[发明专利]基于通信行为分析的DNS隧道木马检测方法

摘要

本发明公开一种基于通信行为分析的DNS隧道木马检测方法，主要包含数据包采集整合模块、DNS会话重组模块、随机森林分类训练学习模块和DNS隧道木马流量检测模块四大部分。从DNS会话的视角剖析了DNS隧道木马的通信模式，提取了七大区别于正常的DNS会话特征的属性，利用改进随机森林算法构建分类训练器，最终建立了DNS隧道木马检测模型。实验测试表明本文提出的基于通信行为分析的DNS隧道木马检测技术不仅能有效的侦测出高隐蔽性DNS隧道木马，误报率小和漏报率低，而且对于未知的DNS隧道木马同样有很好的检测效果。

主权项

一种基于通信行为分析的DNS隧道木马检测方法，其特征是：包括数据包采集整合模块、DNS会话重组模块、随机森林分类训练模块和DNS隧道木马流量监测模块；数据包采集整合模块：(1)网络数据包采集和数据包过滤：首先从网络出入口采集数据包，采用WinPcap捕获技术的底层过滤机制抓取DNS流量；捕获到DNS数据包后，根据需求可对抓取的DNS报文校验，目的是为了保证抓取的数据包符合DNS协议规范，防止DNS出错报文等情况的出现影响检测精度；(2)DNS数据包队列：经检查后满足DNS协议规范的DNS报文缓存下来，抽取用于检测的关键信息后，存入DNS数据报文队列；DNS会话重组模块：(1)DNS会话重组：将抓取的DNS流量按照五元组进行聚类，将DNS报文组件成DNS会话；对所述DNS报文按照五元组进行聚类是采用哈希算法处理方法：首先在内存中创建五元组哈希表，如果DNS报文属于当前哈希表中的某个DNS会话中，则将该报文链接在该五元组哈希会话链表后；如果该DNS报文的五元组哈希值不在这哈希会话链表中，则创建一个新的哈希会话，加入到该链表中；(2)将DNS会话数据流提取成DNS会话评估向量表示；DNS评估向量为<会话时长，DNS数据包总数，“上行大包”占DNS请求包总数的比例，“下行小包”占DNS响应报总数的比例，有效载荷的上传下载比，域名的对应的主机名数量>；随机森林分类训练模块：(1)基于随机森林的分析学习方法：训练集中的样本个数为n，然后利用Bootstrap法又放回采样，随机生成{X1,X2,......,Xk}个子训练集，每个子训练集的样本个数也是n个，1≤k≤n，k和n为整数，子训练集中的样本是可重复的；每个训练样本集Xi是对应分类树Ti的全部训练数据；在树的每个节点处，从7个特征中随机挑选3个特征，按照信息增益算法从这3个特征中选出一个信息增益最大的特征进行分裂生长；这棵树进行充分的生长，最终生长成一棵完整的决策树；所述7大特征为：DNS会话时长、DNS数据包总数、“上行大包”占DNS请求包总数的比例、“下行小包”占DNS响应报总数的比例、有效载荷的上传下载比、域名的对应的主机名数量和主动探测DNS会话中出现的域名；(2)生产随机森林：随机森林是所有决策树的集合，每棵决策树Ti都会对输入变量x输出一个决策结果E(Ti)，如果判定是DNS隧道木马流量，E(Ti)＝1；否则，E(Ti)＝0。统计所有k棵决策树的投票结果：i为整数，DNS随动木马流量监测模块：对于输入的DNS会话变量x，给出最终的DNS隧道木马判定公式：Y=1ifH(x)k>0.5-1otherwise]]>即若Y＝1，则判定DNS会话属于DNS隧道木马恶意流量；否则为正常流量。