[发明专利]一种基于编码特征与统计行为特征融合的DNS隧道检测方法

说明书

本发明公开一种基于编码特征与统计行为特征融合的DNS隧道检测方法，包括：S1.截取DNS流量并依据网络五元组构建DNS请求与响应会话，所述网络五元组包括请求IP、响应IP、请求端口、响应端口和协议号；S2.从DNS请求与响应会话中提取编码特征与统计行为特征；S3.基于步骤S2提取的编码特征与统计行为特征，训练决策分类器，实现正常DNS流量与DNS隧道流量的划分。本发明方法在实时检测上都表现了更好的性能。可以达到比现有方法更高的准确率，并且保证检测在实时环境中进行。

技术领域

本发明属于信息安全领域，尤其是涉及一种基于编码特征与统计行为特征的DNS隧道检测方法。

背景技术

域名系统(Domain Name System，DNS)是一种将域名和IP地址相互映射的以层次结构分布的分布式数据库系统，也是互联网的基础解析服务。防火墙等基础防御设施为了保证用户体验一般不会对DNS数据进行过滤，这反而使其成为攻击者手中较理想的秘密信道^[1[。DNS隧道，是指利用DNS数据包中的可定义字段秘密传递信息的通道。可以被用于数据泄露、命令控制及绕过Wi-Fi连接注册等恶意行为，也被广泛利用于远控木马、僵尸网络、勒索软件、高级持续性威胁等绝大多数网络攻击。在全球网络信息化程度高速发展的大背景下，具备隐蔽性、普适性的DNS隧道对各类高等级信息安全系统造成的威胁日益严重，国家、企业的网络信息系统和数据安全面临严峻挑战^[2]。2016年4月，某零售公司；就被一款恶意软件FrameworkPos攻击^[3]，该软件通过DNS隧道捕获支付卡数据，最终导致超过5600万个信用卡账户和客户借贷信息被盗。2020年7月，一份联合报告^[4]指出高级持续性威胁组织使用恶意软件WellMess对与新型冠状病毒研究和疫苗开发有关的组织发起攻击并利用DNS隧道技术维持连接。

因此，对于DNS隧道的检测至关重要，这也促使了大量对于DNS隧道检测的研究。传统的检测方法依赖专家在现有的网络中手动设置规则^[5]。然后，在监控流量中发生预设规则匹配时，确定DNS隧道的存在。其重点在于某些特征的规则设计，这些规则的设立可分为两种方式：基于签名的方式^[6-8]和基于阈值的方式^[9-12]。基于签名的方法通过匹配特定签名来检测DNS隧道，它的重点是由专业人员从DNS数据数据报文的头部字段^[13]，或有效负载中的特定属性分析出有效的静态特征^[14]。基于阈值的方法对DNS隧道的特征进行定量分析，以设计一个实用的阈值，它的重点是确定某些功能的阈值^[15]，这些功能可以区分正常DNS流量和DNS隧道流量。这些方法都是在预处理过程后使用特征规则进行过滤，通过将特征过滤与手动分析相结合来研究DNS隧道检测^[16]。这种类型的检测方式需要多次迭代和专业人员的技能，不适合高吞吐量网络，其检测精度依赖于经验丰富的专业人员。在最近的一些工作中^[17-20]，基于模型的检测通过模型自动生成基于多个特征的识别规则，突破了传统检测方法对于专家的完全依赖，探索了在特征字段提取后使用机器学习自动生成检测模型的方法。