1.一種基于通信行為分析的DNS隧道木馬檢測方法，其特征是：包括數據包采集整合模塊、DNS會話重組模塊、隨機森林分類訓練模塊和DNS隧道木馬流量監測模塊； 數據包采集整合模塊：(1)網絡數據包采集和數據包過濾：首先從網絡出入口采集數據 包，采用WinPcap捕獲技術的底層過濾機制抓取DNS流量；捕獲到DNS數據包后，根據需求可對抓取的DNS報文校驗，目的是為了保證抓取的數據包符合DNS協議規范，防止DNS出錯報文情況的出現影響檢測精度；(2)DNS數據包隊列：經檢查后滿足DNS協議規范的DNS報文緩存下來，抽取用于檢測的關鍵信息后，存入DNS數據報文隊列；

DNS會話重組模塊：(1)DNS會話重組：將抓取的DNS流量按照五元組進行聚類，將DNS報文組成DNS會話；對所述DNS報文按照五元組進行聚類是采用哈希算法處理方法：首先在內存中創建五元組哈希表，如果DNS報文屬于當前哈希表中的某個DNS會話中，則將該報文鏈接在該五元組哈希會話鏈表后；如果該DNS報文的五元組哈希值不在這哈希會話鏈表中，則創建一個新的哈希會話，加入到該鏈表中；(2)將DNS會話數據流提取成DNS會話評估向量表示；DNS評估向量為會話時長，DNS數據包總數，“上行大包”占DNS請求包總數的比例，“下行小包”占DNS響應報總數的比例，有效載荷的上傳下載比，域名的對應的主機名數量；

隨機森林分類訓練模塊：(1)基于隨機森林的分析學習方法：訓練集中的樣本個數為n，然后利用Bootstrap法又放回采樣，隨機生成{X1 ,X2 ,......,Xk}個子訓練集，每個子訓練集的樣本個數也是n個，1≤k≤n，k和n為整數，子訓練集中的樣本是可重復的；每個訓練樣本集Xi是對應分類樹Ti的全部訓練數據；在樹的每個節點處，從7個特征中隨機挑選3個特征， 按照信息增益算法從這3個特征中選出一個信息增益最大的特征進行分裂生長；這棵樹進行充分的生長，最終生長成一棵完整的決策樹；所述7大特征為：DNS會話時長、DNS數據包總數、“上行大包”占DNS請求包總數的比例、“下行小包”占DNS響應報總數的比例、有效載荷的上傳下載比、域名的對應的主機名數量和主動探測DNS會話中出現的域名；(2)生產隨機森林：隨機森林是所有決策樹的集合，每棵決策樹Ti都會對輸入變量x輸出一個決策結果E (Ti)，如果判定是DNS隧道木馬流量，E(Ti)＝1；否則，E(Ti)＝0,統計所有k棵決策樹的投票

結果：

DNS隨動木馬流量監測模塊：對于輸入的DNS會話變量x，給出最終的DNS隧道木馬判定公式：

即若Y＝1，則判定DNS會話屬于DNS隧道木馬惡意流量；否則為正常流量。