本申請公開了一種DNS隧道上層協議的類型的識別方法及裝置，其中，所述方法包括：基于待檢測的DNS隧道流量獲得其第一特征信息；將所述第一特征信息輸入訓練完成的用于檢測DNS隧道上層協議的類型的識別模型中，以確定出所述待檢測的DNS隧道流量中所使用的上層協議的類型。本申請通過模型訓練獲得檢測DNS隧道流量中所使用的上層協議的類型的識別模型，利用該識別模型對DNS隧道流量進行檢測，能方便準確地確定其中所使用的上層協議的類型，以便對DNS隧道中的惡意行為進行進一步的取證分析。

技術領域

本申請涉及網絡安全技術領域，特別涉及一種DNS隧道上層協議的類型的識別方法和裝置。

背景技術

在網絡環境中，DNS協議(Domain Name Server，域名服務協議，或Domain NameSystem，域名服務系統協議)是必不可少的網絡通信協議之一，為了訪問互聯網和內網資源，DNS可以提供域名解析服務，將域名和IP地址進行轉換。而網絡設備和邊界防護設備在一般情況下很少對DNS數據進行過濾、分析或屏蔽，因此將數據或指令藏匿于DNS協議中進行傳輸是一種隱蔽且有效的網絡操作行為。而一些非法攻擊者可能會利用上述技術原理，通過DNS隧道技術來達到避開防火墻的檢測，例如將網絡流量偽裝成DNS流量，再通過DNS的正常走向將流量傳出來，進而實現非法目的。

為了對DNS隧道中的惡意行為進行取證分析，需要對DNS隧道流量進行深入分析，首先需要獲取DNS隧道流量，然后對DNS隧道流量進行檢測以對所使用的上層協議的類型、通信雙方、通信的內容進行分析。目前，現有技術中針對DNS隧道上層協議的類型的識別涉及的方案比較少，無法準確的識別出DNS隧道中所使用的上層協議的類型。

發明內容

本申請實施例的目的在于提供一種DNS隧道上層協議的類型的識別方法，用于解決現有技術中無法準確的識別出DNS隧道中所使用的上層協議的類型的問題，該方法能夠通過訓練完成的識別模型對DNS隧道流量進行檢測，能方便而準確地識別出其中所使用的上層協議的類型。

為了解決上述技術問題，本申請的實施例采用了如下技術方案：一種DNS隧道上層協議的類型的識別方法，包括如下步驟：

基于待檢測的DNS隧道流量獲得其第一特征信息；

將所述第一特征信息輸入訓練完成的用于檢測DNS隧道上層協議的類型的識別模型中，以確定出所述待檢測的DNS隧道流量中所使用的上層協議的類型。

作為優選，所述基于待檢測的DNS隧道流量獲得其第一特征信息，包括：

獲取包含所述待檢測的DNS隧道流量的第一文件數據；

將所述第一文件數據中具有相匹配的請求包和響應包的數據文件提取出來作為第二文件數據；

基于對第二文件數據分析獲得所述第一特征信息；

根據所述第一特征信息生成第一特征向量，所述第一特征向量用于輸入所述訓練完成的識別模型進行檢測。

可選的，所述第一特征信息包括：

與所述待檢測的DNS隧道流量相應的IP Packet長度信息；和/或

與所述待檢測的DNS隧道流量相應的DNS查詢信息。

作為優選，所述方法還包括采用集成算法訓練獲得所述訓練完成的識別模型，具體包括：

收集所述DNS隧道中的DNS隧道流量樣本；

基于所述DNS隧道流量樣本獲得其第二特征信息；

構建待訓練的識別模型，輸入所述第二特征信息并采用集成算法對所述待訓練的識別模型進行訓練以獲得所述訓練完成的識別模型。