刘晓蕾 张琼尹 任磊 苏展飞

摘 要：DNS是重要的网络基础设施，可以对IP地址以及域名做出更改，由于DNS协议具有一定的特殊性，导致防火墙等常规安全软件不会对DNS进行拦截，逐渐形成DNS隐蔽隧道，为木马病毒的入侵提供了便利条件，严重威胁到了正常的网络信息安全，所以，本文基于此进行分析，通过提取DNS隧道木馬通信行为特征，进一步探究隧道木马检测技术。

关键词：DNS隧道 通信行为 木马检测

中图分类号：TU741 文献标识码：A 文章编号：1672-3791（2018）12（a）-00-02

DNS隧道具有极强的隐蔽性，为木马病毒的传播扩散提供了有利条件，但木马程序的差异性在通信指令上有明显的差异表现。因此，本文结合DNS隧道木马的本质以及工作原理提出了设计检测技术系统的相应参考建议，切实有效加强和提升了网络信息的安全效果。

1 DNS隧道木马通信机理

木马是恶意计算机程序，具有持续攻击性和高度危险性，不仅可以窃取对方信息，还会远程操作控制用户系统，对终端信息系统进行严重的破坏，具有极强的危害，木马主要分为人为控制性、伪装性、隐蔽性，木马会通过非常隐蔽的方式操作不被用户察觉，在网络技术不断更新升级的背景下，木马危险性和攻击性也在持续增加，由于DNS隧道木马属于UDP协议，所以是隐蔽通信的UDP型木马分支。DNS隧道木马采取DNS协议分为域名与IP两种运行方式，其中域名型DNS隧道木马隐蔽信息传输方式更具隐蔽性，用户与外网通信就会增加入侵的危险性，对于IP型木马用户可以通过设计IP黑白名单进行防范。

DNS隧道木马通信行为的不同，可以分为IP型和域名型两类，DNS隧道木马IP型基于DNS协议会与用户终端主机建立通信，利用UDP socket建立联系，DNS隧道木马会通过53端口传输数据，同时会精心构造载荷内容。DNS隧道木马域名型会在攻击前注册域名并做好记录，作为被控端，会采取数据封装的方式在请求域名中，并送到DNS隧道木马的控制端。总结来说，比较隐蔽的为域名DNS隧道木马，需要结合实际情况进行分析研究，并重点开展技术针对和防范措施。

2 DNS隧道木马检测技术系统的架构设计

基于通信行为分析DNS隧道木马检测系统设计目标，是针对DNS隧道木马的识别和检测的原理系统，可以有效查杀隐蔽流量的DNS隧道木马，提高对系统的安全保障。DNS隧道木马检测系统框架设计，主要包含数据包采集模块、DNS会话重组模块、木马检测模块以及用户管理界面登录。数据包采集模块主要功能负责对DNS流量的过滤和抓取，利用数据包采集模块可以有效防范不信任的外网地址，对IP型DNS隧道木马进行查杀检测，在流量检测模块可以有效检测DNS会话向量，作为检测DNS隧道木马的参考数据，经过筛选后将出现预警的信息进行存储。

3 DNS隧道木马检测技术系统的实现

3.1 数据包采集模块

数据包采集整合模块采取Win Pcap技术，从网络入口对DNS流量数据进行采集和抓取，模块功能主要是依据Win Pcap库设计，计算机系统内核数据调用接口，提供了Win Pcap函数，保证内核驱动可以为应用程序有效功能，在Win Pcap技术下数据包采集模块，有效提高了对高隐蔽性DNS隧道木马检查效率和效果，

在模块功能中，所设计的不同层次的链接库有Packet.dll与wpcap.dll。Packet.dll，在对DNS数据包进行抓取后，用户可以依据需求对获取的DNS报文进行检验，确保模块可以在DNS协议规范的展开，这样不仅可以提高检测精度，还可以有效避免报文出错等情况发生。

3.2 DNS会话重组模块

DNS隧道木马以隐蔽控制为主，这种新型木马病毒导致传统检测手段直接对其失效，在查杀过程中，DNS 隧道木马会采用加密通信提高通信的隐蔽性，这种类型的木马首先考虑的就是保证生存，传统监控和查杀方法并不适用于这类新型木马，所以，在检测查杀过程中要在抓住DNS隧道木马通信行为特征的基础上，在抓取数据过程中，DNS会话重组模块会发生变化，并产生的数据包队列，输出DNS会话向量，而DNS会话向量是由DNS会话重组过程中形成的，DNS会话重组模块对DNS数据报文进行读取，最终形成等待评估的DNS会话向量，当DNS隧道木马检测系统中流量模块检测完毕后，将评估输入检测系统中。

3.3 DNS隧道木马通信行为检测模块

DNS隧道木马通信行为检测模块，可以有效对未知DNS隧道木马进行检测和查杀，整体的检测效果非常好，但DNS隧道木马启动后会自己控制传播的状况，用户在发挥DNS隧道木马通信行为检测模块功能时，要全面结合DNS评估向量特征的提取情况，必须要先对缓存队列的DNS会话评估向量进行读取分析，如果在检测过程中出现报警现象，可能是存在的可疑木马流量，就需要及时做出判断，再次评估DNS评估向量，一旦确定可疑信息，要及时生成木马预警信息进行存储，放入后台数据库中。

3.4 DNS隧道木马分类模块

DNS隧道木马检测系统中分类模块，主要对DNS评估向量进行检测、采集、分类、标记，DNS隧道木马流量在采集过程中，主要对DNScat2等DNS隧道木马样本进行控制，DNS隧道木马分类模块可以对从控制端对木马进行有效控制。同时DNS隧道木马分类模块功能，会及时对DNS会话中出现的不信任数据进行处理，分类模块首先对样本进行标记，并与正常DNS会话标记进行对比，同时，依据提取的DNS隧道提取的属性对木马进行判断和表决。仅为系统DNS隧道木马的评估提供可靠的参考数据。

3.5 DNS隧道木马检测用户管理模块

用户管理模块的功能主要是便于用户对DNS隧道木马行为检测系统的操作，向用户提供各种实际操作功能。管理员登入用户管理界面后可以对网络情况进行实时的监督管理，当出现疑似木马情况后，用户可以通过界面功能进行安全操作，并对可以数据进行编辑、删改等具体操作，用户管理模块的功能主要是以web为核心基础，通过网页向用户显示数据信息和功能选项，让用户可以对DNS隧道木马检测的情况进行管理和查询，用户可以随时对数据实施黑名单和白名单管理。

4 结语

综上所述，本文以上主要叙述的是，DNS隧道木马检测技术探究，通过综合分析可以看出，DNS隐蔽通道存在极大的安全隐患和风险，严重危害网络信息安全，因此，为了对木马病毒进行实时监控，可以及时发现DNS隧道木马并提高查杀率，在设计系统过程中可以整合DNS会话重组等模块优势，结合通信行为对高隐蔽性的DNS隧道木马进行有效全面的查杀侦测，从而确保系统网络信息安全。

参考文献

[1] 朱汉云，洪涛.基于自建网络堆栈通讯技术实现木马隐蔽通信的方法研究[J].赤峰学院学报：自然科学版，2017，33（8）：10-11.

[2] 陈俊高.“互联网+”时代邮政信息化系统面临的安全风险与防御措施[J].电子技术与软件工程，2017（16）：210-210.

[3] 宗兆伟，黎峰，翟征德.基于统计分析和流量控制的DNS分布式拒绝服务攻击的检测及防御[J].中国电子商情：通信市场，2016（2）：206-213.

[4] 刘静，裘国永.基于反向连接、HTTP隧道和共享DNS的防火墙穿透技术[J].郑州轻工业学院学报：自然科学版，2015，22（5）：57-59.

[5] 吴敏，谌晓文，郑红燕，等.基于多层分布式软件体系结构的烧结过程BTP优化控制系统设计[J].计算机应用研究，2015，24（7）：205-207.