[发明专利]域名系统隐蔽信道检测方法及装置

权利要求书

1.一种域名系统隐蔽信道检测方法，其特征在于，包括：

获取待检测的域名系统流量；

检测所述待检测的域名系统流量的子域名是否存在结构性特征，所述结构性特征表征利用域名系统数据泄露时域名采用的目标结构；

如果存在结构性特征，检测所述待检测的域名系统流量的子域名是否存在随机性特征，所述随机性特征表征利用域名系统子域名进行数据泄露时编码字段的随机特性；

如果是，生成域名系统异常的检测结果；

若所述待检测的域名系统流量的子域名不存在结构性特征，或者所述子域名不存在随机性特征，生成所述域名系统正常的检测结果；

所述结构性特征和随机性特征统称为域名结构性及随机性；结构性是指，在一次攻击中，用来做泄露的一批域名具备相似的结构；随机性是指，利用DNS子域名进行数据泄露时，泄露信息会编码在域名中，使其编码文件的字段具备一定的随机性。

2.根据权利要求1所述的方法，其特征在于，所述获取待检测的域名系统流量，包括：

获取域名系统流量；

对所述域名系统流量进行过滤，得到过滤后的流量；

对所述过滤后的流量进行截取，获得待检测的域名系统的流量。

3.根据权利要求1所述的方法，其特征在于，所述检测所述待检测的域名系统流量的子域名是否存在结构性特征，包括：

对所述待检测的域名系统流量的子域名进行结构性检测，得到第一检测结果；

若所述第一检测结果满足第一目标条件，检测得到所述待检测的域名系统流量的子域名存在结构性特征，所述第一目标条件包括所述子域名具备公共子串和/或所述子域名具备递增子串。

4.根据权利要求1所述的方法，其特征在于，所述检测所述待检测的域名系统流量的子域名是否存在随机性特征，包括：

检测所述待检测的域名系统流量的子域名中是否存在随机字串；

如果是，判定所述待检测的域名系统流量的子域名存在随机性特征。

5.根据权利要求2所述的方法，其特征在于，所述对所述过滤后的流量进行截取，获得待检测的域名系统的流量，包括：

利用目标截取分析单元对所述过滤后的流量进行截取，获得待检测的域名系统的流量；

响应于当前所述待检测的域名系统的流量获得检测结果，基于下一个目标截取分析单元获取下一待检测的域名系统的流量，以对所述下一待检测的域名系统的流量进行异常检测。

6.一种域名系统隐蔽信道检测装置，其特征在于，包括：

获取单元，用于获取待检测的域名系统流量；

第一检测单元，用于检测所述待检测的域名系统流量的子域名是否存在结构性特征，所述结构性特征表征利用域名系统数据泄露时域名采用的目标结构；

第二检测单元，用于如果存在结构性特征，检测所述待检测的域名系统流量的子域名是否存在随机性特征，所述随机性特征表征利用域名系统子域名进行数据泄露时编码字段的随机特性；

第一生成单元，用于如果是，生成域名系统异常的检测结果；

第二生成单元，用于若所述待检测的域名系统流量的子域名不存在结构性特征，或者所述子域名不存在随机性特征，生成所述域名系统正常的检测结果；

所述结构性特征和随机性特征统称为域名结构性及随机性；结构性是指，在一次攻击中，用来做泄露的一批域名具备相似的结构；随机性是指，利用DNS子域名进行数据泄露时，泄露信息会编码在域名中，使其编码文件的字段具备一定的随机性。

7.根据权利要求6所述的装置，其特征在于，所述获取单元包括：

获取子单元，用于获取域名系统流量；

过滤子单元，用于对所述域名系统流量进行过滤，得到过滤后的流量；

截取子单元，用于对所述过滤后的流量进行截取，获得待检测的域名系统的流量。