[发明专利]一种DoH服务标识方法及装置

说明书

本发明提供一种DoH服务标识方法及装置，包括提取被动流量及服务端口信息，构建IP解析域名的反向解析系统；提取被动流量的数据流特征，并将数据流特征输入一DoH流量分类器；获取DoH流量的服务端IP，并结合反向解析系统，得到一或多个DoH服务端域名；结合常用DoH服务端路径，对每一DoH服务端域名构造一或多个DoH请求；将各DoH请求发生至相应的DoH服务端域名，对正确响应的DoH服务端域名进行标识。本发明解决DoH流量与普通HTTPs流量混淆无法区分的问题，克服了常规方法中训练集负样本缺失问题，保证DoH服务端标识的正确性，具有有较高的解析覆盖率，可随着系统部署周期的增加而不断提升识别正确率。

技术领域

本发明涉及计算机领域，尤其涉及一种DoH服务标识方法及装置。

背景技术

域名系统(服务)协议(Domain Name System，简称DNS)是一种分布式网络目录服务，主要用于域名与IP地址的相互映射。但是，DNS协议在设计之初没有考虑隐私安全问题，采用明文传输。这导致客户端与服务器链路间的中间人可以看到、记录甚至修改用户的DNS往返数据包，对用户隐私安全造成较大威胁。

国际互联网工程任务组(The Internet Engineering Task Force，简称IETF)是全球互联网最具权威的技术标准化组织。2018年10月，IETF发布DoH(DNS-over-HTTPs)协议规范文档RFC8484。DoH是一个安全化的域名解析方案，其意义在于以加密的HTTPs协议进行DNS解析请求和应答，避免原始DNS协议中DNS往返报文被窃听或者修改的问题，来达到保护用户隐私的目的。

DoH与HTTPs共享端口443，该端口将DoH查询与其他HTTPs流量混合在一起，并采用了加密技术，因此给DoH流量识别和DoH服务端标识工作带来了困难。

发明内容

为解决上述问题，本发明提供一种DoH服务标识方法及装置，从加密流量中发现并标识DoH服务器，测绘DoH服务部署情况，为用户提供DoH服务端选择。

为达到上述目的，本发明采用如下技术方案：

一种DoH服务标识方法，其步骤包括：

1)从待检测加密流量中提取被动流量及服务端口信息，收集被动流量中DNS数据包，并依据所述DNS数据包，构建一个IP解析域名的反向解析系统，其中被动流量包括：DNS被动流量和SSL/TLS被动流量；

2)提取SSL/TLS被动流量的数据流特征，并将数据流特征输入一DoH流量分类器，得到DoH流量；

3)获取DoH流量的服务端IP，并结合IP解析域名的反向解析系统，得到一或多个DoH服务端域名；

4)获取常用DoH服务端路径，并根据DoH服务端域名、服务端口信息及常用DoH服务端路径，对每一DoH服务端域名构造一或多个DoH请求；

5)将各DoH请求发送至相应的DoH服务端域名，对正确响应的DoH服务端域名进行标识；其中，通过以下步骤训练DoH流量分类器

a)获取包括若干DoH流量数据的流量数据集，并根据DoH流量的数据信息重构数据流，得到若干样本流量；

b)提取各样本流量的样本数据流特征，并对样本数据流特征进行单分类机器学习训练，得到DoH流量分类器。

进一步地，通过以下策略获取IP解析域名的反向解析系统：

1)通过DNS数据包中的相关字段，提取的请求域名与响应地址，并依据请求域名与响应地址，获取相应的服务端IP与服务端域名，构建IP解析域名的反向解析系统，其中所述相关字段包括：A字段或/和AAAA字段；

2)对于每个待反向映射的IP，在第三方库中查询对应的服务端域名，其中第三方库包括：IPIP或站长之家。