CN111698260A

CN111698260A - 一种基于报文分析的dns劫持检测方法及系统

Info

Publication number: CN111698260A
Application number: CN202010582205.0A
Authority: CN
Inventors: 徐�明; 辜乘风; 陈曦; 陈一根; 魏国富
Original assignee: Information and Data Security Solutions Co Ltd
Current assignee: Information and Data Security Solutions Co Ltd
Priority date: 2020-06-23
Filing date: 2020-06-23
Publication date: 2020-09-22
Anticipated expiration: 2040-06-23
Also published as: CN111698260B

Abstract

本发明公开了一种基于报文分析的DNS劫持检测方法及系统，具体步骤如下：步骤1，网络报文数据解析；步骤2，数据预处理；步骤3，特征提取；步骤4，机器学习模型识别DNS劫持攻击；步骤5，DNS劫持攻击分类；步骤6，模型优化。本发明通过深入研究各种类型DNS劫持攻击的实现原理，针对性地构造出了具有非常强的区分度特征，结合机器学习的方法，通过不断地优化分析，实现了以报文数据为媒介，训练模型使之具备精确的检测能力，有效弥补了传统的规则检测或恶意情报库匹配方法中无法识别新型攻击和易被绕过的问题，同时通过进一步的模型分析，能够将DNS攻击进行细化分类，准确定位DNS劫持行为是产生在DNS请求过程中的哪一个环节。

Description

一种基于报文分析的DNS劫持检测方法及系统

技术领域

本发明涉及安全技术领域，具体设计一种基于报文分析的DNS劫持检测方法及系统。

背景技术

DNS劫持是一种DNS重定向攻击，攻击者使目标终端DNS查询被错误地解析，从而将用户重定向到恶意站点。为了进行攻击，攻击者一般通过篡改用户计算机上的DNS配置、劫持路由器、入侵局域网内DNS服务器或者拦截或破坏DNS通信等手段来达到DNS劫持的目的。DNS劫持常被用于广告植入和网络钓鱼等，对个人信息的泄露和域名功能的使用造成了较大的影响。

目前，对DNS劫持检测的方法主要为规则判断或恶意情报库匹配的方法。规则判断是设定某些判断规则对DNS劫持行为进行判断，符合要求的定义为DNS劫持行为。恶意情报库匹配则是通过将客户流量里面导出的DNS解析日志与威胁情报的恶意域名情报直接匹配来找出恶意DNS劫持行为。

如申请号为201810551759.7公开的一种用于通过用户设备检测DNS劫持的方法与设备，其通过用户设备向DNS服务器发送关于目标网站的DNS请求，并根据基于DNS请求的DNS响应信息中是否包含目标网站的别名或多个IP地址来确定当前网络中是否存在DNS劫持，进一步的为了排除存在有些运营商的服务器未配置别名或多个IP地址这种情况，用户设备进一步选取目标域名，基于对目标域名发送DNS请求的DNS解析，判断当前网络中是否存在DNS劫持，使得识别DNS劫持更加的高效，同时节约用户资源。但是该方法采用的是规则判断，基于规则判断或恶意情报库匹配的DNS劫持检测方法虽然能够发现部分DNS劫持攻击，但是其针对未知DNS劫持类型的检测能力弱，且该类方法容易被攻击者绕过，因此误报率和漏报率都是比较高的；同时规则库和威胁情报库需要长期不间断地去维护更新造成了大量的成本，而提高准确性的代价就是添加更多精细化规则或优化恶意情报库，由此陷入一个永无止境打补丁的漩涡，拖累了整体性能。

发明内容

本发明所要解决的技术问题在于提供一种基于报文分析的DNS劫持检测方法。

本发明通过以下技术手段实现解决上述技术问题的：

一种基于报文分析的DNS劫持检测方法，包括以下步骤：

S01.对网络报文数据解析，提取其中DNS报文信息；

S02.数据预处理，对DNS报文信息进行数据清洗和筛选，获得目标DNS报文数据；

S03.特征提取，针对所述目标DNS报文数据进行加工处理，提取特征数据；

S04.机器学习模型识别DNS劫持攻击，将特征数据输入预先训练好的机器学习模块，进行DNS劫持攻击识别；

S05.DNS劫持攻击分离，对步骤S04中识别出DNS劫持攻击进行分类；

S06.模型优化，利用检测结果对模型进行优化。

优选的，所述步骤S01中的解析方法具体为：使用递归式逐层解析，按照网络报文的封装思路，逆向对每一层进行解析，并在解析的过程中提取相关信息。

优选的，所述步骤S02中数据预处理包括：

首先需要按照网络报文的类型对数据进行一次筛选，筛选的方法为通过查看最内层所封装的报文类型来剔除未封装DNS报文的数据包；然后再次对数据包中所封装的DNS报文中的请求域名进行筛选，剔除掉包含local域名的数据包。

优选的，所述步骤S04中所述的机器学习模型为异常检测算法孤立森林；通过孤立森林模型计算之后，每条记录都能够返回一个异常得分，通过将异常得分进行降序排列，就能够找出异常的操作记录，从而定位到该条记录所对应的DNS劫持攻击。

优选的，所述步骤S04中，采用聚类分析算法对DNS攻击劫持进行分类，具体分为客户机劫持、路由器劫持、DNS服务器劫持、中间人劫持。

优选的，所述步骤S06中模型优化为通过对DNS劫持攻击检测结果进行验证后，将确认为DNS攻击的行为记入黑名单，同时根据实际需要再建立一个白名单；在后续的模型检测过程中，需要在方法S04特征提取步骤新增两个特征项，其一为当前记录所包含的MAC、IP以及域名是否在黑名单中，另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中；对于匹配到黑名单的记录，增加其为DNS劫持攻击的预警权重，而对于在白名单中的记录，则适当放行。

本发明还提供一种基于报文分析的DNS劫持检测系统，应用于上述的方法，包括

网络报文数据解析模块，对网络报文数据解析，提取其中DNS报文信息；

数据预处理模块，对DNS报文信息进行数据清洗和筛选，获得目标DNS报文数据；

特征提取模块，针对所述目标DNS报文数据进行加工处理，提取特征数据；

机器学习模型识别DNS劫持攻击模块，将特征数据输入预先训练好的机器学习模块，进行DNS劫持攻击识别；

DNS劫持攻击分类模块，对识别出DNS劫持攻击进行分类；

模型优化模块，利用检测结果对模型进行优化。

优选的，所述数据预处理模块中数据预处理包括：

优选的，所述机器学习模型识别DNS劫持攻击模块中所述的机器学习模型为异常检测算法孤立森林；通过孤立森林模型计算之后，每条记录都能够返回一个异常得分，通过将异常得分进行降序排列，就能够找出异常的操作记录，从而定位到该条记录所对应的DNS劫持攻击。

优选的，所述模型优化模块通过对DNS劫持攻击检测结果进行验证后，将确认为DNS攻击的行为记入黑名单，同时根据实际需要再建立一个白名单；在后续的模型检测过程中，需要在方法S04特征提取步骤新增两个特征项，其一为当前记录所包含的MAC、IP以及域名是否在黑名单中，另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中；对于匹配到黑名单的记录，增加其为DNS劫持攻击的预警权重，而对于在白名单中的记录，则适当放行。

本发明的优点在于：

本发明通过深入研究各种类型DNS劫持攻击的实现原理，针对性地构造出了具有非常强的区分度特征，结合机器学习的方法，通过不断地优化分析，实现了以报文数据为媒介，训练模型使之具备精确的检测能力，有效弥补了传统的规则检测或恶意情报库匹配方法中无法识别新型攻击和易被绕过的问题，同时通过进一步的模型分析，能够将DNS攻击进行细化分类，准确定位DNS劫持行为是产生在DNS请求过程中的哪一个环节。

附图说明

图1为本发明实施例中基于报文分析的DNS劫持检测方法总体流程图；

图2为本发明实施例中孤立树中样本x的异常得分s和样本x在孤立树种的路径长度期望E(h(x))的关系；

图3为本发明实施例中孤立森林模型计算之后，每条记录返回一个异常得分的效果展示图；

图4为本发明实施例中聚类的效果展示图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于报文分析的DNS劫持检测方法，具体步骤如下：

步骤1，网络报文数据解析；

步骤2，数据预处理；

步骤3，特征提取；

步骤4，机器学习模型识别DNS劫持攻击；

步骤5，DNS劫持攻击分类；

步骤6，模型优化。

下面具体说明每个步骤内容：

步骤1中的方法为：

网络报文指的是网络中交换与传输的数据单元，包含了要传送的数据和必要的附加信息，其中附加信息通常包括目的IP、目的端口、源地址、源端口、数据长度、所用协议、加密等内容。

该方法需要对收集到的DNS报文进行解析。所谓DNS报文指的是客户机与DNS服务器之间的DNS请求和应答报文。由于在实际的分析过程中，抓包行为发生在网络层，所以需要通过解析抓包数据来提取其中的DNS报文信息。该方法中使用的解析方式为递归式逐层解析，按照网络报文的封装思路，逆向对每一层进行解析，并在解析的过程中提取相关信息，这些信息包括但不限于以下内容：目标mac(dst_mac)、源mac(src_mac)、报文长度(len)、目标IP(dst_ip)、源IP(src_ip)、生存时间(ttl)、DNS报文ID(dns_id)、DNS报文类型(dns_qr)、DNS报文操作码(dns_opcode)、DNS报文请求计数(qdcount)、DNS报文应答计数(ancount)、DNS请求域名(qname)、DNS应答内容(rdata)等。

步骤2中的方法为：

数据预处理指的是对原始数据进行数据清洗和初步的数据处理加工过程。该方法中，数据预处理主要分为两步：

步骤21由于研究对象是DNS报文，所以首先需要按照网络报文的类型对数据进行一次筛选，筛选的方法为通过查看最内层所封装的报文类型来剔除未封装DNS报文的数据包。

步骤22在方法步骤21中筛选出封装DNS报文的数据包之后，因为客户机系统自身往往也会产生部分DNS报文，所以需要再次对数据包中所封装的DNS报文中的请求域名进行筛选，剔除掉包含local域名的数据包。

步骤3中的方法为：

特征提取指的是对方法步骤2数据预处理之后的数据，进行进一步的数据加工和处理，提取出后续模型所需要的特征数值。所需要提取的特征如下所示：

步骤4中的方法为：

机器学习模型识别DNS劫持攻击，是通过引入机器学习的方法，利用方法步骤3提取到的特征数据，进DNS劫持行为进行模型识别。本方法采用的机器学习模型为异常检测算法孤立森林，该模型能够很好地从大量数据中识别出异常的记录。由于模型的训练数据集特征是根据DNS劫持行为的特点进行针对性设计的，所以模型所检测出的异常结果可以认定为存在DNS劫持行为的记录。

孤立森林是一种适用于连续数据的无监督异常检测方法，即不需要有标记的样本来训练。在孤立森林中，递归地随机分割数据集，直到所有的样本点都是孤立的。在这种随机分割的策略下，异常点通常具有较短的路径。在该算法中，给定一个包含n个样本的数据集，树的平均路径长度为：

其中H(i)为调和数，该值可以被估计为ln(i)+0.5772156649。c(n)为给定样本数n时，路径长度的平均值，用来标准化样本x的路径长度h(x)。

样本x的异常得分定义为:

其中，E(h(x))为样本x在一批孤立树中的路径长度的期望。附图2给出了s和E(h(x))的关系。

在通过上述孤立森林模型计算之后，每条记录都能够返回一个异常得分，效果展示如附图3所示。通过将异常得分进行降序排列，就能够找出异常的操作记录，从而定位到该条记录所对应的DNS劫持攻击。

步骤5中的方法为：

DNS劫持攻击分类，是将方法步骤4中检测出的DNS攻击进行分类，具体划分为客户机劫持、路由劫持、DNS服务器劫持以及中间人劫持四个大类。细分DNS攻击类型可以细化攻击检测结果数据，使得被劫持者能够有针对性地对DNS攻击进行处理和后续的DNS安全防护工作的进行，同时也能够使被劫持者更容易查到自身是在哪个环节被劫持，对DNS安全工作的开展具有重要意义。

本方法对DNS劫持攻击分类所采用的方法为聚类分析算法，聚类指的是按照特征把数据集分割成不同的簇，使得同一个簇内的数据对象的相似性尽可能大，同时不在同一个簇中的数据对象的差异性也尽可能地大。由于不同种类的DNS劫持攻击类型之间往往存在较大的差异，而同种类的DNS劫持攻击则存在较大的相似性，所以使用聚类算法适用于DNS劫持攻击的分类。

本方法采用的聚类算法为K-Means聚类方法，也叫K均值聚类。对于方法步骤4检测出的DNS劫持攻击数据集，按照样本之间的距离大小，将样本集划分为K个簇。让簇内的点尽量紧密的连在一起，而让簇间的距离尽量的大。

假设簇划分为(C1,C2,...Ck)，则模型的目标是最小化平方误差E：

其中μ_i是簇C_i的均值向量，有时也称为质心，表达式为：

求上式的最小值需要采用启发式的迭代方法，如附图4所示，假设k＝2。在图b中，随机选择两个类所对应的类别质心，即图中的实心簇质心(图中叉形点)和空心簇质心(图中六角形点)，然后分别求样本中所有点到这两个质心的距离，并标记每个样本的类别为和该样本距离最小的质心的类别，在图c中，经过计算样本和实心簇质心(图中叉形点)和空心簇质心(图中六角形点)的距离，可以得到所有样本点的第一轮迭代后的类别。此时对当前标记为实心簇点和空心簇点分别求其新的质心，在图4中，新的实心簇质心(图中叉形点)和空心簇质心(图中六角形点)的位置已经发生了变动。图e和图f重复了在图c和图d的过程，即将所有点的类别标记为距离最近的质心的类别并求新的质心。最终得到的两个类别如图f。

在使用聚类算法对DNS劫持攻击进行聚类之后，需要对每个类的特征进行统计分析，结合DNS劫持攻击原理，就可以将每个类与每种DNS劫持攻击一一对应，从而确定各个类所属的攻击类型。

步骤6中的方法为：

模型优化主要是通过对DNS劫持攻击检测结果进行验证后，将确认为DNS攻击的行为记入黑名单，同时根据实际需要再建立一个白名单。在后续的模型检测过程中，需要再方法步骤4特征提取模块新增两个特征项，其一为当前记录所包含的MAC、IP以及域名是否在黑名单中，另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中。对于匹配到黑名单的记录，应当增加其为DNS劫持攻击的预警权重，而对于在白名单中的记录，应适当放行。通过结合黑名单以及白名单的机制，能够有效提升模型检测结果的准确性，从而达到优化模型的目的。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种基于报文分析的DNS劫持检测方法，其特征在于：包括以下步骤：

S01.对网络报文数据解析，提取其中DNS报文信息；

S06.模型优化，利用检测结果对模型进行优化。

2.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法，其特征在于：所述步骤S01中的解析方法具体为：使用递归式逐层解析，按照网络报文的封装思路，逆向对每一层进行解析，并在解析的过程中提取相关信息。

3.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法，其特征在于：所述步骤S02中数据预处理包括：

4.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法，其特征在于：所述步骤S04中所述的机器学习模型为异常检测算法孤立森林；通过孤立森林模型计算之后，每条记录都能够返回一个异常得分，通过将异常得分进行降序排列，就能够找出异常的操作记录，从而定位到该条记录所对应的DNS劫持攻击。

5.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法，其特征在于：所述步骤S04中，采用聚类分析算法对DNS攻击劫持进行分类，具体分为客户机劫持、路由器劫持、DNS服务器劫持、中间人劫持。

6.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法，其特征在于：所述步骤S06中模型优化为通过对DNS劫持攻击检测结果进行验证后，将确认为DNS攻击的行为记入黑名单，同时根据实际需要再建立一个白名单；在后续的模型检测过程中，需要在方法S04特征提取步骤新增两个特征项，其一为当前记录所包含的MAC、IP以及域名是否在黑名单中，另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中；对于匹配到黑名单的记录，增加其为DNS劫持攻击的预警权重，而对于在白名单中的记录，则适当放行。

7.一种基于报文分析的DNS劫持检测系统，应用于权利要求1至6任一所述的方法，其特征在于：包括

DNS劫持攻击分类模块，对识别出DNS劫持攻击进行分类；

模型优化模块，利用检测结果对模型进行优化。

8.根据权利要求7所述的一种基于报文分析的DNS劫持检测系统，其特征在于：所述数据预处理模块中数据预处理包括：

9.根据权利要求7所述的一种基于报文分析的DNS劫持检测系统，其特征在于：所述机器学习模型识别DNS劫持攻击模块中所述的机器学习模型为异常检测算法孤立森林；通过孤立森林模型计算之后，每条记录都能够返回一个异常得分，通过将异常得分进行降序排列，就能够找出异常的操作记录，从而定位到该条记录所对应的DNS劫持攻击。

10.根据权利要求7所述的一种基于报文分析的DNS劫持检测系统，其特征在于：所述模型优化模块通过对DNS劫持攻击检测结果进行验证后，将确认为DNS攻击的行为记入黑名单，同时根据实际需要再建立一个白名单；在后续的模型检测过程中，需要在方法S04特征提取步骤新增两个特征项，其一为当前记录所包含的MAC、IP以及域名是否在黑名单中，另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中；对于匹配到黑名单的记录，增加其为DNS劫持攻击的预警权重，而对于在白名单中的记录，则适当放行。