(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 201580079053.X
(22)申请日 2015.08.31
(85)PCT国际申请进入国家阶段日
2017.10.20
(86)PCT国际申请的申请数据
PCT/US2015/047691 2015.08.31
(87)PCT国际申请的公布数据
WO2017/039602 EN 2017.03.09
(71)申请人 慧与发展有限责任合伙企业
地址 美国德克萨斯州
(72)发明人 西蒙·伊恩·阿内尔
马科·卡萨萨·蒙特
约朗塔·贝雷斯纳 (74)专利代理机构 北京德琦知识产权代理有限公司 11018代理人 周丹 王珍仙(51)Int.Cl.H04L 29/12(2006.01)H04L 12/26(2006.01)
(54)发明名称
(57)摘要
示例涉及采集域名系统流量。在一个示例
收由在私有网络上操作的客户端计算设备所发
送的DNS查询包,DNS查询包指定i)查询域名,和 ii )指定客户端计算设备的源地址;在第一数据
存储设备中存储指定由DNS查询包指定的查询域
名和源地址的查询记录;从第二中间网络设备接
收DNS响应包;确定DNS响应包指定与查询域名相
匹配的响应域名;响应于该确定,从DNS响应包提
取与响应域名相对应的解析地址;并且在查询记
录中存储DNS响应包所指定的解析地址。权利要求书3页 说明书7页 附图4页CN 107534690 A 2018.01.02
C N 107534690
A
1.一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质用计算设备的硬件处理器可执行的指令编码以采集域名系统(DNS)流量,所述机器可读存储介质包括指令以使所述硬件处理器:
从第一中间网络设备接收由在私有网络上操作的客户端计算设备所发送的DNS查询包,所述DNS查询包指定i)查询域名,和ii)指定所述客户端计算设备的源地址;
在数据存储设备中存储指定由所述DNS查询包指定的所述查询域名和所述源地址的查询记录;
从第二中间网络设备接收DNS响应包;
确定所述DNS响应包指定与所述查询域名相匹配的响应域名;
响应于所述确定,从所述DNS响应包提取与所述响应域名相对应的解析地址;
在所述查询记录中存储由所述DNS响应包指定的所述解析地址。
2.根据权利要求1所述的存储介质,其中:
所述第一中间网络设备和所述第二中间网络设备包含在DNS流量通过的多个中间网络设备中;
所述指令进一步使所述硬件处理器:
给每个所述多个中间网络设备上的代理提供以下中的一个:
提供DNS流量给所述计算设备的指令;或忽略DNS流量的指令。
3.根据权利要求1所述的存储介质,其中所述指令进一步使所述硬件处理器:
基于所述私有网络的网络拓扑,标识至少一个其它中间网络设备,通过所述至少一个其它中间网络设备对所述DNS查询包进行路由;和
给每个所述至少一个其它中间网络设备上面的代理提供将DNS流量列入白名单的指令。
4.根据权利要求3所述的存储介质,其中所述指令进一步使所述硬件处理器:
基于所述私有网络的所述网络拓扑,确定遍历所述第一中间网络设备的DNS流量也遍历每个所述至少一个其它中间网络设备,且其中响应于确定遍历所述第一中间网络设备的DNS流量也遍历每个所述至少一个其它中间网络设备,给每个代理提供将DNS流量列入白名单的指令。
5.根据权利要求1所述的存储介质,其中所述指令进一步使所述硬件处理器:
从安全事件处理器接收标识恶意域地址的数据;
确定所述恶意域地址与所述查询记录中存储的所述解析地址相匹配;
响应于所述确定,给所述安全事件处理器提供标识由所述查询记录指定的所述源地址的数据。
6.根据权利要求1所述的存储介质,其中所述DNS响应包未指定特定客户端计算设备的源地址。
7.根据权利要求1所述的存储介质,其中所述指令进一步使所述硬件处理器:
对于所述查询记录获得与以下中的一个相关联的额外信息:
所述查询域名;
所述源地址;或
所述解析地址;并
在所述存储记录中存储所述额外信息。
8.一种用于采集域名系统(DNS)流量的计算设备,所述计算设备包括:
硬件处理器;和
存储指令的数据存储设备,所述指令由所述硬件处理器执行时使所述硬件处理器:标识多个中间网络设备,DNS流量通过所述多个中间网络设备在客户端计算机设备与DNS服务器之间流动;
给所述多个中间网络设备的第一中间网络设备上的第一代理提供捕获DNS查询包的指令;
给所述多个中间网络设备的第二中间网络设备上的第二代理提供捕获DNS响应包的指令;
给所述多个中间网络设备中包含的每个其它中间网络设备上的代理提供忽略DNS流量的指令;
从所述第一中间网络设备接收由所述客户端计算设备发送的DNS查询包,所述DNS查询包指定i)查询域名;和ii)指定所述客户端计算设备的源地址;
在数据存储设备中存储指定由所述DNS查询包指定的所述查询域名和所述源地址的查询记录;
从所述第二中间网络设备接收DNS响应包;
确定所述DNS响应包指定与所述查询域名相匹配的响应域名;
响应于所述确定,从所述DNS响应包提取与所述响应域名相对应的解析地址;
在所述查询记录中存储由所述DNS响应包所指定的所述解析地址。
9.根据权利要求8所述的计算设备,其中所述指令进一步使所述硬件处理器:
标识至少一个其它中间网络设备,基于包括所述客户端计算设备、所述第一中间网络设备和所述第二中间网络设备的私有网络的网络拓扑、通过所述至少一个其它中间网络设备对所述DNS查询包进行路由;且
给每个所述至少一个其它中间网络设备上面的代理提供将DNS流量列入白名单的指令。
10.根据权利要求8所述的计算设备,其中所述指令进一步使所述硬件处理器:
基于所述私有网络的所述网络拓扑,确定遍历所述第一中间网络设备的DNS流量也遍历每个所述至少一个其它中间网络设备,其中响应于确定遍历所述第一中间网络设备的DNS流量也遍历每个所述至少一个其它中间网络设备,给每个代理提供将DNS流量列入白名单的指令。
11.根据权利要求8所述的计算设备,其中所述指令进一步使所述硬件处理器:
从安全事件处理器接收标识恶意域地址的数据;
确定所述恶意域地址与所述查询记录中存储的所述解析地址相匹配;
响应于所述确定,给所述安全事件处理器提供标识由所述查询记录指定的所述源地址的数据。
12.一种通过硬件处理器实现的、用于采集域名系统(DNS)流量的方法,所述方法包括:
从第一中间网络设备接收由在私有网络上操作的客户端计算设备所发送的DNS查询包,所述DNS查询包指定i)查询域名;和ii)指定所述客户端计算设备的源地址;
在数据存储设备中,存储指定由所述DNS查询包指定的所述查询域名和所述源地址的查询记录;
从第二中间网络设备接收DNS响应包;
确定所述DNS响应包指定与所述查询域名相匹配的响应域名;
响应于所述确定,从所述DNS响应包提取与所述响应域名相对应的解析地址;
在所述查询记录中,存储由所述DNS响应包指定的所述解析地址;
标识至少一个其它中间网络设备,基于包括所述客户端计算设备、所述第一中间网络设备和所述第二中间网络设备的所述私有网络的网络拓扑,通过所述至少一个其它中间网络设备对所述DNS查询包进行路由;
给每个所述至少一个其它中间网络设备上面的代理提供将DNS流量列入白名单的指令。
13.根据权利要求12所述的方法,其中:
所述第一中间网络设备、所述第二中间网络设备和每个所述至少一个其它中间网络设备包含在DNS流量通过的多个中间网络设备中;
所述方法进一步包括:
给每个所述多个中间网络设备上面的代理提供以下中的一个:
提供DNS流量给所述计算设备的指令;或
忽略DNS流量的指令。
14.根据权利要求12所述的方法,进一步包括:
基于所述私有网络的所述网络拓扑,确定遍历所述第一中间网络设备的DNS流量也遍历每个所述至少一个其它中间网络设备,其中响应于确定遍历所述第一中间网络设备的DNS流量也遍历每个所述至少一个其它中间网络设备,给每个代理提供将DNS流量列入白名单的指令。
15.根据权利要求12所述的方法,进一步包括:
从安全事件处理器接收标识恶意域地址的数据;
确定所述恶意域地址与所述查询记录中存储的所述解析地址相匹配;
响应于所述确定,给所述安全事件处理器提供标识由所述查询记录指定的所述源地址的数据。
采集域名系统流量背景技术
[0001]计算机网络和在其上操作的设备时常因各种原因遭遇问题,例如因错误配置、软件缺陷以及恶意的网络和计算设备攻击。在网络服务工业中,例如服务供应商提供在私有网络上操作的计算资源以为各种用户使用,私有网络的大小及复杂性可能使得难以检测网络引起的问题。例如,在能够标识并处理恶意行为之前,受损的计算设备可以以恶意方式在私有网络内长时间操作。
附图说明
[0002]下面的具体描述参考了附图,其中:
[0003]图1为用于采集域名系统流量的示例性计算设备的框图。
[0004]图2为用于采集域名系统流量的示例性数据流。
[0005]图3为用于提供采集域名系统流量的指令的示例性数据流。
[0006]图4为用于采集域名系统流量的示例性方法的流程图。
具体实施方式
[0007]可以通过采集域名系统(DNS)流量来标识可能有问题的网络活动。可以从各种计算设备选择性获取DNS查询及响应,且其与例如标识及存储涉及整个网络DNS流量的各种信息相关联。选择性从网络中各种源获取DNS流量信息的能力允许网络管理员监控DNS流量,对网络延迟和存储需求的影响相对轻。
[0008]举例来说,计算机设备可以与在用于整个私有网络的诸如路由器、开关和递归解析器的中间网络设备中所实现的代理进行通信。计算设备可以给各代理提供使中间网络设备转发DNS包给计算设备或忽略DNS包的指令。指令可能取决于网络拓扑。例如,DNS查询包可以由第一中间网络设备的代理提供给计算设备,查询包由一个以上客户端计算设备提供给第一中间网络设备。可以指导每个其它中间网络设备,例如那些不直接从客户端计算设备接收DNS查询包的中间网络设备的代理以忽略DNS查询包。DNS响应包可以由任一中间网络设备获得,例如取决于网络拓扑和/或此类采集可能对延迟产生的期望影响。
[0009]计算设备可以创建用于各DNS查询的查询记录。各查询记录可以包括例如DNS查询所源自的客户
端计算设备的地址以及查询的域名,例如“ample ”。由计算设备获得的DNS响应包可以与查询记录相关联,例如通过将查询的查询记录的域名与查询的DNS响应包所指定的域名相匹配。当标识到匹配时,可以更新查询记录,例如通过将查询域名的解析地址添加到查询记录。
[0010]查询记录可以用于例如各种诊断和/或分析目的。在将解析的IP地址标识为恶意的情况下,查询记录可以用于标识哪些客户端设备查询恶意域。在一些实施例中,可以获得额外数据,并存储在查询记录里。例如,可以标识与DNS查询所源自的客户端计算设备相关联的主机,并存储在查询记录里,例如以标识使用多个客户端计算设备的可能恶意的主机。在随后的段落中进一步具体地描述DNS流量的采集及其可能用途。
说 明 书
1/7页CN 107534690 A
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议