[发明专利]一种DNS隧道流量检测方法及装置

说明书

本申请提供一种DNS隧道流量检测方法及装置，涉及网络安全技术领域。该DNS隧道流量检测方法包括：先对获取到的待检测流量进行特征提取处理，得到特征数据；然后根据特征数据计算待检测流量的信息度量值；判断信息度量值是否大于预先计算的信息度量阈值；如果大于，则确定该待检测流量为DNS隧道流量，进而实现对待检测流量进行快速检测，且不需要对待检测流量进行解析或者解密的处理，节省了计算时间，进而有利于提升检测效率。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种DNS隧道流量检测方法及装置。

背景技术

目前大多企业网络环境中，DNS协议是必不可少的网络通信协议之一，网络设备和边界防护设备在一般情况下很少对DNS进行过滤、分析或屏蔽，因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。在实际场景中，当攻击者拿下用户设备权限，或者用户设备被恶意软件、蠕虫或木马等感染之后，可以通过建立DNS隧道从而达到盗窃敏感信息、传输文件、回传控制指令等目的。因此，针对DNS隧道检测的研究受到越来越多网络安全企业和学者的关注。

目前，针对DNS隧道流量检测方法通常采用分类算法，此类方法需要在DNS服务器收集指定时间内的DNS流量，然后进行特征提取和模型训练，最后通过训练好的模型来检测DNS隧道流量。实践中发现，此类方法需要对DNS协议进行解析，获取特征字段，导致DNS隧道流量检测时间较长；另一方面，现有的DNS隧道流量检测方法无法对加密流量进行解析，因而无法检测加密流量。可见，现有的DNS隧道流量检测方法检测时间长，且无法检测加密流量。

发明内容

本申请实施例的目的在于提供一种DNS隧道流量检测方法及装置，能够对待检测流量进行快速检测，且不需要对待检测流量进行解析或者解密，节省了计算时间，进而有利于提升检测效率。

本申请实施例第一方面提供了一种DNS隧道流量检测方法，包括：

对获取到的待检测流量进行特征提取处理，得到特征数据；

根据所述特征数据计算所述待检测流量的信息度量值；

判断所述信息度量值是否大于预先计算的信息度量阈值；

如果不大于，则确定所述待检测流量为DNS隧道流量。

在上述实现过程中，先对获取到的待检测流量进行特征提取处理，得到特征数据；然后根据特征数据计算待检测流量的信息度量值；判断信息度量值是否大于预先计算的信息度量阈值；如果大于，则确定该待检测流量为DNS隧道流量，进而实现对待检测流量进行快速检测，且不需要对待检测流量进行解析或者解密的处理，节省了计算时间，进而有利于提升检测效率。

进一步地，所述对获取到的待检测流量进行特征提取处理，得到特征数据，包括：

对所述待检测流量进行数据分组，得到至少一组分组流量数据；

按照预设的特征数据计算规则计算每组所述分组流量数据的特征向量；

汇总所有特征向量得到所述待检测流量的特征数据。

在上述实现过程中，在计算待检测流量的特征数据时，特征向量是根据预设的特征数据计算规则进行计算得到的，无需对DNS协议进行解析，从而节省了计算时间。

进一步地，所述根据所述特征数据计算所述待检测流量的信息度量值，包括：

根据所述特征数据计算所述待检测流量的主成分分析值；

根据所述主成分分析值计算所述待检测流量的互信息值，所述互信息值为所述待检测流量的信息度量值。

在上述实现过程中，互信息值能够反映出数据之间的连续性，通过计算互信息值，计算量小，且能够准确表示待检测流量中数据的连续性大小，进而提升DNS隧道流量检测的准确性。