专利名称:用于限制并检测网络恶意行为的基于域名系统的执行的制作方法
技术领域:
本发明涉及通信网络,并且特别涉及用于限制并检测网络恶意行为的基于域名系统(DNS)的执行。
背景技术:
最初的互联网协议TCP/IP是基于系统用户严格合法地连接到网络而设计的;因此,没有专门考虑安全问题。然而在近年,互联网上恶意攻击的发生率已增长到令人担忧的比率。在各种类别的攻击之中,可以提到拒绝服务(DoS)攻击,它涉及阻止某人在网络上使用给定服务的能力,可以呈现各种形式,并且通常导致目标受害者的服务完全崩溃。其它威胁包括病毒、蠕虫、系统入侵、电子欺骗、数据/网络破坏、数据窃取、用受害者的服务器无法应付的许多业务来对受害者进行泛洪攻击,等等。
计算机病毒是通过被复制或者将其复制品引入另一程序、计算机开机区或文档而复制自身的程序或编程代码,它以各种方式穿越网络进行复制。病毒可以被看作是这样的DoS攻击受害者通常不是具体指定的,而只是不够幸运的主机得到该病毒。根据特定的病毒,拒绝服务几乎很难察觉,它始终涉及灾难。病毒可以作为电子邮件的附件或在下载文件中被传送,或者出现在磁盘或CD上。一些病毒一旦其代码被执行就实施其效果;其它病毒处于休眠状态直到环境导致其代码被计算机执行。一些病毒在目的和效果上是良性的,而一些却相当有害,它删除数据或致使你的硬盘需要重新格式化。
通过作为电子邮件附件或作为网络消息的一部分重新发送自身来复制其自身的病毒称为蠕虫。蠕虫使用操作系统的一些部分,这些部分是自动的并且通常对于用户是不可见的。蠕虫通常仅当其不受控的复制消耗系统资源从而减缓或中断其它任务时才被察觉到。蠕虫通过利用应用程序和系统软件中的已知和先前未知的软件漏洞二者进行操作,并且迅速地穿越网络传播。通过劫持典型地利用许多全球许可而运行的可信应用程序,蠕虫可以获得对系统资源的完全访问并导致完全的系统危害,所述可信应用程序例如是web(万维网)服务器、邮件传送代理和登录服务器。
蠕虫和病毒困扰如今的数据网络,并且它们现在已经是多年的问题了(莫里斯(Morris)蠕虫、红色代码等)。不幸地是,由于宽带连接的增长速度和普及,这些攻击在频率、严重性和复杂度上都在增长。这些恶意网络攻击通过拒绝企业和小型办公/家庭网络为其客户服务的能力而特别危害这些网络,其导致销售和广告收入的损失;赞助人也会寻求竞争的可选方案。同样知道,这种类型的网络可能被利用并然后形成另外的恶意行为的源。同样知道,蠕虫可能比当前已经发现的更加恶意。因此,可能构造超级致命的活动蠕虫,其能够在大约15分钟到一个小时内感染所有有漏洞的主机,并且可以在人们作出反应之前导致最大的破坏。通过使用优化的扫描例程、针对最初传播的hitlist扫描和针对完全的、自协同的覆盖的permutation扫描,可以构建这些蠕虫。
目前,为保护它们的网络和系统,企业部署分层的防御模型。其包括防火墙、反病毒系统、访问管理和入侵检测系统(IDS),以及依赖于修补和对安全威胁作出反应的连续循环。防御模型已经存在许多年,并且至今还没有一个能够实现用较少的关联成本和烦扰来提供对所有攻击的完全保护的最终目标。
防火墙是阻止恶意行为扩散到给定网络或阻止来自给定网络的恶意行为的重要组件。多数大型公司在适当的位置具有防火墙,并且安全专家仍然认为它们应当构成公司IT安全策略中的第一防线。当前部署的防火墙仅在它们具有蠕虫指定签名、具有必要的分析准确度或如果蠕虫试图使用被阻止端口或协议的情况下,才能够阻止蠕虫。
基于蠕虫签名的检测系统是基于网络(或每个主机)、装置,其中该装置在线处理(sit in-line with)网络业务并且对照已知的蠕虫签名来检查每个IP分组。通常这些解决方案还依赖于对照带宽配置文件(bandwidthprofile)来检查业务流。这项技术的例子包括在网址http://www.juniper.net/products/intrusion/中所描述的Juniper的Netscreen Intrusion Detection Prevention;在网址http://www.tippingpoint.com/technology filters.html中所描述的TippingPoint的UnityOne;和http://sourceforge.net/projects/snort-inline/中所描述的Snort-Inline,等等。
通用在线入侵防御系统(IPS)还依赖于签名和流测量,以检测并阻止网络中的恶意行为,因此它们的能力限于阻止零日(zero-day)蠕虫。此外,如果它们的检测算法是基于统计观测结果(例如流的带宽、每个主机的激活端口数目等),则在IPS系统能够开始阻止蠕虫之前要花费一些时间。由于该时间窗,企业应当对蠕虫的扩散负责。另一方面,所提出的发明通过在恶意行为进行第一次尝试时阻止这个没有关联签名的恶意行为,来克服所述“零日”和“时间窗”问题。
然而,由于建立一种直到发生攻击才识别恶意SW的策略是不可行的,因此签名和行为监控技术在新的蠕虫首次穿越互联网扩散时是无效的。签名和策略可以被周期地更新,但仅是在蠕虫或其它恶意SW已被识别并被研究之后。签名监控技术在新的蠕虫首次穿越互联网扩散时是无效的。在“好的”和“坏的”代码的身份或行为之间进行区分也极其困难。这导致大量“错误肯定”,其将许多防御系统的目的限于检测事件而不是防止它们。
此外,签名和行为监控技术二者都允许在攻击的开始和它的检测之间的时间间隔,所以通过监控运行的应用程序的行为,到检测到破坏性行为的时候,所述应用程序已经被危害并且恶意代码已经在运行。这个时间间隔表示在被攻击的接入链路上操作的网络的漏洞窗。
最重要地,防火墙不能阻止一切;它们被配置用来允许特定类别或类型的数据进入受保护的网络。利用允许通过防火墙的服务的每个恶意行为成功地扩散。因此,防火墙可能不再足以保护公司网络以免于利用防火墙允许的协议中的漏洞的病毒、系统渗透、电子欺骗、数据和网络破坏和拒绝服务攻击。为解决这个问题,当前正在设计新的技术。
D.White,E.Kranakis、P.C.van Ooschot(加拿大安大略渥太华Carleton大学计算机科学学院)在题为“DNS-based Detection of ScanningWorms in an Enterprise Network”的论文中,描述了基于DNS(域名系统)的网络安全技术,该论文发表在2005年2月3-4日于美国圣地亚哥举行的第十二届年度网络和分布式系统安全研讨会的会议录中。该论文中的提议是基于在建立新连接之前监控DNS活动。扫描蠕虫使用相应于IP地址的32位随机数来进行感染尝试,因此它不使用DNS协议进行地址转换(从混合符号名称到各个IP地址)。
Carleton团队使用持续观测网络业务的分组处理引擎(PPE,PacketProcessing Engine)来寻找新的外出的TCP连接和UDP分组。所捕获的业务被传递到DNS相关引擎(DCE,DNS Correlation Engine),在该DNS相关引擎,对照最近发生的DNS查找和具有不依赖于DNS的合法应用和服务的白名单(whitelist)来检查所述业务。如果TCP连接正试图在没有关联的DNS查找记录的情况下访问互联网,则该连接被认为是反常的,并且系统将发出告警。DCE从本地DNS接收DNS查找信息。它还从PPE单元接收所允许的嵌入式数字IP地址,这针对所述目也是分析HTTP业务。
然而,由Carleton团队开展的工作限于蠕虫检测,而并不防止蠕虫的扩散。明显地,到本地网络以外的主机的一个成功的恶意连接,意味着蠕虫已成功地扩散。这意味着,即使企业网络正在使用这个基于DNS的检测机制来激活一些过滤器以阻止蠕虫扩散,该企业仍应当在从检测到作出反应的时间窗期间对该蠕虫导致的破坏负责。此外,由Carleton团队提出的解决方案需要一个或多个这样的网络装置其能够通过深入的分组检查来实时分析在每个出口点离开企业的所有业务。这些业务分析器中每一个都必须执行线路速率的准确HTML分析。
在自防御网络的范围内,Cisco已提出称为网络准入控制(NAC,Network Admission Control)的技术,该技术可以在下面的网址找到http://www.cisco.com/warp/public/cc/so/neso/sqso/csdni wp.htm,该技术减轻了蠕虫和类似恶意行为在企业网络内的扩散。所述思想依赖于安全策略在连接到给定企业网络的任何端点上的执行。Cisco NAC仅对顺应且可信的主机准予网络访问,而限制不顺应主机的访问。所述准入判决可以基于几个参数,例如主机的反病毒状态和操作系统的补丁级别。如果主机是不顺应的,其可以被置于隔离区或被准予对网络资源的最低限度的访问。
Cisco的NAD可以被看作是间接的蠕虫限制方法。事实上,NAC的目标是确保连接到企业网络的所有机器都运行更新的反病毒软件和最新的OS补丁。这并不阻止零日蠕虫从企业网络扩散到互联网。由NAC提供的安全取决于企业策略和反病毒软件的准确度。此外,在针对指定蠕虫的补丁存在但其由于操作问题而不能被使用的所有情况下,NAC是无效的。
Alcatel公司还使用自动隔离引擎(AQE,Automated QuarantineEngine),其是有些类似于NAC的解决方案,但它依赖于收集自入侵检测和防御系统的信息并动态地重新配置网络以限制恶意行为,而不是直接检验连接到网络的主机上的安全策略。如在网址http://www.home.alcatel.com/vpr/vpr.nsf/DateKey/16082004_2uk中所描述的,一旦检测到攻击,AQE就定位入侵者并且实现网络响应。在病毒或蠕虫攻击的情况下,AQE将被感染的设备置入应用于网络边缘的Alcatel隔离VLAN中。利用AQE,被感染的设备被记入黑名单(blacklist),即使感染的入侵者移动到另一位置。
然而,Alcatel的AQE完全依赖于第三方入侵检测系统(IDS)来封锁被感染的主机。这个解决方案受IDS系统准确度以及蠕虫签名的需要的限制。此外,蠕虫在被感染主机的检测和隔离之间的时间窗期间,仍然能够感染企业网络外部的其它主机。这个时间窗的范围很大程度上取决于由第三方IDS使用的检测机制。所提出的解决方案不依赖于任何第三方IDS或任何先前存在的签名来限制恶意行为。
一般地,所有现代技术都涉及签名、策略或训练的组合,以区分好的和坏的代码,建立通常较复杂并且需要时间来跨越服务器进行。需要进行中的调整和定制,以保持与最近的漏洞同步并且也减少对恶意攻击的“错误肯定”和“错误否定”标识的发生。
IP网络的可靠性和安全在这样的领域内是基本的计算机网络是实体内和实体间通信和事务的关键单元。因此,需要提供一种用于在易于安装和维护的网络中限制并检测恶意行为(例如互联网蠕虫)的系统。
发明内容
本发明的目的是提供一种用于检测并限制网络恶意行为的基于DNS的执行系统,其完全或部分地减少了现有技术安全执行和检测系统的缺点。
因此,本发明提供了一种系统用于检测并限制网络恶意行为,其中该网络恶意行为源自本地网络上的本地主机并且去往该本地网络外部的远端主机,该系统包括本地域名服务器(DNS),该服务器用于从本地主机接收针对到远端主机的外出连接的请求、完成DNS查找以获得该远端主机的IP地址,并且产生一致性指示;以及本地执行单元,其被连接在本地网络和远端主机之间,用于默认地阻止所述外出连接的建立,直到它接收到所述一致性指示。
本发明还提供了一种方法用于检测并限制网络恶意行为,其中该网络恶意行为源自本地网络上的本地主机并且去往该本地网络外部的远端主机,该方法包括以下步骤a)响应于由本地主机为获得远端主机的IP地址而在本地网络上的本地域名系统(DNS)服务器中进行的DNS查找,来产生一致性指示;b)基于所述一致性指示和具有特定异常的列表来利用执行单元产生连接授权指示,其中所述特定异常包括允许在不进行DNS查找的情况下访问指定远端资源的本地主机;以及c)默认地阻止所述外出连接的建立,直到接收所述连接授权指示。
不像上述Carleton团队的基于DNS的解决方案,本发明的系统不仅检测网络恶意行为,而且在该行为首次尝试离开给定网络时阻止它们。记录被阻止的外出连接尝试也揭示了网络中恶意行为的出现。因此,企业网络可以免于对特定类别的蠕虫(即那些不进行DNS查找的蠕虫)穿越互联网扩散的责任,并且同时可以在恶意行为发生时立即察觉到。
这样,本发明具有防止并检测恶意行为在本地网络外部扩散的双重优点。检测网络中的恶意行为的优点是显而易见的,因此不对其进行进一步讨论。防止网络恶意行为的扩散的优点是双重的。首先,在被逻辑地分成小区的大型网络的情况下,防止恶意行为的扩散意味着仅一个小区而不是整个网络的安全被危及。其次,如果没有部署限制机制,则企业从民法观点来说应当对传播蠕虫负责。可以证实,对恶意网络行为的限制和检测在网络设备市场中是增值的区分(differentiator)。
本发明系统的另一优点在于,它不依赖于签名,该签名在处理大量且不断变化的恶意行为事件时会在操作上变得势不可挡,所述系统也不需要产生并保持更新的签名的关联负担。它也不依赖于例如网络“探测器(sniffer)”的不便利的单元和技术,但是仅依赖于在标准代理和防火墙内已经可用的知识。此外,所提出的解决方案不需要准确分析所有HTTP消息来寻找嵌入式数字IP地址,这将触发异常,如Carleton团队的基于DNS的解决方案所要求的。
由于其能够有效地阻止零日恶意网络行为,因此所提出的发明是对如NAC的解决方案的补充。
最后,所介绍的解决方案不限于任何特定的实现,这使得所述思想是极其灵活且有利的解决方案。
根据下面对如附图所示的优选实施例的详细描述,本发明的上述及其它的目的、特征和优点将是显而易见的,其中-图1示出了根据本发明的基于DNS的执行系统的实施例的框图;-图2示出了其中本地网络被分为小区的基于DNS的执行系统的框图;以及-图3示出了使用代理的基于DNS的执行系统的另一实施例的框图。
具体实施例方式
在下文中,术语“网络恶意行为”是指蠕虫、病毒、群发邮件蠕虫、自动攻击工具-DDoS僵尸(zombie)、远程访问木马(Remote AccessTrojan)所使用的秘道程式码(convert channel)、或对网络及其操作造成安全风险的类似威胁。“本地网络”是指这样的受限网络环境其依赖于一个或多个本地DNS服务器,并且具有一个或多个到另一网络(例如互联网)的受保护接入。
图1示出了根据本发明的基于DNS的执行系统100的实施例的框图。在这个例子中,本地网络5的主机20A、20B经由执行单元15连接到互联网1。主机20A和20B能够同时访问感兴趣的“内部”和“外部”资源。系统100要求朝向位于本地网路外部的资源的每个连接被本地执行单元15默认地阻止。
图1还示出了DNS服务器13,其为每个合法的外出连接请求提供在节点/主机的数字IP地址和相应混合符号名称之间的映射。系统100基于这样的概念恶意网络行为不利用DNS协议来到达本地网络外部的远端目标。当DNS服务器13接收到查找请求时,它将向所述执行单元发出一致性指示,以指示针对来自本地网络5上主机的外出连接的请求是合法的连接。
在图1的实施例中,执行单元15包括防火墙10、控制单元12、DNS网守(Gatekeeper)14、连接监控单元18和告警报告单元16。如上面所指出的,标准防火墙仅能够阻止这样的蠕虫其具有指定签名,或如果该蠕虫试图使用被阻止的端口或协议;利用被允许通过所述标准防火墙的服务的每个恶意行为将成功地扩散。然而,防火墙10不需要签名(并且保持所述签名被更新)来结合图1的系统进行操作,它也不依赖于网络“探测器”,它也不需要分析HTML消息以寻找嵌入式数字IP地址。此外,防火墙10能够保留普通行业可用的防火墙的所有功能和特性(包括基于签名的阻止)。控制单元12基于来自DNS网守14的信息而向防火墙10通知在所有使用合法协议的连接之中哪个外出连接被授权通过。
所述连接监控器对网守14标识每个外出连接,并且DNS网守14标识该外出连接是否执行了DNS查询。外出连接仅在被DNS网守14直接授权时才被允许离开本地网络;所述DNS网守一旦接收到来自DNS服务器13的一致性指示就发出连接授权指示。利用后面讨论的一些异常,仅当连接建立涉及DNS查找时,DNS网守14才向控制单元12发出所述连接授权指示以允许防火墙上的各自的连接。DNS网守14使用任何适当的协议来与控制单元12通信,其中所述协议可以例如是MidCom协议。
假设主机20A尝试合法地访问本地网络5外部的资源;网守被监控器18告知该新连接。为了获取感兴趣的远端资源的数字地址,主机20A发起有效的DNS查找。DNS服务器13利用所述远端资源的数字IP地址来响应主机20A,并且还通过发出一致性指示信号来信号通知DNS网守14该请求是合法的。在这点,DNS网守14通过控制单元12指示防火墙10允许从主机20A到所请求的远端数字IP地址的外出连接。
在被感染的网络主机的情况下,在图1的例子中被感染的主机是主机20B,存在于该主机上的恶意软件(蠕虫等)试图通过感染其它机器来扩散。为此,所述蠕虫需要产生可能的远端目标的IP地址,这在不首先进行DNS查找的情况下是现时直接完成的。因此,主机20B将在不产生DNS请求的情况下试图连接到远端资源。由于在没有DNS网守14的明确许可的情况下没有业务被允许通过本地防火墙10,因此来自主机20B的连接将被认为是恶意行为并根据给定的策略而被处理。现在,告警报告单元16信号通知对该外出连接的拒绝。
优选地,所有恶意连接尝试在没有进一步处理的情况下而被立即终止。这样,系统100可以被配置用来阻止利用被允许网络服务但在连接到远端资源之前不进行合法DNS请求的所有恶意行为。可选地,执行单元15可以请求已发起可疑外出连接的应用程序验证其自身。
然而,存在不需要预先的DNS查找的合法连接。这些可能包括例如对等业务、远端管理工具和具有嵌入式IP地址的网络服务的本地客户端。为解决这些情景,本发明建议使用DNS策略存储库17,其处理不具有关联DNS记录的连接的合法异常。存储库17简单地包括具有协议和端口的本地主机的白名单,其中该本地主机被允许在不进行DNS查找的情况下访问远端资源。存储库17可以还基于更复杂的方法。在拒绝新连接之前,其中该新连接由连接监控单元18信号通知但未从DNS服务器13接收到针对该连接的一致性信号,DNS网守14查询DNS策略存储库17。如果与该连接关联的端口/协议包括在白名单中,则所述连接授权指示仍然被发出。然而,系统100仍然容易受到利用DNS策略存储库17的白名单中所列出的服务的蠕虫的攻击(例如,在允许所述服务情况下的对等蠕虫)。
存在其它类型的合法异常,其可以违反外出连接必须首先执行DNS查找这一假设。其中的两种由系统100在没有任何附加部件的情况下直接解决。第一种是本地用户试图直接通过使用远端资源的数字IP地址来访问远端资源的情况,而第二种是网页将其内容的一些“外包(oursourcing)”给远端服务器的情况。在第二种情况下,所述网页的HTML代码可以包含具有所述网页内容的一部分(例如图片)的远端服务器的IP数字地址。产生自任一情景的所有HTTP请求看上去是恶意行为,这是因为它们是朝向针对其没有关联DNS请求记录的IP地址的新TCP连接。连接监控单元18识别这些连接,并且强制控制单元12指示防火墙10在缺乏由DNS网守14产生的连接授权指示的情况下允许各自的外出连接。
为了解决这个问题,连接监控器18监控TCP连接建立过程。TCP在实际传输任何有效负载数据之前使用所谓的三次握手(Three-wayHandshake)初始化过程。以简化的方式如下描述所述TCP三次握手过程。首先,想要启动到远端主机的TCP连接的主机,发出包含特定参数的SYN分组。远端主机接收该SYN并用也确认先前SYN的不同的SYN消息来作出响应。最终,发起方主机用最终的确认消息(ACK)来作出响应,并且可能已经开始在该消息中附加一些有效负载数据。在检测到去往不具有关联DNS记录的数字IP地址的TCP连接之后,单元18使第一外出TCP SYN分组通过各自的连接。然后,在接收到进入的SYN/ACK之后,将会有一个来自本地主机的、具有一些有效负载的外出ACK。在这点上,如果所述控制单元检测到所述有效负载是HTTP GET命令,则将指示防火墙10让该TCP流的剩余部分通过。如果所述有效负载不是HTTP GET,则执行单元15将假设所述连接尝试是恶意的并且阻止该连接。可选地,连接监控单元18可以代表所述恶意应用而向远端方发送TCP RESET。
由于无法预见但合法的非标准应用行为,可能需要推迟关于外出连接的判决直到第一有用有效负载从本地网络被发往外部。例如,要求访问远端资源的给定合法应用可以发送TCP SYN分组、等待远端的TCP ACK,然后发送空的TCP SYN/ACK分组、等待第二远端TCP ACK并且然后仅发送真正的有效负载。
同样,执行单元15可以用来连续监控最近建立的TCP连接,以确保存在对外出HTTP GET的有意义的响应,即连接的另一端确实是web服务器而不是蠕虫已经向其发送最初的假HTTP GET的另一个网络服务。应当指出,所述任务完全在当前HTTP代理的能力之内,并且其是与如Carleton小组提案所要求的探测网络业务并针对HTML代码中的任意匹配而准确分析该业务在完全不同的工作。
系统100因而在蠕虫能够通过单个HTTP GET命令来扩散其自身的情况下是易受攻击的。然而,如果需要,防御这一非常具体的潜在威胁的机制并不难实现。
执行单元15也可以具有检测部件,用于记录被阻止的外出连接尝试,并且向DNS网守14或入侵检测系统(未示出)报告入侵的主机、所用的协议和端口以及所述连接的远端目的地。所述检测特性对于限制本地网路上的恶意行为来说并不是强制的。
如上面所指出的,发生在给定本地网络5中的恶意行为不会被检测到,直到尝试实现到本地网络外部的数字IP地址的连接。因此,为了加快对本地网络内蠕虫的检测,可以使用如图2所示的配置。在这种情况下,本地网络被细分为小区5A、5B、5C,每个小区使用本地DNS服务器13a、13b、13c等,并且给定小区内的每个网络主机/资源使用各自的本地DNS服务器。试图在大型企业域内从一个小区扩散到另一个小区的恶意应用程序(例如蠕虫)将被阻止并且被迅速检测到,这使得该企业内的所有其它小区免于被感染。这种将本地网络分为更小网络小区的部署情景,在今天的大型企业网络内已经很普遍。根据本发明,在这种情况下,执行单元15a、15b等被部署在小区之间,并且在到外部网络的接入处。
下面考虑代表本地网络应用程序执行DNS请求的代理服务器的情况。在这种情况下,所述执行单元(代理)具有使得阻止判决可用的所有知识;不存在对分离的DNS网守的需要,如图3所示。到数字IP地址的所有外出连接尝试都将被认为是可疑的并且被阻止,同时所有携带有效域名的外出连接将被允许。
很可能将来会考虑到通过在每个连接尝试之前执行抢先的有效DNS请求而避开上面的解决方案,来设计蠕虫。然而,这个蠕虫设计技术将对蠕虫的功效增加显著的缺点,例如针对蠕虫需要产生有效域名而不是随机数字IP地址,并且需要获得本地DNS服务器地址。此外,这个技术将蠕虫的传播减缓很多倍,并且对本地DNS服务器具有显著的影响。最终,蠕虫可能危及的远端资源的数量将被严格地限制。实际上,仅仅具有合格域名的远端主机现在是可到达的。这将排除在NAT之后的多数家庭宽带用户和企业网络中的客户端系统。
权利要求
1.一种用于检测并限制网络恶意行为的系统,其中所述网络恶意行为源自本地网络上的本地主机并且去往所述本地网络外部的远端主机,该系统包括本地域名系统服务器,用于从所述本地主机接收针对到所述远端主机的外出连接的请求、完成域名系统查找以获得所述远端主机的互联网协议地址,以及产生一致性指示;以及本地执行单元,其被连接在所述本地网络和所述远端主机之间,用于默认地阻止所述外出连接的建立,直到其接收到所述一致性指示。
2.根据权利要求1的系统,其还包括具有列表的域名系统策略存储库,所述列表具有特定异常,所述特定异常包括被允许在不进行域名系统查找的情况下访问指定远端资源的本地主机。
3.根据权利要求2的系统,其中,所述特定异常至少包括承载对等业务的连接、来自具有嵌入式互联网协议地址的本地主机的连接和远端管理工具。
4.根据权利要求2的系统,其中,所述本地执行单元包括控制单元,用于阻止所述连接直到接收连接授权指示,并且最终在缺乏所述连接授权指示的情况下拒绝所述请求;连接监控单元,用于确定所述外出连接是否是合法连接,并且指示所述控制单元只要所述外出连接是合法连接、就在缺乏所述连接授权指示的情况下启动所述外出连接;以及域名系统网守,用于基于所述一致性指示和所述特定异常列表来产生所述连接授权指示。
5.根据权利要求4的系统,其中,如果所述本地主机合法地使用数字互联网协议地址,则所述外出连接是合法连接。
6.根据权利要求4的系统,其中,如果所述本地主机向远端服务器发送网页,则所述外出连接是合法连接。
7.根据权利要求1的系统,其中,所述本地执行单元包括代理服务器,其用于阻止所述外出连接,开且基于所述一致性指示在所述外出连接携带有效域名请求的情况下,不阻止所述外出连接;以及告警报告单元,其用于在所述请求最终被所述控制单元阻止的情况下产生告警,其中,如果所述域名是有效的,则所述代理服务器允许所述外出连接。
8.根据权利要求4的系统,其中,所述控制单元控制用于防止未授权用户的标准防火墙,以允许或阻止所述外出连接。
9.根据权利要求1的系统,其还包括这样的装置用于记录被阻止的外出连接并且报告请求各个被阻止连接的所有本地主机。
10.一种用于检测并限制网络恶意行为的方法,其中所述网络恶意行为源自本地网络上的本地主机并且去往所述本地网络外部的远端主机,该方法包括以下步骤a)响应于域名系统查找而产生一致性指示,其中所述本地主机为获得所述远端主机的互联网协议地址而在所述本地网络的本地域名系统服务器中进行所述域名系统查找;b)基于所述一致性指示和具有特定异常的列表,利用执行单元产生连接授权指示,其中所述特定异常包括被允许在不进行域名系统查找的情况下访问指定远端资源的本地主机;以及c)默认地阻止所述外出连接的建立,直到接收所述连接授权指示。
11.根据权利要求10的方法,其还包括d)监控所述外出连接的连接建立过程,以确定所述外出连接是否是合法连接;以及e)只要所述外出连接是合法连接,就在缺乏所述连接授权指示的情况下建立所述外出连接。
12.根据权利要求1的方法,其还包括将所述本地网络分为小区,并且为每个小区配备各自的本地域名系统服务器和执行单元,以限制恶意行为在小区内的扩散。
13.根据权利要求10的方法,其还包括最终在缺乏所述连接授权指示的情况下阻止所述外出连接的建立,并且只要所述请求最终被阻止就产生告警。
14.根据权利要求13的方法,其还包括记录所有最终被阻止的外出连接,并且报告请求各个被阻止连接的所有本地主机。
15.根据权利要求10的系统,其中所述特定异常至少包括承载对等业务的连接、远端管理工具和来自具有嵌入式互联网协议地址的本地主机的连接。
16.根据权利要求11的方法,其中,如果所述本地主机向远端服务器发送网面,则所述外出连接是合法连接。
17.根据权利要求16的方法,其中步骤d)包括d1)识别由所述本地主机在交换SYN消息之后从所述远端主机接收的确认消息;d2)访问由所述本地主机在接收所述确认消息之后发送的第一有效负载分组中的消息;以及d3)如果所述第一有效负载分组中的消息是HTTP GET命令,则将所述连接标记为合法连接。
18.根据权利要求17的方法,其还包括,如果所述第一有效负载分组中的消息不是HTTP GET命令,则向所述远端主机发送TCP RESET消息以终止所述连接建立过程。
19.根据权利要求17的方法,其还包括d4)一旦建立所述外出连接就监控它,以确定对所述HTTP GET命令的响应是否指示所述远端主机是万维网服务器。
全文摘要
恶意网络行为不使用域名系统(DNS)协议来到达本地网络外部的远端目标。这个用于限制并检测网络恶意行为的基于DNS的执行系统,要求去往位于本地网络外部的资源的每个连接都被例如防火墙或代理的本地执行盒默认地阻止。仅当由称为DNS网守的实体直接授权时,外出连接才被允许离开本地网络。
文档编号H04L12/26GK1901485SQ20061010643
公开日2007年1月24日 申请日期2006年7月24日 优先权日2005年7月22日
发明者E·琼斯 申请人:阿尔卡特公司