本發(fā)明提供一種DoH服務(wù)標(biāo)識(shí)方法及裝置，包括提取被動(dòng)流量及服務(wù)端口信息，構(gòu)建IP解析域名的反向解析系統(tǒng)；提取被動(dòng)流量的數(shù)據(jù)流特征，并將數(shù)據(jù)流特征輸入一DoH流量分類器；獲取DoH流量的服務(wù)端IP，并結(jié)合反向解析系統(tǒng)，得到一或多個(gè)DoH服務(wù)端域名；結(jié)合常用DoH服務(wù)端路徑，對(duì)每一DoH服務(wù)端域名構(gòu)造一或多個(gè)DoH請(qǐng)求；將各DoH請(qǐng)求發(fā)生至相應(yīng)的DoH服務(wù)端域名，對(duì)正確響應(yīng)的DoH服務(wù)端域名進(jìn)行標(biāo)識(shí)。本發(fā)明解決DoH流量與普通HTTPs流量混淆無法區(qū)分的問題，克服了常規(guī)方法中訓(xùn)練集負(fù)樣本缺失問題，保證DoH服務(wù)端標(biāo)識(shí)的正確性，具有有較高的解析覆蓋率，可隨著系統(tǒng)部署周期的增加而不斷提升識(shí)別正確率。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)領(lǐng)域，尤其涉及一種DoH服務(wù)標(biāo)識(shí)方法及裝置。

背景技術(shù)

域名系統(tǒng)(服務(wù))協(xié)議(Domain Name System，簡(jiǎn)稱DNS)是一種分布式網(wǎng)絡(luò)目錄服務(wù)，主要用于域名與IP地址的相互映射。但是，DNS協(xié)議在設(shè)計(jì)之初沒有考慮隱私安全問題，采用明文傳輸。這導(dǎo)致客戶端與服務(wù)器鏈路間的中間人可以看到、記錄甚至修改用戶的DNS往返數(shù)據(jù)包，對(duì)用戶隱私安全造成較大威脅。

國(guó)際互聯(lián)網(wǎng)工程任務(wù)組(The Internet Engineering Task Force，簡(jiǎn)稱IETF)是全球互聯(lián)網(wǎng)最具權(quán)威的技術(shù)標(biāo)準(zhǔn)化組織。2018年10月，IETF發(fā)布DoH(DNS-over-HTTPs)協(xié)議規(guī)范文檔RFC8484。DoH是一個(gè)安全化的域名解析方案，其意義在于以加密的HTTPs協(xié)議進(jìn)行DNS解析請(qǐng)求和應(yīng)答，避免原始DNS協(xié)議中DNS往返報(bào)文被竊聽或者修改的問題，來達(dá)到保護(hù)用戶隱私的目的。

DoH與HTTPs共享端口443，該端口將DoH查詢與其他HTTPs流量混合在一起，并采用了加密技術(shù)，因此給DoH流量識(shí)別和DoH服務(wù)端標(biāo)識(shí)工作帶來了困難。

發(fā)明內(nèi)容

為解決上述問題，本發(fā)明提供一種DoH服務(wù)標(biāo)識(shí)方法及裝置，從加密流量中發(fā)現(xiàn)并標(biāo)識(shí)DoH服務(wù)器，測(cè)繪DoH服務(wù)部署情況，為用戶提供DoH服務(wù)端選擇。

為達(dá)到上述目的，本發(fā)明采用如下技術(shù)方案：

一種DoH服務(wù)標(biāo)識(shí)方法，其步驟包括：

1)從待檢測(cè)加密流量中提取被動(dòng)流量及服務(wù)端口信息，收集被動(dòng)流量中DNS數(shù)據(jù)包，并依據(jù)所述DNS數(shù)據(jù)包，構(gòu)建一個(gè)IP解析域名的反向解析系統(tǒng)，其中被動(dòng)流量包括：DNS被動(dòng)流量和SSL/TLS被動(dòng)流量；

2)提取SSL/TLS被動(dòng)流量的數(shù)據(jù)流特征，并將數(shù)據(jù)流特征輸入一DoH流量分類器，得到DoH流量；

3)獲取DoH流量的服務(wù)端IP，并結(jié)合IP解析域名的反向解析系統(tǒng)，得到一或多個(gè)DoH服務(wù)端域名；

4)獲取常用DoH服務(wù)端路徑，并根據(jù)DoH服務(wù)端域名、服務(wù)端口信息及常用DoH服務(wù)端路徑，對(duì)每一DoH服務(wù)端域名構(gòu)造一或多個(gè)DoH請(qǐng)求；

5)將各DoH請(qǐng)求發(fā)送至相應(yīng)的DoH服務(wù)端域名，對(duì)正確響應(yīng)的DoH服務(wù)端域名進(jìn)行標(biāo)識(shí)；其中，通過以下步驟訓(xùn)練DoH流量分類器

a)獲取包括若干DoH流量數(shù)據(jù)的流量數(shù)據(jù)集，并根據(jù)DoH流量的數(shù)據(jù)信息重構(gòu)數(shù)據(jù)流，得到若干樣本流量；

b)提取各樣本流量的樣本數(shù)據(jù)流特征，并對(duì)樣本數(shù)據(jù)流特征進(jìn)行單分類機(jī)器學(xué)習(xí)訓(xùn)練，得到DoH流量分類器。

進(jìn)一步地，通過以下策略獲取IP解析域名的反向解析系統(tǒng)：

1)通過DNS數(shù)據(jù)包中的相關(guān)字段，提取的請(qǐng)求域名與響應(yīng)地址，并依據(jù)請(qǐng)求域名與響應(yīng)地址，獲取相應(yīng)的服務(wù)端IP與服務(wù)端域名，構(gòu)建IP解析域名的反向解析系統(tǒng)，其中所述相關(guān)字段包括：A字段或/和AAAA字段；

2)對(duì)于每個(gè)待反向映射的IP，在第三方庫(kù)中查詢對(duì)應(yīng)的服務(wù)端域名，其中第三方庫(kù)包括：IPIP或站長(zhǎng)之家。