[发明专利]一种DNS隧道检测方法、装置及电子设备

权利要求书

1.一种DNS隧道检测方法，其特征在于，包括：

获取待识别的目标DNS流量，从所述目标DNS流量中获取DNS特征，并确定所述目标DNS流量的域名正常度，所述域名正常度能够表示所述目标DNS流量的域名的正常程度；

基于所述目标DNS流量的DNS特征及域名正常度，识别所述目标DNS流量是否为DNS隧道攻击流量；

其中，所述确定所述目标DNS流量的域名正常度包括：

将所述目标DNS流量的域名输入至能够判断域名是否正常的深度学习分类模型，得到所述目标DNS流量的域名正常的置信度，将所述目标DNS流量的域名正常的置信度确定为所述目标DNS流量的域名正常度。

2.根据权利要求1所述的方法，其特征在于，还包括：

获取正常域名，并从预先得到的样本DNS隧道攻击流量中提取出异常域名；

根据所述正常域名和异常域名训练得到能够判断域名是否正常的所述深度学习分类模型。

3.根据权利要求1所述的方法，其特征在于，在所述基于所述目标DNS流量的DNS特征及域名正常度，识别所述目标DNS流量是否为DNS隧道攻击流量之前，还包括：

获取多个样本DNS流量，且所述样本DNS流量分为样本DNS隧道攻击流量和样本DNS正常流量；以及

根据所述样本DNS流量的DNS特征及所述样本DNS流量的域名正常度训练得到能够确定DNS流量是否为DNS隧道攻击流量的识别模型，所述识别模型为机器学习模型；

所述识别所述目标DNS流量是否为DNS隧道攻击流量包括：将所述目标DNS流量的DNS特征及域名正常度输入至所述识别模型，基于所述识别模型的输出结果确定所述目标DNS流量是否为DNS隧道攻击流量。

4.根据权利要求3所述的方法，其特征在于，还包括：

将所述样本DNS流量的域名输入至能够判断域名是否正常的深度学习分类模型，得到所述样本DNS流量的域名正常的置信度，将所述样本DNS流量的域名正常的置信度确定为所述样本DNS流量的域名正常度。

5.根据权利要求1、2或4所述的方法，其特征在于，所述深度学习分类模型包括：词嵌入层、长短期记忆网络层、丢弃层、全连接层以及输出层；

所述词嵌入层用于将输入的域名转换为能够用于神经网络运算的域名向量；

所述长短期记忆网络层用于获取所述域名向量的时序性特征；

所述丢弃层用于将所述长短期记忆网络层输出的所述时序性特征和/或部分权重按预设比例归零；

所述全连接层用于将所述丢弃层归零后输出的所述时序性特征进行综合处理，作为输入项输入至所述输出层；

所述输出层用于对所述全连接层处理后的所述输入项进行二分类判断，并输出所述域名是否正常的置信度。

6.根据权利要求1-4任意一项所述的方法，其特征在于，所述DNS特征包括：会话特征及域名特征；

所述会话特征包括回应次数、权威个数、请求长度、回应长度、回复类型、请求响应时间间隔中的一种或多种，所述域名特征包括域名总长度、域名中特殊字符个数、字母与数字的切换比例、查询与响应域名长度比中的一种或多种；

所述字母与数字的切换比例为DNS流量的域名的字符中出现相邻字符分别是字母和数字的出现次数与DNS流量的域名的总字符数的比例。

7.一种DNS隧道检测装置，其特征在于，包括：获取模块及识别模块；

所述获取模块用于获取待识别的目标DNS流量，从所述目标DNS流量中获取DNS特征，并确定所述目标DNS流量的域名正常度，所述域名正常度能够表示所述目标DNS流量的域名的正常程度；

所述识别模块用于基于所述目标DNS流量的DNS特征及域名正常度，识别所述目标DNS流量是否为DNS隧道攻击流量；

其中，所述获取模块包括：计算单元；

所述计算单元用于将所述目标DNS流量的域名输入至能够判断域名是否正常的深度学习分类模型，得到所述目标DNS流量的域名正常的置信度，将所述目标DNS流量的域名正常的置信度确定为所述目标DNS流量的域名正常度。