龙源期刊网 http://www.qikan.com.cn
基于通信行为分析的DNS隧道木马检测技术探究
作者:刘晓蕾 张琼尹 任磊 苏展飞 来源:《科技资讯》2018年第34期
摘 要:DNS是重要的网络基础设施,可以对IP地址以及域名做出更改,由于DNS协议具有一定的特殊性,导致防火墙等常规安全软件不会对DNS进行拦截,逐渐形成DNS隐蔽隧道,为木马病毒的入侵提供了便利条件,严重威胁到了正常的网络信息安全,所以,本文基于此进行分析,通过提取DNS隧道木马通信行为特征,进一步探究隧道木马检测技术。 关键词:DNS隧道 通信行为 木马检测
中图分类号:TU741 文献标识码:A 文章编号:1672-3791(2018)12(a)-00-02 DNS隧道具有极强的隐蔽性,为木马病毒的传播扩散提供了有利条件,但木马程序的差异性在通信指令上有明显的差异表现。因此,本文结合DNS隧道木马的本质以及工作原理提出了设计检测技术系统的相应参考建议,切实有效加强和提升了网络信息的安全效果。 1 DNS隧道木马通信机理
木马是恶意计算机程序,具有持续攻击性和高度危险性,不仅可以窃取对方信息,还会远程操作控制用户系统,对终端信息系统进行严重的破坏,具有极强的危害,木马主要分为人为控制性、伪装性、隐蔽性,木马会通过非常隐蔽的方式操作不被用户察觉,在网络技术不断更新升级的背景下,木马危险性和攻击性也在持续增加,由于DNS隧道木马属于UDP协议,所以是隐蔽通信的UDP型木马分支。DNS隧道木马采取DNS协议分为域名与IP两种运行方式,其中域名型DNS隧道木马隐蔽信息传输方式更具隐蔽性,用户与外网通信就会增加入侵的危险性,对于IP型木马用户可以通过设计IP黑白名单进行防范。
DNS隧道木马通信行为的不同,可以分为IP型和域名型两类,DNS隧道木马IP型基于DNS协议会与用户终端主机建立通信,利用UDP socket建立联系,DNS隧道木马会通过53端口传输数据,同时会精心构造载荷内容。DNS隧道木马域名型会在攻击前注册域名并做好记录,作为被控端,会采取数据封装的方式在请求域名中,并送到DNS隧道木马的控制端。总结来说,比较隐蔽的为域名DNS隧道木马,需要结合实际情况进行分析研究,并重点开展技术针对和防范措施。
2 DNS隧道木马检测技术系统的架构设计
基于通信行为分析的DNS隧道木马检测技术探究
