[go: up one dir, main page]

TW201703465A - 網路異常偵測技術 - Google Patents

網路異常偵測技術 Download PDF

Info

Publication number
TW201703465A
TW201703465A TW105107927A TW105107927A TW201703465A TW 201703465 A TW201703465 A TW 201703465A TW 105107927 A TW105107927 A TW 105107927A TW 105107927 A TW105107927 A TW 105107927A TW 201703465 A TW201703465 A TW 201703465A
Authority
TW
Taiwan
Prior art keywords
dns
packet
computing device
packets
client
Prior art date
Application number
TW105107927A
Other languages
English (en)
Inventor
賽門I 阿尼爾
馬可 卡薩斯薩蒙特
大衛A 葛維斯
愛德華 雷諾斯
尼爾L 桑德斯
Original Assignee
慧與發展有限責任合夥企業
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 慧與發展有限責任合夥企業 filed Critical 慧與發展有限責任合夥企業
Publication of TW201703465A publication Critical patent/TW201703465A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

所揭範例係關於偵測網路異常。在一範例中,一運算裝置可:從一私人網路的多個封包擷取裝置中各個裝置接收由在該私人網路上操作的一特定用戶端運算裝置發送的網域名稱系統(DNS)詢問封包,各個該DNS詢問封包指明:(1)一目的地DNS伺服器、(2)一詢問網域名稱、及(3)指明該特定用戶端運算裝置之一來源位址;提供該等DNS詢問封包中之至少一者至訓練來基於該等DNS詢問封包的特性以辨識DNS異常之一DNS訊務分析器;從該DNS訊務分析器接收異常輸出,該異常輸出指出針對該等DNS詢問封包辨識的一DNS異常;及響應於接收到異常輸出,提供指明經辨識DNS異常之資料給一使用者裝置。

Description

網路異常偵測技術
本發明大致係有關網路異常偵測之技術。
電腦網路及在其上操作之裝置時常因各式各樣的原因而遇到問題,例如:因為配置錯誤、軟體缺陷、及惡意網路和運算裝置攻擊。在一網路服務產業中,例如:一服務提供者提供在一私人網路上操作的運算資源給不同的使用者使用時,一私人網路的規模及複雜度可能會讓偵測此網路的問題變得困難。舉例來說一受危害的運算裝置可能在惡意活動能被辨識及處理之前於一私人網路之中以一惡意的方式操作一段可觀的時間。
依據本發明之一可行實施例,係特地提出一種編碼有可由運算裝置的硬體處理器執行用於異常偵測的指令之非暫時性機器可讀儲存媒體,該機器可讀儲存媒體包含用以使得該硬體處理器進行以下動作的指令:從一私人網路的多個封包擷取裝置中的各個裝置接收由在該私人網路上操作的一特定用戶端運算裝置發送的網域名稱系統(DNS)詢問封包,各該DNS詢問封包指明:(1)一目的地DNS 伺服器、(2)一詢問網域名稱、及(3)指明該特定用戶端運算裝置之一來源位址;提供該等DNS詢問封包中之至少一者至訓練來基於該至少一DNS詢問封包的特性以辨識DNS異常之一DNS訊務分析器;從該DNS訊務分析器接收異常輸出,該異常輸出指出針對該至少一DNS詢問封包辨識出的一DNS異常;及響應於接收該異常輸出,提供指明該經辨識的DNS異常之資料給一使用者裝置。
100‧‧‧運算裝置
105‧‧‧特定用戶端運算裝置、用戶端運算裝置
110‧‧‧硬體處理器
120‧‧‧機器可讀儲存媒體、儲存媒體
122、124、126、128‧‧‧指令
130、221、222‧‧‧封包擷取裝置
132、134‧‧‧DNS詢問封包
140‧‧‧DNS訊務分析器
142‧‧‧異常輸出
144‧‧‧資料、異常資料
150、205‧‧‧使用者裝置
200‧‧‧資料流
210‧‧‧用戶端運算裝置
212‧‧‧DNS封包、DNS詢問封包
214、218、224、226、254‧‧‧DNS封包
216‧‧‧各別的DNS封包、DNS封包
215‧‧‧私人雲端運算網路、私人網路、網路
220‧‧‧網路出口點、出口點
230‧‧‧內部DNS伺服器
240‧‧‧外部DNS伺服器
242‧‧‧DNS用戶端
250‧‧‧異常偵測裝置
252、262‧‧‧DNS異常資料、異常資料
255‧‧‧安全事件處理機
256‧‧‧異常輸出、異常資料
260‧‧‧DNS訊務分析器、DNS分析器
265‧‧‧分析資料庫
300‧‧‧方法
302、304、306、308‧‧‧步驟
下列的詳細描述參考附圖,其中:圖1係用於偵測網路異常之一範例運算裝置的一方塊圖。
圖2係用於偵測網路異常之一範例資料流程。
圖3係用於偵測網路異常之一範例方法的依流程圖。
潛在問題網路活動可藉由偵測在一運算網路中的異常而被辨識。一網路異常可為任何偏離標準或預期的網路活動。在一電腦網路中,一網路異常可指出一或多個此運算網路的元件有問題,並且可能由不同的事情所造成,像是惡意軟體(惡意程式)、故障的硬體、或配置錯誤的裝置,以上僅舉數例。網域名稱系統(DNS)訊務係可以被分析以辨認有潛在問題的網路元件之一種網路訊務類型。舉例來說,由一運算裝置發出反常地高量的DNS詢問及/或一運算裝置的DNS配置突然的改變皆為可能係由惡意程式在此運算裝 置上操作而造成的非標準網路活動之範例。辨識及回報發生在一運算網路中之網路異常有助於處理在此網路電腦中的潛在問題。
網路訊務經由出口點,例如:網路路由器、網路交換器、防火牆、及/或組配來實現一或多個前述的出口點的運算裝置,流進及流出一私人網路。此出口點裝置係負責為傳入及傳出兩者的網路訊務設定路徑到它們欲至的目的地。封包擷取裝置,其在某些實現例中可包含於網路出口點之中,可組配來掃描全部接收的網路封包以辨識DNS詢問封包,亦即針對域名解析而被設定位址至網域名稱系統的封包。DNS詢問封包及它們對應的回應封包可藉由一私人網路的封包擷取裝置辨識並發送至一異常偵測裝置以供分析。
一異常偵測裝置使用此DNS封包來辨識在此運算裝置中操作在此私人網路上的異常,而此等DNS詢問封包起源於此私人網路。舉例來說,此異常偵測裝置可使用一白名單來過濾出已知為安全的DNS詢問訊務。一黑名單也可被用來過濾已知指示為有問題的DNS詢問訊務,例如:DNS詢問指定已知為惡意軟體的主機之一網域名稱。在白名單及黑名單被用來辨識已知為安全或惡意的DNS詢問時,其他分析亦可在一些或全部的DNS封包上執行。
此異常偵測裝置可使用一DNS訊務分析器,其被訓練來基於不同的DNS封包特性以辨識DNS異常。舉例來說,此DNS訊務分析器可基於一特定的運算裝置在此私人 網路上發送DNS詢問的速率來判定一DNS異常的存在,例如:藉由判定此DNS詢問的速率在一特定的時間期間超過一特定的DNS詢問臨界值數字。響應於一網路異常之偵測,此異常偵測裝置可做出動作,例如藉由告知一安全事件處理機及/或關聯於此異常的負責此運算裝置的一主體物。在下面進一步詳細討論網路異常的偵測。
現在參考圖式,圖1係用於偵測網路異常之一範例運算裝置100的一方塊圖。舉例來說,運算裝置100可為一伺服器電腦、一個人電腦、一移運算裝置、或任何其他適合處理網路通訊資料的電子裝置。在圖1的實施例中,運算裝置100包括硬體處理器110及機器可讀儲存媒體120。
硬體處理器110可為一或多個中央處理器(CPUs)、半導體式微處理器、及/或其他適合取回及執行儲存在機器可讀儲存媒體120中的指令之硬體裝置。硬體處理器110可取得、解碼、及執行指令,例如:122-128,以針對網路異常偵測控制處理器。作為替代方案或除了取回及執行指令之外,硬體處理器110可包括一或多個包括用以執行一或多個指令的功能之電子元件的電子電路。
一機器可讀儲存媒體,例如:120,可為任何電子、磁力、光學、或其他包含或儲存可執行指令的物理儲存裝置。因此,機器可讀儲存媒體120可為,舉例來說,隨機存取記憶體(RAM)、一電氣可抹除可程式化唯讀記憶體(EEPROM)、一儲存裝置、一光學碟片、以及類似裝置。在一些實現例中,儲存媒體120可為一非暫時性儲存媒體,其 中「非暫時性」這個詞並不包含暫時性傳播訊號。如以下詳述,機器可讀儲存媒體120可被編碼有用於網路異常偵測之一系列的可執行指令:122-128。
如同圖1所顯示,運算裝置100執行指令以從一私人網路的各個多數個出口點接收DNS詢問封包(122)。各個DNS詢問封包藉由在此私人網路上的一特定用戶端運算裝置105被發送,且各個DNS詢問封包132指定:(1)目的地DNS伺服器、(2)一詢問網域名稱、及(3)指定此特定用戶端運算裝置的一來源位址。舉例來說,此特定用戶端運算裝置105可能正在執行各種的應用程式,例如:導致此裝置發送DNS詢問封包132的一網頁瀏覽器或電子郵件應用程式。各個DNS詢問封包被設定位址的DNS伺服器可為此運算裝置的DNS組態的一部分及/或依附於在特定用戶端運算裝置105上執行的特定應用程式。DNS詢問封包132可被此私人網路的封包擷取裝置130擷取,此特定用戶端運算裝置105在此私人網路中操作。封包擷取裝置130可被以各種方式實現,且可包括為該網路流的一部份的裝置,例如:接收、擷取、並轉傳封包至欲至的目的地、及/或網路訊務流通過的線路設備。DNS詢問封包132可能不會全部被一樣的封包擷取裝置拾取,例如:用於DNS詢問封包的出口的點改變可能改變要使用哪個封包擷取裝置來擷取封包,而出口點的改變可基於數個情況,例如:負載平衡器定位途徑,及/或在此特定用戶端運算裝置的DNS組態的一改變。
在一些實現例中,發送DNS詢問的特定用戶端運 算裝置105係在一雲端運算網路操作的機器。舉例來說,在一私人網路中運作的一主機運算裝置可能會主持一數量的虛擬機器,例如:仿效專屬硬體或軟體的運算環境。此虛擬機器可致使此主機運算裝置發送DNS詢問至一或多個DNS伺服器。在一些DNS詢問可能被定址到在雲端運算網路中的一內部DNS伺服器的同時,這些DNS詢問-及他們的回應-可能也會被在此雲端運算網路中的封包擷取裝置擷取。被定址至一外部DNS伺服器的DNS詢問-及他們的回應-可能會被封包擷取裝置擷取並轉寄給運算裝置100。
運算裝置100執行指令以提供至少一DNS詢問封包134給一DNS訊務分析器140,此DNS訊務分析器140被訓練以基於此至少一DNS詢問封包134(124)的特性來辨識DNS異常。如上所述,由一用戶端運算裝置發出的DNS詢問之分析可能提供此用戶端運算裝置係故障的及/或被惡意程式感染的一指示。特別是,舉例來說,此DNS訊務分析器140可被訓練來以一被監督或未被監督的方式使用先前的DNS詢問封包及不同的機器學習技巧,來辨識不同的DNS詢問封包的特性及惡意程式之間的區別。
在描繪於圖1的運算裝置100實現例描繪DNS詢問封包132的擷取及分析的同時,此DNS詢問封包132的回應亦可被擷取並用來辨識DNS異常。在一些實現例中,在一私人網路中操作的一或多個用戶端運算裝置可被用來實現一DNS伺服器,且封包擷取裝置可被用來擷取及分析進入此私人網路中的DNS詢問,例如:定址至實現於一或多 個用戶端運算裝置的DNS伺服器、以及離開此私人網路的DNS詢問回應。不管是進入或離去的DNS詢問封包的特性及他們的回應可能以各種方式提供一DNS異常的一指示,並可能取決於DNS封包的類型,例如:進入、離去、詢問、及/或回應。
可能是指示一異常之特性包括,以舉例的方式,在一用戶端裝置的DNS組態中的一改變、從一特定的用戶端運算裝置發送的DNS詢問訊務的量、朝向一特定目的地的DNS事件的長度、擬隨機地產生的網域名稱被詢問、無法識別的網域名稱被詢問、及外部解析的IP位址與藉由信任的DNS來源解析的IP位址不吻合,以上僅舉數例。單獨或結合的不同特性指示一問題之程度可能會變化,且如下所述,處理異常的方法可取決於用來偵測此異常的特性。
在一些實現例中,提供給DNS訊務分析器140的(複數個)DNS詢問封包134排除被放入白名單的DNS詢問封包。舉例來說,如果包括於一DNS詢問封包內的網域名稱被包括在先前被判定為安全的一網域名稱白名單中的話,則其可能會被排除分析。在一些實現例中,提供給DNS訊務分析器140的(複數個)DNS詢問封包134排除被放入黑名單的DNS詢問封包。舉例來說,如果包括於一DNS詢問封包內的網域名稱被包括在先前被判定為惡意的一網域名稱黑名單中的話,則其可能會被排除分析。在一些實現例中,DNS訊務分析器140可實行查看白名單/黑名單並選擇性地排除DNS詢問於分析之外。
運算裝置100執行指令以從DNS訊務分析器140接收異常輸出142,此異常輸出142針對至少一(複數個)DNS詢問封包134(126)指示被辨識的一DNS異常。異常輸出142可包括關於此被偵測的DNS(多個)異常的不同細節。舉例來說,異常輸出142可指示一DNS異常由於在一特定的用戶端運算裝置中之DNS組態的一改變而被偵測,並且可進一步指明關於此改變的細節,例如:從一內部DNS伺服器到一外部DNS伺服器的一改變。
在一些實現例中,用戶端運算裝置105係由一用戶端管理的多個用戶端運算裝置的其中之一。運算裝置100可執行指令以從一第二組的封包擷取裝置接收由藉由此客戶管理的另一個戶端運算裝置發送的一第二組的DNS詢問封包。舉例來說,在一個用戶端係藉由一外部用戶端管理的虛擬機器的雲端運算網路中,此外部用戶端可針對不同的目的管理多個虛擬機器,且各個虛擬機器可有分別的包括DNS訊務的網路訊務。可由運算裝置100接收各個虛擬機器的DNS封包。
在DNS封包係自多個用戶端運算裝置接收的實現例中,運算裝置100可執行指令以將至少一第二DNS封包與提供給DNS訊務分析器的DNS封包結合。在這種情況下,來自DNS訊務分析器140的異常輸出可指出包含基於這兩組的DNS封包而識別的一異常之一用戶端DNS異常。舉例來說,在私人網路上的多個用戶端運算裝置可共同的實現發出DNS詢問以隨機產生網域名稱的軟體。在DNS訊務分 析器140無法辨識自一單一用戶端運算裝置之DNS詢問封包使用的一隨機網域名稱產生演算法的情況下,DNS訊務分析器140可能可以藉由分析從各個用戶端運算裝置接收的DNS詢問封包之結合的組來辨識此種演算法的使用。
響應於收到異常輸出142,運算裝置100執行指令以提供指明被辨識的DNS異常(128)的資料144給一使用者裝置150。在一些實現例中,此使用者裝置150係在私人網路外部操作的一運算裝置。舉例來說,使用者裝置150可為藉由負責管理用戶端運算裝置105的用戶端操作的一運算裝置。資料144可用來告知此用戶端其用戶端運算裝置105或裝置正在以一不正常的方式操作。在一些實現例中,此使用者裝置150係在私人網路中操作的一運算裝置。舉例來說,使用者裝置150可為一私人網路的一管理員的此私人網路運算裝置,且資料144應該被一電腦及/或人類管理員審查已決定應該如何處理此資料144,例如:藉由關掉被視為惡意的裝置、記錄事件、及/或告知可能正在做不正常行為的負責管運算裝置的(複數個)用戶端。
在一些實現例中,指出被辨識的DNS異常之資料144可被提供至多個實體。舉例來說,資料144可被提供至使用此資料144來關掉與此DNS異常的用戶端運算裝置相關聯之一私人網路運算裝置,同時相同的資料144及/或其他資料可被發送至負責被關掉的用戶端運算裝置的用戶端。
在一些實現例中,資料144指出被辨識的DNS異 常的方式取決於DNS(多個)異常的類型而被提供至另一個裝置-或以其他方式被處理。舉例來說,一些DNS異常或複數個異常的組合係比其他DNS異常更嚴重或更有可能指示一問題。藉由舉例的方式,可能有對一用戶端運算裝置合理的理由來改變DNS組態以使用一外部DNS伺服器,而這樣的一改變可造成在此異常沒有任採取何進一步動作的情況下就被記錄了。儘管如此,在一私人的網路DNS伺服器將一網域名稱解析至跟藉由一外部DNS伺服器針對相同的網域名稱提供的IP位址不相同的一IP位址的情況下,這可能導致一不一樣的動作,例如:關掉此用戶端運算裝置及/或警告一私人網路管理員及/或用戶端此網域名稱分解的差異。在一些實現例中,DNS異常被處理的方式可取決於私人網路設定、管理員的偏好、及/或用戶端的偏好。
當DNS訊務分析器140自圖1中的運算裝置100被分開的描繪時,在一些實現例中這兩者的動作可由一單一運算裝置執行,例如:運算裝置100。除此之外,由運算裝置100執行的指令不需要由一單一裝置實行且可由多個運算裝置實行。其他運算裝置組態及/或裝置的結合亦可被用來針對辨識DNS異常而執行。
圖2係用以偵測網路異常的一範例資料流200。此資料流描繪一異常偵測裝置250,其可藉由一運算裝置,像是關於圖1所描繪的運算裝置100來實現。使用者裝置205及(複數個)用戶端運算裝置210可為任何適合網路通訊的運算裝置,像是一個人電腦、行動電腦、虛擬機器、伺服器電 腦、或任何其組合。舉例來說,(複數個)用戶端運算裝置210可為在一私人雲端運算網路215中操作並由此私人網路215外部的一使用者裝置205管理之虛擬機器。(複數個)用戶端運算裝置210可組配來實行不同的服務及/或執行不同的應用程式,例如:如同由使用者裝置205指明的一樣。藉由舉例的方式,操作使用者裝置205的一用戶端可從一雲端運算網路的操作者,例如:網路215,針對終端使用者提供網頁服務的使用,例如:一電子郵件應用程式,而租賃運算資源,例如:用戶端運算裝置210。
在它們的操作期間,(複數個)用戶端運算裝置210可使用不同的網路通訊協定來週期性地通訊。DNS詢問係可能源自於(複數個)用戶端運算裝置210的網路通訊的一形式,例如:以DNS封包212及214的形式。各個DNS封包212及214指明來源用戶端運算裝置,例如:使用一IP位址,且係定址至將實行網域名稱解析的一DNS伺服器。舉例來說,在(複數個)用戶端運算裝置210實現一電子郵件應用程式的情況下,一DNS詢問封包可被發出以針對定址至「user@example.com」的一電子郵件而辨識其目的地。指明「example.com」的IP位址之一DNS回應封包可被回傳至詢問的運算裝置。在DNS封包214被定址至一內部DNS伺服器時,定址至一外部DNS伺服器的DNS封包212可透過一或多個網路出口點220被發送。在一些情況下,例如:當(複數個)內部DNS伺服器的其中之一無法解析一網域名稱時,(複數個)各別的DNS封包216亦可為了藉由一外部DNS伺服 器來解析而透過(複數個)網路出口點220被發送。
定址至一外部DNS伺服器的各個DNS詢問封包212通過網路215的一出口點220。舉例來說,(複數個)出口點220可為在私人網路215內操作的路由器及/或交換器。(複數個)出口點220將接收的DNS封包218轉傳至它們欲至的目的地,例如:(複數個)外部DNS伺服器240。在封包擷取裝置被實現為(複數個)出口點220的實現例中,此(複數個)出口點220亦將DNS封包226提供至異常偵測裝置250。提供至異常偵測裝置250的DNS封包218可包括藉由(複數個)用戶端運算裝置210提供的全部或一子組的DNS封包212。在由多個用戶端或使用者裝置管理多個用戶端運算裝置的情況下,異常偵測裝置250可能被提供全部的DNS封包。
在(複數個)封包擷取裝置221及222被與(複數個)出口點220分開實現的實現例中,此(複數個)封包擷取裝置221及222係負責擷取及轉傳DNS封包,例如:DNS封包214及226,至異常偵測裝置250。實現於一或多個(複數個)出口點220中的單獨(複數個)封包擷取裝置221及222及封包擷取裝置的結合可被用來擷取DNS封包並提將它們提供給異常偵測裝置250。如同上述提到的,(複數個)封包擷取裝置221及222可以各種的方式實現,例如:接收與轉傳作為網路流的部份的封包之裝置及跟網路流分開並在封包流經時擷取它們的裝置。
在一些實現例中,一或多個(複數個)用戶端運算裝置210可組配來實現一DNS伺服器。在這種情況下,DNS 封包224可在進入或離開私人網路時被擷取。舉例來說,DNS用戶端242可發出定址至在私人網路215中實現的DNS伺服器之DNS詢問。這些DNS詢問以及它們的回應可通過(複數個)封包擷取裝置221及(複數個)出口點220,並被轉傳至異常偵測裝置250以供分析。
異常偵測裝置250在獲得DNS封包214及226之後,可使用一白名單來過濾因為被認為是安全的而不用被分析的封包。舉例來說,針對已熟知的網域名稱的DNS詢問及/或定址至已熟知且被認為是安全的DNS伺服器的DNS詢問,可被過濾而不用進一步針對DNS異常來分析。儘管如此,在一些實現例中,正常來說可能被放入白名單中的DNS封包實際上可而被保留以供分析。舉例來說,如果自一或多個(複數個)用戶端運算裝置210來的DNS訊問訊務量太高-其可指示(複數個)用戶端運算裝置210正被用來做一拒絕服務(DoS)攻擊,甚至具有被包括在一白名單內的特性之DNS詢問可被保留以供進一步分析。
異常偵測裝置250可使用一黑名單來過濾被認為是惡意的不然就是有問題的DNS封包。被包括在一黑名單內的DNS封包,舉例來說,可能立刻的觸發一DNS異常-在不需要實行進一步對DNS封包214及226分析的情況下。舉例來說,指出先前被辨識為主持惡意程式的網站之一網站的一DNS詢問可能觸發一DNS異常。異常偵測裝置250可以以各種其他方式使DNS異常的辨識更容易。舉例來說,異常偵測裝置250可為了稍後的分析及/或為了當使用機器學 習技術來辨識DNS異常時作為訓練資料使用而儲存DNS封包。在一些實現例中,替代或除了過濾具有在一黑名單內的特性之外,DNS封包可被發送以供進一步分析,例如:辨識其他可能的DNS異常。
響應於辨識一DNS異常,異常偵測裝置250可提供DNS異常資料252至一安全事件處理機255。此安全事件處理機255對於私人網路215可為內部及/或外部的,且可為(複數個)運算裝置及/或人為處理的一結合。舉例來說,一私人網路管理員可審查DNS異常資料252並判定使否將採取動作,例如:關掉未被適當的操作的(複數個)用戶端運算裝置210及/或告知一用戶端的使用者裝置150有不正常的DNS舉動。
在使用一白名單及/或黑名單過濾DNS封包214及226之後,異常偵測裝置250可提供剩餘的DNS封包254給DNS分析器260。在此DNS分析器260於範例資料流200中被描繪成與異常偵測裝置250分開的同時,在一些實現例中,它們可被實現為使用一樣的(複數個)運算裝置。
為了針對包括於私人網路215中的一特定的用戶端運算裝置210辨識一DNS異常,DNS分析器260可分析藉由此特定的用戶端運算裝置210發送的DNS詢問封包及/或響應於此詢問而發送的DNS回應封包。這些DNS詢問封包中的每一個都包括指出特定的用戶端運算裝置210的一來源位址,其中DNS詢問封包係為此用戶端運算裝置210而被分析。在一單一用戶端運算裝置210正在實現不正常DNS詢 問及/或正在接收不正常回應的情況下,隔離並分析來自此單一裝置的DNS封包的能力可以使得與不正常DNS訊務相關的(複數個)問題的辨識更加容易。
在一些實現例中,DNS分析器260分析藉由一單一用戶端管理源自於複數個用戶端運算裝置的DNS詢問訊務。在複數個用戶端運算裝置210共同地產生及/或接收不正常DNS訊務的情況下,來自各個用戶端運算裝置的個別DNS封包流之分析可能不足以辨識一DNS異常,且來自複數個用戶端運算裝置的DNS封包的結合可使關聯於共同地不正常DNS訊務的(複數個)問題的辨識變得容易。
一DNS異常,或複數個異常可藉由DNS分析器260被辨識並以異常輸出256的形式被提供給異常偵測裝置250。異常輸出256可以不同的方式被異常偵測裝置250處理,例如:對安全事件處理機255記錄或報告。藉由DNS訊務分析器260辨識DNS異常的方式可改變,並可取決於DNS封包254的特性。如同上文提到的,DNS訊務分析器260可被訓練來使用各式各樣的機器學習技術以辨識異常。舉例來說,使用代表先前DNS異常的發生事件的資料,DNS分析器260可被訓練來在來自任何單一運算裝置的DNS詢問訊務超過一特定臨界DNS詢問訊務量額時辨識一DNS異常,例如:每秒50個DNS詢問。此臨界值可改變,舉例來說基於在產生此等DNS詢問的用戶端運算裝置上運作的應用類型而改變。儲存在一分析資料庫265中的資料可被DNS分析器260用來辨識DNS異常,而此DNS分析器可週期性地更新分析 資料庫265的資料以使未來的DNS訊務分析變得容易。
在一些實現例中,在判定一異常是否存在時,DNS訊務分析器260亦可產生關聯於一異常的置信度得分,此置信度得分指示一問題或異常存在的可能性的量測。舉例來說,給予相同的用戶端應用程式,DNS分析器可更加確信每秒發出100個DNS詢問的一運算裝置比每秒發出50個DNS詢問的一運算裝置更可能存在問題。在信心度的量測能被判定的情況下,這些量測可被用來判定一異常是否已經發生及如何處理它,例如:記錄此異常、報告此異常或執行一動作。
如同上文提到的,DNS分析器260可被訓練來基於各式各樣的DNS封包特性辨識DNS異常。舉例來說,可能指示一異常的特性包括:一用戶端裝置的DNS組態的一改變、朝向一特定目的地的DNS事件的長度、擬隨機產生的網域名稱被詢問、無法識別的網域名稱被詢問、及外部解析的IP位址與藉由一可信的DNS來源解析的IP位址不吻合,以上僅舉數例。
在一些實現例中,DNS分析器260有能力實行各種不同設計來使DNS異常的辨識更容易的動作。舉例來說,DNS分析器可辨識一特定用戶端運算裝置的DNS組態的一變化,例如:藉由從一內部DNS伺服器230改成一外部DNS伺服器240的DNS詢問封包。在這種情況下,DNS分析器260可比較藉由內部DNS伺服器230解析的位址與特定用戶端裝置改成的藉由外部DNS伺服器240解析的位址。藉由比較 此等被解析的位址,DNS分析器260可判定一異常是否存在。舉例來說,在內部DNS伺服器與外部DNS伺服器傳回的位址吻合的情況下,此DNS組態改變可能不會觸發一DNS異常。然而,在藉由外部DNS回傳的一或多個位址不與內部DNS回傳的位址吻合的情況下,此差異的判定可能觸發一DNS異常。
DNS訊務分析器260單獨或結合異常偵測裝置250可針對DNS異常的偵測包括及/或與各種不同的其他裝置及/或資料庫通訊。舉例來說,白名單及/或黑名單可被包括在可被DNS訊務分析器260及/或異常偵測裝置250存取的各別更新的資料庫。在一些實現例中,一各別的裝置可被用來收集異常回饋、基於新的DNS封包特性訓練DNS訊務分析器來辨識異常及/或基於更多最近的DNS資料來重新訓練存在的DNS異常辨識模組。舉例來說,一先前未知DNS伺服器可基於自/至此DNS伺服器的DNS訊務的分析而被放在白名單或黑名單之上。如同另一個範例,DNS分析器260可辨識用於識別一網域名稱產生演算法的一樣式,此樣式可被用來訓練DNS分析器260以分辨一樣的或是類似的網域名稱產生演算法未來的使用。
在範例的資料流200中,DNS分析器260亦提供異常資料262給安全事件處理機255。異常資料252及262可能會改變,且可包括指明藉由DNS分析器260及/或異常偵測裝置250辨識的特定DNS異常或多個異常。在範例資料流200中,由管理(複數個)用戶端運算裝置210操作的使用者裝置 205可被告知此DNS異常以讓此用戶端處理由此DNS異常造成的(複數個)問題。以舉例的方式,作為偵測到DNS組態的一改變的結果,安全事件處理機255可提供一指示給(複數個)用戶端運算裝置210之至少一者的DNS組態已改變使用者裝置205。在此改變係蓄意的的之情況下,用戶端可忽略此告知。然而,在此改變並非係蓄意的的之情況下,用戶端可採取步驟以確保相對應的(複數個)用戶端運算裝置210係正確地運作中。
在一些實現例中,被提供異常資料252及256的(複數個)實體可取決於被用來辨識DNS異常的特性。舉例來說,在沒有任何其他問題的跡象的情況下DNS組態的一改變可能不會被傳遞到一私人網路管理裝置,相反的可能會被記錄。
圖3係用以偵測網路異常的一範例方法300。方法300可藉由一運算裝置實行,例如圖1所描述的運算裝置。其他運算裝置亦可用來執行方法300。方法300可被以儲存在一機器可讀儲存媒體上的可執行指令的形式實現,例如儲存媒體120,及/或以電子電路的形式。
藉由在依私人網路上操作的複數個用戶端運算裝置傳送的DNS詢問封包係從私人網路(302)的複數個網路封包擷取裝置獲得的。各個DNS詢問封包指明:(1)一目的地DNS伺服器、(2)一訊問網域名稱、及(3)指明用戶端運算裝置之其中一者的一來源位址。在一些實現例中,此私人網路係一雲端運算網路,且各個網路封包擷取裝置係在包 括於此雲端運算網路中的一路由器中實現。此在此雲端運算網路上操作的用戶端運算裝置可為藉由一或多個用戶端或使用者管理的虛擬機器。藉由舉例的方式,各個使用者可租借虛擬機器以藉由一雲端運算網路營運者來代管,且這些使用者可組配這些虛擬機器來實行各種不同的功能。
一組用戶端DNS封包的針對一特定的用戶端從DNS訊問封包被辨識,各個用戶端DNS封包指明關聯於特定用戶端(304)的一來源位址。在一些實現例中,至少兩個用戶端運算裝置被用戶端DNS封包指明。舉例來說,一特定用戶端可管理在私人網路上操作的一子組用戶端運算裝置的,且辨識的該組用戶端DNS封包的僅係指明在該子組之內的用戶端運算裝置之其中一者的一位址的DNS封包。
至少基於用戶端DNS封包的一集合之一特性,針對特定用戶端(306)辨識一DNS異常。在至少兩個用戶端裝置被用戶端DNS封包辨識的情況下,此DNS異常可基於用戶端DNS封包指明至少兩個用戶端運算裝置的來源位址的特性被辨識。舉例來說,由用戶端運算裝置使用的一網域名稱產生演算法可藉由分析來自複數個用戶端運算裝置的DNS詢問封包而被偵測。在一些實現例中,此DNS異常可基於僅指明用戶端運算裝置之其一的用戶端DNS封包的特性而被辨識。舉例來說,如果針對用戶端運算裝置之其一來觀察的平均DNS詢問長度(一DNS詢問被處理所花的時間)超過一臨界DNS詢問長度,可僅基於藉由此一用戶端運算裝置產生的DNS詢問封包的特性辨識針對此用戶端的一 DNS異常。
指明DNS異常的資料被提供至一使用者裝置(308)。在一些實現例中,此使用者裝置係在私人網路的內部,例如:一私人網路管理員的一運算裝置。在一些實現例中,此使用者裝置係在私人網路的外部,例如:管理偵測出一DNS異常的(複數個)用戶端運算裝置的一客戶端之一運算裝置。如上文所述,指出DNS異常的資料之本質可能改變,而裝置的功能亦可改變,其中資料被提供至此裝置。
前述的揭露描述數個用以偵測網路異常的範例實現例。如上文詳細的描述,數個範例提供藉由分析自一私人網路的複數個出口點獲得的DNS訊問封包來偵測異常的一機制以及能夠辨識此等DNS異常的一系統可能的應用。
100‧‧‧運算裝置
105‧‧‧特定用戶端運算裝置、用戶端運算裝置
110‧‧‧硬體處理器
120‧‧‧機器可讀儲存媒體、儲存媒體
122、124、126、128‧‧‧指令
130‧‧‧封包擷取裝置
132、134‧‧‧DNS詢問封包
140‧‧‧DNS訊務分析器
142‧‧‧異常輸出
144‧‧‧資料、異常資料
150‧‧‧使用者裝置

Claims (15)

  1. 一種編碼有可由運算裝置的硬體處理器執行用於異常偵測的指令之非暫時性機器可讀儲存媒體,該機器可讀儲存媒體包含用以使得該硬體處理器進行以下動作的指令:自一私人網路之多個封包擷取裝置中的每一個,接收由在該私人網路上操作的一特定用戶端運算裝置發送的網域名稱系統(DNS)詢問封包,各該DNS詢問封包指明:(1)一目的地DNS伺服器、(2)一詢問網域名稱、及(3)指明該特定用戶端運算裝置之一來源位址;提供該等DNS詢問封包中之至少一DNS詢問封包至一DNS訊務分析器,其係訓練來基於該至少一DNS詢問封包的特性以辨識DNS異常;從該DNS訊務分析器接收異常輸出,該異常輸出指出針對該至少一DNS詢問封包辨識出的一DNS異常;及響應於接收到該異常輸出,提供指明所辨識的該DNS異常之資料給一使用者裝置。
  2. 如請求項1之儲存媒體,其中:該特定用戶端運算裝置包含一虛擬機器;該私人網路包含一雲端運算網路:及該等多個封包擷取裝置各在包括於該雲端運算網路中之一路由器中被實現。
  3. 如請求項1之儲存媒體,其中該DNS異常包含: 該特定用戶端運算裝置之DNS組態的一改變;超過一預定義的DNS訊務量臨界值的一DNS訊務量;擬隨機地產生之網域名稱,其被指明為用於該等DNS詢問封包中之至少一者的該詢問網域名稱;或無法由在該私人網路中操作的一內部DNS認知的一網域名稱。
  4. 如請求項1之儲存媒體,其中該等指令進一步使得該處理器:從該等DNS詢問封包排除指明包括於一網域名稱白名單中的一被放入白名單的網域名稱之白名單DNS封包;及從該等DNS詢問封包排除指明包括於一網域名稱黑名單中的一被放入黑名單的網域名稱之黑名單DNS封包。
  5. 如請求項1之儲存媒體,其中該特定用戶端運算裝置係由一用戶端管理的多個用戶端運算裝置中之一者,且其中該等指令進一步使得該處理器:自該私人網路之第二多個封包擷取裝置中之各封包擷取裝置,接收由包括於該等多個用戶端運算裝置中之一第二用戶端運算裝置發送的第二DNS詢問封包,各該第二DNS詢問封包指明:(1)一目的地DNS伺服器、(2)一詢問網域名稱、及(3)指明該第二用戶端運算裝置之一來源位址; 將該等第二DNS詢問封包中之至少一者與提供至該DNS訊務分析器的該等DNS詢問封包結合,且其中來自該DNS訊務分析器的該異常輸出指出一用戶端DNS異常,此用戶端DNS異常包含基於以下兩者辨識的一異常:(1)該特定用戶端運算裝置的該等DNS詢問封包、及(2)該第二用戶端運算裝置之該等第二DNS詢問封包。
  6. 一種用於網路異常偵測的運算裝置,該運算裝置包含:一硬體處理器,及一儲存指令的資料儲存裝置,該等指令在由該硬體處理器執行時使得該硬體處理器:自一私人網路之多個網路封包擷取裝置獲得一組網域名稱系統(DNS)封包,各該DNS封包:(1)被定址至一DNS伺服器、及(2)具有指明包括於該私人網路中的一用戶端運算裝置之一來源位址;從該組DNS封包辨識出指明包括於一網域名稱白名單中的一被放入白名單的網域名稱之白名單DNS封包;從該組DNS封包辨識出指明包括於一網域名稱黑名單中的一被放入黑名單的網域名稱之黑名單DNS封包;藉由從該組DNS封包排除各個白名單DNS封包及黑名單DNS封包,而從該組DNS封包辨識出一組未知DNS封包;針對包括於該私人網路中之一特定用戶端運算裝 置分析具有指明該特定用戶端運算裝置之一特定來源位址之未知DNS封包;及基於經分析之該未知DNS封包之至少一特性針對該用戶端運算裝置辨識一DNS異常。
  7. 如請求項6的運算裝置,其中一DNS異常係響應於判定經分析之該等未知DNS封包之該至少一特性指出下列項目而被辨識:DNS組態的一改變:超過一預定義的DNS訊務量臨界值的一DNS訊務量;擬隨機地產生之網域名稱;或無法由在該私人網路中操作的一內部DNS認知的一網域名稱。
  8. 如請求項6的運算裝置,其中:各DNS封包的該用戶端運算裝置包含一虛擬機器;該私人網路包含一雲端運算網路;及該等多個網路封包擷取裝置係各在包括於該雲端運算網路內的一路由器中實現。
  9. 如請求項6的運算裝置,其中該等指令進一步使得該硬體處理器:辨識該特定用戶端運算裝置之一DNS組態的改變;且其中該等未知DNS封包係藉由,針對包括於各未 知DNS封包中的各網域名稱,比較由一第一DNS伺服器解析的一第一位址與由一第二DNS伺服器解析的一第二位址來分析。
  10. 如請求項9的運算裝置,其中一DNS異常係響應於基於該第一位址與該第二位址之比較判定一差異存在而針對該用戶端運算裝置被辨識出來。
  11. 一種用於網路異常偵測的方法,該方法藉由一硬體處理器實現,且包含:自一私人網路之多個網路封包擷取裝置獲得由在該私人網路上操作的多個用戶端運算裝置發送的網域名稱系統(DNS)詢問封包,各個DNS詢問封包指明:(1)一目的地DNS伺服器、(2)一詢問網域名稱、及(3)指明該等多個用戶端運算裝置之其中一者的一來源位址;從該等DNS詢問封包針對一特定用戶端辨識出一組用戶端DNS封包,各用戶端DNS封包指明關聯於該特定用戶端的一來源位址;基於該組用戶端DNS封包之至少一特性針對該特定用戶端辨識一DNS異常:以及提供指明該DNS異常的資料給一使用者裝置。
  12. 如請求項11之方法,其中該等多個用戶端運算裝置中的至少兩個用戶端運算裝置係藉由該等用戶端DNS封包指明。
  13. 如請求項12之方法,其中該DNS異常係基於指明各該至少兩個用戶端運算裝置之來源位址的用戶端DNS封包 來辨識。
  14. 如請求項12之方法,其中該DNS異常係基於指明該等至少兩個用戶端運算裝置之僅其中一者的來源位址之用戶端DNS封包來辨識。
  15. 如請求項12之方法,其中:各該至少兩個用戶端運算裝置包含一虛擬機器;該私人網路包含一雲端運算網路;及各該多個網路封包擷取裝置係在包括於該雲端運算網路內的一路由器中被實現。
TW105107927A 2015-04-10 2016-03-15 網路異常偵測技術 TW201703465A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2015/025454 WO2016164050A1 (en) 2015-04-10 2015-04-10 Network anomaly detection

Publications (1)

Publication Number Publication Date
TW201703465A true TW201703465A (zh) 2017-01-16

Family

ID=57073304

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105107927A TW201703465A (zh) 2015-04-10 2016-03-15 網路異常偵測技術

Country Status (3)

Country Link
US (1) US10686814B2 (zh)
TW (1) TW201703465A (zh)
WO (1) WO2016164050A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI783195B (zh) * 2019-12-18 2022-11-11 中華資安國際股份有限公司 網路資安系統、其方法及電腦可讀儲存媒介

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3275151B1 (en) * 2015-08-31 2020-04-29 Hewlett-Packard Enterprise Development LP Collecting domain name system traffic
US9930004B2 (en) * 2015-10-13 2018-03-27 At&T Intellectual Property I, L.P. Method and apparatus for expedited domain name system query resolution
US20170155667A1 (en) * 2015-11-30 2017-06-01 Symantec Corporation Systems and methods for detecting malware infections via domain name service traffic analysis
US10432650B2 (en) * 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
US10554614B2 (en) 2016-06-23 2020-02-04 Cisco Technology, Inc. Utilizing service tagging for encrypted flow classification
US10547636B2 (en) * 2016-12-28 2020-01-28 Verisign, Inc. Method and system for detecting and mitigating denial-of-service attacks
US10681069B2 (en) * 2017-01-19 2020-06-09 Micro Focus Llc Time-based detection of malware communications
US10623425B2 (en) * 2017-06-01 2020-04-14 Radware, Ltd. Detection and mitigation of recursive domain name system attacks
CN111771364B (zh) * 2018-01-10 2022-08-23 爱维士软件有限责任公司 经由dns属性在远程网络中进行基于云的异常流量检测和保护
US10911481B2 (en) 2018-01-31 2021-02-02 Micro Focus Llc Malware-infected device identifications
US11108794B2 (en) 2018-01-31 2021-08-31 Micro Focus Llc Indicating malware generated domain names using n-grams
US10965697B2 (en) 2018-01-31 2021-03-30 Micro Focus Llc Indicating malware generated domain names using digits
US10880319B2 (en) * 2018-04-26 2020-12-29 Micro Focus Llc Determining potentially malware generated domain names
US10911460B2 (en) * 2018-07-02 2021-02-02 Juniper Networks, Inc. Methods and devices for blocking, detecting, and/or preventing malicious traffic
US20200106791A1 (en) * 2018-09-28 2020-04-02 Fireeye, Inc. Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
US11025588B2 (en) * 2018-10-31 2021-06-01 Hewlett Packard Enterprise Development Lp Identify assets of interest in enterprise using popularity as measure of importance
US11115426B1 (en) 2018-12-13 2021-09-07 Cisco Technology, Inc. Distributed packet capture for network anomaly detection
US11240130B2 (en) 2018-12-13 2022-02-01 Cisco Technology, Inc. Triggering packet capture based on detecting a sequence anomaly
US11271963B2 (en) * 2018-12-20 2022-03-08 Micro Focus Llc Defending against domain name system based attacks
US11394746B2 (en) * 2019-03-07 2022-07-19 Lookout, Inc. DNS prefetching based on triggers for increased security
US11368430B2 (en) * 2019-03-29 2022-06-21 Verizon Patent And Licensing Inc. Domain name server based validation of network connections
US11218512B2 (en) 2019-04-30 2022-01-04 Palo Alto Networks, Inc. Security policy enforcement and visibility for network architectures that mask external source addresses
US11245720B2 (en) 2019-06-06 2022-02-08 Micro Focus Llc Determining whether domain is benign or malicious
US11539728B1 (en) * 2020-03-16 2022-12-27 Amazon Technologies, Inc. Detecting connectivity disruptions by observing traffic flow patterns
CN111628961A (zh) * 2020-03-30 2020-09-04 西安交大捷普网络科技有限公司 一种dns异常检测方法
CN112104523B (zh) * 2020-09-11 2022-04-12 中国联合网络通信集团有限公司 流量透传的检测方法、装置、设备及存储介质
US11695667B2 (en) * 2020-11-25 2023-07-04 Infoblox Inc. Query prints (Qprints): telemetry-based similarity for DNS
US11722504B2 (en) * 2020-12-26 2023-08-08 Nozomi Networks Sagl Method and apparatus for detecting anomalies of a DNS traffic
WO2023044060A1 (en) 2021-09-16 2023-03-23 Centripetal Networks Malicious homoglyphic domain name detection, generation, and associated cyber security applications
US20230208857A1 (en) * 2021-12-28 2023-06-29 Radware, Ltd. Techniques for detecting cyber-attack scanners
CN115442101A (zh) * 2022-08-29 2022-12-06 壹亿互动(厦门)科技有限公司 防疫信息查询设备的监管方法及电子设备
CN115412357B (zh) * 2022-09-02 2024-03-19 中国电信股份有限公司 异常设备检测方法、装置、电子设备和存储介质
US20240235966A9 (en) * 2022-10-21 2024-07-11 Cisco Technology, Inc. Inferring application experience from dns traffic patterns
US12355792B2 (en) * 2022-11-30 2025-07-08 Palo Alto Networks, Inc. Strategically aged domain detection

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100424613B1 (ko) * 2002-04-22 2004-03-27 삼성전자주식회사 로컬 네트워크에서 도메인 네임 시스템 스푸핑 방법 및그를 이용한 로컬 네트워크 시스템
US7814546B1 (en) * 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution
US7372809B2 (en) * 2004-05-18 2008-05-13 Time Warner Cable, Inc. Thwarting denial of service attacks originating in a DOCSIS-compliant cable network
US7626940B2 (en) * 2004-12-22 2009-12-01 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention for domain name service
KR100663546B1 (ko) * 2005-07-08 2007-01-02 주식회사 케이티 악성 봇 대응 방법 및 그 시스템
US8224942B1 (en) * 2007-10-02 2012-07-17 Google Inc. Network failure detection
US8447856B2 (en) * 2008-11-25 2013-05-21 Barracuda Networks, Inc. Policy-managed DNS server for to control network traffic
US8925087B1 (en) 2009-06-19 2014-12-30 Trend Micro Incorporated Apparatus and methods for in-the-cloud identification of spam and/or malware
EP2326057A1 (en) 2009-11-20 2011-05-25 British Telecommunications public limited company Detecting malicious behaviour on a network
US8321551B2 (en) 2010-02-02 2012-11-27 Symantec Corporation Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions
US8996669B2 (en) * 2010-04-02 2015-03-31 Nominum, Inc. Internet improvement platform with learning module
US8499034B2 (en) * 2010-07-21 2013-07-30 At&T Intellectual Property I, L.P. Methods and apparatus to transmit a request to server via domain system forwarding
US8661544B2 (en) * 2010-08-31 2014-02-25 Cisco Technology, Inc. Detecting botnets
US20120084423A1 (en) * 2010-10-04 2012-04-05 Openwave Systems Inc. Method and system for domain based dynamic traffic steering
EP2630774A1 (en) * 2010-10-22 2013-08-28 Telefonaktiebolaget L M Ericsson (PUBL) Differentiated handling of network traffic using network address translation
US9026644B2 (en) * 2011-03-10 2015-05-05 Verizon Patent And Licensing Inc. Anomaly detection and identification using traffic steering and real-time analytics
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US8621556B1 (en) * 2011-05-25 2013-12-31 Palo Alto Networks, Inc. Dynamic resolution of fully qualified domain name (FQDN) address objects in policy definitions
US20130031625A1 (en) * 2011-07-29 2013-01-31 Electronics And Telecommunications Research Institute Cyber threat prior prediction apparatus and method
KR20130014226A (ko) * 2011-07-29 2013-02-07 한국전자통신연구원 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
US8572680B2 (en) * 2011-08-11 2013-10-29 Verisign, Inc. White listing DNS top-talkers
EP2557759A1 (en) 2011-08-11 2013-02-13 Verisign, Inc. White listing dns top-talkers
US9172716B2 (en) * 2011-11-08 2015-10-27 Verisign, Inc System and method for detecting DNS traffic anomalies
US9922190B2 (en) * 2012-01-25 2018-03-20 Damballa, Inc. Method and system for detecting DGA-based malware
JP6139656B2 (ja) 2012-03-22 2017-05-31 ロス アラモス ナショナル セキュリティー,リミテッド ライアビリティー カンパニーLos Alamos National Security,Llc 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用
WO2013154532A1 (en) * 2012-04-10 2013-10-17 Intel Corporation Techniques to monitor connection paths on networked devices
US20130318609A1 (en) * 2012-05-25 2013-11-28 Electronics And Telecommunications Research Institute Method and apparatus for quantifying threat situations to recognize network threat in advance
US8646064B1 (en) * 2012-08-07 2014-02-04 Cloudflare, Inc. Determining the likelihood of traffic being legitimately received at a proxy server in a cloud-based proxy service
US9166994B2 (en) * 2012-08-31 2015-10-20 Damballa, Inc. Automation discovery to identify malicious activity
US20140089661A1 (en) 2012-09-25 2014-03-27 Securly, Inc. System and method for securing network traffic
US10142282B2 (en) * 2012-11-05 2018-11-27 Pismo Labs Technology Limited Methods and gateways for processing DNS request
US9219781B2 (en) * 2013-04-06 2015-12-22 Citrix Systems, Inc. Systems and methods for GSLB preferred backup list
US9172721B2 (en) * 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
US10728287B2 (en) * 2013-07-23 2020-07-28 Zscaler, Inc. Cloud based security using DNS
US9245121B1 (en) * 2013-08-09 2016-01-26 Narus, Inc. Detecting suspicious network behaviors based on domain name service failures
US9875355B1 (en) * 2013-09-17 2018-01-23 Amazon Technologies, Inc. DNS query analysis for detection of malicious software
US9325735B1 (en) * 2013-10-31 2016-04-26 Palo Alto Networks, Inc. Selective sinkholing of malware domains by a security device via DNS poisoning
WO2015085404A1 (en) * 2013-12-13 2015-06-18 Kik Interactive Inc. Method, system and apparatus for configuring a chatbot
JP6573612B2 (ja) * 2013-12-13 2019-09-11 アビニシオ テクノロジー エルエルシー データ処理アプリケーションのモードの動的決定
US20150188949A1 (en) * 2013-12-31 2015-07-02 Lookout, Inc. Cloud-based network security
WO2015121617A1 (en) * 2014-02-14 2015-08-20 British Telecommunications Public Limited Company Methods, apparatus and systems for processing service requests
US9779113B2 (en) * 2014-03-20 2017-10-03 NSONE Inc. Systems and methods for improving domain name system traffic routing
US8977728B1 (en) * 2014-05-16 2015-03-10 Iboss, Inc. Maintaining IP tables
US20150350229A1 (en) * 2014-05-29 2015-12-03 Singularity Networks, Inc. Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data
KR101544322B1 (ko) * 2014-08-18 2015-08-21 명지대학교 산학협력단 시각화를 이용한 악성 코드 탐지 시스템과 방법
US20160164826A1 (en) * 2014-12-04 2016-06-09 Cisco Technology, Inc. Policy Implementation at a Network Element based on Data from an Authoritative Source
US9240976B1 (en) * 2015-01-06 2016-01-19 Blackpoint Holdings, Llc Systems and methods for providing network security monitoring
US9479524B1 (en) * 2015-04-06 2016-10-25 Trend Micro Incorporated Determining string similarity using syntactic edit distance
US10079846B2 (en) * 2015-06-04 2018-09-18 Cisco Technology, Inc. Domain name system (DNS) based anomaly detection
US10185761B2 (en) * 2015-08-07 2019-01-22 Cisco Technology, Inc. Domain classification based on domain name system (DNS) traffic
EP3275151B1 (en) * 2015-08-31 2020-04-29 Hewlett-Packard Enterprise Development LP Collecting domain name system traffic
US11218497B2 (en) * 2017-02-20 2022-01-04 Micro Focus Llc Reporting behavior anomalies

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI783195B (zh) * 2019-12-18 2022-11-11 中華資安國際股份有限公司 網路資安系統、其方法及電腦可讀儲存媒介

Also Published As

Publication number Publication date
WO2016164050A1 (en) 2016-10-13
US10686814B2 (en) 2020-06-16
US20170295196A1 (en) 2017-10-12

Similar Documents

Publication Publication Date Title
TW201703465A (zh) 網路異常偵測技術
US20240163253A1 (en) Network security analysis system with reinforcement learning for selecting domains to scan
US9860278B2 (en) Log analyzing device, information processing method, and program
US20220045990A1 (en) Methods and systems for api deception environment and api traffic control and security
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
US9680861B2 (en) Historical analysis to identify malicious activity
US10581880B2 (en) System and method for generating rules for attack detection feedback system
US10129270B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US10084806B2 (en) Traffic simulation to identify malicious activity
US10061922B2 (en) System and method for malware detection
US11861472B2 (en) Machine learning model abstraction layer for runtime efficiency
CN111010409B (zh) 加密攻击网络流量检测方法
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
IL262866A (en) Automated investigation of computer systems through behavioral intelligence
US8516573B1 (en) Method and apparatus for port scan detection in a network
US20180191748A1 (en) Associating a user identifier detected from web traffic with a client address
US12069077B2 (en) Methods for detecting a cyberattack on an electronic device, method for obtaining a supervised random forest model for detecting a DDoS attack or a brute force attack, and electronic device configured to detect a cyberattack on itself
KR20060013491A (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
US20160269362A1 (en) Network security system to intercept inline domain name system requests
CN110061998B (zh) 一种攻击防御方法及装置
KR20130105769A (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
US20250211602A1 (en) Cross protocol malware traffic detection using a two-layer ml architecture