本發明提供一種基于神經網絡的DNS隱蔽信道檢測方法，將深度學習應用在DNS隱蔽信道檢測的技術領域，提高了現有的DNS隱蔽信道檢測方法的準確率、降低了現有的DNS隱蔽信道檢測方法的誤報率，將數值特征和字符特征結合使用，降低了模型訓練時間，提高準確率，將可疑域名用whois查詢，根據規則自動判斷域名是否合法，將與神經網絡預測結果不符的域名重新訓練神經網絡，形成循環，持續改善神經網絡。

技術領域

本發明涉及隱蔽信道檢測方法技術領域，尤其涉及一種基于神經網絡的DNS隱蔽信道檢測方法。

背景技術

DNS域名系統在當今互聯網的運行中起著至關重要的作用，它提供了域名與IP地址之間的雙向映射服務，它使得人們可以不用去記憶那些為了讓機器讀取的IP數串，只需要記住相對有意義的域名即可。因為DNS是網絡通信中必不可少的，所以很少有防火墻和入侵檢測系統會對DNS流量進行過濾，這就為黑客們利用DNS進行攻擊提供了條件。

DNS Tunneling，是隱蔽信道的一種，通過將其他協議封裝在DNS協議中傳輸建立通信。黑客們可以利用它實現諸如遠程控制、文件傳輸等操作。現在越來越多的研究證明DNS隱蔽信道也經常在僵尸網絡和APT攻擊中扮演著重要的角色。DNS隱蔽信道可以分為直連和中繼兩種方式。直連是指客戶端和指定的目標DNS 服務器直接連接，將數據編碼封裝在DNS協議中進行通信，這種方式速度快，但是隱蔽性弱，而且很多時候不允許自己指定DNS服務器，應用場景有限。中繼的方式是指當本地DNS服務器無法回答用戶需要解析的域名時，本地DNS服務器會通過互聯網與DNS查詢服務器進行查詢，比如從net域的服務器得到xxx.net域的授權服務器地址，最后定位到所查詢域的權威DNS服務器，形成一個邏輯信道進行通信。黑客們將通信的數據封裝在客戶端查詢的請求中，最終到達被黑客控制的權威DNS服務器，進而在該權威DNS服務器解析獲得數據，再將響應信息封裝在DNS協議響應中返回，達到隱蔽通信的目的。

專利“一種基于神經網絡的DNS隱蔽信道檢測方法”中，提出的方法是先根據閾值篩選出域名超長的DNS查詢請求消息，然后對發送端IP地址和查詢域名中的純域名進行計數，一次來判斷是否存在隱蔽信道。方法過于簡單，缺乏更多的依據，效果并不理想。

專利“一種基于神經網絡的DNS隱蔽信道檢測方法”中，根據7個特征來生成隨機森林，分別是DNS會話時長、DNS數據包總數、“上行大包”占DNS請求包總數的比例、“下行小包”占DNS響應報總數的比例、有效載荷的上傳下載比、域名的對應的主機名數量和主動探測DNS會話中出現的域名，其中前6個特征都是數量型特征，作為實時評估向量，最后一個特征作為備選評估向量。

Almusawi等人提出了采用多標簽或所謂的核支持向量機分類器來處理DNS隧道類型的分類問題。這篇文章不僅僅是把DNS隱蔽信道檢測作為二分類問題，即分類標簽只有合法的和隧道的，而是把隧道的又細分為FTP-DNS隧道、HTTP-DNS隧道、HTTP-DNS隧道和POP3-DNS隧道。這樣做會把分類任務集中到對隧道類型的分類上，具有一定的研究價值，但是在實際應用中，我們更關心的是識別出是合法的還是隧道的，而沒有必要過多的考慮隧道類型。

發明內容

本發明的目的就在于為了解決上述問題而提供一種基于神經網絡的DNS隱蔽信道檢測方法。

本發明通過以下技術方案來實現上述目的：

本發明包括以下步驟：

S1：對收集到的域名樣本進行處理，包括分類、提取二級域名和生成詞向量等，得到可以用來訓練神經網絡的訓練樣本；

S2：用訓練好的神經網絡模型識別待檢測域名，若神經網絡給出的該域名存在DNS隱蔽信道的概率超過預先設定的閾值，則將其標注為可疑域名；

S3：對可疑域名，用whois查詢模塊查詢其一級域名，根據注冊時間等信息，判斷其是否合法；