[发明专利]报文检测方法、装置、网络设备和计算机可读存储介质

说明书

本发明实施例提出一种报文检测方法、装置、网络设备和计算机可读存储介质，涉及网络安全领域。通过获取待检测DNS报文对应的请求域名，并去除请求域名中的注册域名，得到待处理域名，通过提取待检测DNS报文的至少两个报文特征，其中，该至少两个报文特征包括待处理域名的域名特征，根据该至少两个报文特征和预先训练的报文检测模型，可得到该待检测DNS报文是否属于DNS隐蔽信道报文的检测结果。可见，本发明实施例通过去除请求域名中的注册域名排除了注册域名对检测结果的干扰，并将待检测DNS报文的至少两个报文特征作为检测指标，来检测待检测DNS报文是否属于DNS隐蔽信道报文，故可以有效提高检测精度，减少误报率。

技术领域

本发明涉及网络安全领域，具体而言，涉及一种报文检测方法、装置、网络设备和计算机可读存储介质。

背景技术

隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信通道。隐蔽信道在公开信道的掩盖下，采用特殊的编码方式，传输非法或私密的信息而不被人发现，其广泛存在于操作系统、网络系统和应用系统中。

DNS(Domain Name System，域名系统)隐蔽信道是一种基于DNS协议的隐蔽信道，由于DNS协议是互联网上最为关键的基础协议，也是互联网上大部分服务和应用正常运转和实施的基础，故大部分网络防火墙和IDS(Intrusion Detection Systems，入侵检测系统)等网络安全设备对DNS报文都是采取放行方式，使得恶意攻击者可基于DNS协议搭建隐蔽信道并执行非法操作，从而对网络信息系统的安全构成了严重威胁。

因此，如何检测是否存在DNS隐蔽信道传输DNS报文，也即如何检测DNS报文是否属于DNS隐蔽信道报文，成为本领域技术人员亟待解决的问题。

发明内容

有鉴于此，本发明的目的在于提供一种报文检测方法、装置、网络设备和计算机可读存储介质，其能够实现待检测DNS报文是否属于DNS隐蔽信道报文的准确检测。

为了实现上述目的，本发明实施例采用的技术方案如下：

第一方面，本发明实施例提供一种报文检测方法，所述方法包括：

获取待检测DNS报文对应的请求域名；

去除所述请求域名中的注册域名，得到待处理域名；

提取所述待检测DNS报文的至少两个报文特征；其中，所述至少两个报文特征包括所述待处理域名的域名特征；

根据所述至少两个报文特征和预先训练的报文检测模型，得到所述待检测DNS报文是否属于DNS隐蔽信道报文的检测结果。

第二方面，本发明实施例提供一种报文检测装置，所述装置包括：

请求域名获取模块，用于获取待检测DNS报文对应的请求域名；

注册域名去除模块，用于去除所述请求域名中的注册域名，得到待处理域名；

报文特征提取模块，用于提取所述待检测DNS报文的至少两个报文特征；其中，所述至少两个报文特征包括所述待处理域名的域名特征；

检测模块，用于根据所述至少两个报文特征和预先训练的报文检测模型，得到所述待检测DNS报文是否属于DNS隐蔽信道报文的检测结果。

第三方面，本发明实施例提供一种网络设备，包括存储有计算机程序的存储器和处理器，所述计算机程序被所述处理器读取并运行时，实现如前述实施方式中任一项所述的方法。

第四方面，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器读取并运行时，实现如前述实施方式中任一项所述的方法。