【技术实现步骤摘要】
一种DNS隧道检测方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种DNS隧道检测方法、装置、电子设备及存储介质。
技术介绍
[0002]域名系统(Domain Name System,DNS)隧道是一种将其他协议封装到DNS协议中传输建立通信的方式。因为DNS协议是网络中一种基础必不可少的服务,所以大部分防火墙和入侵检测设备不会对DNS流量进行拦截过滤,这就给DNS作为隐蔽通信提供了有力条件。攻击者可以利用它实现诸如僵尸网络或木马的远程控制通道和对外传输数据等。因此,如何对DNS隧道检测技术是网络安全领域的重点。
[0003]目前,检测DNS隧道的方案主要有两种。第一种方法是获得DNS请求流量后,分析待解析域名的特征,通过模型判断是否存在DNS隧道。但是该方式需要积累一定数量的请求域名,才能进行分析,存在一定的滞后性。在该方式判断是否存在DNS隧道之前,被控客户端可能已完成重要数据的发送。且检测的准确性取决于模型与数据的匹配程度,因攻击者所在的终端表示的待解析域名特征可能不断变化,...
【技术保护点】
【技术特征摘要】
1.一种DNS隧道检测方法,其特征在于,所述方法包括:向权威域名服务器发送第一解析请求和第二解析请求;其中,所述第一解析请求包含第一域名,所述第二解析请求包含第一域名,所述第一解析请求和所述第二解析请求用于指示所述权威域名服务器解析所述第一域名;接收来自所述权威域名服务器的第一应答结果和第二应答结果;所述第一应答结果包含所述第一域名以及所述第一域名对应的第一互联网协议IP地址,所述第二应答结果包含所述第一域名以及所述第一域名对应的第二IP地址;在所述第一应答结果和所述第二应答结果不同的情况下,向所述第一IP地址发送第一测试数据包,向所述第二IP地址发送第二测试数据包;接收所述第一测试数据包的第一生存时间值,以及所述第二测试数据包的第二生存时间值;在所述第一生存时间值与所述第二生存时间值大于或等于第一阈值的情况下,确定第一客户端与所述权威域名服务器之间存在DNS隧道。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:确定第一时间段内所述权威域名服务器对所述第一客户端的应答结果在查询记录中的数目,所述查询记录用于存储来自多个客户端IP地址的解析请求以及与所述解析请求对应的来自所述权威域名服务器的应答结果,所述多个客户端IP地址包含所述第一客户端IP地址;所述向权威域名服务器发送第一解析请求和第二解析请求,具体包括:在所述数目大于或等于第二阈值的情况下,向所述权威域名服务器发送所述第一解析请求和所述第二解析请求。3.根据权利要求2所述的方法,其特征在于,所述第一域名是所述第一时间段内来自所述第一客户端IP地址的各个解析请求包含的域名中数量最多的域名。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述第一IP地址和所述第二IP地址相同的情况下,确定所述第一客户端与所述权威域名服务器之间不存在DNS隧道。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述第一生存时间值与所述第二生存时间值小于所述第一阈值的情况下,确定所述第一客户端与所述权威域名服务器之间不存在DNS隧道。6.根据权利要求1所述...
【专利技术属性】
技术研发人员:宋悦,常力元,佟欣哲,郑直,陈奇,乔现朋,孟坤,张熹,刘文龙,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。