本发明专利技术公开了一种DNS隐蔽信道检测方法、装置、设备及存储介质,属于网络安全技术领域。本发明专利技术通过在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;从所述目标DNS分组中提取出滑动窗口特征和DNS流量特征;根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像;对所述信道特征图像进行图像识别,获得DNS隐蔽信道检测结果,通过滑动窗口的方式能够检测出大流量DNS隐蔽信道和低流量DNS隐蔽信道,同时基于图像识别,提高了隐蔽信道识别的效率与准确性。信道识别的效率与准确性。信道识别的效率与准确性。
【技术实现步骤摘要】
DNS隐蔽信道检测方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种DNS隐蔽信道检测方法、 装置、设备及存储介质。
技术介绍
[0002]企业网络经常面临网络攻击者窃取有价值和敏感数据的威胁。复杂的攻 击者越来越多地利用DNS通道来泄露数据,以及维护恶意软件的隧道C&C (命令和控制)通信。这是因为DNS对于几乎所有应用程序来说都是如此重 要的服务,从本地计算机到Internet的任何通信(不包括基于静态IP的通信) 都依赖于DNS服务,限制DNS通信可能会导致合法远程服务的断开,因此, 企业防火墙通常配置为允许UDP端口53(由DNS使用)上的所有数据包, 即DNS流量通常允许通过企业防火墙而无需深度检查或状态维护。从攻击者 的角度来看,这使得DNS协议成为数据泄露地隐蔽通信通道。针对DNS隐 蔽信道业界也提出了很多DNS隐蔽信道识别方法,发现利用DNS协议的数 据窃取及通信行为。
[0003]现有技术一:专利CN110855632 A提出了一种报文检测方法,通过获取 待检测DNS报文对应的请求域名,并去除请求域名中的注册域名,得到待处 理域名,通过提取待检测DNS报文的至少两个报文特征,其中,该至少两个 报文特征包括待处理域名的域名特征,根据该至少两个报文特征和预先训练 的报文检测模型,可得到该待检测DNS报文是否属于DNS隐蔽信道报文的 检测结果。
[0004]现有技术二:专利CN109309673 A提供一种基于神经网络的DNS隐蔽信 道检测方法,将深度学习应用在DNS隐蔽信道检测的
,提高了现有 的DNS隐蔽信道检测方法的准确率、降低了现有的DNS隐蔽信道检测方法 的误报率,将数值特征和字符特征结合使用,降低了模型训练时间,提高准 确率,将可疑域名用whois查询,根据规则自动判断域名是否合法,将与神经 网络预测结果不符的域名重新训练神经网络,形成循环,持续改善神经网络。
[0005]现有技术三:专利CN102624706 A提出了一种DNS隐蔽信道的检测方 法,包括超长域名筛选步骤、DNS查询请求解析步骤、统计计数步骤和数据 处理步骤,其中超长域名筛选步骤筛选出查询域名超长的DNS查询请求消 息,DNS查询请求解析步骤解析并提取出域名超长的DNS查询请求消息的 发送客户端IP和查询域名中的纯域名并对其计数统计,计数结果超过告警阈 值的记录认为是存在隐蔽信道,读取完统计表中的记录后。
[0006]上述三种现有技术方案均是针对大带宽DNS隐蔽信道,没有充分考虑到 低带宽DNS隐蔽信道,并且针对大带宽实时隐蔽信道的检测效率与准确性均 较低。
[0007]上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是 现有技术。
技术实现思路
[0008]本专利技术的主要目的在于提供一种DNS隐蔽信道检测方法、装置、设备及 存储介质,
旨在解决现有技术检测效率与准确性均较低,并且没有考虑到低 带宽DNS隐蔽信道的技术问题。
[0009]为实现上述目的,本专利技术提供了一种DNS隐蔽信道检测方法,所述DNS 隐蔽信道检测方法包括以下步骤:
[0010]在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽信道检测请求 对DNS日志中的流量数据进行分组,获得目标DNS分组;
[0011]从所述目标DNS分组中提取出滑动窗口特征和DNS流量特征;
[0012]根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像;
[0013]对所述信道特征图像进行图像识别,获得DNS隐蔽信道检测结果。
[0014]可选地,所述根据所述DNS隐蔽信道检测请求对DNS日志中的流量数 据进行分组,获得目标DNS分组,包括:
[0015]根据所述DNS隐蔽信道检测请求对DNS日志中的原始流量数据进行预 处理,获得目标流量数据;
[0016]通过预设滑动窗口基于主域名对所述目标流量数据进行分组,获得目标 DNS分组。
[0017]可选地,所述根据所述滑动窗口特征和所述DNS流量特征构建信道特征 图像,包括:
[0018]根据所述滑动窗口特征和所述DNS流量特征确定目标灰度特征;
[0019]将所述目标灰度特征转化为目标特征矩阵;
[0020]根据所述目标特征矩阵构建信道特征图像。
[0021]可选地,所述根据所述滑动窗口特征和所述DNS流量特征确定目标灰度 特征,包括:
[0022]对所述滑动窗口特征进行灰度转化,获得滑动窗口灰度特征;
[0023]对所述DNS流量特征进行灰度转化,获得DNS流量灰度特征;
[0024]将所述滑动窗口灰度特征和所述DNS流量灰度特征作为目标灰度特征。
[0025]可选地,所述对所述滑动窗口特征进行灰度转化,获得滑动窗口灰度特 征,包括:
[0026]从所述滑动窗口特征中提取出滑动窗口尺寸和采集频率;
[0027]按照预设灰度值对所述滑动窗口尺寸和所述采集频率进行调整;
[0028]将调整后的滑动窗口尺寸和调整后的采集频率作为滑动窗口灰度特征。
[0029]可选地,所述对所述DNS流量特征进行灰度转化,获得DNS流量灰度 特征,包括:
[0030]从所述DNS流量特征中提取出解析行为特征和域名特征;
[0031]按照预设灰度值对所述解析行为特征对应的特征取值范围进行调整,以 及按照预设灰度值对所述域名特征对应的域名长度、域名有效期以及语义特 征取值范围进行调整,获得调整后的解析行为特征和调整后的域名特征;
[0032]将所述调整后的解析行为特征和所述调整后的域名特征作为DNS流量灰 度特征。
[0033]可选地,所述对所述信道特征图像进行图像识别,获得DNS隐蔽信道检 测结果,包括:
[0034]将所述隐蔽信道特征图像输入至预设神经网络模型;
[0035]通过所述预设神经网络模型对应的目标检测器提取所述隐蔽信道特征图 像对应
的目标图像特征;
[0036]根据所述目标图像特征得到DNS隐蔽信道检测结果。
[0037]此外,为实现上述目的,本专利技术还提出一种DNS隐蔽信道检测装置,所 述DNS隐蔽信道检测装置包括:
[0038]分组模块,用于在接收到DNS隐蔽信道检测请求时,根据所述DNS隐 蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;
[0039]提取模块,用于从所述目标DNS分组中提取出滑动窗口特征和DNS流 量特征;
[0040]构建模块,用于根据所述滑动窗口特征和所述DNS流量特征构建信道特 征图像;
[0041]识别模块,用于对所述信道特征图像进行图像识别,获得DNS隐蔽信道 检测结果。
[0042]此外,为实现上述目的,本专利技术还提出一种DNS隐蔽信道检测设备,所 述DNS隐蔽信道检测设备包括:存储器、处理器及存储在所述存储器上并本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种DNS隐蔽信道检测方法,其特征在于,所述DNS隐蔽信道检测方法包括:在接收到DNS隐蔽信道检测请求时,根据所述DNS隐蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组;从所述目标DNS分组中提取出滑动窗口特征和DNS流量特征;根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像;对所述信道特征图像进行图像识别,获得DNS隐蔽信道检测结果。2.如权利要求1所述的DNS隐蔽信道检测方法,其特征在于,所述根据所述DNS隐蔽信道检测请求对DNS日志中的流量数据进行分组,获得目标DNS分组,包括:根据所述DNS隐蔽信道检测请求对DNS日志中的原始流量数据进行预处理,获得目标流量数据;通过预设滑动窗口基于主域名对所述目标流量数据进行分组,获得目标DNS分组。3.如权利要求1所述的DNS隐蔽信道检测方法,其特征在于,所述根据所述滑动窗口特征和所述DNS流量特征构建信道特征图像,包括:根据所述滑动窗口特征和所述DNS流量特征确定目标灰度特征;将所述目标灰度特征转化为目标特征矩阵;根据所述目标特征矩阵构建信道特征图像。4.如权利要求3所述的DNS隐蔽信道检测方法,其特征在于,所述根据所述滑动窗口特征和所述DNS流量特征确定目标灰度特征,包括:对所述滑动窗口特征进行灰度转化,获得滑动窗口灰度特征;对所述DNS流量特征进行灰度转化,获得DNS流量灰度特征;将所述滑动窗口灰度特征和所述DNS流量灰度特征作为目标灰度特征。5.如权利要求4所述的DNS隐蔽信道检测方法,其特征在于,所述对所述滑动窗口特征进行灰度转化,获得滑动窗口灰度特征,包括:从所述滑动窗口特征中提取出滑动窗口尺寸和采集频率;按照预设灰度值对所述滑动窗口尺寸和所述采集频率进行调整;将调整后的滑动窗口尺寸和调整后的采集频率作为滑动窗口灰度特征。6.如权利要求4所述的DNS隐蔽信道检测方法,其...
【专利技术属性】
技术研发人员:袁勇,鲁银冰,王悦,陈东,钱湖海,王伟杰,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。