【技术实现步骤摘要】
一种低吞吐量DNS隐蔽信道检测方法及装置
[0001]本申请属于攻击检测
,尤其涉及一种低吞吐量DNS隐蔽信道检测方法及装置。
技术介绍
[0002]DNS对于几乎所有应用程序来说都是如此重要的服务,从本地计算机到Internet的任何通信(不包括基于静态IP的通信)都依赖于DNS服务,限制DNS通信可能会导致合法远程服务的断开,因此,企业防火墙通常配置为允许UDP端口53(由DNS使用)上的所有数据包,即DNS流量通常允许通过企业防火墙而无需深度检查或状态维护。从攻击者的角度来看,这使得DNS协议成为数据泄露地隐蔽通信通道。攻击者利用DNS的一种方法是注册域名(例如,fengrou2019.club),以便攻击者在主机受害者中的恶意软件可以将有价值的私人信息(例如信用卡号,登录密码或知识产权)编码为形式为arbitrary
‑
string.fengrou2019.club的DNS请求。此DNS请求由全局域名系统中的解析器转发到fengrou2019.club域的权威服务器(在攻击者的控制下),后者又...
【技术保护点】
【技术特征摘要】
1.一种低吞吐量DNS隐蔽信道检测方法,其特征在于,所述低吞吐量DNS隐蔽信道检测方法,包括:捕获低吞吐量DNS隐蔽信道活动的数据集,提取出数据集中的用于检测的关键特征,将提取出的关键特征转换为机器学习的特征向量;将数据集对应的特征向量输入到构建好的SPP
‑
Net
‑
LSTM检测模型中,训练得到SPP
‑
Net
‑
LSTM检测模型,所述SPP
‑
Net
‑
LSTM检测模型包括改进的SPP
‑
Net网络与代价敏感的LSTM网络,其中所述改进的SPP
‑
Net网络中SPP池化层包括并列的1*1、2*2、3*3和4*4四个池化核,所述SPP池化层的输出直接连接代价敏感的LSTM网络;将训练好的SPP
‑
Net
‑
LSTM检测模型用于实时检测,如检测出异常立即将对应的域设置为不可访问。2.根据权利要求1所述的低吞吐量DNS隐蔽信道检测方法,其特征在于,所述捕获低吞吐量DNS隐蔽信道活动的数据集,还包括:对数据集中正常样本进行欠采样操作,降低正常样本的数量。3.根据权利要求1所述的低吞吐量DNS隐蔽信道检测方法,其特征在于,所述提取出数据集中的用于检测的关键特征,包括域名、资源记录、TTL值、特定域名的主机名个数、相同TLD下两个请求的时间差、NXDOMAIN记录、最近添加的A记录与NS记录中的一种或多种。4.根据权利要求3所述的低吞吐量DNS隐蔽信道检测方法,其特征在于,所述将提取出的关键特征转换为机器学习的特征向量,对于资源记录,如果出现不常使用的记录,则标记为0,否则标记为1。5.根据权利要求3所述的低吞吐量DNS隐蔽信道检测方法,其特征...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。