一种低吞吐量DNS隐蔽信道检测方法及装置制造方法及图纸

本发明专利技术公开了一种低吞吐量DNS隐蔽信道检测方法及装置，捕获低吞吐量DNS隐蔽信道活动的数据集，提取出数据集中的用于检测的关键特征，将提取出的关键特征转换为机器学习的特征向量，将数据集对应的特征向量输入到构建好的SPP

【技术实现步骤摘要】
一种低吞吐量DNS隐蔽信道检测方法及装置


[0001]本申请属于攻击检测
，尤其涉及一种低吞吐量DNS隐蔽信道检测方法及装置。

技术介绍

[0002]DNS对于几乎所有应用程序来说都是如此重要的服务，从本地计算机到Internet的任何通信(不包括基于静态IP的通信)都依赖于DNS服务，限制DNS通信可能会导致合法远程服务的断开，因此，企业防火墙通常配置为允许UDP端口53(由DNS使用)上的所有数据包，即DNS流量通常允许通过企业防火墙而无需深度检查或状态维护。从攻击者的角度来看，这使得DNS协议成为数据泄露地隐蔽通信通道。攻击者利用DNS的一种方法是注册域名(例如，fengrou2019.club)，以便攻击者在主机受害者中的恶意软件可以将有价值的私人信息(例如信用卡号，登录密码或知识产权)编码为形式为arbitrary
‑
string.fengrou2019.club的DNS请求。此DNS请求由全局域名系统中的解析器转发到fengrou2019.club域的权威服务器(在攻击者的控制下)，后者又向主机受害者发送响应。这为攻击者在主受害者及其命令和控制中心之间提供了低速但隐蔽的双向通信信道。DNS这种穿透防火墙的能力为攻击者提供了一个隐蔽的通道，尽管是低速通道，通过将其他协议(例如，SSH，FTP)隧道传输到命令和控制中心，可以通过该通道泄露私有数据并保持与恶意软件的通信。现代恶意软件和网络攻击在很大程度上依赖于DNS服务，使其活动可靠且难以跟踪。
[0003]随着DNS隐蔽检测技术的发展，对DNS隐蔽信道检测已取得较大的成就。近年来，一些DNS隧道为了提高其隐蔽性，将活动频率降低。它们在发送一个包后进入休眠状态，等待一定的时间后，再发送下一个数据包，从而逃避检测。然后这种低吞吐量的DNS隐蔽信道检测缺容易被忽视，如果机密信息通过这种信道泄露，会造成严重的后果。

技术实现思路

[0004]本申请的目的是提供一种低吞吐量DNS隐蔽信道检测方法及装置，以准确检测低吞吐量DNS隐蔽信道，降低攻击风险。
[0005]为了实现上述目的，本申请技术方案如下：
[0006]一种低吞吐量DNS隐蔽信道检测方法，包括：
[0007]捕获低吞吐量DNS隐蔽信道活动的数据集，提取出数据集中的用于检测的关键特征，将提取出的关键特征转换为机器学习的特征向量；
[0008]将数据集对应的特征向量输入到构建好的SPP
‑
Net
‑
LSTM检测模型中，训练得到SPP
‑
Net
‑
LSTM检测模型，所述SPP
‑
Net
‑
LSTM检测模型包括改进的SPP
‑
Net网络与代价敏感的LSTM网络，其中所述改进的SPP
‑
Net网络中SPP池化层包括并列的1*1、2*2、3*3和4*4四个池化核，所述SPP池化层的输出直接连接代价敏感的LSTM网络；
[0009]将训练好的SPP
‑
Net
‑
LSTM检测模型用于实时检测，如检测出异常立即将对应的域设置为不可访问。
[0010]进一步的，所述捕获低吞吐量DNS隐蔽信道活动的数据集，还包括：
[0011]对数据集中正常样本进行欠采样操作，降低正常样本的数量。
[0012]进一步的，所述提取出数据集中的用于检测的关键特征，包括域名、资源记录、TTL值、特定域名的主机名个数、相同TLD下两个请求的时间差、NXDOMAIN记录、最近添加的A记录与NS记录中的一种或多种。
[0013]进一步的，所述将提取出的关键特征转换为机器学习的特征向量，对于资源记录，如果出现不常使用的记录，则标记为0，否则标记为1。
[0014]进一步的，所述将提取出的关键特征转换为机器学习的特征向量，对于TTL值，如果TTL的值在[0,100]之间，则标记为0，否则标记为1。
[0015]进一步的，所述将提取出的关键特征转换为机器学习的特征向量，对于NXDOMAIN记录，如果数据集中一条数据出现“NXDOMAIN”响应，则标记为0，否则标记为1。
[0016]进一步的，所述将提取出的关键特征转换为机器学习的特征向量，对于最近添加的A记录与NS记录，首先建立一个历史A记录和NS记录的集合，如果数据集中一条数据的A记录或NS记录从未在集合中出现过，则标记该条数据为0，否则标记为1。
[0017]进一步的，对于域名，所述将提取出的关键特征转换为机器学习的特征向量，包括：
[0018]去除域名中的分割符；
[0019]删除所有域名的顶级域TLD；
[0020]统计每个二级域名SLD名称中的字符；
[0021]为统计的字符创建词汇表；
[0022]为词汇表中的每个字符分配一个唯一的整数标签；
[0023]将SLD名称中的每个字符替换为对应的整数标签，从而得到该标签所代表的特征向量。
[0024]进一步的，所述代价敏感的LSTM网络的损失函数为：
[0025][0026]其中，pos表示小数样本的集合，neg表示多数样本的集合，x
i
表示少数集合或者多数集合中的一个样本，y
i
表示样本x
i
对应的真实标签，p
i
为对样本x
i
的预测概率，C代表惩罚系数。
[0027]本申请还提出了一种低吞吐量DNS隐蔽信道检测装置，包括处理器以及存储有若干计算机指令的存储器，所述计算机指令被处理器执行时实现所述低吞吐量DNS隐蔽信道检测方法的步骤。
[0028]本申请提出的一种低吞吐量DNS隐蔽信道检测方法及装置，利用SPP
‑
NET网络对包含任意域名长度的特征向量进行检测，并对SPP
‑
NET网络做出改进，提高网络的感受野来增加少数样本的感受度，有效提取目标的空间特征；最后结合代价敏感的LSTM网络进一步提升少数样本的决策权重，并有效提取目标的时间特征。通过SPP
‑
NET
‑
LSTM网络，有效增加少数隐蔽信道样本的话语权。本申请可以有效的检测出低吞吐量下的DNS隐蔽信道，并将其相关域设置为禁止访问，从而阻止信息通过这种不易察觉的低吞吐量的隐蔽信道继续泄露。
附图说明
[0029]图1为本申请一种低吞吐量DNS隐蔽信道检测方法流程图；
[0030]图2为现有技术SPP
‑
Net网络结构示意图；
[0031]图3为本申请改进的SPP
‑
Net网络结构示意图；
[0032]图4为本申请SPP
‑
Net
‑
LSTM检测模型结构示意图。
具体实施方式
[0033]为了使本申请的目的、技术方案及优点更加清楚明白，以下本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种低吞吐量DNS隐蔽信道检测方法，其特征在于，所述低吞吐量DNS隐蔽信道检测方法，包括：捕获低吞吐量DNS隐蔽信道活动的数据集，提取出数据集中的用于检测的关键特征，将提取出的关键特征转换为机器学习的特征向量；将数据集对应的特征向量输入到构建好的SPP
‑
Net
‑
LSTM检测模型中，训练得到SPP
‑
Net
‑
LSTM检测模型，所述SPP
‑
Net
‑
LSTM检测模型包括改进的SPP
‑
Net网络与代价敏感的LSTM网络，其中所述改进的SPP
‑
Net网络中SPP池化层包括并列的1*1、2*2、3*3和4*4四个池化核，所述SPP池化层的输出直接连接代价敏感的LSTM网络；将训练好的SPP
‑
Net
‑
LSTM检测模型用于实时检测，如检测出异常立即将对应的域设置为不可访问。2.根据权利要求1所述的低吞吐量DNS隐蔽信道检测方法，其特征在于，所述捕获低吞吐量DNS隐蔽信道活动的数据集，还包括：对数据集中正常样本进行欠采样操作，降低正常样本的数量。3.根据权利要求1所述的低吞吐量DNS隐蔽信道检测方法，其特征在于，所述提取出数据集中的用于检测的关键特征，包括域名、资源记录、TTL值、特定域名的主机名个数、相同TLD下两个请求的时间差、NXDOMAIN记录、最近添加的A记录与NS记录中的一种或多种。4.根据权利要求3所述的低吞吐量DNS隐蔽信道检测方法，其特征在于，所述将提取出的关键特征转换为机器学习的特征向量，对于资源记录，如果出现不常使用的记录，则标记为0，否则标记为1。5.根据权利要求3所述的低吞吐量DNS隐蔽信道检测方法，其特征...

【专利技术属性】
技术研发人员：章坚武，安彦军，
申请(专利权)人：杭州电子科技大学，
类型：发明
国别省市：