[发明专利]域名系统隐藏信道的检测方法及装置

说明书

本说明书一个或多个实施例提供一种域名系统隐藏信道的检测方法及装置，包括：从流量数据中提取请求端特征和响应端特征；将所述请求端特征和响应端特征处理为特征向量，以便输入预设的流量检测模型，得到流量检测结果；响应于所述流量检测结果为异常流量，利用预设的规则库对所述流量数据进行检测，得到威胁检测结果。本说明书能够实现域名系统隐藏信道的检测，提高检测准确性。

技术领域

本说明书一个或多个实施例涉及信息安全技术领域，尤其涉及一种域名系统隐藏信道的检测方法及装置。

背景技术

利用域名系统(Domain Name System，DNS)协议制造隐藏信道，利用隐藏信道进行远程控制、窃取数据等恶意攻击是攻击者的常用攻击手段。目前的一些DNS隐藏信道检测方法，通过持续检测请求端流量大小与正常流量大小的区别识别DNS隐藏信道，由于未考虑响应端流量中可能存在的隐藏信道特征，导致漏报率较高；有些方法基于马尔科夫决策方法检测DNS隐藏信道，但是对网络环境要求很高，在大型网络系统中难以实现。

发明内容

有鉴于此，本说明书一个或多个实施例的目的在于提出一种域名系统隐藏信道的检测方法及装置，以解决DNS隐藏信道的检测问题。

基于上述目的，本说明书一个或多个实施例提供了域名系统隐藏信道的检测方法，包括：

从流量数据中提取请求端特征和响应端特征；

将所述请求端特征和响应端特征处理为特征向量，以便输入预设的流量检测模型，得到流量检测结果；

响应于所述流量检测结果为异常流量，利用预设的规则库对所述流量数据进行检测，得到威胁检测结果。

可选的，得到威胁检测结果之后，还包括：

响应于所述威胁检测结果为未知威胁，确定所述异常流量的持续时间；

分析在所述持续时间内，所述流量数据中有关文件传输的行为；

响应于所述行为为异常行为，对所述异常行为进行阻断处理。

可选的，响应于所述行为为异常行为，包括：

所述行为为获取特定文件；或者，

所述行为为上传文件或下载文件，且所述文件中包括特定特征。

可选的，分析在所述持续时间内，所述流量数据中有关文件传输的行为之后，还包括：

响应于所述行为为未知行为，将所述流量数据与后续的流量数据合并；

所述从流量数据中提取请求端特征和响应端特征为：从合并的流量数据中提取请求端数据和响应端数据。

可选的，将所述请求端特征和响应端特征处理为特征向量，包括：

对于具有相同的主域名的流量数据，根据所述请求端特征统计请求端流量特征，根据所述响应端特征统计响应端流量特征；

将所述请求端流量特征和响应端流量特征进行向量化处理，得到适于所述流量检测模型处理的特征向量。

可选的，根据所述请求端特征统计请求端流量特征，包括：

根据请求端的五元组，统计非IP协议的流量数据占全部流量数据的比例；根据请求端的数据内容，统计请求端的数据内容的平均长度；根据请求端的子域名，统计子域级数，非重复子域名占全部子域名的比例，以及子域名的平均香农熵；根据请求端的主域名及同一主域名下的各子域名，计算同一主域名下的子域名的平均香农熵；

根据所述响应端特征统计响应端流量特征，包括：