CN112822223A - 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备 - Google Patents

一种dns隐蔽隧道事件自动化检测方法、装置和电子设备 Download PDF

Info

Publication number
CN112822223A
CN112822223A CN202110416533.8A CN202110416533A CN112822223A CN 112822223 A CN112822223 A CN 112822223A CN 202110416533 A CN202110416533 A CN 202110416533A CN 112822223 A CN112822223 A CN 112822223A
Authority
CN
China
Prior art keywords
dns
tunnel
event
flow
flow data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110416533.8A
Other languages
English (en)
Other versions
CN112822223B (zh
Inventor
董龙飞
李锟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianji Youmeng Zhuhai Technology Co ltd
Original Assignee
Beijing Zhiyuan Artificial Intelligence Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zhiyuan Artificial Intelligence Research Institute filed Critical Beijing Zhiyuan Artificial Intelligence Research Institute
Priority to CN202110416533.8A priority Critical patent/CN112822223B/zh
Publication of CN112822223A publication Critical patent/CN112822223A/zh
Application granted granted Critical
Publication of CN112822223B publication Critical patent/CN112822223B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DNS隐蔽隧道事件自动化检测方法、装置和电子设备,该方法包括:采集DNS隧道的流量数据并过滤冗余流量数据,得到流量样本;对所述流量样本进行分析,提取流量数据特征;利用预设模型对所提取的流量数据特征进行识别,得到DNS隧道事件;对所述DNS隧道事件在多个线索维度下进行风险误报排查;根据所述排查结果计算DNS隧道事件的风险值;输出DNS隐蔽隧道风险事件告警及所述风险值。本发明的方案,为安全分析人员提供多种的事件排查线索,降低误报率,并提升界面友好性。

Description

一种DNS隐蔽隧道事件自动化检测方法、装置和电子设备
技术领域
本发明涉及网络安全领域,尤其涉及一种DNS隐蔽隧道事件自动化检测方法、装置和电子设备。
背景技术
网络隐蔽通道是攻击者绕过网络安全策略进行数据传输的重要途经,而DNS(域名系统)则是实现应用层隐蔽通道的常用手段。攻击者通过DNS隧道可以实现远程访问和控制、绕过权限和访问控制措施、安装、传播恶意软件、横向渗透、通信转接和窃取数据等。作为互联网关键基础设施之一,DNS可以将域名与IP地址相互映射。而DNS协议几乎不会被防火墙策略阻拦,即使在一个内部网络中,也需要架设DNS服务器进行主机名解析。DNS同时也是一个全球分布的数据库,域名递归解析需要本地DNS服务器与互联网上其他服务器通信,这也就为基于DNS协议构建隐蔽隧道创造了条件。
DNS协议的隐蔽通道可分为2类:第一类利用DNS的递归域名解析,在本文中称为基于域名的隐蔽隧道;第二类需要客户端与隐蔽通道服务器直接通信,在本文中称为基于服务器的隐蔽通道。通过域名递归解析的DNS隐蔽通道客户端只需请求本地DNS服务器,而不必与通道的另一方直接通信,因此大大增加了访问控制策略制定的难度。在基于服务器的DNS隐蔽隧道模式下,攻击者将基于UDP的服务运行在53端口,从客户端直接建立连接。在此模式下,整个UDP载荷均为隐蔽通道数据,通信效率大幅提升。
目前DNS隧道木马的检测技术停留在基于DNS隧道工具的检测上,主要分为载荷分析和流量监测两类。其中DNS载荷分析主要是针对DNS请求和响应,对报文中的有效载荷进行分析。DNS流量监测手段主要是检测网络中的DNS流量变化情况。然而,目前DNS隧道检测的误报率较高,无法适用于隐蔽性新型DNS隧道木马检测,在检测后也无法提供充足的信息给安全分析人员进行事件调查。
发明内容
为了解决现有技术中存在的问题,本发明提供了如下技术方案。
本发明一方面提供了一种DNS隐蔽隧道事件自动化检测方法,包括:
采集DNS隧道的流量数据并过滤冗余流量数据,得到流量样本;
对所述流量样本进行分析,提取流量数据特征;
利用预设模型对所提取的流量数据特征进行识别,得到DNS隧道事件;
对所述DNS隧道事件在多个线索维度下进行风险误报排查;
根据所述排查结果计算DNS隧道事件的风险值;
输出DNS隐蔽隧道风险事件告警及所述风险值。
优选地,所述过滤冗余流量数据,包括:
基于公共DNS解析服务器的地址列表进行过滤;和/或
过滤掉无三级以上子域名的DNS流量。
优选地,所述对所述流量样本进行分析,提取流量数据特征,包括:
对所述流量样本进行统计,提取域名静态特征;和/或
对DNS连接会话进行分析,提取流量行为特征。
优选地,在对所提取的流量数据特征进行识别之前,还包括:
对所提取的多个流量数据特征进行筛选,并将筛选后的特征进行融合。
优选地,利用预设模型对所提取的流量数据特征进行识别,包括:
利用基于随机森林模型的分类器对良性DNS请求和DNS隐蔽隧道进行判别,输出疑似DNS隐蔽隧道流量检测结果作为所述DNS隧道事件。
优选地,所述多个线索维度,包括以下任一项或多项:
判定受影响IP网络、判定攻击者IP网络、判定攻击状态、判定攻击用途、判定端口信息、查询攻击者IP情报,以及查询隧道流量使用域名情报。
优选地,所述根据所述排查结果计算DNS隧道事件的风险值包括:
将所述排查结果向量化后输入逻辑回归模型,输出初步风险值;
选择高于设定阈值的所述初步风险值作为所述DNS隧道事件的风险值。
本发明另一方面提供了一种DNS隐蔽隧道事件自动化检测装置,包括:
流量检测模块,用于采集DNS隧道的流量数据并过滤冗余流量数据,得到流量样本;对所述流量样本进行分析,提取流量数据特征;利用预设模型对所提取的流量数据特征进行识别,得到DNS隧道事件;
事件线索计算模块,用于对所述DNS隧道事件在多个线索维度下进行风险误报排查;以及
事件风险计算模块,用于根据所述排查结果计算DNS隧道事件的风险值;并输出DNS隐蔽隧道风险事件告警及所述风险值。
本发明第三方面提供了一种电子设备,包括处理器和存储器,所述存储器存储有多条指令,所述处理器用于读取所述指令并执行如上述第一方面所述的方法。
本发明第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有多条指令,所述多条指令可被处理器读取并执行如上述第一方面所述的方法。
本发明的有益效果是:
1.本发明构建的DNS隐蔽隧道事件自动化检索方法通过改进子域名熵值计算方式,融入子域名长度因素,使得子域名的随机度量化更为精确。
2.本发明的方法通过事件线索计算,为安全分析人员提供丰富的事件排查线索。
3.本发明的方法通过事件线索计算和事件风险计算,进行疑似DNS隐蔽隧道流量的二次判定,降低误报率,同时输出DNS隐蔽隧道事件的风险值,即危害程度。
4.本发明的方法将经过二次判定的DNS隐蔽隧道每条流量的告警基于三元组进行合并,从事件的维度进行告警,减少告警量,提升了用户界面的友好性。
5.本发明构建的DNS隐蔽隧道事件自动化检测流程高度自动化,并增强了方法可解释性。
附图说明
图1为根据本发明所述的DNS隐蔽隧道事件自动化检测方法流程图。
图2为根据本发明所述的DNS隐蔽隧道事件自动化检测过程的详细示意图。
图3为根据本发明所述的隧道流量中域名的子域名长度分布,以及良性域名的子域名长度分布示意图。
图4为根据本发明所述的流量特征选择过程的流程图。
图5为根据本发明所述的DNS隐蔽隧道事件自动化检测装置模块图。
具体实施方式
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案做详细的说明。
本发明提供的方法可以在如下的终端环境中实施,该终端可以包括一个或多个如下部件:处理器、存储器和显示屏。其中,存储器中存储有至少一条指令,所述指令由处理器加载并执行以实现下述实施例所述的方法。
处理器可以包括一个或者多个处理核心。处理器利用各种接口和线路连接整个终端内的各个部分,通过运行或执行存储在存储器内的指令、程序、代码集或指令集,以及调用存储在存储器内的数据,执行终端的各种功能和处理数据。
存储器可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory,ROM)。存储器可用于存储指令、程序、代码、代码集或指令。
显示屏用于显示各个应用程序的用户界面。
除此之外,本领域技术人员可以理解,上述终端的结构并不构成对终端的限定,终端可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。比如,终端中还包括射频电路、输入单元、传感器、音频电路、电源等部件,在此不再赘述。
实施例一
如图1所示,本发明实施例提供了一种DNS隐蔽隧道事件自动化检测方法,利用机器学习算法对流量进行疑似DNS隐蔽隧道流量检测,从而进行事件线索计算和疑似DNS隐蔽隧道流量的二次校验和风险度计算。
本发明提出的DNS隐蔽隧道事件自动化检测方法包括:
疑似DNS隐蔽隧道流量检测步骤101、采集DNS隧道的流量数据并过滤冗余流量数据,得到流量样本;对所述流量样本进行分析,提取流量数据特征;利用预设模型对所提取的流量数据特征进行识别,得到DNS隧道事件;
事件线索计算步骤102、对所述DNS隧道事件在多个线索维度下进行风险误报排查;以及
事件风险计算步骤103、根据所述排查结果计算DNS隧道事件的风险值;输出DNS隐蔽隧道风险事件告警及所述风险值。
参见图2的详细示意图,在进一步的实施例中,所述疑似DNS隐蔽隧道流量检测步骤101包括三个部分:冗余流量过滤、特征构建、流量分类。
首先,对DNS隧道的冗余流量数据进行过滤。通过长期测试发现,由于云服务厂商的智能DNS等服务的存在,直接将实时流量中的DNS流量送入模型进行检测会导致误报,计算资源消耗大等问题。因此基于测试结果的反馈,在冗余流量过滤阶段,先过滤冗余数据,减少计算过程中冗余数据地干扰。所述冗余流量过滤包括以下策略:
基于公共DNS的流量过滤:通过对DNS隐蔽隧道流量数据进行分析,DNS隐蔽隧道中的攻击者IP为DNS服务器的IP。而如IP地址为8.8.8.8的公共DNS解析服务器的DNS流量为正常流量,通常情况下不会用于DNS隐蔽隧道攻击,因此通过搜集的公共DNS解析服务IP地址列表进行过滤。
基于子域名的流量过滤:由于DNS隐蔽隧道通过三级以上的子域名部分进行信息传输,因此可过滤掉无三级以上子域名部分的DNS流量,降低后续流程计算负载。
然后,对所述流量样本进行分析,提取流量数据特征。
本发明通过对采集的DNS隧道流量样本进行静态分析与动态分析,提取DNS隧道的载荷特征,并通过定义DNS数据连接的会话来提取DNS隧道的数据分组特征及通信行为特征。
对于所述静态分析,本发明通过对良性DNS流量样本和DNS隐蔽隧道流量样本进行统计分析得出多个静态特征,例如三级以上子域名部分的随机度,基于HMM检测的成文检测和域名的期望等。其中,子域名随机度计算为通过域名长度改进的计算方式。具体地,利用信息论中的信息熵概念来反映信息的不确定性程度。经过数据的统计分析发现,隧道流量中的域名和良性域名之间语法结构是不同的,通常隧道流量中的域名具有随机性,而良性域名为了让使用者易记,具有良好的成文性和规整性,因此本发明使用香农信息熵来表示这种随机性的特点。
经过数据分析和测试发现,对于长度较短的域名,隧道流量中的域名和良性域名之间的信息熵分布没有明显的区分度。同时隧道流量中的域名和良性域名的子域名长度分布也是不同的。如图3所示的左图为隧道流量中的域名的子域名长度分布,右图为良性域名的子域名长度分布。
为解决这个问题,并增加域名和良性域名之间的信息熵分布的区分度,本发明对熵进行如下优化,用熵和子域名长度的乘积作为一个域名特征,通过该乘积来放大子域名长度对于熵的影响,域名长度越大该特征增长的越快,将该域名特征记为
Figure DEST_PATH_IMAGE001
,其表达式如下所示:
Figure DEST_PATH_IMAGE002
其中
Figure DEST_PATH_IMAGE003
是字母出现次数,L表示字符串长度,α是长度因数。在优选的实施例中,根据统计规律意义下出现频数较高的子域名长度,取α=11。
可以看出,本发明构建的DNS隐蔽隧道事件自动化检索方法通过改进子域名熵值计算方式,融入子域名长度因素,使得子域名的随机度量化更为精确。
对于所述动态分析,为分析流量样本的数据分组特性和通信行为特征,本发明首先定义DNS会话概念。TCP会话在建立通信过程中存在“三次握手”和断开连接的“四次挥手”行为,因此TCP会话可以计算会话时长,DNS会话属于UDP会话其中的一种,由于UDP无连接的特性,DNS没有会话时长的严格定义。
因此本发明将一次DNS会话中,最后一个DNS报文的时间和第一个DNS报文的时间差作为当前DNS会话的时长。
正常情况下,一次DNS解析过程首先由客户机在本地随机开启一个UDP端口,然后向指定的DNS服务器53端口发送DNS请求报文,两者由此建立一个UDP通道。客户机一旦得到相应DNS回复报文,这个DNS解析过程就结束了,如果没有后续的DNS解析任务,创建的UDP套接字会保存一段时间然后关闭,完成一次DNS会话。再次进行DNS解析的时候,再随机开启另一个UDP端口,重复上述过程。因此,正常域名解析时DNS会话的时间短,对于DNS隧道木马而言,创建的UDP套接字通常会等到木马下线或者木马生命结束才关闭,导致DNS隧道木马的DNS会话时长远大于正常DNS会话时长。基于DNS会话的概念,同时以5s为一个时间窗口,记录流量得出以下各项数据分组特征,包括:
1.每个主域名的DNS流量总数。
统计所述时间窗口内,每个主域名相关的DNS流量总数。
2.DNS会话中上行大包占请求报文总数的比例。
优选地,如果请求报文的query字节数>50,则称为上行大包。正常DNS会话中,上行大包比例较小,因而计算上行大包占请求报文总数的比例。
3.DNS会话中下行小包占响应报文总数的比例。
优选地,如果响应报文的answer字节数<50,则称为下行小包。正常DNS会话中,下行小包的比例较小, 因而计算下行小包占响应报文总数的比例。
此外,还可基于良性流量样本和DNS隧道流量样本,进行通信行为分析得出以下各项通信行为特征,包括:
1.有效载荷的上传下载比。
与一般正常的DNS会话相比,DNS隧道木马会话的上传下载比例更大。因此通过计算有效载荷的上传下载比,作为反映通信行为特征的特征参数之一。
2.报文格式异常指数。
当网络安全策略允许主机与任意一台DNS服务器通信时,可使用基于服务器的DNS隐蔽通道。攻击者将基于UDP的服务运行在53端口,从客户端直接建立连接。在此模式下,整个UDP载荷均为隐蔽通道数据,通信频率大幅度提升。然而,由于这些报文不是有效的DNS报文,流量分析工具解析这些报文时会出现格式异常(malformed),从而引起怀疑。
3.注入数据长度。
对于通过DNS数据分组松弛空间数据注入,实现对DNS解析器和安全工具透明的被动DNS隧道的情况,计算注入数据长度即协议解析完毕时指针与UDP载荷末尾的距离,作为表示松弛空间输入量的特征参数。具体地,注入数据长度可为IP层的长度减去UDP层的长度。
4.域名查询数量。
是否被重复查询是DNS隧道使用的域名与具有大量子域名的其它域名的显著区别。DNS隧道创建的子域通常只查询一次。因此,唯一子域的数量和每个域的查询数量的比率可以作为DNS隧道检测的指标。
可选地,在提取各项流量数据特征之后,对所提取的多个流量数据特征进行筛选,并将筛选后的特征进行融合。在先前的特征构建阶段,已构建了多个特征。为提高模型的泛化能力,同时压缩模型便于端侧部署,需要进行特征选择,因此仅使用部分关键特征。特征选择阶段的总体流程如图4所示,首先将训练集经过方差过滤,将变化比较小的特征删除。方差小说明特征的数值变化不大,这样的特征对分类的作用不大。然后,分别经过平均精确率减少和稳定性选择两种方式进行特征选择,最后将选择的特征进行融合。
其中,所述平均精确率减少,包括直接度量每个特征对模型精确率的影响,打乱每个特征的特征值顺序,度量每个特征的顺序变动对模型精确率的影响。对于不重要的特征来说,打乱顺序对模型的精确率影响不大,但是对于重要的特征来说,打乱顺序会降低模型的精确率。
所述稳定性选择是一种二次抽样和选择算法相结合的算法,在不同的特征子集和数据子集上运行特征选择算法,不断地重复,最终汇总特征选择结果,统计某个特征被认为是重要特征的频率,被选为重要特征的次数除以所在子集被测试的次数。一般而言,重要特征的得分接近1,次重要的为非零数,不重要的特征接近零。
最后,利用预设模型对所提取的流量数据特征进行识别,得到DNS隧道事件。
在完成特征的筛选之后,可以利用预设模型对所提取的流量数据特征进行识别,即基于预设模型的流量分类。
在可选的实施例中,所述预设模型是随机森林模型。利用机器学习的分类算法对良性DNS请求和DNS隐蔽隧道进行判别,输出疑似DNS隐蔽隧道流量检测结果。针对可解释性,特征选择,缺省值等问题的考虑,分类器采用随机森林。将全部特征输入随机森林分类器,进行训练和参数调整。随机森林由多棵CART(classification and regression tree)构成。同时使用Bootstrap法有放回采样,随机生成训练子集,将gini系数作为子树划分的标准。在优选的实施例中,最终的随机森林由200棵决策树组成。
可以看出,本发明基于随机森林模型对流量特征进行分类,使得所述DNS隐蔽隧道事件自动化检测方法的整体流程高度自动化,并增强了方法可解释性。
将模型部署在端侧设备进行长期测试后发现,当获得疑似DNS隐蔽隧道流量检测结果之后,客户对于告警信息排查通常还需要更多的线索信息。同时因实验室环境和现网环境的差异,需要进一步进行事件风险计算进行二次判定来降低误报。因此,在进一步的实施例中,所述事件线索计算步骤102对所述DNS隧道事件在多个线索维度下进行风险误报排查。所述多个线索维度包括以下任一项或多项:判定受影响IP网络、判定攻击者IP网络、判定攻击状态、判定攻击用途、判定端口信息、查询攻击者IP情报,以及查询隧道流量使用域名情报。
具体地,事件线索计算步骤从事件排查和事件风险计算的角度出发,构建多个事件线索计算模块,分别包括:
1.受影响IP网络判定。
受影响IP即疑似DNS隐蔽隧道流量中的被攻击设备的IP。处在生产环境的受影响IP比处在办公网环境中的受影响IP的危害度更高,因此通过用户资产测绘的信息判定受影响IP网络的线索信息。
2.攻击者IP网络判定。
在客户网络中测试时发现,存在内部测试专属域名,内网DNS服务器和用于合法用途的DNS隐蔽隧道等情况。因此疑似DNS隐蔽隧道流量中的DNS服务器地址—攻击者IP,所处的网络环境是公网环境还是内网环境,对于事件调查和风险计算具有较大作用。基于上述分析,通过IP地址范围进行攻击者IP网络线索判定计算。
3.攻击状态判定。
根据安全分析人员的经验,攻击状态对于事件调查的紧急程度有重要影响,攻击状态可包括攻击中和攻击成功。因此通过疑似DNS隐蔽隧道流量检测的结果进行攻击状态线索计算。在进一步的实施例中,所述攻击状态判定方式如下:
a)设定时间窗口为5秒。攻击状态分为攻击中和攻击成功。
b)构建DNS隐蔽隧道攻击事件三元组<受影响IP,攻击者IP,二级子域名>,以下简称三元组。
c)如果在一个时间窗口
Figure DEST_PATH_IMAGE004
内,同一三元组
Figure DEST_PATH_IMAGE005
的疑似DNS隐蔽隧道流量条目数大于预设阈值
Figure DEST_PATH_IMAGE006
,则该时间窗口内,将三元组对应的疑似DNS隐蔽隧道事件攻击状态置为攻击中。
d)如果
Figure 282131DEST_PATH_IMAGE004
时间窗口后连续两个时间窗口内,三元组
Figure 540550DEST_PATH_IMAGE005
的疑似DNS隐蔽隧道流量条目数不大于所述阈值
Figure 585866DEST_PATH_IMAGE006
,则将所述三元组
Figure 987255DEST_PATH_IMAGE005
对应的疑似DNS隐蔽隧道攻击事件的攻击状态变更为攻击成功。
4.攻击用途判定。
DNS隐蔽隧道的攻击用途主要分为通信和数据窃取。在进行事件调查时,攻击用途也是深入分析攻击事件的重要线索。因此对攻击用途进行如下判定:若时间窗口内,只有从受影响IP到攻击者IP的流量,则判定攻击用途为数据窃取,否则为正常通信。
5.端口信息判定。
通常情况下DNS隐蔽隧道使用的端口为非常用端口,若检测到的疑似DNS隐蔽隧道流量中的端口信息为常用端口,则存在误报风险,因此通过进行端口信息的线索计算,为事件调查和事件风险计算提供信息。
6.攻击者IP情报查询。
针对攻击者IP查询情报库,扩充线索信息,若命中,还可排除误报情况。
7.隧道流量使用域名情报查询。
针对隧道流量中使用的二级域名进行情报查询,扩充线索信息,排除误报风险。
可以看出,本发明的方法通过上述事件线索计算步骤,为安全分析人员提供多样化的事件排查线索,便于后续的事件风险计算。
在完成事件线索计算之后,方法还包括事件风险计算步骤103。为降低误报及计算DNS隐蔽隧道事件的危害程度,构建事件风险计算模块。具体地,事件风险计算过程可包括:
1.将事件线索计算的结果向量化后,输入逻辑回归模型,输出DNS隐蔽隧道事件风险值,即危害度。
2.基于长期分析的结果设定阈值β,同时基于风险值对疑似DNS隐蔽隧道流量进行二次判定。
3.将风险值高于所述阈值β的疑似DNS隐蔽隧道流量按照三元组合并,输出DNS隐蔽隧道风险事件告警及风险值,将检测和告警维度从单条流量提升为事件。将一次DNS隐蔽隧道攻击事件中每条流量的告警合并。
可以看出,通过上述事件线索计算和事件风险计算步骤,本发明的方案可进行疑似DNS隐蔽隧道流量的二次判定,降低误报率,同时输出DNS隐蔽隧道事件的风险值,即危害程度。而通过将一次DNS隐蔽隧道攻击事件中每条流量的告警合并,减少告警量,提升用户的友好性。
实施例二
本发明的另一方面还包括和前述方法流程完全对应一致的功能模块架构。如图5所示,本发明实施例还提供了一种DNS隐蔽隧道事件自动化检测装置,包括:
流量检测模块201,用于采集DNS隧道的流量数据并过滤冗余流量数据,得到流量样本;对所述流量样本进行分析,提取流量数据特征;利用预设模型对所提取的流量数据特征进行识别,得到DNS隧道事件;
事件线索计算模块202,用于对所述DNS隧道事件在多个线索维度下进行风险误报排查;以及
事件风险计算模块203,用于根据所述排查结果计算DNS隧道事件的风险值;并输出DNS隐蔽隧道风险事件告警及所述风险值。
该装置可通过上述实施例一提供的DNS隐蔽隧道事件自动化检测方法实现。各个模块所实现的具体功能可参见实施例一并结合图2的示意图的详细描述,在此不再赘述。
本领域技术人员可以理解,以上所述的DNS隐蔽隧道事件自动化检测方法和装置的每个步骤或模块的实现细节并不构成对本发明整体方案的限定。本领域技术人员可以根据DNS隧道的实际状态,对上述方法和装置所涉及的参数或算法等作出容易想到的调整。
实施例三
本发明还提供了一种存储器,存储有多条指令,所述指令用于实现如实施例一所述的方法。
实施例四
本发明还提供了一种电子设备,包括处理器和与所述处理器连接的存储器,所述存储器存储有多条指令,所述指令可被所述处理器加载并执行,以使所述处理器能够执行如实施例一所述的方法。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包括这些改动和变型在内。

Claims (10)

1.一种DNS隐蔽隧道事件自动化检测方法,其特征在于,包括:
采集DNS隧道的流量数据并过滤冗余流量数据,得到流量样本;
对所述流量样本进行分析,提取流量数据特征;
利用预设模型对所提取的流量数据特征进行识别,得到DNS隧道事件;
对所述DNS隧道事件在多个线索维度下进行风险误报排查;
根据排查结果计算DNS隧道事件的风险值;
输出DNS隐蔽隧道风险事件告警及所述风险值。
2.根据权利要求1所述的方法,其特征在于,所述过滤冗余流量数据,包括:
基于公共DNS解析服务器的地址列表进行过滤;和/或
过滤掉无三级以上子域名的DNS流量。
3.根据权利要求1所述的方法,其特征在于,所述对所述流量样本进行分析,提取流量数据特征,包括:
对所述流量样本进行统计,提取域名静态特征;和/或
对DNS连接会话进行分析,提取流量行为特征。
4.根据权利要求1所述的方法,其特征在于,在对所提取的流量数据特征进行识别之前,还包括:
对所提取的多个流量数据特征进行筛选,并将筛选后的特征进行融合。
5.根据权利要求1所述的方法,其特征在于,利用预设模型对所提取的流量数据特征进行识别,包括:
利用基于随机森林模型的分类器对良性DNS请求和DNS隐蔽隧道进行判别,输出疑似DNS隐蔽隧道流量检测结果作为所述DNS隧道事件。
6.根据权利要求1所述的方法,其特征在于,所述多个线索维度,包括以下任一项或多项:
判定受影响IP网络、判定攻击者IP网络、判定攻击状态、判定攻击用途、判定端口信息、查询攻击者IP情报,以及查询隧道流量使用域名情报。
7.根据权利要求1所述的方法,其特征在于,所述根据排查结果计算DNS隧道事件的风险值包括:
将排查结果向量化后输入逻辑回归模型,输出初步风险值;
选择高于设定阈值的所述初步风险值作为所述DNS隧道事件的风险值。
8.一种DNS隐蔽隧道事件自动化检测装置,其特征在于,包括:
流量检测模块,用于采集DNS隧道的流量数据并过滤冗余流量数据,得到流量样本;对所述流量样本进行分析,提取流量数据特征;利用预设模型对所提取的流量数据特征进行识别,得到DNS隧道事件;
事件线索计算模块,用于对所述DNS隧道事件在多个线索维度下进行风险误报排查;以及
事件风险计算模块,用于根据排查结果计算DNS隧道事件的风险值;并输出DNS隐蔽隧道风险事件告警及所述风险值。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有多条指令,所述处理器用于读取所述指令并执行如权利要求1-7任一所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述多条指令可被处理器读取并执行如权利要求1至7任一所述的方法。
CN202110416533.8A 2021-04-19 2021-04-19 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备 Active CN112822223B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110416533.8A CN112822223B (zh) 2021-04-19 2021-04-19 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110416533.8A CN112822223B (zh) 2021-04-19 2021-04-19 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备

Publications (2)

Publication Number Publication Date
CN112822223A true CN112822223A (zh) 2021-05-18
CN112822223B CN112822223B (zh) 2021-08-31

Family

ID=75863675

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110416533.8A Active CN112822223B (zh) 2021-04-19 2021-04-19 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备

Country Status (1)

Country Link
CN (1) CN112822223B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114430382A (zh) * 2021-11-30 2022-05-03 中国科学院信息工程研究所 基于被动dns流量的权威域名服务器冗余度缩减检测方法及装置
CN115086080A (zh) * 2022-08-03 2022-09-20 上海欣诺通信技术股份有限公司 一种基于流量特征的dns隐蔽隧道检测方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012034456A1 (zh) * 2010-09-16 2012-03-22 中兴通讯股份有限公司 一种获取dns的方法和隧道网关设备
CN108632227A (zh) * 2017-03-23 2018-10-09 中国移动通信集团广东有限公司 一种恶意域名检测处理方法及装置
CN110855632A (zh) * 2019-10-24 2020-02-28 新华三信息安全技术有限公司 报文检测方法、装置、网络设备和计算机可读存储介质
CN111294332A (zh) * 2020-01-13 2020-06-16 交通银行股份有限公司 一种流量异常检测与dns信道异常检测系统及方法
CN111786993A (zh) * 2020-06-30 2020-10-16 山石网科通信技术股份有限公司 Dns隧道流量的检测方法及装置
CN112272175A (zh) * 2020-10-22 2021-01-26 江苏今浪信息技术有限公司 一种基于dns的木马病毒检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012034456A1 (zh) * 2010-09-16 2012-03-22 中兴通讯股份有限公司 一种获取dns的方法和隧道网关设备
CN108632227A (zh) * 2017-03-23 2018-10-09 中国移动通信集团广东有限公司 一种恶意域名检测处理方法及装置
CN110855632A (zh) * 2019-10-24 2020-02-28 新华三信息安全技术有限公司 报文检测方法、装置、网络设备和计算机可读存储介质
CN111294332A (zh) * 2020-01-13 2020-06-16 交通银行股份有限公司 一种流量异常检测与dns信道异常检测系统及方法
CN111786993A (zh) * 2020-06-30 2020-10-16 山石网科通信技术股份有限公司 Dns隧道流量的检测方法及装置
CN112272175A (zh) * 2020-10-22 2021-01-26 江苏今浪信息技术有限公司 一种基于dns的木马病毒检测方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114430382A (zh) * 2021-11-30 2022-05-03 中国科学院信息工程研究所 基于被动dns流量的权威域名服务器冗余度缩减检测方法及装置
CN115086080A (zh) * 2022-08-03 2022-09-20 上海欣诺通信技术股份有限公司 一种基于流量特征的dns隐蔽隧道检测方法
CN115086080B (zh) * 2022-08-03 2024-05-07 上海欣诺通信技术股份有限公司 一种基于流量特征的dns隐蔽隧道检测方法

Also Published As

Publication number Publication date
CN112822223B (zh) 2021-08-31

Similar Documents

Publication Publication Date Title
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
US8015605B2 (en) Scalable monitor of malicious network traffic
CN111478920A (zh) 一种隐蔽信道通信检测方法、装置及设备
CN112822223B (zh) 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备
CN113468071B (zh) 模糊测试用例生成方法、系统、计算机设备及存储介质
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
CN112887274B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN113269389A (zh) 基于深度信念网的网络安全态势评估和态势预测建模方法
CN116366374B (zh) 基于大数据的电网网络管理的安全评估方法、系统及介质
SG184120A1 (en) Method of identifying a protocol giving rise to a data flow
CN112351018A (zh) Dns隐蔽信道检测方法、装置及设备
CN111835681A (zh) 一种大规模流量异常主机检测方法和装置
CN112003869A (zh) 一种基于流量的漏洞识别方法
CN114972827A (zh) 资产识别方法、装置、设备及计算机可读存储介质
CN113114691A (zh) 一种网络入侵检测方法、系统、设备和可读存储介质
CN116015800A (zh) 一种扫描器识别方法、装置、电子设备及存储介质
CN113852625B (zh) 一种弱口令监测方法、装置、设备及存储介质
CN111565187B (zh) 一种dns异常检测方法、装置、设备及存储介质
Beheshti et al. Packet information collection and transformation for network intrusion detection and prevention
Almutairi et al. Predicting multi-stage attacks based on IP information
CN117201121A (zh) 攻击对象的攻击威胁程度分析方法、装置和计算机设备
CN117879855A (zh) 检测dns隧道的方法、装置及电子设备
CN116015890A (zh) 网络扫描的检测方法、装置、电子设备和存储介质
CN117768141A (zh) 对抗网络入侵检测方法、装置、系统、计算机设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210924

Address after: B201d-1, 3rd floor, building 8, yard 1, Zhongguancun East Road, Haidian District, Beijing 100083

Patentee after: Beijing innovation Zhiyuan Technology Co.,Ltd.

Address before: B201d-1, 3rd floor, building 8, yard 1, Zhongguancun East Road, Haidian District, Beijing 100083

Patentee before: Beijing Zhiyuan Artificial Intelligence Research Institute

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220413

Address after: Room 266, floor 2, building 1, No. 16, Shangdi Fifth Street, Haidian District, Beijing 100085

Patentee after: Beijing Tianji Youmeng Information Technology Co.,Ltd.

Address before: B201d-1, 3rd floor, building 8, yard 1, Zhongguancun East Road, Haidian District, Beijing 100083

Patentee before: Beijing innovation Zhiyuan Technology Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230104

Address after: 519,060 Room 1903-231, Unit 1, Regenerative Times Building, No. 55, Pingbei Second Road, Xiangzhou District, Zhuhai City, Guangdong Province (centralized office area)

Patentee after: Tianji Youmeng (Zhuhai) Technology Co.,Ltd.

Address before: Room 266, floor 2, building 1, No. 16, Shangdi Fifth Street, Haidian District, Beijing 100085

Patentee before: Beijing Tianji Youmeng Information Technology Co.,Ltd.