本發明公開了一種低吞吐量DNS隱蔽信道檢測方法及裝置，捕獲低吞吐量DNS隱蔽信道活動的數據集，提取出數據集中的用于檢測的關鍵特征，將提取出的關鍵特征轉換為機器學習的特征向量，將數據集對應的特征向量輸入到構建好的SPP?Net?LSTM檢測模型中，訓練得到SPP?Net?LSTM檢測模型，將訓練好的SPP?Net?LSTM檢測模型用于實時檢測，如檢測出異常立即將對應的域設置為不可訪問。本發明對SPP?NET網絡做出改進，提高網絡的感受度來增加少數樣本的感受度，有效提取目標的空間特征。通過SPP?NET?LSTM網絡，有效增加少數隱蔽信道樣本的話語權，可以有效的檢測出低吞吐量下的DNS隱蔽信道，并將其相關域設置為禁止訪問，從而阻止信息通過這種不易察覺的低吞吐量的隱蔽信道繼續泄露。

技術領域

本申請屬于攻擊檢測技術領域，尤其涉及一種低吞吐量DNS隱蔽信道檢測方法及裝置。

背景技術

DNS對于幾乎所有應用程序來說都是如此重要的服務，從本地計算機到Internet的任何通信(不包括基于靜態IP的通信)都依賴于DNS服務，限制DNS通信可能會導致合法遠程服務的斷開，因此，企業防火墻通常配置為允許UDP端口53(由DNS使用)上的所有數據包，即DNS 流量通常允許通過企業防火墻而無需深度檢查或狀態維護。從攻擊者的角度來看，這使得DNS協議成為數據泄露地隱蔽通信通道。攻擊者利用DNS 的一種方法是注冊域名(例如，fengrou2019.club)，以便攻擊者在主機受害者中的惡意軟件可以將有價值的私人信息(例如信用卡號，登錄密碼或知識產權)編碼為形式為arbitrary-string.fengrou2019.club的DNS請求。此DNS請求由全局域名系統中的解析器轉發到fengrou2019.club域的權威服務器(在攻擊者的控制下)，后者又向主機受害者發送響應。這為攻擊者在主受害者及其命令和控制中心之間提供了低速但隱蔽的雙向通信信道。DNS這種穿透防火墻的能力為攻擊者提供了一個隱蔽的通道，盡管是低速通道，通過將其他協議(例如，SSH，FTP)隧道傳輸到命令和控制中心，可以通過該通道泄露私有數據并保持與惡意軟件的通信?，F代惡意軟件和網絡攻擊在很大程度上依賴于DNS服務，使其活動可靠且難以跟蹤。

隨著DNS隱蔽檢測技術的發展，對DNS隱蔽信道檢測已取得較大的成就。近年來，一些DNS隧道為了提高其隱蔽性，將活動頻率降低。它們在發送一個包后進入休眠狀態，等待一定的時間后，再發送下一個數據包，從而逃避檢測。然后這種低吞吐量的DNS隱蔽信道檢測缺容易被忽視，如果機密信息通過這種信道泄露，會造成嚴重的后果。

發明內容

本申請的目的是提供一種低吞吐量DNS隱蔽信道檢測方法及裝置，以準確檢測低吞吐量DNS隱蔽信道，降低攻擊風險。

為了實現上述目的，本申請技術方案如下：

一種低吞吐量DNS隱蔽信道檢測方法，包括：

捕獲低吞吐量DNS隱蔽信道活動的數據集，提取出數據集中的用于檢測的關鍵特征，將提取出的關鍵特征轉換為機器學習的特征向量；

將數據集對應的特征向量輸入到構建好的SPP-Net-LSTM檢測模型中，訓練得到SPP-Net-LSTM檢測模型，所述SPP-Net-LSTM檢測模型包括改進的SPP-Net網絡與代價敏感的LSTM網絡，其中所述改進的SPP-Net 網絡中SPP池化層包括并列的1*1、2*2、3*3和4*4四個池化核，所述 SPP池化層的輸出直接連接代價敏感的LSTM網絡；

將訓練好的SPP-Net-LSTM檢測模型用于實時檢測，如檢測出異常立即將對應的域設置為不可訪問。

進一步的，所述捕獲低吞吐量DNS隱蔽信道活動的數據集，還包括：

對數據集中正常樣本進行欠采樣操作，降低正常樣本的數量。