[发明专利]一种DNS隧道检测方法、装置及电子设备

说明书

本发明提供了一种DNS隧道检测方法、装置及电子设备，其中，该方法包括：获取待识别的目标DNS流量，从目标DNS流量中获取DNS特征并确定目标DNS流量的域名正常度；基于目标DNS流量的DNS特征及域名正常度，识别目标DNS流量是否为DNS隧道攻击流量。通过本发明实施例提供的DNS隧道检测方法、装置及电子设备，不仅从DNS流量中提取DNS特征作为识别DNS流量是否为DNS隧道攻击流量的判断依据，同时还获取了DNS流量的域名正常度，将该域名正常度也作为识别DNS流量是否为DNS隧道攻击流量的判断依据。该方法结合了DNS流量的DNS特征及域名正常度等多种不同的特征，可以更有效的识别出隐蔽的DNS隧道攻击流量，识别结果准确率更高，对于网络安全具有重大的意义。

技术领域

本发明涉及信息安全技术领域，具体而言，涉及一种DNS隧道检测方法、装置、电子设备及计算机可读存储介质。

背景技术

DNS（Domain Name System，域名系统）是网络中的一项核心服务，是一种分布式网络目录服务，主要用于域名与IP地址的相互转换，因此网络中DNS流量通常不会被防火墙、入侵检测系统、安全软件等一般安全策略阻挡，使得基于DNS协议的隐蔽隧道的构建有了得天独厚的优势，攻击者利用这一特点使用DNS协议隐匿恶意行为，实现木马病毒的入侵、进行数据交互和命令控制。例如，使用DNS隧道进行文件外传、使用域名生成算法(DomainGenerate Algorithm，DGA)进行僵尸网络控制、以及一些新型木马利用DNS隧道作为远程控制的方式。由于现在多种网络攻击都依赖DNS协议来与攻击者进行数据交互和命令控制，如果能发现异常DNS流量,可以有效的打击网络犯罪。

针对这种利用DNS隧道进行攻击的行为，目前主要的检测方式有对DNS隧道进行规则检测。但是随着DNS隧道利用的改进，很多情况DNS隧道并不能被检出，如：利用域名长度，有一些攻击者为了躲避检测，不会使用太长的域名，而有一些正常的传输可能域名会比较长，这就造成了使用域名长度作为检测规则时候的阈值设定问题。

随着机器学习的迅速发展，很多人将目光放在如何使用机器学习对DNS隧道进行检测，但检测DNS隧道的误报率较高，检测结果不是很准确。

发明内容

为解决检测DNS隧道的误报率较高，检测结果不是很准确的技术问题，本发明实施例提供一种DNS隧道检测方法、装置、电子设备及计算机可读存储介质。

第一方面，本发明实施例提供了一种DNS隧道检测方法，包括：获取待识别的目标DNS流量，从所述目标DNS流量中获取DNS特征，并确定所述目标DNS流量的域名正常度，所述域名正常度能够表示所述目标DNS流量的域名的正常程度；基于所述目标DNS流量的DNS特征及域名正常度，识别所述目标DNS流量是否为DNS隧道攻击流量。

可选地，确定所述目标DNS流量的域名正常度包括：将所述目标DNS流量的域名输入至能够判断域名是否正常的深度学习分类模型，得到所述目标DNS流量的域名正常的置信度，将所述目标DNS流量的域名正常的置信度确定为所述目标DNS流量的域名正常度。

可选地，该方法还包括：获取正常域名，并从预先得到的样本DNS隧道攻击流量中提取出异常域名；根据所述正常域名和异常域名训练得到能够判断域名是否正常的所述深度学习分类模型。

可选地，在所述基于所述目标DNS流量的DNS特征及域名正常度，识别所述目标DNS流量是否为DNS隧道攻击流量之前，该方法还包括：获取多个样本DNS流量，且所述样本DNS流量分为样本DNS隧道攻击流量和样本DNS正常流量；以及根据所述样本DNS流量的DNS特征及所述样本DNS流量的域名正常度训练得到能够确定DNS流量是否为DNS隧道攻击流量的识别模型，所述识别模型为机器学习模型。所述识别所述目标DNS流量是否为DNS隧道攻击流量包括：将所述目标DNS流量的DNS特征及域名正常度输入至所述识别模型，基于所述识别模型的输出结果确定所述目标DNS流量是否为DNS隧道攻击流量。