隐蔽通道识别方法、装置、计算机设备及存储介质制造方法及图纸

本申请公开了一种隐蔽通道识别方法、装置、计算机设备及存储介质。该方法包括获取待检测的DNS隧道域名，通过DFA算法，提取DNS隧道域名的目标域名特征；通过卷积神经网络算法和长短时记忆算法，分别对目标域名特征进行特征增强处理，得到与卷积神经网络算法对应的局部增强特征和与长短时记忆算法对应的全局增强特征；根据局部增强特征和全局增强特征融合后的融合特征，确定DNS隧道域名是否为隐蔽通道的DNS隐蔽隧道域名。由此，可以有效提高识别准确率，降低误判的可能性，进而提高隐蔽通道识别的效率。别的效率。别的效率。

【技术实现步骤摘要】
隐蔽通道识别方法、装置、计算机设备及存储介质


[0001]本申请属于计算机
，具体涉及一种隐蔽通道识别方法、装置、计算机设备及存储介质。

技术介绍

[0002]隐蔽通道是一种绕过强制安全机制检查，违反系统安全策略传递信息的方式。常用的隐蔽通道包括基于超文本传输协议(Hyper Text Transfer Protocol，HTTP)、域名系统(Domain Name System，DNS)和控制报文协议(Internet Control Message Protocol，ICMP)的隐蔽通道。其中，DNS隐蔽通道是指将隐蔽信息搭载于合法DNS报文进行传输的方式。
[0003]在相关技术中，DNS隐蔽通道的识别方法可以基于规则的特征匹配方式和基于流量异常的检测方式，构建特征库，并将待检测流量报文与已有特征数据库中的特征进行匹配，从而识别隐蔽通道。然而，攻击者可以通过修改例如域名长度、子域名请求数量等特征，绕过基于规则和异常流量的检测，导致无法有效识别隐蔽通道。

技术实现思路

[0004]本申请实施例提供一种隐蔽通道识本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种隐蔽通道识别方法，其特征在于，包括：获取待检测的DNS隧道域名；通过DFA算法，提取所述DNS隧道域名的目标域名特征；通过卷积神经网络算法和长短时记忆算法，分别对所述目标域名特征进行特征增强处理，得到增强特征，所述增强特征包括与所述卷积神经网络算法对应的局部增强特征和与所述长短时记忆算法对应的全局增强特征；根据所述局部增强特征和所述全局增强特征融合后的融合特征，确定所述DNS隧道域名是否为隐蔽通道的DNS隐蔽隧道域名。2.根据权利要求1所述的方法，其特征在于，所述目标域名特征包括第一域名特征；所述通过DFA算法，提取所述DNS隧道域名的目标域名特征，包括：通过DFA算法，识别所述DNS隧道域名，得到所述DNS隧道域名的目标域名结构；基于域名结构和特征提取算法的预设关联信息，获取与所述目标域名结构对应的目标特征提取算法；通过所述目标特征提取算法，对所述DNS隧道域名中的特征进行提取，得到所述第一域名特征。3.根据权利要求2所述的方法，其特征在于，所述通过DFA算法，识别所述DNS隧道域名，得到所述DNS隧道域名的目标域名结构，包括：通过所述DFA算法，对所述DNS隧道域名进行长匹配策略检测，得到所述DNS隧道域名中匹配的单词数量；在所述单词数量大于或等于预设单词数量的情况下，确定所述DNS隧道域名中匹配的单词总长度是否大于或等于所述DNS隧道域名的域名总长度；在确定所述单词总长度大于或等于所述域名总长度的情况下，确定所述目标域名结构为词典域名结构。4.根据权利要求3所述的方法，其特征在于，所述目标特征提取算法包括DAF域名分割算法和词频逆文本频率指数转化算法，所述第一域名特征包括词典特征；所述通过所述目标特征提取算法，对所述DNS隧道域名中的特征进行提取，得到所述第一域名特征，包括：通过所述DAF域名分割算法，对所述DNS隧道域名进行分割，得到分割对象，所述分割对象包括下述中的至少一项：中文单词、英文单词、拼音；通过所述词频逆文本频率指数转化算法，对所述分割对象进行转换，得到所述词典特征。5.根据权利要求3所述的方法，其特征在于，所述方法还包括：在所述单词数量小于所述预设单词数量的情况下，确定所述目标域名结构为非词典域名结构；或者，在确定所述单词总长度小于所述域名总长度的情况下，确定所述目标域名结构为非词典域名结构。6.根据权利要求5所述的方法，其特征在于，所述目标特征提取算法包括汉语语言模型分词算法和word2vec算法，所述第一域名特征包括字符特征；所述通过所述目标特征提取算法，对所述DNS隧道域名中的特征进行提取，得到所述第
一域名特征，包括：通过所述汉语语言模型分词算法，对所述DNS隧道域名中相邻字符进行划分，得到至少一个随机字符；通过所述word2vec算法，对所述至少一个随机字符中的每个随机字符进行文本特征提取，得到所述字符特征。7.根据权利要求2所述的方法，其特征在于，所述目标域名特征还包括第二域名特征；所述方法还包括：获取与所述DNS隧道域名对应的域名属性信息；将所述域名属性信息确定为所述第二域名特征；其中，所述域名属性信息包括下述中的至少一项：域名长度、域名字符比例、域名信息熵、请求次数、子域名个数、域名中连续数字个数。8.根据权利要求1所述的方法，其特征在于，所述通过卷积神经网络算法和长短时记忆算法，分别对所述目标域名特征进行特征增强处理，得到增强特征，包括：通过所述卷积神经网络算法对所述目标域名特征进行局部特征提取，得到域名局部特征；以及，通过所述长短时记忆算法对所述目标域名特征进行全局特征提取，得到域名全局特征；对所述域名局部特征进行块状卷积局部特征增强处理，得到所述局部增强特征；以及，通过分组特征相似度，对所述域名全局特征进行全局特征增强处理，得到所述全局增强特征。9.根据权利要求8所述的方法，其特征在于，所述对所述域名局部特征进行块状卷积局部特征增强处理，得到所述局部增强特征，包括：按照第一预设划分条件，对所述域名局部特征进行块状均等切分，得到N个块状矩阵，N为正整数；通过与所述卷积神经网络算法对应的卷积神经网络中的目标卷积核，分别对所述N个块状矩阵中每个块状矩阵进行卷积操作，得到所述每个块状矩阵在所述目标卷积核中的M个卷积层中每个卷积层的第一卷积结果，M为正整数；根据M个第一卷积...

【专利技术属性】
技术研发人员：潘文君，马珺浩，郑瑞刚，韩志峰，曲大林，文雪刚，田峰，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：