[发明专利]一种基于时间域的DNS隐蔽信道的检测方法及网关设备

说明书

本申请公开了一种基于时间域的DNS隐蔽信道的检测方法及网关设备，解决了现有技术难以识别基于时间域的DNS隐蔽信道的问题。应用本申请检测时，解析收到的DNS请求报文以及相应的应答报文，明确目标DNS客户端主机在预先建立的IP主机索引树中对应的IP主机节点，以设定的时间周期分别统计所述目标DNS客户端主机对应的报文中表征DNS请求流量的多种记录类型，作为所述目标DNS客户端主机的协议流量评价特征参数，将其与预先学习得到的DNS请求流量峰值基线进行比对，对偏离DNS请求流量峰值基线较大的请求主机标记为异常主机，从而能够可靠地检测哪些主机感染了木马在对外利用隐蔽通道进行CC通信。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种DNS隐蔽信道的检测方法及网关设备。

背景技术

在CC攻击中，失陷主机通常会被植入木马。木马对外联系CC控制端通信时通常会利用现有常见的网络协议对外以增强自身的隐蔽性以规避防火墙的检测。比较常用的的方式是将对外传输的控制信令或内网窃取的机密信息编码到常见的网络协议中。

因DNS这种协议在网络中是必需协议，任何防火墙都不会拒绝DNS协议通过。限制DNS通信可能会导致合法远程服务的断开，因此企业防火墙通常配置为允许UDP53号端口(由DNS使用)上的所有数据包，即DNS流量通常允许通过企业防火墙而无需深度检查或状态维护。从攻击者的角度来看，这使得DNS协议成为数据泄露地隐蔽通信通道。

因此很多木马都会将自身的通信信息编码到DNS协议中，通过DNS穿透防火墙对外进行联系或回传内网机密信息。这种我们称之为基于DNS的隐蔽信道；其中将数据直接编码进DNS协议字段中容易导致被安全网关设备检测出来。

发明人注意到，更高级的木马会使用基于时间域的隐蔽信道来对外通信，基于时间域的隐蔽信道通常不会将信道数据编码到报文中，而是利用数据报文的发送时间来编码信息。通常CC控制端会注册正常的DNS二级域名，如wearewoker.cn；内网中的主机在被感染僵尸网络软件后，会通过一定的编码频率变换三级域名abc.weareworker.cn,abb.weareworker.cn等来向外界请求域名的应答；CC控制端服务器根据请求的时间频率解码获得CC受控端传出的信息。而现有技术难以有效检测这种基于时间域的隐蔽信道。

发明内容

本申请提供了一种基于时间域的DNS隐蔽信道的检测方法等，解决了现有技术难以识别基于时间域的DNS隐蔽信道的问题，可检测哪些主机感染了木马在对外利用隐蔽通道进行CC通信。

为了实现以上目的，本申请给出以下解决方案：

第一方面，一种基于时间域的DNS隐蔽信道的检测方法，包括：

解析收到的DNS请求报文以及相应的应答报文，明确目标DNS客户端主机(DNS请求方)在预先建立的IP主机索引树中对应的IP主机节点；

以设定的时间周期分别统计所述目标DNS客户端主机对应的报文中表征DNS请求流量的多种记录类型，作为所述目标DNS客户端主机的协议流量评价特征参数；

将所述目标DNS客户端主机的协议流量评价特征参数输入预先构建的评价函数，所述评价函数采用预先学习得到的DNS请求流量峰值基线进行比对，若偏离所述DNS请求流量峰值基线超出设定阈值，则将所述目标DNS客户端主机标记为异常主机。

可选地，所述IP主机索引树的叶节点存储有预先学习得到的DNS请求流量峰值基线；所述DNS请求流量峰值基线包括所述表征DNS请求流量的多种记录类型的统计信息。

可选地，所述表征DNS请求流量的多种记录类型的统计信息包括：

累计DNS请求数量、单个二级域的请求数量、A记录请求数量、AAAA记录请求数量、PTR记录请求数量、NS请求数量、SOA请求数量以及MX记录请求数量。