于DNS相关事件数据和DNS相关威胁数据的数据驱动模型；和耦合到处理器并被配置为向处理器提供指令的存储器。2.根据权利要求1所述的系统，其中所述DNS相关事件数据包括流行的网络域集。3.根据权利要求1所述的系统，其中所述DNS相关威胁数据包括DNS威胁馈送。4.根据权利要求1所述的系统，其中所述DNS相关威胁数据包括与第一企业网络相关联的DNS威胁馈送。5.根据权利要求1所述的系统，其中所述DNS相关威胁数据包括DNS威胁馈送，所述DNS威胁馈送被自动过滤以确定与恶意软件相关联的网络域的流行度。6.根据权利要求1所述的系统，其中使用分类器来选择包括在白名单中的网络域的子集。7.根据权利要求1所述的系统，其中使用统计分类器来选择包括在白名单中的网络域的子集。8.根据权利要求1所述的系统，其中所述处理器进一步被配置成：过滤所述DNS相关事件数据以生成智能白名单，其中使用分类器自动地过滤所述DNS相关事件数据以排除与恶意软件相关联的一个或多个网络域；和将智能白名单输出到用于使用智能白名单过滤DNS请求的网络设备。9.根据权利要求1所述的系统，其中所述处理器进一步被配置成：过滤所述DNS相关事件数据以生成智能白名单，其中使用分类器自动地过滤所述DNS相关事件数据以排除与恶意软件相关联的一个或多个网络域；和基于另一网络相关事件数据集和另一网络相关威胁数据集周期性地更新智能白名单，其中智能白名单被自动地和动态地调整以适应与第一企业网络相关联的生产数据环境的改变。10.根据权利要求1所述的系统，其中所述处理器进一步被配置成：标识用于进一步评估的网络域，以确定所述网络域是否被正确...

【专利技术属性】
技术研发人员：R，
申请(专利权)人：英弗布洛斯公司，
类型：发明
国别省市：