CN111953673B - 一种dns隐蔽隧道检测方法及系统 - Google Patents

Abstract

本发明提供DNS隐蔽隧道检测方法及系统，方法包括以下步骤：接收镜像流量服务器在网络环境中采集到的原始流量包；原始流量包中包括多条DNS请求类型的数据流量报文；对所述原始流量包进行预处理，得到原始流量包中的子域名集合；分别对子域名集合中每一级子域名进行筛选，得到可疑子域名，将所述可疑子域名保存至第一全局字典中；当完成所述子域名集合中所有子域名的筛选后，根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常。该方法部署简单，近实时检测，检测速度快，检测结果准确度高，能够自适应不同网络环境而不影响检测结果。

Description

一种DNS隐蔽隧道检测方法及系统

技术领域

本发明属于网络安全领域，具体涉及一种DNS隐蔽隧道检测方法及系统。

背景技术

域名系统(Domain Name System，DNS)是互联网的一项服务，它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。通常情况下，DNS使用TCP和UDP的53端口，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。

DNS查询解析过程：PC客户端进行一次DNS查询，客户端操作系统会先检查本地DNS解析器是否缓存有这个网址映射关系，如果有，直接返回，完成域名解析；否则，向本地DNS服务器进行查询。如果要查询的域名包含在本地服务器的配置区域资源中，则返回解析结果，完成域名解析。如果要查询的域名，不由本地DNS服务器区域解析，但该服务器已经缓存了此网址的映射关系，则返回映射关系，完成域名解析。

如果本地DNS服务器区域文件与缓存解析都失败，则由本地DNS服务器向上级DNS服务器进行查询。在这个过程中，如果本地DNS服务器采用非转发模式，则本地DNS服务器会把请求发至DNS根服务器，DNS根服务器会返回一个负责解析查询域名的顶级域名服务器的IP，本地DNS服务器收到IP后继续向该IP发起查询请求，如果被请求的DNS服务器无法解析，则继续返回一个下级DNS服务器IP给本地DNS服务器，然后，依次类推，直到返回域名的解析结果。如果本地DNS服务器采用转发模式，则本地服务器会把请求转发至上一级DNS服务器，由上一级服务器进行解析，上一级服务器如果不能解析，或找根DNS或把请求转至上上级，以此循环，最后，将解析结果返回给本地DNS服务器。不管本地DNS服务器是否采用转发模式，最后被请求的域名服务器都是把解析结果返回给本地DNS服务器，由此DNS服务器再返回给客户机。

DNS隧道(DNS Tunneling)是一种将其他协议的内容封装在DNS协议中，然后以DNS请求和响应包完成传输数据(通信)的技术，从功能和友好性出发，网络防火墙不可能把DNS协议完全过滤掉，因此，攻击者可以利用DNS隧道技术实现诸如网络嗅探，文件传输等危险操作。

DNS隧道依据其实现方式可分为直连和中继两类。直连：用户端直接和指定的目标DNS服务器建立连接，然后将需要传输的数据编码封装在DNS协议中进行通信。中继：用户端根据本地DNS服务器迭代查询获得目标DNS服务器返回的解析结果与目标DNS服务器建立通信，从而实现中继DNS隧道。直连方式速度快，但隐蔽性弱、易被探测追踪，中继方式速度慢，但隐蔽强，易部署。因此，中继方式更受攻击者青睐。在中继方式中，攻击者一般会对传输数据进行加密处理或者在域名中添加随机字段，这样客户端在请求经过特殊处理的域名时，该请求域名可以突破客户端DNS缓存和本地DNS服务器缓存，从而请求数据能够经目标DNS服务器传输到攻击者电脑上。综上所述，DNS隐蔽隧道产生的现象是在隧道通信时间内会出现大量不重复的域名。

目前，在现有检测DNS隐蔽隧道技术中，基于机器学习方式的方法，需要提前采集训练数据进行建模，在真实的网络环境中，数据样本存在严重的不平衡性，正常数据多，隐蔽隧道攻击数据少，而训练数据的好坏，直接影响模型的检测结果以及模型的泛化能力；基于域名个数和域名长度的检测方法，通常需要人为地设置阈值，阈值太大容易漏报，阈值太小容易误报；基于DNS资源记录类型的判断方法，因部分DNS隐蔽隧道攻击工具可以设置资源记录类型，这样隐蔽隧道工具产生的资源记录类型数量与正常情况下类型数量相差不大，从而影响方法的检测结果。

发明内容

针对现有技术中的缺陷，本发明提供一种DNS隐蔽隧道检测方法及系统，检测速度快，检测结果准确度高。

第一方面，一种DNS隐蔽隧道检测方法，包括以下步骤：

接收镜像流量服务器在网络环境中采集到的原始流量包；原始流量包中包括多条DNS请求类型的数据流量报文；

对所述原始流量包进行预处理，得到原始流量包中的子域名集合；

分别对子域名集合中每一级子域名进行筛选，得到可疑子域名，将所述可疑子域名保存至第一全局字典中；

当完成所述子域名集合中所有子域名的筛选后，根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常。

优选地，所述对所述原始流量包进行预处理，得到原始流量包中的子域名集合具体包括：

根据类型对所述原始流量包中数据流量报文进行筛选，筛选出类型为DNS请求类型的数据流量报文；

分别提取筛选后得到的每个数据流量报文中源IP、域名以及请求时间，作为一个三元组数据；

对所有三元组数据中的域名进行分割，得到所述子域名集合。

优选地，所述分别对子域名集合中每一级子域名进行筛选，得到可疑子域名具体包括：

当子域名的长度小于等于预设的域名长度阈值，过滤该子域名；

当子域名的长度大于所述域名长度阈值、且该子域名存在于预设的常用域名集合中时，过滤该子域名；

当子域名的长度大于所述域名长度阈值、该子域名不存在于预设的常用域名集合中、且该子域名包含预设的常用词集合中的元素时，过滤该子域名；

将过滤后剩余的子域名定义为所述可疑子域名。

优选地，所述第一全局字典用于记录同一个源IP下各子域名被访问的访问频率。

优选地，所述根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常具体包括：

定义所述第一全局字典中同一个源IP下访问频率为1的子域名为可疑载荷数据域名；

当同一个源IP下可疑载荷数据域名的字符长度总和大于预设的长度总和阈值时，认为该源IP存在DNS隐蔽隧道异常。

优选地，该方法在所述根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常之后，还包括：

将DNS隐蔽隧道异常的数据按照请求时间的先后数据关联对应的原始流量包。

优选地，该方法在将所述可疑子域名保存至第一全局字典之后，还包括：

设置第二全局字典，用于记录同一个子域名被不同源IP访问的IP值，构成IP集；

当监测到第二全局字典中存在IP集中源IP的数量大于预设的IP数量阈值时，将该IP集对应的子域名更新至所述常用域名集合中。

第二方面，一种DNS隐蔽隧道检测系统，包括：

镜像流量服务器：用于在网络环境中采集原始流量包，并将采集到的原始流量包发送给检测设备；

检测设备：用于接收所述原始流量包，原始流量包中包括多条DNS请求类型的数据流量报文；对所述原始流量包进行预处理，得到原始流量包中的子域名集合；分别对子域名集合中每一级子域名进行筛选，得到可疑子域名，将所述可疑子域名保存至第一全局字典中；当完成所述子域名集合中所有子域名的筛选后，根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常。

优选地，所述检测设备具体用于：

根据类型对所述原始流量包中数据流量报文进行筛选，筛选出类型为DNS请求类型的数据流量报文；分别提取筛选后得到的每个数据流量报文中源IP、域名以及请求时间，作为一个三元组数据；对所有三元组数据中的域名进行分割，得到所述子域名集合。

优选地，所述第一全局字典用于记录同一个源IP下各子域名被访问的访问频率；

所述检测设备还用于：定义所述第一全局字典中同一个源IP下访问频率为1的子域名为可疑载荷数据域名；当同一个源IP下可疑载荷数据域名的字符长度总和大于预设的长度总和阈值时，认为该源IP存在DNS隐蔽隧道异常。

由上述技术方案可知，本发明提供的DNS隐蔽隧道检测方法及系统，部署简单，近实时检测，检测速度快，检测结果准确度高，能够自适应不同网络环境而不影响检测结果。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为本发明实施例提供的DNS隐蔽隧道检测方法的流程图。

图2为本发明实施例提供的DNS隐蔽隧道检测系统的架构图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

实施例一：

一种DNS隐蔽隧道检测方法，参见图1，包括以下步骤：

S1：接收镜像流量服务器在网络环境中采集到的原始流量包；原始流量包中包括多条DNS请求类型的数据流量报文；

具体地，该方法可以设置读取周期，当读取周期到达时，读取由镜像流量服务器在读取周期内采集的数据流量报文构成的原始流量包(即原始pcap包)。镜像流量服务器可以实时采集网络环境中的数据流量报文。

S2：对所述原始流量包进行预处理，得到原始流量包中的子域名集合；

具体地，子域名集合中包括在读取周期内所有数据流量报文中包含的子域名。

S3：分别对子域名集合中每一级子域名进行筛选，得到可疑子域名，将所述可疑子域名保存至第一全局字典中；

具体地，当子域名可能携带可疑荷载时，定义为可疑子域名。

S4：当完成所述子域名集合中所有子域名的筛选后，根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常。

该方法，在设定的周期内，采集网络环境中的原始流量包，对每个原始流量包中的域名进行分割，得到子域名集合，并在子域名集合中筛选出可疑子域名，根据原始流量包中所有的可疑子域名判断该源IP是否存在DNS隐蔽隧道异常，该方法部署简单，近实时检测，检测速度快，检测结果准确度高，能够自适应不同网络环境而不影响检测结果。

实施例二：

实施例二在实施例一的基础上，还增加以下内容：

所述对所述原始流量包进行预处理，得到原始流量包中的子域名集合具体包括：

根据类型对所述原始流量包中数据流量报文进行筛选，筛选出类型为DNS请求类型的数据流量报文；

分别提取筛选后得到的每个数据流量报文中源IP、域名以及请求时间，作为一个三元组数据；

对所有三元组数据中的域名进行分割，得到所述子域名集合。

具体地，该方法能够从DNS流量包(即原始流量包)中筛选出类型为DNS请求类型的数据流量报文，并提取每个数据流量报文中源IP、域名、请求时间作为一个三元组数据，然后将所有三元组数据中域名数据按‘.’进行分割得到子域名集合，其中子域名集合中包括多个子域名。例如某条数据流量报文中源IP访问的域名为www.baidu.com，那么将该域名分割后得到3个子域名，即www、baidu、com。子域名集合包括DNS流量包中所有数据流量报文中域名分割后得到的子域名。

优选地，所述分别对子域名集合中每一级子域名进行筛选，得到可疑子域名具体包括：

当子域名的长度小于等于预设的域名长度阈值，过滤该子域名；

当子域名的长度大于所述域名长度阈值、且该子域名存在于预设的常用域名集合中时，过滤该子域名；

当子域名的长度大于所述域名长度阈值、该子域名不存在于预设的常用域名集合中、且该子域名包含预设的常用词集合中的元素时，过滤该子域名；

将过滤后剩余的子域名定义为所述可疑子域名。

具体地，该方法对每一级子域名进行以下处理：判断每一个子域名的长度是否小于域名长度阈值,如果长度小于域名长度阈值，则认为该子域名无法成为携带可疑荷载的数据，过滤掉该域名。例如假设域名长度阈值设置为4，则当源IP访问的域名为www.baidu.com时，过滤掉的子域名为www和com。

如果子域名的长度大于所述域名长度阈值，则判断子域名是否在常用域名集合C中，如果存在，说明该子域名是常用域名，过滤掉该域名。常用域名集合C由网上公布的白名单域名，并将白名单域名按‘.’分割成白名单子域名构成。

如果子域名不在常用域名集合C中，则判断该子域名是否包含常用词集合V中的元素，如果是，说明该子域名是常用词，过滤掉该域名。常用词集合V是由网络环境收集到的一些常用词构成的集合，例如常用词集合V中的元素包括portal，auth，static等等。

过滤掉上述三种情况下的子域名后，剩余的子域名定义为可疑子域名。

本发明实施例所提供的方法，为简要描述，实施例部分未提及之处，可参考前述方法实施例中相应内容。

实施例三：

实施例三在上述实施例的基础上，增加了以下内容：

所述第一全局字典用于记录同一个源IP下各子域名被访问的访问频率。

具体地，第一全局字典F记录着同一个源IP下各子域名被访问的频率，第一全局字典F中key值为源IP_子域名，value值为该子域名被访问的频率。即当源IP下某个子域名被访问一次时，其对应的频率加一。

优选地，所述根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常具体包括：

定义所述第一全局字典中同一个源IP下访问频率为1的子域名为可疑载荷数据域名；

当同一个源IP下可疑载荷数据域名的字符长度总和大于预设的长度总和阈值时，认为该源IP存在DNS隐蔽隧道异常。

具体地，当一个原始流量包中所有子域名被遍历完成时，将第一全局字典F中，同一个源IP下只出现过一次的所有子域名视为可疑载荷数据域名，如果该源IP下可疑载荷数据域名的字符长度总和超过长度总和阈值(例如设置为3000)，则告警该源IP存在DNS隐蔽隧道异常。该方法将子域名的访问频率作为DNS隐蔽隧道检测手段，是因为子域名访问频率体现了DNS隐蔽隧道为了避免被本地DNS缓存和本地DNS服务器缓存而子域名时刻变化的特点。

优选地，该方法在所述根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常之后，还包括：

将DNS隐蔽隧道异常的数据按照请求时间的先后数据关联对应的原始流量包。

具体地，当源IP存在DNS隐蔽隧道异常时，将异常数据按请求时间先后关联对应的原始流量包，用户可以查看DNS隐蔽隧道通信过程，向用户展示DNS隐蔽隧道攻击过程，方便用户溯源，保存证据。例如当原始流量包A中的数据流量报文B存在DNS隐蔽隧道异常时，标记原始流量包A异常。

本发明实施例所提供的方法，为简要描述，实施例部分未提及之处，可参考前述方法实施例中相应内容。

实施例四：

实施例四在上述实施例的基础上，还增加以下内容：

该方法在将所述可疑子域名保存至第一全局字典之后，还包括：

设置第二全局字典，用于记录同一个子域名被不同源IP访问的IP值，构成IP集；

当监测到第二全局字典中存在IP集中源IP的数量大于预设的IP数量阈值时，将该IP集对应的子域名更新至所述常用域名集合中。

具体地，第二全局字典N记录着同一个子域名被不同源IP访问的IP值，第二全局字典N中的key值为子域名，value值为子域名被访问的源IP，如果某个子域名被多个IP访问过，则value是一个含有多个源IP的数组。假设IP数量阈值设置为5，则当一个子域名被5个不同的源IP访问时，则将该子域名更新到常用域名集合C中，方便下一个周期使用。这样该方法可以避免白名单过时问题，还可以根据具体网络环境自动更新常用域名。

本发明实施例所提供的方法，为简要描述，实施例部分未提及之处，可参考前述方法实施例中相应内容。

实施例五：

一种DNS隐蔽隧道检测系统，参见图2，包括：

镜像流量服务器：用于在网络环境中采集原始流量包，并将采集到的原始流量包发送给检测设备；

检测设备：用于接收所述原始流量包，原始流量包中包括多条DNS请求类型的数据流量报文；对所述原始流量包进行预处理，得到原始流量包中的子域名集合；分别对子域名集合中每一级子域名进行筛选，得到可疑子域名，将所述可疑子域名保存至第一全局字典中；当完成所述子域名集合中所有子域名的筛选后，根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常。

具体地，镜像流量服务器采集网络环境的原始流量包，原始流量包将周期性地传输给检测设备，检测设备检测原始流量包中是否存在DNS隐蔽隧道异常，如果有异常，将异常数据关联到对应的原始流量包，并永久保留原始流量包，这样方便用户溯源、保留证据，同时也将有异常的IP告警输出，通知管理员做进一步的处置；如果不存在异常，则丢弃该原始流量包。检测设备还用于定期删除读取到的原始流量包。

优选地，所述检测设备具体用于：

根据类型对所述原始流量包中数据流量报文进行筛选，筛选出类型为DNS请求类型的数据流量报文；

分别提取筛选后得到的每个数据流量报文中源IP、域名以及请求时间，作为一个三元组数据；

对所有三元组数据中的域名进行分割，得到所述子域名集合。

优选地，所述检测设备具体用于：

当子域名的长度小于等于预设的域名长度阈值，过滤该子域名；

当子域名的长度大于所述域名长度阈值、且该子域名存在于预设的常用域名集合中时，过滤该子域名；

当子域名的长度大于所述域名长度阈值、该子域名不存在于预设的常用域名集合中、且该子域名包含预设的常用词集合中的元素时，过滤该子域名；

将过滤后剩余的子域名定义为所述可疑子域名。

优选地，所述第一全局字典用于记录同一个源IP下各子域名被访问的访问频率；

所述检测设备具体用于：定义所述第一全局字典中同一个源IP下访问频率为1的子域名为可疑载荷数据域名；当同一个源IP下可疑载荷数据域名的字符长度总和大于预设的长度总和阈值时，认为该源IP存在DNS隐蔽隧道异常。

优选地，所述检测设备还用于：将DNS隐蔽隧道异常的数据按照请求时间的先后数据关联对应的原始流量包。

优选地，所述检测设备还用于：设置第二全局字典，用于记录同一个子域名被不同源IP访问的IP值，构成IP集；当监测到第二全局字典中存在IP集中源IP的数量大于预设的IP数量阈值时，将该IP集对应的子域名更新至所述常用域名集合中。

该系统部署简单，近实时检测，检测速度快，检测结果准确度高，能够自适应不同网络环境而不影响检测结果。

本发明实施例所提供的系统，为简要描述，实施例部分未提及之处，可参考前述方法实施例中相应内容。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (9)

1.一种DNS隐蔽隧道检测方法，其特征在于，包括以下步骤：

接收镜像流量服务器在网络环境中采集到的原始流量包；原始流量包中包括多条DNS请求类型的数据流量报文；

对所述原始流量包进行预处理，得到原始流量包中的子域名集合；

分别对子域名集合中每一级子域名进行筛选，得到可疑子域名，将所述可疑子域名保存至第一全局字典中；

当完成所述子域名集合中所有子域名的筛选后，根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常；

所述分别对子域名集合中每一级子域名进行筛选，得到可疑子域名具体包括：

当子域名的长度小于等于预设的域名长度阈值，过滤该子域名；

当子域名的长度大于所述域名长度阈值、且该子域名存在于预设的常用域名集合中时，过滤该子域名；

当子域名的长度大于所述域名长度阈值、该子域名不存在于预设的常用域名集合中、且该子域名包含预设的常用词集合中的元素时，过滤该子域名；

将过滤后剩余的子域名定义为所述可疑子域名。

2.根据权利要求1所述DNS隐蔽隧道检测方法，其特征在于，所述对所述原始流量包进行预处理，得到原始流量包中的子域名集合具体包括：

根据类型对所述原始流量包中数据流量报文进行筛选，筛选出类型为DNS请求类型的数据流量报文；

分别提取筛选后得到的每个数据流量报文中源IP、域名以及请求时间，作为一个三元组数据；

对所有三元组数据中的域名进行分割，得到所述子域名集合。

3.根据权利要求2所述DNS隐蔽隧道检测方法，其特征在于，

所述第一全局字典用于记录同一个源IP下各子域名被访问的访问频率。

4.根据权利要求3所述DNS隐蔽隧道检测方法，其特征在于，所述根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常具体包括：

定义所述第一全局字典中同一个源IP下访问频率为1的子域名为可疑载荷数据域名；

当同一个源IP下可疑载荷数据域名的字符长度总和大于预设的长度总和阈值时，认为该源IP存在DNS隐蔽隧道异常。

5.根据权利要求4所述DNS隐蔽隧道检测方法，其特征在于，该方法在所述根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常之后，还包括：

将DNS隐蔽隧道异常的数据按照请求时间的先后数据关联对应的原始流量包。

6.根据权利要求2所述DNS隐蔽隧道检测方法，其特征在于，该方法在将所述可疑子域名保存至第一全局字典之后，还包括：

设置第二全局字典，用于记录同一个子域名被不同源IP访问的IP值，构成IP集；

当监测到第二全局字典中存在IP集中源IP的数量大于预设的IP数量阈值时，将该IP集对应的子域名更新至常用域名集合中。

7.一种DNS隐蔽隧道检测系统，其特征在于，包括：

镜像流量服务器：用于在网络环境中采集原始流量包，并将采集到的原始流量包发送给检测设备；

检测设备：用于接收所述原始流量包，原始流量包中包括多条DNS请求类型的数据流量报文；对所述原始流量包进行预处理，得到原始流量包中的子域名集合；分别对子域名集合中每一级子域名进行筛选，得到可疑子域名，将所述可疑子域名保存至第一全局字典中；当完成所述子域名集合中所有子域名的筛选后，根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常；

所述检测设备具体用于：

当子域名的长度小于等于预设的域名长度阈值，过滤该子域名；

当子域名的长度大于所述域名长度阈值、且该子域名存在于预设的常用域名集合中时，过滤该子域名；

当子域名的长度大于所述域名长度阈值、该子域名不存在于预设的常用域名集合中、且该子域名包含预设的常用词集合中的元素时，过滤该子域名；

将过滤后剩余的子域名定义为所述可疑子域名。

8.根据权利要求7所述DNS隐蔽隧道检测系统，其特征在于，所述检测设备具体用于：

根据类型对所述原始流量包中数据流量报文进行筛选，筛选出类型为DNS请求类型的数据流量报文；分别提取筛选后得到的每个数据流量报文中源IP、域名以及请求时间，作为一个三元组数据；对所有三元组数据中的域名进行分割，得到所述子域名集合。

9.根据权利要求8所述DNS隐蔽隧道检测系统，其特征在于，

所述第一全局字典用于记录同一个源IP下各子域名被访问的访问频率；

所述检测设备还用于：定义所述第一全局字典中同一个源IP下访问频率为1的子域名为可疑载荷数据域名；当同一个源IP下可疑载荷数据域名的字符长度总和大于预设的长度总和阈值时，认为该源IP存在DNS隐蔽隧道异常。

Images