【技术实现步骤摘要】
一种基于DNS进程特征和流量特征的恶意软件检测装置及方法
[0001]本专利技术涉及互联网安全
,特别涉及一种基于
DNS
的恶意软件检测装置及方法,具体为一种基于
DNS
请求进程特征和流量特征的恶意软件检测系统及方法
。
技术介绍
[0002]DNS(
域名系统
)
是互联网的一项基本服务
。
它本质上是一个能够将域名和
IP
地址相互映射的分布式数据库
。
通过使用
DNS
服务,人们可以避免直接使用
IP
地址,从而将域名与基础网络地址隔离开,避免网络地址的更改对域名产生影响,使用起来也更加方便
。
不过这也使得
DNS
成为了关键的攻击媒介
。
由于
DNS
允许恶意用户将其
IP
地址隐藏在临时的域名后面
。
如何区分合法域名和被攻击者恶意使用的域名一直是网络安全行业关注...
【技术保护点】
【技术特征摘要】
1.
一种基于
DNS
流量特征与进程特征的恶意软件检测装置,其特征在于,包括:
DNS
进程特征采集模块,部署于要保护的终端主机上,用于确定发起
DNS
请求的进程,获取其特征信息,与其发起的
DNS
请求内容一起发送给数据整合中心;
DNS
流量特征采集模块,部署于网关,用于获取终端主机发起的
DNS
请求,通过多种信息源获取其流量特征信息并发送到数据整合模块;数据整合模块,用于对
DNS
进程特征采集模块和
DNS
流量特征采集模块收集到的特征信息进行关联后发送给分析模块;分析模块:用于将数据整合模块发送的
DNS
特征数据输入预先训练好的神经网络,判断对应的进程是否有害
。2.
根据权利要求1所述的装置,其特征在于,所述
DNS
进程特征采集模块确定发起
DNS
请求的进程的方式包括:对于直接发送
UDP
包的
DNS
请求,通过拦截系统底层的网络通信
API
以获取所有网络流量并过滤得到
DNS
请求,从而直接获取发起请求的进程
ID
,确定发起
DNS
请求的进程;对于通过系统查询通道发起的
DNS
请求,通过拦截发起请求的进程与系统
DNS
服务守护进程之间的通信行为,或跟踪系统的
DNS
服务进程来获取
DNS
请求信息与发起请求的进程
ID
,从而确定发起
DNS
请求的进程
。3.
根据权利要求1所或2述的装置,其特征在于,还包括:安全模块:用于根据分析模块的判断结果,对有害软件进行隔离处理并通知技术人员
。4.
一种基于
DNS
流量特征与进程特征的恶意软件检测方法,包括以下步骤:
S1
,部署于终端主机上的
DNS
进程特征采集模块,获取主机上发起的
DNS
请求的进程的特征,并与其请求的内容一起发送给数据整合模块;
S2
,部署于网关的
DNS
流量特征采集模块,获取
DNS
请求的流量特征,并与
...
【专利技术属性】
技术研发人员:刘晓辉,赵淳璐,潘进,张琳,谢程利,姚晓,殷伟,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。