【技术实现步骤摘要】
基于字节分析的DNS隧道识别方法及装置
[0001]本公开涉及计算机信息处理领域,具体而言,涉及一种基于字节分析的DNS隧道识别方法、装置、电子设备及计算机可读介质。
技术介绍
[0002]DNS(Domain Name System)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS隧道是DNS攻击的一种,攻击者将点对点、IP或者HTTP代理等协议数据封装到合法的DNS请求/响应报文中,以隐蔽通道的方式规避安全策略的检查,进而达到敏感数据窃取、回传控制指令甚至隧道传输其他协议等目的。
[0003]在DNS隧道检测中基于人工提取特征的有监督、无监督的机器学习识别模式较为成熟,且取得比较优异的效果。但随着网络流量的指数级增加,隧道攻击的变更等,人工提取特征的方式变得困难。基于深度学习的DNS隧道检测由于其特征自学习的特性在DNS隧道检测上有应用优势。深度学习在网络流量的检测应用也有颇多探索。对于网络原始流量为使其满足于深度学习算法的输入要求,常见的输入处理有两类:文...
【技术保护点】
【技术特征摘要】
1.一种基于字节分析的DNS隧道识别方法,其特征在于,包括:将实时DNS流量按照预设策略分为多个数据组;提取多个数据组对应的多个DNS层信息;基于字节分析将多个DNS层信息转化为多个输入数据;将所述多个输入数据输入隧道识别模型中,生成识别概率;在所述识别概率大于阈值时,确定所述实时DNS流量为DNS隧道流量。2.如权利要求1所述的方法,其特征在于,还包括:生成DNS流量和DNS隧道流量;通过DNS流量生成正样本数据;通过DNS隧道流量生成负样本数据;通过正样本数据和负样本数据对机器学习模型进行训练以生成所述隧道识别模型。3.如权利要求2所述的方法,其特征在于,生成DNS流量和DNS隧道流量,包括:采集DNS协议流量生成所述DNS流量;通过预设工具生成并采集所述DNS隧道流量。4.如权利要求2所述的方法,其特征在于,通过DNS隧道流量生成负样本数据,包括:将DNS隧道流量按照预设策略分为多个数据组;提取多个数据组对应的多个DNS层信息;将多个DNS层信息转化为所述负样本数据。5.如权利要求4所述的方法,其特征在于,将多个DNS层信息转化为所述负样本数据,包括:将所述多个DNS层信息转化为字节值序列;将字节值序列依次存入分组字节矩阵;将所述分组字节矩阵进行归一化处理;为归一化处理之后的分组字节矩阵设置样本标签以生...
【专利技术属性】
技术研发人员:史卓颖,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。