用于使用进程信息来提供DNS安全性的方法和系统。提供了使用进程信息的域名系统(DNS)安全性。确定使用域名来访问互联网服务的应用。标识与所述应用相关联的进程信息、连同用于标识与所述域名相关联的IP地址的相关联的DNS查询。向DNS安全性服务发送所述进程信息和所述相关联的DNS查询。执行基于来自所述DNS安全性服务的响应的动作。全性服务的响应的动作。全性服务的响应的动作。
【技术实现步骤摘要】
用于使用进程信息来提供DNS安全性的方法和系统
技术介绍
[0001]不道德的个体尝试以各种方式危害计算机系统。作为一个示例,这种个体可以在电子邮件附件中嵌入或以其他方式包括恶意的软件(“恶意软件”),并且将该恶意软件传输到或者使得该恶意软件被传输到没有防备的用户。当被执行时,该恶意软件危害受害者的计算机。一些类型的恶意软件将指示被危害的计算机与远程主机通信。例如,恶意软件可以将被危害的计算机变成“僵尸网络(botnet)”中的“僵尸”,从而在不道德的个体的控制下从命令和控制(C&C)服务器接收指令和/或向其报告数据。用于减轻由恶意软件引起的损害的一种方法是使安全性公司(或其他适当的实体)尝试标识恶意软件并防止它到达终端用户计算机/在终端用户计算机上执行。另一种方法是试图防止被危害的计算机与C&C服务器通信。不幸的是,恶意软件创造者正在使用越来越复杂的技术来混淆他们的软件的工作。因此,存在对于检测恶意软件并防止其伤害的改进技术的持续需求。
附图说明
[0002]本专利技术的各种实施例在以下详细描述和附图中公开。
[0003]图1A图示了用于使用进程信息来提供DNS安全性的环境的实施例。
[0004]图1B图示了用于使用进程信息来提供DNS安全性的环境的另一个实施例。
[0005]图1C图示了用于使用进程信息来提供DNS安全性的环境的又一个实施例。
[0006]图1D图示了用于使用进程信息来提供DNS安全性的环境的又一个实施例。
[0007]图2图示了进程信息的示例。
[0008]图3图示了用于使用进程信息来提供DNS安全性的工作流程的示例。
[0009]图4是图示了用于使用进程信息来提供DNS安全性的过程的实施例的流程图。
[0010]图5图示了使用DNS简档来检测异常的示例。
具体实施方式
[0011]本专利技术可以以多种方式来实现,包括作为过程;装置;系统;物质组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现方式或者本专利技术可以采取的任何其他形式可以被称为技术。一般来说,在本专利技术的范围内,所公开的过程的步骤次序可以更改。除非另行陈述,否则被描述为被配置成执行任务的诸如处理器或存储器之类的组件可以被实现为被临时配置成在给定时间处执行该任务的通用组件,或者被制造成执行该任务的特定组件。如本文中所使用的,术语“处理器”指代被配置成处理诸如计算机程序指令之类的数据的一个或多个设备、电路和/或处理核心。
[0012]下面提供了本专利技术一个或多个实施例的详细描述、连同图示本专利技术原理的附图。结合这种实施例描述了本专利技术,但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求限定,并且本专利技术涵盖了许多替代方案、修改和等同物。为了提供对本专利技术的透彻理解,在以下描述中阐述了许多具体细节。这些细节是出于示例的目的而提供的,并且本专利技术可
以在没有这些具体细节中的一些或全部的情况下根据权利要求来实践。出于清楚性的目的,尚未详细描述与本专利技术相关的
中已知的技术材料,以免不必要地模糊本专利技术。
[0013]常规地,当端点被感染有恶意软件(例如,命令和控制恶意软件)时,该端点可以按顺序使用一系列良性域(benign domain)来生成大量DNS查询。为了确定端点是否已经被感染有恶意软件,DNS安全性服务可以检查非常大量的DNS查询,并且在DNS查询上采用域生成算法(DGA)技术来标识包括该恶意软件的端点。过滤DNS查询使得来自非C&C进程和/或应用的DNS查询可以被过滤掉可能是有益的,并且DGA技术可以被应用于与特定进程和/或特定应用相关联的DNS查询,以增加DGA技术的准确性(例如,减少假肯定和假否定)。
[0014]在一些实施例中,用于使用进程信息来提供DNS安全性的系统/方法/计算机程序产品包括:确定应用正在使用域名来访问互联网服务;标识与所述应用相关联的进程信息、连同用于标识与所述域名相关联的IP地址的相关联的域名系统(DNS)查询;向DNS安全性服务发送所述进程信息和所述相关联的DNS查询;以及执行基于来自所述DNS安全性服务的响应的动作。
[0015]在一些实施例中,标识与所述应用相关联的进程信息、连同用于标识与所述域名相关联的IP地址的相关联的DNS查询包括:将所述相关联的DNS查询从外部解析器转移到另一个解析器,其中所转移的相关联的DNS查询包括所述进程信息。
[0016]在一些实施例中,所述进程信息包括进程ID和以下各项中的一个或多个:主机名、活动目录域、操作系统类型和版本和/或网络接口。
[0017]在一些实施例中,所述进程信息包括进程ID和以下各项中的一个或多个:进程元信息、用户元信息和/或端点元信息。
[0018]在一些实施例中,所转移的相关联的DNS查询包括使用DNS的扩展机制的所述进程信息。
[0019]在一些实施例中,所述DNS查询被发送到DNS解析器。
[0020]在一些实施例中,所述动作的执行包括:确定所述域名是否与被允许与所述应用进行通信的已知域名集合相关联;以及响应于所述域名不与被允许与所述应用进行通信的已知域名集合相关联的确定,阻止或下沉(sinkhole)所述相关联的DNS查询。
[0021]在一些实施例中,所述动作的执行包括:确定所述进程信息是否与新注册的域相关并且所述进程信息是否与系统进程相关;以及响应于所述进程信息与新注册的域相关并且所述进程信息与系统进程相关的确定,阻止或下沉所述相关联的DNS查询。
[0022]在一些实施例中,所述动作的执行包括:确定所述进程信息是否与未经签名的进程相关;以及响应于所述进程信息与未经签名的进程相关的确定,阻止或下沉所述相关联的DNS查询。
[0023]在一些实施例中,所述动作的执行包括隔离与所述应用相关联的端点。
[0024]在一些实施例中,所述动作的执行包括移除与所述进程信息相关联的文件。
[0025]图1A图示了用于使用进程信息来提供DNS安全性的环境的实施例。在一些实施例中,环境100包括连接到局域网(LAN)或广域网(WAN)120的端点110,该局域网(LAN)或广域网(WAN)120连接到DNS解析器或防火墙130,该DNS解析器或防火墙130解析DNS请求、或者使用上游DNS解析器150以及检测恶意或不想要的DNS消息的DNS安全性检测器160。
[0026]在一些实施例中,在连接到LAN或WAN 120的端点110上运行的进程或应用尝试访
问互联网。为了访问互联网,例如访问互联网服务或者访问互联网资源,进程或应用110可以利用首先要被解析的域名来访问互联网服务或互联网资源。为了利用域名,进程或应用110可以尝试经由域名来访问互联网服务或互联网资源,并且在端点110上运行的代理可以拦截包括该域名的网络呼叫,并本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种系统,包括:存储器;以及处理器,其耦合到所述存储器,并且被配置成:确定应用正在使用域名来访问互联网服务;标识与所述应用相关联的进程信息、连同用于标识与所述域名相关联的IP地址的相关联的域名系统(DNS)查询;向DNS安全性服务发送所述进程信息和所述相关联的DNS查询;以及执行基于来自所述DNS安全性服务的响应的动作。2.根据权利要求1所述的系统,其中标识与所述应用相关联的进程信息、连同用于标识与所述域名相关联的IP地址的相关联的DNS查询包括:将所述相关联的DNS查询从外部解析器转移到另一个解析器,其中所转移的相关联的DNS查询包括所述进程信息。3.根据权利要求1所述的系统,其中所述进程信息包括进程ID和以下各项中的一个或多个:主机名、活动目录域、操作系统类型和版本和/或网络接口。4.根据权利要求1所述的系统,其中所述进程信息包括进程ID和以下各项中的一个或多个:进程元信息、用户元信息和/或端点元信息。5.根据权利要求2所述的系统,其中所转移的相关联的DNS查询包括使用DNS的扩展机制的所述进程信息。6.根据权利要求1所述的系统,其中所述DNS查询被发送到DNS解析器。7.根据权利要求1所述的系统,其中所述动作的执行包括:确定所述域名是否与被允许与所述应用进行通信的已知域名集合相关联;以及响应于所述域名不与被允许与所述应用进行通信的已知域名集合相关联的确定,阻止或下沉所述相关联的DNS查询。8.根据权利要求1所述的系统,其中所述动作的执行包括:确定所述进程信息是否与新注册的域相关并且所述进程信息是否与系统进程相关;以及响应于所述进程信息与新注册的域相关并且所述进程信息与系统进程相关的确定,阻止或下沉所述相关联的DNS查询。9.根据权利要求1所述的系统,其中所述动作的执行包括:确定所述进程信息是否与未经签名的进程相关;以及响应于所述进程信息与未经签名的进程相关的确定,阻止或下沉所述相关联的DNS查询。10.根据权利要求1所述的系统,其中所述动作的执行包括:隔离与所述应用相关联的端点。11.根据权利要求1所述的系统,其中所述动作的执行包括:移除与所述进程信息相关联的文件。12.一种方法,包括:...
【专利技术属性】
技术研发人员:肖梓航,Z,
申请(专利权)人:帕洛阿尔托网络公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。