本發明提供DNS隧道識別方法、DNS隧道識別裝置、存儲介質。DNS隧道識別方法，包括：DNS隧道檢測模型建立步驟，模擬DNS隧道，抓取DNS隧道數據和正常DNS數據并按倒數第二級域名分組，將分組后的每組數據的特征作為訓練數據而建立DNS隧道檢測模型；DNS隧道疑似度閾值計算步驟，抓取正常DNS數據中的與DNS隧道數據相似的數據并按倒數第二級域名分組，將分組后的每組數據的特征分別輸入到DNS隧道檢測模型，將各組數據的DNS隧道檢測模型的輸出值中的最大值作為DNS隧道疑似度第一閾值；DNS隧道檢測步驟，將待檢測DNS數據的特征輸入到DNS隧道檢測模型，當待檢測DNS數據的DNS隧道檢測模型的輸出值高于DNS隧道疑似度第一閾值時判斷為待檢測DNS數據是DNS隧道數據。

技術領域

本發明涉及網絡安全技術，特別涉及DNS隧道識別方法、DNS隧道識別裝置、存儲介質。

背景技術

現有的DNS(域名系統)隧道檢測技術，主要采取DGA(域名生成方法)域名判斷、威脅情報匹配、機器學習判斷等方式，具有許多不足，難以滿足網絡安全的縱深防御體系需要。

具體而言，單從域名的信息熵、長度等特征辨別DGA域名，進而認為是DNS隧道。這種DNS隧道檢測技術，準確度低，未考慮DNS隧道的其他特征。威脅情報匹配則依賴威脅情報的準確度，一旦威脅情報有假或失效，則影響DNS隧道判斷。在已有的機器學習方式中，特征考慮不全面，準確度低。現有的DNS隧道檢測技術缺乏高效的正常請求排除機制，存在正常情況誤判，易將CDN(內容分發網絡)、WAF(web應用防火墻)等廠商CNAME(別名)牽引域名誤認為是DNS隧道流量。

發明內容

有鑒于此，本發明的目的在于提供一種能夠提高DNS隧道識別的準確率的DNS隧道識別技術。

根據本發明的一個方面，提供一種DNS隧道識別方法，包括：

DNS隧道檢測模型建立步驟，模擬DNS隧道來傳輸DNS隧道數據，抓取所模擬的DNS隧道數據和正常網站的正常DNS數據，將所抓取的DNS隧道數據和正常DNS數據按照倒數第二級域名進行分組，對按照倒數第二級域名分組后的每組數據分別提取特征，將每組數據的特征作為訓練數據進行訓練而建立DNS隧道檢測模型；

DNS隧道疑似度閾值計算步驟，抓取正常DNS數據中的與DNS隧道數據相似的數據，將所抓取的與DNS隧道數據相似的數據按照倒數第二級域名進行分組，對按照倒數第二級域名分組后的每組數據分別提取特征，將每組數據的特征分別輸入到所建立的DNS隧道檢測模型來得到各組數據的輸出值，將各組數據的DNS隧道檢測模型的輸出值中的最大值作為DNS隧道疑似度第一閾值；以及

DNS隧道檢測步驟，對待檢測DNS數據提取特征，將待檢測DNS數據的特征輸入到所建立的DNS隧道檢測模型來得到待檢測DNS數據的輸出值，當待檢測DNS數據的DNS隧道檢測模型的輸出值高于DNS隧道疑似度第一閾值時判斷為待檢測DNS數據是DNS隧道數據。

根據本發明的另一個方面，提供一種DNS隧道識別裝置，包括：

存儲器，其上存儲有指令；以及

處理器，被配置為執行存儲在所述存儲器上的指令，以執行上述DNS隧道識別方法。

根據本發明的另一個方面，提供一種計算機可讀存儲介質，包括計算機可執行指令，所述計算機可執行指令在由一個或多個處理器執行時，使得所述一個或多個處理器執行上述DNS隧道識別方法。

根據本發明，通過制造DNS隧道數據并抓取、分組、提取特征、訓練來建立DNS隧道檢測模型，并利用正常DNS數據中的與DNS隧道數據相似的數據計算DNS隧道疑似度閾值，從而能夠提高DNS隧道的檢測精度，降低誤判率，提升了網絡安全的深度檢測能力。

附圖說明

圖1是本發明實施方式的DNS隧道檢測模型的訓練過程。