[发明专利]一种基于流量特征的DNS隐蔽隧道检测方法

权利要求书

1.一种基于流量特征的DNS隐蔽隧道检测方法，其特征在于：包括，

于获取到DNS流量数据的状态下对所述DNS流量数据做解析处理以形成第一检测数据流和第二检测数据包；

根据第一类检测数据形成第一类数据、第二类数据，根据第二检测数据形成第三类数据、第四类数据、第五类数据、第六类数据；

根据所述第一类数据、第二类数据、第三类数据、第四类数据、第五类数据、第六类数据形成一检测结果输出。

2.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法，其特征在于：于获取到DNS流量数据的状态下对所述DNS流量数据做解析处理以形成第一检测数据流和第二检测数据包具体包括：

于获取到DNS流量数据的状态下，根据DNS流量数据获取与当前DNS流量数据的第一特征值、第二特征值、第三特征值；

根据所述第一特征值、第二特征值、第三特征值形成标识数据；

读取与所述标识数据匹配的数据流以形成第一检测数据流和第二检测数据包。

3.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法，其特征在于：所述第一检测数据流至少包含所述第一类数据的为：

S1＝(R/r)*A；

其中S1为所述第一类数据；R为标准RTT的参考数；A为RTT影响因子；r为所述第一检测数据流中实际检测的RTT值。

4.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法，其特征在于：所述第一检测数据流至少包含所述第二类数据的形成方式包括：

获取第二类数据的基础阈值；第二类数据的基础阈值为：

其中，S2为第二类数据的基础阈值，n为实际请求响应包数量；N1、N2分别为第二类数据的第一参数值和第二参考值；

根据所述第一检测数据流中与所述第二类数据匹配的数据包数量，结合所述第二类数据的基础阈值形成所述第二类数据。

5.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法，其特征在于：所述第二检测数据包至少包括第三类数据，其中所述第三类数据的形成方式为，

获取第三类数据的基础阈值；第三类数据的基础阈值为：

其中，S3为第三类数据的基础阈值，m为请求类型异常数量；M1、M2分别为第三类数据的第一参数值和第二参考值；

根据所述第一检测数据流中与所述第三类数据匹配的数据包数量，结合所述第三类数据的基础阈值形成所述第三类数据。

6.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法，其特征在于：所述第二检测数据包至少包括第四类数据，所述第四类数据的形成方式为，

获取第四类数据的基础阈值；第四类数据的基础阈值为：

S4＝(n1*D1+n2*D2+n3*D3)/(n1+n2+n3)

其中：S4为第四类数据的基础阈值，D1为第四类数据的第一标识值，于当前数据包的域名长度小于域名第一参考值的状态下设置当前数据包的标识值为D1；D2为第四类数据的第二标识值，于当前数据包的域名长度不小于域名第一参考值且小于域名第二参考值的状态下设置当前数据包的标识值为D2；D3为第四类数据的第三标识值，于当前数据包的域名长度不小于域名第三参考值的状态下设置当前数据包的标识值为D3；n1为数据包的标识值为D1的总数；n2为数据包的标识值为D2的总数；n3为数据包的标识值为D3的总数；

根据所述第一检测数据流中与所述第四类数据匹配的数据包数量，结合所述第四类数据的基础阈值形成所述第四类数据。