本發(fā)明涉及一種DNS隧道流量的檢測(cè)方法，包括以下步驟：建立訓(xùn)練模型，自造DNS隧道流量數(shù)據(jù)，抓取DNS正常流量數(shù)據(jù)；分別獲取其中的DNS協(xié)議隧道流量和DNS協(xié)議正常流量；設(shè)置截取框截取DNS協(xié)議隧道流量和DNS協(xié)議正常流量以得到訓(xùn)練分析單元；獲取各訓(xùn)練分析單元的特征以建立訓(xùn)練模型，檢測(cè)機(jī)器學(xué)習(xí)所述訓(xùn)練模型；進(jìn)行檢測(cè)，獲取待檢測(cè)DNS流量數(shù)據(jù)，并獲取其中的待檢測(cè)DNS協(xié)議流量；采用截取框截取待檢測(cè)DNS協(xié)議流量以得到待檢測(cè)分析單元，獲取各待檢測(cè)分析單元的特征，將各待檢測(cè)分析單元的特征輸入所述檢測(cè)機(jī)器以根據(jù)訓(xùn)練模型對(duì)各待檢測(cè)分析單元進(jìn)行檢測(cè)，以檢測(cè)出DNS隧道流量。本發(fā)明可以靈活的檢測(cè)出各類DNS隧道流量，降低檢測(cè)的成本，且檢測(cè)過程不易被繞過。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種DNS隧道流量的檢測(cè)方法。

背景技術(shù)

目前大多企業(yè)內(nèi)網(wǎng)環(huán)境中，DNS協(xié)議是必不可少的網(wǎng)絡(luò)通信協(xié)議之一，為了訪問互聯(lián)網(wǎng)和內(nèi)網(wǎng)資源，DNS可以提供域名解析服務(wù)，將域名和IP地址進(jìn)行轉(zhuǎn)換。網(wǎng)絡(luò)設(shè)備和邊界防護(hù)設(shè)備在一般情況下很少對(duì)DNS進(jìn)行過濾、分析或屏蔽，因此將數(shù)據(jù)或指令藏匿于DNS協(xié)議中進(jìn)行傳輸是一種隱蔽且有效的手段。在實(shí)際場(chǎng)景中，當(dāng)攻擊者拿下某臺(tái)服務(wù)器權(quán)限，或者服務(wù)器被惡意軟件、蠕蟲或木馬等感染之后，可以通過建立DNS隧道從而達(dá)到盜竊敏感信息、傳輸文件、回傳控制指令以及回彈Shell等目的。

針對(duì)上述安全問題，目前安全產(chǎn)品大多是基于監(jiān)控終端請(qǐng)求異常長(zhǎng)度的域名等規(guī)則進(jìn)行DNS隧道檢測(cè)，但是攻擊者可以使用商業(yè)滲透套件如Metasploit或Cobalt Strike等，或采用一些開源軟件iodine、ozymandns、dns2tcp、dnscat2等快速輕易地構(gòu)建DNS隱蔽隧道，還可以通過修改域名長(zhǎng)度或請(qǐng)求頻率等特征輕易繞過傳統(tǒng)的基于規(guī)則檢測(cè)DNS隧道的檢測(cè)模型。因此可以看出現(xiàn)有安全產(chǎn)品受制條件多，檢測(cè)能力有限，誤報(bào)高且容易被饒過。

因此有必要提供一種新的DNS隧道流量的檢測(cè)方法，以靈活的檢測(cè)出各類DNS隧道流量，降低檢測(cè)的成本，且檢測(cè)過程不易被繞過。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種DNS隧道流量的檢測(cè)方法，以靈活的檢測(cè)出各類DNS隧道流量，降低檢測(cè)的成本，且檢測(cè)過程不易被繞過。

為了解決現(xiàn)有技術(shù)中存在的問題，本發(fā)明提供了一種DNS隧道流量的檢測(cè)方法，包括以下步驟：

建立訓(xùn)練模型，自造DNS隧道流量數(shù)據(jù)，抓取DNS正常流量數(shù)據(jù)；分別獲取所述DNS隧道流量數(shù)據(jù)中的DNS協(xié)議隧道流量和所述DNS正常流量數(shù)據(jù)中的DNS協(xié)議正常流量；設(shè)置截取框截取DNS協(xié)議隧道流量和DNS協(xié)議正常流量以得到訓(xùn)練分析單元；獲取各訓(xùn)練分析單元的特征以建立訓(xùn)練模型，檢測(cè)機(jī)器學(xué)習(xí)所述訓(xùn)練模型；

進(jìn)行檢測(cè)，獲取待檢測(cè)DNS流量數(shù)據(jù)，并獲取所述待檢測(cè)DNS流量數(shù)據(jù)中的待檢測(cè)DNS協(xié)議流量；采用所述截取框截取待檢測(cè)DNS協(xié)議流量以得到待檢測(cè)分析單元，獲取各待檢測(cè)分析單元的特征，將各待檢測(cè)分析單元的特征輸入所述檢測(cè)機(jī)器以根據(jù)訓(xùn)練模型對(duì)各待檢測(cè)分析單元進(jìn)行檢測(cè)，以檢測(cè)出DNS隧道流量。

可選的，在所述DNS隧道流量的檢測(cè)方法中，截取DNS協(xié)議隧道流量和DNS協(xié)議正常流量包括以下步驟：

設(shè)置所述截取框能容納多條流量，所述截取框用于截取所述DNS協(xié)議隧道流量和所述DNS協(xié)議正常流量；

移動(dòng)所述DNS協(xié)議隧道流量或所述DNS協(xié)議正常流量；

每移動(dòng)一次所述DNS協(xié)議隧道流量或所述DNS協(xié)議正常流量，所述截取框截取一次，每次截取的多條所述DNS協(xié)議隧道流量或多條所述DNS協(xié)議正常流量為一個(gè)訓(xùn)練分析單元。

可選的，在所述DNS隧道流量的檢測(cè)方法中，截取待檢測(cè)DNS協(xié)議流量包括以下步驟：