[发明专利]一种DNS隧道流量检测方法、装置、电子设备和存储介质

说明书

本发明公开了一种DNS隧道流量检测方法、装置、电子设备和存储介质，所述方法包括：每间隔第二预设时间段，更新各一级域名下的待检测序列集，得到各一级域名下的更新后的待检测序列集；以及将各一级域名下的更新后的待检测序列集输入至检测模型中检测当前主机的IP地址是否发起DNS隧道请求，得到并输出检测结果。本申请实施例提供的DNS隧道流量检测方法，由于每间隔第二预设时间段，更新各一级域名下的待检测序列集，这样，在检测时，积累了历史数据，从而降低了误报率，最终提高了检测结果的可靠新。

技术领域

本发明涉及网络安全技术领域，特别涉及一种DNS隧道流量检测方法、装置、电子设备和存储介质。

背景技术

DNS协议在大多企业或组织网络环境中是必不可少的通信协议之一，为了访问互联网等资源，DNS服务器提供域名解析服务，即域名与IP地址转换。网络防护设备很少过滤、分析或屏蔽DNS，当攻击者获取服务器权限，或者服务器被恶意软件、蠕虫或木马等感染后，可以通过建立DNS隧道导致敏感信息外泄，文件、数据传输，回传控制指令以及回弹Shell等。

目前常用的检测隐蔽隧道的方法具体如下所述：

第一种方法为：基于特征匹配、流量异常等方式识别隐蔽隧道。通过构建特征库，将待检测流量报文与已有特征数据库中的特征进行匹配检测。这种方法存在误报高、且无法识别未知的DNS隐蔽隧道的缺陷。

第一种方法的特征匹配依赖于经验，存在误报、漏报高，并且无法识别未知的DNS隐蔽隧道，例如，新型DNS隧道技术可能不再引起流量暴涨。

第二种方法为：基于每一条DNS流量提取特征，通过机器学习方法，如随机森林等进行实现。

第二种方法，基于单条DNS流量会话，采用机器学习方法训练得到模型，一定程度上可以识别未知DNS隐蔽隧道，但是缺乏时间维度，缺少历史数据支撑；较短且固定时间窗内的检查会导致一定程度上的误报和漏报。

现有的DNS隧道流量检测方法，往往通过设置单条或固定截取框截取固定长度的流量数据，提取对应特征进行机器学习方法训练，生成模型后用于检测单条或者固定长度的DNS隧道流量。上述DNS隧道流量检测方法，虽然具有零规则、零依赖和维护成本低等优点。

由于现有的DNS隧道流量检测方法，在检测过程中缺少历史数据的积累过程，因此，大大地提高了检测结果误报的概率，从而使得检测结果的可靠性降低。

发明内容

基于此，有必要针对基于现有DNS隧道流量检测所存在的漏报或误报的问题，提供一种DNS隧道流量检测方法、装置、电子设备和存储介质。

第一方面，本申请实施例提供了一种DNS隧道流量检测方法，所述方法包括：

根据第一预设时间段内存储的、每个主机的IP地址对应的域名请求信息，确定各一级域名的序列集，其中，所述序列集中包含有多个与所述一级域名相关联的序列；

根据各一级域名的序列集进行训练，生成检测模型；

每间隔第二预设时间段，更新各一级域名下的待检测序列集，得到各一级域名下的更新后的待检测序列集；

将各一级域名下的更新后的待检测序列集输入至所述检测模型中检测当前主机的IP地址是否发起DNS隧道请求，得到并输出检测结果。

在一种实现方式中，所述方法还包括：

根据每个主机的IP地址对应的域名请求信息解析出对应的各一级域名，并基于各一级域名确定对应的各一级域名的子域名序列。

在一种实现方式中，所述方法还包括：

获取任意一个一级域名下的更新后的待检测序列集中的任意一个待检测序列对应的时间戳信息；