專利名稱:用于限制并檢測網(wǎng)絡(luò)惡意行為的基于域名系統(tǒng)的執(zhí)行的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò),并且特別涉及用于限制并檢測網(wǎng)絡(luò)惡意行為的基于域名系統(tǒng)(DNS)的執(zhí)行����。
背景技術(shù):
最初的互聯(lián)網(wǎng)協(xié)議TCP/IP是基于系統(tǒng)用戶嚴格合法地連接到網(wǎng)絡(luò)而設(shè)計的;因此�,沒有專門考慮安全問題。然而在近年�����,互聯(lián)網(wǎng)上惡意攻擊的發(fā)生率已增長到令人擔憂的比率����。在各種類別的攻擊之中,可以提到拒絕服務(wù)(DoS)攻擊�,它涉及阻止某人在網(wǎng)絡(luò)上使用給定服務(wù)的能力,可以呈現(xiàn)各種形式�,并且通常導致目標受害者的服務(wù)完全崩潰。其它威脅包括病毒�����、蠕蟲、系統(tǒng)入侵��、電子欺騙��、數(shù)據(jù)/網(wǎng)絡(luò)破壞���、數(shù)據(jù)竊取�、用受害者的服務(wù)器無法應(yīng)付的許多業(yè)務(wù)來對受害者進行泛洪攻擊��,等等����。
計算機病毒是通過被復制或者將其復制品引入另一程序、計算機開機區(qū)或文檔而復制自身的程序或編程代碼���,它以各種方式穿越網(wǎng)絡(luò)進行復制��。病毒可以被看作是這樣的DoS攻擊受害者通常不是具體指定的�����,而只是不夠幸運的主機得到該病毒。根據(jù)特定的病毒,拒絕服務(wù)幾乎很難察覺���,它始終涉及災難��。病毒可以作為電子郵件的附件或在下載文件中被傳送�����,或者出現(xiàn)在磁盤或CD上����。一些病毒一旦其代碼被執(zhí)行就實施其效果���;其它病毒處于休眠狀態(tài)直到環(huán)境導致其代碼被計算機執(zhí)行���。一些病毒在目的和效果上是良性的,而一些卻相當有害�,它刪除數(shù)據(jù)或致使你的硬盤需要重新格式化。
通過作為電子郵件附件或作為網(wǎng)絡(luò)消息的一部分重新發(fā)送自身來復制其自身的病毒稱為蠕蟲�。蠕蟲使用操作系統(tǒng)的一些部分,這些部分是自動的并且通常對于用戶是不可見的�����。蠕蟲通常僅當其不受控的復制消耗系統(tǒng)資源從而減緩或中斷其它任務(wù)時才被察覺到。蠕蟲通過利用應(yīng)用程序和系統(tǒng)軟件中的已知和先前未知的軟件漏洞二者進行操作����,并且迅速地穿越網(wǎng)絡(luò)傳播。通過劫持典型地利用許多全球許可而運行的可信應(yīng)用程序���,蠕蟲可以獲得對系統(tǒng)資源的完全訪問并導致完全的系統(tǒng)危害��,所述可信應(yīng)用程序例如是web(萬維網(wǎng))服務(wù)器�����、郵件傳送代理和登錄服務(wù)器��。
蠕蟲和病毒困擾如今的數(shù)據(jù)網(wǎng)絡(luò)��,并且它們現(xiàn)在已經(jīng)是多年的問題了(莫里斯(Morris)蠕蟲�、紅色代碼等)����。不幸地是,由于寬帶連接的增長速度和普及�,這些攻擊在頻率、嚴重性和復雜度上都在增長��。這些惡意網(wǎng)絡(luò)攻擊通過拒絕企業(yè)和小型辦公/家庭網(wǎng)絡(luò)為其客戶服務(wù)的能力而特別危害這些網(wǎng)絡(luò),其導致銷售和廣告收入的損失����;贊助人也會尋求競爭的可選方案�����。同樣知道��,這種類型的網(wǎng)絡(luò)可能被利用并然后形成另外的惡意行為的源����。同樣知道,蠕蟲可能比當前已經(jīng)發(fā)現(xiàn)的更加惡意�。因此,可能構(gòu)造超級致命的活動蠕蟲���,其能夠在大約15分鐘到一個小時內(nèi)感染所有有漏洞的主機�,并且可以在人們作出反應(yīng)之前導致最大的破壞�。通過使用優(yōu)化的掃描例程、針對最初傳播的hitlist掃描和針對完全的�����、自協(xié)同的覆蓋的permutation掃描,可以構(gòu)建這些蠕蟲�。
目前,為保護它們的網(wǎng)絡(luò)和系統(tǒng)����,企業(yè)部署分層的防御模型。其包括防火墻�����、反病毒系統(tǒng)、訪問管理和入侵檢測系統(tǒng)(IDS),以及依賴于修補和對安全威脅作出反應(yīng)的連續(xù)循環(huán)��。防御模型已經(jīng)存在許多年,并且至今還沒有一個能夠?qū)崿F(xiàn)用較少的關(guān)聯(lián)成本和煩擾來提供對所有攻擊的完全保護的最終目標��。
防火墻是阻止惡意行為擴散到給定網(wǎng)絡(luò)或阻止來自給定網(wǎng)絡(luò)的惡意行為的重要組件���。多數(shù)大型公司在適當?shù)奈恢镁哂蟹阑饓?��,并且安全專家仍然認為它們應(yīng)當構(gòu)成公司IT安全策略中的第一防線。當前部署的防火墻僅在它們具有蠕蟲指定簽名���、具有必要的分析準確度或如果蠕蟲試圖使用被阻止端口或協(xié)議的情況下���,才能夠阻止蠕蟲�����。
基于蠕蟲簽名的檢測系統(tǒng)是基于網(wǎng)絡(luò)(或每個主機)����、裝置����,其中該裝置在線處理(sit in-line with)網(wǎng)絡(luò)業(yè)務(wù)并且對照已知的蠕蟲簽名來檢查每個IP分組�����。通常這些解決方案還依賴于對照帶寬配置文件(bandwidthprofile)來檢查業(yè)務(wù)流�����。這項技術(shù)的例子包括在網(wǎng)址http://www.juniper.net/products/intrusion/中所描述的Juniper的Netscreen Intrusion Detection Prevention�;在網(wǎng)址http://www.tippingpoint.com/technology filters.html中所描述的TippingPoint的UnityOne;和http://sourceforge.net/projects/snort-inline/中所描述的Snort-Inline�,等等。
通用在線入侵防御系統(tǒng)(IPS)還依賴于簽名和流測量����,以檢測并阻止網(wǎng)絡(luò)中的惡意行為����,因此它們的能力限于阻止零日(zero-day)蠕蟲���。此外�����,如果它們的檢測算法是基于統(tǒng)計觀測結(jié)果(例如流的帶寬���、每個主機的激活端口數(shù)目等),則在IPS系統(tǒng)能夠開始阻止蠕蟲之前要花費一些時間�����。由于該時間窗���,企業(yè)應(yīng)當對蠕蟲的擴散負責����。另一方面�����,所提出的發(fā)明通過在惡意行為進行第一次嘗試時阻止這個沒有關(guān)聯(lián)簽名的惡意行為,來克服所述“零日”和“時間窗”問題�����。
然而��,由于建立一種直到發(fā)生攻擊才識別惡意SW的策略是不可行的����,因此簽名和行為監(jiān)控技術(shù)在新的蠕蟲首次穿越互聯(lián)網(wǎng)擴散時是無效的�����。簽名和策略可以被周期地更新�����,但僅是在蠕蟲或其它惡意SW已被識別并被研究之后�����。簽名監(jiān)控技術(shù)在新的蠕蟲首次穿越互聯(lián)網(wǎng)擴散時是無效的��。在“好的”和“壞的”代碼的身份或行為之間進行區(qū)分也極其困難。這導致大量“錯誤肯定”���,其將許多防御系統(tǒng)的目的限于檢測事件而不是防止它們��。
此外���,簽名和行為監(jiān)控技術(shù)二者都允許在攻擊的開始和它的檢測之間的時間間隔,所以通過監(jiān)控運行的應(yīng)用程序的行為�����,到檢測到破壞性行為的時候���,所述應(yīng)用程序已經(jīng)被危害并且惡意代碼已經(jīng)在運行����。這個時間間隔表示在被攻擊的接入鏈路上操作的網(wǎng)絡(luò)的漏洞窗�����。
最重要地����,防火墻不能阻止一切���;它們被配置用來允許特定類別或類型的數(shù)據(jù)進入受保護的網(wǎng)絡(luò)。利用允許通過防火墻的服務(wù)的每個惡意行為成功地擴散����。因此,防火墻可能不再足以保護公司網(wǎng)絡(luò)以免于利用防火墻允許的協(xié)議中的漏洞的病毒����、系統(tǒng)滲透、電子欺騙���、數(shù)據(jù)和網(wǎng)絡(luò)破壞和拒絕服務(wù)攻擊����。為解決這個問題�,當前正在設(shè)計新的技術(shù)����。
D.White,E.Kranakis����、P.C.van Ooschot(加拿大安大略渥太華Carleton大學計算機科學學院)在題為“DNS-based Detection of ScanningWorms in an Enterprise Network”的論文中�����,描述了基于DNS(域名系統(tǒng))的網(wǎng)絡(luò)安全技術(shù)��,該論文發(fā)表在2005年2月3-4日于美國圣地亞哥舉行的第十二屆年度網(wǎng)絡(luò)和分布式系統(tǒng)安全研討會的會議錄中�����。該論文中的提議是基于在建立新連接之前監(jiān)控DNS活動���。掃描蠕蟲使用相應(yīng)于IP地址的32位隨機數(shù)來進行感染嘗試,因此它不使用DNS協(xié)議進行地址轉(zhuǎn)換(從混合符號名稱到各個IP地址)����。
Carleton團隊使用持續(xù)觀測網(wǎng)絡(luò)業(yè)務(wù)的分組處理引擎(PPE,PacketProcessing Engine)來尋找新的外出的TCP連接和UDP分組����。所捕獲的業(yè)務(wù)被傳遞到DNS相關(guān)引擎(DCE,DNS Correlation Engine)��,在該DNS相關(guān)引擎���,對照最近發(fā)生的DNS查找和具有不依賴于DNS的合法應(yīng)用和服務(wù)的白名單(whitelist)來檢查所述業(yè)務(wù)�����。如果TCP連接正試圖在沒有關(guān)聯(lián)的DNS查找記錄的情況下訪問互聯(lián)網(wǎng)�����,則該連接被認為是反常的�,并且系統(tǒng)將發(fā)出告警。DCE從本地DNS接收DNS查找信息���。它還從PPE單元接收所允許的嵌入式數(shù)字IP地址����,這針對所述目也是分析HTTP業(yè)務(wù)����。
然而,由Carleton團隊開展的工作限于蠕蟲檢測��,而并不防止蠕蟲的擴散�。明顯地���,到本地網(wǎng)絡(luò)以外的主機的一個成功的惡意連接�����,意味著蠕蟲已成功地擴散�。這意味著,即使企業(yè)網(wǎng)絡(luò)正在使用這個基于DNS的檢測機制來激活一些過濾器以阻止蠕蟲擴散���,該企業(yè)仍應(yīng)當在從檢測到作出反應(yīng)的時間窗期間對該蠕蟲導致的破壞負責���。此外,由Carleton團隊提出的解決方案需要一個或多個這樣的網(wǎng)絡(luò)裝置其能夠通過深入的分組檢查來實時分析在每個出口點離開企業(yè)的所有業(yè)務(wù)�。這些業(yè)務(wù)分析器中每一個都必須執(zhí)行線路速率的準確HTML分析。
在自防御網(wǎng)絡(luò)的范圍內(nèi)�����,Cisco已提出稱為網(wǎng)絡(luò)準入控制(NAC��,Network Admission Control)的技術(shù)�����,該技術(shù)可以在下面的網(wǎng)址找到http://www.cisco.com/warp/public/cc/so/neso/sqso/csdni wp.htm�,該技術(shù)減輕了蠕蟲和類似惡意行為在企業(yè)網(wǎng)絡(luò)內(nèi)的擴散����。所述思想依賴于安全策略在連接到給定企業(yè)網(wǎng)絡(luò)的任何端點上的執(zhí)行��。Cisco NAC僅對順應(yīng)且可信的主機準予網(wǎng)絡(luò)訪問�����,而限制不順應(yīng)主機的訪問���。所述準入判決可以基于幾個參數(shù)��,例如主機的反病毒狀態(tài)和操作系統(tǒng)的補丁級別����。如果主機是不順應(yīng)的�,其可以被置于隔離區(qū)或被準予對網(wǎng)絡(luò)資源的最低限度的訪問。
Cisco的NAD可以被看作是間接的蠕蟲限制方法��。事實上���,NAC的目標是確保連接到企業(yè)網(wǎng)絡(luò)的所有機器都運行更新的反病毒軟件和最新的OS補丁��。這并不阻止零日蠕蟲從企業(yè)網(wǎng)絡(luò)擴散到互聯(lián)網(wǎng)�����。由NAC提供的安全取決于企業(yè)策略和反病毒軟件的準確度�����。此外�,在針對指定蠕蟲的補丁存在但其由于操作問題而不能被使用的所有情況下���,NAC是無效的����。
Alcatel公司還使用自動隔離引擎(AQE��,Automated QuarantineEngine)�����,其是有些類似于NAC的解決方案���,但它依賴于收集自入侵檢測和防御系統(tǒng)的信息并動態(tài)地重新配置網(wǎng)絡(luò)以限制惡意行為��,而不是直接檢驗連接到網(wǎng)絡(luò)的主機上的安全策略�。如在網(wǎng)址http://www.home.alcatel.com/vpr/vpr.nsf/DateKey/16082004_2uk中所描述的,一旦檢測到攻擊��,AQE就定位入侵者并且實現(xiàn)網(wǎng)絡(luò)響應(yīng)�����。在病毒或蠕蟲攻擊的情況下���,AQE將被感染的設(shè)備置入應(yīng)用于網(wǎng)絡(luò)邊緣的Alcatel隔離VLAN中����。利用AQE�����,被感染的設(shè)備被記入黑名單(blacklist)����,即使感染的入侵者移動到另一位置。
然而�����,Alcatel的AQE完全依賴于第三方入侵檢測系統(tǒng)(IDS)來封鎖被感染的主機。這個解決方案受IDS系統(tǒng)準確度以及蠕蟲簽名的需要的限制�����。此外�,蠕蟲在被感染主機的檢測和隔離之間的時間窗期間�,仍然能夠感染企業(yè)網(wǎng)絡(luò)外部的其它主機。這個時間窗的范圍很大程度上取決于由第三方IDS使用的檢測機制��。所提出的解決方案不依賴于任何第三方IDS或任何先前存在的簽名來限制惡意行為����。
一般地,所有現(xiàn)代技術(shù)都涉及簽名�、策略或訓練的組合,以區(qū)分好的和壞的代碼�����,建立通常較復雜并且需要時間來跨越服務(wù)器進行����。需要進行中的調(diào)整和定制,以保持與最近的漏洞同步并且也減少對惡意攻擊的“錯誤肯定”和“錯誤否定”標識的發(fā)生����。
IP網(wǎng)絡(luò)的可靠性和安全在這樣的領(lǐng)域內(nèi)是基本的計算機網(wǎng)絡(luò)是實體內(nèi)和實體間通信和事務(wù)的關(guān)鍵單元�。因此����,需要提供一種用于在易于安裝和維護的網(wǎng)絡(luò)中限制并檢測惡意行為(例如互聯(lián)網(wǎng)蠕蟲)的系統(tǒng)。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種用于檢測并限制網(wǎng)絡(luò)惡意行為的基于DNS的執(zhí)行系統(tǒng)����,其完全或部分地減少了現(xiàn)有技術(shù)安全執(zhí)行和檢測系統(tǒng)的缺點。
因此�����,本發(fā)明提供了一種系統(tǒng)用于檢測并限制網(wǎng)絡(luò)惡意行為��,其中該網(wǎng)絡(luò)惡意行為源自本地網(wǎng)絡(luò)上的本地主機并且去往該本地網(wǎng)絡(luò)外部的遠端主機�����,該系統(tǒng)包括本地域名服務(wù)器(DNS)����,該服務(wù)器用于從本地主機接收針對到遠端主機的外出連接的請求、完成DNS查找以獲得該遠端主機的IP地址�����,并且產(chǎn)生一致性指示;以及本地執(zhí)行單元���,其被連接在本地網(wǎng)絡(luò)和遠端主機之間�����,用于默認地阻止所述外出連接的建立,直到它接收到所述一致性指示��。
本發(fā)明還提供了一種方法用于檢測并限制網(wǎng)絡(luò)惡意行為��,其中該網(wǎng)絡(luò)惡意行為源自本地網(wǎng)絡(luò)上的本地主機并且去往該本地網(wǎng)絡(luò)外部的遠端主機���,該方法包括以下步驟a)響應(yīng)于由本地主機為獲得遠端主機的IP地址而在本地網(wǎng)絡(luò)上的本地域名系統(tǒng)(DNS)服務(wù)器中進行的DNS查找���,來產(chǎn)生一致性指示;b)基于所述一致性指示和具有特定異常的列表來利用執(zhí)行單元產(chǎn)生連接授權(quán)指示�,其中所述特定異常包括允許在不進行DNS查找的情況下訪問指定遠端資源的本地主機;以及c)默認地阻止所述外出連接的建立�,直到接收所述連接授權(quán)指示。
不像上述Carleton團隊的基于DNS的解決方案����,本發(fā)明的系統(tǒng)不僅檢測網(wǎng)絡(luò)惡意行為����,而且在該行為首次嘗試離開給定網(wǎng)絡(luò)時阻止它們�����。記錄被阻止的外出連接嘗試也揭示了網(wǎng)絡(luò)中惡意行為的出現(xiàn)�����。因此�����,企業(yè)網(wǎng)絡(luò)可以免于對特定類別的蠕蟲(即那些不進行DNS查找的蠕蟲)穿越互聯(lián)網(wǎng)擴散的責任����,并且同時可以在惡意行為發(fā)生時立即察覺到。
這樣�����,本發(fā)明具有防止并檢測惡意行為在本地網(wǎng)絡(luò)外部擴散的雙重優(yōu)點�����。檢測網(wǎng)絡(luò)中的惡意行為的優(yōu)點是顯而易見的,因此不對其進行進一步討論�����。防止網(wǎng)絡(luò)惡意行為的擴散的優(yōu)點是雙重的�����。首先�����,在被邏輯地分成小區(qū)的大型網(wǎng)絡(luò)的情況下����,防止惡意行為的擴散意味著僅一個小區(qū)而不是整個網(wǎng)絡(luò)的安全被危及����。其次,如果沒有部署限制機制���,則企業(yè)從民法觀點來說應(yīng)當對傳播蠕蟲負責���??梢宰C實�����,對惡意網(wǎng)絡(luò)行為的限制和檢測在網(wǎng)絡(luò)設(shè)備市場中是增值的區(qū)分(differentiator)����。
本發(fā)明系統(tǒng)的另一優(yōu)點在于,它不依賴于簽名�,該簽名在處理大量且不斷變化的惡意行為事件時會在操作上變得勢不可擋,所述系統(tǒng)也不需要產(chǎn)生并保持更新的簽名的關(guān)聯(lián)負擔���。它也不依賴于例如網(wǎng)絡(luò)“探測器(sniffer)”的不便利的單元和技術(shù)����,但是僅依賴于在標準代理和防火墻內(nèi)已經(jīng)可用的知識���。此外���,所提出的解決方案不需要準確分析所有HTTP消息來尋找嵌入式數(shù)字IP地址,這將觸發(fā)異常�,如Carleton團隊的基于DNS的解決方案所要求的��。
由于其能夠有效地阻止零日惡意網(wǎng)絡(luò)行為�,因此所提出的發(fā)明是對如NAC的解決方案的補充�。
最后,所介紹的解決方案不限于任何特定的實現(xiàn)�,這使得所述思想是極其靈活且有利的解決方案。
根據(jù)下面對如附圖所示的優(yōu)選實施例的詳細描述���,本發(fā)明的上述及其它的目的�����、特征和優(yōu)點將是顯而易見的���,其中-圖1示出了根據(jù)本發(fā)明的基于DNS的執(zhí)行系統(tǒng)的實施例的框圖;-圖2示出了其中本地網(wǎng)絡(luò)被分為小區(qū)的基于DNS的執(zhí)行系統(tǒng)的框圖�����;以及-圖3示出了使用代理的基于DNS的執(zhí)行系統(tǒng)的另一實施例的框圖�。
具體實施例方式
在下文中�����,術(shù)語“網(wǎng)絡(luò)惡意行為”是指蠕蟲、病毒���、群發(fā)郵件蠕蟲�、自動攻擊工具-DDoS僵尸(zombie)�、遠程訪問木馬(Remote AccessTrojan)所使用的秘道程式碼(convert channel)、或?qū)W(wǎng)絡(luò)及其操作造成安全風險的類似威脅�����?��!氨镜鼐W(wǎng)絡(luò)”是指這樣的受限網(wǎng)絡(luò)環(huán)境其依賴于一個或多個本地DNS服務(wù)器����,并且具有一個或多個到另一網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))的受保護接入�����。
圖1示出了根據(jù)本發(fā)明的基于DNS的執(zhí)行系統(tǒng)100的實施例的框圖���。在這個例子中���,本地網(wǎng)絡(luò)5的主機20A����、20B經(jīng)由執(zhí)行單元15連接到互聯(lián)網(wǎng)1��。主機20A和20B能夠同時訪問感興趣的“內(nèi)部”和“外部”資源�����。系統(tǒng)100要求朝向位于本地網(wǎng)路外部的資源的每個連接被本地執(zhí)行單元15默認地阻止���。
圖1還示出了DNS服務(wù)器13��,其為每個合法的外出連接請求提供在節(jié)點/主機的數(shù)字IP地址和相應(yīng)混合符號名稱之間的映射���。系統(tǒng)100基于這樣的概念惡意網(wǎng)絡(luò)行為不利用DNS協(xié)議來到達本地網(wǎng)絡(luò)外部的遠端目標。當DNS服務(wù)器13接收到查找請求時����,它將向所述執(zhí)行單元發(fā)出一致性指示,以指示針對來自本地網(wǎng)絡(luò)5上主機的外出連接的請求是合法的連接��。
在圖1的實施例中��,執(zhí)行單元15包括防火墻10�、控制單元12、DNS網(wǎng)守(Gatekeeper)14��、連接監(jiān)控單元18和告警報告單元16���。如上面所指出的�,標準防火墻僅能夠阻止這樣的蠕蟲其具有指定簽名�����,或如果該蠕蟲試圖使用被阻止的端口或協(xié)議���;利用被允許通過所述標準防火墻的服務(wù)的每個惡意行為將成功地擴散��。然而���,防火墻10不需要簽名(并且保持所述簽名被更新)來結(jié)合圖1的系統(tǒng)進行操作,它也不依賴于網(wǎng)絡(luò)“探測器”��,它也不需要分析HTML消息以尋找嵌入式數(shù)字IP地址�。此外,防火墻10能夠保留普通行業(yè)可用的防火墻的所有功能和特性(包括基于簽名的阻止)���?���?刂茊卧?2基于來自DNS網(wǎng)守14的信息而向防火墻10通知在所有使用合法協(xié)議的連接之中哪個外出連接被授權(quán)通過。
所述連接監(jiān)控器對網(wǎng)守14標識每個外出連接����,并且DNS網(wǎng)守14標識該外出連接是否執(zhí)行了DNS查詢。外出連接僅在被DNS網(wǎng)守14直接授權(quán)時才被允許離開本地網(wǎng)絡(luò)�;所述DNS網(wǎng)守一旦接收到來自DNS服務(wù)器13的一致性指示就發(fā)出連接授權(quán)指示。利用后面討論的一些異常��,僅當連接建立涉及DNS查找時����,DNS網(wǎng)守14才向控制單元12發(fā)出所述連接授權(quán)指示以允許防火墻上的各自的連接。DNS網(wǎng)守14使用任何適當?shù)膮f(xié)議來與控制單元12通信�����,其中所述協(xié)議可以例如是MidCom協(xié)議���。
假設(shè)主機20A嘗試合法地訪問本地網(wǎng)絡(luò)5外部的資源�;網(wǎng)守被監(jiān)控器18告知該新連接��。為了獲取感興趣的遠端資源的數(shù)字地址,主機20A發(fā)起有效的DNS查找�����。DNS服務(wù)器13利用所述遠端資源的數(shù)字IP地址來響應(yīng)主機20A����,并且還通過發(fā)出一致性指示信號來信號通知DNS網(wǎng)守14該請求是合法的��。在這點��,DNS網(wǎng)守14通過控制單元12指示防火墻10允許從主機20A到所請求的遠端數(shù)字IP地址的外出連接�。
在被感染的網(wǎng)絡(luò)主機的情況下,在圖1的例子中被感染的主機是主機20B���,存在于該主機上的惡意軟件(蠕蟲等)試圖通過感染其它機器來擴散���。為此,所述蠕蟲需要產(chǎn)生可能的遠端目標的IP地址���,這在不首先進行DNS查找的情況下是現(xiàn)時直接完成的�。因此�����,主機20B將在不產(chǎn)生DNS請求的情況下試圖連接到遠端資源。由于在沒有DNS網(wǎng)守14的明確許可的情況下沒有業(yè)務(wù)被允許通過本地防火墻10��,因此來自主機20B的連接將被認為是惡意行為并根據(jù)給定的策略而被處理?����,F(xiàn)在�����,告警報告單元16信號通知對該外出連接的拒絕�。
優(yōu)選地,所有惡意連接嘗試在沒有進一步處理的情況下而被立即終止�。這樣,系統(tǒng)100可以被配置用來阻止利用被允許網(wǎng)絡(luò)服務(wù)但在連接到遠端資源之前不進行合法DNS請求的所有惡意行為��?��?蛇x地���,執(zhí)行單元15可以請求已發(fā)起可疑外出連接的應(yīng)用程序驗證其自身。
然而�,存在不需要預先的DNS查找的合法連接��。這些可能包括例如對等業(yè)務(wù)��、遠端管理工具和具有嵌入式IP地址的網(wǎng)絡(luò)服務(wù)的本地客戶端�����。為解決這些情景,本發(fā)明建議使用DNS策略存儲庫17����,其處理不具有關(guān)聯(lián)DNS記錄的連接的合法異常。存儲庫17簡單地包括具有協(xié)議和端口的本地主機的白名單�����,其中該本地主機被允許在不進行DNS查找的情況下訪問遠端資源���。存儲庫17可以還基于更復雜的方法��。在拒絕新連接之前��,其中該新連接由連接監(jiān)控單元18信號通知但未從DNS服務(wù)器13接收到針對該連接的一致性信號���,DNS網(wǎng)守14查詢DNS策略存儲庫17���。如果與該連接關(guān)聯(lián)的端口/協(xié)議包括在白名單中,則所述連接授權(quán)指示仍然被發(fā)出��。然而���,系統(tǒng)100仍然容易受到利用DNS策略存儲庫17的白名單中所列出的服務(wù)的蠕蟲的攻擊(例如��,在允許所述服務(wù)情況下的對等蠕蟲)�����。
存在其它類型的合法異常����,其可以違反外出連接必須首先執(zhí)行DNS查找這一假設(shè)���。其中的兩種由系統(tǒng)100在沒有任何附加部件的情況下直接解決�。第一種是本地用戶試圖直接通過使用遠端資源的數(shù)字IP地址來訪問遠端資源的情況���,而第二種是網(wǎng)頁將其內(nèi)容的一些“外包(oursourcing)”給遠端服務(wù)器的情況�����。在第二種情況下���,所述網(wǎng)頁的HTML代碼可以包含具有所述網(wǎng)頁內(nèi)容的一部分(例如圖片)的遠端服務(wù)器的IP數(shù)字地址���。產(chǎn)生自任一情景的所有HTTP請求看上去是惡意行為,這是因為它們是朝向針對其沒有關(guān)聯(lián)DNS請求記錄的IP地址的新TCP連接��。連接監(jiān)控單元18識別這些連接����,并且強制控制單元12指示防火墻10在缺乏由DNS網(wǎng)守14產(chǎn)生的連接授權(quán)指示的情況下允許各自的外出連接���。
為了解決這個問題�����,連接監(jiān)控器18監(jiān)控TCP連接建立過程���。TCP在實際傳輸任何有效負載數(shù)據(jù)之前使用所謂的三次握手(Three-wayHandshake)初始化過程。以簡化的方式如下描述所述TCP三次握手過程��。首先��,想要啟動到遠端主機的TCP連接的主機,發(fā)出包含特定參數(shù)的SYN分組��。遠端主機接收該SYN并用也確認先前SYN的不同的SYN消息來作出響應(yīng)����。最終,發(fā)起方主機用最終的確認消息(ACK)來作出響應(yīng)��,并且可能已經(jīng)開始在該消息中附加一些有效負載數(shù)據(jù)�。在檢測到去往不具有關(guān)聯(lián)DNS記錄的數(shù)字IP地址的TCP連接之后,單元18使第一外出TCP SYN分組通過各自的連接�。然后,在接收到進入的SYN/ACK之后�����,將會有一個來自本地主機的�����、具有一些有效負載的外出ACK����。在這點上,如果所述控制單元檢測到所述有效負載是HTTP GET命令��,則將指示防火墻10讓該TCP流的剩余部分通過。如果所述有效負載不是HTTP GET���,則執(zhí)行單元15將假設(shè)所述連接嘗試是惡意的并且阻止該連接���。可選地�,連接監(jiān)控單元18可以代表所述惡意應(yīng)用而向遠端方發(fā)送TCP RESET。
由于無法預見但合法的非標準應(yīng)用行為�,可能需要推遲關(guān)于外出連接的判決直到第一有用有效負載從本地網(wǎng)絡(luò)被發(fā)往外部。例如��,要求訪問遠端資源的給定合法應(yīng)用可以發(fā)送TCP SYN分組����、等待遠端的TCP ACK�����,然后發(fā)送空的TCP SYN/ACK分組����、等待第二遠端TCP ACK并且然后僅發(fā)送真正的有效負載。
同樣�,執(zhí)行單元15可以用來連續(xù)監(jiān)控最近建立的TCP連接���,以確保存在對外出HTTP GET的有意義的響應(yīng),即連接的另一端確實是web服務(wù)器而不是蠕蟲已經(jīng)向其發(fā)送最初的假HTTP GET的另一個網(wǎng)絡(luò)服務(wù)��。應(yīng)當指出���,所述任務(wù)完全在當前HTTP代理的能力之內(nèi)����,并且其是與如Carleton小組提案所要求的探測網(wǎng)絡(luò)業(yè)務(wù)并針對HTML代碼中的任意匹配而準確分析該業(yè)務(wù)在完全不同的工作�。
系統(tǒng)100因而在蠕蟲能夠通過單個HTTP GET命令來擴散其自身的情況下是易受攻擊的。然而�����,如果需要�,防御這一非常具體的潛在威脅的機制并不難實現(xiàn)。
執(zhí)行單元15也可以具有檢測部件��,用于記錄被阻止的外出連接嘗試�����,并且向DNS網(wǎng)守14或入侵檢測系統(tǒng)(未示出)報告入侵的主機、所用的協(xié)議和端口以及所述連接的遠端目的地�����。所述檢測特性對于限制本地網(wǎng)路上的惡意行為來說并不是強制的���。
如上面所指出的�,發(fā)生在給定本地網(wǎng)絡(luò)5中的惡意行為不會被檢測到���,直到嘗試實現(xiàn)到本地網(wǎng)絡(luò)外部的數(shù)字IP地址的連接��。因此���,為了加快對本地網(wǎng)絡(luò)內(nèi)蠕蟲的檢測,可以使用如圖2所示的配置��。在這種情況下���,本地網(wǎng)絡(luò)被細分為小區(qū)5A、5B����、5C,每個小區(qū)使用本地DNS服務(wù)器13a、13b�、13c等,并且給定小區(qū)內(nèi)的每個網(wǎng)絡(luò)主機/資源使用各自的本地DNS服務(wù)器���。試圖在大型企業(yè)域內(nèi)從一個小區(qū)擴散到另一個小區(qū)的惡意應(yīng)用程序(例如蠕蟲)將被阻止并且被迅速檢測到����,這使得該企業(yè)內(nèi)的所有其它小區(qū)免于被感染�����。這種將本地網(wǎng)絡(luò)分為更小網(wǎng)絡(luò)小區(qū)的部署情景���,在今天的大型企業(yè)網(wǎng)絡(luò)內(nèi)已經(jīng)很普遍�。根據(jù)本發(fā)明�����,在這種情況下���,執(zhí)行單元15a����、15b等被部署在小區(qū)之間,并且在到外部網(wǎng)絡(luò)的接入處���。
下面考慮代表本地網(wǎng)絡(luò)應(yīng)用程序執(zhí)行DNS請求的代理服務(wù)器的情況��。在這種情況下���,所述執(zhí)行單元(代理)具有使得阻止判決可用的所有知識;不存在對分離的DNS網(wǎng)守的需要�����,如圖3所示����。到數(shù)字IP地址的所有外出連接嘗試都將被認為是可疑的并且被阻止,同時所有攜帶有效域名的外出連接將被允許�。
很可能將來會考慮到通過在每個連接嘗試之前執(zhí)行搶先的有效DNS請求而避開上面的解決方案,來設(shè)計蠕蟲�����。然而��,這個蠕蟲設(shè)計技術(shù)將對蠕蟲的功效增加顯著的缺點�����,例如針對蠕蟲需要產(chǎn)生有效域名而不是隨機數(shù)字IP地址����,并且需要獲得本地DNS服務(wù)器地址。此外����,這個技術(shù)將蠕蟲的傳播減緩很多倍,并且對本地DNS服務(wù)器具有顯著的影響�����。最終���,蠕蟲可能危及的遠端資源的數(shù)量將被嚴格地限制����。實際上����,僅僅具有合格域名的遠端主機現(xiàn)在是可到達的。這將排除在NAT之后的多數(shù)家庭寬帶用戶和企業(yè)網(wǎng)絡(luò)中的客戶端系統(tǒng)��。
權(quán)利要求
1.一種用于檢測并限制網(wǎng)絡(luò)惡意行為的系統(tǒng),其中所述網(wǎng)絡(luò)惡意行為源自本地網(wǎng)絡(luò)上的本地主機并且去往所述本地網(wǎng)絡(luò)外部的遠端主機���,該系統(tǒng)包括本地域名系統(tǒng)服務(wù)器�,用于從所述本地主機接收針對到所述遠端主機的外出連接的請求�����、完成域名系統(tǒng)查找以獲得所述遠端主機的互聯(lián)網(wǎng)協(xié)議地址����,以及產(chǎn)生一致性指示;以及本地執(zhí)行單元��,其被連接在所述本地網(wǎng)絡(luò)和所述遠端主機之間���,用于默認地阻止所述外出連接的建立����,直到其接收到所述一致性指示���。
2.根據(jù)權(quán)利要求1的系統(tǒng)�����,其還包括具有列表的域名系統(tǒng)策略存儲庫����,所述列表具有特定異常��,所述特定異常包括被允許在不進行域名系統(tǒng)查找的情況下訪問指定遠端資源的本地主機��。
3.根據(jù)權(quán)利要求2的系統(tǒng)����,其中,所述特定異常至少包括承載對等業(yè)務(wù)的連接��、來自具有嵌入式互聯(lián)網(wǎng)協(xié)議地址的本地主機的連接和遠端管理工具����。
4.根據(jù)權(quán)利要求2的系統(tǒng),其中�,所述本地執(zhí)行單元包括控制單元,用于阻止所述連接直到接收連接授權(quán)指示���,并且最終在缺乏所述連接授權(quán)指示的情況下拒絕所述請求����;連接監(jiān)控單元,用于確定所述外出連接是否是合法連接�����,并且指示所述控制單元只要所述外出連接是合法連接��、就在缺乏所述連接授權(quán)指示的情況下啟動所述外出連接���;以及域名系統(tǒng)網(wǎng)守�,用于基于所述一致性指示和所述特定異常列表來產(chǎn)生所述連接授權(quán)指示�����。
5.根據(jù)權(quán)利要求4的系統(tǒng)�����,其中��,如果所述本地主機合法地使用數(shù)字互聯(lián)網(wǎng)協(xié)議地址����,則所述外出連接是合法連接。
6.根據(jù)權(quán)利要求4的系統(tǒng),其中�����,如果所述本地主機向遠端服務(wù)器發(fā)送網(wǎng)頁�,則所述外出連接是合法連接。
7.根據(jù)權(quán)利要求1的系統(tǒng)�����,其中�,所述本地執(zhí)行單元包括代理服務(wù)器����,其用于阻止所述外出連接,開且基于所述一致性指示在所述外出連接攜帶有效域名請求的情況下�,不阻止所述外出連接;以及告警報告單元�����,其用于在所述請求最終被所述控制單元阻止的情況下產(chǎn)生告警�����,其中���,如果所述域名是有效的�,則所述代理服務(wù)器允許所述外出連接。
8.根據(jù)權(quán)利要求4的系統(tǒng)�����,其中���,所述控制單元控制用于防止未授權(quán)用戶的標準防火墻�����,以允許或阻止所述外出連接�����。
9.根據(jù)權(quán)利要求1的系統(tǒng)��,其還包括這樣的裝置用于記錄被阻止的外出連接并且報告請求各個被阻止連接的所有本地主機�。
10.一種用于檢測并限制網(wǎng)絡(luò)惡意行為的方法�����,其中所述網(wǎng)絡(luò)惡意行為源自本地網(wǎng)絡(luò)上的本地主機并且去往所述本地網(wǎng)絡(luò)外部的遠端主機,該方法包括以下步驟a)響應(yīng)于域名系統(tǒng)查找而產(chǎn)生一致性指示��,其中所述本地主機為獲得所述遠端主機的互聯(lián)網(wǎng)協(xié)議地址而在所述本地網(wǎng)絡(luò)的本地域名系統(tǒng)服務(wù)器中進行所述域名系統(tǒng)查找��;b)基于所述一致性指示和具有特定異常的列表����,利用執(zhí)行單元產(chǎn)生連接授權(quán)指示,其中所述特定異常包括被允許在不進行域名系統(tǒng)查找的情況下訪問指定遠端資源的本地主機����;以及c)默認地阻止所述外出連接的建立,直到接收所述連接授權(quán)指示����。
11.根據(jù)權(quán)利要求10的方法���,其還包括d)監(jiān)控所述外出連接的連接建立過程�,以確定所述外出連接是否是合法連接�����;以及e)只要所述外出連接是合法連接����,就在缺乏所述連接授權(quán)指示的情況下建立所述外出連接��。
12.根據(jù)權(quán)利要求1的方法�,其還包括將所述本地網(wǎng)絡(luò)分為小區(qū)���,并且為每個小區(qū)配備各自的本地域名系統(tǒng)服務(wù)器和執(zhí)行單元����,以限制惡意行為在小區(qū)內(nèi)的擴散���。
13.根據(jù)權(quán)利要求10的方法��,其還包括最終在缺乏所述連接授權(quán)指示的情況下阻止所述外出連接的建立����,并且只要所述請求最終被阻止就產(chǎn)生告警���。
14.根據(jù)權(quán)利要求13的方法����,其還包括記錄所有最終被阻止的外出連接���,并且報告請求各個被阻止連接的所有本地主機��。
15.根據(jù)權(quán)利要求10的系統(tǒng)���,其中所述特定異常至少包括承載對等業(yè)務(wù)的連接�、遠端管理工具和來自具有嵌入式互聯(lián)網(wǎng)協(xié)議地址的本地主機的連接����。
16.根據(jù)權(quán)利要求11的方法,其中����,如果所述本地主機向遠端服務(wù)器發(fā)送網(wǎng)面,則所述外出連接是合法連接��。
17.根據(jù)權(quán)利要求16的方法�����,其中步驟d)包括d1)識別由所述本地主機在交換SYN消息之后從所述遠端主機接收的確認消息�;d2)訪問由所述本地主機在接收所述確認消息之后發(fā)送的第一有效負載分組中的消息��;以及d3)如果所述第一有效負載分組中的消息是HTTP GET命令����,則將所述連接標記為合法連接���。
18.根據(jù)權(quán)利要求17的方法,其還包括���,如果所述第一有效負載分組中的消息不是HTTP GET命令����,則向所述遠端主機發(fā)送TCP RESET消息以終止所述連接建立過程����。
19.根據(jù)權(quán)利要求17的方法,其還包括d4)一旦建立所述外出連接就監(jiān)控它���,以確定對所述HTTP GET命令的響應(yīng)是否指示所述遠端主機是萬維網(wǎng)服務(wù)器�。
全文摘要
惡意網(wǎng)絡(luò)行為不使用域名系統(tǒng)(DNS)協(xié)議來到達本地網(wǎng)絡(luò)外部的遠端目標�。這個用于限制并檢測網(wǎng)絡(luò)惡意行為的基于DNS的執(zhí)行系統(tǒng),要求去往位于本地網(wǎng)絡(luò)外部的資源的每個連接都被例如防火墻或代理的本地執(zhí)行盒默認地阻止���。僅當由稱為DNS網(wǎng)守的實體直接授權(quán)時�����,外出連接才被允許離開本地網(wǎng)絡(luò)�。
文檔編號H04L12/26GK1901485SQ20061010643
公開日2007年1月24日 申請日期2006年7月24日 優(yōu)先權(quán)日2005年7月22日
發(fā)明者E·瓊斯 申請人:阿爾卡特公司