劉曉蕾 張瓊尹 任磊 蘇展飛

摘 要：DNS是重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，可以對IP地址以及域名做出更改，由于DNS協(xié)議具有一定的特殊性，導(dǎo)致防火墻等常規(guī)安全軟件不會對DNS進行攔截，逐漸形成DNS隱蔽隧道，為木馬病毒的入侵提供了便利條件，嚴(yán)重威脅到了正常的網(wǎng)絡(luò)信息安全，所以，本文基于此進行分析，通過提取DNS隧道木馬通信行為特征，進一步探究隧道木馬檢測技術(shù)。

關(guān)鍵詞：DNS隧道 通信行為 木馬檢測

中圖分類號：TU741 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2018）12（a）-00-02

DNS隧道具有極強的隱蔽性，為木馬病毒的傳播擴散提供了有利條件，但木馬程序的差異性在通信指令上有明顯的差異表現(xiàn)。因此，本文結(jié)合DNS隧道木馬的本質(zhì)以及工作原理提出了設(shè)計檢測技術(shù)系統(tǒng)的相應(yīng)參考建議，切實有效加強和提升了網(wǎng)絡(luò)信息的安全效果。

1 DNS隧道木馬通信機理

木馬是惡意計算機程序，具有持續(xù)攻擊性和高度危險性，不僅可以竊取對方信息，還會遠(yuǎn)程操作控制用戶系統(tǒng)，對終端信息系統(tǒng)進行嚴(yán)重的破壞，具有極強的危害，木馬主要分為人為控制性、偽裝性、隱蔽性，木馬會通過非常隱蔽的方式操作不被用戶察覺，在網(wǎng)絡(luò)技術(shù)不斷更新升級的背景下，木馬危險性和攻擊性也在持續(xù)增加，由于DNS隧道木馬屬于UDP協(xié)議，所以是隱蔽通信的UDP型木馬分支。DNS隧道木馬采取DNS協(xié)議分為域名與IP兩種運行方式，其中域名型DNS隧道木馬隱蔽信息傳輸方式更具隱蔽性，用戶與外網(wǎng)通信就會增加入侵的危險性，對于IP型木馬用戶可以通過設(shè)計IP黑白名單進行防范。

DNS隧道木馬通信行為的不同，可以分為IP型和域名型兩類，DNS隧道木馬IP型基于DNS協(xié)議會與用戶終端主機建立通信，利用UDP socket建立聯(lián)系，DNS隧道木馬會通過53端口傳輸數(shù)據(jù)，同時會精心構(gòu)造載荷內(nèi)容。DNS隧道木馬域名型會在攻擊前注冊域名并做好記錄，作為被控端，會采取數(shù)據(jù)封裝的方式在請求域名中，并送到DNS隧道木馬的控制端?？偨Y(jié)來說，比較隱蔽的為域名DNS隧道木馬，需要結(jié)合實際情況進行分析研究，并重點開展技術(shù)針對和防范措施。

2 DNS隧道木馬檢測技術(shù)系統(tǒng)的架構(gòu)設(shè)計

基于通信行為分析DNS隧道木馬檢測系統(tǒng)設(shè)計目標(biāo)，是針對DNS隧道木馬的識別和檢測的原理系統(tǒng)，可以有效查殺隱蔽流量的DNS隧道木馬，提高對系統(tǒng)的安全保障。DNS隧道木馬檢測系統(tǒng)框架設(shè)計，主要包含數(shù)據(jù)包采集模塊、DNS會話重組模塊、木馬檢測模塊以及用戶管理界面登錄。數(shù)據(jù)包采集模塊主要功能負(fù)責(zé)對DNS流量的過濾和抓取，利用數(shù)據(jù)包采集模塊可以有效防范不信任的外網(wǎng)地址，對IP型DNS隧道木馬進行查殺檢測，在流量檢測模塊可以有效檢測DNS會話向量，作為檢測DNS隧道木馬的參考數(shù)據(jù)，經(jīng)過篩選后將出現(xiàn)預(yù)警的信息進行存儲。

3 DNS隧道木馬檢測技術(shù)系統(tǒng)的實現(xiàn)

3.1 數(shù)據(jù)包采集模塊

數(shù)據(jù)包采集整合模塊采取Win Pcap技術(shù)，從網(wǎng)絡(luò)入口對DNS流量數(shù)據(jù)進行采集和抓取，模塊功能主要是依據(jù)Win Pcap庫設(shè)計，計算機系統(tǒng)內(nèi)核數(shù)據(jù)調(diào)用接口，提供了Win Pcap函數(shù)，保證內(nèi)核驅(qū)動可以為應(yīng)用程序有效功能，在Win Pcap技術(shù)下數(shù)據(jù)包采集模塊，有效提高了對高隱蔽性DNS隧道木馬檢查效率和效果，

在模塊功能中，所設(shè)計的不同層次的鏈接庫有Packet.dll與wpcap.dll。Packet.dll，在對DNS數(shù)據(jù)包進行抓取后，用戶可以依據(jù)需求對獲取的DNS報文進行檢驗，確保模塊可以在DNS協(xié)議規(guī)范的展開，這樣不僅可以提高檢測精度，還可以有效避免報文出錯等情況發(fā)生。

3.2 DNS會話重組模塊

DNS隧道木馬以隱蔽控制為主，這種新型木馬病毒導(dǎo)致傳統(tǒng)檢測手段直接對其失效，在查殺過程中，DNS 隧道木馬會采用加密通信提高通信的隱蔽性，這種類型的木馬首先考慮的就是保證生存，傳統(tǒng)監(jiān)控和查殺方法并不適用于這類新型木馬，所以，在檢測查殺過程中要在抓住DNS隧道木馬通信行為特征的基礎(chǔ)上，在抓取數(shù)據(jù)過程中，DNS會話重組模塊會發(fā)生變化，并產(chǎn)生的數(shù)據(jù)包隊列，輸出DNS會話向量，而DNS會話向量是由DNS會話重組過程中形成的，DNS會話重組模塊對DNS數(shù)據(jù)報文進行讀取，最終形成等待評估的DNS會話向量，當(dāng)DNS隧道木馬檢測系統(tǒng)中流量模塊檢測完畢后，將評估輸入檢測系統(tǒng)中。

3.3 DNS隧道木馬通信行為檢測模塊

DNS隧道木馬通信行為檢測模塊，可以有效對未知DNS隧道木馬進行檢測和查殺，整體的檢測效果非常好，但DNS隧道木馬啟動后會自己控制傳播的狀況，用戶在發(fā)揮DNS隧道木馬通信行為檢測模塊功能時，要全面結(jié)合DNS評估向量特征的提取情況，必須要先對緩存隊列的DNS會話評估向量進行讀取分析，如果在檢測過程中出現(xiàn)報警現(xiàn)象，可能是存在的可疑木馬流量，就需要及時做出判斷，再次評估DNS評估向量，一旦確定可疑信息，要及時生成木馬預(yù)警信息進行存儲，放入后臺數(shù)據(jù)庫中。

3.4 DNS隧道木馬分類模塊

DNS隧道木馬檢測系統(tǒng)中分類模塊，主要對DNS評估向量進行檢測、采集、分類、標(biāo)記，DNS隧道木馬流量在采集過程中，主要對DNScat2等DNS隧道木馬樣本進行控制，DNS隧道木馬分類模塊可以對從控制端對木馬進行有效控制。同時DNS隧道木馬分類模塊功能，會及時對DNS會話中出現(xiàn)的不信任數(shù)據(jù)進行處理，分類模塊首先對樣本進行標(biāo)記，并與正常DNS會話標(biāo)記進行對比，同時，依據(jù)提取的DNS隧道提取的屬性對木馬進行判斷和表決。僅為系統(tǒng)DNS隧道木馬的評估提供可靠的參考數(shù)據(jù)。

3.5 DNS隧道木馬檢測用戶管理模塊

用戶管理模塊的功能主要是便于用戶對DNS隧道木馬行為檢測系統(tǒng)的操作，向用戶提供各種實際操作功能。管理員登入用戶管理界面后可以對網(wǎng)絡(luò)情況進行實時的監(jiān)督管理，當(dāng)出現(xiàn)疑似木馬情況后，用戶可以通過界面功能進行安全操作，并對可以數(shù)據(jù)進行編輯、刪改等具體操作，用戶管理模塊的功能主要是以web為核心基礎(chǔ)，通過網(wǎng)頁向用戶顯示數(shù)據(jù)信息和功能選項，讓用戶可以對DNS隧道木馬檢測的情況進行管理和查詢，用戶可以隨時對數(shù)據(jù)實施黑名單和白名單管理。

4 結(jié)語

綜上所述，本文以上主要敘述的是，DNS隧道木馬檢測技術(shù)探究，通過綜合分析可以看出，DNS隱蔽通道存在極大的安全隱患和風(fēng)險，嚴(yán)重危害網(wǎng)絡(luò)信息安全，因此，為了對木馬病毒進行實時監(jiān)控，可以及時發(fā)現(xiàn)DNS隧道木馬并提高查殺率，在設(shè)計系統(tǒng)過程中可以整合DNS會話重組等模塊優(yōu)勢，結(jié)合通信行為對高隱蔽性的DNS隧道木馬進行有效全面的查殺偵測，從而確保系統(tǒng)網(wǎng)絡(luò)信息安全。

參考文獻(xiàn)

[1] 朱漢云，洪濤.基于自建網(wǎng)絡(luò)堆棧通訊技術(shù)實現(xiàn)木馬隱蔽通信的方法研究[J].赤峰學(xué)院學(xué)報：自然科學(xué)版，2017，33（8）：10-11.

[2] 陳俊高.“互聯(lián)網(wǎng)+”時代郵政信息化系統(tǒng)面臨的安全風(fēng)險與防御措施[J].電子技術(shù)與軟件工程，2017（16）：210-210.

[3] 宗兆偉，黎峰，翟征德.基于統(tǒng)計分析和流量控制的DNS分布式拒絕服務(wù)攻擊的檢測及防御[J].中國電子商情：通信市場，2016（2）：206-213.

[4] 劉靜，裘國永.基于反向連接、HTTP隧道和共享DNS的防火墻穿透技術(shù)[J].鄭州輕工業(yè)學(xué)院學(xué)報：自然科學(xué)版，2015，22（5）：57-59.

[5] 吳敏，諶曉文，鄭紅燕，等.基于多層分布式軟件體系結(jié)構(gòu)的燒結(jié)過程BTP優(yōu)化控制系統(tǒng)設(shè)計[J].計算機應(yīng)用研究，2015，24（7）：205-207.