CN109218461B - 一种检测隧道域名的方法及装置 - Google Patents
一种检测隧道域名的方法及装置 Download PDFInfo
- Publication number
- CN109218461B CN109218461B CN201810904424.9A CN201810904424A CN109218461B CN 109218461 B CN109218461 B CN 109218461B CN 201810904424 A CN201810904424 A CN 201810904424A CN 109218461 B CN109218461 B CN 109218461B
- Authority
- CN
- China
- Prior art keywords
- domain name
- name request
- request
- preset standard
- average
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种检测隧道域名的方法及装置,所述方法包括:获取待检测域名在预设时段内的特征参数;将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;根据比较结果,确定所述待检测域名是否为隧道域名。所述装置执行上述方法。本发明实施例提供的检测隧道域名的方法及装置,根据正常域名的正常特征参数的数值和类别确定预设标准参数,并根据待检测域名在预设时段内的特征参数与该预设标准参数的比较结果,能够准确、有效地检测待检测域名是否为隧道域名。
Description
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种检测隧道域名的方法及装置。
背景技术
域名系统(Domain Name System,简称“DNS”)隧道是一种数据传输方式,DNS隧道是用DNS数据包封装非域名数据的一种方式,在某些恶意代码窃取了信息后,通常会对窃取到的信息进行加密和编码,然后再切分成片段,再用DNS隧道方式来封装片段信息(可以封装在子域名中),再传到预先架设的DNS服务器中。现有的网络安全技术不容易检测到DNS隧道,也无法检测隧道域名(采用DNS隧道方式来封装的域名),从而导致存在网络安全隐患。
因此,如何避免上述缺陷,能够准确、有效地检测待检测域名是否为隧道域名,成为亟须解决的问题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种检测隧道域名的方法及装置。
第一方面,本发明实施例提供一种检测隧道域名的方法,所述方法包括:
获取待检测域名在预设时段内的特征参数;
将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;
根据比较结果,确定所述待检测域名是否为隧道域名。
第二方面,本发明实施例提供一种检测隧道域名的装置,所述装置包括:
获取单元,用于获取待检测域名在预设时段内的特征参数;
比较单元,用于将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;
检测单元,用于根据比较结果,确定所述待检测域名是否为隧道域名。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:
获取待检测域名在预设时段内的特征参数;
将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;
根据比较结果,确定所述待检测域名是否为隧道域名。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如下方法:
获取待检测域名在预设时段内的特征参数;
将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;
根据比较结果,确定所述待检测域名是否为隧道域名。
本发明实施例提供的检测隧道域名的方法及装置,根据正常域名的正常特征参数的数值和类别确定预设标准参数,并根据待检测域名在预设时段内的特征参数与该预设标准参数的比较结果,能够准确、有效地检测待检测域名是否为隧道域名。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例检测隧道域名的方法流程示意图;
图2为本发明另一实施例检测隧道域名的方法流程示意图;
图3为本发明实施例检测隧道域名的装置结构示意图;
图4为本发明实施例提供的电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例检测隧道域名的方法流程示意图,如图1所示,本发明实施例提供的一种检测隧道域名的方法,包括以下步骤:
S101:获取待检测域名在预设时段内的特征参数。
具体的,装置获取待检测域名在预设时段内的特征参数。预设时段可以根据实际情况自主设置,可选为5分钟或10分钟等。特征参数可以包括域名请求重复率;其中,所述域名请求重复率是对应相同一级域名的所有域名请求字符串的重复率,可以根据如下公式计算所述域名请求重复率:
1-域名请求字符串的类别数/每类域名请求字符串的重复次数之和。
进一步对相关内容进行说明:
DNS隧道格式:
格式如下:子域名.隧道域名.顶级域名。其中,子域名是封装的信息。
例如:abcdefghijk.tunnel.com,封装的窃密信息是abcdefghijk,tunnel.com是隧道域名。当然,隧道域名也可以是tunnel.com.cn,这种包含了多个顶级域名的格式。
例如,abcdefg.tunnel.com和12345678.tunnel.com,其中,abcdefg和12345678都是对应相同一级域名tunnel的不同类别的域名请求字符串,而com则是顶级域名,举例说明如下:假如该一级域名tunnel只有上述两类域名请求字符串,对于abcdefg,在上述预设时段内的重复次数为10次(即每发送一次域名请求,重复次数统计数值加1),对于12345678,在上述预设时段内的重复次数为20次,则域名请求重复率为1-(2/30)=28/30,其中,数值“2”为两类域名请求字符串;数值“30”为这两类域名请求字符串的重复次数之和。
特征参数还可以包括域名请求的平均域名请求字符串长度,其中,所述平均域名请求字符串长度是每类域名请求字符串的长度之和的平均值,参照上述举例,域名请求字符串abcdefg的域名请求字符串的长度为7;域名请求字符串12345678的域名请求字符串的长度为8,则平均域名请求字符串长度=(7+8)/2=7.5。
特征参数还包括域名请求的平均应答时间,其中,所述平均应答时间是每个域名请求的请求发送时刻与应答时刻之间的时间间隔之和的平均值,举例说明如下:在上述预设时段内有2个域名请求,域名请求A的请求发送时刻与应答时刻之间的时间间隔t1为10秒,域名请求B的请求发送时刻与应答时刻之间的时间间隔t2为20秒,则平均应答时间=(10秒+20秒)/2=15秒。
S102:将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的。
具体的,装置将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的。
发明人发现正常域名与DNS隧道域名的行为差异体现在如下几个方面:
(i)预设时段内的域名请求重复率。对一个正常域名而言,其子域名数量有限,且主机缓存时间不长,预设时段内发出的域名请求存在大量重复。而由于加密和编码,隧道域名对应的子域名一般不重复。因此,相比于正常域名,隧道域名的域名请求字符串的重复率较低。
(ii)域名请求字符串长度。由于需要传送信息,隧道域名的域名请求字符串长度通常比正常域名的域名请求字符串长度的长,以便于传输更多的数据。
(iii)请求/应答时间。正常域名的解析结果一般在域名缓存服务器上存在缓存,因此,请求发送到递归服务器,递归服务器返回解析结果。如果缓存时间过期,递归服务器在接到解析请求后,会再次向根服务器发出解析请求,然后缓存并解析。由于缓冲不会短时间失效,因此,通常都是递归服务器进行请求应答。正常域名通过递归服务器响应,而隧道域名则需要经过递归服务器、根服务器和隧道域名对应的DNS服务器响应。相应地,无论是从客户端侧观察,还是从递归DNS服务器侧观察,从发出请求到接到应答的解析结果,隧道域名解析所需的时间更长。
正常特征参数的类别包括正常域名请求重复率或正常域名请求的正常平均域名请求字符串长度或正常域名请求的正常平均应答时间,
可以根据如下公式确定第一预设标准参数(第一种正常特征参数类别对应的预设标准参数):所述第一预设标准参数=α×所述正常域名请求重复率;其中,α为0~1之间的数值,通常正常域名请求重复率大于0.8,α可选为0.7或0.8。根据如下公式确定第二预设标准参数(第二种正常特征参数类别对应的预设标准参数):所述第二预设标准参数=β×所述正常平均域名请求字符串长度,其中,β为大于1的数值,β可选为1.1。根据如下公式确定第三预设标准参数(第三种正常特征参数类别对应的预设标准参数):所述第三预设标准参数=γ×正常平均应答时间,其中,γ为大于1的数值,γ可选为1.2。需要说明的是:上述可以数值是预设时段为5~10分钟内较合理的数值。将所述特征参数与预设标准参数相比较,可以理解为:将上述待检测域名的三种特征参数(实测)分别与对应种类的预设标准参数一一比较。
S103:根据比较结果,确定所述待检测域名是否为隧道域名。
具体的,装置根据比较结果,确定所述待检测域名是否为隧道域名。特征参数(实测)可以包括域名请求重复率或域名请求的平均域名请求字符串长度或域名请求的平均应答时间;相应的,所述根据比较结果,确定所述待检测域名是否为隧道域名,参照上述正常域名与DNS隧道域名的行为差异体现的几个方面,可以具体如下:
若判断获知所述域名请求重复率小于所述第一预设标准参数,则确定所述待检测域名为所述隧道域名;若判断获知所述平均域名请求字符串长度大于所述第二预设标准参数,则确定所述待检测域名为所述隧道域名;若判断获知所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
为了更准确地检测待检测域名是否为隧道域名,特征参数可以包括域名请求重复率、域名请求的平均域名请求字符串长度和域名请求的平均应答时间,方法还可以包括:
还获取所述待检测域名在所述预设时段内的已发送的域名请求数量;若判断获知所述域名请求数量大于等于预设域名请求数量、且所述域名请求重复率小于所述第一预设标准参数、且所述平均域名请求字符串长度大于所述第二预设标准参数、且所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名,预设域名请求数量可以根据实际情况自主设置,当预设时段为5分钟~10分钟时,可选为100~200,即通过将在预设时段内已发送的域名请求数量、域名请求重复率、平均域名请求字符串长度、平均应答时间全部作为检测条件对待检测域名是否为隧道域名进行全面检测。
图2为本发明另一实施例检测隧道域名的方法流程示意图,如图2所示,作简要说明如下:
步骤1:读取的隧道数据,分析隧道行为特征。隧道行为特征供步骤9设置检测阈值。特征包括三种(说明一)。转入步骤2;
步骤2:读取域名白名单(说明二),转入步骤3;
步骤3:读取检测文件,如果还有未读取的日志,则进入步骤4,否则进入步骤8;
步骤4:读取一条日志,提取出域名信息,进入步骤5;
步骤5:判别该域名是否是白名单域名,即,该域名是否是在步骤2读取的白名单中。如果是,则进入步骤6,否则进入步骤7;
步骤6:将白名单域名的信息放入正常域名池,包括请求/返回的内容和请求/返回时间。返回步骤3;
步骤7:将非白名单域名放入可疑域名池,返回步骤3;
步骤8:根据步骤中的正常域名池中的域名信息,训练正常行为模型,正常行为特征值用于步骤9;
步骤9:根据正常行为特征值和隧道特征值,设置检测阈值(说明三),检测阈值用于步骤13;
步骤10:对步骤7中可疑域名池,按照域名和时间,对可疑域名进行排序和聚类,形成新的可疑域名池(说明四),进入步骤11;
步骤11:判别培训聚类后的可疑域名池是否还有未检测处理的可疑隧道数据,如果有,转入步骤12,否则转入步骤16;
步骤12:读取一个域名对应的可疑隧道数据,转入步骤13;
步骤13:对该可疑域名隧道进行分析,根据检测阈值,进行检测(检测方式见说明五),转入步骤14;
步骤14:是否是DNS隧道,如果是,转入步骤15;
步骤15:报警,或者写日志,转入步骤11。
步骤16:检测完毕。
说明一:特征说明:
包括三个检测特征,分别描述如下:
(i)请求域名重复率。在一段时间内,属于同一个一级域名的所有域名请求字符串的重复率。例如,abcdefg.tunnel.com和12345678.tunnel.com属于同一个一级域名tunnel,而com则是顶级域名。
(ii)平均子域名请求字符串长度。子域名请求字符串长度是指一个域名去除掉顶级域名和一级域名后,并去除掉字符“.”后的字符串长度。如,12345678.tunnel.com对应的子域名长度是8,而abcd.1234.tunnel.com对应的子域名字符串长度是8。平均子域名请求字符串长度是指在一定时间内,所有一个可疑的隧道域名对应的所有子域名请求字符串长度。
(iii)平均请求/应答的时间间隔。在一定时间内,所有请求/应答的时间间隔的平均值。
说明二:关于白名单域名选取的说明:
白名单可以选取Alex排名前1000的域名。
说明三:检测阈值设定
检测阈值的设定方法:
首先定义几个参数;
Rn:正常域名的请求域名重复率;
Ln:平均正常子域名请求字符串长度;
Dn:平均正常请求/应答的时间间隔;
设置三个检测阈值RT、LT、DT,分别满足:
RT<Rn
LT>Ln
DT>Dn
设置RT、LT、DT考虑如下几点:
(i)根据实际数据分析(在5或者10分钟时隙内),通常Rn>0.8。可以设置RT=α*Rn,α可以设置为0.7或者0.8;
(ii)LT=β*Ln,β可以为1.1;
(iii)DT=γ*Dn,γ可为1.2。
说明四:对可疑域名进行排序和聚类
对域名池中的域名先按照一级域名进行聚类,对聚类后的域名按照域名请求发送时间先后进行排序。
说明五:检测方法
检测方法包括5个参数,包括:检测时隙Intv(对应预设时段),请求数量阈值NT(对应预设域名请求数量),另外三个参数是在说明三中设置三个检测阈值RT(对应第一预设标准参数)、LT(对应第二预设标准参数)、DT(对应第三预设标准参数)。
假设在一个检测时隙Intv内,一个可疑隧道的DNS请求数量是N,可疑隧道阈值对应的检测参数分别是R、L、D,如果
N≥NT----条件一
R<RT----条件二
L>LT----条件三
D>DT----条件四
如果条件一、二、三、四同时满足,则认为是DNS隧道。
对Intv和NT的说明:推荐Intv设置为5、10分钟,NT推荐设置为50、100或者200。
本发明实施例具有如下特点:
(i)无论是否符合正常域名规范和DNS数据包规范,均可检测。
(ii)抓住了DNS隧道的本质,包括请求/应答时间间隔大于正常域名、请求内容长度大于正常域名,以及子域名长度重复率低于正常域名。
(iii)训练数据要求低,只需要采用白名单域名对应的流量进行训练。
本发明实施例提供的检测隧道域名的方法,根据正常域名的正常特征参数的数值和类别确定预设标准参数,并根据待检测域名在预设时段内的特征参数与该预设标准参数的比较结果,能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求重复率;其中,所述域名请求重复率是对应相同一级域名的所有域名请求字符串的重复率。
具体的,装置中的所述特征参数包括域名请求重复率;其中,所述域名请求重复率是对应相同一级域名的所有域名请求字符串的重复率。可参照上述实施例,不再赘述。
本发明实施例提供的检测隧道域名的方法,通过将域名请求重复率作为一种特征参数,进一步能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,根据如下公式计算所述域名请求重复率:
1-域名请求字符串的类别数/每类域名请求字符串的重复次数之和。
具体的,装置根据如下公式计算所述域名请求重复率:
1-域名请求字符串的类别数/每类域名请求字符串的重复次数之和。可参照上述实施例,不再赘述。
本发明实施例提供的检测隧道域名的方法,通过公式计算域名请求重复率,进一步能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求的平均域名请求字符串长度,其中,所述平均域名请求字符串长度是每类域名请求字符串的长度之和的平均值。
具体的,装置中的所述特征参数包括域名请求的平均域名请求字符串长度,其中,所述平均域名请求字符串长度是每类域名请求字符串的长度之和的平均值。可参照上述实施例,不再赘述。
本发明实施例提供的检测隧道域名的方法,通过将平均域名请求字符串长度作为一种特征参数,进一步能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求的平均应答时间,其中,所述平均应答时间是每个域名请求的请求发送时刻与应答时刻之间的时间间隔之和的平均值。
具体的,装置中的所述特征参数包括域名请求的平均应答时间,其中,所述平均应答时间是每个域名请求的请求发送时刻与应答时刻之间的时间间隔之和的平均值。可参照上述实施例,不再赘述。
本发明实施例提供的检测隧道域名的方法,通过将平均应答时间作为一种特征参数,进一步能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述正常特征参数的类别包括正常域名请求重复率或正常域名请求的正常平均域名请求字符串长度或正常域名请求的正常平均应答时间;相应的,所述预设标准参数的确定,包括:
根据如下公式确定第一预设标准参数:
所述第一预设标准参数=α×所述正常域名请求重复率;
其中,α为0~1之间的数值。
具体的,装置根据如下公式确定第一预设标准参数:
所述第一预设标准参数=α×所述正常域名请求重复率;
其中,α为0~1之间的数值。可参照上述实施例,不再赘述。
根据如下公式确定第二预设标准参数:
所述第二预设标准参数=β×所述正常平均域名请求字符串长度;
其中,β为大于1的数值。
具体的,装置根据如下公式确定第二预设标准参数:
所述第二预设标准参数=β×所述正常平均域名请求字符串长度;
其中,β为大于1的数值。可参照上述实施例,不再赘述。
根据如下公式确定第三预设标准参数:
所述第三预设标准参数=γ×正常平均应答时间;
其中,γ为大于1的数值。
具体的,装置根据如下公式确定第三预设标准参数:
所述第三预设标准参数=γ×正常平均应答时间;
其中,γ为大于1的数值。可参照上述实施例,不再赘述。
本发明实施例提供的检测隧道域名的方法,通过正常域名请求重复率或正常平均域名请求字符串长度或正常平均应答时间分别作为预设标准参数,能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求重复率或域名请求的平均域名请求字符串长度或域名请求的平均应答时间;相应的,所述根据比较结果,确定所述待检测域名是否为隧道域名,包括:
若判断获知所述域名请求重复率小于所述第一预设标准参数,则确定所述待检测域名为所述隧道域名。
具体的,装置若判断获知所述域名请求重复率小于所述第一预设标准参数,则确定所述待检测域名为所述隧道域名。可参照上述实施例,不再赘述。
若判断获知所述平均域名请求字符串长度大于所述第二预设标准参数,则确定所述待检测域名为所述隧道域名。
具体的,装置若判断获知所述平均域名请求字符串长度大于所述第二预设标准参数,则确定所述待检测域名为所述隧道域名。可参照上述实施例,不再赘述。
若判断获知所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
具体的,装置若判断获知所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。可参照上述实施例,不再赘述。
本发明实施例提供的检测隧道域名的方法,通过三种不同的特征参数分别检测待检测域名是否为隧道域名,能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求重复率、域名请求的平均域名请求字符串长度和域名请求的平均应答时间;相应的,所述方法还包括:
还获取所述待检测域名在所述预设时段内的已发送的域名请求数量。
具体的,装置还获取所述待检测域名在所述预设时段内的已发送的域名请求数量。可参照上述实施例,不再赘述。
若判断获知所述域名请求数量大于等于预设域名请求数量、且所述域名请求重复率小于所述第一预设标准参数、且所述平均域名请求字符串长度大于所述第二预设标准参数、且所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
具体的,装置若判断获知所述域名请求数量大于等于预设域名请求数量、且所述域名请求重复率小于所述第一预设标准参数、且所述平均域名请求字符串长度大于所述第二预设标准参数、且所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。可参照上述实施例,不再赘述。
本发明实施例提供的检测隧道域名的方法,通过域名请求数量,以及将三种不同的特征参数组合,以检测待检测域名是否为隧道域名,进一步能够准确、有效地检测待检测域名是否为隧道域名。
图3为本发明实施例检测隧道域名的装置结构示意图,如图3所示,本发明实施例提供了一种检测隧道域名的装置,包括聚类单元301、检测单元302和确定单元303,其中:
获取单元301用于获取待检测域名在预设时段内的特征参数;比较单元302用于将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;检测单元303用于根据比较结果,确定所述待检测域名是否为隧道域名。
具体的,获取单元301用于获取待检测域名在预设时段内的特征参数;比较单元302用于将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;检测单元303用于根据比较结果,确定所述待检测域名是否为隧道域名。
本发明实施例提供的检测隧道域名的装置,根据正常域名的正常特征参数的数值和类别确定预设标准参数,并根据待检测域名在预设时段内的特征参数与该预设标准参数的比较结果,能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求重复率;其中,所述域名请求重复率是对应相同一级域名的所有域名请求字符串的重复率。
具体的,装置中的所述特征参数包括域名请求重复率;其中,所述域名请求重复率是对应相同一级域名的所有域名请求字符串的重复率。
本发明实施例提供的检测隧道域名的装置,通过将域名请求重复率作为一种特征参数,进一步能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,根据如下公式计算所述域名请求重复率:1-域名请求字符串的类别数/每类域名请求字符串的重复次数之和。
具体的,装置根据如下公式计算所述域名请求重复率:1-域名请求字符串的类别数/每类域名请求字符串的重复次数之和。
本发明实施例提供的检测隧道域名的装置,通过公式计算域名请求重复率,进一步能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求的平均域名请求字符串长度,其中,所述平均域名请求字符串长度是每类域名请求字符串的长度之和的平均值。
具体的,装置中的所述特征参数包括域名请求的平均域名请求字符串长度,其中,所述平均域名请求字符串长度是每类域名请求字符串的长度之和的平均值。
本发明实施例提供的检测隧道域名的装置,通过将平均域名请求字符串长度作为一种特征参数,进一步能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求的平均应答时间,其中,所述平均应答时间是每个域名请求的请求发送时刻与应答时刻之间的时间间隔之和的平均值。
具体的,装置中的所述特征参数包括域名请求的平均应答时间,其中,所述平均应答时间是每个域名请求的请求发送时刻与应答时刻之间的时间间隔之和的平均值。
本发明实施例提供的检测隧道域名的装置,通过将平均应答时间作为一种特征参数,进一步能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述正常特征参数的类别包括正常域名请求重复率或正常域名请求的正常平均域名请求字符串长度或正常域名请求的正常平均应答时间;相应的,所述预设标准参数的确定,包括:
根据如下公式确定第一预设标准参数:所述第一预设标准参数=α×所述正常域名请求重复率;其中,α为0~1之间的数值;根据如下公式确定第二预设标准参数:所述第二预设标准参数=β×所述正常平均域名请求字符串长度;其中,β为大于1的数值;根据如下公式确定第三预设标准参数:所述第三预设标准参数=γ×正常平均应答时间;其中,γ为大于1的数值。
具体的,装置根据如下公式确定第一预设标准参数:所述第一预设标准参数=α×所述正常域名请求重复率;其中,α为0~1之间的数值;根据如下公式确定第二预设标准参数:所述第二预设标准参数=β×所述正常平均域名请求字符串长度;其中,β为大于1的数值;根据如下公式确定第三预设标准参数:所述第三预设标准参数=γ×正常平均应答时间;其中,γ为大于1的数值。
本发明实施例提供的检测隧道域名的装置,通过正常域名请求重复率或正常平均域名请求字符串长度或正常平均应答时间分别作为预设标准参数,能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求重复率或域名请求的平均域名请求字符串长度或域名请求的平均应答时间;相应的,所述检测单元303具体用于:若判断获知所述域名请求重复率小于所述第一预设标准参数,则确定所述待检测域名为所述隧道域名;若判断获知所述平均域名请求字符串长度大于所述第二预设标准参数,则确定所述待检测域名为所述隧道域名;若判断获知所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
具体的,所述检测单元303具体用于:若判断获知所述域名请求重复率小于所述第一预设标准参数,则确定所述待检测域名为所述隧道域名;若判断获知所述平均域名请求字符串长度大于所述第二预设标准参数,则确定所述待检测域名为所述隧道域名;若判断获知所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
本发明实施例提供的检测隧道域名的装置,通过三种不同的特征参数分别检测待检测域名是否为隧道域名,能够准确、有效地检测待检测域名是否为隧道域名。
在上述实施例的基础上,所述特征参数包括域名请求重复率、域名请求的平均域名请求字符串长度和域名请求的平均应答时间;相应的,所述装置还用于:还获取所述待检测域名在所述预设时段内的已发送的域名请求数量;若判断获知所述域名请求数量大于等于预设域名请求数量、且所述域名请求重复率小于所述第一预设标准参数、且所述平均域名请求字符串长度大于所述第二预设标准参数、且所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
具体的,所述装置还用于:还获取所述待检测域名在所述预设时段内的已发送的域名请求数量;若判断获知所述域名请求数量大于等于预设域名请求数量、且所述域名请求重复率小于所述第一预设标准参数、且所述平均域名请求字符串长度大于所述第二预设标准参数、且所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
本发明实施例提供的检测隧道域名的装置,通过域名请求数量,以及将三种不同的特征参数组合,以检测待检测域名是否为隧道域名,进一步能够准确、有效地检测待检测域名是否为隧道域名。
本发明实施例提供的检测隧道域名的装置具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图4为本发明实施例提供的电子设备实体结构示意图,如图4所示,所述电子设备包括:处理器(processor)401、存储器(memory)402和总线403;
其中,所述处理器401、存储器402通过总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取待检测域名在预设时段内的特征参数;将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;根据比较结果,确定所述待检测域名是否为隧道域名。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取待检测域名在预设时段内的特征参数;将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;根据比较结果,确定所述待检测域名是否为隧道域名。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取待检测域名在预设时段内的特征参数;将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;根据比较结果,确定所述待检测域名是否为隧道域名。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的各实施例技术方案的范围。
Claims (14)
1.一种检测隧道域名的方法,其特征在于,包括:
获取待检测域名在预设时段内的特征参数;
将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;
根据比较结果,确定所述待检测域名是否为隧道域名;
所述特征参数包括域名请求重复率;其中,所述域名请求重复率是对应相同一级域名的所有域名请求字符串的重复率;
所述特征参数包括域名请求的平均应答时间,其中,所述平均应答时间是每个域名请求的请求发送时刻与应答时刻之间的时间间隔之和的平均值。
2.根据权利要求1所述的方法,其特征在于,根据如下公式计算所述域名请求重复率:
1-域名请求字符串的类别数/每类域名请求字符串的重复次数之和。
3.根据权利要求1所述的方法,所述特征参数包括域名请求的平均域名请求字符串长度,其中,所述平均域名请求字符串长度是每类域名请求字符串的长度之和的平均值。
4.根据权利要求1至3任一所述的方法,所述正常特征参数的类别包括正常域名请求重复率或正常域名请求的正常平均域名请求字符串长度或正常域名请求的正常平均应答时间;相应的,所述预设标准参数的确定,包括:
根据如下公式确定第一预设标准参数:
所述第一预设标准参数=α×所述正常域名请求重复率;
其中,α为0~1之间的数值;
根据如下公式确定第二预设标准参数:
所述第二预设标准参数=β×所述正常平均域名请求字符串长度;
其中,β为大于1的数值;
根据如下公式确定第三预设标准参数:
所述第三预设标准参数=γ×正常平均应答时间;
其中,γ为大于1的数值。
5.根据权利要求4所述的方法,所述特征参数包括域名请求重复率或域名请求的平均域名请求字符串长度或域名请求的平均应答时间;相应的,所述根据比较结果,确定所述待检测域名是否为隧道域名,包括:
若判断获知所述域名请求重复率小于所述第一预设标准参数,则确定所述待检测域名为所述隧道域名;
若判断获知所述平均域名请求字符串长度大于所述第二预设标准参数,则确定所述待检测域名为所述隧道域名;
若判断获知所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
6.根据权利要求4所述的方法,所述特征参数包括域名请求重复率、域名请求的平均域名请求字符串长度和域名请求的平均应答时间;相应的,所述方法还包括:
还获取所述待检测域名在所述预设时段内的已发送的域名请求数量;
若判断获知所述域名请求数量大于等于预设域名请求数量、且所述域名请求重复率小于所述第一预设标准参数、且所述平均域名请求字符串长度大于所述第二预设标准参数、且所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
7.一种检测隧道域名的装置,其特征在于,包括:
获取单元,用于获取待检测域名在预设时段内的特征参数;
比较单元,用于将所述特征参数与预设标准参数相比较;其中,所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的;
检测单元,用于根据比较结果,确定所述待检测域名是否为隧道域名;
所述特征参数包括域名请求重复率;其中,所述域名请求重复率是对应相同一级域名的所有域名请求字符串的重复率;
所述特征参数包括域名请求的平均应答时间,其中,所述平均应答时间是每个域名请求的请求发送时刻与应答时刻之间的时间间隔之和的平均值。
8.根据权利要求7所述的装置,其特征在于,根据如下公式计算所述域名请求重复率:
1-域名请求字符串的类别数/每类域名请求字符串的重复次数之和。
9.根据权利要求7所述的装置,所述特征参数包括域名请求的平均域名请求字符串长度,其中,所述平均域名请求字符串长度是每类域名请求字符串的长度之和的平均值。
10.根据权利要求7至9任一所述的装置,所述正常特征参数的类别包括正常域名请求重复率或正常域名请求的正常平均域名请求字符串长度或正常域名请求的正常平均应答时间;相应的,所述预设标准参数的确定,包括:
根据如下公式确定第一预设标准参数:
所述第一预设标准参数=α×所述正常域名请求重复率;
其中,α为0~1之间的数值;
根据如下公式确定第二预设标准参数:
所述第二预设标准参数=β×所述正常平均域名请求字符串长度;
其中,β为大于1的数值;
根据如下公式确定第三预设标准参数:
所述第三预设标准参数=γ×正常平均应答时间;
其中,γ为大于1的数值。
11.根据权利要求10所述的装置,所述特征参数包括域名请求重复率或域名请求的平均域名请求字符串长度或域名请求的平均应答时间;相应的,所述检测单元具体用于:
若判断获知所述域名请求重复率小于所述第一预设标准参数,则确定所述待检测域名为所述隧道域名;
若判断获知所述平均域名请求字符串长度大于所述第二预设标准参数,则确定所述待检测域名为所述隧道域名;
若判断获知所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
12.根据权利要求10所述的装置,所述特征参数包括域名请求重复率、域名请求的平均域名请求字符串长度和域名请求的平均应答时间;相应的,所述装置还用于:
还获取所述待检测域名在所述预设时段内的已发送的域名请求数量;
若判断获知所述域名请求数量大于等于预设域名请求数量、且所述域名请求重复率小于所述第一预设标准参数、且所述平均域名请求字符串长度大于所述第二预设标准参数、且所述平均应答时间大于所述第三预设标准参数,则确定所述待检测域名为所述隧道域名。
13.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至6任一所述的方法。
14.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至6任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810904424.9A CN109218461B (zh) | 2018-08-09 | 2018-08-09 | 一种检测隧道域名的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810904424.9A CN109218461B (zh) | 2018-08-09 | 2018-08-09 | 一种检测隧道域名的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109218461A CN109218461A (zh) | 2019-01-15 |
| CN109218461B true CN109218461B (zh) | 2022-02-22 |
Family
ID=64989037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810904424.9A Active CN109218461B (zh) | 2018-08-09 | 2018-08-09 | 一种检测隧道域名的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109218461B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112118205B (zh) * | 2019-06-19 | 2022-08-16 | 腾讯科技(深圳)有限公司 | 一种域名信息检测的方法及相关装置 |
| CN111756735A (zh) * | 2020-06-23 | 2020-10-09 | 北京天融信网络安全技术有限公司 | 一种dns隧道流量检测方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103326894A (zh) * | 2013-05-29 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | Dns隧道检测的方法和装置 |
| CN107547488A (zh) * | 2016-06-29 | 2018-01-05 | 华为技术有限公司 | 一种dns隧道检测方法以及dns隧道检测装置 |
| CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603501A (zh) * | 2016-11-22 | 2017-04-26 | 汉柏科技有限公司 | 一种域名劫持的防护方法、系统及防火墙设备 |
| CN108200054B (zh) * | 2017-12-29 | 2021-02-12 | 奇安信科技集团股份有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
-
2018
- 2018-08-09 CN CN201810904424.9A patent/CN109218461B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103326894A (zh) * | 2013-05-29 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | Dns隧道检测的方法和装置 |
| CN107547488A (zh) * | 2016-06-29 | 2018-01-05 | 华为技术有限公司 | 一种dns隧道检测方法以及dns隧道检测装置 |
| CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 《基于通信行为分析的DNS隧道木马检测方法》;罗友强,刘胜利,颜猛,武东英;《浙江大学学报》;20190930;全文 * |
| 基于DNS 的隐蔽通道流量检测;章思宇,邹福泰,王鲁华,陈铭;《通信学报》;20130531;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109218461A (zh) | 2019-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108200054B (zh) | 一种基于dns解析的恶意域名检测方法及装置 | |
| CN108683666B (zh) | 一种网页识别方法及装置 | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN109936475B (zh) | 一种异常检测方法及装置 | |
| US20090300768A1 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
| CN107682345B (zh) | Ip地址的检测方法、检测装置及电子设备 | |
| CN107992738B (zh) | 一种账号登录异常检测方法、装置及电子设备 | |
| CN107046518A (zh) | 网络攻击的检测方法及装置 | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| CN109218461B (zh) | 一种检测隧道域名的方法及装置 | |
| CN110995684B (zh) | 漏洞检测方法及装置 | |
| CN108156270B (zh) | 域名请求处理方法和装置 | |
| CN113792691B (zh) | 一种视频识别方法、系统、设备及介质 | |
| CN112437062B (zh) | 一种icmp隧道的检测方法、装置、存储介质和电子设备 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN110798428A (zh) | 一种账号暴力破解行为的检测方法、系统及相关装置 | |
| CN109302433B (zh) | 远程命令执行漏洞的检测方法、装置、设备及存储介质 | |
| CN110516170B (zh) | 一种检查异常web访问的方法及装置 | |
| CN113923039A (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
| CN109194621B (zh) | 流量劫持的检测方法、装置及系统 | |
| CN105701684B (zh) | 一种数据处理方法以及装置 | |
| CN107819739B (zh) | 一种确定终端是否存在长链路连接的方法及服务器 | |
| CN104852907A (zh) | 一种跨站点伪造请求csrf攻击识别方法和设备 | |
| CN107786524B (zh) | 高级持续性威胁的检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |