一種研判DNS隱蔽隧道的檢測方法及裝置涉及信息安全技術領域。本發明由DNS流量采集和解析模塊、高頻白名單域名過濾器、子域名長度識別模塊、子域名編碼格式識別模塊、策略研判結果記錄器、域名備案查詢器、單位時間設定器、子域名獨占訪問比率判斷器組成；本發明采用DNS隱蔽隧道人工智能模型檢測加子域名編碼檢測、子域名長度檢測、域名備案查詢及單位時間段內的唯一子域比率閾值檢測多種系列研判流程，極大降低DNS隱蔽隧道誤判比率。

技術領域

本發明涉及信息技術領域，特別是信息安全技術領域。

背景技術

DNS 通道是隱蔽通道的一種，通過將其他協議封裝在DNS協議中進行數據傳輸。由于大部分防火墻和入侵檢測設備很少會過濾DNS流量，從而可以利用它實現諸如遠程控制、文件傳輸等操作。在僵尸網絡和APT攻擊場景中，DNS隱蔽通道通常扮演著重要的角色，檢測DNS隱蔽隧道對于發現網絡攻擊中失陷主機及主控端信息具有非常重要意義。

目前主流使用的DNS隱蔽隧道工具，包括cs_dnstunnel、dns2tcp、dnscat、dnscat2、iodine、cobaltstrike、ozymandns、heyoka、tcp-over-dns、DNScapy、SplitBrain等，已有的檢測方法主要采用人工提規則或者采用AI人工智能方法。其中AI人工智能方法，本文用到了基于深度學習的DNS隱蔽隧道檢測方法技術，名稱是《一種基于深度學習的DNS隱蔽隧道檢測方法》，來自于國網思極網安科技(北京)有限公司申請的專利，專利號：CN201910243737。該篇專利文中使用CNN深度神經網絡方法，比傳統分類、聚類方法表現看起來更優，但是域名本身還是一個字符串文本信息，單純從文本組成異常來判斷域名是隱蔽隧道通信通道，通過人工研判分析結果，發現誤報率很高。

本發明用到的公知技術包括：

AI監測模塊：來自《一種基于深度學習的DNS隱蔽隧道檢測方法》公開的技術方案，采用CNN深度神經網絡算法，通過模擬環境搭建，收集DNS隱蔽隧道工具報文樣本數據，將pcap數據轉化為程序可處理的元數據，并標記為黑樣本數據。通過模擬環境搭建，分別收集正常域名訪問的報文樣本數據和cdn報文樣本數據，并將pcap數據轉化為程度刻度的元數據，分別標記為白樣本數據和cdn樣本數據。對收集到的樣本數據，進行隨機抽樣，并對其中80%樣本數據用來訓練模型，20%樣本數據驗證模型。通過CNN模型訓練和參數調整，形成檢測效果最優的檢測模型。

AI檢測模塊是將DNS隱蔽隧道AI檢測模型發布成服務方式，通過接口參數調用，即可獲得研判結果。將二級域名和子域名通過接口參數傳遞給AI檢測模塊的查詢接口，即可獲取該二級域名的子域名是否是DNS隱蔽隧道的結論。本發明的目的是降低單純使用AI檢測模塊帶來的DNS隱蔽隧道誤報率高的問題，AI檢測模塊本身不是本發明的發明內容。

發明內容

鑒于現有技術的不足，本發明提供的一種研判DNS隱蔽隧道的檢測方法及裝置由DNS流量采集和解析模塊、高頻白名單域名過濾器、子域名長度識別模塊、子域名編碼格式識別模塊、策略研判結果記錄器、域名備案查詢器、單位時間設定器、子域名獨占訪問比率判斷器組成；

DNS流量采集和解析模塊負責從原始流量中對DNS流量采集和解析，將DNS訪問日志轉化生成待檢測域名訪問日志；待檢測域名訪問日志包括：源ip、源端口、目的ip、目的端口、查詢域名、查詢類型名稱和查詢時間；DNS流量采集和解析模塊將待檢測域名訪問日志發送給高頻白名單域名過濾器；

高頻白名單域名過濾器存儲著高頻白名單域名，高頻白名單域名由最新alexa排名100萬域名和公開情報中收集的白名單域名組合形成；當待檢測域名訪問日志中的查詢域名屬于高頻白名單域名時，高頻白名單域名過濾器過濾并刪除查詢域名屬于高頻白名單域名的待檢測域名訪問日志；高頻白名單域名過濾器將查詢域名不屬于高頻白名單域名的待檢測域名訪問日志發送給AI檢測模塊和子域名長度識別模塊；