技術領域

本發(fā)明涉及網(wǎng)絡安全領域，尤其涉及一種DNS隱蔽信道的檢測方法。

背景技術

域名系統(tǒng)(Domain?Name?System，DNS)是因特網(wǎng)最關鍵的基礎服務之一，它將域名與IP地址相互映射，使人們能夠方便地訪問互聯(lián)網(wǎng)，而不必記憶復雜的IP地址。DNS域名解析為眾多的網(wǎng)絡應用提供支撐，因此，網(wǎng)絡管理策略通常對客戶端主機使用DNS服務不作限制。由此，也就出現(xiàn)了大量利用DNS進行隱蔽通訊的方法和程序，其能夠繞過防火墻策略的限制，利用DNS的請求和響應數(shù)據(jù)包中可變字節(jié)進行雙向數(shù)據(jù)傳輸。

基于域名的DNS隱蔽信道，將隱蔽通訊所使用的域名的授權服務器IP地址設置為隱蔽信道服務器的地址。隱蔽信道客戶端可請求任何一臺DNS遞歸服務器，由DNS遞歸服務器實現(xiàn)查詢和響應數(shù)據(jù)的中轉，客戶端無須與隱蔽信道服務器直接通訊。客戶端向服務器發(fā)送的數(shù)據(jù)，通常編碼為隱蔽信道域名的子域名標簽，請求該子域名即可將標簽中的數(shù)據(jù)傳遞給隱蔽信道服務器。服務器向客戶端發(fā)送的數(shù)據(jù)，通常包含在DNS回答的資源記錄中。

DNS隱蔽信道對網(wǎng)絡訪問控制和網(wǎng)絡安全構成極大威脅。例如，以Web方式進行身份認證的公眾WLAN(無線局域網(wǎng))無線上網(wǎng)服務，首先允許WLAN客戶端設備連接到無線網(wǎng)絡，然后在打開網(wǎng)頁時顯示認證界面。在用戶登錄之前，不允許客戶端訪問Internet，但一般允許進行DNS域名解析。在這種情況下，利用DNS隧道進行隱蔽通訊可繞過認證限制，經(jīng)過DNS隱蔽信道服務器的代理訪問Internet。在安全要求更高的網(wǎng)絡環(huán)境中，除了Internet訪問的濫用，DNS隱蔽信道還可能造成敏感數(shù)據(jù)的泄露。

發(fā)明內(nèi)容

有鑒于現(xiàn)有技術的上述缺陷，本發(fā)明所要解決的技術問題是有效地檢測DNS隱蔽信道，強化網(wǎng)絡管理和網(wǎng)絡安全。

為實現(xiàn)上述目的，本發(fā)明提供了一種DNS隱蔽信道的檢測方法，包括以下步驟：

步驟一、從輸入的DNS查詢請求消息中篩選出查詢域名超長的DNS查詢請求消息；

步驟二、解析并提取出域名超長的DNS查詢請求消息的發(fā)送客戶端IP??和查詢域名中的純域名，并形成<客戶端IP，純域名>形式的記錄；

步驟三、對步驟二中所形成的所述<客戶端IP地址，純域名>記錄進行統(tǒng)計計數(shù)，并將每條所述<客戶端IP地址，純域名>記錄以及每條所述<客戶端IP，純域名>記錄的計數(shù)結果寫入統(tǒng)計表；

步驟四、以預定的時間間隔，依次讀取所述統(tǒng)計表中的所述<客戶端IP，純域名>記錄及所述計數(shù)結果，并根據(jù)所述讀取結果進行是否存在隱蔽信道的判定，并在讀取和判定完成后，清空所述統(tǒng)計表以便步驟三重新對統(tǒng)計表進行寫入。

其中步驟一中所述超長域名篩選進一步是通過解析提取出所述DNS查詢請求消息的查詢域名進行超長域名篩選的，若所述查詢域名的長度超過預定的域名長度閾值，則認為所述DNS查詢請求消息是查詢域名超長的DNS查詢請求消息。

其中所述步驟二進一步是通過解析所述DNS查詢請求消息得到所述DNS查詢請求消息的所述查詢域名和發(fā)送所述DNS查詢請求消息的客戶端IP，并進一步從所述查詢域名中提取出去除子域名后的純域名，從而得到所述<客戶端IP，純域名>形式的記錄的。

其中所述步驟三進一步是通過對每條所述<客戶端IP，純域名>記錄判斷其是否已存在于所述統(tǒng)計表中，若所述統(tǒng)計表中已經(jīng)存在所述<客戶端IP，純域名>記錄，則對所述<客戶端IP，純域名>記錄的計數(shù)值加1，若所述的統(tǒng)計表中不存在所述<客戶端IP，純域名>記錄，則將所述<客戶端IP，純域名>記錄寫入所述統(tǒng)計表，并將所述<客戶端IP，純域名>記錄的計數(shù)值設為1，來進行統(tǒng)計計數(shù)的。

其中所述步驟四進一步是通過對每條所述<客戶端IP，純域名>記錄的計數(shù)結果進行判斷，判斷所述計數(shù)結果是否大于預定的告警閾值，若所述計數(shù)結果大于所述告警閾值，則判定為存在所述客戶端IP利用所述純域名進行隱蔽通信的隱蔽信道，來進行隱蔽信道的判定的。

進一步地，其中所述域名長度閾值、時間間隔和告警閾值的設定值可以根據(jù)系統(tǒng)的安全級別的要求而改變。

進一步地，其中作為輸入的所述DNS查詢請求信息來自于網(wǎng)絡流量中的DNS報文或者DNS服務器的查詢?nèi)罩尽?/p>