[发明专利]一种DNS隐蔽隧道检测方法及系统

说明书

本发明提供DNS隐蔽隧道检测方法及系统，方法包括以下步骤：接收镜像流量服务器在网络环境中采集到的原始流量包；原始流量包中包括多条DNS请求类型的数据流量报文；对所述原始流量包进行预处理，得到原始流量包中的子域名集合；分别对子域名集合中每一级子域名进行筛选，得到可疑子域名，将所述可疑子域名保存至第一全局字典中；当完成所述子域名集合中所有子域名的筛选后，根据得到的所述第一全局字典检测是否存在DNS隐蔽隧道异常。该方法部署简单，近实时检测，检测速度快，检测结果准确度高，能够自适应不同网络环境而不影响检测结果。

技术领域

本发明属于网络安全领域，具体涉及一种DNS隐蔽隧道检测方法及系统。

背景技术

域名系统(Domain Name System，DNS)是互联网的一项服务，它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。通常情况下，DNS使用TCP和UDP的53端口，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。

DNS查询解析过程：PC客户端进行一次DNS查询，客户端操作系统会先检查本地DNS解析器是否缓存有这个网址映射关系，如果有，直接返回，完成域名解析；否则，向本地DNS服务器进行查询。如果要查询的域名包含在本地服务器的配置区域资源中，则返回解析结果，完成域名解析。如果要查询的域名，不由本地DNS服务器区域解析，但该服务器已经缓存了此网址的映射关系，则返回映射关系，完成域名解析。

如果本地DNS服务器区域文件与缓存解析都失败，则由本地DNS服务器向上级DNS服务器进行查询。在这个过程中，如果本地DNS服务器采用非转发模式，则本地DNS服务器会把请求发至DNS根服务器，DNS根服务器会返回一个负责解析查询域名的顶级域名服务器的IP，本地DNS服务器收到IP后继续向该IP发起查询请求，如果被请求的DNS服务器无法解析，则继续返回一个下级DNS服务器IP给本地DNS服务器，然后，依次类推，直到返回域名的解析结果。如果本地DNS服务器采用转发模式，则本地服务器会把请求转发至上一级DNS服务器，由上一级服务器进行解析，上一级服务器如果不能解析，或找根DNS或把请求转至上上级，以此循环，最后，将解析结果返回给本地DNS服务器。不管本地DNS服务器是否采用转发模式，最后被请求的域名服务器都是把解析结果返回给本地DNS服务器，由此DNS服务器再返回给客户机。

DNS隧道(DNS Tunneling)是一种将其他协议的内容封装在DNS协议中，然后以DNS请求和响应包完成传输数据(通信)的技术，从功能和友好性出发，网络防火墙不可能把DNS协议完全过滤掉，因此，攻击者可以利用DNS隧道技术实现诸如网络嗅探，文件传输等危险操作。

DNS隧道依据其实现方式可分为直连和中继两类。直连：用户端直接和指定的目标DNS服务器建立连接，然后将需要传输的数据编码封装在DNS协议中进行通信。中继：用户端根据本地DNS服务器迭代查询获得目标DNS服务器返回的解析结果与目标DNS服务器建立通信，从而实现中继DNS隧道。直连方式速度快，但隐蔽性弱、易被探测追踪，中继方式速度慢，但隐蔽强，易部署。因此，中继方式更受攻击者青睐。在中继方式中，攻击者一般会对传输数据进行加密处理或者在域名中添加随机字段，这样客户端在请求经过特殊处理的域名时，该请求域名可以突破客户端DNS缓存和本地DNS服务器缓存，从而请求数据能够经目标DNS服务器传输到攻击者电脑上。综上所述，DNS隐蔽隧道产生的现象是在隧道通信时间内会出现大量不重复的域名。

目前，在现有检测DNS隐蔽隧道技术中，基于机器学习方式的方法，需要提前采集训练数据进行建模，在真实的网络环境中，数据样本存在严重的不平衡性，正常数据多，隐蔽隧道攻击数据少，而训练数据的好坏，直接影响模型的检测结果以及模型的泛化能力；基于域名个数和域名长度的检测方法，通常需要人为地设置阈值，阈值太大容易漏报，阈值太小容易误报；基于DNS资源记录类型的判断方法，因部分DNS隐蔽隧道攻击工具可以设置资源记录类型，这样隐蔽隧道工具产生的资源记录类型数量与正常情况下类型数量相差不大，从而影响方法的检测结果。

发明内容