[发明专利]基于通信行为分析的DNS隧道木马检测方法

说明书

本发明公开一种基于通信行为分析的DNS隧道木马检测方法，主要包含数据包采集整合模块、DNS会话重组模块、随机森林分类训练学习模块和DNS隧道木马流量检测模块四大部分。从DNS会话的视角剖析了DNS隧道木马的通信模式，提取了七大区别于正常的DNS会话特征的属性，利用改进随机森林算法构建分类训练器，最终建立了DNS隧道木马检测模型。实验测试表明本文提出的基于通信行为分析的DNS隧道木马检测技术不仅能有效的侦测出高隐蔽性DNS隧道木马，误报率小和漏报率低，而且对于未知的DNS隧道木马同样有很好的检测效果。

技术领域：

本发明涉及一种DNS隧道木马的检测方法，特别是涉及一种基于通信行为分析的高隐蔽性DNS隧道木马检测方法。

背景技术：

DNS隧道技术是指基于DNS网络协议建立隐蔽通信，实现机密数据的隐蔽传输。DNS隐蔽通道可以被恶意利用，一些渗透工具可以通过DNS隐蔽通道进行远程控制甚至窃取数据。Daan Raman等人已经证明，在Metasploit渗透测试平台下，利用内网机缓冲区或者其他漏洞，是能建立功能完全的从专用内网到外网控制者的DNS隧道，并且利用建立的DNS隧道进行指挥和控制攻击。2017年3月，思科Talos团队发现了一起名为DNSMessenger的攻击，该恶意软件的所有命令与控制通信都经由DNS TXT查询和响应进行，以此躲避检测。由此可见，基于DNS隧道的通信技术已逐渐成为黑客控制目标的关键技术手段。如何有效的应对层出不穷的新型高隐蔽性DNS隧道木马，及时发现网络通信中可能存在的DNS隧道木马，提高木马检测率，已成为亟待解决的难题。

虽然DNS隧道木马带来的威胁很大，但DNS隧道木马却难以得到有效的监控。一方面是因为DNS报文具有天然的穿透防火墙的能力，另一方面目前的杀毒软件、IDS等安全策略也很少对DNS报文进行有效的监控管理。目前DNS隧道木马的检测技术停留在基于传统的DNS隧道工具检测上，主要分为两大类：载荷分析和流量监测。DNS载荷检测主要是针对DNS数据包中的有效载荷进行分析。其中“有效载荷”意思是除去报文协议头部剩下的数据字段内容。DNS流量监测手段主要是检测网络中的DNS流量变化情况，其原理是DNS隧道在传输数据时会产生大量的DNS报文，在网络中常常会表现出某时刻DNS流量突增的异常现象。

Patrick Butler等人把DNS报文中域名中label部分大于52个字符作为识别DNS隧道的特征之一。该方法主要通过统计域名长度来分析是否存在DNS隧道。一般情况下，DNS隧道把要传输的内容封装在请求字段的域名中，为了追求传输效率，在一次传输过程中会尽可能携带多的隐蔽信息，所以造成DNS报文域名字段中的域名长度偏长。

Born K等人引入信息熵的概念来检测DNS隧道域名字母的混乱程度。日常生活中我们用的域名往往具有一定的含义，常见域名是以日常中的单词或者一些有规律的词组命名，所以正常域名熵值低。然而DNS隧道为了增强隐蔽性，提高抗字符分析能力，一般会均匀的使用各个字符编码，这就使DNS隧道的域名的混乱程度较高。

Qi C等人用二元语法字频来检测DNS报文中域名字母频率，发现正常的域名满足Zipf定律而DNS隧道的域名遵循的是随机分布。他们利用二元语法字频来实时监测计算域名中字母的随机性，通过评分机制来判定是否存在DNS隧道。该方法克服了以往流量检测方法延时性，效率高，但是该方法存在一定的误报率，容易把拼写奇怪的但是合法的域名当成DNS隧道报文。

Bilge L等人把检测域名中最长有意义子串的百分比作为检测恶意域名的重要特征之一。他们通过从主要国家的字典中提取所有可能的有意义词句，除此之外还提取一些生活中有意义的字母数字字符的组合来组成“有意义子串”字典。通过实际检验发现，合法域名中最长的有意义字符串的长度的比值相对于恶意域名要大的多。

Lokington S等人发现DNS隧道中的域名常常会出现一连串数字与辅音字母，但正常的域名中一般不会发生，因为合法域名在某种程度上是日常使用母语的体现，比如英语。因此也可以通过检测域名中连续的数字以及辅音字母来发现是否存在DNS隐蔽隧道。