TWI742808B - 隱匿通道偵測方法及裝置 - Google Patents

隱匿通道偵測方法及裝置 Download PDF

Info

Publication number
TWI742808B
TWI742808B TW109128408A TW109128408A TWI742808B TW I742808 B TWI742808 B TW I742808B TW 109128408 A TW109128408 A TW 109128408A TW 109128408 A TW109128408 A TW 109128408A TW I742808 B TWI742808 B TW I742808B
Authority
TW
Taiwan
Prior art keywords
group
dns
subdomain name
subdomain
suspicious
Prior art date
Application number
TW109128408A
Other languages
English (en)
Other versions
TW202209854A (zh
Inventor
蘇園翔
黃秀娟
Original Assignee
中華電信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中華電信股份有限公司 filed Critical 中華電信股份有限公司
Priority to TW109128408A priority Critical patent/TWI742808B/zh
Application granted granted Critical
Publication of TWI742808B publication Critical patent/TWI742808B/zh
Publication of TW202209854A publication Critical patent/TW202209854A/zh

Links

Images

Abstract

本發明提供一種隱匿通道偵測方法及裝置。所述方法包括:取得多筆域名系統(domain name system,DNS)記錄,並將前述DNS記錄區分為至少一群組,其包括第一群組,且第一群組包括多筆第一DNS記錄;基於各第一DNS記錄的子域名估計第一群組的第一可疑分數;基於前述第一DNS記錄的多個統計量特徵估計第一群組的第二可疑分數;基於第一可疑分數及第二可疑分數估計第一群組的參考可疑分數;反應於判定第一群組的參考可疑分數高於預設門限值,判定第一群組對應的主網域為可疑網域。

Description

隱匿通道偵測方法及裝置
本發明是有關於一種網路安全技術,且特別是有關於一種隱匿通道偵測方法及裝置。
域名系統(domain name system,DNS)服務為網路之重要基礎服務。原本的DNS設計用途單純且每日DNS流量龐大難以分析,因此DNS服務安全常被忽略。DNS協定原先並非設計用來傳輸大量資料,但藉由DNS通道(Tunneling)技術,使用者能透過DNS協定進行非DNS原先設計用途之資料傳輸及通訊。在攻擊者入侵內部網路主機後,便能透過DNS通道技術讓企業內部受害主機在不被偵測的情形下與外部中繼站進行資料傳輸、遠端控制等動作。對企業而言,DNS通道是項重大的資安問題。若能從DNS流量中偵測出隱匿的DNS通道,將大幅降低資料外洩等企業資安威脅。
有鑑於此,本發明提供一種隱匿通道偵測方法及裝置,其可用於解決上述技術問題。
本發明提供一種隱匿通道偵測方法,適於一隱匿通道偵測裝置,包括:取得多筆域名系統(domain name system,DNS)記錄,並將前述DNS記錄區分為至少一群組,其中至少一群組包括一第一群組,且第一群組包括多筆第一DNS記錄;基於第一群組中各第一DNS記錄的子域名估計第一群組的一第一可疑分數;基於第一群組中的前述第一DNS記錄的多個統計量特徵估計第一群組的一第二可疑分數;基於第一可疑分數及第二可疑分數估計第一群組的一參考可疑分數;反應於判定第一群組的參考可疑分數高於一預設門限值,判定第一群組對應的主網域為一可疑網域。
本發明提供一種隱匿通道偵測裝置,包括DNS記錄過濾模組及隱匿通道偵測模組。DNS記錄過濾模組用以取得多筆DNS記錄。隱匿通道偵測模組經配置以:將前述DNS記錄區分為至少一群組,其中至少一群組包括一第一群組,且第一群組包括多筆第一DNS記錄;基於第一群組中各第一DNS記錄的子域名估計第一群組的一第一可疑分數;基於第一群組中的前述第一DNS記錄的多個統計量特徵估計第一群組的一第二可疑分數;基於第一可疑分數及第二可疑分數估計第一群組的一參考可疑分數;反應於判定第一群組的參考可疑分數高於一預設門限值,判定第一群組對應的主網域為一可疑網域。
概略而言,本發明提出一種利用網路流量來偵測隱匿通道的裝置與方法,其目的在於偵測一個網域名稱是否存在透過隱匿通道進行通訊之嫌疑,並找出與其通訊之主機,以降低企業受害之風險,詳細說明如下。
請參照圖1,其是依據本發明之一實施例繪示的隱匿通道偵測系統示意圖。如圖1所示,隱匿通道偵測系統10包括DNS日誌收容模組11及分散式叢集12。在一實施例中,DNS日誌收容模組11可用以將DNS網路流量轉換成DNS日誌並分散儲存於分散式叢集的各個隱匿通道偵測裝置中(繪示為空心圓圈)。
在一實施例中,分散式叢集12例如可以Hadoop 分散式檔案系統(Hadoop Distributed File System,HDFS)及Spark實作,並可用以儲存及提供分析DNS日誌的計算資源,結合平行處理與各隱匿通道偵測裝置之運算資源,達到降低分析所需時間。如圖1所示,分散式叢集12可包括多個隱匿通道偵測裝置,而各個隱匿通道偵測裝置的功能及運作方式可大致相同,故以下將僅以隱匿通道偵測裝置13為例進行說明,但本發明可不限於此。
在一實施例中,隱匿通道偵測裝置13可包括DNS記錄過濾模組131及隱匿通道偵測模組132,而其可協同運作以實現本發明提出的隱匿通道偵測方法。相關細節詳述如下。
請參照圖2,其是依據本發明之一實施例繪示的隱匿通道偵測方法流程圖。本實施例的方法可由圖1的隱匿通道偵測裝置13執行,以下即搭配圖1所示的元件說明圖2各步驟的細節。
首先,在步驟S210中,DNS記錄過濾模組131可取得多筆DNS記錄。在一實施例中,DNS記錄過濾模組131可先取得多筆原始DNS記錄,並基於白名單濾除前述原始DNS記錄中的一部分,再將前述原始DNS記錄中未被濾除的另一部分作為步驟S210中所取得的DNS記錄。
詳細而言,在一般DNS日誌所包括的多筆原始DNS記錄中,大多屬於一般之網路用途,例如Google TM、Facebook TM等服務。因此,透過DNS記錄過濾模組131基於白名單所進行的過濾行為,能有效地減少後續偵測需處理的資料量。此外,少數正常服務其網路行為與DNS通道類似或該服務藉由DNS協定進行資料傳輸,例如:雲端儲存、黑白名單查詢等,容易發生誤報之情形。在此情況下,透過白名單過濾能將這些正常網域先行濾除,降低系統誤報。
之後,在步驟S220中,隱匿通道偵測模組132可將前述DNS記錄區分為至少一群組。在一實施例中,隱匿通道偵測模組132例如可基於各DNS記錄的查詢使用端位址、查詢的主域名及時間戳記的至少其中之一將上述DNS記錄區分為上述群組。為便於理解上述概念,以下將另輔以圖3作進一步說明。
請參照圖3,其是依據本發明之一實施例繪示的將DNS記錄區分為多個群組的示意圖。在圖3中,假設DNS記錄過濾模組131於步驟S210中共取得DNS記錄311~316。如圖3所示,各DNS記錄311~316可包括時間戳記、查詢使用端位址、協定、查詢域名、查詢種類、回應、存活時間(time to live,TTL)及查詢次數,但可不限於此。
在此情況下,隱匿通道偵測模組132可基於各DNS記錄311~316的查詢使用端位址、查詢的主域名及時間戳記的至少其中之一將DNS記錄311~316區分為群組G1及G2。群組G1例如可包括具有相近時間戳記及相同查詢使用端位址(即,「10.0.0.2」)及查詢主域名(即,「benign.com」)的DNS記錄315及316。群組G2例如可包括具有相近時間戳記及相同查詢使用端位址(即,「10.0.0.1」)及查詢主域名(即,「example.com」)的DNS記錄311~314。在其他實施例中,設計者亦可依需求而採用其他方式將所考慮的DNS記錄進行分組,並不限於以上實施例所教示的方式。
在一實施例中,隱匿通道偵測模組132可對群組G1及G2分別進行步驟S230~S260,以評估群組G1及G2個別是否為可疑網域。為便於理解,以下將以群組G2為例進行說明,但本發明可不限於此。在以下實施例中,所稱的第一群組例如是群組G2,而第一群組中包括的第一DNS記錄例如是群組G2中的DNS記錄311~314,但可不限於此。
在步驟S230中,隱匿通道偵測模組132可基於第一群組中各第一DNS記錄的子域名估計第一群組的第一可疑分數。在一實施例中,隱匿通道偵測模組132可經配置以:依據各第一DNS記錄的時間戳記排序上述第一DNS記錄;取得各第一DNS記錄的子域名,並依據各第一DNS記錄的查詢次數複製各第一DNS記錄的子域名;將各第一DNS記錄的複製後的子域名依序串接為一子域名字串。為使上述概念更易於理解,以下另輔以圖4作進一步說明。
請參照圖4,其是依據圖3繪示的產生子域名字串的示意圖。在本實施例中,隱匿通道偵測模組132可依據各DNS記錄311~314的時間戳記排序DNS記錄311~314。
之後,隱匿通道偵測模組132可取得各DNS記錄311~314的子域名411~414,並依據各DNS記錄311~314的查詢次數複製各DNS記錄411~414的子域名。具體而言,由DNS記錄311~314可知,其個別的查詢次數分別為1、1、1、2。在此情況下,子域名411~413將分別被複製1次,以形成子域名421~423。另外,子域名414將被複製2次,以形成子域名424。接著,隱匿通道偵測模組132可將各DNS記錄311~314的複製後的子域名421~424依序串接為子域名字串499。
在一實施例中,隱匿通道偵測模組132可將子域名字串499轉換為一輸入矩陣,並將此輸入矩陣輸入至經預訓練的一長短期記憶(long short term memory,LSTM)模型,其中長短期記憶模型反應於此輸入矩陣而輸出第一群組的第一可疑分數。在一實施例中,上述LSTM例如是相關訓練樣本訓練後的偵測模型,而上述訓練樣本可來自正常的DNS日誌以及DNS通道相關的DNS日誌,但可不限於此。
請參照圖5,其是依據圖4繪示的產生第一可疑分數的示意圖。在本實施例中,子域名字串499可包括多個字元,而隱匿通道偵測模組132可將各字元轉換為對應的數字,以產生對應於子域名字串499的數字串列511。例如,隱匿通道偵測模組132可將「passwd」等6個字元分別轉換為「16, 1, 19, 19, 23, 4」等數字,而在將子域名字串499的所有字元轉換為對應的數字之後,隱匿通道偵測模組132可將這些數字依序組合為數字串列511,但可不限於此。
之後,隱匿通道偵測模組132可將數字串列511調整為預設長度(可表示為N),以形成特定數字串列512,其中特定數字串列512可包括N個特定數字。在一實施例中,若數字串列511的長度小於N,則隱匿通道偵測模組132可採用補0(zero-padding)的方式在數字串列511後方補上若干個0,以使數字串列511的長度增加為N,進而產生特定數字串列512。在另一實施例中,若數字串列511的長度大於N,則隱匿通道偵測模組132可將數字串列511中的一部分刪除,以使數字串列511的長度減少為N,進而產生特定數字串列512,但本發明可不限於此。
接著,隱匿通道偵測模組132可將特定字串列512中的各特定數字映射為具有特定維度(可表示為M)的向量。亦即,隱匿通道偵測模組132可將特定字串列512中的各特定數字映射為維度為Mx1的向量,但可不限於此。之後,隱匿通道偵測模組132可將各特定數字對應的向量依序串接以形成輸入矩陣513(其維度為MxN),並將輸入矩陣513輸入至LSTM模型514,以由LSTM模型514相應地輸出群組G2(即,第一群組)的第一可疑分數
Figure 02_image001
,但可不限於此。
請再參照圖2,在步驟S240中,隱匿通道偵測模組132可基於第一群組中的前述第一DNS記錄的多個統計量特徵估計第一群組的第二可疑分數。在一實施例中,隱匿通道偵測模組132可將上述第一DNS記錄的統計量特徵轉換為統計量特徵向量,其中統計量特徵向量的維度可對應於上述統計量特徵的數量。之後,隱匿通道偵測模組132可將統計量特徵向量輸入經預訓練的機器學習模型,其中機器學習模型可反應於統計量特徵向量而輸出第一群組的第二可疑分數。
請參照圖6,其是依據圖3繪示的估計第二可疑分數的示意圖。在本實施例中,DNS記錄311~314的統計量特徵例如包括DNS記錄311~314的DNS查詢總數量、DNS回應種類、DNS查詢協定種類數、存活時間(time to live,TTL)種類數、子域名熵、小寫子域名熵、子域名種類數、子域名字串熵、小寫子域名字串熵、子域名字串字元種類數、子域名字串英文字元數、子域名字串大寫字元數、子域名字串小寫字元數、子域名字串數字字元數、子域名平均長度、子域名長度之標準差、子域名長度之中位數、子域名字串長度、DNS查詢類型非A和AAAA查詢數量等19種統計量特徵的至少其中之一。在一實施例中,上述的子域名字串熵、小寫子域名字串熵、子域名字串字元種類數、子域名字串英文字元數、子域名字串大寫字元數、子域名字串小寫字元數、子域名字串數字字元數等統計量特徵可取自於圖4中的子域名字串499,但可不限於此。
在圖6中,隱匿通道偵測模組132例如可將上述19種統計量特徵轉換為統計量特徵向量611,其中統計量特徵向量611的維度(例如19x1)可對應於上述統計量特徵的數量(例如19)。之後,隱匿通道偵測模組132可將統計量特徵向量611輸入經預訓練的機器學習模型612。在一實施例中,機器學習模型612例如是經相關訓練樣本訓練後的一隨機森林(random forest)模型,而上述訓練樣本可來自正常的DNS日誌以及DNS通道相關的DNS日誌,但可不限於此。相應地,機器學習模型612可反應於統計量特徵向量611而輸出群組G2的第二可疑分數
Figure 02_image003
在另一實施例中,隱匿通道偵測模組132還可從分散式叢集12中的其他隱匿通道偵測裝置接收多個其他統計量特徵,其中所述其他統計量特徵可對應於上述統計量特徵。具體而言,其他隱匿通道偵測裝置可取得另外一批DNS記錄,並基於相似於先前教示的原則對這些DNS記錄進行分組及統計特徵量的萃取。假設其他隱匿通道偵測裝置所區分的某群組與群組G2具有相似的特性(例如對應於同一個主域名「example.com」),則這些其他隱匿通道偵測模組可將此群組相關的統計量特徵提供予隱匿通道偵測模組132。在此情況下,隱匿通道偵測模組132可基於上述其他統計量特徵更新統計量特徵向量611。
亦即,與隱匿通道偵測裝置13屬於同一分散式叢集12的其他隱匿通道偵測裝置可協助進行統計特徵量的萃取,從而可提升相關的運算效率,但可不限於此。之後,隱匿通道偵測模組132可將更新後的統計量特徵向量611輸入機器學習模型612,以讓其可反應於統計量特徵向量611而輸出群組G2的第二可疑分數
Figure 02_image003
之後,在步驟S250中,隱匿通道偵測模組132可基於第一可疑分數及第二可疑分數估計第一群組的參考可疑分數。在一實施例中,隱匿通道偵測模組132可將第一可疑分數
Figure 02_image001
及第二可疑分數
Figure 02_image003
進行加權運算以得到群組G2的參考可疑分數。換言之,群組G2的參考可疑分數可表徵為
Figure 02_image005
,其中
Figure 02_image007
Figure 02_image009
分別為對應於第一可疑分數
Figure 02_image001
及第二可疑分數
Figure 02_image003
的權重,並可由設計者依需求而定。
接著,在步驟S260中,反應於判定第一群組的參考可疑分數高於預設門限值,隱匿通道偵測模組132可判定第一群組對應的主網域為可疑網域。亦即,若群組G2的參考可疑分數(即,
Figure 02_image011
)高於預設門限值,則隱匿通道偵測模組132可判定群組G2對應的主網域「example.com」有透過DNS通道進行通訊。
另一方面,若群組G2的參考可疑分數(即,
Figure 02_image011
)未高於預設門限值,則隱匿通道偵測模組132可判定群組G2對應的主網域「example.com」未透過DNS通道進行通訊。
在一實施例中,在判定第一群組對應的主網域為可疑網域之後,隱匿通道偵測模組132還可輸出可疑域名、使用端位址及參考可疑分數至告警系統,以利相關人員採取對應的網路安全措施,但可不限於此。
綜上所述,本發明至少具備以下特點:(1)提出使用LSTM模型來分析DNS流量中查詢域名資料,結合其他類型特徵與機器學習模型,達到使用多種類特徵及多個機器學習模型來辨識企業內部DNS流量是否有存在利用隱匿通道通訊的網域名稱與主機之功效;(2)提出將待分析之DNS流量分割儲存於分散式叢集上,並使用叢集運算過濾DNS流量並平行計算機器學習辨識模型所需的特徵向量,以有效解決分析巨量DNS流量之問題;(3)當企業欲藉由本發明來了解其內部網路是否存在透過隱匿通道通訊的風險主機時,可以收集企業內部網路閘道口之DNS流量搭配本發明的裝置進行偵測。
另外,本發明在實務上的一個例子是利用從網路流量萃取生成被動(Passive)DNS日誌,搭配本發明提出之方法及裝置,定期分析出疑似提供隱匿通道通訊的網域名稱。藉由被動DNS日誌搭配本發明產生之隱匿通訊域名情資,可找出企業內部透過隱匿通道通訊主機,以降低企業內部資料洩漏之風險。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
10:隱匿通道偵測系統 11:DNS日誌收容模組 12:分散式叢集 13:隱匿通道偵測裝置 131:DNS記錄過濾模組 132:隱匿通道偵測模組 311~316:DNS記錄 411~414:子域名 421~424:複製後的子域名 499:子域名字串 511:數字串列 512:特定數字串列 513:輸入矩陣 514:LSTM模型 611:統計量特徵向量 612:機器學習模型 s:參考可疑分數
Figure 02_image001
:第一可疑分數
Figure 02_image003
:第二可疑分數 G1, G2:群組 S210~S260:步驟
圖1是依據本發明之一實施例繪示的隱匿通道偵測系統示意圖。 圖2是依據本發明之一實施例繪示的隱匿通道偵測方法流程圖。 圖3是依據本發明之一實施例繪示的將DNS記錄區分為多個群組的示意圖。 圖4是依據圖3繪示的產生子域名字串的示意圖。 圖5是依據圖4繪示的產生第一可疑分數的示意圖。 圖6是依據圖3繪示的估計第二可疑分數的示意圖。
S210~S260:步驟

Claims (10)

  1. 一種隱匿通道偵測方法,適於一隱匿通道偵測裝置,包括:取得多筆域名系統(domain name system,DNS)記錄,並將該些DNS記錄區分為至少一群組,其中該至少一群組包括一第一群組,且該第一群組包括多筆第一DNS記錄;基於該第一群組中各該第一DNS記錄的子域名估計該第一群組的一第一可疑分數;基於該第一群組中的該些第一DNS記錄的多個統計量特徵估計該第一群組的一第二可疑分數;基於該第一可疑分數及該第二可疑分數估計該第一群組的一參考可疑分數;反應於判定該第一群組的該參考可疑分數高於一預設門限值,判定該第一群組對應的主網域為一可疑網域,其中該些統計量特徵包括DNS查詢總數量、DNS回應種類、DNS查詢協定種類數、存活時間(time to live,TTL)種類數、子域名熵、小寫子域名熵、子域名種類數、子域名字串熵、小寫子域名字串熵、子域名字串字元種類數、子域名字串英文字元數、子域名字串大寫字元數、子域名字串小寫字元數、子域名字串數字字元數、子域名平均長度、子域名長度之標準差、子域名長度之中位數、子域名字串長度、DNS查詢類型非A和AAAA查詢數量的至少其中之一。
  2. 如請求項1所述的方法,更包括:取得多筆原始DNS記錄,並基於一白名單濾除該些原始DNS記錄中的一部分;將該些原始DNS記錄中未被濾除的另一部分作為該些DNS記錄。
  3. 如請求項1所述的方法,其中將該些DNS記錄區分為該至少一群組的步驟包括:基於各該DNS記錄的查詢使用端位址、查詢的主域名及時間戳記的至少其中之一將該些DNS記錄區分為該至少一群組。
  4. 如請求項1所述的方法,其中各該第一DNS記錄包括一子域名、一時間戳記及一查詢次數,且基於該第一群組中各該第一DNS記錄的子域名估計該第一群組的該第一可疑分數的步驟包括:依據各該第一DNS記錄的該時間戳記排序該些第一DNS記錄;取得各該第一DNS記錄的該子域名,並依據各該第一DNS記錄的該查詢次數複製各該第一DNS記錄的該子域名;將各該第一DNS記錄的複製後的該子域名依序串接為一子域名字串;將該子域名字串轉換為一輸入矩陣,並將該輸入矩陣輸入至經預訓練的一長短期記憶模型,其中該長短期記憶模型反應於該輸入矩陣而輸出該第一群組的該第一可疑分數。
  5. 如請求項4所述的方法,其中該子域名字串包括多個字元,且將該子域名字串轉換為該輸入矩陣的步驟包括:將各該字元轉換為對應的一數字,以產生對應於該子域名字串的一數字串列;將該數字串列調整為一預設長度,以形成一特定數字串列,其中該特定數字串列包括多個特定數字;將各該特定數字映射為具有一特定維度的一向量;將各該特定數字對應的該向量依序串接以形成該輸入矩陣。
  6. 如請求項1所述的方法,其中基於該第一群組中的該些第一DNS記錄的該些統計量特徵估計該第一群組的該第二可疑分數的步驟包括:將該些第一DNS記錄的該些統計量特徵轉換為一統計量特徵向量,其中該統計量特徵向量的維度對應於該些統計量特徵的數量;將該統計量特徵向量輸入經預訓練的一機器學習模型,其中該機器學習模型反應於該統計量特徵向量而輸出該第一群組的該第二可疑分數。
  7. 如請求項1所述的方法,其中基於該第一群組中的該些第一DNS記錄的該些統計量特徵估計該第一群組的該第二可疑分數的步驟包括: 將該些第一DNS記錄的該些統計量特徵轉換為一統計量特徵向量,其中該統計量特徵向量的維度對應於該些統計量特徵的數量;從其他隱匿通道偵測裝置接收多個其他統計量特徵,其中該其他隱匿通道偵測裝置與該隱匿通道偵測裝置屬於同一個分散式叢集,且該些其他統計量特徵對應於該些統計量特徵;基於該些其他統計量特徵更新該統計量特徵向量;將更新後的該統計量特徵向量輸入經預訓練的一機器學習模型,其中該機器學習模型反應於該統計量特徵向量而輸出該第一群組的該第二可疑分數。
  8. 如請求項1所述的方法,其中基於該第一可疑分數及該第二可疑分數估計該第一群組的該參考可疑分數的步驟包括:將該第一可疑分數及該第二可疑分數進行一加權運算以得到該第一群組的該參考可疑分數。
  9. 如請求項1所述的方法,其中反應於判定該第一群組的該參考可疑分數未高於該預設門限值,判定該第一群組對應的主網域不為該可疑網域。
  10. 一種隱匿通道偵測裝置,包括:一域名系統(domain name system,DNS)記錄過濾模組,其用以取得多筆DNS記錄;一隱匿通道偵測模組,其經配置以:將該些DNS記錄區分為至少一群組,其中該至少一群組 包括一第一群組,且該第一群組包括多筆第一DNS記錄;基於該第一群組中各該第一DNS記錄的子域名估計該第一群組的一第一可疑分數;基於該第一群組中的該些第一DNS記錄的多個統計量特徵估計該第一群組的一第二可疑分數;基於該第一可疑分數及該第二可疑分數估計該第一群組的一參考可疑分數;反應於判定該第一群組的該參考可疑分數高於一預設門限值,判定該第一群組對應的主網域為一可疑網域,其中該些統計量特徵包括DNS查詢總數量、DNS回應種類、DNS查詢協定種類數、存活時間(time to live,TTL)種類數、子域名熵、小寫子域名熵、子域名種類數、子域名字串熵、小寫子域名字串熵、子域名字串字元種類數、子域名字串英文字元數、子域名字串大寫字元數、子域名字串小寫字元數、子域名字串數字字元數、子域名平均長度、子域名長度之標準差、子域名長度之中位數、子域名字串長度、DNS查詢類型非A和AAAA查詢數量的至少其中之一。
TW109128408A 2020-08-20 2020-08-20 隱匿通道偵測方法及裝置 TWI742808B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW109128408A TWI742808B (zh) 2020-08-20 2020-08-20 隱匿通道偵測方法及裝置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109128408A TWI742808B (zh) 2020-08-20 2020-08-20 隱匿通道偵測方法及裝置

Publications (2)

Publication Number Publication Date
TWI742808B true TWI742808B (zh) 2021-10-11
TW202209854A TW202209854A (zh) 2022-03-01

Family

ID=80782597

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109128408A TWI742808B (zh) 2020-08-20 2020-08-20 隱匿通道偵測方法及裝置

Country Status (1)

Country Link
TW (1) TWI742808B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201828660A (zh) * 2017-01-19 2018-08-01 阿里巴巴集團服務有限公司 量化防禦結果的方法、裝置及系統

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201828660A (zh) * 2017-01-19 2018-08-01 阿里巴巴集團服務有限公司 量化防禦結果的方法、裝置及系統

Also Published As

Publication number Publication date
TW202209854A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
US9912691B2 (en) Fuzzy hash of behavioral results
CN107579956B (zh) 一种用户行为的检测方法和装置
US10375143B2 (en) Learning indicators of compromise with hierarchical models
CN108737439B (zh) 一种基于自反馈学习的大规模恶意域名检测系统及方法
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
Prasse et al. Malware detection by analysing network traffic with neural networks
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及系统
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN110830490B (zh) 基于带对抗训练深度网络的恶意域名检测方法及系统
CN106534146A (zh) 一种安全监测系统及方法
Krishnaveni et al. Ensemble approach for network threat detection and classification on cloud computing
CN112866023A (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN111245784A (zh) 多维度检测恶意域名的方法
CN111224941A (zh) 一种威胁类型识别方法及装置
CN102571487A (zh) 基于多数据源分布式的僵尸网络规模测量及追踪方法
CN113111951A (zh) 数据处理方法以及装置
CN114422211B (zh) 基于图注意力网络的http恶意流量检测方法及装置
Bao et al. Using passive dns to detect malicious domain name
Liang et al. FECC: DNS Tunnel Detection model based on CNN and Clustering
TWI742808B (zh) 隱匿通道偵測方法及裝置
He et al. Identifying mobile applications for encrypted network traffic
CN112507336A (zh) 基于代码特征和流量行为的服务端恶意程序检测方法
CN112583827A (zh) 一种数据泄露检测方法及装置
Vries Detection of DoH tunnelling: Comparing supervised with unsupervised learning
CN111371727A (zh) 一种针对ntp协议隐蔽通信的检测方法