專利名稱:利用源自多個(gè)源的聚集dns信息來檢測(cè)異常的dns名稱解析的制作方法
技術(shù)領(lǐng)域:
本披露總體上涉及計(jì)算機(jī)安全��,并且尤其涉及利用源自多個(gè)源的聚集DNS信息來檢測(cè)異常的DNS名稱解析��。
背景技術(shù):
惡意方使用很多不同類型的域名服務(wù)(“DNS”)攻擊將用戶不知不覺地引向惡意服務(wù)器��。例如像DNS緩沖中毒��、快通和雙通技術(shù)、本地主文件修改����、本地WinSock/Winlnet代理配置修改這樣的攻擊以及其他攻擊用于修改解析合法主機(jī)名稱的嘗試��,以便將解析重新引向惡意服務(wù)器����。在很多情況中,基于客戶端的安全軟件很難檢測(cè)到客戶端DNS記錄已經(jīng)被控制�����。實(shí)際上,很多DNS攻擊不位于客戶端本地,因此實(shí)際上不能單獨(dú)在該客戶端上尋 址��。另一方面��,很多DNS攻擊位于單獨(dú)的客戶端本地�����,因此僅通過網(wǎng)絡(luò)安全解決方案不容易尋址���。解決這些問題是令人期望的�����。
發(fā)明內(nèi)容
一種DNS安全系統(tǒng)收集并使用源自多個(gè)計(jì)算機(jī)(例如����,客戶端計(jì)算機(jī)、網(wǎng)絡(luò)計(jì)算裝置)的聚集DNS信息來檢測(cè)異常的DNS名稱解析��,該解析可以代表DNS攻擊��。一個(gè)客戶端DNS安全組件運(yùn)行在多個(gè)客戶端計(jì)算機(jī)中的每一個(gè)上。每個(gè)客戶端DNS安全組件識(shí)別解析其客戶端計(jì)算機(jī)上的DNS名稱的企圖���。這可以包括DNS名稱的本地解析,例如通過本地緩沖器或主文件�����,并且包括傳輸至遠(yuǎn)程DNS服務(wù)器的DNS查詢��。在兩種情況中�,客戶端DNS安全組件收集與已識(shí)別的解析DNS名稱的企圖有關(guān)的DNS信息,例如通過分析客戶端計(jì)算機(jī)本地的DNS設(shè)置��、DNS查詢以及所產(chǎn)生的響應(yīng)���。運(yùn)行在該多個(gè)客戶端計(jì)算機(jī)上的客戶端安全組件向運(yùn)行在遠(yuǎn)程計(jì)算機(jī)(例如�����,服務(wù)器)上的服務(wù)器DNS安全組件傳送所收集的與DNS名稱的每個(gè)已識(shí)別的解析相關(guān)的DNS信息���。在一些實(shí)施方案中�,一個(gè)或多個(gè)網(wǎng)絡(luò)DNS安全組件運(yùn)行在網(wǎng)絡(luò)級(jí)上�,監(jiān)控網(wǎng)絡(luò)DNS流量,并向服務(wù)器DNS安全組件傳送所收集的與DNS名稱的每個(gè)已識(shí)別的解析相關(guān)的DNS信息。服務(wù)器DNS安全組件從多個(gè)客戶端計(jì)算機(jī)接收DNS信息的多次傳輸,DNS信息的每次傳輸包括與具體DNS名稱的解析的具體實(shí)例相關(guān)的信息����。服務(wù)器DNS安全組件從該多個(gè)客戶端計(jì)算機(jī)聚集已接收的DNS信息的多次傳輸。聚集的DNS信息可以存儲(chǔ)在例如數(shù)據(jù)庫(kù)中��。服務(wù)器DNS安全組件比較從具體計(jì)算機(jī)接收的與具體DNS名稱相關(guān)的DNS信息和從多個(gè)客戶端計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息�����。例如�����,服務(wù)器DNS安全組件可以比較從具體計(jì)算機(jī)接收的與具體DNS名稱的具體解析相關(guān)的DNS信息和從多個(gè)客戶端計(jì)算機(jī)接收的與該相同DNS名稱的多個(gè)解析相關(guān)的聚集DNS信息�。通過分析例如解析的IP地址����、解析的方法、生存時(shí)間以及DNS源記錄這樣的因素���,服務(wù)器DNS安全組件可以確定從該具體客戶端計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息是否為異常的。當(dāng)服務(wù)器安全組件識(shí)別了與所接收的DNS信息相關(guān)的至少一個(gè)異?���,F(xiàn)象時(shí),例如DNS信息和與相同DNS名稱相關(guān)的聚集DNS信息所指示的模式之間的差異���,服務(wù)器DNS安全組件可以確定所接收的DNS信息是異常的,并向該具體客戶端計(jì)算機(jī)傳送一個(gè)警告或其它指示,該異常DNS信息接收自該計(jì)算機(jī)。響應(yīng)于確定所接收的DNS信息是異常的���,服務(wù)器DNS安全組件還可以基于從多個(gè)客戶端計(jì)算機(jī)接收的與相同DNS名稱的多個(gè)解析相關(guān)的聚集DNS信息對(duì)解析進(jìn)行修改。當(dāng)服務(wù)器DNS安全組件確定所接收的DNS信息不是異常時(shí)��,服務(wù)器DNS安全組件可以向發(fā)起客戶端計(jì)算機(jī)傳送一個(gè)適合的指示���。在本概述中以及在以下的詳細(xì)說明中說明的這些特征及優(yōu)點(diǎn)并不是包攬無(wú)遺的,并且具體地講�����,通過參看本發(fā)明的附圖�、說明書、以及權(quán)利要求書����,很多額外的特征和優(yōu)點(diǎn)對(duì)相關(guān)領(lǐng)域的普通技術(shù)人員將變得清楚�����。另外�,應(yīng)該注意到本說明書中所使用的語(yǔ)言的選擇主要是為了易讀性和指導(dǎo)性的目的,并且也許不是被選用為描繪或限制本發(fā)明的主題�,對(duì)于確定這種發(fā)明主題必須求助于權(quán)利要求書�����。
圖I是根據(jù)一些實(shí)施方案的一種不例性網(wǎng)絡(luò)架構(gòu)的框圖,其中可以實(shí)施一種DNS安全系統(tǒng)。圖2是根據(jù)一些實(shí)施方案的適用于實(shí)施一種DNS安全系統(tǒng)的計(jì)算機(jī)系統(tǒng)的框圖����。圖3是根據(jù)一些實(shí)施方案的一種DNS安全系統(tǒng)的操作的高級(jí)概覽的框圖����。圖4是根據(jù)一些實(shí)施方案的一種客戶端DNS安全系統(tǒng)的操作的框圖。圖5是根據(jù)一些實(shí)施方案的一種服務(wù)器DNS安全系統(tǒng)的操作的框圖����。圖6是根據(jù)一些實(shí)施方案的一種DNS安全系統(tǒng)的操作的流程圖。這些圖示僅為展示的目的描繪了多個(gè)實(shí)施方案�����。本領(lǐng)域的普通技術(shù)人員將容易地從以下說明中認(rèn)識(shí)到�,可以使用在此所展示的這些結(jié)構(gòu)以及方法的替代實(shí)施方案而不背離在此說明的原理�����。
具體實(shí)施例方式圖I的框圖示出了一種示例性網(wǎng)絡(luò)架構(gòu)100���,其中可以實(shí)施一種DNS安全系統(tǒng)101�。該示出的網(wǎng)絡(luò)架構(gòu)100包括多個(gè)客戶端103A、103B和103N�,以及多個(gè)服務(wù)器105A和105N。在圖I中�,將DNS安全系統(tǒng)101展示為駐存在服務(wù)器105A和客戶端103A����、103B和103N上���。應(yīng)理解這僅是一個(gè)示例����,并且在多種實(shí)施方案中該系統(tǒng)101的多種功能可以在客戶端103�、服務(wù)器105、網(wǎng)絡(luò)計(jì)算裝置313上實(shí)例化��,或可以根據(jù)需要分布在多個(gè)客戶端103和/或服務(wù)器105之間。如在圖2中所示和下文描述的計(jì)算機(jī)系統(tǒng)210可以用來實(shí)施客戶端103和服務(wù)器105�����?���?蛻舳?03和服務(wù)器105通信地連接至網(wǎng)絡(luò)107�,例如通過以下結(jié)合圖2描述得網(wǎng)絡(luò)接口 248或調(diào)制解調(diào)器247�����。客戶端103能夠利用例如網(wǎng)絡(luò)瀏覽器或其它客戶端軟件(未示出)訪問服務(wù)器105上的應(yīng)用程序和/或數(shù)據(jù)。盡管圖I示出了三個(gè)客戶端和兩個(gè)服務(wù)器作為一個(gè)示例��,在實(shí)踐中可以部署更多(或更少)的客戶端103和/或服務(wù)器105。在一個(gè)實(shí)施方案中����,網(wǎng)絡(luò)107是互聯(lián)網(wǎng)的形式���。在其他的實(shí)施方案中可以使用其他網(wǎng)絡(luò)107或基于網(wǎng)絡(luò)的環(huán)境�����。圖2是適于實(shí)施一種DNS安全系統(tǒng)101的一個(gè)計(jì)算機(jī)系統(tǒng)210的框圖����??蛻舳?03、服務(wù)器105以及網(wǎng)絡(luò)計(jì)算裝置313可以采用這種計(jì)算機(jī)系統(tǒng)210的形式來實(shí)施。如圖所示,計(jì)算機(jī)系統(tǒng)210的一個(gè)組件是總線212。總線212通信性地連接計(jì)算機(jī)系統(tǒng)210的其他組件�����,例如至少一個(gè)處理器214、系統(tǒng)存儲(chǔ)器217 (例如隨機(jī)存取存儲(chǔ)器(RAM)��、只讀存儲(chǔ)器(ROM)、閃存存儲(chǔ)器)���、輸入/輸出(I/O)控制器218����、通信性地連接到外部音頻裝置(例如揚(yáng)聲器系統(tǒng)220)的音頻輸出接口 222�����、通信性地連接到外部視頻輸出裝置(例如顯示屏224)的顯示適配器226、一個(gè)或多個(gè)接口(例如串行端口 230)�����、通用串行總線(USB)插口230��、并行端口(未示出)等、通信性地連接到鍵盤232的鍵盤控制器233�����、通信性地連接到至少一個(gè)硬盤244 (或其他形式的磁媒質(zhì))的存儲(chǔ)接口 234���、配置用于接收軟盤238的軟盤驅(qū)動(dòng)237�����、配置用于連接光纖通道(FC)網(wǎng)絡(luò)290的主機(jī)總線適配器(HBA)接口卡235A����、配置用于連接到SCSI總線239的HBA接口卡235B��、配置用于接收光盤242的光盤驅(qū)動(dòng)240��、連接到總線212的鼠標(biāo)246 (或其他的指點(diǎn)裝置)(例如通過USB插口 228)���、連接到總線212的調(diào)制解調(diào)器247 (例如通過串行端口 230)��、及例如直接連接到總線212的網(wǎng)絡(luò)接口 248�����。
其他的組件(未示出)能夠以類似的方式連接(例如���,文件掃描儀���、數(shù)碼相機(jī)���、打印機(jī)等)���。相反�����,圖2中所示的所有組件不需要出現(xiàn)����。這些組件和子系統(tǒng)能夠以不同于圖2中示出的方式互相連接。總線212允許在處理器214和系統(tǒng)存儲(chǔ)器217之間的數(shù)據(jù)通信�����,如上所述系統(tǒng)存儲(chǔ)器可以包括ROM和/或閃存存儲(chǔ)器以及RAM。RAM典型地是加載操作系統(tǒng)和應(yīng)用程序的主存儲(chǔ)器����。ROM和/或閃存存儲(chǔ)器可以包括(除其他的代碼以外)控制特定基本硬件操作的基本輸入輸出(BIOS)系統(tǒng)。應(yīng)用程序可以存儲(chǔ)在本地計(jì)算機(jī)可讀媒質(zhì)(例如硬盤244、光盤242)上并載入到系統(tǒng)存儲(chǔ)器217���,由處理器214執(zhí)行。應(yīng)用程序還可以通過例如網(wǎng)絡(luò)接口248或調(diào)制解調(diào)器247從遠(yuǎn)程位置(即位于遠(yuǎn)處的計(jì)算機(jī)系統(tǒng)210)載入到系統(tǒng)存儲(chǔ)器217上����。在圖2中���,將DNS安全系統(tǒng)101展示為位于系統(tǒng)存儲(chǔ)器217中�。以下結(jié)合圖3更為詳細(xì)地解釋DNS安全系統(tǒng)101的操作。存儲(chǔ)接口 234連接到一個(gè)或多個(gè)硬盤244 (和/或其他的標(biāo)準(zhǔn)存儲(chǔ)媒質(zhì))上。硬盤244可以是計(jì)算機(jī)系統(tǒng)210的一部分或者可以是物理上分離的并且通過其他接口系統(tǒng)可訪問的��。網(wǎng)絡(luò)接口 248和/或調(diào)制解調(diào)器247可以直接或間接通信性地連接到網(wǎng)絡(luò)107(如互聯(lián)網(wǎng))上��。這種連接可以是有線或無(wú)線的�。圖3展示了根據(jù)一些實(shí)施方案的DNS安全系統(tǒng)101的高級(jí)操作���,該系統(tǒng)位于一個(gè)服務(wù)器105����、三個(gè)客戶端103、多個(gè)計(jì)算機(jī)系統(tǒng)210、以及一個(gè)網(wǎng)絡(luò)計(jì)算裝置313的系統(tǒng)存儲(chǔ)器217中。如上描述�����,DNS安全系統(tǒng)101的功能可以位于客戶端103���、服務(wù)器105��、網(wǎng)絡(luò)計(jì)算裝置313上,或分布在多個(gè)計(jì)算機(jī)系統(tǒng)210之間,包括位于基于云的計(jì)算環(huán)境內(nèi)�,在該環(huán)境中DNS安全系統(tǒng)101的功能被提供用作網(wǎng)絡(luò)107上的服務(wù)�。應(yīng)當(dāng)理解��,盡管圖3中僅僅示出了三個(gè)客戶端103����,但在實(shí)踐中典型地可以部署更多。例如�����,在一些實(shí)施方案中��,上千個(gè)(或更多個(gè))客戶端103運(yùn)行客戶端側(cè)DNS安全系統(tǒng)101的功能����。另外����,盡管僅示出了一個(gè)單一服務(wù)器105��,服務(wù)器側(cè)DNS安全系統(tǒng)101的功能可以根據(jù)需要分布在多個(gè)服務(wù)器105之間。應(yīng)當(dāng)理解,盡管DNS安全系統(tǒng)101在圖3、4和5中示為一個(gè)單一實(shí)體,但所示的DNS安全系統(tǒng)101代表多種功能的集合�,該集合可以根據(jù)需要實(shí)例化為一個(gè)單一的或多個(gè)組件和/或模塊(DNS安全系統(tǒng)101的具體的、多個(gè)組件和模塊的實(shí)例示于圖3��、4和5中)。應(yīng)當(dāng)理解�,DNS安全系統(tǒng)101的組件和模塊可以在任何計(jì)算機(jī)系統(tǒng)210的系統(tǒng)存儲(chǔ)器217 (例如RAM、ROM、閃存存儲(chǔ)器)內(nèi)實(shí)例化���,以便當(dāng)計(jì)算機(jī)系統(tǒng)210的處理器214處理一個(gè)組件或模塊時(shí)��,計(jì)算機(jī)系統(tǒng)210執(zhí)行相關(guān)的功能�。如本文中使用,術(shù)語(yǔ)“計(jì)算機(jī)系統(tǒng)”�、“計(jì)算機(jī)”����、“客戶端”、“客戶端計(jì)算機(jī)”�����、“服務(wù)器”����、“服務(wù)器計(jì)算機(jī)”及“計(jì)算裝置”是指配置和/或編程為執(zhí)行所描述的功能的一個(gè)或多個(gè)計(jì)算機(jī)��。此外����,實(shí)現(xiàn)DNS安全系統(tǒng)101的功能的程序代碼可以存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)媒質(zhì)上��。任何形式的有形的計(jì)算機(jī)可讀媒質(zhì)可在此背景下使用�����,例如磁性的或光學(xué)存儲(chǔ)媒質(zhì)���。如在此所使用的,術(shù)語(yǔ)“計(jì)算機(jī)可讀存儲(chǔ)媒質(zhì)”不意味著電氣信號(hào)與底層物理媒質(zhì)分離���。如圖3所示��,在一個(gè)實(shí)施方案中�,DNS安全系統(tǒng)101包括多個(gè)客戶端103��,每一個(gè)客戶端在其系統(tǒng)存儲(chǔ)器217中運(yùn)行客戶端DNS安全組件301,并且包括一個(gè)中央服務(wù)器105����,該中央服務(wù)器在其系統(tǒng)存儲(chǔ)器217中運(yùn)行服務(wù)器DNS安全組件303��。以下結(jié)合圖4和5詳細(xì)描述客戶端DNS安全組件301和服務(wù)器DNS安全組件303的特定模塊�����。通過與多個(gè)客戶端103上的客戶端DNS安全組件301進(jìn)行通信,服務(wù)器DNS安全組件303能夠隨著時(shí)間從更大的用戶社區(qū)(例如很多客戶端103)收集與各種DNS名稱305的行為相關(guān)的DNS信息309。例如��,服務(wù)器DNS安全組件303可以知道DNS名稱305以什么方式解析���、解析哪個(gè)IP 地址307等�����。以此方式��,服務(wù)器DNS安全組件303監(jiān)控很多客戶端103上的DNS活動(dòng)��,并且如以下詳細(xì)描述能夠因此檢測(cè)異常的DNS名稱305解析模式�����、快速變化的DNS名稱305以及其它不正規(guī)活動(dòng),從而裁定對(duì)應(yīng)的DNS名稱305的實(shí)例為異常的。另一方面,所觀察的始終(緩慢變化等)解析到相同IP地址307的DNS名稱305可以被裁定為不是異常的。如以下結(jié)合圖4更為詳細(xì)描述的,每個(gè)客戶端103上的客戶端DNS安全組件301檢查本地DNS設(shè)置以及在網(wǎng)絡(luò)107上流向客戶端103并從其流出的DNS流量�。匯集的DNS信息309被提交給服務(wù)器DNS安全組件303。服務(wù)器DNS安全組件303關(guān)聯(lián)并分析特定DNS名稱305的解析模式?��?蛻舳?03無(wú)論何時(shí)試圖解析DNS名稱305時(shí)��,客戶端103都可以通過正規(guī)的DNS服務(wù)器(圖3中未示出)或者在本地(例如通過緩沖器)發(fā)布待解析的正規(guī)DNS查詢。DNS查詢產(chǎn)生對(duì)應(yīng)于DNS名稱305的IP地址307?�?蛻舳薉NS安全組件301可以發(fā)送IP地址307和其它對(duì)應(yīng)的DNS信息309至服務(wù)器DNS安全組件303�����,這可以確定是否DNS名稱305對(duì)IP地址307的解析是否是異常的��。通過從大量客戶端103收集信息并因此具有表示給定的DNS名稱305如何基于時(shí)間在客戶端103上解析的數(shù)據(jù),服務(wù)器DNS安全組件303可以識(shí)別DNS解析模式中的異?�,F(xiàn)象。例如���,假設(shè)服務(wù)器DNS安全組件303具有與很多在DNS名稱“domain, com”上的提交有關(guān)的DNS信息309���,所有這些提交都上報(bào)了十分高的生存時(shí)間和對(duì)“X. X. X. V���,的相同IP地址307的連續(xù)解析����。如果此時(shí)服務(wù)器DNS安全組件303從客戶端安全組件301接收了表示相同的DNS名稱305解析至IJ “Y. Y. Y. Y�����,,的不同IP地址307的DNS信息309�����,則服務(wù)器DNS安全組件303可以將該DNS名稱305的這次解析標(biāo)記為異常的�����。如圖3所示�����,在一些實(shí)施方案中�����,與客戶端DNS安全組件301在每個(gè)客戶端103上實(shí)施相反或除了這種情況之外,一個(gè)或多個(gè)DNS安全組件311可以部署在網(wǎng)絡(luò)107中��,并在網(wǎng)絡(luò)級(jí)上監(jiān)控DNS流量�����。網(wǎng)絡(luò)DNS安全組件311可以例如在內(nèi)聯(lián)的或無(wú)源的網(wǎng)絡(luò)計(jì)算裝置313的系統(tǒng)存儲(chǔ)器217中實(shí)例化���。以類似于客戶端DNS安全組件301的方式�,網(wǎng)絡(luò)DNS安全組件311監(jiān)控在網(wǎng)絡(luò)107上流向客戶端103和從其流出的DNS流量��。網(wǎng)絡(luò)DNS安全組件311所收集的DNS信息309還被提交到服務(wù)器DNS安全組件303以進(jìn)行關(guān)聯(lián)和分析����。如以上所述����,在客戶端DNS安全組件301的背景下����,無(wú)論何時(shí)客戶端103發(fā)布DNS查詢,DNS查詢就產(chǎn)生對(duì)應(yīng)于DNS名稱305的IP地址307。與客戶端DNS安全組件相同����,監(jiān)控網(wǎng)絡(luò)DNS流量的網(wǎng)絡(luò)DNS安全組件311可以向服務(wù)器DNS安全組件303發(fā)送IP地址307和其它對(duì)應(yīng)的DNS信息309,這可以確定DNS名稱305對(duì)IP地址307的解析是否是異常的����。盡管網(wǎng)絡(luò)DNS安全組件311僅檢測(cè)與在網(wǎng)絡(luò)107上解析的DNS查詢相關(guān)的信息�����,這與在本地單獨(dú)的客戶端103上不同���,但網(wǎng)絡(luò)DNS安全組件311可以收集并提交重要的DNS信息309�����,無(wú)需安裝在客戶端計(jì)算機(jī)103上���。轉(zhuǎn)到圖4����,展示了在客戶端103的系統(tǒng)存儲(chǔ)器217中運(yùn)行的客戶端DNS安全組件301的操作�����?���?蛻舳薉NS安全組件301的DNS解析識(shí)別模塊401識(shí)別通過客戶端103解析DNS名稱305的企圖���。換言之��,正規(guī)DNS查詢403無(wú)論何時(shí)源自客戶端103��,從DNS解析識(shí)別模塊401都對(duì)其進(jìn)行檢測(cè)��。DNS解析識(shí)別模塊401可以使用常規(guī)的實(shí)現(xiàn)機(jī)構(gòu)來識(shí)別解析DNS名稱305的企圖�����。例如�����,當(dāng)在微軟Windows 下操作時(shí),DNS解析識(shí)別模塊401可以掛接適當(dāng)?shù)腁PI功能(例如RpcNsBindingLookup)。在其它操作系統(tǒng)或Windows 的一些版本上,執(zhí)行這種功能的具體實(shí)施機(jī)構(gòu)可以改變,但在相關(guān)領(lǐng)域那些熟練技術(shù)人員的技能組合范圍內(nèi)��。根據(jù)本說明,在當(dāng)前描述的環(huán)境中這類實(shí)施機(jī)構(gòu)的應(yīng)用對(duì)這種技能水平的技工·而言是十分容易的�����。在一些實(shí)例中,DNS查詢403可以在客戶端103本地進(jìn)行解析�,無(wú)需在網(wǎng)絡(luò)107上向DNS名稱服務(wù)器407產(chǎn)生一條請(qǐng)求��。為此,當(dāng)DNS解析識(shí)別模塊401識(shí)別到正出現(xiàn)解析DNS名稱305的企圖時(shí)���,DNS本地信息收集模塊405檢查可以用于本地解析該DNS查詢的客戶端103上的DNS設(shè)置���。這包括檢查DNS設(shè)置,例如本地LMhost文件409條目��、本地主文件按411條目����、客戶端103上的DNS緩沖器414�����、本地WinSock DNS設(shè)置(未示出)以及本地網(wǎng)絡(luò)堆棧實(shí)施中的任意其它DNS設(shè)置(未示出)�����。如果DNS名稱305在本地解析,DNS本地信息收集模塊405收集對(duì)應(yīng)的DNS信息309,例如如何解析DNS名稱305、將它解析到哪個(gè)IP地址307���、生存時(shí)間以及對(duì)DNS查詢403的響應(yīng)419中的任意其它信息(例如,響應(yīng)于查詢403而返回的一條或多條源記錄)在一些情況中�,DNS查詢403不能在本地解析�,并因此發(fā)送至DNS名稱服務(wù)器407進(jìn)行解析���。為了在這種環(huán)境中收集與解析有關(guān)的DNS信息309�,網(wǎng)絡(luò)流量監(jiān)控模塊413監(jiān)控源自客戶端103的外向傳輸415����,并識(shí)別外向DNS查詢403���。在一個(gè)實(shí)施方案中,傳輸監(jiān)控模塊413包括能夠檢查外向HTTP流中的DNS查詢403的超文本傳輸協(xié)議(“HTTP”)代理(或如圖所示是本地的����,或是遠(yuǎn)程的)。在另一個(gè)實(shí)施方案中,將傳輸監(jiān)控模塊413被實(shí)例化為可以接入NDS查詢403的一個(gè)網(wǎng)絡(luò)瀏覽器插件�����。在其它實(shí)施方案中,傳輸監(jiān)控模塊413可以在較低層級(jí)上實(shí)施����,例如通過掛接網(wǎng)絡(luò)協(xié)議堆棧��。傳統(tǒng)的實(shí)施機(jī)構(gòu)可以用于實(shí)例化網(wǎng)絡(luò)流量監(jiān)控模塊413���。實(shí)例化(本地的和遠(yuǎn)程的)HTTP代理���、網(wǎng)絡(luò)瀏覽器插件以及掛接網(wǎng)絡(luò)協(xié)議堆棧的實(shí)施機(jī)構(gòu)對(duì)那些相關(guān)領(lǐng)域的普通技術(shù)人員而言是已知的��。根據(jù)本說明����,在當(dāng)前環(huán)境中使用它們對(duì)這類技術(shù)水平的一個(gè)技術(shù)人員是十分容易的�����。在圖4中����,網(wǎng)絡(luò)流量監(jiān)控模塊413示為在本地客戶端103上運(yùn)行。在其它實(shí)施方案中,網(wǎng)絡(luò)流量監(jiān)控模塊413在遠(yuǎn)程運(yùn)行�����,例如在代理(未示出)上。 在任何情況中�,當(dāng)在外向傳輸415中識(shí)別了 DNS請(qǐng)求403時(shí)�,DNS遠(yuǎn)程信息收集模塊417監(jiān)控外向DNS請(qǐng)求403和來自DNS名稱服務(wù)器407的響應(yīng)419�����,并收集對(duì)應(yīng)的DNS信息309��,例如如何解析DNS名稱305、將它解析到哪個(gè)IP地址307等��。在DNS本地信息收集模塊405和DNS遠(yuǎn)程信息收集模塊417之間���,收集與每個(gè)DNS查詢403相關(guān)的DNS信息309和對(duì)應(yīng)的響應(yīng)419�����,例如DNS查詢403是在本地還是在網(wǎng)絡(luò)上解析�����、DNS查詢403發(fā)送到哪個(gè)DNS名稱服務(wù)器407 (如果有的話)���、DNS名稱305解析到哪個(gè)IP地址307��、是否執(zhí)行遞歸查找���、生存時(shí)間���、以及根據(jù)需要的DNS查詢403和/或響應(yīng)419中的任意其它信息。當(dāng)收集與一個(gè)具體NDS名稱305的給定解析相關(guān)的DNS信息309時(shí),DNS信息傳輸模塊421向服務(wù)器DNS安全組件303傳送DNS信息309��,以進(jìn)行關(guān)聯(lián)和聚集�����。應(yīng)當(dāng)理解����,收集并傳輸那種具體的NDS信息309是可變的設(shè)計(jì)參數(shù)��。返回到圖5,服務(wù)器DNS安全組件303的DNS信息接收模塊501接收與該多個(gè)客戶端103提交的不同DNS名稱305的多個(gè)解析相關(guān)的信息309��。DNS信息聚集模塊503聚集從不同客戶端103提交的DNS信息309���。DNS信息聚集模塊503隨著時(shí)間推移將與接收自多個(gè)客戶端的具體DNS名稱305的具體解析相關(guān)的DNS信息309的單獨(dú)傳輸傳送至與不同 客戶端103上的不同DNS名稱305的多次解析有關(guān)的聚集DNS信息511�����。如以下描述的����,DNS信息存儲(chǔ)模塊505可以在數(shù)據(jù)庫(kù)(或其他核實(shí)的存儲(chǔ)機(jī)構(gòu))507中存儲(chǔ)聚集的DNS信息511以進(jìn)行分析。在一些實(shí)施方案中,DNS信息309被聚集到并存儲(chǔ)為由域和子域組織的一個(gè)樹形結(jié)構(gòu)�,這樣可以容易地分析與相同的域和/或子域相關(guān)的DNS信息309的所有提交。在其它實(shí)施方案中�����,可以使用其它聚集和存儲(chǔ)方法�����。應(yīng)當(dāng)理解,聚集并存儲(chǔ)那種具體DNS信息309是可變的設(shè)計(jì)參數(shù)。DNS信息比較模塊517將從單獨(dú)的客戶端103提交的與不同DNS名稱305上具體DNS查詢相關(guān)的DNS信息309與聚集的DNS信息511 (例如,存儲(chǔ)在數(shù)據(jù)庫(kù)507上)相比較。因?yàn)榕c具體的DNS名稱305上的當(dāng)前解析相關(guān)的所提交的DNS信息309與所聚集的DNS信息511相比較,異常解析識(shí)別模塊509可以將DNS信息309中的異?,F(xiàn)象識(shí)別為已提交�����。例如,因?yàn)榕c具體的DNS名稱305相關(guān)的當(dāng)前提交與所聚集的DNS信息511 (與相同的DNS名稱305相關(guān))相比較,異常解析識(shí)別模塊509可以檢測(cè)DNS信息309 (與該具體DNS名稱305上的當(dāng)前查詢403相關(guān))和在一段時(shí)間上從多個(gè)客戶端103收集的聚集DNS信息511(與相同的DNS名稱305相關(guān))中的不同之處。通過觀察例如DNS名稱305解析到的IP地址307����、解析方法(例如網(wǎng)絡(luò)107���、本地主文件411�����、本地緩沖器414等)���、生存時(shí)間���、響應(yīng)419中的其它數(shù)據(jù)(例如DNS源記錄中的其它字段)等這樣的因素,異常解析識(shí)別模塊509可以識(shí)別當(dāng)前DNS查詢403和聚集DNS信息511 (與感興趣的DNS名稱305相關(guān))之間的不同之處。響應(yīng)于當(dāng)前DNS信息309和聚集DNS信息511的比較,異常解析識(shí)別模塊509可以識(shí)別當(dāng)前DNS信息309是否為異常的���。檢測(cè)到的異?��,F(xiàn)象可以表示DNS攻擊,例如DNS中毒�����、主文件411修改等。應(yīng)當(dāng)理解,對(duì)于任意給定的DNS名稱305,將哪個(gè)具體當(dāng)前DNS信息309與哪個(gè)具體聚集DNS信息511進(jìn)行比較是可變的設(shè)計(jì)參數(shù)。另外�,對(duì)于任意給定的DNS名稱305����,當(dāng)前DNS信息309和聚集DNS信息511之間的多少變化和什么類型的變化應(yīng)當(dāng)被考慮�,這表明異常解析也是一個(gè)可變的設(shè)計(jì)參數(shù)�����。例如���,在一些實(shí)施方案中��,當(dāng)一個(gè)具體DNS名稱305的聚集DNS信息511表示該DNS名稱305已經(jīng)解析到具有較長(zhǎng)生存時(shí)間的小IP地址307集合時(shí)�,對(duì)該集合之外的和/或具有較短生存時(shí)間的IP地址307的當(dāng)前解析可以判定為異常的����。另一方面���,對(duì)于歷史上已經(jīng)解析到具有更短生存時(shí)間的更大的IP地址307集合的DNS名稱305 (例如,內(nèi)容發(fā)布網(wǎng)絡(luò)如Hewlett PackarcUMicrosoft�����、以及Alkami中的DNS名稱305)�,典型地將更寬范圍的解析考慮為非異常的��,盡管仍對(duì)這種更寬范圍之外的解析模式進(jìn)行標(biāo)記�����。在存在很少或不存在與給定DNS名稱305相關(guān)的聚集DNS信息511的情況(例如�����,特定域或子域組合,如“www. domain, com/sub-domain”)中���,DNS解析識(shí)別模塊515可以隔離域名305的更高層級(jí)部分(例如,www. domain, com),并比較當(dāng)前DNS信息309和只與域名305的隔離部分相關(guān)的聚集DNS信息511。在一些實(shí)施方案中���,異常解析識(shí)別模塊509僅標(biāo)記它判定為DNS名稱305的異常解析的內(nèi)容,并且指示傳送模塊519將警告指示513傳送至提交當(dāng)前DNS信息309的客戶端103和/或傳送至第三方,例如中央安全服務(wù)器(未不出)。在一些實(shí)施方案中��,這種警告指示513是一種簡(jiǎn)單的提示,即與客戶端103上報(bào)的DNS名稱305的當(dāng)前解析相關(guān)的DNS信息309不匹配與該DNS名稱305相關(guān)的聚集DNS信息511。在其它實(shí)施方案中,這些指示513可以根據(jù)需要改變附加信息的等級(jí)(例如�����,解析為何被判定為異常的描述����、在按滑動(dòng) 比例考慮解析是如何異常的等級(jí)����、一個(gè)或多個(gè)建議補(bǔ)救措施等)�。另一方面���,當(dāng)異常解析識(shí)別模塊509未識(shí)別到與給定DNS名稱305的具體解析相關(guān)的任意異常現(xiàn)象時(shí)�����,異常解析識(shí)別模塊509還可以例如通過向提交當(dāng)前DNS信息309的客戶端103傳送指示513的指示傳送模塊519來標(biāo)記未發(fā)現(xiàn)解析是異常的信息(和/或向第三方)�。在一些實(shí)施方案中,除了或代替?zhèn)魉途?13以外�,服務(wù)器105上的DNS解析修改模塊515可以改變或阻止有企圖的解析����,或根據(jù)需要采取其它行動(dòng)�����。在一些實(shí)施方案中����,代替或除了服務(wù)器105以外,DNS解析修改模塊515可以在一個(gè)或多個(gè)客戶端103上實(shí)例化�����。圖6的流程圖展示了根據(jù)一些實(shí)施方案的DNS安全系統(tǒng)101 (圖I)的操作。在服務(wù)器105 (圖I)的系統(tǒng)存儲(chǔ)器217 (圖2)中運(yùn)行的服務(wù)器DNS安全組件303 (圖3)的DNS信息接收模塊501 (圖5)從多個(gè)客戶端計(jì)算機(jī)103 (圖I)接收DNS信息309 (圖3)的多次傳輸(601)。DNS信息309 (圖3)的每個(gè)所接收的傳輸包括與具體客戶端103 (圖I)上的具體DNS名稱305 (圖3)的解析的具體實(shí)例相關(guān)的信息���。服務(wù)器DNS安全組件303 (圖3)的DNS信息聚集模塊503 (圖5)聚集從該多個(gè)客戶端計(jì)算機(jī)103 (圖I)接收的DNS信息309(圖3)的多次傳輸(603)。服務(wù)器DNS安全組件303 (圖3)的DNS信息存儲(chǔ)模塊505 (圖5)可以將聚集DNS信息511 (圖5)存儲(chǔ)在例如數(shù)據(jù)庫(kù)507 (圖5)中(605)����。服務(wù)器DNS安全組件303 (圖3)的DNS信息比較模塊517 (圖5)將從具體客戶端計(jì)算機(jī)103 (圖I)接收的DNS信息309 (與具體DNS名稱305 (圖3)相關(guān))與從多個(gè)客戶端計(jì)算機(jī)103 (圖I)接收的聚集DNS信息511 (與相同的DNS名稱305 (圖3)相關(guān))進(jìn)行比較(607)。服務(wù)器DNS安全組件303 (圖3)的異常解析識(shí)別模塊509 (圖5)識(shí)別與所接收的DNS信息309 (圖3)相關(guān)的任何異?�,F(xiàn)象(609)���,例如所接收的DNS信息309 (圖3)和聚集DNS信息511 (圖5)(與相同的DNS名稱305 (圖3)相關(guān))所指示的模式之間的差異。響應(yīng)于識(shí)別了至少一個(gè)與所接收的DNS信息309 (圖3)相關(guān)的異?��,F(xiàn)象,服務(wù)器DNS安全組件303 (圖3)的指示傳送模塊519 (圖5)可以向具體客戶端計(jì)算機(jī)103 (圖I)傳送一個(gè)警告指示513 (圖3) (611)�,異常DNS信息309 (圖3)接收自該具體客戶端計(jì)算機(jī)�����。另外或可替代地�,響應(yīng)于確定所接收的DNS信息309 (圖3)是異常的��,服務(wù)器DNS安全組件303 (圖3)的DNS解析修改模塊515 (圖5)可以對(duì)DNS名稱305 (圖3)的解析進(jìn)行修改(613)。當(dāng)未識(shí)別到異?����,F(xiàn)象時(shí),指示傳送模塊519 (圖5)可以向發(fā)起客戶端103 (圖I)傳送適合的指示513 (圖5) (615)���。如熟悉本領(lǐng)域技術(shù)的人們將會(huì)理解的�����,本發(fā)明能夠以多種其他具體的形式來實(shí)施而不背離其精神或本質(zhì)性特征����。同樣�,這些部分�、模塊����、代理器�、管理器、部件����、功能、過程、動(dòng)作、層����、特征、屬性�����、方法以及其他方面的特定的命名以及劃分不是強(qiáng)制性的或有重要意義的,并且實(shí)施本發(fā)明或其特征的機(jī)理可以具有不同的名稱���、劃分和/或形式。為了解釋的目的���,已經(jīng)參照具體實(shí)施方案對(duì)前述說明作出了描述。但是���,這些示意性的說明并不旨在窮舉或者將本發(fā)明限制在所披露的準(zhǔn)確形式�。鑒于以上教導(dǎo)�����,許多修改和變形都是可能的�����。選 擇和描述該實(shí)施方案是為了最佳地解釋相關(guān)的原理及其實(shí)際應(yīng)用�,從使其他本領(lǐng)域技術(shù)人員能夠最佳地使用各種實(shí)施方案���,進(jìn)行或不進(jìn)行適合于預(yù)期特定使用的各種修改。
權(quán)利要求
1.一種使用源自多個(gè)計(jì)算機(jī)的聚集DNS信息來檢測(cè)異常DNS名稱解析的計(jì)算機(jī)實(shí)現(xiàn)方法����,該方法包括以下步驟 由運(yùn)行在服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件從多個(gè)計(jì)算機(jī)接收DNS信息的多次傳輸�����,DNS信息的每次傳輸包括與具體DNS名稱的解析的具體實(shí)例相關(guān)的信息��; 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件聚集從該多個(gè)計(jì)算機(jī)接收的DNS信息的多次傳輸�����; 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件比較從具體計(jì)算機(jī)接收的與具體DNS名稱相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息�;并且 響應(yīng)于從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息的比較,由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件確定從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息是否為異常的��。
2.如權(quán)利要求I所述的方法���,進(jìn)一步包括 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件存儲(chǔ)接收自多個(gè)計(jì)算機(jī)的聚集DNS信息。
3.如權(quán)利要求I所述的方法��,其中由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件比較從具體計(jì)算機(jī)接收的與具體DNS名稱相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息進(jìn)一步包括 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件比較從具體計(jì)算機(jī)接收的與具體DNS名稱的具體解析相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱的多個(gè)解析相關(guān)的聚集DNS信息�����。
4.如權(quán)利要求3所述的方法����,進(jìn)一步包括 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件從包括以下因素的一組因素中分析具體計(jì)算機(jī)接收的與具體DNS名稱的具體解析相關(guān)的DNS信息與從多個(gè)計(jì)算機(jī)接收的與相同DNS名稱的多個(gè)解析相關(guān)的聚集DNS信息中的至少一個(gè)因素��,:解析的IP地址�、解析的方法、生存時(shí)間以及DNS源記錄���。
5.如權(quán)利要求I所述的方法���,進(jìn)一步包括 響應(yīng)于缺乏從多個(gè)計(jì)算機(jī)接收的與具體DNS名稱的多個(gè)解析相關(guān)的聚集DNS信息,由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件隔離該具體DNS名稱的一個(gè)更高級(jí)別部分�����;以及 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件比較從具體計(jì)算機(jī)接收的與具體DNS名稱相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該具體DNS名稱的隔離的更高級(jí)別部分相關(guān)的聚集DNS信息���。
6.如權(quán)利要求I所述的方法�����,其中響應(yīng)于從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息,由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件確定從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息是否是異常的進(jìn)一步包括 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件識(shí)別與接收自該具體計(jì)算機(jī)與該具體DNS名稱相關(guān)的該DNS信息相關(guān)的至少一個(gè)異?,F(xiàn)象;并且響應(yīng)于該識(shí)別步驟���,由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件確定接收自該具體計(jì)算機(jī)的與該具體DNS名稱相關(guān)的DNS信息為異常的���。
7.如權(quán)利要求6所述的方法��,其中由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件識(shí)別與接收自該具體計(jì)算機(jī)與該具體DNS名稱相關(guān)的該DNS信息相關(guān)的至少一個(gè)異常現(xiàn)象進(jìn)一步包括 由運(yùn)行在在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件識(shí)別該接收自該具體計(jì)算機(jī)的與該具體DNS名稱相關(guān)的DNS信息和接收自多個(gè)計(jì)算機(jī)的于該相同DNS名稱相關(guān)的聚集DNS信息所指示的模式之間的至少一個(gè)差異。
8.如權(quán)利要求I所述的方法�����,進(jìn)一步包括 響應(yīng)于由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件來確定從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息是否為異常的���,由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件向至少一個(gè)目標(biāo)傳送一個(gè)對(duì)應(yīng)的指示�����。
9.如權(quán)利要求8所述的方法��,進(jìn)一步包括 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件確定接收自該具體計(jì)算機(jī)的與該具體DNS名稱相關(guān)的DNS信息為異常的���;并且 響應(yīng)于確定從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息是異常的,由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件向該具體計(jì)算機(jī)傳送一個(gè)警告�,該異常DNS信息接收自該具體計(jì)算機(jī)���。
10.如權(quán)利要求8所述的方法,進(jìn)一步包括 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件確定接收自該具體計(jì)算機(jī)的與該具體DNS名稱相關(guān)的DNS信息不是異常的;并且 響應(yīng)于確定從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息不為異常的���,由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件向該計(jì)算機(jī)傳送該DNS信息不為異常的一個(gè)指示��,該不為異常的DNS信息接收自該計(jì)算機(jī)���。
11.如權(quán)利要求3所述的方法���,進(jìn)一步包括 由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件確定接收自該具體計(jì)算機(jī)的與該具體DNS名稱相關(guān)的DNS信息為異常的;并且 響應(yīng)于確定從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息為異常的����,由運(yùn)行在該服務(wù)器計(jì)算機(jī)上的服務(wù)器DNS安全組件基于從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱的多個(gè)解析相關(guān)的聚集DNS信息修改從具體客戶端接收的該DNS信息所涉及的該具體DNS名稱的具體解析��。
12.如權(quán)利要求I所述的方法����,進(jìn)一步包括 由運(yùn)行在客戶端計(jì)算機(jī)上的DNS安全組件識(shí)別由至少一個(gè)具體計(jì)算機(jī)來解析DNS名稱的企圖��; 由運(yùn)行在該客戶端計(jì)算機(jī)上的DNS安全組件收集與已識(shí)別的由該至少一個(gè)具體計(jì)算機(jī)來解析DNS名稱的企圖相關(guān)的DNS信息�;并且 由運(yùn)行在該客戶端計(jì)算機(jī)上的DNS安全組件傳送與由該至少一個(gè)具體計(jì)算機(jī)收集的與一個(gè)DNS名稱的每個(gè)所識(shí)別的解析相關(guān)的DNS信息到在該服務(wù)器計(jì)算機(jī)上運(yùn)行的服務(wù)器DNS安全組件。
13.如權(quán)利要求12所述的方法��,其中由運(yùn)行在該客戶端計(jì)算機(jī)上的DNS安全組件收集與已識(shí)別的由該至少一個(gè)具體計(jì)算機(jī)來解析DNS名稱的企圖相關(guān)的DNS信息進(jìn)一步包括 由運(yùn)行在該客戶端計(jì)算機(jī)上的DNS安全組件檢查位于該客戶端計(jì)算機(jī)本地上的DNS設(shè)置����;并且 由運(yùn)行在該客戶端計(jì)算機(jī)上的DNS安全組件收集與至少一個(gè)DNS名稱的至少一個(gè)本地解析相關(guān)的DNS信息�����。
14.至少一個(gè)存儲(chǔ)計(jì)算機(jī)程序產(chǎn)品計(jì)算機(jī)可讀存儲(chǔ)媒質(zhì),該產(chǎn)品被配置用于利用源自多個(gè)計(jì)算機(jī)的聚集DNS信息來檢測(cè)異常的DNS名稱解析���,該計(jì)算機(jī)程序產(chǎn)品包 用于從多個(gè)計(jì)算機(jī)接收DNS信息的多次傳輸?shù)某绦虼a,DNS信息的每次傳輸包括與具體DNS名稱的解析的具體實(shí)例相關(guān)的信息�����; 用于聚集從該多個(gè)計(jì)算機(jī)接收的DNS信息的多次傳輸?shù)某绦虼a; 用于比較從具體計(jì)算機(jī)接收的與具體DNS名稱相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息的程序代碼���;以及 用于響應(yīng)于從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息的比較來確定從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息是否為異常的程序代碼����。
15.至少一個(gè)計(jì)算機(jī)系統(tǒng)��,該系統(tǒng)被配置用于利用源自多個(gè)計(jì)算機(jī)的聚集DNS信息來檢測(cè)異常的DNS名稱解析����,該計(jì)算機(jī)系統(tǒng)包括 用于從多個(gè)計(jì)算機(jī)接收DNS信息的多次傳輸?shù)难b置��,DNS信息的每次傳輸包括與具體DNS名稱的解析的具體實(shí)例相關(guān)的信息��; 用于聚集從該多個(gè)計(jì)算機(jī)接收的DNS信息的多次傳輸?shù)难b置��; 用于比較從具體計(jì)算機(jī)接收的與具體DNS名稱相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息的裝置;以及 用于響應(yīng)于從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息和從多個(gè)計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息的比較來確定從該具體計(jì)算機(jī)接收的與該具體DNS名稱相關(guān)的DNS信息是否為異常的裝置�����。
全文摘要
一種DNS安全系統(tǒng)收集并使用源自多個(gè)客戶端計(jì)算機(jī)的聚集DNS信息來檢測(cè)異常的DNS名稱解析�。一個(gè)服務(wù)器DNS安全組件從多個(gè)客戶端計(jì)算機(jī)接收DNS信息的多次傳輸����,DNS信息的每次傳輸與具體DNS名稱的解析的具體實(shí)例相關(guān)��。該服務(wù)器組件從該多個(gè)客戶端計(jì)算機(jī)聚集該DNS信息���。該服務(wù)器組件比較從具體客戶端計(jì)算機(jī)接收的與具體DNS名稱相關(guān)的DNS信息和從多個(gè)客戶端計(jì)算機(jī)接收的與該相同DNS名稱相關(guān)的聚集DNS信息來識(shí)別異常的DNS名稱解析�。當(dāng)識(shí)別了與所接收的DNS信息相關(guān)的一個(gè)異常現(xiàn)象時(shí),可以向該具體客戶端計(jì)算機(jī)傳送一個(gè)警告����,該異常DNS信息從該計(jì)算機(jī)接收����。
文檔編號(hào)H04L12/28GK102771088SQ201080062635
公開日2012年11月7日 申請(qǐng)日期2010年12月30日 優(yōu)先權(quán)日2010年2月2日
發(fā)明者P·加德納 申請(qǐng)人:賽門鐵克公司