CN113746804A - Dns隐蔽信道检测方法、装置、设备及存储介质 - Google Patents

Dns隐蔽信道检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN113746804A
CN113746804A CN202110884131.0A CN202110884131A CN113746804A CN 113746804 A CN113746804 A CN 113746804A CN 202110884131 A CN202110884131 A CN 202110884131A CN 113746804 A CN113746804 A CN 113746804A
Authority
CN
China
Prior art keywords
dns
sliding window
characteristic
hidden channel
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110884131.0A
Other languages
English (en)
Other versions
CN113746804B (zh
Inventor
袁勇
鲁银冰
王悦
陈东
钱湖海
王伟杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110884131.0A priority Critical patent/CN113746804B/zh
Publication of CN113746804A publication Critical patent/CN113746804A/zh
Application granted granted Critical
Publication of CN113746804B publication Critical patent/CN113746804B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DNS隐蔽信道检测方法、装置、设备及存储介质,属于网络安全技术领域。本发明通过在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;从所述目标DNS分组中提取出滑动窗口特征和DNS流量特征;根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像;对所述信道特征图像进行图像识别,获得DNS隐蔽信道检测结果,通过滑动窗口的方式能够检测出大流量DNS隐蔽信道和低流量DNS隐蔽信道,同时基于图像识别,提高了隐蔽信道识别的效率与准确性。

Description

DNS隐蔽信道检测方法、装置、设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种DNS隐蔽信道检测方法、 装置、设备及存储介质。
背景技术
企业网络经常面临网络攻击者窃取有价值和敏感数据的威胁。复杂的攻 击者越来越多地利用DNS通道来泄露数据,以及维护恶意软件的隧道C&C (命令和控制)通信。这是因为DNS对于几乎所有应用程序来说都是如此重 要的服务,从本地计算机到Internet的任何通信(不包括基于静态IP的通信) 都依赖于DNS服务,限制DNS通信可能会导致合法远程服务的断开,因此, 企业防火墙通常配置为允许UDP端口53(由DNS使用)上的所有数据包,即DNS流量通常允许通过企业防火墙而无需深度检查或状态维护。从攻击者 的角度来看,这使得DNS协议成为数据泄露地隐蔽通信通道。针对DNS隐 蔽信道业界也提出了很多DNS隐蔽信道识别方法,发现利用DNS协议的数 据窃取及通信行为。
现有技术一:专利CN110855632 A提出了一种报文检测方法,通过获取 待检测DNS报文对应的请求域名,并去除请求域名中的注册域名,得到待处 理域名,通过提取待检测DNS报文的至少两个报文特征,其中,该至少两个 报文特征包括待处理域名的域名特征,根据该至少两个报文特征和预先训练 的报文检测模型,可得到该待检测DNS报文是否属于DNS隐蔽信道报文的 检测结果。
现有技术二:专利CN109309673 A提供一种基于神经网络的DNS隐蔽信 道检测方法,将深度学习应用在DNS隐蔽信道检测的技术领域,提高了现有 的DNS隐蔽信道检测方法的准确率、降低了现有的DNS隐蔽信道检测方法 的误报率,将数值特征和字符特征结合使用,降低了模型训练时间,提高准 确率,将可疑域名用whois查询,根据规则自动判断域名是否合法,将与神经 网络预测结果不符的域名重新训练神经网络,形成循环,持续改善神经网络。
现有技术三:专利CN102624706 A提出了一种DNS隐蔽信道的检测方 法,包括超长域名筛选步骤、DNS查询请求解析步骤、统计计数步骤和数据 处理步骤,其中超长域名筛选步骤筛选出查询域名超长的DNS查询请求消 息,DNS查询请求解析步骤解析并提取出域名超长的DNS查询请求消息的 发送客户端IP和查询域名中的纯域名并对其计数统计,计数结果超过告警阈 值的记录认为是存在隐蔽信道,读取完统计表中的记录后。
上述三种现有技术方案均是针对大带宽DNS隐蔽信道,没有充分考虑到 低带宽DNS隐蔽信道,并且针对大带宽实时隐蔽信道的检测效率与准确性均 较低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是 现有技术。
发明内容
本发明的主要目的在于提供一种DNS隐蔽信道检测方法、装置、设备及 存储介质,旨在解决现有技术检测效率与准确性均较低,并且没有考虑到低 带宽DNS隐蔽信道的技术问题。
为实现上述目的,本发明提供了一种DNS隐蔽信道检测方法,所述DNS 隐蔽信道检测方法包括以下步骤:
在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽信道检测请求 对DNS日志中的流量数据进行分组,获得目标DNS分组;
从所述目标DNS分组中提取出滑动窗口特征和DNS流量特征;
根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像;
对所述信道特征图像进行图像识别,获得DNS隐蔽信道检测结果。
可选地,所述根据所述DNS隐蔽信道检测请求对DNS日志中的流量数 据进行分组,获得目标DNS分组,包括:
根据所述DNS隐蔽信道检测请求对DNS日志中的原始流量数据进行预 处理,获得目标流量数据;
通过预设滑动窗口基于主域名对所述目标流量数据进行分组,获得目标 DNS分组。
可选地,所述根据所述滑动窗口特征和所述DNS流量特征构建信道特征 图像,包括:
根据所述滑动窗口特征和所述DNS流量特征确定目标灰度特征;
将所述目标灰度特征转化为目标特征矩阵;
根据所述目标特征矩阵构建信道特征图像。
可选地,所述根据所述滑动窗口特征和所述DNS流量特征确定目标灰度 特征,包括:
对所述滑动窗口特征进行灰度转化,获得滑动窗口灰度特征;
对所述DNS流量特征进行灰度转化,获得DNS流量灰度特征;
将所述滑动窗口灰度特征和所述DNS流量灰度特征作为目标灰度特征。
可选地,所述对所述滑动窗口特征进行灰度转化,获得滑动窗口灰度特 征,包括:
从所述滑动窗口特征中提取出滑动窗口尺寸和采集频率;
按照预设灰度值对所述滑动窗口尺寸和所述采集频率进行调整;
将调整后的滑动窗口尺寸和调整后的采集频率作为滑动窗口灰度特征。
可选地,所述对所述DNS流量特征进行灰度转化,获得DNS流量灰度 特征,包括:
从所述DNS流量特征中提取出解析行为特征和域名特征;
按照预设灰度值对所述解析行为特征对应的特征取值范围进行调整,以 及按照预设灰度值对所述域名特征对应的域名长度、域名有效期以及语义特 征取值范围进行调整,获得调整后的解析行为特征和调整后的域名特征;
将所述调整后的解析行为特征和所述调整后的域名特征作为DNS流量灰 度特征。
可选地,所述对所述信道特征图像进行图像识别,获得DNS隐蔽信道检 测结果,包括:
将所述隐蔽信道特征图像输入至预设神经网络模型;
通过所述预设神经网络模型对应的目标检测器提取所述隐蔽信道特征图 像对应的目标图像特征;
根据所述目标图像特征得到DNS隐蔽信道检测结果。
此外,为实现上述目的,本发明还提出一种DNS隐蔽信道检测装置,所 述DNS隐蔽信道检测装置包括:
分组模块,用于在接收到DNS隐蔽信道检测请求时,根据所述DNS隐 蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;
提取模块,用于从所述目标DNS分组中提取出滑动窗口特征和DNS流 量特征;
构建模块,用于根据所述滑动窗口特征和所述DNS流量特征构建信道特 征图像;
识别模块,用于对所述信道特征图像进行图像识别,获得DNS隐蔽信道 检测结果。
此外,为实现上述目的,本发明还提出一种DNS隐蔽信道检测设备,所 述DNS隐蔽信道检测设备包括:存储器、处理器及存储在所述存储器上并可 在所述处理器上运行的DNS隐蔽信道检测程序,所述DNS隐蔽信道检测程 序配置为实现如上文所述的DNS隐蔽信道检测方法。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上 存储有DNS隐蔽信道检测程序,所述DNS隐蔽信道检测程序被处理器执行 时实现如上文所述的DNS隐蔽信道检测方法。
本发明在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽信道检 测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;从所述目 标DNS分组中提取出滑动窗口特征和DNS流量特征;根据所述滑动窗口特 征和所述DNS流量特征构建信道特征图像;对所述信道特征图像进行图像识 别,获得DNS隐蔽信道检测结果,通过滑动窗口的方式能够检测出大流量 DNS隐蔽信道和低流量DNS隐蔽信道,同时基于图像识别,提高了隐蔽信道 识别的效率与准确性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的DNS隐蔽信道检测设备 的结构示意图;
图2为本发明DNS隐蔽信道检测方法第一实施例的流程示意图;
图3为本发明DNS隐蔽信道检测方法第二实施例的流程示意图;
图4为本发明DNS隐蔽信道检测方法一实施例中灰度图像示意图;
图5为本发明DNS隐蔽信道检测装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步 说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定 本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的DNS隐蔽信 道检测设备结构示意图。
如图1所示,该DNS隐蔽信道检测设备可以包括:处理器1001,例如中 央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003, 网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间 的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘 (Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。 网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储 器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储 器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还 可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对DNS隐蔽信道 检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件, 或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网 络通信模块、用户接口模块以及DNS隐蔽信道检测程序。
在图1所示的DNS隐蔽信道检测设备中,网络接口1004主要用于与网 络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发 明DNS隐蔽信道检测设备中的处理器1001、存储器1005可以设置在DNS隐 蔽信道检测设备中,所述DNS隐蔽信道检测设备通过处理器1001调用存储 器1005中存储的DNS隐蔽信道检测程序,并执行本发明实施例提供的DNS 隐蔽信道检测方法。
本发明实施例提供了一种DNS隐蔽信道检测方法,参照图2,图2为本 发明一种DNS隐蔽信道检测方法第一实施例的流程示意图。
本实施例中,所述DNS隐蔽信道检测方法包括以下步骤:
步骤S10:在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽信道 检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组。
需要说明的是,本实施例的执行主体可以是DNS隐蔽信道检测设备,DNS 隐蔽信道检测设备可以是个人电脑、服务器或车载终端等电子设备,还可以 为其他可实现相同或相似功能的设备或服务器,本实施例对此不加以限制, 在本实施例及下述各实施例中,以DNS隐蔽信道检测设备为例对本发明DNS 隐蔽信道检测方法进行说明。
需要说明的是,域名系统(Domain Name System,DNS)是互联网的一 项服务,DNS作为将域名和IP地址相互映射的一个分布式数据库,能够使人 更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度 的限制是63个字符,域名总长度则不能超过253个字符。现有技术中对于 DNS隐蔽信道检测主要是通过FQDN等参数针对高带宽的DNS隐蔽信道进 行检测,针对低带宽的DNS隐蔽信道检测能力不足,由于高带宽的DNS隐 蔽信道特征比较明显比较容易被发现,低带宽DNS隐蔽信道逐步受到攻击者 的青睐。本实施例中通过对DNS日志中的流量数据进行分组,以实现对低带 宽DNS隐蔽信道的有效检测。
在具体实施中,本实施例中可以根据用户输入的DNS隐蔽信道检测请求 对DNS日志中的流量数据进行分组,基于用户输入的DNS隐蔽信道检测请 求是一种被动分组方式,本实施例中也可以设置一预设时间,在达到预设时 间时,自动对DNS日志中的流量数据进行分组,该方式为一种主动分组方式, 当然还可以根据实际需求采取其他的方式,本实施例就对此不加以限制。在 本实施例中,用户可通过移动终端等设备输入DNS隐蔽信道检测请求,也可 以通过其他物理按键输入DNS隐蔽信道检测请求,还可以根据实际情况进行 相应地选择,本实施例对此也不加以限制。进一步地,在接收到DNS隐蔽信 道检测请求之后,本实施例中可以基于DNS日志中流量数据的IP地址或者域 名信息对流量数据进行分组,从而得到各个IP地址或者域名信息对应的DNS 分组,即目标流量分组,需要强调的是,本实施例中还可以采取其他方式对 流量数据进行分组,具体分组方式可以根据实际情况进行相应地设置,本实 施例对此不加以限制。
进一步地,为了保证DNS分组能够提升隐蔽信道的检测效率,本实施例 中可以按照如下方式实现。
在具体实现中,本实施例中是通过滑动窗口的方式对流量数据进行分组, 滑动窗口具有两个动态配置参数,分别为滑动窗口采集尺寸ns和数据搜集分 类频率g,两个参数共同决定了分析的性能、时延和检测效果,单位均为分 钟。ns:滑动窗口设置的时间越长对于缓慢攻击的检测能力越强,但是必须控 制在能够承受的存储和内存资源之内,通过滑动窗口设计实现同时满足大带 宽DNS隐蔽信道和低带宽DNS隐蔽信道的检测能力。g:数据收集及采集频 率,每间隔g分钟进行一次采集分析,采集频率决定了分析的时效性。
需要说明的是,本实施例中为了提升隐蔽信道检测高效性,在进行分组 之前,对DNS日志中的原始流量数据进行预处理。具体地,本实施例中会针 对DNS日志中每一行的原始进行预处理,对域名特征化进行分析,并用数据 表达式表示,该数据表达式为<Q,R,T>j,其中Q表示为查询的完整域名, R表示为查询的响应结果,T表示为查询类型,j表示为第j条DNS查询记录。 例如假设一个完整域名为aaa.example.com,则aaa为三级子域名,example为二级域名,com为顶级域名,则其主域名由定级域名和二级域名组成。通 过表达式表示为:prim(<Q,R,T>j)=Pj,其中,Pj为DNS日志中第j条DNS 查询记录中完整域名的子域名。然后再对离散时间t时DNS日志中的主域名 进行提取,得到
Figure BDA0003192559730000071
进一步地,再通过预设滑动 窗口基于主域名对目标流量数据进行分组,可以得到目标DNS分组
Figure BDA0003192559730000072
其中,ns表示滑动窗口的大小,当前时间记为t0,需 要强调的是,滑动窗口的大小可以根据实际检测需求进行相应地设置,本实 施例对此不加以限制。
步骤S20:从所述目标DNS分组中提取出滑动窗口特征和DNS流量特征。
需要说明的是,本实施例中是基于滑动窗口完成DNS的分组,从目标 DNS分组中可以提取出滑动窗口对应的滑动窗口特征,滑动窗口特征包括滑 动窗口的窗口尺寸和采样频率。进一步地,还能够从滑动窗口内的流量数据 中提取出DNS流量特征,本实施例中DNS流量特征包括解析行为特征、主 域名特征以及子域名特征,其中,解析行为特征包括但不限于域名解析类型 和失败率,主域名特征包括但不限于主域名信息熵、主域名长度以及主域名 有效期,子域名特征包括但不限于子域名信息熵、子域名长度以及子域名语 义特征。
在具体实施中,(1)域名信息熵的确定过程:针对DNS日志中每个查 询的域名计算其信息熵。基于RFC规范中对于DNS协议中请求域名的要求, 域名是由字母、数字和连字符构成的一串随机字符串,记为X。单个子域名 信息熵计算如下:
Figure BDA0003192559730000081
滑动窗口中某个主域名其完整 域名数据集平均信息熵计算方法如下:
Figure BDA0003192559730000082
其中Q表示查 询主域名中的每个完整域名,m表示为完整域名个数。(2)主域名信息熵某 个完整域名的主域名表示为Pj,则滑动窗口中某个主域名信息熵计算如下:
Figure BDA0003192559730000086
(3)子域名数据集平均信息熵,每个完整域名的子域名表示为sub(Q),则滑动窗口中某个主域名其子域名数据集信息熵计算如下:
Figure BDA0003192559730000083
其中sub(Q)表示查询主域名中的每个子域名, m表示为子域名个数。(4)域名解析类型分布,在正常的的DNS请求记录 中A记录(IPV4)、AAAA(IPV6)记录、mail记录和SPF记录占到了请求 总量的99.4%。由于TXT记录和SRV记录比上述的的三种记录拥有更加长的 响应长度,因此可以传输更加多信息,也就更多的被用于DNS隐蔽信息通信。 基于以上原因,因此我们需要计算主流DNS请求类型占比,从而帮助我们发 现DNS隐蔽信道。域名解析类型分布记为
Figure BDA0003192559730000084
(5)独特查询量,独特查询量记为
Figure BDA0003192559730000085
(6)子域名长 度平均值,为了有效的传输数据,DNS隐蔽信道在传输数据时,会采用比长 的子域名,因此通过查询子域名的平均长度可以有效检测DNS隐蔽信道通信 行为。域名长度平均值记为
Figure BDA0003192559730000091
主域名长度,根据DNS协议的规定,请求域名的最大长度为255bit,因此为 了最大限度的提高每次传输的信息量,因此其主域名的长度一般尽可能简短, 主域名长度记为PL(Pj)=length(Pj)。(8)长度相似性,DNS隐蔽信道在通信过 程中为了对信息进行有效还原,一般会采用相同的子域名编码方式,这就意 味着其子域名具有相同的长度,因此子域名长度相似性是其有效特征。域名 长度差异率记为
Figure BDA0003192559730000092
其中
Figure BDA0003192559730000093
表示不同长度域名分组 数量,若
Figure BDA0003192559730000094
分组数量大于200,则
Figure BDA0003192559730000095
强制编码为1。(9)语义 特征,对于主域名,每个子域名都被分解为根据长度排序的层次标签,然后 从最长到最短提取其拥有语义的英文单词长度,然后除以域名的平均长度,
Figure BDA0003192559730000096
(10)失败率,采集主域名相关完整域名DNS 解析的失败率特征,该特征有助于减少DGA域名引起的误报。失败率记为
Figure BDA0003192559730000099
其中m表示为主域名Pj在滑动窗口中相关子域名数量,
Figure BDA0003192559730000097
表示解析失败的子域名数量。(11)主域名有效期,考虑到域 名作为DNS隐蔽信道再被发现后又被封堵的可能,因此从攻击成本角度,用 于DNS隐蔽信道的域名的有效期不会太长。因此通过whois信息获取通信域 名的有效期,记为
Figure BDA0003192559730000098
其 中ExpiryDate(Pj)表示域名注册的过期时间,RegistryDate(Pj)表示域名注册的开 始时间,Months表示获取月份数量。
步骤S30:根据所述滑动窗口特征和所述DNS流量特征构建信道特征图 像。
需要说明的是,本实施例中是基于图像识别对DNS隐蔽信道进行识别检 测,根据滑动窗口特征和DNS流量特征可以构建信道特征图像,通过对信道 特征图像的识别,实现DNS隐蔽信道的检测。具体地,本实施例中可以根据 滑动窗口特征和DNS流量特征构建相应的特征向量,然后将特征向量作为矩 阵元素构建出特征矩阵,最后将特征矩阵转化为图像,即信道特征图像。
步骤S40:对所述信道特征图像进行图像识别,获得DNS隐蔽信道检测 结果。
在具体实施中,本实施例基于图像识别对信道特征图像进行特征识别, 根据识别到的图像特征,判断该信道特征图像是否为DNS隐蔽信道。本实施 例中可采用神经网络模型对信道特征图像进行图像识别,其中,预设神经网 络模型可以采用YOLOv4神经网络,还可以根据实际检测需求选择其他神经 网络模型,本实施例对此不加以限制。以YOLOv4神经网络为例进行说明, 本实施例中通过YOLOv4神经网络进行图像识别过程包括:(1)Input:基于 主域名构建的特征图谱灰度图像作为我们输入的分析图片;(2)Backbone: 采用CSPDarkNet53提取特征图谱灰度图像的初步特征,构建其主干结构;(3) Neck:对Backbone层提取的特征图谱灰度图像特征进行加工,增强,从而使 得模型学到的特征是想要的特征;(4)Head:输出检测结果,该图片是否为 DNS隐蔽信道。需要强调的是,Backbone与Neck为目标检测器,通过目标 检测器能够提取出信道特征图像的图像特征,将提取出的图像特征与DNS隐 蔽信道的特征进行比对,如果图像特征一致,则可以判断存在DNS隐蔽信道, 反之,则可以判断不存在DNS隐蔽信道。
本实施例通过在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽 信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;从 所述目标DNS分组中提取出滑动窗口特征和DNS流量特征;根据所述滑动 窗口特征和所述DNS流量特征构建信道特征图像;对所述信道特征图像进行 图像识别,获得DNS隐蔽信道检测结果,通过滑动窗口的方式能够检测出大 流量DNS隐蔽信道和低流量DNS隐蔽信道,同时基于图像识别,提高了隐 蔽信道识别的效率与准确性。
参考图3,图3为本发明一种DNS隐蔽信道检测方法第二实施例的流程 示意图。
基于上述第一实施例,本实施例DNS隐蔽信道检测方法中所述步骤S30 具体包括:
步骤S301:根据所述滑动窗口特征和所述DNS流量特征确定目标灰度特 征。
需要说明的是,本实施例中信道特征图像是一种灰度图像,在构建信道 特征图像之前,需要对滑动窗口特征和DNS流量特征进行灰度转化,也即将 原始的滑动窗口特征和原始的DNS流量特征转换为0-255的灰度图特征。
在具体实施中,将滑动窗口特征进行灰度转化可以得到滑动窗口灰度特 征,将DNS流量特征进行灰度转化可以得到DNS流量灰度特征,本实施例 中的目标灰度特征包括滑动窗口灰度特征和DNS流量灰度特征。
在具体实施中,滑动窗口特征包括滑动窗口的窗口尺寸和采集频率,因 此本实施例中在对滑动窗口特征进行灰度转化时,实质是对滑动窗口尺寸和 采集频率进行灰度处理,具体地,本实施例中是按照预设灰度值对滑动窗口 尺寸和采集频率进行调整,其中,预设灰度值对应的取值范围为0-255,按照 这个取值范围进行调整,调整过程实现为按照上述取值范围重新定义滑动窗 口尺寸和采集频率。对滑动窗口尺寸的调整过程具体包括:窗口尺寸一般不 会超过255分钟,因此定义ns'=ns,ns'为调整后的滑动窗口尺寸。采集频率表 的调整过程具体包括:数据收集分类时间间隔不会超过255分钟,因此定义 g'调整后的采集频率,调整后的滑动窗口尺寸和调整后的采集频率即为滑动窗 口灰度特征。
进一步地,DNS流量特征包括解析行为特征和域名特征,其中,域名特 征还包括主域名特征和子域名特征,本实施例中在对DNS流量特征进行灰度 转化时,实质是对解析行为特征、主域名特征以及子域名特征进行灰度变换。 具体地,与上述步骤S20中的(1)-(11)对应,本实施例中的DNS流量特 征灰度变换过程包括:(1)完整域名数据集信息熵,由于域名的最大长度不 会超过255,其信息熵的最大长度为log255,因此域名信息熵在0到log255之间,不会超过255,因此定义
Figure BDA0003192559730000111
(2)子域名数据集信息 熵,由于域名的最大长度不会超过255,其信息熵的最大长度为log255,因此 域名信息熵在0到log255之间,不会超过255,因此定义
Figure BDA0003192559730000112
(3)主域名信息熵,由于域名的最大长度不会超过255,其信息熵的最大长 度为log255,因此域名信息熵在0到log255之间,不会超过255,因此定义
Figure BDA0003192559730000113
(4)域名解析类型分布,由于域名解析类型分布的取值 范围为[0,1],因此需要将其进行放大,并转化成为[0,255]之间的整数,因此定 义
Figure BDA0003192559730000114
(5)独特查询量,由于独特查询量的取值范围 为[0,1],因此需要将其进行放大,并转化成为[0,255]之间的整数,因此定义
Figure BDA0003192559730000115
(6)子域名长度平均值,由于域名的最大长度 不会超过255,因此定义
Figure BDA0003192559730000121
(7)主域名长度,由于域 名的最大长度不会超过255,因此定义PL'(Pj)=PL(Pj)。(8)长度相似性, 由于长度相似性的取值范围为[0,1],因此需要将其进行放大,并转化成为 [0,255]之间的整数,因此定义
Figure BDA0003192559730000122
(9)语义特征, 由于语义特征的取值范围为[0,1],因此需要将其进行放大,并转化成为[0,255] 之间的整数,因此定义
Figure BDA0003192559730000123
(10)失败率,由于 失败率的取值范围为[0,1],因此需要将其进行放大,并转化成为[0,255]之间的 整数,因此定义
Figure BDA0003192559730000124
(11)主域名有效期,考虑到 域名有效期已经取整,因此定义
Figure BDA0003192559730000125
正常情况域名 有效期时间不会超过255个月,但是当域名有效期月份值超过255时,则强 制转化为255。其中,
Figure BDA0003192559730000126
表示为想下取整,
Figure BDA0003192559730000127
表示为向上取整。
步骤S302:将所述目标灰度特征转化为目标特征矩阵。
需要说明的是,在得到目标灰度特征之后,构建目标灰度特征对应的特 征向量,将特征向量作为矩阵中的元素构建对应的目标特征矩阵,本实施例 中目标特征矩阵的尺寸可以设置为4*4,还可以根据实际需求对目标特征矩阵 的尺寸进行调整,本实施例中对此不加以限制。进一步地,本实施例中在构 建目标特征矩阵时,可以采取补0的方式构建,例如根据目标灰度特征得到 的特征向量的数量为13个,而构建4*4的目标特征矩阵需要16个矩阵元素, 本实施例中将不足的矩阵元素用0代替,即根据目标灰度特征得到的13个特征向量以及3个0构建大小为4*4的目标特征矩阵。
步骤S303:根据所述目标特征矩阵构建信道特征图像。
在具体实施中,根据目标灰度特征所构建的目标特征矩阵中各个特征向 量元素代表相应的灰度值,根据各个特征向量元素对应的灰度值以及各个特 征向量对应的位置构建相应的灰度特征图,即信道特征图像,如图4所示, 图4为按照大小4*4的目标特征矩阵所构建的信道特征图像。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有DNS 隐蔽信道检测程序,所述DNS隐蔽信道检测程序被处理器执行时实现如上文 所述的DNS隐蔽信道检测方法的步骤。
由于本存储介质采用了上述所有实施例的全部技术方案,因此至少具有 上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
参照图5,图5为本发明DNS隐蔽信道检测装置第一实施例的结构框图。
如图5所示,本发明实施例提出的DNS隐蔽信道检测装置包括:
分组模块10,用于在接收到DNS隐蔽信道检测请求时,根据所述DNS 隐蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组。
提取模块20,用于从所述目标DNS分组中提取出滑动窗口特征和DNS 流量特征。
构建模块30,用于根据所述滑动窗口特征和所述DNS流量特征构建信道 特征图像。
识别模块40,用于对所述信道特征图像进行图像识别,获得DNS隐蔽信 道检测结果。
本实施例通过在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽 信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;从 所述目标DNS分组中提取出滑动窗口特征和DNS流量特征;根据所述滑动 窗口特征和所述DNS流量特征构建信道特征图像;对所述信道特征图像进行 图像识别,获得DNS隐蔽信道检测结果,通过滑动窗口的方式能够检测出大 流量DNS隐蔽信道和低流量DNS隐蔽信道,同时基于图像识别,提高了隐 蔽信道识别的效率与准确性。
在一实施例中,所述分组模块10,还用于根据所述DNS隐蔽信道检测请 求对DNS日志中的原始流量数据进行预处理,获得目标流量数据;通过预设 滑动窗口基于主域名对所述目标流量数据进行分组,获得目标DNS分组。
在一实施例中,所述构建模块30,还用于根据所述滑动窗口特征和所述 DNS流量特征确定目标灰度特征;将所述目标灰度特征转化为目标特征矩阵; 根据所述目标特征矩阵构建信道特征图像。
在一实施例中,所述构建模块30,还用于对所述滑动窗口特征进行灰度 转化,获得滑动窗口灰度特征;对所述DNS流量特征进行灰度转化,获得DNS流量灰度特征;将所述滑动窗口灰度特征和所述DNS流量灰度特征作为 目标灰度特征。
在一实施例中,所述构建模块30,还用于从所述滑动窗口特征中提取出 滑动窗口尺寸和采集频率;按照预设灰度值对所述滑动窗口尺寸和所述采集 频率进行调整;将调整后的滑动窗口尺寸和调整后的采集频率作为滑动窗口 灰度特征。
在一实施例中,所述构建模块30,还用于从所述DNS流量特征中提取出 解析行为特征和域名特征;按照预设灰度值对所述解析行为特征对应的特征 取值范围进行调整,以及按照预设灰度值对所述域名特征对应的域名长度、 域名有效期以及语义特征取值范围进行调整,获得调整后的解析行为特征和 调整后的域名特征;将所述调整后的解析行为特征和所述调整后的域名特征 作为DNS流量灰度特征。
在一实施例中,所述识别模块40,还用于将所述隐蔽信道特征图像输入 至预设神经网络模型;通过所述预设神经网络模型对应的目标检测器提取所 述隐蔽信道特征图像对应的目标图像特征;根据所述目标图像特征得到DNS 隐蔽信道检测结果。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何 限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对 此不做限制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明 的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需 要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例 所提供的DNS隐蔽信道检测方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变 体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品 或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是 还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的 情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、 方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述 实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通 过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技 术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体 现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端 设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实 施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是 利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间 接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种DNS隐蔽信道检测方法,其特征在于,所述DNS隐蔽信道检测方法包括:
在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;
从所述目标DNS分组中提取出滑动窗口特征和DNS流量特征;
根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像;
对所述信道特征图像进行图像识别,获得DNS隐蔽信道检测结果。
2.如权利要求1所述的DNS隐蔽信道检测方法,其特征在于,所述根据所述DNS隐蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组,包括:
根据所述DNS隐蔽信道检测请求对DNS日志中的原始流量数据进行预处理,获得目标流量数据;
通过预设滑动窗口基于主域名对所述目标流量数据进行分组,获得目标DNS分组。
3.如权利要求1所述的DNS隐蔽信道检测方法,其特征在于,所述根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像,包括:
根据所述滑动窗口特征和所述DNS流量特征确定目标灰度特征;
将所述目标灰度特征转化为目标特征矩阵;
根据所述目标特征矩阵构建信道特征图像。
4.如权利要求3所述的DNS隐蔽信道检测方法,其特征在于,所述根据所述滑动窗口特征和所述DNS流量特征确定目标灰度特征,包括:
对所述滑动窗口特征进行灰度转化,获得滑动窗口灰度特征;
对所述DNS流量特征进行灰度转化,获得DNS流量灰度特征;
将所述滑动窗口灰度特征和所述DNS流量灰度特征作为目标灰度特征。
5.如权利要求4所述的DNS隐蔽信道检测方法,其特征在于,所述对所述滑动窗口特征进行灰度转化,获得滑动窗口灰度特征,包括:
从所述滑动窗口特征中提取出滑动窗口尺寸和采集频率;
按照预设灰度值对所述滑动窗口尺寸和所述采集频率进行调整;
将调整后的滑动窗口尺寸和调整后的采集频率作为滑动窗口灰度特征。
6.如权利要求4所述的DNS隐蔽信道检测方法,其特征在于,所述对所述DNS流量特征进行灰度转化,获得DNS流量灰度特征,包括:
从所述DNS流量特征中提取出解析行为特征和域名特征;
按照预设灰度值对所述解析行为特征对应的特征取值范围进行调整,以及按照预设灰度值对所述域名特征对应的域名长度、域名有效期以及语义特征取值范围进行调整,获得调整后的解析行为特征和调整后的域名特征;
将所述调整后的解析行为特征和所述调整后的域名特征作为DNS流量灰度特征。
7.如权利要求1至6中任一项所述的DNS隐蔽信道检测方法,其特征在于,所述对所述信道特征图像进行图像识别,获得DNS隐蔽信道检测结果,包括:
将所述隐蔽信道特征图像输入至预设神经网络模型;
通过所述预设神经网络模型对应的目标检测器提取所述隐蔽信道特征图像对应的目标图像特征;
根据所述目标图像特征得到DNS隐蔽信道检测结果。
8.一种DNS隐蔽信道检测装置,其特征在于,所述DNS隐蔽信道检测装置包括:
分组模块,用于在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;
提取模块,用于从所述目标DNS分组中提取出滑动窗口特征和DNS流量特征;
构建模块,用于根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像;
识别模块,用于对所述信道特征图像进行图像识别,获得DNS隐蔽信道检测结果。
9.一种DNS隐蔽信道检测设备,其特征在于,所述DNS隐蔽信道检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DNS隐蔽信道检测程序,所述DNS隐蔽信道检测程序配置为实现如权利要求1至7中任一项所述的DNS隐蔽信道检测方法。
10.一种存储介质,其特征在于,所述存储介质上存储有DNS隐蔽信道检测程序,所述DNS隐蔽信道检测程序被处理器执行时实现如权利要求1至7任一项所述的DNS隐蔽信道检测方法。
CN202110884131.0A 2021-08-02 2021-08-02 Dns隐蔽信道检测方法、装置、设备及存储介质 Active CN113746804B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110884131.0A CN113746804B (zh) 2021-08-02 2021-08-02 Dns隐蔽信道检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110884131.0A CN113746804B (zh) 2021-08-02 2021-08-02 Dns隐蔽信道检测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN113746804A true CN113746804A (zh) 2021-12-03
CN113746804B CN113746804B (zh) 2022-12-27

Family

ID=78729838

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110884131.0A Active CN113746804B (zh) 2021-08-02 2021-08-02 Dns隐蔽信道检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN113746804B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117972730A (zh) * 2024-03-29 2024-05-03 成都工业学院 一种电子信息数据交互的低风险安全控制方法及系统
CN118018323A (zh) * 2024-04-03 2024-05-10 中国信息通信研究院 一种防护DNS随机子域名DDoS攻击的系统、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108632224A (zh) * 2017-03-23 2018-10-09 中兴通讯股份有限公司 一种apt攻击检测方法和装置
US20190058718A1 (en) * 2017-08-17 2019-02-21 Zscaler, Inc. Systems and methods to detect and monitor dns tunneling
CN112333185A (zh) * 2020-11-02 2021-02-05 北京金睛云华科技有限公司 一种基于dns解析的域名阴影检测方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108632224A (zh) * 2017-03-23 2018-10-09 中兴通讯股份有限公司 一种apt攻击检测方法和装置
US20190058718A1 (en) * 2017-08-17 2019-02-21 Zscaler, Inc. Systems and methods to detect and monitor dns tunneling
CN112333185A (zh) * 2020-11-02 2021-02-05 北京金睛云华科技有限公司 一种基于dns解析的域名阴影检测方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
RICHARD PRESTON: "DNS Tunneling Detection with Supervised Learning", 《IEEE》 *
章航 等: "基于请求域名的DNS隐蔽通道检测方法研究", 《技术研究》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117972730A (zh) * 2024-03-29 2024-05-03 成都工业学院 一种电子信息数据交互的低风险安全控制方法及系统
CN118018323A (zh) * 2024-04-03 2024-05-10 中国信息通信研究院 一种防护DNS随机子域名DDoS攻击的系统、电子设备及存储介质
CN118018323B (zh) * 2024-04-03 2024-07-16 中国信息通信研究院 一种防护DNS随机子域名DDoS攻击的系统、电子设备及存储介质

Also Published As

Publication number Publication date
CN113746804B (zh) 2022-12-27

Similar Documents

Publication Publication Date Title
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
CN109510815B (zh) 一种基于有监督学习的多级钓鱼网站检测方法及检测系统
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及系统
CN113746804B (zh) Dns隐蔽信道检测方法、装置、设备及存储介质
CN112104677A (zh) 一种基于知识图谱的受控主机检测方法和装置
US20060176822A1 (en) Method, system, service, and computer program product for identifying incorrect domain name to internet protocol (IP) address mappings
CN111818198B (zh) 域名检测方法、域名检测装置和设备以及介质
CN105827594A (zh) 一种基于域名可读性及域名解析行为的可疑性检测方法
CN111245784A (zh) 多维度检测恶意域名的方法
CN112333185B (zh) 一种基于dns解析的域名阴影检测方法和装置
CN110868404B (zh) 一种基于tcp/ip指纹的工控设备自动识别方法
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及系统
Sammour et al. Dns tunneling: a review on features
CN113905016A (zh) 一种dga域名检测方法、检测装置及计算机存储介质
CN109905288A (zh) 一种应用服务分类方法及装置
Yu et al. Behavior Analysis based DNS Tunneling Detection and Classification with Big Data Technologies.
CN109714335A (zh) 一种信息检测方法及信息检测装置
CN114629718A (zh) 一种基于多模型融合的隐匿恶意行为检测方法
CN109120733B (zh) 一种利用dns进行通信的检测方法
CN117354024A (zh) 基于大数据的dns恶意域名检测系统及方法
Chen et al. A high accuracy DNS tunnel detection method without feature engineering
CN110851828A (zh) 基于多维度特征的恶意url监测方法、装置和电子设备
CN111371917B (zh) 一种域名检测方法及系统
Marchai et al. Semantic based DNS forensics

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant