[发明专利]一种多特征融合的DNS隐蔽隧道检测方法

说明书

一种多特征融合的DNS隐蔽隧道检测方法涉及信息技术领域，本发明步骤包括：1）由黑样本收集器通过自建DNS隐蔽隧道获取DNS隐蔽隧道流量包；2）由黑样本标准化模块对DNS隐蔽隧道流量包数据进行预处理，并提取DNS隐蔽隧道流量包数据特征；3）由白样本标准化模块获取正常的DNS请求样本；4）构建神经网络模型模块；5）使用白样本构建快速预筛选模块；本发明的快速预筛选模块可以对正常请求域名和隧道请求域名进行简单区分，高效快速排除在实际工作中占有绝大多数的正常请求域名，在深度学习检测方面，本发明将一般性规则特征和深度域名文本特征结合用于DNS隐蔽隧道检测，提高检测准确度，降低了检测难度。

技术领域

本发明涉及信息技术领域。

背景技术

随着互联网的不断发展，DNS已成为一个必不可少的服务，所以一般防火墙不会检测过滤DNS流量。这就给了不法分子可乘之机，他们将DNS当作一种隐蔽信道，以利用其实现远程控制，文件传输等操作，对网络安全造成了极大的威胁。检测识别是否存在DNS隐蔽隧道可以有效减少用户损失，保障网络环境健康、安全。

目前已有相关专利对DNS隐蔽隧道进行检测，例如专利【CN111786993A】手动设计提取了DNS请求相关特征，例如请求记录类型、域名单个标签长度、各种字符比例等，然后设定多种阈值判定是否存在DNS隧道。该方法设计了丰富的特征，不过完全靠设定规则进行判断，人工干扰过多，易造成误判。专利【CN110149418A】使用深度学习方法进行检测，深度神经网络往往能学习到人工无法设计的隐藏特征，检测效果要好，但是该方法没有使用请求记录类型等特征，这些特征也与检测结果息息相关。其次也没有考虑深度学习模型计算复杂度高的问题，最后也没使用数据增强来扩增训练数据，域名数据增强可以缓解人工标注数据比较耗费成本的问题。

本发明本方法通过提取每一次请求的域名和相关请求信息，然后利用融合特征作为输入，深度学习模型作为检测模型来判断DNS流量是否存在隐蔽隧道。

用到的公知技术

N-Gram是一种基于统计语言模型的算法。它的基本思想是将文本里面的内容按照字节进行大小为N的滑动窗口操作，形成了长度是N的字节片段序列。每一个字节片段称为gram，对所有gram的出现频度进行统计，并且按照事先设定好的阈值进行过滤，形成关键gram列表，也就是这个文本的向量特征空间，列表中的每一种gram就是一个特征向量维度。该模型基于这样一种假设，第N个词的出现只与前面N-1个词相关，而与其它任何词都不相关，整句的概率就是各个词出现概率的乘积。这些概率可以通过直接从语料中统计N个词同时出现的次数得到。常用的是二元的Bi-Gram和三元的Tri-Gram。

DNS隧道，是隐蔽信道的一种，本文称为DNS隐蔽隧道，通过将其他协议封装在DNS协议中传输建立通信。因为在我们的网络世界中DNS是一个必不可少的服务，所以大部分防火墙和入侵检测设备很少会过滤DNS流量，这就给DNS作为一种隐蔽信道提供了条件，从而可以利用它实现诸如远程控制，文件传输等操作，现在越来越多的研究证明DNS隐蔽隧道也经常在僵尸网络和APT攻击中扮演着重要的角色。

DNS隐蔽隧道从提出到现在已经有了很多的实现工具，历史比较早的有NSTX，Ozymandns，目前比较活跃的有iodine，dnscat2，其他的还有DeNise，dns2tcp，Heyoka。不同工具的核心原理相似，但在编码，实现细节和目标应用场景方面存在一定的差异性。DNS隐蔽隧道的实现工具包括：NSTX，Ozymandns，iodine，dnscat2，DeNise，dns2tcp和Heyoka。

PCAP是一个数据包抓取库， 很多软件都是用它来作为数据包抓取工具的。WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流，而是对其进行从新组装，形成一种新的数据格式。