【技术实现步骤摘要】
一种基于时间域的DNS隐蔽信道的检测方法及网关设备
[0001]本申请涉及网络安全
,特别是涉及一种DNS隐蔽信道的检测方法及网关设备。
技术介绍
[0002]在C&C攻击中,失陷主机通常会被植入木马。木马对外联系C&C控制端通信时通常会利用现有常见的网络协议对外以增强自身的隐蔽性以规避防火墙的检测。比较常用的的方式是将对外传输的控制信令或内网窃取的机密信息编码到常见的网络协议中。
[0003]因DNS这种协议在网络中是必需协议,任何防火墙都不会拒绝DNS协议通过。限制DNS通信可能会导致合法远程服务的断开,因此企业防火墙通常配置为允许UDP53号端口(由DNS使用)上的所有数据包,即DNS流量通常允许通过企业防火墙而无需深度检查或状态维护。从攻击者的角度来看,这使得DNS协议成为数据泄露地隐蔽通信通道。
[0004]因此很多木马都会将自身的通信信息编码到DNS协议中,通过DNS穿透防火墙对外进行联系或回传内网机密信息。这种我们称之为基于DNS的隐蔽信道;其中将数据直接编...
【技术保护点】
【技术特征摘要】
1.一种基于时间域的DNS隐蔽信道的检测方法,其特征在于,包括:解析收到的DNS请求报文以及相应的应答报文,明确目标DNS客户端主机在预先建立的IP主机索引树中对应的IP主机节点;以设定的时间周期分别统计所述目标DNS客户端主机对应的报文中表征DNS请求流量的多种记录类型,作为所述目标DNS客户端主机的协议流量评价特征参数;将所述目标DNS客户端主机的协议流量评价特征参数输入预先构建的评价函数,所述评价函数采用预先学习得到的DNS请求流量峰值基线进行比对,若偏离所述DNS请求流量峰值基线超出设定阈值,则将所述目标DNS客户端主机标记为异常主机。2.根据权利要求1所述的基于时间域的DNS隐蔽信道的检测方法,其特征在于,所述IP主机索引树的叶节点存储有预先学习得到的DNS请求流量峰值基线;所述DNS请求流量峰值基线包括所述表征DNS请求流量的多种记录类型的统计信息。3.根据权利要求2所述的基于时间域的DNS隐蔽信道的检测方法,其特征在于,所述表征DNS请求流量的多种记录类型的统计信息包括:累计DNS请求数量、...
【专利技术属性】
技术研发人员:钟岳林,张绍峰,黄辉,邢志杰,毛伟,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。