基于通信行為分析的DNS隧道木馬檢測技術探究

劉曉蕾 張瓊尹 任磊 蘇展飛

摘 要：DNS是重要的網絡基礎設施，可以對IP地址以及域名做出更改，由于DNS協議具有一定的特殊性，導致防火墻等常規安全軟件不會對DNS進行攔截，逐漸形成DNS隱蔽隧道，為木馬病毒的入侵提供了便利條件，嚴重威脅到了正常的網絡信息安全，所以，本文基于此進行分析，通過提取DNS隧道木馬通信行為特征，進一步探究隧道木馬檢測技術。

關鍵詞：DNS隧道 通信行為 木馬檢測

中圖分類號：TU741 文獻標識碼：A 文章編號：1672-3791（2018）12（a）-00-02

DNS隧道具有極強的隱蔽性，為木馬病毒的傳播擴散提供了有利條件，但木馬程序的差異性在通信指令上有明顯的差異表現。因此，本文結合DNS隧道木馬的本質以及工作原理提出了設計檢測技術系統的相應參考建議，切實有效加強和提升了網絡信息的安全效果。

1 DNS隧道木馬通信機理

木馬是惡意計算機程序，具有持續攻擊性和高度危險性，不僅可以竊取對方信息，還會遠程操作控制用戶系統，對終端信息系統進行嚴重的破壞，具有極強的危害，木馬主要分為人為控制性、偽裝性、隱蔽性，木馬會通過非常隱蔽的方式操作不被用戶察覺，在網絡技術不斷更新升級的背景下，木馬危險性和攻擊性也在持續增加，由于DNS隧道木馬屬于UDP協議，所以是隱蔽通信的UDP型木馬分支。DNS隧道木馬采取DNS協議分為域名與IP兩種運行方式，其中域名型DNS隧道木馬隱蔽信息傳輸方式更具隱蔽性，用戶與外網通信就會增加入侵的危險性，對于IP型木馬用戶可以通過設計IP黑白名單進行防范。

DNS隧道木馬通信行為的不同，可以分為IP型和域名型兩類，DNS隧道木馬IP型基于DNS協議會與用戶終端主機建立通信，利用UDP socket建立聯系，DNS隧道木馬會通過53端口傳輸數據，同時會精心構造載荷內容。DNS隧道木馬域名型會在攻擊前注冊域名并做好記錄，作為被控端，會采取數據封裝的方式在請求域名中，并送到DNS隧道木馬的控制端。總結來說，比較隱蔽的為域名DNS隧道木馬，需要結合實際情況進行分析研究，并重點開展技術針對和防范措施。

2 DNS隧道木馬檢測技術系統的架構設計

基于通信行為分析DNS隧道木馬檢測系統設計目標，是針對DNS隧道木馬的識別和檢測的原理系統，可以有效查殺隱蔽流量的DNS隧道木馬，提高對系統的安全保障。DNS隧道木馬檢測系統框架設計，主要包含數據包采集模塊、DNS會話重組模塊、木馬檢測模塊以及用戶管理界面登錄。數據包采集模塊主要功能負責對DNS流量的過濾和抓取，利用數據包采集模塊可以有效防范不信任的外網地址，對IP型DNS隧道木馬進行查殺檢測，在流量檢測模塊可以有效檢測DNS會話向量，作為檢測DNS隧道木馬的參考數據，經過篩選后將出現預警的信息進行存儲。

3 DNS隧道木馬檢測技術系統的實現

3.1 數據包采集模塊

數據包采集整合模塊采取Win Pcap技術，從網絡入口對DNS流量數據進行采集和抓取，模塊功能主要是依據Win Pcap庫設計，計算機系統內核數據調用接口，提供了Win Pcap函數，保證內核驅動可以為應用程序有效功能，在Win Pcap技術下數據包采集模塊，有效提高了對高隱蔽性DNS隧道木馬檢查效率和效果，

在模塊功能中，所設計的不同層次的鏈接庫有Packet.dll與wpcap.dll。Packet.dll，在對DNS數據包進行抓取后，用戶可以依據需求對獲取的DNS報文進行檢驗，確保模塊可以在DNS協議規范的展開，這樣不僅可以提高檢測精度，還可以有效避免報文出錯等情況發生。

3.2 DNS會話重組模塊

DNS隧道木馬以隱蔽控制為主，這種新型木馬病毒導致傳統檢測手段直接對其失效，在查殺過程中，DNS 隧道木馬會采用加密通信提高通信的隱蔽性，這種類型的木馬首先考慮的就是保證生存，傳統監控和查殺方法并不適用于這類新型木馬，所以，在檢測查殺過程中要在抓住DNS隧道木馬通信行為特征的基礎上，在抓取數據過程中，DNS會話重組模塊會發生變化，并產生的數據包隊列，輸出DNS會話向量，而DNS會話向量是由DNS會話重組過程中形成的，DNS會話重組模塊對DNS數據報文進行讀取，最終形成等待評估的DNS會話向量，當DNS隧道木馬檢測系統中流量模塊檢測完畢后，將評估輸入檢測系統中。

3.3 DNS隧道木馬通信行為檢測模塊

DNS隧道木馬通信行為檢測模塊，可以有效對未知DNS隧道木馬進行檢測和查殺，整體的檢測效果非常好，但DNS隧道木馬啟動后會自己控制傳播的狀況，用戶在發揮DNS隧道木馬通信行為檢測模塊功能時，要全面結合DNS評估向量特征的提取情況，必須要先對緩存隊列的DNS會話評估向量進行讀取分析，如果在檢測過程中出現報警現象，可能是存在的可疑木馬流量，就需要及時做出判斷，再次評估DNS評估向量，一旦確定可疑信息，要及時生成木馬預警信息進行存儲，放入后臺數據庫中。

3.4 DNS隧道木馬分類模塊

DNS隧道木馬檢測系統中分類模塊，主要對DNS評估向量進行檢測、采集、分類、標記，DNS隧道木馬流量在采集過程中，主要對DNScat2等DNS隧道木馬樣本進行控制，DNS隧道木馬分類模塊可以對從控制端對木馬進行有效控制。同時DNS隧道木馬分類模塊功能，會及時對DNS會話中出現的不信任數據進行處理，分類模塊首先對樣本進行標記，并與正常DNS會話標記進行對比，同時，依據提取的DNS隧道提取的屬性對木馬進行判斷和表決。僅為系統DNS隧道木馬的評估提供可靠的參考數據。

3.5 DNS隧道木馬檢測用戶管理模塊

用戶管理模塊的功能主要是便于用戶對DNS隧道木馬行為檢測系統的操作，向用戶提供各種實際操作功能。管理員登入用戶管理界面后可以對網絡情況進行實時的監督管理，當出現疑似木馬情況后，用戶可以通過界面功能進行安全操作，并對可以數據進行編輯、刪改等具體操作，用戶管理模塊的功能主要是以web為核心基礎，通過網頁向用戶顯示數據信息和功能選項，讓用戶可以對DNS隧道木馬檢測的情況進行管理和查詢，用戶可以隨時對數據實施黑名單和白名單管理。

4 結語

綜上所述，本文以上主要敘述的是，DNS隧道木馬檢測技術探究，通過綜合分析可以看出，DNS隱蔽通道存在極大的安全隱患和風險，嚴重危害網絡信息安全，因此，為了對木馬病毒進行實時監控，可以及時發現DNS隧道木馬并提高查殺率，在設計系統過程中可以整合DNS會話重組等模塊優勢，結合通信行為對高隱蔽性的DNS隧道木馬進行有效全面的查殺偵測，從而確保系統網絡信息安全。

參考文獻

[1] 朱漢云，洪濤.基于自建網絡堆棧通訊技術實現木馬隱蔽通信的方法研究[J].赤峰學院學報：自然科學版，2017，33（8）：10-11.

[2] 陳俊高.“互聯網+”時代郵政信息化系統面臨的安全風險與防御措施[J].電子技術與軟件工程，2017（16）：210-210.

[3] 宗兆偉，黎峰，翟征德.基于統計分析和流量控制的DNS分布式拒絕服務攻擊的檢測及防御[J].中國電子商情：通信市場，2016（2）：206-213.

[4] 劉靜，裘國永.基于反向連接、HTTP隧道和共享DNS的防火墻穿透技術[J].鄭州輕工業學院學報：自然科學版，2015，22（5）：57-59.

[5] 吳敏，諶曉文，鄭紅燕，等.基于多層分布式軟件體系結構的燒結過程BTP優化控制系統設計[J].計算機應用研究，2015，24（7）：205-207.