[发明专利]报文检测方法、装置、网络设备和计算机可读存储介质

权利要求书

1.一种报文检测方法，其特征在于，所述方法包括：

获取待检测DNS报文对应的请求域名；

去除所述请求域名中的注册域名，得到待处理域名；

提取所述待检测DNS报文的至少两个报文特征；其中，所述至少两个报文特征包括所述待处理域名的域名特征；所述待处理域名的域名特征包括所述待处理域名的域名字符列表，其中，所述域名字符列表为按照预设的字符与数字的对应关系，将所述待处理域名中的每个字符转换为对应的数字构成的；

根据所述至少两个报文特征和预先训练的报文检测模型，得到所述待检测DNS报文是否属于DNS隐蔽信道报文的检测结果。

2.根据权利要求1所述的方法，其特征在于，所述待处理域名的域名特征包括所述待处理域名的域名长度。

3.根据权利要求1所述的方法，其特征在于，所述报文检测模型包括特征处理网络和模型预测网络，所述检测结果包括所述待检测DNS报文属于所述DNS隐蔽信道报文的第一概率值和所述待检测DNS报文属于非DNS隐蔽信道报文的第二概率值，所述根据所述至少两个报文特征和预先训练的报文检测模型，得到所述待检测DNS报文是否属于DNS隐蔽信道报文的检测结果的步骤，包括：

利用所述特征处理网络对所述至少两个报文特征进行编码，得到报文特征矩阵；

将所述报文特征矩阵输入所述模型预测网络，得到所述第一概率值和所述第二概率值，当所述第一概率值大于所述第二概率值时，确定所述待检测DNS报文属于所述DNS隐蔽信道报文。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述至少两个报文特征还包括所述待检测DNS报文的域名记录类型、请求和响应的时间间隔、所述待检测DNS报文的传输速率、具有所述待检测DNS报文的IP地址的报文的总数量和具有所述请求域名的报文的总数量中的至少一种。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述检测结果为所述待检测DNS报文属于所述DNS隐蔽信道报文时，将所述注册域名与预存的域名情报库进行匹配；

当所述域名情报库中存在与所述注册域名匹配的域名时，确定所述待检测DNS报文的请求域名为恶意域名。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

确定具有所述注册域名的报文的第一计数值；

当所述检测结果为所述待检测DNS报文属于所述DNS隐蔽信道报文时，确定属于所述DNS隐蔽信道报文并且具有所述注册域名的报文的第二计数值；

计算所述第一计数值与所述第二计数值的比值，以确定具有所述注册域名的报文属于所述DNS隐蔽信道报文的概率。

7.一种报文检测装置，其特征在于，所述装置包括：

请求域名获取模块，用于获取待检测DNS报文对应的请求域名；

注册域名去除模块，用于去除所述请求域名中的注册域名，得到待处理域名；

报文特征提取模块，用于提取所述待检测DNS报文的至少两个报文特征；其中，所述至少两个报文特征包括所述待处理域名的域名特征；所述待处理域名的域名特征包括所述待处理域名的域名字符列表，其中，所述域名字符列表为按照预设的字符与数字的对应关系，将所述待处理域名中的每个字符转换为对应的数字构成的；

检测模块，用于根据所述至少两个报文特征和预先训练的报文检测模型，得到所述待检测DNS报文是否属于DNS隐蔽信道报文的检测结果。

8.根据权利要求7所述的装置，其特征在于，所述报文检测模型包括特征处理网络和模型预测网络，所述检测结果包括所述待检测DNS报文属于所述DNS隐蔽信道报文的第一概率值和所述待检测DNS报文属于非DNS隐蔽信道报文的第二概率值；

所述检测模块用于利用所述特征处理网络对所述至少两个报文特征进行编码，得到报文特征矩阵，并将所述报文特征矩阵输入所述模型预测网络，得到所述第一概率值和所述第二概率值，当所述第一概率值大于所述第二概率值时，确定所述待检测DNS报文属于所述DNS隐蔽信道报文。