CN115499179A - 一种面向主干网中DoH隧道流量的检测方法 - Google Patents

一种面向主干网中DoH隧道流量的检测方法 Download PDF

Info

Publication number
CN115499179A
CN115499179A CN202211075132.1A CN202211075132A CN115499179A CN 115499179 A CN115499179 A CN 115499179A CN 202211075132 A CN202211075132 A CN 202211075132A CN 115499179 A CN115499179 A CN 115499179A
Authority
CN
China
Prior art keywords
doh
tunnel
data
flow
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211075132.1A
Other languages
English (en)
Inventor
吴桦
江初晴
程光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN202211075132.1A priority Critical patent/CN115499179A/zh
Publication of CN115499179A publication Critical patent/CN115499179A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向主干网中DoH隧道流量的检测方法,包括以下步骤:通过部署自建DoH隐蔽隧道采集含DoH隧道流量的数据集,对含DoH隧道流量的数据集进行数据预处理,过滤出纯净的DoH隧道流量,并提取DoH隧道流量数据的单向统计特征,构建DoH隧道流量数据集;对主干网流量进行数据预处理,并提取数据的单向统计特征,构建良性背景流量数据集;再将处理后的良性背景流量数据集与DoH隧道流量数据集混合并打上标签,构建具有完整标签的训练集;使用有监督机器学习算法训练用于DoH隧道流量检测分类模型;使用测试集对模型检测模块性能进行测试。本发明只提取流的单向统计特征,适用于广泛配置了非对称路由的主干网场景。

Description

一种面向主干网中DoH隧道流量的检测方法
技术领域
本发明涉及一种面向主干网中DoH隧道流量的检测方法,属于网络安全领域。
背景技术
随着互联网的高速发展,DNS(Domain Name System)服务已成为最重要的网络服务之一,然而传统的DNS服务易遭受钓鱼攻击和DNS劫持。IETF于2018年10月正式发布了DNSover HTTPS(DoH)域名解析加密标准,DoH在通信过程中基于HTTPS发送查询请求,并从可信DoH服务器获取查询结果,可以防止攻击者对DNS查询的窃听和拦截。DoH及相关技术逐渐在全球范围引发关注并得到广泛应用。
然而DoH协议被应用的同时也带来了潜在风险。攻击者可以利用恶意软件通过DoH请求将DNS活动隐藏在DoH通道中来传输数据,进而进行恶意活动,控制指令和窃取的文件信息就隐藏在域名请求或响应报文中,常见的DoHC2、DNSExfiltrator等恶意软件就是利用这种原理进行DoH隧道攻击。由于DoH协议对传输的主体内容加密,表面上与正常的网络加密流量区别不大,所以DoH隧道将比DNS隧道更难被检测到。针对DOH隧道攻击检测的研究目前比较少,但随着DOH协议的普及与部署,DOH隧道攻击对网络安全存在着很大威胁。
目前,在针对DoH隧道流量的检测方法中,基于双向流提取的时间序列特征检测方法和基于TLS指纹的方法被提出。但这些方法仍存在一些问题,尤其是无法应用于主干网场景下的DoH隧道流量检测。
基于双向流提取的时间序列特征检测方法在具有非对称路由特性的主干网上无法直接应用。由于传统单路径网络性能低和可靠性差,大多数主干网已转向多路径网络,这使得同一条流的上行数据包和下行数据包可能经过不同的网络路径,其表现为在同一个网络节点上只能观察到某个方向上的流量,这种现象称之为非对称路由。在主干网的某些网络节点上只能测量出单向流,其流量就存在非对称性,所以基于双向流提取的时间序列特征检测方法无法直接应用于主干网场景。
基于TLS指纹的方法需要实时采样和比对TLS指纹,同样不适用于主干网场景。基于TLS指纹的方法通过采集DoH客户端的TLS指纹建立数据库,然后将观察到的指纹与数据库中的指纹进行比较,以此实现对DoH隧道的初步检测。该研究方法需要部署于客户端,对TLS指纹进行实时采样和比对,不适用于主干网场景。
发明内容
为了解决上述问题,本发明公开了一种面向主干网中DoH隧道流量的检测方法,包括以下步骤:通过部署自建DoH隐蔽隧道采集含DoH隧道流量的数据集,对含DoH隧道流量的数据集进行数据预处理,过滤出纯净的DoH隧道流量,并提取DoH隧道流量数据的单向统计特征,构建DoH隧道流量数据集;对主干网流量进行数据预处理,并提取数据的单向统计特征,构建良性背景流量数据集;再将处理后的良性背景流量数据集与DoH隧道流量数据集混合并打上标签,构建具有完整标签的训练集;使用有监督机器学习算法训练用于DoH隧道流量检测分类模型;使用测试集对模型检测模块性能进行测试。本发明只提取流的单向统计特征,适用于广泛配置了非对称路由的主干网场景。
为了实现本发明的目的,本方案具体技术步骤如下:一种面向主干网中DoH隧道流量的检测方法,所述方法包括以下步骤:
步骤(1)通过部署自建DoH隐蔽隧道采集含DoH隧道流量的数据集;
步骤(2)基于步骤(1)的结果,对含DoH隧道流量的数据集进行数据预处理,过滤出纯净的DoH隧道流量,并提取DoH隧道流量数据的单向统计特征,构建DoH隧道流量数据集;
步骤(3)对主干网流量进行数据预处理,并提取数据的单向统计特征,构建良性背景流量数据集;
步骤(4)基于步骤(2)-(3)的结果,将处理后的良性背景流量数据集与DoH隧道流量数据集混合并打上标签,构建具有完整标签的数据集;
步骤(5)基于步骤(4)的结果,将得到的已标记的数据集样本划分为训练集和测试集,比例为3:1;
步骤(6)使用有监督机器学习算法对步骤(5)得到的训练集进行模拟训练,得到分类模型;
步骤(7)使用步骤(5)得到的测试集对分类模型的性能进行测试。
进一步的,步骤(1)中,获取DoH隧道流量数据集的方法如下:
基于DoH隧道的原理构建采集环境。DoH隐蔽隧道的实现原理为:攻击者预先设定好特定域名,主机B将数据隐藏在特定域名中并不断请求特定域名,再经过互联网中DoH服务代理商解析后,将数据从主机B传输到主机A;同时,主机A也可将数据隐藏在响应报文中,将数据从主机A传输到主机B;如此便可以构建DoH隐蔽隧道进行双向数据传输。
采集环境用两台主机搭建而成,其中主机A部署DoH隐蔽隧道工具的服务器端,即攻击端;另一台主机B部署DoH隐蔽隧道工具的访问端,即受控端。在数据采集过程中,传输数据样本大小在10kB到100MB之间,并设置不同的DoH服务代理商、请求域名解析的时间间隔、单次域名字节数的大小等参数。最后,在DoH隐蔽隧道实现工具的受控端部署流量采集工具采集DoH隧道流量,以pcap包的形式保存,得到含DoH隧道流量的数据集。
通过设置不同DoH服务代理商、请求域名解析的时间间隔、单次域名字节数的大小等参数获取了不同特征的DoH隧道流量构建数据集,使得训练出的分类模型更具可行性。
进一步的,步骤(2)中,数据进行预处理的步骤如下:
(2.1)对含DoH隧道流量的数据包进行数据预处理,生成若干数据流,所述数据流为:
L={pktCount,direction,features}
其中L是数据流,pktCount为流中数据包的个数,direction为流的方向,features为流的多个单向统计特征。
(2.2)通过筛选对应DoH服务代理商的IP地址,依据direction确定该条流是否为DoH隧道流量,从而过滤出访问端中纯净的DoH隧道流量,构建DoH隧道流量数据集。
进一步的,步骤(2)中,构建的流的单向统计特征集群包括:Total Fwd Packet、Fwd IAT Mean、Fwd IAT Std、Fwd IAT Max、Fwd IAT Min和Fwd Packets/s。其中,TotalFwd Packet是在正向上发送包的数量,Fwd IAT Mean是在正向发送的两个包之间的平均时间,Fwd IAT Std是在正向发送的两个包之间的时间的标准差,Fwd IAT Max是在正向发送的两个包之间的最大时间,Fwd IAT Min是在正向发送的两个包之间的最小时间,FwdPackets/s是每秒正向包的数量。此处,正向是指由受控端向服务器端传输的数据流向。
由于大多数主干网已转向多路径网络,同一条流的上行数据包和下行数据包可能经过不同的网络路径,使得在主干网的某些网络节点上只能测量出单向流,其流量就存在非对称性,所以基于流的单向统计特征检测方法更适用于主干网场景。
进一步的,步骤(3)中,获取良性背景流量数据集方法如下:
(3.1)获取在主干网节点上持续采集一段时间的高速网络流量。可以使用公开数据集,获取在主干网节点上持续采集一段时间的高速网络流量,也可以在有管理权限的主干接入节点采集。采用公开数据集作为良性背景流量可以使模型的检测结果更具说服力。
(3.2)对主干网流量进行数据预处理,生成若干数据流,提取流的单向统计特征集群,构建良性背景流量数据集。
进一步的,步骤(4)中,将处理后的良性背景流量数据集与DoH隧道流量数据集打散随机混合,并打上标签,用0代表良性数据流,用1代表DoH隧道数据流,构建具有完整标签的数据集,以便进行有监督机器学习算法的模型训练。
进一步的,步骤(6)中,使用多种机器学习模型对步骤(5)中得到的带有标签的训练集进行分类模型训练,得到分类模型。
与现有技术相比,本发明的技术方案具有以下优点:
(1)本发明以主干网场景下的DoH隧道流量作为分析对象,相应地提出数据的单向统计特征,选取的流量特征相对较少,减少了特征提取过程中的资源消耗。
(2)本发明在采集含DoH隧道流量的过程中,自建DoH隐蔽隧道充分考虑了对手的隐蔽性,通过设置不同DoH服务代理商、请求域名解析的时间间隔、单次域名字节数的大小等参数获取了不同特征的DoH隧道流量,使得训练出的分类模型更具可行性。
(3)本发明首次提出面向主干网应用场景下的DoH隧道流量检测,可以兼容基于单机部署的DoH隧道流量检测系统,使得DoH服务的安全部署从整体设计结构上得到优化,具有较好的应用前景。
(4)本发明比基于TLS指纹的方法准确性更高,由于基于TLS指纹的方法都是根据已有攻击丰富指纹库,而隧道使用者可以不断更新攻击方式,所以基于TLS指纹的方法有一定的滞后性,而本发明直接提取流的单向统计特征可以更准确地检测出主干网中的DoH隧道流量。
附图说明
图1为本发明的的总体架构图;
图2为自建DoH隐蔽隧道流量采集拓扑示意图;
图3为本发明的RF分类检测模型的混淆矩阵图;
图4为本发明的XGBoost分类检测模型的混淆矩阵图;
图5为本发明的KNN分类检测模型的混淆矩阵图。
具体实施方式
以下将结合具体实施例对本发明提供的技术方案进行详细说明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
具体实施例:本发明提供的一种面向主干网中DoH隧道流量的检测方法,其总体架构如图1所示,包括如下步骤:
步骤(1)通过部署自建DoH隐蔽隧道采集含DoH隧道流量的数据集;
步骤(2)基于步骤(1)的结果,对含DoH隧道流量的数据集进行数据预处理,过滤出纯净的DoH隧道流量,并提取DoH隧道流量数据的单向统计特征,构建DoH隧道流量数据集;
步骤(3)对主干网流量进行数据预处理,并提取数据的单向统计特征,构建良性背景流量数据集;
步骤(4)基于步骤(2)-(3)的结果,将处理后的良性背景流量数据集与DoH隧道流量数据集混合并打上标签,构建具有完整标签的数据集;
步骤(5)基于步骤(4)的结果,将得到的已标记的数据集样本划分为训练集和测试集,比例为3:1;
步骤(6)使用有监督机器学习算法对步骤(5)得到的训练集进行模拟训练,得到分类模型;
步骤(7)使用步骤(5)得到的测试集对分类模型的性能进行测试。
本发明的一个实施例中,步骤(1)中,获取DoH隧道流量数据集的方法如下:
自建DoH隐蔽隧道使用两台主机搭建而成,其中主机A部署DoH隐蔽隧道工具的服务器端,即攻击端;另一台主机B部署DoH隐蔽隧道工具的访问端,即受控端。本案例使用DoHC2和DNSExfiltrator两种恶意软件分别进行了实验,网络流量拓扑图如图2所示。
攻击者预先设定好特定域名jcqtest.xyz,并设置A记录类型指向主机A的IP地址。主机A中安装有基于Python开发的自建DNS服务器,并允许端口53连接到Internet。攻击者随后创建两个NS记录类型:receive.jcqtest.xyz和send.jcqtest.xyz,这两个NS记录类型均解析指向jcqtest.xyz,前者在获取控制命令时使用,后者在回传结果信息时使用。
攻击等待过程中,主机B内部署的DoH隐蔽隧道工具的访问端程序会周期性播报攻击等待状态。在本案例中,主机B每隔10分钟时将攻击等待信息隐藏在域名receive.jcqtest.xyz的子域名中,随后通过不断请求域名解析的方式,经过Internet中DoH服务代理商解析后,将数据传输到主机A。这时,攻击者若需要盗取主机B的隐私数据,则会控制主机A将命令隐藏在响应报文中,将命令从主机A传输到主机B。本案例预先在主机B上准备好传输数据样本作为被攻击端窃取的隐私数据,大小在10kB到100MB之间。攻击开始时,主机B内部署的DoH隐蔽隧道工具的访问端程序会将隐私数据进行填充并分组,再隐藏在域名send.jcqtest.xyz的子域名中,随后通过不断请求域名解析的方式,经过Internet中DoH服务代理商解析后,将数据传输到主机A。同时,主机A也可将新的命令等数据隐藏在响应报文中,将数据从主机A传输到主机B。如此便可以构建DoH隐蔽隧道进行双向数据传输。
数据采集过程中,本案例将流量采集工具Wireshark部署在主机B上,在攻击过程中采集PCAP包。为了获取不同场景下的DoH隧道流量来丰富数据集,本案例设置了多个攻击变量:
①恶意软件:分别部署了DoHC2和DNSExfiltrator两种恶意软件来模拟攻击;
②DoH服务代理商:分别选择了不同的DoH服务代理商来解析域名,包括Google、cloudflare、腾讯和阿里提供的DoH服务器;
③请求域名解析的时间间隔:分别设置了不同的请求域名解析的时间间隔,依次为20ms、500ms、1000ms、1500ms、2000ms、2500ms以及3000ms;
④单次域名字节数的大小等参数:分别设置了不同的单次域名字节数的大小,依次为20字节、30字节、40字节、50字节和60字节。
本发明的一个实施例中,步骤(2)中,数据进行预处理的步骤如下:
(2.1)对含DoH隧道流量的数据包进行数据预处理,生成若干数据流,所述数据流为:
L={pktCount,direction,features}
其中L是数据流,pktCount为流中数据包的个数,direction为流的方向,features为流的多个单向统计特征。
(2.2)通过筛选对应DoH服务代理商的IP地址过滤出DoH隧道流量,可以依据direction确定该条流是否为DoH隧道流量,依此过滤出访问端中纯粹的DoH隧道流量,构建DoH隧道流量数据集。例如,筛选对应Google的DoH服务代理商时,选择过滤出IP地址为8.8.8.8和8.8.4.4对应的流。
构建的流的单向统计特征集群包括:Total Fwd Packet、Fwd IAT Mean、Fwd IATStd、Fwd IAT Max、Fwd IAT Min和Fwd Packets/s。其中,Total Fwd Packet是在正向上发送包的数量,Fwd IAT Mean是在正向发送的两个包之间的平均时间,Fwd IAT Std是在正向发送的两个包之间的时间的标准差,Fwd IAT Max是在正向发送的两个包之间的最大时间,Fwd IAT Min是在正向发送的两个包之间的最小时间,Fwd Packets/s是每秒正向包的数量。此处,正向是指由受控端向服务器端传输的数据流向。表1总结了所选取的流量特征及其含义。
表1流量特征及含义
特征 含义
Total Fwd Packet 在正向上发送包的数量
Fwd IAT Mean 在正向发送的两个包之间的平均时间
Fwd IAT Std 在正向发送的两个包之间的时间的标准差
Fwd IAT Max 在正向发送的两个包之间的最大时间
Fwd IAT Min 在正向发送的两个包之间的最小时间
Fwd Packets/s 每秒正向包的数量
本发明的一个实施例中,步骤(3)中,获取良性背景流量数据集方法如下:
(3.1)获取MAWI工作组于2020年6月3日收集的公开数据集202006031400.pcap,此公开数据集包含了在高速网络上持续收集900秒的数据流量,即主干网流量;
(3.2)对主干网流量进行数据预处理,生成若干数据流,提取流的单向统计特征集群,构建良性背景流量数据集。
本发明的一个实施例中,步骤(4)中,将处理后的良性背景流量数据集与DoH隧道流量数据集打散随机混合,并打上标签,用0来代表良性数据流,用1来代表DoH隧道数据流,构建具有完整标签的数据集,以便进行有监督的机器学习算法的模型训练。
本发明的一个实施例中,步骤(5)中,将得到的已标记的数据集样本划分为训练集和测试集,比例为3:1。
本发明的一个实施例中,步骤(6)中,使用三种机器学习算法对步骤(5)中得到的带有标签的训练集进行分类模型训练,分别为随机森林算法(RF,Random Forests)、极端梯度提升算法(XGB,Extreme Gradient Boosting)和K最近邻算法(KNN,K-nearestNeighbor)。
本发明的一个实施例中,步骤(7)中,本案例使用步骤(5)中得到的带有标签的测试集对模型检测模块性能进行测试,使用三种机器学习模型进行验证,分别为RF、XGB和KNN。分别使用三个指标评估检测结果:精确率(Precision)、召回率(Recall)和F1值(f1_score)。
RF分类检测模型的混淆矩阵图如图3所示。
XGB分类检测模型的混淆矩阵图如图4所示。
KNN分类检测模型的混淆矩阵图如图5所示。
表2为三种机器学习模型在测试集上的验证结果。
表2三种机器学习模型的验证结果
Figure BDA0003831123350000071
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (7)

1.一种面向主干网中DoH隧道流量的检测方法,其特征在于,该方法包括以下步骤:
步骤(1)通过部署自建DoH隐蔽隧道采集含DoH隧道流量的数据集;
步骤(2)基于步骤(1)的结果,对含DoH隧道流量的数据集进行数据预处理,过滤出纯净的DoH隧道流量,并提取DoH隧道流量数据的单向统计特征,构建DoH隧道流量数据集;
步骤(3)对主干网流量进行数据预处理,并提取数据的单向统计特征,构建良性背景流量数据集;
步骤(4)基于步骤(2)-(3)的结果,将处理后的良性背景流量数据集与DoH隧道流量数据集混合并打上标签,构建具有完整标签的数据集;
步骤(5)基于步骤(4)的结果,将得到的已标记的数据集样本划分为训练集和测试集,比例为3:1;
步骤(6)使用有监督机器学习算法对步骤(5)得到的训练集进行模拟训练,得到分类模型;
步骤(7)使用步骤(5)得到的测试集对分类模型的性能进行测试。
2.根据权利要求1所述的一种面向主干网中DoH隧道流量的检测方法,其特征在于,所述步骤(1)中,获取DoH隧道流量数据集的方法如下:
基于DoH隧道的原理构建采集环境,DoH隐蔽隧道的实现原理为:攻击者预先设定好特定域名,主机B将数据隐藏在特定域名中并不断请求特定域名,再经过互联网中DoH服务代理商解析后,将数据从主机B传输到主机A;同时,主机A也可将数据隐藏在响应报文中,将数据从主机A传输到主机B;如此便可以构建DoH隐蔽隧道进行双向数据传输;
采集环境用两台主机搭建而成,其中主机A部署DoH隐蔽隧道工具的服务器端,即攻击端;另一台主机B部署DoH隐蔽隧道工具的访问端,即受控端,在数据采集过程中,传输数据样本大小在10kB到100MB之间,并设置不同的DoH服务代理商、请求域名解析的时间间隔、单次域名字节数的大小等参数,最后,在DoH隐蔽隧道实现工具的受控端部署流量采集工具采集DoH隧道流量,以pcap包的形式保存,得到含DoH隧道流量的数据集。
3.根据权利要求1所述的一种面向主干网中DoH隧道流量的检测方法,其特征在于,步骤(2)中,数据进行预处理的步骤如下:
(2.1)对含DoH隧道流量的数据包进行数据预处理,生成若干数据流,所述数据流为:
L={pktCount,direction,features}
其中L是数据流,pktCount为流中数据包的个数,direction为流的方向,features为流的多个单向统计特征;
(2.2)通过筛选对应DoH服务代理商的IP地址,依据direction确定该条流是否为DoH隧道流量,从而过滤出访问端中纯净的DoH隧道流量,构建DoH隧道流量数据集。
4.根据权利要求3所述的一种面向主干网中DoH隧道流量的检测方法,其特征在于,步骤(2)中构建的流的单向统计特征集群包括:Total Fwd Packet、Fwd IAT Mean、Fwd IATStd、Fwd IAT Max、Fwd IAT Min和Fwd Packets/s,其中,Total Fwd Packet是在正向上发送包的数量,Fwd IAT Mean是在正向发送的两个包之间的平均时间,Fwd IAT Std是在正向发送的两个包之间的时间的标准差,Fwd IAT Max是在正向发送的两个包之间的最大时间,Fwd IAT Min是在正向发送的两个包之间的最小时间,Fwd Packets/s是每秒正向包的数量,此处,正向是指由受控端向服务器端传输的数据流向。
5.根据权利要求1所述的一种面向主干网中DoH隧道流量的检测方法,其特征在于,步骤(3)中,获取良性背景流量数据集方法如下:
(3.1)获取在主干网节点上持续采集一段时间的高速网络流量,使用公开数据集,获取在主干网节点上持续采集一段时间的高速网络流量,或者在有管理权限的主干接入节点采集;
(3.2)对主干网流量进行数据预处理,生成若干数据流,提取流的单向统计特征集群,构建良性背景流量数据集。
6.根据权利要求1所述的一种面向主干网中DoH隧道流量的检测方法,其特征在于,步骤(4)中,将处理后的良性背景流量数据集与DoH隧道流量数据集打散随机混合,并打上标签,用0代表良性数据流,用1代表DoH隧道数据流,构建具有完整标签的数据集,以便进行有监督机器学习算法的模型训练。
7.根据权利要求1所述的一种面向主干网中DoH隧道流量的检测方法,其特征在于,步骤(6)中,使用多个机器学习模型对步骤(5)中得到的带有标签的训练集进行分类模型训练,得到分类模型。
CN202211075132.1A 2022-09-03 2022-09-03 一种面向主干网中DoH隧道流量的检测方法 Pending CN115499179A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211075132.1A CN115499179A (zh) 2022-09-03 2022-09-03 一种面向主干网中DoH隧道流量的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211075132.1A CN115499179A (zh) 2022-09-03 2022-09-03 一种面向主干网中DoH隧道流量的检测方法

Publications (1)

Publication Number Publication Date
CN115499179A true CN115499179A (zh) 2022-12-20

Family

ID=84468204

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211075132.1A Pending CN115499179A (zh) 2022-09-03 2022-09-03 一种面向主干网中DoH隧道流量的检测方法

Country Status (1)

Country Link
CN (1) CN115499179A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116781431A (zh) * 2023-08-24 2023-09-19 华南理工大学 一种基于流量特征的api接口异常行为监测方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116781431A (zh) * 2023-08-24 2023-09-19 华南理工大学 一种基于流量特征的api接口异常行为监测方法

Similar Documents

Publication Publication Date Title
CN110113345B (zh) 一种基于物联网流量的资产自动发现的方法
Deri et al. Effective traffic measurement using ntop
US8065722B2 (en) Semantically-aware network intrusion signature generator
CN101924757B (zh) 追溯僵尸网络的方法和系统
US8015605B2 (en) Scalable monitor of malicious network traffic
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
KR20180049154A (ko) 무인 항공기 침입 탐지 및 대응 조치들
EP1842389B1 (fr) Procédé, dispositif et programme de détection d'usurpation d'adresse dans un réseau sans fil
Hofmann et al. Online intrusion alert aggregation with generative data stream modeling
Sarica et al. A novel sdn dataset for intrusion detection in iot networks
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN110868409A (zh) 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统
Osanaiye et al. TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment
Wang et al. Botnet detection using social graph analysis
CN115499179A (zh) 一种面向主干网中DoH隧道流量的检测方法
Pashamokhtari et al. Progressive monitoring of iot networks using sdn and cost-effective traffic signatures
CN117041070B (zh) 一种网络空间测绘节点发现与归属判别方法和装置
KR20170054215A (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
Holland et al. Classifying network vendors at internet scale
Cukier et al. A statistical analysis of attack data to separate attacks
KR102119636B1 (ko) 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법
CN116318975A (zh) 一种基于多会话和多协议的恶意流量检测方法与系统
Lu et al. Botnet detection based on fuzzy association rules
CN111787110B (zh) 一种Socks代理发现方法及系统
Oliveira et al. Do we need a perfect ground-truth for benchmarking Internet traffic classifiers?

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination