劉曉蕾 張瓊尹 任磊 蘇展飛

摘 要：DNS是重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，可以對IP地址以及域名做出更改，由于DNS協(xié)議具有一定的特殊性，導(dǎo)致防火墻等常規(guī)安全軟件不會(huì)對DNS進(jìn)行攔截，逐漸形成DNS隱蔽隧道，為木馬病毒的入侵提供了便利條件，嚴(yán)重威脅到了正常的網(wǎng)絡(luò)信息安全，所以，本文基于此進(jìn)行分析，通過提取DNS隧道木馬通信行為特征，進(jìn)一步探究隧道木馬檢測技術(shù)。

關(guān)鍵詞：DNS隧道 通信行為 木馬檢測

中圖分類號：TU741 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2018）12（a）-00-02

DNS隧道具有極強(qiáng)的隱蔽性，為木馬病毒的傳播擴(kuò)散提供了有利條件，但木馬程序的差異性在通信指令上有明顯的差異表現(xiàn)。因此，本文結(jié)合DNS隧道木馬的本質(zhì)以及工作原理提出了設(shè)計(jì)檢測技術(shù)系統(tǒng)的相應(yīng)參考建議，切實(shí)有效加強(qiáng)和提升了網(wǎng)絡(luò)信息的安全效果。

1 DNS隧道木馬通信機(jī)理

木馬是惡意計(jì)算機(jī)程序，具有持續(xù)攻擊性和高度危險(xiǎn)性，不僅可以竊取對方信息，還會(huì)遠(yuǎn)程操作控制用戶系統(tǒng)，對終端信息系統(tǒng)進(jìn)行嚴(yán)重的破壞，具有極強(qiáng)的危害，木馬主要分為人為控制性、偽裝性、隱蔽性，木馬會(huì)通過非常隱蔽的方式操作不被用戶察覺，在網(wǎng)絡(luò)技術(shù)不斷更新升級的背景下，木馬危險(xiǎn)性和攻擊性也在持續(xù)增加，由于DNS隧道木馬屬于UDP協(xié)議，所以是隱蔽通信的UDP型木馬分支。DNS隧道木馬采取DNS協(xié)議分為域名與IP兩種運(yùn)行方式，其中域名型DNS隧道木馬隱蔽信息傳輸方式更具隱蔽性，用戶與外網(wǎng)通信就會(huì)增加入侵的危險(xiǎn)性，對于IP型木馬用戶可以通過設(shè)計(jì)IP黑白名單進(jìn)行防范。

DNS隧道木馬通信行為的不同，可以分為IP型和域名型兩類，DNS隧道木馬IP型基于DNS協(xié)議會(huì)與用戶終端主機(jī)建立通信，利用UDP socket建立聯(lián)系，DNS隧道木馬會(huì)通過53端口傳輸數(shù)據(jù)，同時(shí)會(huì)精心構(gòu)造載荷內(nèi)容。DNS隧道木馬域名型會(huì)在攻擊前注冊域名并做好記錄，作為被控端，會(huì)采取數(shù)據(jù)封裝的方式在請求域名中，并送到DNS隧道木馬的控制端?？偨Y(jié)來說，比較隱蔽的為域名DNS隧道木馬，需要結(jié)合實(shí)際情況進(jìn)行分析研究，并重點(diǎn)開展技術(shù)針對和防范措施。

2 DNS隧道木馬檢測技術(shù)系統(tǒng)的架構(gòu)設(shè)計(jì)

基于通信行為分析DNS隧道木馬檢測系統(tǒng)設(shè)計(jì)目標(biāo)，是針對DNS隧道木馬的識別和檢測的原理系統(tǒng)，可以有效查殺隱蔽流量的DNS隧道木馬，提高對系統(tǒng)的安全保障。DNS隧道木馬檢測系統(tǒng)框架設(shè)計(jì)，主要包含數(shù)據(jù)包采集模塊、DNS會(huì)話重組模塊、木馬檢測模塊以及用戶管理界面登錄。數(shù)據(jù)包采集模塊主要功能負(fù)責(zé)對DNS流量的過濾和抓取，利用數(shù)據(jù)包采集模塊可以有效防范不信任的外網(wǎng)地址，對IP型DNS隧道木馬進(jìn)行查殺檢測，在流量檢測模塊可以有效檢測DNS會(huì)話向量，作為檢測DNS隧道木馬的參考數(shù)據(jù)，經(jīng)過篩選后將出現(xiàn)預(yù)警的信息進(jìn)行存儲(chǔ)。

3 DNS隧道木馬檢測技術(shù)系統(tǒng)的實(shí)現(xiàn)

3.1 數(shù)據(jù)包采集模塊

數(shù)據(jù)包采集整合模塊采取Win Pcap技術(shù)，從網(wǎng)絡(luò)入口對DNS流量數(shù)據(jù)進(jìn)行采集和抓取，模塊功能主要是依據(jù)Win Pcap庫設(shè)計(jì)，計(jì)算機(jī)系統(tǒng)內(nèi)核數(shù)據(jù)調(diào)用接口，提供了Win Pcap函數(shù)，保證內(nèi)核驅(qū)動(dòng)可以為應(yīng)用程序有效功能，在Win Pcap技術(shù)下數(shù)據(jù)包采集模塊，有效提高了對高隱蔽性DNS隧道木馬檢查效率和效果，

在模塊功能中，所設(shè)計(jì)的不同層次的鏈接庫有Packet.dll與wpcap.dll。Packet.dll，在對DNS數(shù)據(jù)包進(jìn)行抓取后，用戶可以依據(jù)需求對獲取的DNS報(bào)文進(jìn)行檢驗(yàn)，確保模塊可以在DNS協(xié)議規(guī)范的展開，這樣不僅可以提高檢測精度，還可以有效避免報(bào)文出錯(cuò)等情況發(fā)生。

3.2 DNS會(huì)話重組模塊

DNS隧道木馬以隱蔽控制為主，這種新型木馬病毒導(dǎo)致傳統(tǒng)檢測手段直接對其失效，在查殺過程中，DNS 隧道木馬會(huì)采用加密通信提高通信的隱蔽性，這種類型的木馬首先考慮的就是保證生存，傳統(tǒng)監(jiān)控和查殺方法并不適用于這類新型木馬，所以，在檢測查殺過程中要在抓住DNS隧道木馬通信行為特征的基礎(chǔ)上，在抓取數(shù)據(jù)過程中，DNS會(huì)話重組模塊會(huì)發(fā)生變化，并產(chǎn)生的數(shù)據(jù)包隊(duì)列，輸出DNS會(huì)話向量，而DNS會(huì)話向量是由DNS會(huì)話重組過程中形成的，DNS會(huì)話重組模塊對DNS數(shù)據(jù)報(bào)文進(jìn)行讀取，最終形成等待評估的DNS會(huì)話向量，當(dāng)DNS隧道木馬檢測系統(tǒng)中流量模塊檢測完畢后，將評估輸入檢測系統(tǒng)中。

3.3 DNS隧道木馬通信行為檢測模塊

DNS隧道木馬通信行為檢測模塊，可以有效對未知DNS隧道木馬進(jìn)行檢測和查殺，整體的檢測效果非常好，但DNS隧道木馬啟動(dòng)后會(huì)自己控制傳播的狀況，用戶在發(fā)揮DNS隧道木馬通信行為檢測模塊功能時(shí)，要全面結(jié)合DNS評估向量特征的提取情況，必須要先對緩存隊(duì)列的DNS會(huì)話評估向量進(jìn)行讀取分析，如果在檢測過程中出現(xiàn)報(bào)警現(xiàn)象，可能是存在的可疑木馬流量，就需要及時(shí)做出判斷，再次評估DNS評估向量，一旦確定可疑信息，要及時(shí)生成木馬預(yù)警信息進(jìn)行存儲(chǔ)，放入后臺(tái)數(shù)據(jù)庫中。

3.4 DNS隧道木馬分類模塊

DNS隧道木馬檢測系統(tǒng)中分類模塊，主要對DNS評估向量進(jìn)行檢測、采集、分類、標(biāo)記，DNS隧道木馬流量在采集過程中，主要對DNScat2等DNS隧道木馬樣本進(jìn)行控制，DNS隧道木馬分類模塊可以對從控制端對木馬進(jìn)行有效控制。同時(shí)DNS隧道木馬分類模塊功能，會(huì)及時(shí)對DNS會(huì)話中出現(xiàn)的不信任數(shù)據(jù)進(jìn)行處理，分類模塊首先對樣本進(jìn)行標(biāo)記，并與正常DNS會(huì)話標(biāo)記進(jìn)行對比，同時(shí)，依據(jù)提取的DNS隧道提取的屬性對木馬進(jìn)行判斷和表決。僅為系統(tǒng)DNS隧道木馬的評估提供可靠的參考數(shù)據(jù)。

3.5 DNS隧道木馬檢測用戶管理模塊

用戶管理模塊的功能主要是便于用戶對DNS隧道木馬行為檢測系統(tǒng)的操作，向用戶提供各種實(shí)際操作功能。管理員登入用戶管理界面后可以對網(wǎng)絡(luò)情況進(jìn)行實(shí)時(shí)的監(jiān)督管理，當(dāng)出現(xiàn)疑似木馬情況后，用戶可以通過界面功能進(jìn)行安全操作，并對可以數(shù)據(jù)進(jìn)行編輯、刪改等具體操作，用戶管理模塊的功能主要是以web為核心基礎(chǔ)，通過網(wǎng)頁向用戶顯示數(shù)據(jù)信息和功能選項(xiàng)，讓用戶可以對DNS隧道木馬檢測的情況進(jìn)行管理和查詢，用戶可以隨時(shí)對數(shù)據(jù)實(shí)施黑名單和白名單管理。

4 結(jié)語

綜上所述，本文以上主要敘述的是，DNS隧道木馬檢測技術(shù)探究，通過綜合分析可以看出，DNS隱蔽通道存在極大的安全隱患和風(fēng)險(xiǎn)，嚴(yán)重危害網(wǎng)絡(luò)信息安全，因此，為了對木馬病毒進(jìn)行實(shí)時(shí)監(jiān)控，可以及時(shí)發(fā)現(xiàn)DNS隧道木馬并提高查殺率，在設(shè)計(jì)系統(tǒng)過程中可以整合DNS會(huì)話重組等模塊優(yōu)勢，結(jié)合通信行為對高隱蔽性的DNS隧道木馬進(jìn)行有效全面的查殺偵測，從而確保系統(tǒng)網(wǎng)絡(luò)信息安全。

參考文獻(xiàn)

[1] 朱漢云，洪濤.基于自建網(wǎng)絡(luò)堆棧通訊技術(shù)實(shí)現(xiàn)木馬隱蔽通信的方法研究[J].赤峰學(xué)院學(xué)報(bào)：自然科學(xué)版，2017，33（8）：10-11.

[2] 陳俊高.“互聯(lián)網(wǎng)+”時(shí)代郵政信息化系統(tǒng)面臨的安全風(fēng)險(xiǎn)與防御措施[J].電子技術(shù)與軟件工程，2017（16）：210-210.

[3] 宗兆偉，黎峰，翟征德.基于統(tǒng)計(jì)分析和流量控制的DNS分布式拒絕服務(wù)攻擊的檢測及防御[J].中國電子商情：通信市場，2016（2）：206-213.

[4] 劉靜，裘國永.基于反向連接、HTTP隧道和共享DNS的防火墻穿透技術(shù)[J].鄭州輕工業(yè)學(xué)院學(xué)報(bào)：自然科學(xué)版，2015，22（5）：57-59.

[5] 吳敏，諶曉文，鄭紅燕，等.基于多層分布式軟件體系結(jié)構(gòu)的燒結(jié)過程BTP優(yōu)化控制系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用研究，2015，24（7）：205-207.