[發(fā)明專利]一種DNS隧道檢測方法、裝置及電子設(shè)備有效
| 申請?zhí)枺?/td> | 202110883477.9 | 申請日: | 2021-08-03 |
| 公開(公告)號: | CN113347210B | 公開(公告)日: | 2021-10-29 |
| 發(fā)明(設(shè)計)人: | 于海東;蘇香艷 | 申請(專利權(quán))人: | 北京觀成科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12;G06N3/04;G06F16/35 |
| 代理公司: | 北京集佳知識產(chǎn)權(quán)代理有限公司 11227 | 代理人: | 牛亭亭 |
| 地址: | 100093 北京市海淀*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 dns 隧道 檢測 方法 裝置 電子設(shè)備 | ||
1.一種DNS隧道檢測方法,其特征在于,包括:
獲取待識別的目標(biāo)DNS流量,從所述目標(biāo)DNS流量中獲取DNS特征,并確定所述目標(biāo)DNS流量的域名正常度,所述域名正常度能夠表示所述目標(biāo)DNS流量的域名的正常程度;
基于所述目標(biāo)DNS流量的DNS特征及域名正常度,識別所述目標(biāo)DNS流量是否為DNS隧道攻擊流量;
其中,所述確定所述目標(biāo)DNS流量的域名正常度包括:
將所述目標(biāo)DNS流量的域名輸入至能夠判斷域名是否正常的深度學(xué)習(xí)分類模型,得到所述目標(biāo)DNS流量的域名正常的置信度,將所述目標(biāo)DNS流量的域名正常的置信度確定為所述目標(biāo)DNS流量的域名正常度。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括:
獲取正常域名,并從預(yù)先得到的樣本DNS隧道攻擊流量中提取出異常域名;
根據(jù)所述正常域名和異常域名訓(xùn)練得到能夠判斷域名是否正常的所述深度學(xué)習(xí)分類模型。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述基于所述目標(biāo)DNS流量的DNS特征及域名正常度,識別所述目標(biāo)DNS流量是否為DNS隧道攻擊流量之前,還包括:
獲取多個樣本DNS流量,且所述樣本DNS流量分為樣本DNS隧道攻擊流量和樣本DNS正常流量;以及
根據(jù)所述樣本DNS流量的DNS特征及所述樣本DNS流量的域名正常度訓(xùn)練得到能夠確定DNS流量是否為DNS隧道攻擊流量的識別模型,所述識別模型為機器學(xué)習(xí)模型;
所述識別所述目標(biāo)DNS流量是否為DNS隧道攻擊流量包括:將所述目標(biāo)DNS流量的DNS特征及域名正常度輸入至所述識別模型,基于所述識別模型的輸出結(jié)果確定所述目標(biāo)DNS流量是否為DNS隧道攻擊流量。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,還包括:
將所述樣本DNS流量的域名輸入至能夠判斷域名是否正常的深度學(xué)習(xí)分類模型,得到所述樣本DNS流量的域名正常的置信度,將所述樣本DNS流量的域名正常的置信度確定為所述樣本DNS流量的域名正常度。
5.根據(jù)權(quán)利要求1、2或4所述的方法,其特征在于,所述深度學(xué)習(xí)分類模型包括:詞嵌入層、長短期記憶網(wǎng)絡(luò)層、丟棄層、全連接層以及輸出層;
所述詞嵌入層用于將輸入的域名轉(zhuǎn)換為能夠用于神經(jīng)網(wǎng)絡(luò)運算的域名向量;
所述長短期記憶網(wǎng)絡(luò)層用于獲取所述域名向量的時序性特征;
所述丟棄層用于將所述長短期記憶網(wǎng)絡(luò)層輸出的所述時序性特征和/或部分權(quán)重按預(yù)設(shè)比例歸零;
所述全連接層用于將所述丟棄層歸零后輸出的所述時序性特征進(jìn)行綜合處理,作為輸入項輸入至所述輸出層;
所述輸出層用于對所述全連接層處理后的所述輸入項進(jìn)行二分類判斷,并輸出所述域名是否正常的置信度。
6.根據(jù)權(quán)利要求1-4任意一項所述的方法,其特征在于,所述DNS特征包括:會話特征及域名特征;
所述會話特征包括回應(yīng)次數(shù)、權(quán)威個數(shù)、請求長度、回應(yīng)長度、回復(fù)類型、請求響應(yīng)時間間隔中的一種或多種,所述域名特征包括域名總長度、域名中特殊字符個數(shù)、字母與數(shù)字的切換比例、查詢與響應(yīng)域名長度比中的一種或多種;
所述字母與數(shù)字的切換比例為DNS流量的域名的字符中出現(xiàn)相鄰字符分別是字母和數(shù)字的出現(xiàn)次數(shù)與DNS流量的域名的總字符數(shù)的比例。
7.一種DNS隧道檢測裝置,其特征在于,包括:獲取模塊及識別模塊;
所述獲取模塊用于獲取待識別的目標(biāo)DNS流量,從所述目標(biāo)DNS流量中獲取DNS特征,并確定所述目標(biāo)DNS流量的域名正常度,所述域名正常度能夠表示所述目標(biāo)DNS流量的域名的正常程度;
所述識別模塊用于基于所述目標(biāo)DNS流量的DNS特征及域名正常度,識別所述目標(biāo)DNS流量是否為DNS隧道攻擊流量;
其中,所述獲取模塊包括:計算單元;
所述計算單元用于將所述目標(biāo)DNS流量的域名輸入至能夠判斷域名是否正常的深度學(xué)習(xí)分類模型,得到所述目標(biāo)DNS流量的域名正常的置信度,將所述目標(biāo)DNS流量的域名正常的置信度確定為所述目標(biāo)DNS流量的域名正常度。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京觀成科技有限公司,未經(jīng)北京觀成科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110883477.9/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 實現(xiàn)DNS區(qū)創(chuàng)建同步的方法、服務(wù)器以及域名系統(tǒng)
- 一種實現(xiàn)可離線化DNS服務(wù)的方法及裝置
- DNS查詢流量控制方法、設(shè)備和系統(tǒng)
- 一種避免DNS污染的方法
- 用于集成內(nèi)部和云域名系統(tǒng)的方法和系統(tǒng)
- 一種DNS數(shù)據(jù)包轉(zhuǎn)發(fā)方法、系統(tǒng)及路由器
- 一種VPN客戶端代理DNS的方法及裝置
- 區(qū)塊鏈域名系統(tǒng)DNS系統(tǒng)的數(shù)據(jù)更新方法及網(wǎng)絡(luò)節(jié)點
- 一種DNS域名獲取系統(tǒng)及方法
- 域名劫持防御方法及裝置、計算機裝置及存儲介質(zhì)
