本發(fā)明公開了一種命令與控制信道的檢測方法、裝置和系統(tǒng)。其中，該方法包括：獲取待檢測對象的第一請求序列，其中，第一請求序列中包括多個域名解析請求；變更第一請求序列中多個域名解析請求的發(fā)送順序，得到第二請求序列；發(fā)送第二請求序列至目標(biāo)服務(wù)器，并接收目標(biāo)服務(wù)器根據(jù)第二請求序列返回的第一響應(yīng)序列；根據(jù)第一響應(yīng)序列得到待檢測對象的第一檢測結(jié)果，其中，第一檢測結(jié)果用于表征待檢測對象是否使用命令與控制信道。本發(fā)明解決了現(xiàn)有技術(shù)中命令與控制信道的檢測效率低的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域，具體而言，涉及一種命令與控制信道的檢測方法、裝置和系統(tǒng)。

背景技術(shù)

惡意軟件(Malware)是指通過特定的程序來控制另一臺計算機。黑客可以利用惡意軟件遠程操控該計算機，任意毀壞或竊取主機上的文件和用戶密碼。受控主機就是被黑客攻破，種植了惡意軟件的電腦。惡意軟件通常通過連接CC服務(wù)器來獲得命令，受控主機與CC服務(wù)器之間的連接及其使用的協(xié)議，成為惡意軟件的控制信道，簡稱C2通道(CommandControl Channel)。DNS(全稱為：Domain Name System)是因特網(wǎng)的一項核心服務(wù)，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫。域名是由圓點分開一串單詞或縮寫組成的，每一個域名都對應(yīng)一個唯一的IP地址，在Internet上域名與IP地址之間是一一對應(yīng)的，DNS就是進行域名解析的服務(wù)。

2017年Talos實驗室發(fā)現(xiàn)并分析了一類新的惡意軟件，使用DNS協(xié)議在惡意軟件和CC服務(wù)器之間進行雙向通信。為實現(xiàn)DNS偷渡，黑客會首先搭建DNS服務(wù)器，并注冊大量域名，如malinfo.net，并將*.malinfo.net的解析都指向該DNS服務(wù)器，假設(shè)為Mal-DNS。這樣，互聯(lián)網(wǎng)中任意位置的主機，在查詢malinfo.net及其子域名的時候，都會將請求發(fā)送到Mal-DNS服務(wù)器，使Mal-DNS成為進行CC控制的公共通信節(jié)點。CC服務(wù)器可以使用Mal-DNS來與受控主機通信，使用DNS協(xié)議傳輸C2控制信息，這種方式稱為DNS偷渡。

由于DNS協(xié)議的分布式遞歸查詢的特性，主機發(fā)出的DNS請求，一般都是經(jīng)過LDNS(Local DNS)服務(wù)器轉(zhuǎn)發(fā)給上層服務(wù)結(jié)點，這樣在內(nèi)網(wǎng)或者邊界，安全設(shè)備無法感知到Mal-DNS的存在，所以也無法根據(jù)連接目標(biāo)來進行C2的檢測。

為了解決上述問題，傳統(tǒng)的安全產(chǎn)品(如IDS)是目前常用的檢測C2通道的方式，IDS對惡意軟件控制信道的識別，主要使用兩種方法：一種是基于已知知識的簽名技術(shù)。它們手工分析已知惡意軟件的靜態(tài)特征和網(wǎng)絡(luò)特征，提取字端或字段哈希值作為簽名，對網(wǎng)絡(luò)連接中傳輸?shù)男畔⑦M行匹配識別；另一種是采用威脅情報來識別連接目標(biāo)為已知CC服務(wù)器。由于主機只和LDNS通信，所以無法根據(jù)連接目標(biāo)IP來檢測。一種可行的方法是根據(jù)查詢的域名來檢測，通過分析惡意軟件在DNS中查詢的域名，制作威脅情報，并進行檢測。

但是，由于DNS偷渡的C2信道，使用標(biāo)準(zhǔn)DNS協(xié)議來查詢記錄，其控制信息隱藏于域名和TXT等記錄中，其內(nèi)容非常便于混淆和隱藏，簽名匹配方式基本無效。而且，域名和IP不同，由于域名的無限性，黑客非常容易去淘汰已經(jīng)暴露的域名，保持通道的有效性。

針對現(xiàn)有技術(shù)中命令與控制信道的檢測效率低的問題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明實施例提供了一種命令與控制信道的檢測方法、裝置和系統(tǒng)，以至少解決現(xiàn)有技術(shù)中命令與控制信道的檢測效率低的技術(shù)問題。

根據(jù)本發(fā)明實施例的一個方面，提供了一種命令與控制信道的檢測方法，包括：獲取待檢測對象的第一請求序列，其中，第一請求序列中包括多個域名解析請求；變更第一請求序列中多個域名解析請求的發(fā)送順序，得到第二請求序列；發(fā)送第二請求序列至目標(biāo)服務(wù)器，并接收目標(biāo)服務(wù)器根據(jù)第二請求序列返回的第一響應(yīng)序列；根據(jù)第一響應(yīng)序列得到待檢測對象的第一檢測結(jié)果，其中，第一檢測結(jié)果用于表征待檢測對象是否使用命令與控制信道。