A detection method and device for DNS tunnel transmission based on eigenvector is proposed. The machine learning detection model is obtained by training the normal DNS request data and abnormal DNS tunnel transmission data. The eigenvector of the DNS request data is obtained by extracting the features from the captured DNS request data. The eigenvector of the DNS request data is input into machine science after normalized pretreatment of the eigenvector. The learning detection model is used to detect the results of DNS tunnel transmission. Compared with traditional detection methods, this method improves the detection accuracy and efficiency of DNS tunnel.
【技术实现步骤摘要】
DNS隧道传输检测方法和装置
本专利技术涉及网络安全
,特别涉及一种DNS隧道传输检测方法和装置。
技术介绍
随着全球信息一体化的迅猛发展,互联网规模不断扩大,信息量呈几何级数增长。网络威胁层出不穷,安全态势严峻,需要从海量网络数据中挖掘分析异常行为。由于网络异常行为行踪隐蔽,常隐藏于正常的网络流量中,难于检测和分析,而且其形式变化多样,种类逐渐增多,内部结构复杂,需要基于大数据和机器学习分析进行建模和分析。网络隐蔽信道是指允许违反系统安全策略的方式传送信息的通信信道,是一种通过网络泄露隐蔽信息的技术,由于其本身具有隐蔽性,一般很难被检测到。利用网络隐蔽信道进行的扩散攻击和信息泄露技术,对计算机网络的安全构成了巨大的威胁,网络隐蔽信道技术与加密技术不同,加密只是对传输的数据进行加密,而网络隐蔽信道是要掩盖隐蔽通信信道的存在。恶意的网络隐蔽信道会给网络、系统安全带来巨大的挑战,网络中的不法分子会通过构建隐蔽信道泄露隐蔽信息。DNStunnel即DNS隧道,就是利用DNS查询过程建立起隐蔽信道,实现数据传输的技术。DNS协议在查询的时候,如果查询的域名在DNS服务器本机的缓存cache中没有查询到,它就会去互联网上查询,最终返回结果。如果在互联网上有台定制的DNS服务器,只要依靠DNS的协议约定,就可以交换数据包。从DNS协议上看,只是在一次次的查询某个特定域名,并得到解析结果,但实际上是在和外部通讯。此时,虽然客户端并没有直接连到局域网外的机器,网关不会转发IP包出去,但是局域网上的DNS服务器帮忙做了中转,这就是DNS隧道的基本原理。目前基于DNS隧 ...
【技术保护点】
1.一种基于特征向量的DNS隧道传输检测方法,其特征在于包括以下步骤:步骤一,捕获客户端发送给DNS服务器的DNS请求数据;步骤二,对捕获的DNS请求数据进行特征提取,提取DNS请求数据中请求域名包含的数字个数、DNS请求数据的请求类型、请求域名的长度,并且记录一次DNS会话连接中的上行数据包的数量、上行数据包大小的方差和上行数据包的发送间隔时间,从而获得DNS请求数据的特征向量;该DNS请求数据的特征向量表示如下:V={q_number,q_type,q_length,package_size,package_interval,up_package_var}其中,V表示DNS请求数据的特征向量,q_number表示请求域名q中包含的数字个数,q_type表示DNS请求数据的请求类型,q_length表示请求域名的长度,package_size表示一次DNS会话连接中的上行数据包的数量,up_package_var表示一次DNS会话连接中的上行数据包大小的方差,package_interval表示一次DNS会话连接中的上行数据包的发送间隔时间;步骤三,对获得的DNS请求数据的特征向量进 ...
【技术特征摘要】
1.一种基于特征向量的DNS隧道传输检测方法,其特征在于包括以下步骤:步骤一,捕获客户端发送给DNS服务器的DNS请求数据;步骤二,对捕获的DNS请求数据进行特征提取,提取DNS请求数据中请求域名包含的数字个数、DNS请求数据的请求类型、请求域名的长度,并且记录一次DNS会话连接中的上行数据包的数量、上行数据包大小的方差和上行数据包的发送间隔时间,从而获得DNS请求数据的特征向量;该DNS请求数据的特征向量表示如下:V={q_number,q_type,q_length,package_size,package_interval,up_package_var}其中,V表示DNS请求数据的特征向量,q_number表示请求域名q中包含的数字个数,q_type表示DNS请求数据的请求类型,q_length表示请求域名的长度,package_size表示一次DNS会话连接中的上行数据包的数量,up_package_var表示一次DNS会话连接中的上行数据包大小的方差,package_interval表示一次DNS会话连接中的上行数据包的发送间隔时间;步骤三,对获得的DNS请求数据的特征向量进行归一化预处理;步骤四,将经过归一化预处理后的特征向量输入机器学习检测模型进行检测,从而获得DNS隧道传输的检测结果,所述机器学习检测模型由正常DNS访问数据和DNS隧道传输数据组成的训练数据训练得到;步骤五,将获得的DNS隧道传输的检测结果进行聚合,以用于更新机器学习检测模型的训练数据,从而对机器学习检测模型进行训练学习。2.根据权利要求1所述的DNS隧道传输检测方法,其特征在于:所述对获得的DNS请求数据的特征向量进行归一化预处理包括将离散变量映射到(0,1)区间中的固定值。3.根据权利要求1所述的DNS隧道传输检测方法,其特征在于:所述机器学习检测模型包括支持向量机SVM分类器模型。4.一种基于特征向...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。