專利名稱:用于限制并檢測網絡惡意行為的基于域名系統的執行的制作方法
技術領域:
本發明涉及通信網絡,并且特別涉及用于限制并檢測網絡惡意行為的基于域名系統(DNS)的執行。
背景技術:
最初的互聯網協議TCP/IP是基于系統用戶嚴格合法地連接到網絡而設計的;因此,沒有專門考慮安全問題。然而在近年,互聯網上惡意攻擊的發生率已增長到令人擔憂的比率。在各種類別的攻擊之中,可以提到拒絕服務(DoS)攻擊,它涉及阻止某人在網絡上使用給定服務的能力,可以呈現各種形式,并且通常導致目標受害者的服務完全崩潰。其它威脅包括病毒、蠕蟲、系統入侵、電子欺騙、數據/網絡破壞、數據竊取、用受害者的服務器無法應付的許多業務來對受害者進行泛洪攻擊,等等。
計算機病毒是通過被復制或者將其復制品引入另一程序、計算機開機區或文檔而復制自身的程序或編程代碼,它以各種方式穿越網絡進行復制。病毒可以被看作是這樣的DoS攻擊受害者通常不是具體指定的,而只是不夠幸運的主機得到該病毒。根據特定的病毒,拒絕服務幾乎很難察覺,它始終涉及災難。病毒可以作為電子郵件的附件或在下載文件中被傳送,或者出現在磁盤或CD上。一些病毒一旦其代碼被執行就實施其效果;其它病毒處于休眠狀態直到環境導致其代碼被計算機執行。一些病毒在目的和效果上是良性的,而一些卻相當有害,它刪除數據或致使你的硬盤需要重新格式化。
通過作為電子郵件附件或作為網絡消息的一部分重新發送自身來復制其自身的病毒稱為蠕蟲。蠕蟲使用操作系統的一些部分,這些部分是自動的并且通常對于用戶是不可見的。蠕蟲通常僅當其不受控的復制消耗系統資源從而減緩或中斷其它任務時才被察覺到。蠕蟲通過利用應用程序和系統軟件中的已知和先前未知的軟件漏洞二者進行操作,并且迅速地穿越網絡傳播。通過劫持典型地利用許多全球許可而運行的可信應用程序,蠕蟲可以獲得對系統資源的完全訪問并導致完全的系統危害,所述可信應用程序例如是web(萬維網)服務器、郵件傳送代理和登錄服務器。
蠕蟲和病毒困擾如今的數據網絡,并且它們現在已經是多年的問題了(莫里斯(Morris)蠕蟲、紅色代碼等)。不幸地是,由于寬帶連接的增長速度和普及,這些攻擊在頻率、嚴重性和復雜度上都在增長。這些惡意網絡攻擊通過拒絕企業和小型辦公/家庭網絡為其客戶服務的能力而特別危害這些網絡,其導致銷售和廣告收入的損失;贊助人也會尋求競爭的可選方案。同樣知道,這種類型的網絡可能被利用并然后形成另外的惡意行為的源。同樣知道,蠕蟲可能比當前已經發現的更加惡意。因此,可能構造超級致命的活動蠕蟲,其能夠在大約15分鐘到一個小時內感染所有有漏洞的主機,并且可以在人們作出反應之前導致最大的破壞。通過使用優化的掃描例程、針對最初傳播的hitlist掃描和針對完全的、自協同的覆蓋的permutation掃描,可以構建這些蠕蟲。
目前,為保護它們的網絡和系統,企業部署分層的防御模型。其包括防火墻、反病毒系統、訪問管理和入侵檢測系統(IDS),以及依賴于修補和對安全威脅作出反應的連續循環。防御模型已經存在許多年,并且至今還沒有一個能夠實現用較少的關聯成本和煩擾來提供對所有攻擊的完全保護的最終目標。
防火墻是阻止惡意行為擴散到給定網絡或阻止來自給定網絡的惡意行為的重要組件。多數大型公司在適當的位置具有防火墻,并且安全專家仍然認為它們應當構成公司IT安全策略中的第一防線。當前部署的防火墻僅在它們具有蠕蟲指定簽名、具有必要的分析準確度或如果蠕蟲試圖使用被阻止端口或協議的情況下,才能夠阻止蠕蟲。
基于蠕蟲簽名的檢測系統是基于網絡(或每個主機)、裝置,其中該裝置在線處理(sit in-line with)網絡業務并且對照已知的蠕蟲簽名來檢查每個IP分組。通常這些解決方案還依賴于對照帶寬配置文件(bandwidthprofile)來檢查業務流。這項技術的例子包括在網址http://www.juniper.net/products/intrusion/中所描述的Juniper的Netscreen Intrusion Detection Prevention;在網址http://www.tippingpoint.com/technology filters.html中所描述的TippingPoint的UnityOne;和http://sourceforge.net/projects/snort-inline/中所描述的Snort-Inline,等等。
通用在線入侵防御系統(IPS)還依賴于簽名和流測量,以檢測并阻止網絡中的惡意行為,因此它們的能力限于阻止零日(zero-day)蠕蟲。此外,如果它們的檢測算法是基于統計觀測結果(例如流的帶寬、每個主機的激活端口數目等),則在IPS系統能夠開始阻止蠕蟲之前要花費一些時間。由于該時間窗,企業應當對蠕蟲的擴散負責。另一方面,所提出的發明通過在惡意行為進行第一次嘗試時阻止這個沒有關聯簽名的惡意行為,來克服所述“零日”和“時間窗”問題。
然而,由于建立一種直到發生攻擊才識別惡意SW的策略是不可行的,因此簽名和行為監控技術在新的蠕蟲首次穿越互聯網擴散時是無效的。簽名和策略可以被周期地更新,但僅是在蠕蟲或其它惡意SW已被識別并被研究之后。簽名監控技術在新的蠕蟲首次穿越互聯網擴散時是無效的。在“好的”和“壞的”代碼的身份或行為之間進行區分也極其困難。這導致大量“錯誤肯定”,其將許多防御系統的目的限于檢測事件而不是防止它們。
此外,簽名和行為監控技術二者都允許在攻擊的開始和它的檢測之間的時間間隔,所以通過監控運行的應用程序的行為,到檢測到破壞性行為的時候,所述應用程序已經被危害并且惡意代碼已經在運行。這個時間間隔表示在被攻擊的接入鏈路上操作的網絡的漏洞窗。
最重要地,防火墻不能阻止一切;它們被配置用來允許特定類別或類型的數據進入受保護的網絡。利用允許通過防火墻的服務的每個惡意行為成功地擴散。因此,防火墻可能不再足以保護公司網絡以免于利用防火墻允許的協議中的漏洞的病毒、系統滲透、電子欺騙、數據和網絡破壞和拒絕服務攻擊。為解決這個問題,當前正在設計新的技術。
D.White,E.Kranakis、P.C.van Ooschot(加拿大安大略渥太華Carleton大學計算機科學學院)在題為“DNS-based Detection of ScanningWorms in an Enterprise Network”的論文中,描述了基于DNS(域名系統)的網絡安全技術,該論文發表在2005年2月3-4日于美國圣地亞哥舉行的第十二屆年度網絡和分布式系統安全研討會的會議錄中。該論文中的提議是基于在建立新連接之前監控DNS活動。掃描蠕蟲使用相應于IP地址的32位隨機數來進行感染嘗試,因此它不使用DNS協議進行地址轉換(從混合符號名稱到各個IP地址)。
Carleton團隊使用持續觀測網絡業務的分組處理引擎(PPE,PacketProcessing Engine)來尋找新的外出的TCP連接和UDP分組。所捕獲的業務被傳遞到DNS相關引擎(DCE,DNS Correlation Engine),在該DNS相關引擎,對照最近發生的DNS查找和具有不依賴于DNS的合法應用和服務的白名單(whitelist)來檢查所述業務。如果TCP連接正試圖在沒有關聯的DNS查找記錄的情況下訪問互聯網,則該連接被認為是反常的,并且系統將發出告警。DCE從本地DNS接收DNS查找信息。它還從PPE單元接收所允許的嵌入式數字IP地址,這針對所述目也是分析HTTP業務。
然而,由Carleton團隊開展的工作限于蠕蟲檢測,而并不防止蠕蟲的擴散。明顯地,到本地網絡以外的主機的一個成功的惡意連接,意味著蠕蟲已成功地擴散。這意味著,即使企業網絡正在使用這個基于DNS的檢測機制來激活一些過濾器以阻止蠕蟲擴散,該企業仍應當在從檢測到作出反應的時間窗期間對該蠕蟲導致的破壞負責。此外,由Carleton團隊提出的解決方案需要一個或多個這樣的網絡裝置其能夠通過深入的分組檢查來實時分析在每個出口點離開企業的所有業務。這些業務分析器中每一個都必須執行線路速率的準確HTML分析。
在自防御網絡的范圍內,Cisco已提出稱為網絡準入控制(NAC,Network Admission Control)的技術,該技術可以在下面的網址找到http://www.cisco.com/warp/public/cc/so/neso/sqso/csdni wp.htm,該技術減輕了蠕蟲和類似惡意行為在企業網絡內的擴散。所述思想依賴于安全策略在連接到給定企業網絡的任何端點上的執行。Cisco NAC僅對順應且可信的主機準予網絡訪問,而限制不順應主機的訪問。所述準入判決可以基于幾個參數,例如主機的反病毒狀態和操作系統的補丁級別。如果主機是不順應的,其可以被置于隔離區或被準予對網絡資源的最低限度的訪問。
Cisco的NAD可以被看作是間接的蠕蟲限制方法。事實上,NAC的目標是確保連接到企業網絡的所有機器都運行更新的反病毒軟件和最新的OS補丁。這并不阻止零日蠕蟲從企業網絡擴散到互聯網。由NAC提供的安全取決于企業策略和反病毒軟件的準確度。此外,在針對指定蠕蟲的補丁存在但其由于操作問題而不能被使用的所有情況下,NAC是無效的。
Alcatel公司還使用自動隔離引擎(AQE,Automated QuarantineEngine),其是有些類似于NAC的解決方案,但它依賴于收集自入侵檢測和防御系統的信息并動態地重新配置網絡以限制惡意行為,而不是直接檢驗連接到網絡的主機上的安全策略。如在網址http://www.home.alcatel.com/vpr/vpr.nsf/DateKey/16082004_2uk中所描述的,一旦檢測到攻擊,AQE就定位入侵者并且實現網絡響應。在病毒或蠕蟲攻擊的情況下,AQE將被感染的設備置入應用于網絡邊緣的Alcatel隔離VLAN中。利用AQE,被感染的設備被記入黑名單(blacklist),即使感染的入侵者移動到另一位置。
然而,Alcatel的AQE完全依賴于第三方入侵檢測系統(IDS)來封鎖被感染的主機。這個解決方案受IDS系統準確度以及蠕蟲簽名的需要的限制。此外,蠕蟲在被感染主機的檢測和隔離之間的時間窗期間,仍然能夠感染企業網絡外部的其它主機。這個時間窗的范圍很大程度上取決于由第三方IDS使用的檢測機制。所提出的解決方案不依賴于任何第三方IDS或任何先前存在的簽名來限制惡意行為。
一般地,所有現代技術都涉及簽名、策略或訓練的組合,以區分好的和壞的代碼,建立通常較復雜并且需要時間來跨越服務器進行。需要進行中的調整和定制,以保持與最近的漏洞同步并且也減少對惡意攻擊的“錯誤肯定”和“錯誤否定”標識的發生。
IP網絡的可靠性和安全在這樣的領域內是基本的計算機網絡是實體內和實體間通信和事務的關鍵單元。因此,需要提供一種用于在易于安裝和維護的網絡中限制并檢測惡意行為(例如互聯網蠕蟲)的系統。
發明內容
本發明的目的是提供一種用于檢測并限制網絡惡意行為的基于DNS的執行系統,其完全或部分地減少了現有技術安全執行和檢測系統的缺點。
因此,本發明提供了一種系統用于檢測并限制網絡惡意行為,其中該網絡惡意行為源自本地網絡上的本地主機并且去往該本地網絡外部的遠端主機,該系統包括本地域名服務器(DNS),該服務器用于從本地主機接收針對到遠端主機的外出連接的請求、完成DNS查找以獲得該遠端主機的IP地址,并且產生一致性指示;以及本地執行單元,其被連接在本地網絡和遠端主機之間,用于默認地阻止所述外出連接的建立,直到它接收到所述一致性指示。
本發明還提供了一種方法用于檢測并限制網絡惡意行為,其中該網絡惡意行為源自本地網絡上的本地主機并且去往該本地網絡外部的遠端主機,該方法包括以下步驟a)響應于由本地主機為獲得遠端主機的IP地址而在本地網絡上的本地域名系統(DNS)服務器中進行的DNS查找,來產生一致性指示;b)基于所述一致性指示和具有特定異常的列表來利用執行單元產生連接授權指示,其中所述特定異常包括允許在不進行DNS查找的情況下訪問指定遠端資源的本地主機;以及c)默認地阻止所述外出連接的建立,直到接收所述連接授權指示。
不像上述Carleton團隊的基于DNS的解決方案,本發明的系統不僅檢測網絡惡意行為,而且在該行為首次嘗試離開給定網絡時阻止它們。記錄被阻止的外出連接嘗試也揭示了網絡中惡意行為的出現。因此,企業網絡可以免于對特定類別的蠕蟲(即那些不進行DNS查找的蠕蟲)穿越互聯網擴散的責任,并且同時可以在惡意行為發生時立即察覺到。
這樣,本發明具有防止并檢測惡意行為在本地網絡外部擴散的雙重優點。檢測網絡中的惡意行為的優點是顯而易見的,因此不對其進行進一步討論。防止網絡惡意行為的擴散的優點是雙重的。首先,在被邏輯地分成小區的大型網絡的情況下,防止惡意行為的擴散意味著僅一個小區而不是整個網絡的安全被危及。其次,如果沒有部署限制機制,則企業從民法觀點來說應當對傳播蠕蟲負責。可以證實,對惡意網絡行為的限制和檢測在網絡設備市場中是增值的區分(differentiator)。
本發明系統的另一優點在于,它不依賴于簽名,該簽名在處理大量且不斷變化的惡意行為事件時會在操作上變得勢不可擋,所述系統也不需要產生并保持更新的簽名的關聯負擔。它也不依賴于例如網絡“探測器(sniffer)”的不便利的單元和技術,但是僅依賴于在標準代理和防火墻內已經可用的知識。此外,所提出的解決方案不需要準確分析所有HTTP消息來尋找嵌入式數字IP地址,這將觸發異常,如Carleton團隊的基于DNS的解決方案所要求的。
由于其能夠有效地阻止零日惡意網絡行為,因此所提出的發明是對如NAC的解決方案的補充。
最后,所介紹的解決方案不限于任何特定的實現,這使得所述思想是極其靈活且有利的解決方案。
根據下面對如附圖所示的優選實施例的詳細描述,本發明的上述及其它的目的、特征和優點將是顯而易見的,其中-圖1示出了根據本發明的基于DNS的執行系統的實施例的框圖;-圖2示出了其中本地網絡被分為小區的基于DNS的執行系統的框圖;以及-圖3示出了使用代理的基于DNS的執行系統的另一實施例的框圖。
具體實施例方式
在下文中,術語“網絡惡意行為”是指蠕蟲、病毒、群發郵件蠕蟲、自動攻擊工具-DDoS僵尸(zombie)、遠程訪問木馬(Remote AccessTrojan)所使用的秘道程式碼(convert channel)、或對網絡及其操作造成安全風險的類似威脅。“本地網絡”是指這樣的受限網絡環境其依賴于一個或多個本地DNS服務器,并且具有一個或多個到另一網絡(例如互聯網)的受保護接入。
圖1示出了根據本發明的基于DNS的執行系統100的實施例的框圖。在這個例子中,本地網絡5的主機20A、20B經由執行單元15連接到互聯網1。主機20A和20B能夠同時訪問感興趣的“內部”和“外部”資源。系統100要求朝向位于本地網路外部的資源的每個連接被本地執行單元15默認地阻止。
圖1還示出了DNS服務器13,其為每個合法的外出連接請求提供在節點/主機的數字IP地址和相應混合符號名稱之間的映射。系統100基于這樣的概念惡意網絡行為不利用DNS協議來到達本地網絡外部的遠端目標。當DNS服務器13接收到查找請求時,它將向所述執行單元發出一致性指示,以指示針對來自本地網絡5上主機的外出連接的請求是合法的連接。
在圖1的實施例中,執行單元15包括防火墻10、控制單元12、DNS網守(Gatekeeper)14、連接監控單元18和告警報告單元16。如上面所指出的,標準防火墻僅能夠阻止這樣的蠕蟲其具有指定簽名,或如果該蠕蟲試圖使用被阻止的端口或協議;利用被允許通過所述標準防火墻的服務的每個惡意行為將成功地擴散。然而,防火墻10不需要簽名(并且保持所述簽名被更新)來結合圖1的系統進行操作,它也不依賴于網絡“探測器”,它也不需要分析HTML消息以尋找嵌入式數字IP地址。此外,防火墻10能夠保留普通行業可用的防火墻的所有功能和特性(包括基于簽名的阻止)。控制單元12基于來自DNS網守14的信息而向防火墻10通知在所有使用合法協議的連接之中哪個外出連接被授權通過。
所述連接監控器對網守14標識每個外出連接,并且DNS網守14標識該外出連接是否執行了DNS查詢。外出連接僅在被DNS網守14直接授權時才被允許離開本地網絡;所述DNS網守一旦接收到來自DNS服務器13的一致性指示就發出連接授權指示。利用后面討論的一些異常,僅當連接建立涉及DNS查找時,DNS網守14才向控制單元12發出所述連接授權指示以允許防火墻上的各自的連接。DNS網守14使用任何適當的協議來與控制單元12通信,其中所述協議可以例如是MidCom協議。
假設主機20A嘗試合法地訪問本地網絡5外部的資源;網守被監控器18告知該新連接。為了獲取感興趣的遠端資源的數字地址,主機20A發起有效的DNS查找。DNS服務器13利用所述遠端資源的數字IP地址來響應主機20A,并且還通過發出一致性指示信號來信號通知DNS網守14該請求是合法的。在這點,DNS網守14通過控制單元12指示防火墻10允許從主機20A到所請求的遠端數字IP地址的外出連接。
在被感染的網絡主機的情況下,在圖1的例子中被感染的主機是主機20B,存在于該主機上的惡意軟件(蠕蟲等)試圖通過感染其它機器來擴散。為此,所述蠕蟲需要產生可能的遠端目標的IP地址,這在不首先進行DNS查找的情況下是現時直接完成的。因此,主機20B將在不產生DNS請求的情況下試圖連接到遠端資源。由于在沒有DNS網守14的明確許可的情況下沒有業務被允許通過本地防火墻10,因此來自主機20B的連接將被認為是惡意行為并根據給定的策略而被處理。現在,告警報告單元16信號通知對該外出連接的拒絕。
優選地,所有惡意連接嘗試在沒有進一步處理的情況下而被立即終止。這樣,系統100可以被配置用來阻止利用被允許網絡服務但在連接到遠端資源之前不進行合法DNS請求的所有惡意行為。可選地,執行單元15可以請求已發起可疑外出連接的應用程序驗證其自身。
然而,存在不需要預先的DNS查找的合法連接。這些可能包括例如對等業務、遠端管理工具和具有嵌入式IP地址的網絡服務的本地客戶端。為解決這些情景,本發明建議使用DNS策略存儲庫17,其處理不具有關聯DNS記錄的連接的合法異常。存儲庫17簡單地包括具有協議和端口的本地主機的白名單,其中該本地主機被允許在不進行DNS查找的情況下訪問遠端資源。存儲庫17可以還基于更復雜的方法。在拒絕新連接之前,其中該新連接由連接監控單元18信號通知但未從DNS服務器13接收到針對該連接的一致性信號,DNS網守14查詢DNS策略存儲庫17。如果與該連接關聯的端口/協議包括在白名單中,則所述連接授權指示仍然被發出。然而,系統100仍然容易受到利用DNS策略存儲庫17的白名單中所列出的服務的蠕蟲的攻擊(例如,在允許所述服務情況下的對等蠕蟲)。
存在其它類型的合法異常,其可以違反外出連接必須首先執行DNS查找這一假設。其中的兩種由系統100在沒有任何附加部件的情況下直接解決。第一種是本地用戶試圖直接通過使用遠端資源的數字IP地址來訪問遠端資源的情況,而第二種是網頁將其內容的一些“外包(oursourcing)”給遠端服務器的情況。在第二種情況下,所述網頁的HTML代碼可以包含具有所述網頁內容的一部分(例如圖片)的遠端服務器的IP數字地址。產生自任一情景的所有HTTP請求看上去是惡意行為,這是因為它們是朝向針對其沒有關聯DNS請求記錄的IP地址的新TCP連接。連接監控單元18識別這些連接,并且強制控制單元12指示防火墻10在缺乏由DNS網守14產生的連接授權指示的情況下允許各自的外出連接。
為了解決這個問題,連接監控器18監控TCP連接建立過程。TCP在實際傳輸任何有效負載數據之前使用所謂的三次握手(Three-wayHandshake)初始化過程。以簡化的方式如下描述所述TCP三次握手過程。首先,想要啟動到遠端主機的TCP連接的主機,發出包含特定參數的SYN分組。遠端主機接收該SYN并用也確認先前SYN的不同的SYN消息來作出響應。最終,發起方主機用最終的確認消息(ACK)來作出響應,并且可能已經開始在該消息中附加一些有效負載數據。在檢測到去往不具有關聯DNS記錄的數字IP地址的TCP連接之后,單元18使第一外出TCP SYN分組通過各自的連接。然后,在接收到進入的SYN/ACK之后,將會有一個來自本地主機的、具有一些有效負載的外出ACK。在這點上,如果所述控制單元檢測到所述有效負載是HTTP GET命令,則將指示防火墻10讓該TCP流的剩余部分通過。如果所述有效負載不是HTTP GET,則執行單元15將假設所述連接嘗試是惡意的并且阻止該連接。可選地,連接監控單元18可以代表所述惡意應用而向遠端方發送TCP RESET。
由于無法預見但合法的非標準應用行為,可能需要推遲關于外出連接的判決直到第一有用有效負載從本地網絡被發往外部。例如,要求訪問遠端資源的給定合法應用可以發送TCP SYN分組、等待遠端的TCP ACK,然后發送空的TCP SYN/ACK分組、等待第二遠端TCP ACK并且然后僅發送真正的有效負載。
同樣,執行單元15可以用來連續監控最近建立的TCP連接,以確保存在對外出HTTP GET的有意義的響應,即連接的另一端確實是web服務器而不是蠕蟲已經向其發送最初的假HTTP GET的另一個網絡服務。應當指出,所述任務完全在當前HTTP代理的能力之內,并且其是與如Carleton小組提案所要求的探測網絡業務并針對HTML代碼中的任意匹配而準確分析該業務在完全不同的工作。
系統100因而在蠕蟲能夠通過單個HTTP GET命令來擴散其自身的情況下是易受攻擊的。然而,如果需要,防御這一非常具體的潛在威脅的機制并不難實現。
執行單元15也可以具有檢測部件,用于記錄被阻止的外出連接嘗試,并且向DNS網守14或入侵檢測系統(未示出)報告入侵的主機、所用的協議和端口以及所述連接的遠端目的地。所述檢測特性對于限制本地網路上的惡意行為來說并不是強制的。
如上面所指出的,發生在給定本地網絡5中的惡意行為不會被檢測到,直到嘗試實現到本地網絡外部的數字IP地址的連接。因此,為了加快對本地網絡內蠕蟲的檢測,可以使用如圖2所示的配置。在這種情況下,本地網絡被細分為小區5A、5B、5C,每個小區使用本地DNS服務器13a、13b、13c等,并且給定小區內的每個網絡主機/資源使用各自的本地DNS服務器。試圖在大型企業域內從一個小區擴散到另一個小區的惡意應用程序(例如蠕蟲)將被阻止并且被迅速檢測到,這使得該企業內的所有其它小區免于被感染。這種將本地網絡分為更小網絡小區的部署情景,在今天的大型企業網絡內已經很普遍。根據本發明,在這種情況下,執行單元15a、15b等被部署在小區之間,并且在到外部網絡的接入處。
下面考慮代表本地網絡應用程序執行DNS請求的代理服務器的情況。在這種情況下,所述執行單元(代理)具有使得阻止判決可用的所有知識;不存在對分離的DNS網守的需要,如圖3所示。到數字IP地址的所有外出連接嘗試都將被認為是可疑的并且被阻止,同時所有攜帶有效域名的外出連接將被允許。
很可能將來會考慮到通過在每個連接嘗試之前執行搶先的有效DNS請求而避開上面的解決方案,來設計蠕蟲。然而,這個蠕蟲設計技術將對蠕蟲的功效增加顯著的缺點,例如針對蠕蟲需要產生有效域名而不是隨機數字IP地址,并且需要獲得本地DNS服務器地址。此外,這個技術將蠕蟲的傳播減緩很多倍,并且對本地DNS服務器具有顯著的影響。最終,蠕蟲可能危及的遠端資源的數量將被嚴格地限制。實際上,僅僅具有合格域名的遠端主機現在是可到達的。這將排除在NAT之后的多數家庭寬帶用戶和企業網絡中的客戶端系統。
權利要求
1.一種用于檢測并限制網絡惡意行為的系統,其中所述網絡惡意行為源自本地網絡上的本地主機并且去往所述本地網絡外部的遠端主機,該系統包括本地域名系統服務器,用于從所述本地主機接收針對到所述遠端主機的外出連接的請求、完成域名系統查找以獲得所述遠端主機的互聯網協議地址,以及產生一致性指示;以及本地執行單元,其被連接在所述本地網絡和所述遠端主機之間,用于默認地阻止所述外出連接的建立,直到其接收到所述一致性指示。
2.根據權利要求1的系統,其還包括具有列表的域名系統策略存儲庫,所述列表具有特定異常,所述特定異常包括被允許在不進行域名系統查找的情況下訪問指定遠端資源的本地主機。
3.根據權利要求2的系統,其中,所述特定異常至少包括承載對等業務的連接、來自具有嵌入式互聯網協議地址的本地主機的連接和遠端管理工具。
4.根據權利要求2的系統,其中,所述本地執行單元包括控制單元,用于阻止所述連接直到接收連接授權指示,并且最終在缺乏所述連接授權指示的情況下拒絕所述請求;連接監控單元,用于確定所述外出連接是否是合法連接,并且指示所述控制單元只要所述外出連接是合法連接、就在缺乏所述連接授權指示的情況下啟動所述外出連接;以及域名系統網守,用于基于所述一致性指示和所述特定異常列表來產生所述連接授權指示。
5.根據權利要求4的系統,其中,如果所述本地主機合法地使用數字互聯網協議地址,則所述外出連接是合法連接。
6.根據權利要求4的系統,其中,如果所述本地主機向遠端服務器發送網頁,則所述外出連接是合法連接。
7.根據權利要求1的系統,其中,所述本地執行單元包括代理服務器,其用于阻止所述外出連接,開且基于所述一致性指示在所述外出連接攜帶有效域名請求的情況下,不阻止所述外出連接;以及告警報告單元,其用于在所述請求最終被所述控制單元阻止的情況下產生告警,其中,如果所述域名是有效的,則所述代理服務器允許所述外出連接。
8.根據權利要求4的系統,其中,所述控制單元控制用于防止未授權用戶的標準防火墻,以允許或阻止所述外出連接。
9.根據權利要求1的系統,其還包括這樣的裝置用于記錄被阻止的外出連接并且報告請求各個被阻止連接的所有本地主機。
10.一種用于檢測并限制網絡惡意行為的方法,其中所述網絡惡意行為源自本地網絡上的本地主機并且去往所述本地網絡外部的遠端主機,該方法包括以下步驟a)響應于域名系統查找而產生一致性指示,其中所述本地主機為獲得所述遠端主機的互聯網協議地址而在所述本地網絡的本地域名系統服務器中進行所述域名系統查找;b)基于所述一致性指示和具有特定異常的列表,利用執行單元產生連接授權指示,其中所述特定異常包括被允許在不進行域名系統查找的情況下訪問指定遠端資源的本地主機;以及c)默認地阻止所述外出連接的建立,直到接收所述連接授權指示。
11.根據權利要求10的方法,其還包括d)監控所述外出連接的連接建立過程,以確定所述外出連接是否是合法連接;以及e)只要所述外出連接是合法連接,就在缺乏所述連接授權指示的情況下建立所述外出連接。
12.根據權利要求1的方法,其還包括將所述本地網絡分為小區,并且為每個小區配備各自的本地域名系統服務器和執行單元,以限制惡意行為在小區內的擴散。
13.根據權利要求10的方法,其還包括最終在缺乏所述連接授權指示的情況下阻止所述外出連接的建立,并且只要所述請求最終被阻止就產生告警。
14.根據權利要求13的方法,其還包括記錄所有最終被阻止的外出連接,并且報告請求各個被阻止連接的所有本地主機。
15.根據權利要求10的系統,其中所述特定異常至少包括承載對等業務的連接、遠端管理工具和來自具有嵌入式互聯網協議地址的本地主機的連接。
16.根據權利要求11的方法,其中,如果所述本地主機向遠端服務器發送網面,則所述外出連接是合法連接。
17.根據權利要求16的方法,其中步驟d)包括d1)識別由所述本地主機在交換SYN消息之后從所述遠端主機接收的確認消息;d2)訪問由所述本地主機在接收所述確認消息之后發送的第一有效負載分組中的消息;以及d3)如果所述第一有效負載分組中的消息是HTTP GET命令,則將所述連接標記為合法連接。
18.根據權利要求17的方法,其還包括,如果所述第一有效負載分組中的消息不是HTTP GET命令,則向所述遠端主機發送TCP RESET消息以終止所述連接建立過程。
19.根據權利要求17的方法,其還包括d4)一旦建立所述外出連接就監控它,以確定對所述HTTP GET命令的響應是否指示所述遠端主機是萬維網服務器。
全文摘要
惡意網絡行為不使用域名系統(DNS)協議來到達本地網絡外部的遠端目標。這個用于限制并檢測網絡惡意行為的基于DNS的執行系統,要求去往位于本地網絡外部的資源的每個連接都被例如防火墻或代理的本地執行盒默認地阻止。僅當由稱為DNS網守的實體直接授權時,外出連接才被允許離開本地網絡。
文檔編號H04L12/26GK1901485SQ20061010643
公開日2007年1月24日 申請日期2006年7月24日 優先權日2005年7月22日
發明者E·瓊斯 申請人:阿爾卡特公司