[发明专利]DNS隧道检测方法、装置及计算机可读存储介质

说明书

本发明揭示了一种DNS隧道检测方法及装置，所述方法包括：获取所采集的流量数据，所述流量数据是根据终端对局域网中DNS服务器发起的DNS查询行为生成的；从所述流量数据中提取得到特征向量；基于DNS隧道检测模型提供的正常流量矩阵，通过所述DNS隧道检测模型计算所述特征向量与所述正常流量矩阵之间的马氏距离，所述DNS隧道检测模型是通过所述DNS服务器的历史流量数据进行模型训练生成的；根据所述马氏距离对所述流量数据进行DNS隧道异常识别。本发明提供的DNS隧道检测方法及装置有效解决了现有技术中因设定规则易被绕过而导致DNS隧道存在漏检的问题。

技术领域

本发明涉及网络安全技术领域，特别涉及一种DNS隧道检测方法、装置及计算机可读存储介质。

背景技术

DNS隧道是指利用DNS查询过程建立起的隐蔽信道进行数据传输。根据DNS协议，如果局域网中DNS服务器上未查询到终端所访问的访问域名，通过局域网外的DNS服务器进行查询，最终返回查询结果。也即是说，通过局域网中DNS服务器实现了局域网中终端与外部之间的通信。

基于DNS隧道的特点，存在DNS隧道被恶意利用的情况，例如通过隧道工具利用DNS隧道进行远程控制、数据窃取。因此，对DNS隧道进行检测对于识别网络安全威胁至关重要。

现有技术中，通过设定规则来进行DNS隧道检测，设定规则例如：请求访问域名的长度大于预设值、请求访问域名的频域大于预设值，但是对于此种检测方法，攻击者可以通过修改域名长度、请求频率等规则中所涉及的特征来绕过设定规则，导致DNS隧道检测的准确性不高。

因此，现有技术中存在因设定规则易被绕过而导致DNS隧道存在漏检的问题。

发明内容

为了解决相关技术中存在的问题，本发明提供了一种DNS隧道检测方法、装置及计算机可读存储介质。

第一方面，一种DNS隧道检测方法，所述方法包括：

获取所采集的流量数据，所述流量数据是根据终端对局域网中DNS服务器发起的DNS查询行为生成的；

从所述流量数据中提取得到特征向量；

基于DNS隧道检测模型提供的正常流量矩阵，通过所述DNS隧道检测模型计算所述特征向量与所述正常流量矩阵之间的马氏距离，所述DNS隧道检测模型是通过所述DNS服务器的历史流量数据进行模型训练生成的；

根据所述马氏距离对所述流量数据进行DNS隧道异常识别。

第二方面，一种DNS隧道检测装置，所述装置包括：

获取模块，用于获取所采集的流量数据，所述流量数据是根据终端对局域网中DNS服务器的访问行为生成的；

提取模块，用于从所述流量数据中提取得到特征向量；

计算模块，用于基于DNS隧道检测模型提供的正常流量矩阵，通过所述DNS隧道检测模型计算所述特征向量与所述正常流量矩阵之间的马氏距离，所述DNS隧道检测模型是通过所述DNS服务器的历史流量数据进行模型训练生成的；

异常识别模块，用于根据所述马氏距离对所述流量数据进行DNS隧道异常识别。

第三方面，一种DNS隧道检测装置，所述装置包括：

处理器；及

存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时实现以上所述的方法。

第四方面，一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的方法。

本发明的实施例提供的技术方案可以包括以下有益效果：