[发明专利]一种DoH服务标识方法及装置

权利要求书

1.一种DoH服务标识方法，其步骤包括：

1)从待检测加密流量中提取被动流量及服务端口信息，收集被动流量中DNS数据包，并依据所述DNS数据包，构建一个IP解析域名的反向解析系统，其中被动流量包括：DNS被动流量和SSL/TLS被动流量；

2)提取SSL/TLS被动流量的数据流特征，并将数据流特征输入一DoH流量分类器，得到DoH流量，其中数据流特征包括：报文载荷大小序列、数据流报文方向序列、总报文数和总报文载荷大小；

3)获取DoH流量的服务端IP，并结合IP解析域名的反向解析系统，得到一或多个DoH服务端域名；

4)获取常用DoH服务端路径，并根据DoH服务端域名、服务端口信息及常用DoH服务端路径，对每一DoH服务端域名构造一或多个DoH请求；

5)将各DoH请求发送至相应的DoH服务端域名，对正确响应的DoH服务端域名进行标识；

其中，通过以下步骤训练DoH流量分类器

a)获取包括若干DoH流量数据的流量数据集，并根据DoH流量的数据信息重构数据流，得到若干样本流量；

b)提取各样本流量的样本数据流特征，并对样本数据流特征进行单分类机器学习训练，得到DoH流量分类器。

2.如权利要求1所述的方法，其特征在于，通过以下策略获取IP解析域名的反向解析系统：

1)通过DNS数据包中的相关字段，提取的请求域名与响应地址，并依据请求域名与响应地址，获取相应的服务端IP与服务端域名，构建IP解析域名的反向解析系统，其中所述相关字段包括：A字段或/和AAAA字段；

2)对于每个待反向映射的IP，在第三方库中查询对应的服务端域名，其中第三方库包括：IPIP或站长之家。

3.如权利要求1所述的方法，其特征在于，通过以下步骤得到数据流特征：

1)提取SSL/TLS被动流量的数据信息，所述数据信息包括：数据包的协议、源IP、源端口、目的IP、目的端口和偏移字段；

2)依据数据信息将SSL/TLS被动流量切分为数据流；

3)提取数据流的特征。

4.如权利要求1所述的方法，其特征在于，获取服务端IP的方法包括：基于端口判断、基于握手包判断或基于单向累计报文数判断。

5.如权利要求1所述的方法，其特征在于，通过以下步骤获取常用DoH服务端路径：

1)获取公开的DoH服务器，得到DoH服务器列表；

2)利用DoH服务器列表中的服务器，构建已知DoH服务标识资源库，其中所述已知DoH服务标识资源库中的信息包括样本服务端IP、样本服务端域名、样本服务端口信息和样本服务端路径；

3)将DoH服务器列表中任意一服务器使用过的DoH服务端路径，视为常用DoH服务端路径。

6.如权利要求1所述的方法，其特征在于，所述单分类机器学习的算法包括：自编码器算法、单分类支持向量机算法或单分类对抗神经网络算法。

7.如权利要求1所述的方法，其特征在于，对正确响应的DoH服务端域名进行标识的标识信息包括：DoH服务端IP、DoH服务端域名、DoH服务端口信息和DoH服务端路径。

8.如权利要求7所述的方法，其特征在于，对于正确响应的DoH服务端域名，将相应DoH请求的DoH服务端IP、DoH服务端域名、DoH服务端口信息及DoH服务端路径写入已知DoH服务标识资源库。

9.一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行如权利要求1-8中任一所述方法。