CN109218124A - Dns隧道传输检测方法和装置 - Google Patents
Dns隧道传输检测方法和装置 Download PDFInfo
- Publication number
- CN109218124A CN109218124A CN201710549740.4A CN201710549740A CN109218124A CN 109218124 A CN109218124 A CN 109218124A CN 201710549740 A CN201710549740 A CN 201710549740A CN 109218124 A CN109218124 A CN 109218124A
- Authority
- CN
- China
- Prior art keywords
- dns
- data
- feature vector
- request
- package
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于特征向量的DNS隧道传输检测方法和装置,其通过对正常DNS请求数据和异常的DNS隧道传输数据进行特征训练学习获得机器学习检测模型,并通过对捕获的DNS请求数据进行特征提取,获得该DNS请求数据的特征向量,对该特征向量进行归一化预处理后输入机器学习检测模型进行检测,从而获得DNS隧道传输的检测结果。相对于传统检测方法,该方法提高了DNS隧道的检测准确性和检测效率。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种DNS隧道传输检测方法和装置。
背景技术
随着全球信息一体化的迅猛发展,互联网规模不断扩大,信息量呈几何级数增长。网络威胁层出不穷,安全态势严峻,需要从海量网络数据中挖掘分析异常行为。由于网络异常行为行踪隐蔽,常隐藏于正常的网络流量中,难于检测和分析,而且其形式变化多样,种类逐渐增多,内部结构复杂,需要基于大数据和机器学习分析进行建模和分析。
网络隐蔽信道是指允许违反系统安全策略的方式传送信息的通信信道,是一种通过网络泄露隐蔽信息的技术,由于其本身具有隐蔽性,一般很难被检测到。利用网络隐蔽信道进行的扩散攻击和信息泄露技术,对计算机网络的安全构成了巨大的威胁,网络隐蔽信道技术与加密技术不同,加密只是对传输的数据进行加密,而网络隐蔽信道是要掩盖隐蔽通信信道的存在。恶意的网络隐蔽信道会给网络、系统安全带来巨大的挑战,网络中的不法分子会通过构建隐蔽信道泄露隐蔽信息。DNS tunnel即DNS隧道,就是利用DNS查询过程建立起隐蔽信道,实现数据传输的技术。DNS协议在查询的时候,如果查询的域名在DNS服务器本机的缓存cache中没有查询到,它就会去互联网上查询,最终返回结果。如果在互联网上有台定制的DNS服务器,只要依靠DNS的协议约定,就可以交换数据包。从DNS协议上看,只是在一次次的查询某个特定域名,并得到解析结果,但实际上是在和外部通讯。此时,虽然客户端并没有直接连到局域网外的机器,网关不会转发IP包出去,但是局域网上的DNS服务器帮忙做了中转,这就是DNS隧道的基本原理。
目前基于DNS隧道实现的网络隐蔽信道传输技术层出不穷,出现了多种变种类型,现有技术中对于变种的新型DNS隧道的检测能力仍然存在诸多不足。
中国发明公开文献CN103326894A提出一种DNS隧道检测方法,通过检测客户端数据包的查询域名是否符合预置的域名约束条件,从而区分正常的DNS数据包和DNS隧道数据包。中国发明公开文献CN104754071 A也提出一种DNS隧道检测方法,通过检测数据包是否符合DNS协议规定的长度和格式,从而判断是否属于DNS隧道数据包。上述公开文献均是通过判断通信报文是否匹配预定格式来识别DNS隧道,这种单纯特征匹配的检测方式的缺点是难以准确检测未知或变种的DNS隧道传输。期刊文献(“基于DNS的隐蔽通道流量检测”,章思宇等,通信学报第34卷第5期,2013年5月)提出了一种检测DNS隐蔽通道的方法,其提取可区分合法查询与隐蔽通信的12个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别,从而实现对DNS隐蔽信道的检测。这种检测方式利用统计特征分析和机器学习相结合的手段,相对于单纯的特征匹配方式具有一定优势,但是过多的统计特征必然导致分类器模型的训练数据需求增大,并且需要消耗更多训练时间,从而使得检测效率降低。因此,如何提取能够有效识别各变种类型的DNS隧道传输数据的统计特征,并且提高DNS隧道传输检测的准确性和高效性,一直是本领域亟待解决的问题。
发明内容
本发明的主要目的是提出一种DNS隧道传输检测方法和装置,能够实现对新型DNS隧道传输的全面有效检测,提高DNS隧道传输检测的效率和准确性。
为了实现上述目的,一方面,本发明的技术方案提出一种基于特征向量的DNS隧道传输检测方法,其特征在于包括以下步骤:
捕获客户端发送给DNS服务器的DNS请求数据;
对捕获的DNS请求数据进行特征提取,提取DNS请求数据中请求域名包含的数字个数、DNS请求数据的请求类型、请求域名的长度,并且记录一次DNS会话连接中的上行数据包的数量、上行数据包大小的方差和上行数据包的发送间隔时间,从而获得DNS请求数据的特征向量;该DNS请求数据的特征向量表示如下:
V={q_number,q_type,q_length,package_size,package_interval,up_package_var}
其中,V表示DNS请求数据的特征向量,q_number表示请求域名q中包含的数字个数,q_type表示DNS请求数据的请求类型,q_length表示请求域名的长度,package_size表示一次DNS会话连接中的上行数据包的数量,up_package_var表示一次DNS会话连接中的上行数据包大小的方差,package_interval表示一次DNS会话连接中的上行数据包的发送间隔时间;
对获得的DNS请求数据的特征向量进行归一化预处理;
将经过归一化预处理后的特征向量输入机器学习检测模型进行检测,从而获得DNS隧道传输的检测结果,所述机器学习检测模型由正常DNS访问数据和DNS隧道传输数据组成的训练数据训练得到;
将获得的DNS隧道传输的检测结果进行聚合,以用于更新机器学习检测模型的训练数据,从而对机器学习检测模型进行训练学习。
优选地,所述对获得的DNS请求数据的特征向量进行归一化预处理包括将离散变量映射到(0,1)区间中的固定值。
优选地,所述机器学习检测模型包括支持向量机SVM分类器模型。
另一方面,本发明还提出一种基于特征向量的DNS隧道传输检测装置,其特征在于包括以下模块:
捕获模块,用于捕获客户端发送给DNS服务器的DNS请求数据;
特征提取模块,用于对捕获的DNS请求数据进行特征提取,提取DNS请求数据中请求域名包含的数字个数、DNS请求数据的请求类型、请求域名的长度,并且记录一次DNS会话连接中的上行数据包的数量、上行数据包大小的方差和上行数据包的发送间隔时间,从而获得DNS请求数据的特征向量;该DNS请求数据的特征向量表示如下:
V={q_number,q_type,q_length,package_size,package_interval,up_package_var}
其中,V表示DNS请求数据的特征向量,q_number表示请求域名q中包含的数字个数,q_type表示DNS请求数据的请求类型,q_length表示请求域名的长度,package_size表示一次DNS会话连接中的上行数据包的数量,up_package_var表示一次DNS会话连接中的上行数据包大小的方差,package_interval表示一次DNS会话连接中的上行数据包的发送间隔时间;
预处理模块,用于对获得的DNS请求数据的特征向量进行归一化预处理;
检测模块,用于将经过归一化预处理后的特征向量输入机器学习检测模型进行检测,从而获得DNS隧道传输的检测结果,所述机器学习检测模型由正常DNS访问数据和DNS隧道传输数据组成的训练数据训练得到;
反馈模块,用于将获得的DNS隧道传输的检测结果进行聚合,以用于更新机器学习检测模型的训练数据,从而对机器学习检测模型进行训练学习。
优选地,所述对获得的DNS请求数据的特征向量进行归一化预处理包括将离散变量映射到(0,1)区间中的固定值。
优选地,所述机器学习检测模型包括支持向量机SVM分类器模型。
本发明通过分析大量的正常DNS请求数据特征和DNS隧道通信特征,选取适配各变种DNS隧道传输数据的典型特征,构建特征向量,并利用机器学习的方法建立自学习的检测模型,从而实现了对各变种DNS隧道传输的检测,提高了检测的效率和准确性。
下面结合附图和具体实施方式对本发明作进一步的描述。
附图说明
图1为本发明基于特征向量的DNS隧道传输检测方法的流程示意图;
图2为本发明机器学习检测模型的原理示意图;
图3为本发明基于特征向量的DNS隧道传输检测装置的结构示意图。
具体实施方式
下面结合说明书附图对本发明技术方案的具体实施方式进行清楚、完整的描述。
参见图1,图1为本发明基于特征向量的DNS隧道传输检测方法的流程示意图。本发明实施例提供的基于特征向量的DNS隧道传输检测方法,包括如下步骤:
步骤S1,捕获客户端发送给DNS服务器的DNS请求数据。本发明实施例可通过捕获网络中指定端口的数据包来实现。
步骤S2,对捕获的DNS请求数据进行特征提取,提取DNS请求数据中请求域名包含的数字个数、DNS请求数据的请求类型、请求域名的长度,并且记录一次DNS会话连接中的上行数据包的数量、上行数据包大小的方差和上行数据包的发送间隔时间,从而获得DNS请求数据的特征向量。
本发明实施例将一条DNS请求数据表示为D(q),其中q表示DNS的请求域名,D(q)作为特征提取模块的输入。用q_number表示请求域名q中包含的数字个数,因为在DNS隧道的通信过程中,传输的数据一般都会以参数的形式经过某种编码或者加密算法之后进行传输,例如采用base64编码,因此和正常的DNS请求域名相比,经过编码之后的统一资源定位符URL里面的数字所占比例明显偏高。用q_type表示DNS请求数据的请求类型,正常的DNS请求中,大多数的请求类型都是“A记录”,然而在DNS隧道传输过程中会存在大量的TXT和MX类型的请求。用q_length表示请求域名的长度,当发生DNS隧道传输的时候,q的长度会明显长于正常的请求域名。同时,在一次DNS会话连接中,记录上行数据包的数量和该会话连接中上行数据包大小的方差,以及上行数据包的发送间隔时间,分别用package_size、up_package_var和package_interval进行表示。如此,就可以把一条DNS请求数据经过特征提取后获得的特征向量V表示为:
V={q_number,q_type,q_length,package_size,package_interval,up_package_var}。
步骤S3,对获得的DNS请求数据的特征向量进行归一化预处理。
本发明实施例中,经过特征提取获得的DNS请求数据的特征向量V还需要对其进行预处理,以特征向量中q_type字段为例,q_type字段所获取的值是离散变量,并且各个字段值差异较大,因此需要对其进行归一化处理,常见的归一化处理方式是对整个数据集用一种统一的归一化方法进行计算处理,本发明实施例中则是针对特定的特征字段采用特定的归一化方法进行预处理,例如对q_type字段的归一化处理,可以采用人工干预的方式,将不同的q_type类型映射到(0,1)区间中的固定值。本发明的一种实施方式中,q_type字段的原始取值可以如下:
[1,5,10,15,16,25,其他]
那么,经过归一化处理映射到(0,1)区间之后,q_type取值可以为:
[0.1,0.2,0.6,0.7,0.8,0.9,0.15]
类似地,对于特征向量中的其他类型字段也可以根据其特征分布特性来确定合适的归一化处理的方式。与对整个数据集用统一的归一化方法处理相比,能够一定程度上提高检测的准确率。
步骤S4,将经过归一化预处理后的特征向量输入机器学习检测模型进行检测,从而获得DNS隧道传输的检测结果,所述机器学习检测模型由正常DNS访问数据和DNS隧道传输数据组成的训练数据训练得到。
参见图2,图2是本发明实施例中机器学习检测模型100的原理示意图。本发明机器学习检测模型优包括支持向量机SVM分类器模型。首先,由正常DNS访问数据和异常的DNS隧道传输数据两部分组成SVM分类器模型的DNS训练数据101,其中,正常DNS访问数据通过DNS消息探针对局域网内日常网络访问进行数据采集获得,异常的DNS隧道传输数据则由布置在真实局域网环境中DNS隧道工具软件来产生,本发明实施例中采用的DNS隧道工具软件包括5种不同的DNS隧道工具:dns2tcp、dnscat2、iodine、Heyoka和tcp-over-dns。其次,生成的训练数据101经过特征工程102进行特征提取和预处理,输入到SVM分类器模型103进行检测分析,形成告警报告104,然后根据告警事件对告警报告104进行告警聚合105,最后反馈更新到DNS训练数据101,从而使得SVM分类器模型103能够不断学习更新。
步骤S5,将获得的DNS隧道传输的检测结果进行聚合,以用于更新机器学习检测模型的训练数据,从而对机器学习检测模型进行训练学习。本发明实施例中,通过训练数据训练获得的机器学习检测模型可以根据实际的DNS隧道传输数据的检测结果的反馈不断训练学习,从而可以使得检测模型的准确性得到不断提升。
参见图3,图3为本发明基于特征向量的DNS隧道传输检测装置200的结构示意图。本发明实施例提供的基于特征向量的DNS隧道传输检测装置200,包括以下模块:
捕获模块201,用于捕获客户端发送给DNS服务器的DNS请求数据。本发明实施例可通过捕获网络中指定端口的数据包来实现。
特征提取模块202,用于对捕获的DNS请求数据进行特征提取,提取DNS请求数据中请求域名包含的数字个数、DNS请求数据的请求类型、请求域名的长度,并且记录一次DNS会话连接中的上行数据包的数量、上行数据包大小的方差和上行数据包的发送间隔时间,从而获得DNS请求数据的特征向量。
本发明实施例将一条DNS请求数据表示为D(q),其中q表示DNS的请求域名,D(q)作为特征提取模块的输入。用q_number表示请求域名q中包含的数字个数,因为在DNS隧道的通信过程中,传输的数据一般都会以参数的形式经过某种编码或者加密算法之后进行传输,例如采用base64编码,因此和正常的DNS请求域名相比,经过编码之后的统一资源定位符URL里面的数字所占比例明显偏高。用q_type表示DNS请求数据的请求类型,正常的DNS请求中,大多数的请求类型都是“A记录”,然而在DNS隧道传输过程中会存在大量的TXT和MX类型的请求。用q_length表示请求域名的长度,当发生DNS隧道传输的时候,q的长度会明显长于正常的请求域名。同时,在一次DNS会话连接中,记录上行数据包的数量和该会话连接中上行数据包大小的方差,以及上行数据包的发送间隔时间,分别用package_size、up_package_var和package_interval进行表示。如此,就可以把一条DNS请求数据经过特征提取后获得的特征向量V表示为:
V={q_number,q_type,q_length,package_size,package_interval,up_package_var}。
预处理模块203,用于对获得的DNS请求数据的特征向量进行归一化预处理。本发明实施例中,经过特征提取获得的DNS请求数据的特征向量V还需要对其进行预处理,以特征向量中q_type字段为例,q_type字段所获取的值是离散变量,并且各个字段值差异较大,因此需要对其进行归一化处理,常见的归一化处理方式是对整个数据集用一种统一的归一化方法进行计算处理,本发明实施例中则是针对特定的特征字段采用特定的归一化方法进行预处理,例如对q_type字段的归一化处理,可以采用人工干预的方式,将不同的q_type类型映射到(0,1)区间中的固定值。本发明的一种实施方式中,q_type字段的原始取值可以如下:
[1,5,10,15,16,25,其他]
那么,经过归一化处理映射到(0,1)区间之后,q_type取值可以为:
[0.1,0.2,0.6,0.7,0.8,0.9,0.15]
类似地,对于特征向量中的其他类型字段也可以根据其特征分布特性来确定合适的归一化处理的方式。与对整个数据集用统一的归一化方法处理相比,能够一定程度上提高检测的准确率。
检测模块204,用于将经过归一化预处理后的特征向量输入机器学习检测模型100进行检测,从而获得DNS隧道传输的检测结果,所述机器学习检测模型100由正常DNS访问数据和DNS隧道传输数据组成的训练数据训练得到。机器学习检测模型100的原理示意图参见图2和前述所示,在此不再赘述。
反馈模块205,用于将获得的DNS隧道传输的检测结果进行聚合,以用于更新机器学习检测模型的训练数据,从而对机器学习检测模型进行训练学习。本发明实施例中,通过训练数据训练获得的机器学习检测模型可以根据实际的DNS隧道传输数据的检测结果的反馈不断训练学习,从而可以使得检测模型的准确性得到不断提升。
本发明实施例中,利用DNS消息探针从局域网采集了10万条正常DNS访问数据,并利用前述5种不同的DNS隧道工具产生了10万条异常的DNS隧道传输数据,以该二十万条数据作为实验数据,并把实验数据的70%用作SVM分类器模型的训练数据,其余的30%用作测试数据。经过实验测试验证,本发明实施例对DNS隧道传输的检测准确率可达96%左右,相比于传统检测方法而言,检测准确性更高,误报率较低,并且获得了较好的检测效率。
Claims (6)
1.一种基于特征向量的DNS隧道传输检测方法,其特征在于包括以下步骤:
步骤一,捕获客户端发送给DNS服务器的DNS请求数据;
步骤二,对捕获的DNS请求数据进行特征提取,提取DNS请求数据中请求域名包含的数字个数、DNS请求数据的请求类型、请求域名的长度,并且记录一次DNS会话连接中的上行数据包的数量、上行数据包大小的方差和上行数据包的发送间隔时间,从而获得DNS请求数据的特征向量;该DNS请求数据的特征向量表示如下:
V={q_number,q_type,q_length,package_size,package_interval,up_package_var}
其中,V表示DNS请求数据的特征向量,q_number表示请求域名q中包含的数字个数,q_type表示DNS请求数据的请求类型,q_length表示请求域名的长度,package_size表示一次DNS会话连接中的上行数据包的数量,up_package_var表示一次DNS会话连接中的上行数据包大小的方差,package_interval表示一次DNS会话连接中的上行数据包的发送间隔时间;
步骤三,对获得的DNS请求数据的特征向量进行归一化预处理;
步骤四,将经过归一化预处理后的特征向量输入机器学习检测模型进行检测,从而获得DNS隧道传输的检测结果,所述机器学习检测模型由正常DNS访问数据和DNS隧道传输数据组成的训练数据训练得到;
步骤五,将获得的DNS隧道传输的检测结果进行聚合,以用于更新机器学习检测模型的训练数据,从而对机器学习检测模型进行训练学习。
2.根据权利要求1所述的DNS隧道传输检测方法,其特征在于:所述对获得的DNS请求数据的特征向量进行归一化预处理包括将离散变量映射到(0,1)区间中的固定值。
3.根据权利要求1所述的DNS隧道传输检测方法,其特征在于:所述机器学习检测模型包括支持向量机SVM分类器模型。
4.一种基于特征向量的DNS隧道传输检测装置,其特征在于包括以下模块:
捕获模块,用于捕获客户端发送给DNS服务器的DNS请求数据;
特征提取模块,用于对捕获的DNS请求数据进行特征提取,提取DNS请求数据中请求域名包含的数字个数、DNS请求数据的请求类型、请求域名的长度,并且记录一次DNS会话连接中的上行数据包的数量、上行数据包大小的方差和上行数据包的发送间隔时间,从而获得DNS请求数据的特征向量;该DNS请求数据的特征向量表示如下:
V={q_number,q_type,q_length,package_size,package_interval,up_package_var}
其中,V表示DNS请求数据的特征向量,q_number表示请求域名q中包含的数字个数,q_type表示DNS请求数据的请求类型,q_length表示请求域名的长度,package_size表示一次DNS会话连接中的上行数据包的数量,up_package_var表示一次DNS会话连接中的上行数据包大小的方差,package_interval表示一次DNS会话连接中的上行数据包的发送间隔时间;
预处理模块,用于对获得的DNS请求数据的特征向量进行归一化预处理;
检测模块,用于将经过归一化预处理后的特征向量输入机器学习检测模型进行检测,从而获得DNS隧道传输的检测结果,所述机器学习检测模型由正常DNS访问数据和DNS隧道传输数据组成的训练数据训练得到;
反馈模块,用于将获得的DNS隧道传输的检测结果进行聚合,以用于更新机器学习检测模型的训练数据,从而对机器学习检测模型进行训练学习。
5.根据权利要求4所述的DNS隧道传输检测装置,其特征在于:所述对获得的DNS请求数据的特征向量进行归一化预处理包括将离散变量映射到(0,1)区间中的固定值。
6.根据权利要求4所述的DNS隧道传输检测装置,其特征在于:所述机器学习检测模型包括支持向量机SVM分类器模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710549740.4A CN109218124A (zh) | 2017-07-06 | 2017-07-06 | Dns隧道传输检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710549740.4A CN109218124A (zh) | 2017-07-06 | 2017-07-06 | Dns隧道传输检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109218124A true CN109218124A (zh) | 2019-01-15 |
Family
ID=64991090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710549740.4A Pending CN109218124A (zh) | 2017-07-06 | 2017-07-06 | Dns隧道传输检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109218124A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109936578A (zh) * | 2019-03-21 | 2019-06-25 | 西安电子科技大学 | 一种面向网络中https隧道流量的检测方法 |
| CN110071829A (zh) * | 2019-04-12 | 2019-07-30 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN110602100A (zh) * | 2019-09-16 | 2019-12-20 | 上海斗象信息科技有限公司 | Dns隧道流量的检测方法 |
| CN110855632A (zh) * | 2019-10-24 | 2020-02-28 | 新华三信息安全技术有限公司 | 报文检测方法、装置、网络设备和计算机可读存储介质 |
| CN111327596A (zh) * | 2020-01-19 | 2020-06-23 | 深信服科技股份有限公司 | 超文本传输协议隧道检测方法、装置及可读存储介质 |
| CN111683096A (zh) * | 2020-06-10 | 2020-09-18 | 北京天融信网络安全技术有限公司 | 一种基于域名服务协议的数据处理方法及电子设备 |
| CN111835763A (zh) * | 2020-07-13 | 2020-10-27 | 北京邮电大学 | 一种dns隧道流量检测方法、装置及电子设备 |
| CN113114524A (zh) * | 2021-03-04 | 2021-07-13 | 北京六方云信息技术有限公司 | 基于Spark流式的DNS隧道检测方法、装置及电子设备 |
| CN113341406A (zh) * | 2021-06-15 | 2021-09-03 | 中铁隧道局集团有限公司 | 一种隧道病害检测系统的检测方法 |
| CN113472914A (zh) * | 2021-06-28 | 2021-10-01 | 广州根链国际网络研究院有限公司 | Dns定向预取缓存方法及系统 |
| CN113904843A (zh) * | 2021-10-08 | 2022-01-07 | 成都天空卫士网络安全技术有限公司 | 一种终端异常dns行为的分析方法和装置 |
| CN115348188A (zh) * | 2022-10-18 | 2022-11-15 | 安徽华云安科技有限公司 | 一种dns隧道流量检测方法、装置、存储介质及终端 |
| CN115643087A (zh) * | 2022-10-24 | 2023-01-24 | 天津大学 | 一种基于编码特征与统计行为特征融合的dns隧道检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120054860A1 (en) * | 2010-09-01 | 2012-03-01 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert dns tunnels |
| CN103577835A (zh) * | 2013-08-02 | 2014-02-12 | 中国科学技术大学苏州研究院 | 采用多维特征向量检测ip id隐信道的方法 |
| CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
-
2017
- 2017-07-06 CN CN201710549740.4A patent/CN109218124A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120054860A1 (en) * | 2010-09-01 | 2012-03-01 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert dns tunnels |
| CN103577835A (zh) * | 2013-08-02 | 2014-02-12 | 中国科学技术大学苏州研究院 | 采用多维特征向量检测ip id隐信道的方法 |
| CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| 吴传伟等: "基于SVM的Telnet隐蔽信道检测", 《信息安全与通信保密》 * |
| 杨建强等: "DNS隐蔽信道检测研究", 《现代计算机》 * |
| 章思宇等: "基于DNS的隐蔽通道流量检测", 《通信学报》 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109936578A (zh) * | 2019-03-21 | 2019-06-25 | 西安电子科技大学 | 一种面向网络中https隧道流量的检测方法 |
| CN110071829A (zh) * | 2019-04-12 | 2019-07-30 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN110071829B (zh) * | 2019-04-12 | 2022-03-04 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN110602100A (zh) * | 2019-09-16 | 2019-12-20 | 上海斗象信息科技有限公司 | Dns隧道流量的检测方法 |
| CN110602100B (zh) * | 2019-09-16 | 2023-02-28 | 上海斗象信息科技有限公司 | Dns隧道流量的检测方法 |
| CN110855632A (zh) * | 2019-10-24 | 2020-02-28 | 新华三信息安全技术有限公司 | 报文检测方法、装置、网络设备和计算机可读存储介质 |
| CN110855632B (zh) * | 2019-10-24 | 2022-03-11 | 新华三信息安全技术有限公司 | 报文检测方法、装置、网络设备和计算机可读存储介质 |
| CN111327596A (zh) * | 2020-01-19 | 2020-06-23 | 深信服科技股份有限公司 | 超文本传输协议隧道检测方法、装置及可读存储介质 |
| CN111327596B (zh) * | 2020-01-19 | 2022-08-05 | 深信服科技股份有限公司 | 超文本传输协议隧道检测方法、装置及可读存储介质 |
| CN111683096A (zh) * | 2020-06-10 | 2020-09-18 | 北京天融信网络安全技术有限公司 | 一种基于域名服务协议的数据处理方法及电子设备 |
| CN111835763B (zh) * | 2020-07-13 | 2022-03-04 | 北京邮电大学 | 一种dns隧道流量检测方法、装置及电子设备 |
| CN111835763A (zh) * | 2020-07-13 | 2020-10-27 | 北京邮电大学 | 一种dns隧道流量检测方法、装置及电子设备 |
| CN113114524A (zh) * | 2021-03-04 | 2021-07-13 | 北京六方云信息技术有限公司 | 基于Spark流式的DNS隧道检测方法、装置及电子设备 |
| CN113341406A (zh) * | 2021-06-15 | 2021-09-03 | 中铁隧道局集团有限公司 | 一种隧道病害检测系统的检测方法 |
| CN113472914A (zh) * | 2021-06-28 | 2021-10-01 | 广州根链国际网络研究院有限公司 | Dns定向预取缓存方法及系统 |
| CN113472914B (zh) * | 2021-06-28 | 2023-09-26 | 北京天地互连信息技术有限公司 | Dns定向预取缓存方法及系统 |
| CN113904843A (zh) * | 2021-10-08 | 2022-01-07 | 成都天空卫士网络安全技术有限公司 | 一种终端异常dns行为的分析方法和装置 |
| CN113904843B (zh) * | 2021-10-08 | 2023-11-14 | 成都天空卫士网络安全技术有限公司 | 一种终端异常dns行为的分析方法和装置 |
| CN115348188A (zh) * | 2022-10-18 | 2022-11-15 | 安徽华云安科技有限公司 | 一种dns隧道流量检测方法、装置、存储介质及终端 |
| CN115643087A (zh) * | 2022-10-24 | 2023-01-24 | 天津大学 | 一种基于编码特征与统计行为特征融合的dns隧道检测方法 |
| CN115643087B (zh) * | 2022-10-24 | 2024-04-30 | 天津大学 | 一种基于编码特征与统计行为特征融合的dns隧道检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109218124A (zh) | Dns隧道传输检测方法和装置 | |
| CN104767757B (zh) | 基于web业务的多维度安全监测方法和系统 | |
| CN104125209B (zh) | 恶意网址提示方法和路由器 | |
| CN109450842A (zh) | 一种基于神经网络的网络恶意行为识别方法 | |
| CN102394885B (zh) | 基于数据流的信息分类防护自动化核查方法 | |
| CN103795723B (zh) | 一种分布式物联网安全态势感知方法 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN109905288B (zh) | 一种应用服务分类方法及装置 | |
| CN105930727A (zh) | 基于Web的爬虫识别算法 | |
| US10885466B2 (en) | Method for performing user profiling from encrypted network traffic flows | |
| CN108156131A (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| CN106534164B (zh) | 基于网络空间用户标识的有效虚拟身份刻画方法 | |
| CN107438083B (zh) | 一种Android环境下钓鱼网站检测方法及其检测系统 | |
| CN105162626A (zh) | 基于众核处理器的网络流量深度识别系统及识别方法 | |
| CN109104456A (zh) | 一种基于浏览器指纹的用户追踪与传播统计分析方法 | |
| CN102710770A (zh) | 一种上网设备识别方法及其实现系统 | |
| CN106603734A (zh) | Cdn服务ip检测方法和系统 | |
| CN114244564B (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| CN112929390A (zh) | 一种基于多策略融合的网络智能监控方法 | |
| Bai et al. | Analysis and detection of bogus behavior in web crawler measurement | |
| CN107818132A (zh) | 一种基于机器学习的网页代理发现方法 | |
| CN102882748A (zh) | 网络接入检测系统和网络接入检测方法 | |
| CN114422211B (zh) | 基于图注意力网络的http恶意流量检测方法及装置 | |
| CN110020161B (zh) | 数据处理方法、日志处理方法和终端 | |
| CN106789413A (zh) | 一种检测代理上网的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190115 |
|
| WD01 | Invention patent application deemed withdrawn after publication |