[發(fā)明專利]DNS隧道識別方法、DNS隧道識別裝置、存儲介質在審
| 申請?zhí)枺?/td> | 202110550566.1 | 申請日: | 2021-05-20 |
| 公開(公告)號: | CN115378621A | 公開(公告)日: | 2022-11-22 |
| 發(fā)明(設計)人: | 吳波;汪來富;劉東鑫;溫展鵬;金華敏 | 申請(專利權)人: | 中國電信股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L61/4511;H04L41/142;G06N20/00;G06N20/10;G06N20/20;G06N5/00 |
| 代理公司: | 中國貿促會專利商標事務所有限公司 11038 | 代理人: | 李今子 |
| 地址: | 100033 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | dns 隧道 識別 方法 裝置 存儲 介質 | ||
1.一種DNS隧道識別方法,包括:
DNS隧道檢測模型建立步驟,模擬DNS隧道來傳輸DNS隧道數(shù)據(jù),抓取所模擬的DNS隧道數(shù)據(jù)和正常網(wǎng)站的正常DNS數(shù)據(jù),將所抓取的DNS隧道數(shù)據(jù)和正常DNS數(shù)據(jù)按照倒數(shù)第二級域名進行分組,對按照倒數(shù)第二級域名分組后的每組數(shù)據(jù)分別提取特征,將每組數(shù)據(jù)的特征作為訓練數(shù)據(jù)進行訓練而建立DNS隧道檢測模型;
DNS隧道疑似度閾值計算步驟,抓取正常DNS數(shù)據(jù)中的與DNS隧道數(shù)據(jù)相似的數(shù)據(jù),將所抓取的與DNS隧道數(shù)據(jù)相似的數(shù)據(jù)按照倒數(shù)第二級域名進行分組,對按照倒數(shù)第二級域名分組后的每組數(shù)據(jù)分別提取特征,將每組數(shù)據(jù)的特征分別輸入到所建立的DNS隧道檢測模型來得到各組數(shù)據(jù)的輸出值,將各組數(shù)據(jù)的DNS隧道檢測模型的輸出值中的最大值作為DNS隧道疑似度第一閾值;以及
DNS隧道檢測步驟,對待檢測DNS數(shù)據(jù)提取特征,將待檢測DNS數(shù)據(jù)的特征輸入到所建立的DNS隧道檢測模型來得到待檢測DNS數(shù)據(jù)的輸出值,當待檢測DNS數(shù)據(jù)的DNS隧道檢測模型的輸出值高于DNS隧道疑似度第一閾值時判斷為待檢測DNS數(shù)據(jù)是DNS隧道數(shù)據(jù)。
2.根據(jù)權利要求1所述的DNS隧道識別方法,其中,
在所述DNS隧道檢測步驟中,抓取預定數(shù)量的DNS數(shù)據(jù)或者每隔預定時間抓取該預定時間內的DNS數(shù)據(jù),將所抓取的DNS數(shù)據(jù)按照倒數(shù)第二級域名進行分組,將分組后的每組DNS數(shù)據(jù)分別作為所述待檢測DNS數(shù)據(jù)。
3.根據(jù)權利要求1或者2所述的DNS隧道識別方法,其中,
從待檢測DNS數(shù)據(jù)中剔除已知白名單DNS數(shù)據(jù)。
4.根據(jù)權利要求1或者2所述的DNS隧道識別方法,其中,
在所述DNS隧道疑似度閾值計算步驟中,設置比DNS隧道疑似度第一閾值大的DNS隧道疑似度第二閾值,
在所述DNS隧道檢測步驟中,當待檢測DNS數(shù)據(jù)的DNS隧道檢測模型的輸出值高于DNS隧道疑似度第一閾值時進一步判斷待檢測DNS數(shù)據(jù)的DNS隧道檢測模型的輸出值是否高于DNS隧道疑似度第二閾值,當待檢測DNS數(shù)據(jù)的DNS隧道檢測模型的輸出值高于DNS隧道疑似度第二閾值時判斷為待檢測DNS數(shù)據(jù)是DNS隧道數(shù)據(jù)。
5.根據(jù)權利要求1所述的DNS隧道識別方法,其中,
所述特征包括與DNS的記錄類型有關的特征、與DNS請求有關的特征以及與DNS響應有關的特征中的至少一項。
6.根據(jù)權利要求5所述的DNS隧道識別方法,其中,
與DNS的記錄類型有關的特征包括記錄類型占比特征,
與DNS請求有關的特征包括末級域名請求名稱信息熵特征、末級請求域名長度特征、末級域名最大生存時間特征、倒數(shù)第二級域名查詢每秒查詢率特征、末級域名歷史出現(xiàn)率特征以及末級域名緩存率特征中的至少一項;
與DNS響應有關的特征包括回復項信息熵特征、回復項長度特征以及末級域名響應時間特征中的至少一項。
7.根據(jù)權利要求1所述的DNS隧道識別方法,其中,
正常DNS數(shù)據(jù)中的與DNS隧道數(shù)據(jù)相似的數(shù)據(jù)包括內容分發(fā)網(wǎng)絡的DNS數(shù)據(jù)、對象存儲的DNS數(shù)據(jù)、web應用防火墻的DNS數(shù)據(jù)、安全內容分發(fā)網(wǎng)絡的DNS數(shù)據(jù)或者家用動態(tài)域名系統(tǒng)數(shù)據(jù)。
8.根據(jù)權利要求1所述的DNS隧道識別方法,其中,
倒數(shù)第二級域名是DNS數(shù)據(jù)中的第一個點之后的字符串。
9.一種DNS隧道識別裝置,包括:
存儲器,其上存儲有指令;以及
處理器,被配置為執(zhí)行存儲在所述存儲器上的指令,以執(zhí)行以根據(jù)權利要求1至8中的任一項所述的方法。
10.一種計算機可讀存儲介質,包括計算機可執(zhí)行指令,所述計算機可執(zhí)行指令在由一個或多個處理器執(zhí)行時,使得所述一個或多個處理器執(zhí)行根據(jù)權利要求1至8中的任意一項所述的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國電信股份有限公司,未經(jīng)中國電信股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110550566.1/1.html,轉載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:參數(shù)配置方法、裝置和存儲介質
- 下一篇:施力組件和微流控芯片組件
- 實現(xiàn)DNS區(qū)創(chuàng)建同步的方法、服務器以及域名系統(tǒng)
- 一種實現(xiàn)可離線化DNS服務的方法及裝置
- DNS查詢流量控制方法、設備和系統(tǒng)
- 一種避免DNS污染的方法
- 用于集成內部和云域名系統(tǒng)的方法和系統(tǒng)
- 一種DNS數(shù)據(jù)包轉發(fā)方法、系統(tǒng)及路由器
- 一種VPN客戶端代理DNS的方法及裝置
- 區(qū)塊鏈域名系統(tǒng)DNS系統(tǒng)的數(shù)據(jù)更新方法及網(wǎng)絡節(jié)點
- 一種DNS域名獲取系統(tǒng)及方法
- 域名劫持防御方法及裝置、計算機裝置及存儲介質
