本发明专利技术涉及网络流量监测技术领域,公开了一种隐蔽网络通道检测方法,包括:建立缓存服务器,监控预设时间段内的DNS流量;基于过滤模型对DNS流量进行黑白域名分析,确定白域名、灰域名和黑域名;阻止黑域名DNS数据,对灰域名DNS数据进行深度分析,判断灰域名DNS数据是否有异常行为,当有异常行为时,阻止有异常行为的灰域名DNS数据;对灰域名DNS数据进行深度分析,判断灰域名DNS数据是否有异常行为,包括:获取灰域名DNS数据的DNS报文;对DNS报文进行分类细化提取各基本特征信息;将各基本特征信息输入隐蔽通道检测模型中,对基本特征信息进行深度分析,确定是否有隐藏信息。本发明专利技术解决了隐蔽网络通道检测的效率低,准确率低的问题。题。题。
【技术实现步骤摘要】
一种隐蔽网络通道检测方法
[0001]本专利技术涉及网络流量监测
,尤其涉及一种隐蔽网络通道检测方法。
技术介绍
[0002]网络隐蔽通道是攻击者绕过网络安全策略进行数据传输的重要途径,也就是说,隐蔽通道是可以用来逃避基于安全策略的安全监测,从而传输数据。实现应用层隐蔽通道的常用手段包括超文本传输协议(Hyper Text Transfer Protocol,HTTP)、域名系统(Domain Name System,DNS)、网络控制报文协议(Internet Control Message Protocol,ICMP)。
[0003]DNS(Domain Name System, DNS)即域名系统,是一种分布式的、静态层次型的、客户机/服务器模式的数据库管理系统。DNS通道是隐蔽通道中最常见的一种类型,通过将其他数据封装在DNS协议中进行数据传输,由于大部分网络不会对DNS流量进行过滤,这就给DNS作为隐蔽通道提供了条件,从而可以利用它实现诸如远程控制、文件传输等操作,恶意软件正是利用了这一点,通过在DNS协议中构建隧道,进行命令控制和数据窃取,比如通过DNS响应来接收指令,并利用DNS查询请求,传送窃取到的数据,如用户或企业的敏感信息。DNS隐蔽通道也经常在僵尸网络和APT攻击中扮演着重要的角色。
[0004]DNS协议的数据报文不受限制地传输,使得DNS通讯作为隐蔽通道在整个攻击链多个环节被黑客们广泛应用,通过研究DNS流量或数据,可以发现网络的安全攻击以及异常行为。虽然很多企业正在全力以赴地应对网络安全威胁,以期能检测和规避网络攻击,但遗憾的是,大多数企业并没有对DNS安全起到足够的重视,至使企业的数据、资产和信誉都处在风险之中。由于DNS是防火墙中的安全策略允许传输的协议范畴。现有的技术通常采用基于特征匹配的检测技术来检测隐蔽通道。在防火墙等网络检测设备中维护一个特征数据库,将流经防火墙的报文内容与特征数据库中的特征进行匹配。然而这种简单字符串匹配的检测技术无法对加密数据进行检测,误报率较高,也无法识别未知的隐蔽通道。
技术实现思路
[0005]本专利技术提供了一种隐蔽网络通道检测方法,解决了隐蔽网络通道检测的效率低,准确率低的问题。
[0006]为实现上述目的,本专利技术提供了如下方案:本专利技术提供一种隐蔽网络通道检测方法,包括:建立缓存服务器,监控预设时间段内的DNS流量;基于过滤模型对所述DNS流量进行黑白域名分析,确定白域名、灰域名和黑域名;阻止所述黑域名DNS数据,对所述灰域名DNS数据进行深度分析,判断所述灰域名DNS数据是否有异常行为,当有异常行为时,阻止有异常行为的灰域名DNS数据;对所述灰域名DNS数据进行深度分析,判断所述灰域名DNS数据是否有异常行为,包括:获取所述灰域名DNS数据的DNS报文;对所述DNS报文进行分类细化提取各基本特征信息;将各所述基本特征信息输入隐蔽通道检测模型中,对所述基本特征信息进行深度分析,
确定是否有隐藏信息。
[0007]在其中一个实施例中,所述过滤模型的建立包括:根据所述数据样本建立初始过滤模型,所述样本数据为预设时间内在缓存服务器通过的历史DNS流量数据;将样本数据按预设条件分为训练数据与验证数据;基于所述训练数据对所述初始过滤模型进行训练;基于所述验证数据对训练后的所述初始过滤模型进行测试,输出符合预设指标的所述过滤模型。
[0008]在其中一个实施例中,所述过滤模型包括静态过滤模型和动态过滤模型。
[0009]在其中一个实施例中,建立初始静态过滤模型包括定义输入层和输出层,选取域名长度、数字比例、数字字母交换比例、原因辅音个数及比例、域名类型和非相邻字母作为输入变量,输入维数m=6;以白域名、灰域名和黑域名作为输出变量,输出维数n=3;选择隐层数和隐层单元数,采用单隐层,并根据删除法确定隐层节点数为7。
[0010]在其中一个实施例中,建立初始静态过滤模型包括定义输入层和输出层,选取域名指向环回地址、IP地址、域名解析时长、DNS解析请求包的大小和心跳域名作为输入变量,输入维数m=5;以白域名、灰域名和黑域名作为输出变量,输出维数n=3;选择隐层数和隐层单元数,采用单隐层,并根据删除法确定隐层节点数为6。
[0011]在其中一个实施例中,所述隐蔽通道检测模型的建立,包括:收集具有隐藏信息的DNS报文的历史数据,建立历史数据库;对具有隐藏信息的DNS报文进行编码分析,确定具有隐藏信息的DNS报文的隐藏信息编码方式及规律;基于隐蔽信息的编码方式及规律建立隐蔽通道检测模型。
[0012]在其中一个实施例中,将各所述基本特征信息输入隐蔽通道检测模型中,对所述基本特征信息进行深度分析,确定是否有隐藏信息,包括:将各所述基本特征信息输入隐蔽通道检测模型中,确定所述基本特征信息的编码是否具有隐藏信息的编码方式及规律,当检测到所述基本特征信息的编码具有隐藏信息的编码方式及规律时,确定所述灰域名DNS数据有隐藏信息。
[0013]在其中一个实施例中,在建立隐蔽通道检测模型后,对隐蔽通道检测模型进行训练与验证。
[0014]在其中一个实施例中,所述DNS报文包括基础结构部分、问题部分、资源记录部分。
[0015]在其中一个实施例中,基本特征信息包括未使用的IP头字段、IP头扩展与填充段、IP标志段。
[0016]本专利技术的技术效果:提高隐蔽网络通道检测的效率,提高隐蔽网络通道检测的准确率。
附图说明
[0017]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0018]图1是本专利技术实施例提供的隐蔽网络通道检测方法的流程图;图2是本专利技术实施例提供的对灰域名DNS数据进行深度分析的流程图;
图3是本专利技术实施例提供的隐蔽通道检测模型建立的流程图。
具体实施方式
[0019]下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不是用来限制本专利技术的范围。
[0020]在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
[0021]术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
[0022]在本申请的描述本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种隐蔽网络通道检测方法,其特征在于,包括:建立缓存服务器,监控预设时间段内的DNS流量;基于过滤模型对所述DNS流量进行黑白域名分析,确定白域名、灰域名和黑域名;阻止所述黑域名DNS数据,对所述灰域名DNS数据进行深度分析,判断所述灰域名DNS数据是否有异常行为,当有异常行为时,阻止有异常行为的灰域名DNS数据;对所述灰域名DNS数据进行深度分析,判断所述灰域名DNS数据是否有异常行为,包括:获取所述灰域名DNS数据的DNS报文;对所述DNS报文进行分类细化提取各基本特征信息;将各所述基本特征信息输入隐蔽通道检测模型中,对所述基本特征信息进行深度分析,确定是否有隐藏信息。2.根据权利要求1所述的隐蔽网络通道检测方法,其特征在于,所述过滤模型的建立包括:根据所述数据样本建立初始过滤模型,所述样本数据为预设时间内在缓存服务器通过的历史DNS流量数据;将样本数据按预设条件分为训练数据与验证数据;基于所述训练数据对所述初始过滤模型进行训练;基于所述验证数据对训练后的所述初始过滤模型进行测试,输出符合预设指标的所述过滤模型。3.根据权利要求2所述的隐蔽网络通道检测方法,其特征在于,所述过滤模型包括静态过滤模型和动态过滤模型。4.根据权利要求3所述的隐蔽网络通道检测方法,其特征在于,建立初始静态过滤模型包括定义输入层和输出层,选取域名长度、数字比例、数字字母交换比例、原因辅音个数及比例、域名类型和非相邻字母作为输入变量,输入维数m=6;以白域名、灰域名和黑域名作为输出变量,输出维数n=3;选择隐层数和隐层单元数,采用单隐层,并根据删除法确定隐层节点数为7。5...
【专利技术属性】
技术研发人员:潘中英,戚红建,韩硕,王宇飞,刘誉杰,袁阳,朱梦迪,李宏亮,陈璐,张明涛,
申请(专利权)人:中国华能集团有限公司北京招标分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。