CN116132154A - Dns隧道流量检测系统的验证方法、装置、设备及存储介质 - Google Patents
Dns隧道流量检测系统的验证方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116132154A CN116132154A CN202310053816.XA CN202310053816A CN116132154A CN 116132154 A CN116132154 A CN 116132154A CN 202310053816 A CN202310053816 A CN 202310053816A CN 116132154 A CN116132154 A CN 116132154A
- Authority
- CN
- China
- Prior art keywords
- sample
- detection
- dns tunnel
- flow
- detection system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本申请公开一种DNS隧道流量检测系统的验证方法、装置、设备及存储介质,该方法包括:获取预先收集的流量样本,流量样本分包括异常样本和/或正常样本;将流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。
Description
技术领域
本申请涉及隧道检测技术领域,尤其涉及一种基于机器学习的DNS隧道流量检测系统的验证方法、装置、设备及存储介质。
背景技术
DNS(DomainNameSystem,域名系统)协议是访问互联网和内网资源必不可少的网络通讯协议之一,出于可用性和用户友好的考虑,网络设备和边界防护设备很难做到完全过滤掉DNS流量。而DNS隧道技术就是将其他协议的内容封装在DNS协议中,然后以DNS请求和响应包完成传输数据(通信)的技术,攻击者就可以利用DNS隧道从而达到敏感信息盗窃、文件传输、远程控制等目的。
目前,攻击者主要通过dns2tcp、dnscat2、iodine、ozymandns、dnscapy等一些开源软件和Metasploit、Cobalt Strike等渗透软件来快速构建DNS隧道,并且通过修改域名长度、请求频率等特征绕过市面上一些常见的传统静态特征库检测系统。面对隧道工具多样化及特征易绕过等问题,将机器学习技术应用到DNS隧道检测中,利用有监督学习从大量DNS隧道样本中提取隧道特征学习出一个DNS隧道检测模型,能够有效检测到DNS隐蔽隧道流量。
但目前网络安全行业内针对基于机器学习的DNS隧道流量检测系统并无一套有效的验证方法,存在验证样本稀缺、验证方法五花八门等问题,使得系统未得到准确的评估难以改进提升,导致系统在用户现网环境中存在大量的误报,运维成本直线上升。
发明内容
本申请的主要目的在于提供一种DNS隧道流量检测系统的验证方法、装置、设备及存储介质,可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。
为实现上述目的,本申请提供一种DNS隧道流量检测系统的验证方法,所述方法包括以下步骤:
获取预先收集的流量样本,所述流量样本包括异常样本和/或正常样本;
将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;
基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。
可选地,所述获取预先收集的流量样本的步骤之前还包括:
收集异常样本,具体包括:
将一台内网机器作为被攻击的目标机器,并在所述被攻击的目标机器上搭建DNS隧道工具的客户端;
将一台外网VPS机器作为攻击端,在所述攻击端上开启DNS域名解析服务作为DNS隧道的服务端;
在所述客户端与服务端之间的DNS隧道建立后,分别执行对应操作,所述对应操作包括:文件传输、下发指令、获取shell权限、进行http代理访问中的一种或多种;
将所述客户端和服务端二者所有的DNS通信流量镜像到流量采集设备上进行自动化存储,生成异常样本。
可选地,所述将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果的步骤包括:
将所述流量样本通过流量回放工具输入到DNS隧道流量检测系统,由所述DNS隧道流量检测系统进行流量报文分析后,根据学习到的DNS隧道模型进行特征检测,得到检测结果。
可选地,所述基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证的步骤包括:
基于所述检测结果,统计输入的正常样本个数经过系统检测后输出的正常样本告警条数,得到所述正常样本的误报数;
基于所述检测结果,统计输入的异常样本个数经过系统检测后输出的异常样本告警条数,基于所述异常样本告警条数计算异常样本未告警的条数,得到所述异常样本的漏报数;
基于正常样本告警条数、异常样本告警条数计算误报率、准确率、召回率;
将所述误报率、准确率、召回率作为验证指标,对所述DNS隧道流量检测系统的检测效果进行验证。
可选地,所述方法还包括:
基于验证结果,对误报和漏报的样本进行总结,输出验证报告。
可选地,所述方法还包括:
基于所述验证报告对所述DNS隧道流量检测系统进行二次验证。
可选地,所述DNS隧道工具包括iodine、dns2tcp、dnscat2、ozymandns,dnscapy中的一种或多种;所述异常样本和正常样本的比例为1:100。
本申请实施例还提出一种DNS隧道流量检测系统的验证装置,所述装置包括:
获取模块,用于获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;
检测模块,用于将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;
统计验证模块,用于基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。
本申请实施例还提出一种验证设备,所述验证设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DNS隧道流量检测系统的验证程序,所述DNS隧道流量检测系统的验证程序被所述处理器执行时实现如上所述的DNS隧道流量检测系统的验证方法。
本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读程序,所述计算机可读程序被处理器执行时实现如上所述的DNS隧道流量检测系统的验证方法。
本申请实施例提出的DNS隧道流量检测系统的验证方法、装置、设备及存储介质,通过获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。具体而言,本方案提供正常样本和异常样本的快速收集方法,减少验证样本收集的时间成本,同时提高样本覆盖范围,避免被攻击者绕过系统检测对用户造成损失;本方案提供了完整的验证方法,提出正常样本的验证,避免了系统大量的误报,降低系统运维的时间和人力成本,提高了系统的易用性;本方案可以给出标准的验证报告,方便系统开发人员针对性的进行改进,提高开发和验证效率。
附图说明
图1为本申请DNS隧道流量检测系统的验证装置所属终端设备的功能模块示意图;
图2为本申请DNS隧道流量检测系统的验证方法第一示例性实施例的流程示意图;
图3为本申请DNS隧道流量检测系统的验证方法实施例的细化流程示意图;
图4为本申请DNS隧道流量检测系统的验证方法第二示例性实施例的流程示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施案例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例的主要解决方案是:通过获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。具体而言,本方案提供正常样本和异常样本的快速收集方法,减少验证样本收集的时间成本,同时提高样本覆盖范围,避免被攻击者绕过系统检测对用户造成损失;本方案提供了完整的验证方法,提出正常样本的验证,避免了系统大量的误报,降低系统运维的时间和人力成本,提高了系统的易用性;本方案可以给出标准的验证报告,方便系统开发人员针对性的进行改进,提高开发和验证效率。
本申请实施例涉及的技术术语:
DNS,DomainNameSystem,域名系统,是Internet上解决网上机器命名的一种系统。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP数串。域名系统使用TCP和UDP端口53,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
本申请实施例考虑到,目前网络安全行业内针对基于机器学习的DNS隧道流量检测系统并无一套有效的验证方法,存在验证样本稀缺、验证方法五花八门等问题,使得系统未得到准确的评估难以改进提升,导致系统在用户现网环境中存在大量的误报,运维成本直线上升。
具体而言,当前验证DNS隧道流量检测系统的方法存在如下技术问题:
1、DNS隧道流量验证样本稀缺,样本覆盖范围不足,攻击者可以通过更换开源软件或者修改特征绕过系统检测,获取用户内网权限,给用户造成不可预估的损失;
2、只有针对DNS隧道网络通讯的流量进行验证,忽略正常DNS请求造成的误报,导致系统易用性降低,运维系统所需的时间和人力成本上升;
3、各厂商基于机器学习的DNS隧道检测系统验证方法层次不齐,验证结果无统一的评估指标,无法准确衡量系统的检测效果,同时也造成研发人员无法针对性的做出改进以提高系统检测能力。
基于此,本申请提出解决方案,可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。
具体地,参照图1,图1为本申请DNS隧道流量检测系统的验证装置所属终端设备的功能模块示意图。该DNS隧道流量检测系统的验证装置为能够进行数据处理的装置,其可以通过硬件或软件的形式承载于终端设备上,该终端设备可以为手机、平板等移动终端,还可以车载设备、PC等固定终端。
在本实施例中,该DNS隧道流量检测系统的验证装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作系统以及DNS隧道流量检测系统的验证程序;输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的DNS隧道流量检测系统的验证程序被处理器执行时实现以下步骤:
获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;
将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;
基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。
进一步地,存储器130中的DNS隧道流量检测系统的验证程序被处理器执行时还实现以下步骤:
收集异常样本,具体包括:
将一台内网机器作为被攻击的目标机器,并在所述被攻击的目标机器上搭建DNS隧道工具的客户端;
将一台外网VPS机器作为攻击端,在所述攻击端上开启DNS域名解析服务作为DNS隧道的服务端;
在所述客户端与服务端之间的DNS隧道建立后,分别执行对应操作,所述对应操作包括:文件传输、下发指令、获取shell权限、进行http代理访问中的一种或多种;
将所述客户端和服务端二者所有的DNS通信流量镜像到流量采集设备上进行自动化存储,生成异常样本。
进一步地,存储器130中的DNS隧道流量检测系统的验证程序被处理器执行时还实现以下步骤:
将所述流量样本通过流量回放工具输入到DNS隧道流量检测系统,由所述DNS隧道流量检测系统进行流量报文分析后,根据学习到的DNS隧道模型进行特征检测,得到检测结果。
进一步地,存储器130中的DNS隧道流量检测系统的验证程序被处理器执行时还实现以下步骤:
基于所述检测结果,统计输入的正常样本个数经过系统检测后输出的正常样本告警条数,得到所述正常样本的误报数;
基于所述检测结果,统计输入的异常样本个数经过系统检测后输出的异常样本告警条数,基于所述异常样本告警条数计算异常样本未告警的条数,得到所述异常样本的漏报数;
基于正常样本告警条数、异常样本告警条数计算误报率、准确率、召回率;
将所述误报率、准确率、召回率作为验证指标,对所述DNS隧道流量检测系统的检测效果进行验证。
进一步地,存储器130中的DNS隧道流量检测系统的验证程序被处理器执行时还实现以下步骤:
基于验证结果,对误报和漏报的样本进行总结,输出验证报告。
进一步地,存储器130中的DNS隧道流量检测系统的验证程序被处理器执行时还实现以下步骤:
基于所述验证报告对所述DNS隧道流量检测系统进行二次验证。
本实施例通过上述方案,获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。具体而言,本方案提供正常样本和异常样本的快速收集方法,减少验证样本收集的时间成本,同时提高样本覆盖范围,避免被攻击者绕过系统检测对用户造成损失;本方案提供了完整的验证方法,提出正常样本的验证,避免了系统大量的误报,降低系统运维的时间和人力成本,提高了系统的易用性;本方案可以给出标准的验证报告,方便系统开发人员针对性的进行改进,提高开发和验证效率。
基于上述终端设备架构但不限于上述架构,提出本申请方法实施例。
参照图2,图2为本申请DNS隧道流量检测系统的验证方法第一示例性实施例的流程示意图。
如图2所示,本实施例提出的DNS隧道流量检测系统的验证方法,是基于机器学习的DNS隧道流量检测系统的验证方法,该方法包括以下步骤:
步骤S101,获取预先收集的流量样本,所述流量样本包括异常样本和/或正常样本;
其中,流量样本可以分为异常样本和正常样本,二者比例可以为1:100,在其他实施例中,异常样本和正常样本的比例可以根据实际情况设置,比如可以全部是异常样本,或者全部是正常样本。
其中,异常样本的收集可以通过预先构建的、由被攻击设备和攻击设备组成的系统架构来生成异常样本,也可以通过各种渠道收集已知的异常样本。
比如,作为异常样本收集的一种高效的收集方法可以是:将一台内网机器作为被攻击的目标机器,其上搭建DNS隧道工具的客户端,包括iodine、dns2tcp、dnscat2、ozymandns,dnscapy等隧道工具,将一台外网VPS机器做为攻击端,其上开启DNS域名解析服务做为DNS隧道的服务端,在隧道建立后分别执行文件传输、下发指令、获取shell权限、进行http代理访问等操作,将二者所有的DNS通信流量镜像到流量采集设备上进行自动化存储,即可生成大量异常流量样本。
其中,正常DNS流量样本可以在多个网络环境中收集,并对其进行筛选去重和分类。
步骤S102,将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;
具体地,作为一种实施方式,可以将所述流量样本通过流量回放工具输入到DNS隧道流量检测系统,由所述DNS隧道流量检测系统进行流量报文分析后,根据学习到的DNS隧道模型进行特征检测,得到检测结果。
具体而言,可以将收集的样本通过流量回放工具输入到DNS隧道流量检测系统,DNS隧道流量检测系统进行流量报文分析后,根据学习到的DNS隧道模型进行特征检测。
若DNS隧道模型判断该流量样本中存在异常特征,则输出检测到的异常特征信息并生成告警数据;若判断为正常流量,则无告警数据生成。
其中,在系统检测准确率为100%的情况下,输入的正常样本检测后应该全部无告警生成,输入的异常样本应该全部生成告警。
步骤S103,基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。
其中,作为一种实施方式,基于所述检测结果,统计输入的正常样本个数经过系统检测后输出的正常样本告警条数,得到所述正常样本的误报数;
基于所述检测结果,统计输入的异常样本个数经过系统检测后输出的异常样本告警条数,基于所述异常样本告警条数计算异常样本未告警的条数,得到所述异常样本的漏报数;
基于正常样本告警条数、异常样本告警条数计算误报率、准确率、召回率;
将所述误报率、准确率、召回率作为验证指标,对所述DNS隧道流量检测系统的检测效果进行验证。
也就是说,统计输入的正常样本个数经过DNS隧道流量检测系统检测后输出多少条告警数据,告警条数就是误报数;统计输入的异常样本个数经过DNS隧道流量检测系统检测后输出的告警条数,告警条数就是准确检出数,未告警的条数就是漏报数。
本实施例可以通过误报率、准确率、召回率这三个指标来验证系统的检测效果,计算方法如下:
。
本实施例实现DNS隧道流量检测系统的验证的具体流程可以参照图3所示。
本实施例通过上述方案,获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。具体而言,本方案提供正常样本和异常样本的快速收集方法,减少验证样本收集的时间成本,同时提高样本覆盖范围,避免被攻击者绕过系统检测对用户造成损失;本方案提供了完整的验证方法,提出正常样本的验证,避免了系统大量的误报,降低系统运维的时间和人力成本,提高了系统的易用性。
参照图4,图4为本申请DNS隧道流量检测系统的验证方法第二示例性实施例的流程示意图。
如图4所示,本实施例提出的DNS隧道流量检测系统的验证方法,在上述步骤S101,获取预先收集的流量样本之前还包括:
步骤S100,收集流量样本,具体包括:收集异常样本和收集正常样本。
其中异常样本和正常样本二者比例可以为1:100,在其他实施例中,异常样本和正常样本的比例可以根据实际情况设置,比如可以全部是异常样本,或者全部是正常样本。
其中,异常样本的收集可以通过预先构建的、由被攻击设备和攻击设备组成的系统架构来生成异常样本,也可以通过各种渠道收集已知的异常样本。
其中,作为一种实施方式,收集异常样本可以包括:
将一台内网机器作为被攻击的目标机器,并在所述被攻击的目标机器上搭建DNS隧道工具的客户端;
将一台外网VPS机器作为攻击端,在所述攻击端上开启DNS域名解析服务作为DNS隧道的服务端;
在所述客户端与服务端之间的DNS隧道建立后,分别执行对应操作,所述对应操作包括:文件传输、下发指令、获取shell权限、进行http代理访问中的一种或多种;
将所述客户端和服务端二者所有的DNS通信流量镜像到流量采集设备上进行自动化存储,生成异常样本。
其中,正常DNS流量样本可以在多个网络环境中收集,并对其进行筛选去重和分类。
本实施例通过上述方案,基于预先构建的、由被攻击设备和攻击设备组成的系统架构来生成异常样本,获取预先收集的异常样本和正常样本;将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。具体而言,本方案提供正常样本和异常样本的快速收集方法,减少验证样本收集的时间成本,同时提高样本覆盖范围,避免被攻击者绕过系统检测对用户造成损失;本方案提供了完整的验证方法,提出正常样本的验证,避免了系统大量的误报,降低系统运维的时间和人力成本,提高了系统的易用性。
进一步地,所述方法还可以包括:
基于验证结果,对误报和漏报的样本进行总结,输出验证报告。
进一步地,基于所述验证报告对所述DNS隧道流量检测系统进行二次验证。
具体地,本实施例中验证报告主要给出验证结果,对误报和漏报的样本进行总结,汇总没有被检测到的样本中对应的隧道特征及误报的正常DNS流量样本特征;如果验证报告中准确率和召回率较低、误报率较高,说明DNS隧道流量系统检测效果较差,需要根据验证报告对系统做进一步优化提升,然后再进行二次验证。
本实施例实现DNS隧道流量检测系统的验证的具体流程可以参照图3所示。
本实施例通过上述方案,获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。具体而言,本方案提供正常样本和异常样本的快速收集方法,减少验证样本收集的时间成本,同时提高样本覆盖范围,避免被攻击者绕过系统检测对用户造成损失;本方案提供了完整的验证方法,提出正常样本的验证,避免了系统大量的误报,降低系统运维的时间和人力成本,提高了系统的易用性;给出标准的验证报告,方便系统开发人员针对性的进行改进,提高开发和验证效率。
本申请实施例方案适用于如下场景:
其一、验证DNS隧道流量检测系统的检测效果,该验证方法同时可以帮助解决验证样本稀缺的问题,帮助测试人员提供一套完整的验证流程,大大提高工作效率。
其二、系统测试阶段需要提供验证报告衡量检测系统的有效性,该方案可以快速完成验证并给出参考性的指标和改进方向,方便系统做针对性的优化,避免系统检测效果不达标给用户造成损失。
此外,本申请实施例还提出一种DNS隧道流量检测系统的验证装置,所述装置包括:
获取模块,用于获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;
检测模块,用于将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;
统计验证模块,用于基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。
本实施例实现DNS隧道流量检测系统的验证的具体过程及原理,请参照上述各实施例,在此不再赘述。
此外,本申请实施例还提出一种验证设备,所述验证设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DNS隧道流量检测系统的验证程序,所述DNS隧道流量检测系统的验证程序被所述处理器执行时实现如上述实施例所述的DNS隧道流量检测系统的验证方法。
由于本DNS隧道流量检测系统的验证程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读程序,所述计算机可读程序被处理器执行时实现如上述实施例所述的DNS隧道流量检测系统的验证方法。
由于本DNS隧道流量检测系统的验证程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
本申请实施例提出的DNS隧道流量检测系统的验证方法、装置、设备及存储介质,通过获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统,提高系统检测能力,降低系统运维成本。具体而言,本方案提供正常样本和异常样本的快速收集方法,减少验证样本收集的时间成本,同时提高样本覆盖范围,避免被攻击者绕过系统检测对用户造成损失;本方案提供了完整的验证方法,提出正常样本的验证,避免了系统大量的误报,降低系统运维的时间和人力成本,提高了系统的易用性;本方案可以给出标准的验证报告,方便系统开发人员针对性的进行改进,提高开发和验证效率。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,被控终端,或者网络设备等)执行本申请每个实施例的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种DNS隧道流量检测系统的验证方法,其特征在于,所述方法包括以下步骤:
获取预先收集的流量样本,所述流量样本包括异常样本和/或正常样本;
将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;
基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。
2.根据权利要求1所述的方法,其特征在于,所述获取预先收集的流量样本的步骤之前还包括:
收集异常样本,具体包括:
将一台内网机器作为被攻击的目标机器,并在所述被攻击的目标机器上搭建DNS隧道工具的客户端;
将一台外网VPS机器作为攻击端,在所述攻击端上开启DNS域名解析服务作为DNS隧道的服务端;
在所述客户端与服务端之间的DNS隧道建立后,分别执行对应操作,所述对应操作包括:文件传输、下发指令、获取shell权限、进行http代理访问中的一种或多种;
将所述客户端和服务端二者所有的DNS通信流量镜像到流量采集设备上进行自动化存储,生成异常样本。
3.根据权利要求1所述的方法,其特征在于,所述将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果的步骤包括:
将所述流量样本通过流量回放工具输入到DNS隧道流量检测系统,由所述DNS隧道流量检测系统进行流量报文分析后,根据学习到的DNS隧道模型进行特征检测,得到检测结果。
4.根据权利要求1所述的方法,其特征在于,所述基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证的步骤包括:
基于所述检测结果,统计输入的正常样本个数经过系统检测后输出的正常样本告警条数,得到所述正常样本的误报数;
基于所述检测结果,统计输入的异常样本个数经过系统检测后输出的异常样本告警条数,基于所述异常样本告警条数计算异常样本未告警的条数,得到所述异常样本的漏报数;
基于正常样本告警条数、异常样本告警条数计算误报率、准确率、召回率;
将所述误报率、准确率、召回率作为验证指标,对所述DNS隧道流量检测系统的检测效果进行验证。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
基于验证结果,对误报和漏报的样本进行总结,输出验证报告。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
基于所述验证报告对所述DNS隧道流量检测系统进行二次验证。
7.根据权利要求2所述的方法,其特征在于,所述DNS隧道工具包括iodine、dns2tcp、dnscat2、ozymandns、dnscapy中的一种或多种;所述异常样本和正常样本的比例为1:100。
8.一种DNS隧道流量检测系统的验证装置,其特征在于,所述装置包括:
获取模块,用于获取预先收集的流量样本,所述流量样本分包括异常样本和/或正常样本;
检测模块,用于将所述流量样本输入DNS隧道流量检测系统进行检测,得到检测结果;
统计验证模块,用于基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数,并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。
9.一种验证设备,其特征在于,所述验证设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DNS隧道流量检测系统的验证程序,所述DNS隧道流量检测系统的验证程序被所述处理器执行时实现如权利要求1-7中任一项所述的DNS隧道流量检测系统的验证方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读程序,所述计算机可读程序被处理器执行时实现如权利要求1-7中任一项所述的DNS隧道流量检测系统的验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310053816.XA CN116132154B (zh) | 2023-02-03 | 2023-02-03 | Dns隧道流量检测系统的验证方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310053816.XA CN116132154B (zh) | 2023-02-03 | 2023-02-03 | Dns隧道流量检测系统的验证方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116132154A true CN116132154A (zh) | 2023-05-16 |
| CN116132154B CN116132154B (zh) | 2023-06-30 |
Family
ID=86300566
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310053816.XA Active CN116132154B (zh) | 2023-02-03 | 2023-02-03 | Dns隧道流量检测系统的验证方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116132154B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905581A (zh) * | 2014-02-26 | 2014-07-02 | 曾宪钊 | 基于行为差异性的dns高速解析方案和配套的抗流量类攻击安全方案 |
| CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
| CN112039906A (zh) * | 2020-09-03 | 2020-12-04 | 华侨大学 | 一种面向云计算的网络流量异常检测系统及方法 |
| US20210064933A1 (en) * | 2019-08-28 | 2021-03-04 | Nxp B.V. | Anomaly detection by classifying past behavior |
| CN112583820A (zh) * | 2020-12-09 | 2021-03-30 | 南方电网科学研究院有限责任公司 | 一种基于攻击拓扑的电力攻击测试系统 |
| US20210182612A1 (en) * | 2017-11-15 | 2021-06-17 | Han Si An Xin (Beijing) Software Technology Co., Ltd | Real-time detection method and apparatus for dga domain name |
| CN113347210A (zh) * | 2021-08-03 | 2021-09-03 | 北京观成科技有限公司 | 一种dns隧道检测方法、装置及电子设备 |
-
2023
- 2023-02-03 CN CN202310053816.XA patent/CN116132154B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905581A (zh) * | 2014-02-26 | 2014-07-02 | 曾宪钊 | 基于行为差异性的dns高速解析方案和配套的抗流量类攻击安全方案 |
| US20210182612A1 (en) * | 2017-11-15 | 2021-06-17 | Han Si An Xin (Beijing) Software Technology Co., Ltd | Real-time detection method and apparatus for dga domain name |
| US20210064933A1 (en) * | 2019-08-28 | 2021-03-04 | Nxp B.V. | Anomaly detection by classifying past behavior |
| CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
| CN112039906A (zh) * | 2020-09-03 | 2020-12-04 | 华侨大学 | 一种面向云计算的网络流量异常检测系统及方法 |
| CN112583820A (zh) * | 2020-12-09 | 2021-03-30 | 南方电网科学研究院有限责任公司 | 一种基于攻击拓扑的电力攻击测试系统 |
| CN113347210A (zh) * | 2021-08-03 | 2021-09-03 | 北京观成科技有限公司 | 一种dns隧道检测方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116132154B (zh) | 2023-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112995196B (zh) | 网络安全等级保护中态势感知信息的处理方法及系统 | |
| KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
| CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN103999091A (zh) | 地理映射系统安全事件 | |
| CN113177205B (zh) | 一种恶意应用检测系统及方法 | |
| CN113315767A (zh) | 一种电力物联网设备安全检测系统及方法 | |
| CN113810408A (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
| CN110138780B (zh) | 一种基于探针技术实现物联网终端威胁检测的方法 | |
| CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
| CN112671724B (zh) | 一种终端安全检测分析方法、装置、设备及可读存储介质 | |
| CN116132154B (zh) | Dns隧道流量检测系统的验证方法、装置、设备及存储介质 | |
| CN113489703A (zh) | 一种安全防护系统 | |
| CN113382015A (zh) | 一种网络威胁的处置方法、装置、设备及存储介质 | |
| CN115987687B (zh) | 网络攻击取证方法、装置、设备及存储介质 | |
| JP2012080425A (ja) | 指示システム、指示方法、及び記憶制御装置。 | |
| CN108427882A (zh) | 基于行为特征抽取的安卓软件动态分析检测法 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| KR101512700B1 (ko) | 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 제어 방법 | |
| CN114513331A (zh) | 基于应用层通信协议的挖矿木马检测方法、装置及设备 | |
| CN113411199A (zh) | 智能等保测评的安全测试方法及系统 | |
| CN113839948A (zh) | 一种dns隧道流量检测方法、装置、电子设备和存储介质 | |
| CN112929357A (zh) | 一种虚拟机数据的分析方法、装置、设备及存储介质 | |
| CN111385293A (zh) | 一种网络风险检测方法和装置 | |
| Benova et al. | Detecting anomalous user behavior from NGINX web server logs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |