一种DNS隧道内复杂协议行为识别方法技术

本发明专利技术公开了一种DNS隧道内复杂协议行为识别方法，该方法包括：首先识别DNS隧道流量，针对DNS隧道流量，提取DNS数据包中的查询和应答数据并生成长度序列，提取识别DNS隧道内不同协议行为的统计特征并生成特征向量，基于该特征向量识别DNS隧道内部的HTTP协议、邮件协议、SSH协议、FTP协议等常用协议及行为；对于对隧道内部多种协议混合使用的情况，进一步提取估计DNS隧道内部混合协议数据包比例的统计特征并生成特征向量，并基于该特征向量建立回归模型，估计DNS隧道内部混合协议情况下的各协议数据包占比。本发明专利技术用以实现DNS隧道流量的细粒度分析。细粒度分析。细粒度分析。

【技术实现步骤摘要】
一种DNS隧道内复杂协议行为识别方法


[0001]本专利技术涉及网络安全
，特别是一种DNS隧道内复杂协议行为识别方法。

技术介绍

[0002]DNS作为互联网最重要的基础协议之一，它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。
[0003]由于DNS协议在网络中的作用，监管设备通常不会阻断DNS数据包，因此可以利用DNS的查询过程建立隧道，进而传输私有数据。
[0004]由于DNS隧道的查询和相应中的负载数据与正常的DNS数据包存在字符分布的差异，通常可以使用字符规律来检测是否为DNS隧道。
[0005]现有的方法可以检测到DNS隧道的存在，但是没有针对DNS隧道内部的协议及应用行为进行细粒度的分析，尤其是隧道内部可能存在多协议混合的情况，目前完全没有有效的解决方法。

技术实现思路

[0006]本专利技术所要解决的技术问题是克服现有技术的不足而提供一种DNS隧道内复杂协议行为识别方法，用以实现DNS隧道流量的细粒度分析。
[0007]本专利技术为解决上述技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种DNS隧道内复杂协议行为识别方法，其特征在于，包括以下步骤：步骤1、识别DNS隧道；步骤2、提取DNS隧道中DNS隧道包的查询和回答数据，生成DNS隧道包序列；步骤3、根据所述DNS隧道包序列计算识别DNS隧道内部协议的统计特征并生成第一特征向量；步骤4、根据生成的第一特征向量，训练分类器模型，该分类器模型用于识别隧道内部协议行为；步骤5、根据隧道内部协议行为，针对多协议混合情况，进一步根据所述DNS隧道包序列计算估计DNS隧道内部混合协议隧道包比例的统计特征并生成第二特征向量；步骤6、使用主成分分析方法，筛选第二特征向量，使得筛选后的第二特征向量中不存在与DNS隧道内部混合协议隧道包比例无关的统计特征；步骤7、使用筛选后的第二特征向量训练回归模型，该回归模型用于估计隧道内部多协议混合情况下，不同协议的隧道包所占比例。2.根据权利要求1所述的一种DNS隧道内复杂协议行为识别方法，其特征在于，步骤1具体如下：通过DNS数据包的查询和回答内容识别DNS数据包中的DNS隧道包。3.根据权利要求2所述的一种DNS隧道内复杂协议行为识别方法，其特征在于，识别DNS隧道包后，根据源地址、目的地址、源端口、目的端口、协议类型五元组解析出DNS隧道流；将DNS隧道流根据窗口尺寸N进行切分，得到N个DNS隧道包；根据DNS隧道包的Flags字段中的QR字段判断类型，将DNS隧道包分为查询隧道包和应答隧道包；根据查询隧道包和应答隧道包生成DNS隧道包序列，DNS隧道包序列中的每个元素为一个包含DNS隧道包的负载长度、时间间隔、和查询/应答类型的向量；其中，负载长度为DNS隧道包中查询或应答的内容长度。4.根据权利要求3所述的一种DNS隧道内复杂协议行为识别方法，其特征在于，使用+标记查询隧道包，使用
‑
标记应答隧道包。5.根据权利要求1所述的一种DNS隧道内复杂协议行为识别方法，其特征在于，根据DNS隧道包序列中的类型，分别计算识别DNS隧道内部协议的统计特征，包括DNS隧道包序列中的负载长度和时间间隔的均值、方差、偏度、峰度、最小值、四分之一分位数、中位数、四分之三分位数和最大值。6.根据权利要求1所述的一种DNS隧道内复杂协议行为识别方法，其特征在于，分类器模型是SVM、决策树、随机森林或贝叶斯网络。7.根据权利要求1所述的一种DNS隧道内复杂协议行为识别方法，其特征在于，针对DNS隧道内的多协议混合情况，所述计算估计DNS隧道内部混合协议隧道包比例...

【专利技术属性】
技术研发人员：白惠文，刘光杰，翟江涛，刘伟伟，王桢云，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：