[发明专利]域名系统隐藏信道的检测方法及装置

权利要求书

1.域名系统隐藏信道的检测方法，其特征在于，包括：

从流量数据中提取请求端特征和响应端特征；

对于具有相同的主域名的流量数据，根据所述请求端特征统计请求端流量特征，根据所述响应端特征统计响应端流量特征；其中，统计请求端流量特征包括：根据请求端的五元组，统计非IP协议的流量数据占全部流量数据的比例；根据请求端的数据内容，统计请求端的数据内容的平均长度；根据请求端的子域名，统计子域级数，非重复子域名占全部子域名的比例，以及子域名的平均香农熵；根据请求端的主域名及同一主域名下的各子域名，计算同一主域名下的子域名的平均香农熵；统计响应端流量特征包括：根据响应端的数据内容，统计响应端的数据内容的平均长度；根据响应端的TTL，统计响应端的平均TTL；根据响应端的协议类型，统计非IP协议的数据内容的香农熵；

将所述请求端流量特征和响应端流量特征进行向量化处理，得到特征向量，以便输入预设的流量检测模型，得到流量检测结果；

响应于所述流量检测结果为异常流量，利用预设的规则库对所述流量数据进行检测，得到威胁检测结果；

响应于所述威胁检测结果为未知威胁，确定所述异常流量的持续时间；

分析在所述持续时间内，所述流量数据中有关文件传输的行为；

响应于所述行为为异常行为，对所述异常行为进行阻断处理；其中，所述异常行为包括匿名登录共享文件夹并获取特定文件，在上传或下载的文件中包括特定威胁类型的特定特征，在上传或下载文件的流量数据中存在威胁。

2.根据权利要求1所述的方法，其特征在于，分析在所述持续时间内，所述流量数据中有关文件传输的行为之后，还包括：

响应于所述行为为未知行为，将所述流量数据与后续的流量数据合并；

所述从流量数据中提取请求端特征和响应端特征为：从合并的流量数据中提取请求端数据和响应端数据。

3.根据权利要求1所述的方法，其特征在于，利用预设的规则库对所述流量数据进行检测，得到威胁检测结果，包括：

利用预设的威胁数据库对所述流量数据进行检测，得到威胁类型结果；

响应于所述威胁类型结果为未知威胁类型，将所述流量数据与预设的威胁规则库进行匹配，得到威胁匹配结果。

4.根据权利要求3所述的方法，其特征在于，所述威胁规则库包括多条由不同威胁特征按照特定规则构成的正则表达式；

将所述流量数据与预设的威胁规则库进行匹配，包括：

从所述流量数据中提取待匹配特征；

将所述待匹配特征与所述正则表达式进行匹配。

5.根据权利要求3所述的方法，其特征在于，还包括：

根据获取的威胁数据，更新所述威胁数据库；

根据获取的威胁规则，更新所述威胁规则库。

6.域名系统隐藏信道的检测装置，其特征在于，包括：

特征提取模块，用于从流量数据中提取请求端特征和响应端特征；

流量分类模块，用于对于具有相同的主域名的流量数据，根据所述请求端特征统计请求端流量特征，根据所述响应端特征统计响应端流量特征；其中，统计请求端流量特征包括：根据请求端的五元组，统计非IP协议的流量数据占全部流量数据的比例；根据请求端的数据内容，统计请求端的数据内容的平均长度；根据请求端的子域名，统计子域级数，非重复子域名占全部子域名的比例，以及子域名的平均香农熵；根据请求端的主域名及同一主域名下的各子域名，计算同一主域名下的子域名的平均香农熵；统计响应端流量特征包括：根据响应端的数据内容，统计响应端的数据内容的平均长度；根据响应端的TTL，统计响应端的平均TTL；根据响应端的协议类型，统计非IP协议的数据内容的香农熵；将所述请求端流量特征和响应端流量特征进行向量化处理，得到特征向量，以便输入预设的流量检测模型，得到流量检测结果；

威胁检测模块，用于响应于所述流量检测结果为异常流量，利用预设的规则库对所述流量数据进行检测，得到威胁检测结果；

威胁处理模块，用于响应于所述威胁检测结果为未知威胁，确定所述异常流量的持续时间；分析在所述持续时间内，所述流量数据中有关文件传输的行为；响应于所述行为为异常行为，对所述异常行为进行阻断处理；其中，所述异常行为包括匿名登录共享文件夹并获取特定文件，在上传或下载的文件中包括特定威胁类型的特定特征，在上传或下载文件的流量数据中存在威胁。