本發(fā)明提供了一種DNS隧道檢測(cè)方法、裝置及電子設(shè)備，其中，該方法包括：獲取待識(shí)別的目標(biāo)DNS流量，從目標(biāo)DNS流量中獲取DNS特征并確定目標(biāo)DNS流量的域名正常度；基于目標(biāo)DNS流量的DNS特征及域名正常度，識(shí)別目標(biāo)DNS流量是否為DNS隧道攻擊流量。通過本發(fā)明實(shí)施例提供的DNS隧道檢測(cè)方法、裝置及電子設(shè)備，不僅從DNS流量中提取DNS特征作為識(shí)別DNS流量是否為DNS隧道攻擊流量的判斷依據(jù)，同時(shí)還獲取了DNS流量的域名正常度，將該域名正常度也作為識(shí)別DNS流量是否為DNS隧道攻擊流量的判斷依據(jù)。該方法結(jié)合了DNS流量的DNS特征及域名正常度等多種不同的特征，可以更有效的識(shí)別出隱蔽的DNS隧道攻擊流量，識(shí)別結(jié)果準(zhǔn)確率更高，對(duì)于網(wǎng)絡(luò)安全具有重大的意義。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，具體而言，涉及一種DNS隧道檢測(cè)方法、裝置、電子設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

DNS（Domain Name System，域名系統(tǒng)）是網(wǎng)絡(luò)中的一項(xiàng)核心服務(wù)，是一種分布式網(wǎng)絡(luò)目錄服務(wù)，主要用于域名與IP地址的相互轉(zhuǎn)換，因此網(wǎng)絡(luò)中DNS流量通常不會(huì)被防火墻、入侵檢測(cè)系統(tǒng)、安全軟件等一般安全策略阻擋，使得基于DNS協(xié)議的隱蔽隧道的構(gòu)建有了得天獨(dú)厚的優(yōu)勢(shì)，攻擊者利用這一特點(diǎn)使用DNS協(xié)議隱匿惡意行為，實(shí)現(xiàn)木馬病毒的入侵、進(jìn)行數(shù)據(jù)交互和命令控制。例如，使用DNS隧道進(jìn)行文件外傳、使用域名生成算法(DomainGenerate Algorithm，DGA)進(jìn)行僵尸網(wǎng)絡(luò)控制、以及一些新型木馬利用DNS隧道作為遠(yuǎn)程控制的方式。由于現(xiàn)在多種網(wǎng)絡(luò)攻擊都依賴DNS協(xié)議來與攻擊者進(jìn)行數(shù)據(jù)交互和命令控制，如果能發(fā)現(xiàn)異常DNS流量,可以有效的打擊網(wǎng)絡(luò)犯罪。

針對(duì)這種利用DNS隧道進(jìn)行攻擊的行為，目前主要的檢測(cè)方式有對(duì)DNS隧道進(jìn)行規(guī)則檢測(cè)。但是隨著DNS隧道利用的改進(jìn)，很多情況DNS隧道并不能被檢出，如：利用域名長(zhǎng)度，有一些攻擊者為了躲避檢測(cè)，不會(huì)使用太長(zhǎng)的域名，而有一些正常的傳輸可能域名會(huì)比較長(zhǎng)，這就造成了使用域名長(zhǎng)度作為檢測(cè)規(guī)則時(shí)候的閾值設(shè)定問題。

隨著機(jī)器學(xué)習(xí)的迅速發(fā)展，很多人將目光放在如何使用機(jī)器學(xué)習(xí)對(duì)DNS隧道進(jìn)行檢測(cè)，但檢測(cè)DNS隧道的誤報(bào)率較高，檢測(cè)結(jié)果不是很準(zhǔn)確。

發(fā)明內(nèi)容

為解決檢測(cè)DNS隧道的誤報(bào)率較高，檢測(cè)結(jié)果不是很準(zhǔn)確的技術(shù)問題，本發(fā)明實(shí)施例提供一種DNS隧道檢測(cè)方法、裝置、電子設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

第一方面，本發(fā)明實(shí)施例提供了一種DNS隧道檢測(cè)方法，包括：獲取待識(shí)別的目標(biāo)DNS流量，從所述目標(biāo)DNS流量中獲取DNS特征，并確定所述目標(biāo)DNS流量的域名正常度，所述域名正常度能夠表示所述目標(biāo)DNS流量的域名的正常程度；基于所述目標(biāo)DNS流量的DNS特征及域名正常度，識(shí)別所述目標(biāo)DNS流量是否為DNS隧道攻擊流量。

可選地，確定所述目標(biāo)DNS流量的域名正常度包括：將所述目標(biāo)DNS流量的域名輸入至能夠判斷域名是否正常的深度學(xué)習(xí)分類模型，得到所述目標(biāo)DNS流量的域名正常的置信度，將所述目標(biāo)DNS流量的域名正常的置信度確定為所述目標(biāo)DNS流量的域名正常度。

可選地，該方法還包括：獲取正常域名，并從預(yù)先得到的樣本DNS隧道攻擊流量中提取出異常域名；根據(jù)所述正常域名和異常域名訓(xùn)練得到能夠判斷域名是否正常的所述深度學(xué)習(xí)分類模型。

可選地，在所述基于所述目標(biāo)DNS流量的DNS特征及域名正常度，識(shí)別所述目標(biāo)DNS流量是否為DNS隧道攻擊流量之前，該方法還包括：獲取多個(gè)樣本DNS流量，且所述樣本DNS流量分為樣本DNS隧道攻擊流量和樣本DNS正常流量；以及根據(jù)所述樣本DNS流量的DNS特征及所述樣本DNS流量的域名正常度訓(xùn)練得到能夠確定DNS流量是否為DNS隧道攻擊流量的識(shí)別模型，所述識(shí)別模型為機(jī)器學(xué)習(xí)模型。所述識(shí)別所述目標(biāo)DNS流量是否為DNS隧道攻擊流量包括：將所述目標(biāo)DNS流量的DNS特征及域名正常度輸入至所述識(shí)別模型，基于所述識(shí)別模型的輸出結(jié)果確定所述目標(biāo)DNS流量是否為DNS隧道攻擊流量。