CN113676379A - 一种dns隧道检测方法、装置、系统及计算机存储介质 - Google Patents

一种dns隧道检测方法、装置、系统及计算机存储介质 Download PDF

Info

Publication number
CN113676379A
CN113676379A CN202111021400.7A CN202111021400A CN113676379A CN 113676379 A CN113676379 A CN 113676379A CN 202111021400 A CN202111021400 A CN 202111021400A CN 113676379 A CN113676379 A CN 113676379A
Authority
CN
China
Prior art keywords
dns
streaming data
domain name
scoring
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111021400.7A
Other languages
English (en)
Other versions
CN113676379B (zh
Inventor
辜乘风
徐�明
夏玉明
魏国富
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202111021400.7A priority Critical patent/CN113676379B/zh
Publication of CN113676379A publication Critical patent/CN113676379A/zh
Application granted granted Critical
Publication of CN113676379B publication Critical patent/CN113676379B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0681Configuration of triggering conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Optimization (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种DNS隧道检测方法、装置、系统及计算机存储介质。其中,该方法包括:逐条获取目标DNS流式数据;其中,每条所述目标DNS流式数据包括整个域名;所述整个域名包括二级域名和二级域名对应的子域名;将所述目标DNS流式数据根据二级域名进行分组,得到多组待处理的DNS流式数据;对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分,得到预设数量个打分值;以及根据所述预设数量个打分值计算对应组的总分;当判定所述对应组的总分大于预设阈值时,对该组进行告警并展示。通过本发明,能够解决现有技术中检测方式准确率低、告警多的问题。该方法告警准确率和查全率高,以及告警聚合度高。

Description

一种DNS隧道检测方法、装置、系统及计算机存储介质
技术领域
本发明涉及DNS技术领域,具体而言,涉及一种DNS隧道检测方法、装置、系统及计算机存储介质。
背景技术
DNS(Domain Name System,域名系统)可以提供域名解析服务,将域名和IP地址进行转换,以访问互联网和内网资源。
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,使用隧道传递的Data(数据)或 Payload (负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包,重新封装然后通过隧道发送,新的帧头,提供路由信息,以便通过互联网传递被封装的 Payload(负载)。
传统socket隧道已极少,TCP、UDP 大量被防御系统拦截,DNS、ICMP、http/https等难于禁止的协议已成为黑客控制隧道的主流。黑客要收集到隧道信息,需要搭建黑客的DNS服务器,并以二级域名作为信息载体承载信息进行传输。
目前现有技术中,检测DNS隧道技术的方法主要有两种:一、基于域名白名单直接进行统计,该检测方式准确率低、告警多;二、基于单条日志检测,该检测方式准确率低、告警多、容易被绕过。
针对现有技术中检测方式准确率低、告警多的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例中提供一种DNS隧道检测方法、装置、系统及计算机存储介质,以解决现有技术中准确率低、告警多的问题。
为达到上述目的,一方面,本发明提供了一种DNS隧道检测方法,该方法包括:逐条获取目标DNS流式数据;其中,每条所述目标DNS流式数据包括整个域名;所述整个域名包括二级域名和二级域名对应的子域名;将所述目标DNS流式数据根据二级域名进行分组,得到多组待处理的DNS流式数据;对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分,得到预设数量个打分值;以及根据所述预设数量个打分值计算对应组的总分;当判定所述对应组的总分大于预设阈值时,对该组进行告警并展示。
可选的,所述对每个所述特征根据打分函数进行打分包括:根据每个所述特征生成对应的概率密度图;根据每个所述概率密度图生成对应的打分函数;其中,所述打分函数在概率密度小的地方得分高;根据每个所述打分函数计算得到对应的打分值。
可选的,所述预设数量个特征包括:数量特征、长度特征和编码效率特征。
可选的,所述逐条获取目标DNS流式数据包括:逐条获取DNS流式数据;对每条所述DNS流式数据进行检测以去除有白名单的DNS流式数据,得到目标DNS流式数据。
可选的,所述对每条所述DNS流式数据进行检测以去除有白名单的DNS流式数据,得到目标DNS流式数据包括:判断每条所述DNS流式数据中的二级域名是否为白名单;若是,去除是白名单的DNS流式数据并对所述白名单去重后统计该白名单个数;若否,则保留得到目标DNS流式数据。
另一方面,本发明提供了一种DNS隧道检测装置,该装置包括:目标数据获取单元,用于逐条获取目标DNS流式数据;其中,每条所述目标DNS流式数据包括整个域名;所述整个域名包括二级域名和二级域名对应的子域名;分组单元,用于将所述目标DNS流式数据根据二级域名进行分组,得到多组待处理的DNS流式数据;总分计算单元,用于对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分,得到预设数量个打分值;以及根据所述预设数量个打分值计算对应组的总分;告警单元,用于当判定所述对应组的总分大于预设阈值时,对该组进行告警并展示。
可选的,所述总分计算单元包括:第一生成模块,用于根据每个所述特征生成对应的概率密度图;第二生成模块,用于根据每个所述概率密度图生成对应的打分函数;其中,所述打分函数在概率密度小的地方得分高;分值计算模块,用于根据每个所述打分函数计算得到对应的打分值。
可选的,所述目标数据获取单元包括:原始数据获取模块,用于逐条获取DNS流式数据;目标数据获取模块,用于对每条所述DNS流式数据进行检测以去除有白名单的DNS流式数据,得到目标DNS流式数据。
可选的,所述目标数据获取模块包括:判断子模块,用于判断每条所述DNS流式数据中的二级域名是否为白名单;若是,去除是白名单的DNS流式数据并对所述白名单去重后统计该白名单个数;若否,则保留得到目标DNS流式数据。
另一方面,本发明还提供了一种DNS隧道检测系统,包括上述的DNS隧道检测装置。
另一方面,本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的DNS隧道检测方法。
本发明的有益效果:
本发明提供了一种DNS隧道检测方法,该检测方法通过将所述目标DNS流式数据根据二级域名进行分组,以及每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分,得到预设数量个打分值;以及根据所述预设数量个打分值计算对应组的总分;当判定所述对应组的总分大于预设阈值时,对该组进行告警并展示。解决了现有技术中检测方式准确率低、告警多的问题。该方法告警准确率和查全率高;以及本发明中通过选取对“二级域名”进行告警,而不是单条域名告警,从而使得告警聚合度高。
附图说明
图1是本发明实施例提供的一种DNS隧道检测方法的流程图;
图2是本发明实施例提供的对每个所述特征根据打分函数进行打分的流程图;
图3是本发明实施例提供的逐条获取目标DNS流式数据的流程图;
图4是本发明实施例提供的一种DNS隧道检测装置的结构示意图;
图5是本发明实施例提供的总分计算单元的结构示意图;
图6是本发明实施例提供的目标数据获取单元的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
企业内网环境中,为了访问互联网和内网资源,用户需要一个跳板来实现通信,那么企业的DNS服务器就是这样一个跳板,用户以二级域名为载体承载信息,通过跳板实现隐秘数据外发。黑客在入侵企业内网环境后要外连接时,用DNS隧道;其中,黑客的DNS服务器为外网的接收端。
而现有技术中,检测DNS隧道技术的方法主要有两种:一、基于域名白名单直接进行统计,该检测方式准确率低、告警多;二、基于单条日志检测,该检测方式准确率低、告警多、容易被绕过。
因而,本发明提供了一种DNS隧道检测方法,其检测时只需要检测载体二级域名携带的信息量,就可以检出DNS 隧道。图1是本发明实施例提供的一种DNS隧道检测方法的流程图,如图1所示,该方法包括:
S101.逐条获取目标DNS流式数据;其中,每条所述目标DNS流式数据包括整个域名;所述整个域名包括二级域名和二级域名对应的子域名;
在一个可选的实施方式中,一条一条的获取目标DNS流式数据;其中,每条目标DNS流式数据包括:原IP地址、目标IP地址和整个域名,所述整个域名包括二级域名和二级域名对应的子域名,如:www.baidu.com,doc.baidu.com,whoami.tunnel.com;其中,baidu.com,tunnel.com为二级域名,www.baidu.com,doc.baidu.com,whoami.tunnel.com分别为子域名。
S102.将所述目标DNS流式数据根据二级域名进行分组,得到多组待处理的DNS流式数据;
如上述的三个域名:www.baidu.com,doc.baidu.com,whoami.tunnel.com,其中www.baidu.com,doc.baidu.com两个域名的二级域名相同,则其分别对应的目标DNS流式数据为一组;而whoami.tunnel.com对应的目标DNS流式数据为一组。如此,得到多组待处理的DNS流式数据。
S103.对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分,得到预设数量个打分值;以及根据所述预设数量个打分值计算对应组的总分;
一组中待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,抽取预设数量个特征,对每个所述特征根据打分函数进行打分,得到预设数量个打分值,将所述预设数量个打分值相乘得到该组的总分。
在一个可选的实施方式中,所述预设数量个特征包括:数量特征、长度特征和编码效率特征。
所述数量特征为子域名去重统计数,所述长度特征为子域名平均长度,所述编码效率特征为子域名字符去重统计数和子域名字符信息熵。其中,一组待处理的DNS流式数据得到的总分=子域名去重统计得分×子域名平均长度得分×子域名字符去重统计得分×子域名字符信息熵得分。需要说明的是,以上所述预设数量个特征仅为举例说明,其不应限制本申请的保护范围,在实际应用中可根据需求设置其他类型的特征,或者对特征的数量进行调整,本发明对此不做限制。
S104.当判定所述对应组的总分大于预设阈值时,对该组进行告警并展示。
在一个可选的实施方式中,将上述得到的该组的总分与预设阈值作比较,若该组的总分大于预设阈值,则对该组进行告警并汇总结果展示;其中,每组待处理的DNS流式数据都对应得到一个总分,则多组待处理的DNS流式数据一一对应得到多个总分,每个总分都需要与预设阈值进行比较。
本发明中,通过抽取预设数量个特征并对每个所述特征根据打分函数进行打分,可保证DNS隧道检测的告警准确率和查全率高;以及通过选取对“二级域名”进行告警,而不是单条域名告警,从而使得告警聚合度高。
在一个可选的实施方式中,图2是本发明实施例提供的对每个所述特征根据打分函数进行打分的流程图,如图2所示,所述S103中对每个所述特征根据打分函数进行打分包括:
S1031.根据每个所述特征生成对应的概率密度图;
一组中待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,抽取预设数量个特征,分别为子域名去重统计数,子域名平均长度,子域名字符去重统计数,子域名字符信息熵,每个所述特征都生成对应的概率密度图,每个概率密度图的分布都近似于泊松分布(是一种统计与概率学里常见到的离散概率分布)。
S1032.根据每个所述概率密度图生成对应的打分函数;其中,所述打分函数在概率密度小的地方得分高;
根据每个所述概率密度图生成对应的打分函数,生成的打分函数满足在概率密度小的地方打分高。
打分函数score为:
Figure 706509DEST_PATH_IMAGE001
其中,x为子域名去重统计数,子域名平均长度,子域名字符去重统计数,子域名字符信息熵,k是由各个特征通过分布获取的。子域名去重统计数的分布k设置为30,子域名平均长度的分布k设置为20,子域名字符去重统计数的分布k设置为25,子域名字符信息熵的分布k设置为3.5。
打分函数在x=0的时候得分为0,在x=k的时候得分近似为1 (误差小于0.0001,
Figure 623649DEST_PATH_IMAGE002
)。
(1)子域名去重统计数生成的打分函数为
Figure 465703DEST_PATH_IMAGE003
score1为子域名去重统计得分,x为子域名去重统计数。
具体的,一组中待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,该子域名有两个,且不重复,则子域名去重统计数x为2。其中,绝大部分二级域名的子域名数都在5 个以内。
(2)子域名平均长度生成的打分函数为
Figure 860913DEST_PATH_IMAGE004
score2为子域名平均长度得分,x为子域名平均长度。
具体的,一组中待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,该子域名有两个,每个子域名的长度都为11,则子域名平均长度x为11。
(3)子域名字符去重统计生成的打分函数为
Figure 239067DEST_PATH_IMAGE005
score3为子域名字符去重统计得分,x为子域名字符去重统计数。
具体的,一组待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,该子域名有两个,第一个子域名的字符去重统计数为9,第二个子域名的字符去重统计数为11,则该组子域名字符去重统计数为20。
子域名字符信息熵生成的打分函数为
Figure 123846DEST_PATH_IMAGE006
score4为子域名字符信息熵得分,x为子域名字符信息熵。
S1033.根据每个所述打分函数计算得到对应的打分值。
总分score=score1×score2×score3×score4。
在一个可选的实施方式中,图3是本发明实施例提供的逐条获取目标DNS流式数据的流程图,如图3所示,所述S101包括:
S1011.逐条获取DNS流式数据;
S1012.对每条所述DNS流式数据进行检测以去除有白名单的DNS流式数据,得到目标DNS流式数据。
将获取的每条DNS流式数据与白名单进行对比,例如白名单google.com,若有白名单,则去除有白名单的DNS流式数据。
通过该方法,可以保证准确率和查全率高,从而避免告警多。
在一个可选的实施方式中,所述S1012包括:判断每条所述DNS流式数据中的二级域名是否为白名单;若是,去除是白名单的DNS流式数据并对所述白名单去重后统计该白名单个数;若否,则保留得到目标DNS流式数据。
将获取的每条DNS流式数据中的二级域名与白名单对比,若正好命中白名单,则过滤命中了白名单的DNS流式数据,并对被命中的白名单进行去重统计;即,假设有多个google.com,则只统计1个。
图4是本发明实施例提供的一种DNS隧道检测装置的结构示意图,如图4所示,该装置包括:
目标数据获取单元201,用于逐条获取目标DNS流式数据;其中,每条所述目标DNS流式数据包括整个域名;所述整个域名包括二级域名和二级域名对应的子域名;
在一个可选的实施方式中,一条一条的获取目标DNS流式数据;其中,每条目标DNS流式数据包括:原IP地址、目标IP地址和整个域名,所述整个域名包括二级域名和二级域名对应的子域名,如:www.baidu.com,doc.baidu.com,whoami.tunnel.com;其中,baidu.com,tunnel.com为二级域名,www.baidu.com,doc.baidu.com,whoami.tunnel.com分别为子域名。
分组单元202,用于将所述目标DNS流式数据根据二级域名进行分组,得到多组待处理的DNS流式数据;
如上述的三个域名:www.baidu.com,doc.baidu.com,whoami.tunnel.com,其中www.baidu.com,doc.baidu.com两个域名的二级域名相同,则其分别对应的目标DNS流式数据为一组;而whoami.tunnel.com对应的目标DNS流式数据为一组。如此,得到多组待处理的DNS流式数据。
总分计算单元203,用于对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分,得到预设数量个打分值;以及根据所述预设数量个打分值计算对应组的总分;
一组中待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,抽取预设数量个特征,对每个所述特征根据打分函数进行打分,得到预设数量个打分值,将所述预设数量个打分值相乘得到该组的总分。
在一个可选的实施方式中,所述预设数量个特征包括:数量特征、长度特征和编码效率特征。
所述数量特征为子域名去重统计数,所述长度特征为子域名平均长度,所述编码效率特征为子域名字符去重统计数和子域名字符信息熵。其中,一组待处理的DNS流式数据得到的总分=子域名去重统计得分×子域名平均长度得分×子域名字符去重统计得分×子域名字符信息熵得分。需要说明的是,以上所述预设数量个特征仅为举例说明,其不应限制本申请的保护范围,在实际应用中可根据需求设置其他类型的特征,或者对特征的数量进行调整,本发明对此不做限制。
告警单元204,用于当判定所述对应组的总分大于预设阈值时,对该组进行告警并展示。
在一个可选的实施方式中,将上述得到的该组的总分与预设阈值作比较,若该组的总分大于预设阈值,则对该组进行告警并汇总结果展示;其中,每组待处理的DNS流式数据都对应得到一个总分,则多组待处理的DNS流式数据一一对应得到多个总分,每个总分都需要与预设阈值进行比较。
本发明中,通过抽取预设数量个特征并对每个所述特征根据打分函数进行打分,可保证DNS隧道检测的告警准确率和查全率高;以及通过选取对“二级域名”进行告警,而不是单条域名告警,从而使得告警聚合度高。
在一个可选的实施方式中,图5是本发明实施例提供的总分计算单元的结构示意图,如图5所示,所述总分计算单元203包括:
第一生成模块2031,用于根据每个所述特征生成对应的概率密度图;
一组中待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,抽取预设数量个特征,分别为子域名去重统计数,子域名平均长度,子域名字符去重统计数,子域名字符信息熵,每个所述特征都生成对应的概率密度图,每个概率密度图的分布都近似于泊松分布(是一种统计与概率学里常见到的离散概率分布)。
第二生成模块2032,用于根据每个所述概率密度图生成对应的打分函数;其中,所述打分函数在概率密度小的地方得分高;
根据每个所述概率密度图生成对应的打分函数,生成的打分函数满足在概率密度小的地方打分高。
打分函数score为:
Figure 390879DEST_PATH_IMAGE007
其中,x为子域名去重统计数,子域名平均长度,子域名字符去重统计数,子域名字符信息熵,k是由各个特征通过分布获取的。子域名去重统计数的分布k设置为30,子域名平均长度的分布k设置为20,子域名字符去重统计数的分布k设置为25,子域名字符信息熵的分布k设置为3.5。
打分函数在x=0的时候得分为0,在x=k的时候得分近似为1 (误差小于0.0001,
Figure 652096DEST_PATH_IMAGE008
)。
(1)子域名去重统计数生成的打分函数为
Figure 383292DEST_PATH_IMAGE003
score1为子域名去重统计得分,x为子域名去重统计数。
具体的,一组中待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,该子域名有两个,且不重复,则子域名去重统计数x为2。其中,绝大部分二级域名的子域名数都在5 个以内。
(2)子域名平均长度生成的打分函数为
Figure 376656DEST_PATH_IMAGE004
score2为子域名平均长度得分,x为子域名平均长度。
具体的,一组中待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,该子域名有两个,每个子域名的长度都为11,则子域名平均长度x为11。
(3)子域名字符去重统计生成的打分函数为
Figure 694767DEST_PATH_IMAGE005
score3为子域名字符去重统计得分,x为子域名字符去重统计数。
具体的,一组待处理的DNS流式数据如:www.baidu.com,doc.baidu.com,该子域名有两个,第一个子域名的字符去重统计数为9,第二个子域名的字符去重统计数为11,则该组子域名字符去重统计数为20。
(4)子域名字符信息熵生成的打分函数为
Figure 431779DEST_PATH_IMAGE006
score4为子域名字符信息熵得分,x为子域名字符信息熵。
分值计算模块2033,用于根据每个所述打分函数计算得到对应的打分值。
总分score=score1×score2×score3×score4。
在一个可选的实施方式中,图6是本发明实施例提供的目标数据获取单元的结构示意图,如图6所示,所述目标数据获取单元201包括:
原始数据获取模块2011,用于逐条获取DNS流式数据;
目标数据获取模块2012,用于对每条所述DNS流式数据进行检测以去除有白名单的DNS流式数据,得到目标DNS流式数据。
将获取的每条DNS流式数据与白名单进行对比,例如白名单google.com,若有白名单,则去除有白名单的DNS流式数据。
通过该方法,可以保证准确率和查全率高,从而避免告警多。
在一个可选的实施方式中,所述目标数据获取模块2012包括:判断子模块,用于判断每条所述DNS流式数据中的二级域名是否为白名单;若是,去除是白名单的DNS流式数据并对所述白名单去重后统计该白名单个数;若否,则保留得到目标DNS流式数据。
将获取的每条DNS流式数据中的二级域名与白名单对比,若正好命中白名单,则过滤命中了白名单的DNS流式数据,并对被命中的白名单进行去重统计;即,假设有多个google.com,则只统计1个。
本发明还提供了一种DNS隧道检测系统,包括上述的DNS隧道检测装置。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的DNS隧道检测方法。
上述存储介质中存储有上述软件,该存储介质包括但不限于:光盘、软盘、硬盘、可擦写存储器等。
本发明的有益效果:
本发明提供了一种DNS隧道检测方法,该检测方法通过将所述目标DNS流式数据根据二级域名进行分组,以及每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分,得到预设数量个打分值;以及根据所述预设数量个打分值计算对应组的总分;当判定所述对应组的总分大于预设阈值时,对该组进行告警并展示。解决了现有技术中检测方式准确率低、告警多的问题。该方法告警准确率和查全率高;以及本发明中通过选取对“二级域名”进行告警,而不是单条域名告警,从而使得告警聚合度高。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (11)

1.一种DNS隧道检测方法,其特征在于,包括:
逐条获取目标DNS流式数据;其中,每条所述目标DNS流式数据包括整个域名;所述整个域名包括二级域名和二级域名对应的子域名;
将所述目标DNS流式数据根据二级域名进行分组,得到多组待处理的DNS流式数据;
对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分,得到预设数量个打分值;以及根据所述预设数量个打分值计算对应组的总分;
当判定所述对应组的总分大于预设阈值时,对该组进行告警并展示。
2.根据权利要求1所述的方法,其特征在于,所述对每个所述特征根据打分函数进行打分包括:
根据每个所述特征生成对应的概率密度图;
根据每个所述概率密度图生成对应的打分函数;其中,所述打分函数在概率密度小的地方得分高;
根据每个所述打分函数计算得到对应的打分值。
3.根据权利要求1所述的方法,其特征在于,所述预设数量个特征包括:
数量特征、长度特征和编码效率特征。
4.根据权利要求1所述的方法,其特征在于,所述逐条获取目标DNS流式数据包括:
逐条获取DNS流式数据;
对每条所述DNS流式数据进行检测以去除有白名单的DNS流式数据,得到目标DNS流式数据。
5.根据权利要求4所述的方法,其特征在于,所述对每条所述DNS流式数据进行检测以去除有白名单的DNS流式数据,得到目标DNS流式数据包括:
判断每条所述DNS流式数据中的二级域名是否为白名单;若是,去除是白名单的DNS流式数据并对所述白名单去重后统计该白名单个数;若否,则保留得到目标DNS流式数据。
6.一种DNS隧道检测装置,其特征在于,包括:
目标数据获取单元,用于逐条获取目标DNS流式数据;其中,每条所述目标DNS流式数据包括整个域名;所述整个域名包括二级域名和二级域名对应的子域名;
分组单元,用于将所述目标DNS流式数据根据二级域名进行分组,得到多组待处理的DNS流式数据;
总分计算单元,用于对每组所述待处理的DNS流式数据抽取预设数量个特征并对每个所述特征根据打分函数进行打分,得到预设数量个打分值;以及根据所述预设数量个打分值计算对应组的总分;
告警单元,用于当判定所述对应组的总分大于预设阈值时,对该组进行告警并展示。
7.根据权利要求6所述的装置,其特征在于,所述总分计算单元包括:
第一生成模块,用于根据每个所述特征生成对应的概率密度图;
第二生成模块,用于根据每个所述概率密度图生成对应的打分函数;其中,所述打分函数在概率密度小的地方得分高;
分值计算模块,用于根据每个所述打分函数计算得到对应的打分值。
8.根据权利要求6所述的装置,其特征在于,所述目标数据获取单元包括:
原始数据获取模块,用于逐条获取DNS流式数据;
目标数据获取模块,用于对每条所述DNS流式数据进行检测以去除有白名单的DNS流式数据,得到目标DNS流式数据。
9.根据权利要求8所述的装置,其特征在于,所述目标数据获取模块包括:
判断子模块,用于判断每条所述DNS流式数据中的二级域名是否为白名单;若是,去除是白名单的DNS流式数据并对所述白名单去重后统计该白名单个数;若否,则保留得到目标DNS流式数据。
10.一种DNS隧道检测系统,其特征在于,包括:权利要求6-9任一项所述的DNS隧道检测装置。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至5中任一项所述的DNS隧道检测方法。
CN202111021400.7A 2021-09-01 2021-09-01 一种dns隧道检测方法、装置、系统及计算机存储介质 Active CN113676379B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111021400.7A CN113676379B (zh) 2021-09-01 2021-09-01 一种dns隧道检测方法、装置、系统及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111021400.7A CN113676379B (zh) 2021-09-01 2021-09-01 一种dns隧道检测方法、装置、系统及计算机存储介质

Publications (2)

Publication Number Publication Date
CN113676379A true CN113676379A (zh) 2021-11-19
CN113676379B CN113676379B (zh) 2022-08-09

Family

ID=78547985

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111021400.7A Active CN113676379B (zh) 2021-09-01 2021-09-01 一种dns隧道检测方法、装置、系统及计算机存储介质

Country Status (1)

Country Link
CN (1) CN113676379B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114448846A (zh) * 2021-12-27 2022-05-06 奇安信科技集团股份有限公司 一种dns隧道通信检测方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011150579A1 (zh) * 2010-06-04 2011-12-08 中国科学院计算机网络信息中心 检测域名系统异常的方法和装置
CN109474575A (zh) * 2018-09-11 2019-03-15 北京奇安信科技有限公司 一种dns隧道的检测方法及装置
CN111698260A (zh) * 2020-06-23 2020-09-22 上海观安信息技术股份有限公司 一种基于报文分析的dns劫持检测方法及系统
CN112583827A (zh) * 2020-12-11 2021-03-30 北京天融信网络安全技术有限公司 一种数据泄露检测方法及装置
CN112671759A (zh) * 2020-12-22 2021-04-16 互联网域名系统北京市工程研究中心有限公司 基于多维度分析的dns隧道检测方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011150579A1 (zh) * 2010-06-04 2011-12-08 中国科学院计算机网络信息中心 检测域名系统异常的方法和装置
CN109474575A (zh) * 2018-09-11 2019-03-15 北京奇安信科技有限公司 一种dns隧道的检测方法及装置
CN111698260A (zh) * 2020-06-23 2020-09-22 上海观安信息技术股份有限公司 一种基于报文分析的dns劫持检测方法及系统
CN112583827A (zh) * 2020-12-11 2021-03-30 北京天融信网络安全技术有限公司 一种数据泄露检测方法及装置
CN112671759A (zh) * 2020-12-22 2021-04-16 互联网域名系统北京市工程研究中心有限公司 基于多维度分析的dns隧道检测方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114448846A (zh) * 2021-12-27 2022-05-06 奇安信科技集团股份有限公司 一种dns隧道通信检测方法及系统

Also Published As

Publication number Publication date
CN113676379B (zh) 2022-08-09

Similar Documents

Publication Publication Date Title
US20190230095A1 (en) Detection of malware and malicious applications
US11797671B2 (en) Cyberanalysis workflow acceleration
US8959643B1 (en) Detecting malware infestations in large-scale networks
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
US7669241B2 (en) Streaming algorithms for robust, real-time detection of DDoS attacks
CN109474575B (zh) 一种dns隧道的检测方法及装置
US7852785B2 (en) Sampling and analyzing packets in a network
CN107124434B (zh) 一种dns恶意攻击流量的发现方法及系统
CN110324295B (zh) 一种域名系统泛洪攻击的防御方法和装置
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
US20100082749A1 (en) Retrospective spam filtering
US9596321B2 (en) Server grouping system
CN111953552B (zh) 数据流的分类方法和报文转发设备
CN107454120A (zh) 网络攻击防御系统和防御网络攻击的方法
CN113676379B (zh) 一种dns隧道检测方法、装置、系统及计算机存储介质
CN112559824A (zh) 报文处理方法、装置和设备
CN112788039A (zh) 一种DDoS攻击识别方法、装置及存储介质
CN115017502A (zh) 一种流量处理方法、及防护系统
WO2024027079A1 (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
CN113726775B (zh) 一种攻击检测方法、装置、设备及存储介质
Rana et al. Automated fast-flux detection using machine learning and genetic algorithms
CN108347447B (zh) 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统
US20200021647A1 (en) Method of P2P Botnet Detection Based on Netflow Sessions
CN111756708B (zh) 一种定向威胁攻击的检测方法和装置
CN115297083B (zh) 基于数据量和行为特征的域名系统隧道检测方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant