DNS隧道流量检测系统的验证方法、装置、设备及存储介质制造方法及图纸

本申请公开一种DNS隧道流量检测系统的验证方法、装置、设备及存储介质，该方法包括：获取预先收集的流量样本，流量样本分包括异常样本和/或正常样本；将流量样本输入DNS隧道流量检测系统进行检测，得到检测结果；基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数，并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统，提高系统检测能力，降低系统运维成本。降低系统运维成本。降低系统运维成本。

【技术实现步骤摘要】
DNS隧道流量检测系统的验证方法、装置、设备及存储介质


[0001]本申请涉及隧道检测
，尤其涉及一种基于机器学习的DNS隧道流量检测系统的验证方法、装置、设备及存储介质。

技术介绍

[0002]DNS（DomainNameSystem，域名系统）协议是访问互联网和内网资源必不可少的网络通讯协议之一，出于可用性和用户友好的考虑，网络设备和边界防护设备很难做到完全过滤掉DNS流量。而DNS隧道技术就是将其他协议的内容封装在DNS协议中，然后以DNS请求和响应包完成传输数据(通信)的技术，攻击者就可以利用DNS隧道从而达到敏感信息盗窃、文件传输、远程控制等目的。
[0003]目前，攻击者主要通过dns2tcp、dnscat2、iodine、ozymandns、dnscapy等一些开源软件和Metasploit、Cobalt Strike等渗透软件来快速构建DNS隧道，并且通过修改域名长度、请求频率等特征绕过市面上一些常见的传统静态特征库检测系统。面对隧道工具多样化及特征易绕过等问题，将机器学习技术应用到DNS隧道检测中，利用有监督学习从大量DNS隧道样本中提取隧道特征学习出一个DNS隧道检测模型，能够有效检测到DNS隐蔽隧道流量。
[0004]但目前网络安全行业内针对基于机器学习的DNS隧道流量检测系统并无一套有效的验证方法，存在验证样本稀缺、验证方法五花八门等问题，使得系统未得到准确的评估难以改进提升，导致系统在用户现网环境中存在大量的误报，运维成本直线上升。

技术实现思路

[0005]本申请的主要目的在于提供一种DNS隧道流量检测系统的验证方法、装置、设备及存储介质，可有效验证基于机器学习的DNS隧道流量检测系统，提高系统检测能力，降低系统运维成本。
[0006]为实现上述目的，本申请提供一种DNS隧道流量检测系统的验证方法，所述方法包括以下步骤：获取预先收集的流量样本，所述流量样本包括异常样本和/或正常样本；将所述流量样本输入DNS隧道流量检测系统进行检测，得到检测结果；基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数，并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。
[0007]可选地，所述获取预先收集的流量样本的步骤之前还包括：收集异常样本，具体包括：将一台内网机器作为被攻击的目标机器，并在所述被攻击的目标机器上搭建DNS隧道工具的客户端；将一台外网VPS机器作为攻击端，在所述攻击端上开启DNS域名解析服务作为DNS隧道的服务端；
在所述客户端与服务端之间的DNS隧道建立后，分别执行对应操作，所述对应操作包括：文件传输、下发指令、获取shell权限、进行http代理访问中的一种或多种；将所述客户端和服务端二者所有的DNS通信流量镜像到流量采集设备上进行自动化存储，生成异常样本。
[0008]可选地，所述将所述流量样本输入DNS隧道流量检测系统进行检测，得到检测结果的步骤包括：将所述流量样本通过流量回放工具输入到DNS隧道流量检测系统，由所述DNS隧道流量检测系统进行流量报文分析后，根据学习到的DNS隧道模型进行特征检测，得到检测结果。
[0009]可选地，所述基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数，并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证的步骤包括：基于所述检测结果，统计输入的正常样本个数经过系统检测后输出的正常样本告警条数，得到所述正常样本的误报数；基于所述检测结果，统计输入的异常样本个数经过系统检测后输出的异常样本告警条数，基于所述异常样本告警条数计算异常样本未告警的条数，得到所述异常样本的漏报数；基于正常样本告警条数、异常样本告警条数计算误报率、准确率、召回率；将所述误报率、准确率、召回率作为验证指标，对所述DNS隧道流量检测系统的检测效果进行验证。
[0010]可选地，所述方法还包括：基于验证结果，对误报和漏报的样本进行总结，输出验证报告。
[0011]可选地，所述方法还包括：基于所述验证报告对所述DNS隧道流量检测系统进行二次验证。
[0012]可选地，所述DNS隧道工具包括iodine、dns2tcp、dnscat2、ozymandns，dnscapy中的一种或多种；所述异常样本和正常样本的比例为1:100。
[0013]本申请实施例还提出一种DNS隧道流量检测系统的验证装置，所述装置包括：获取模块，用于获取预先收集的流量样本，所述流量样本分包括异常样本和/或正常样本；检测模块，用于将所述流量样本输入DNS隧道流量检测系统进行检测，得到检测结果；统计验证模块，用于基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数，并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。
[0014]本申请实施例还提出一种验证设备，所述验证设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DNS隧道流量检测系统的验证程序，所述DNS隧道流量检测系统的验证程序被所述处理器执行时实现如上所述的DNS隧道流量检测系统的验证方法。
[0015]本申请实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机可读程序，所述计算机可读程序被处理器执行时实现如上所述的DNS隧道流量检测系统的验证方法。
[0016]本申请实施例提出的DNS隧道流量检测系统的验证方法、装置、设备及存储介质，通过获取预先收集的流量样本，所述流量样本分包括异常样本和/或正常样本；将所述流量样本输入DNS隧道流量检测系统进行检测，得到检测结果；基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数，并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。本申请方案可有效验证基于机器学习的DNS隧道流量检测系统，提高系统检测能力，降低系统运维成本。具体而言，本方案提供正常样本和异常样本的快速收集方法，减少验证样本收集的时间成本，同时提高样本覆盖范围，避免被攻击者绕过系统检测对用户造成损失；本方案提供了完整的验证方法，提出正常样本的验证，避免了系统大量的误报，降低系统运维的时间和人力成本，提高了系统的易用性；本方案可以给出标准的验证报告，方便系统开发人员针对性的进行改进，提高开发和验证效率。
附图说明
[0017]图1为本申请DNS隧道流量检测系统的验证装置所属终端设备的功能模块示意图；图2为本申请DNS隧道流量检测系统的验证方法第一示例性实施例的流程示意图；图3为本申请DNS隧道流量检测系统的验证方法实施例的细化流程示意图；图4为本申请DNS隧道流量检测系统的验证方法第二示例性实施例的流程示意图。
[0018]本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0019]应当理解，此处所描述的具体实施案例仅仅用以解释本申请，并不用于限定本申请。
[0020]本申请实施例的主要解决方案是：通过获取预先收集的流量样本，所述流量样本分包括异常样本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种DNS隧道流量检测系统的验证方法，其特征在于，所述方法包括以下步骤：获取预先收集的流量样本，所述流量样本包括异常样本和/或正常样本；将所述流量样本输入DNS隧道流量检测系统进行检测，得到检测结果；基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数，并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证。2.根据权利要求1所述的方法，其特征在于，所述获取预先收集的流量样本的步骤之前还包括：收集异常样本，具体包括：将一台内网机器作为被攻击的目标机器，并在所述被攻击的目标机器上搭建DNS隧道工具的客户端；将一台外网VPS机器作为攻击端，在所述攻击端上开启DNS域名解析服务作为DNS隧道的服务端；在所述客户端与服务端之间的DNS隧道建立后，分别执行对应操作，所述对应操作包括：文件传输、下发指令、获取shell权限、进行http代理访问中的一种或多种；将所述客户端和服务端二者所有的DNS通信流量镜像到流量采集设备上进行自动化存储，生成异常样本。3.根据权利要求1所述的方法，其特征在于，所述将所述流量样本输入DNS隧道流量检测系统进行检测，得到检测结果的步骤包括：将所述流量样本通过流量回放工具输入到DNS隧道流量检测系统，由所述DNS隧道流量检测系统进行流量报文分析后，根据学习到的DNS隧道模型进行特征检测，得到检测结果。4.根据权利要求1所述的方法，其特征在于，所述基于所述检测结果统计正常样本的误报数和/或异常样本的漏报数，并基于预设的验证指标对所述DNS隧道流量检测系统的检测效果进行验证的步骤包括：基于所述检测结果，统计输入的正常样本个数经过系统检测后输出的正常样本告警条数，得到所述正常样本的误报数；基于所述检测结果，统计输入的异常样本个数经过系统检测后输出的异常样本告警条数，基于所述异常样本告警条...

【专利技术属性】
技术研发人员：吴学齐，
申请(专利权)人：北京六方云科技有限公司，
类型：发明
国别省市：