CN112367312A - 一种研判dns隐蔽隧道的检测方法及装置 - Google Patents

一种研判dns隐蔽隧道的检测方法及装置 Download PDF

Info

Publication number
CN112367312A
CN112367312A CN202011194241.6A CN202011194241A CN112367312A CN 112367312 A CN112367312 A CN 112367312A CN 202011194241 A CN202011194241 A CN 202011194241A CN 112367312 A CN112367312 A CN 112367312A
Authority
CN
China
Prior art keywords
domain name
sub
detected
query
access log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011194241.6A
Other languages
English (en)
Other versions
CN112367312B (zh
Inventor
林飞
栾文娟
易永波
乔伟
赵光宗
古元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Act Technology Development Co ltd
Original Assignee
Beijing Act Technology Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Act Technology Development Co ltd filed Critical Beijing Act Technology Development Co ltd
Priority to CN202011194241.6A priority Critical patent/CN112367312B/zh
Publication of CN112367312A publication Critical patent/CN112367312A/zh
Application granted granted Critical
Publication of CN112367312B publication Critical patent/CN112367312B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种研判DNS隐蔽隧道的检测方法及装置涉及信息安全技术领域。本发明由DNS流量采集和解析模块、高频白名单域名过滤器、子域名长度识别模块、子域名编码格式识别模块、策略研判结果记录器、域名备案查询器、单位时间设定器、子域名独占访问比率判断器组成;本发明采用DNS隐蔽隧道人工智能模型检测加子域名编码检测、子域名长度检测、域名备案查询及单位时间段内的唯一子域比率阈值检测多种系列研判流程,极大降低DNS隐蔽隧道误判比率。

Description

一种研判DNS隐蔽隧道的检测方法及装置
技术领域
本发明涉及信息技术领域,特别是信息安全技术领域。
背景技术
DNS 通道是隐蔽通道的一种,通过将其他协议封装在DNS协议中进行数据传输。由于大部分防火墙和入侵检测设备很少会过滤DNS流量,从而可以利用它实现诸如远程控制、文件传输等操作。在僵尸网络和APT攻击场景中,DNS隐蔽通道通常扮演着重要的角色,检测DNS隐蔽隧道对于发现网络攻击中失陷主机及主控端信息具有非常重要意义。
目前主流使用的DNS隐蔽隧道工具,包括cs_dnstunnel、dns2tcp、dnscat、dnscat2、iodine、cobaltstrike、ozymandns、heyoka、tcp-over-dns、DNScapy、SplitBrain等,已有的检测方法主要采用人工提规则或者采用AI人工智能方法。其中AI人工智能方法,本文用到了基于深度学习的DNS隐蔽隧道检测方法技术,名称是《一种基于深度学习的DNS隐蔽隧道检测方法》,来自于国网思极网安科技(北京)有限公司申请的专利,专利号:CN201910243737。该篇专利文中使用CNN深度神经网络方法,比传统分类、聚类方法表现看起来更优,但是域名本身还是一个字符串文本信息,单纯从文本组成异常来判断域名是隐蔽隧道通信通道,通过人工研判分析结果,发现误报率很高。
本发明用到的公知技术包括:
AI监测模块:来自《一种基于深度学习的DNS隐蔽隧道检测方法》公开的技术方案,采用CNN深度神经网络算法,通过模拟环境搭建,收集DNS隐蔽隧道工具报文样本数据,将pcap数据转化为程序可处理的元数据,并标记为黑样本数据。通过模拟环境搭建,分别收集正常域名访问的报文样本数据和cdn报文样本数据,并将pcap数据转化为程度刻度的元数据,分别标记为白样本数据和cdn样本数据。对收集到的样本数据,进行随机抽样,并对其中80%样本数据用来训练模型,20%样本数据验证模型。通过CNN模型训练和参数调整,形成检测效果最优的检测模型。
AI检测模块是将DNS隐蔽隧道AI检测模型发布成服务方式,通过接口参数调用,即可获得研判结果。将二级域名和子域名通过接口参数传递给AI检测模块的查询接口,即可获取该二级域名的子域名是否是DNS隐蔽隧道的结论。本发明的目的是降低单纯使用AI检测模块带来的DNS隐蔽隧道误报率高的问题,AI检测模块本身不是本发明的发明内容。
发明内容
鉴于现有技术的不足,本发明提供的一种研判DNS隐蔽隧道的检测方法及装置由DNS流量采集和解析模块、高频白名单域名过滤器、子域名长度识别模块、子域名编码格式识别模块、策略研判结果记录器、域名备案查询器、单位时间设定器、子域名独占访问比率判断器组成;
DNS流量采集和解析模块负责从原始流量中对DNS流量采集和解析,将DNS访问日志转化生成待检测域名访问日志;待检测域名访问日志包括:源ip、源端口、目的ip、目的端口、查询域名、查询类型名称和查询时间;DNS流量采集和解析模块将待检测域名访问日志发送给高频白名单域名过滤器;
高频白名单域名过滤器存储着高频白名单域名,高频白名单域名由最新alexa排名100万域名和公开情报中收集的白名单域名组合形成;当待检测域名访问日志中的查询域名属于高频白名单域名时,高频白名单域名过滤器过滤并删除查询域名属于高频白名单域名的待检测域名访问日志;高频白名单域名过滤器将查询域名不属于高频白名单域名的待检测域名访问日志发送给AI检测模块和子域名长度识别模块;
AI检测模块根据收到的待检测域名访问日志给出待检测域名访问日志中的查询域名的AI检测结果,AI检测结果必然是两种类型中的一种,两种类型是:查询域名是DNS隐蔽隧道和查询域名不是DNS隐蔽隧道;AI检测模块将AI检测结果发送给子域名长度识别模块;
子域名长度识别模块对待检测域名访问日志中的查询域名进行子域名长度计算;当子域名长度小于32字符时,子域名长度识别模块判断查询域名为正常域名,丢弃本条待检测域名访问日志;当子域名长度大于等于32字符时,子域名长度识别模块将本条待检测域名访问日志和对应的AI检测结果发送给子域名编码格式识别模块;
子域名编码格式识别模块对所收到的待检测域名访问日志进行编码格式的判定:当待检测域名访问日志中的查询域名的子域名中只包含大写英文字母A至大写英文字母Z和数字234567时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为base32编码;当待检测域名访问日志中的查询域名的子域名中包含大写英文字母和小写英文字母和任意数字以及符号+和符号/时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为base64编码;当待检测域名访问日志中的查询域名的子域名中包含的字符串含有空字符时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为二进制编码;当待检测域名访问日志中的查询域名的子域名中包含的字符串中的字符超过百分之三十的字符为ascii字符中排位大于126的字符时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为二进制编码;当待检测域名访问日志中的查询域名的子域名中包含的字符串由数字0到数字9及大写英文字母A到大写英文字母F组成,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为十六进制编码;当待检测域名访问日志中的查询域名的子域名中包含的字符串中的字符为ascii码从排位32到排位126的字符和\n和\r和\t和\b时,且被子域名编码格式识别模块识别为非base32编码且非base64编码且非二进制编码且非十六进制编码时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为文本格式编码;
当子域名编码格式识别模块判定所收到的待检测域名访问日志中的查询域名的子域名为文本格式编码时,子域名编码格式识别模块识别AI检测结果为查询域名是DNS隐蔽隧道时,子域名编码格式识别模块将待检测域名访问日志和子域名编码和子域名长度和AI检测结果写入给策略研判结果记录器; 当子域名编码格式识别模块判定所收到的待检测域名访问日志中的查询域名的子域名为文本格式编码时,子域名编码格式识别模块识别AI检测结果为查询域名不是DNS隐蔽隧道时,子域名编码格式识别模块丢弃本条待检测域名访问日志及AI检测结果;
当子域名编码格式识别模块判定所收到的待检测域名访问日志中的查询域名的子域名为非文本格式编码时,子域名编码格式识别模块将待检测域名访问日志和子域名编码和子域名长度和AI检测结果写入策略研判结果记录器;
策略研判结果记录器中记录的待检测域名访问日志和子域名编码和子域名长度和AI检测结果生成为疑似DNS隐蔽隧道记录;策略研判结果记录器启动域名备案查询器对疑似DNS隐蔽隧道记录中的查询域名进行备案记录查询,当疑似DNS隐蔽隧道记录中的查询域名为已备案域名时,策略研判结果记录器删除本条疑似DNS隐蔽隧道记录;当疑似DNS隐蔽隧道记录中的查询域名为非备案域名时,策略研判结果记录器将本条疑似DNS隐蔽隧道记录发送给子域名独占访问比率判断器;
单位时间设定器用来设定判断子域名独占访问比率计算用的时间周期生成单位时间,单位时间默认设定为五分钟;
子域名独占访问比率判断器将当单位时间内的所有疑似DNS隐蔽隧道记录中查询域名按照域名和子域名进行归类,当单位时间内特定子域名的访问次数占到单位时间内访问特定子域名所在域名的所有子域名集合的百分之三十及以上时,子域名独占访问比率判断器断定疑似DNS隐蔽隧道记录中的查询域名为DNS隐蔽隧道。
有益效果
本发明采用DNS隐蔽隧道人工智能模型检测加子域名编码检测、子域名长度检测、域名备案查询及单位时间段内的唯一子域比率阈值检测多种系列研判流程,极大降低DNS隐蔽隧道误判比率。
附图说明
图1是本发明的***结构图。
具体实施方式
参看图1实现本发明提供的一种研判DNS隐蔽隧道的检测方法及装置由DNS流量采集和解析模块1、高频白名单域名过滤器2、子域名长度识别模块3、子域名编码格式识别模块4、策略研判结果记录器5、域名备案查询器6、单位时间设定器7、子域名独占访问比率判断器8组成;
DNS流量采集和解析模块1负责从原始流量中对DNS流量采集和解析,将DNS访问日志转化生成待检测域名访问日志10;待检测域名访问日志10包括:源ip、源端口、目的ip、目的端口、查询域名、查询类型名称和查询时间;DNS流量采集和解析模块1将待检测域名访问日志10发送给高频白名单域名过滤器2;
高频白名单域名过滤器2存储着高频白名单域名,高频白名单域名由最新alexa排名100万域名和公开情报中收集的白名单域名组合形成;当待检测域名访问日志10中的查询域名属于高频白名单域名时,高频白名单域名过滤器2过滤并删除查询域名属于高频白名单域名的待检测域名访问日志10;高频白名单域名过滤器2将查询域名不属于高频白名单域名的待检测域名访问日志10发送给AI检测模块9和子域名长度识别模块3;
AI检测模块9根据收到的待检测域名访问日志10给出待检测域名访问日志10中的查询域名的AI检测结果90,AI检测结果90必然是两种类型中的一种,两种类型是:查询域名是DNS隐蔽隧道和查询域名不是DNS隐蔽隧道;AI检测模块9将AI检测结果90发送给子域名长度识别模块3;
子域名长度识别模块3对待检测域名访问日志10中的查询域名进行子域名长度计算;当子域名长度小于32字符时,子域名长度识别模块3判断查询域名为正常域名,丢弃本条待检测域名访问日志10;当子域名长度大于等于32字符时,子域名长度识别模块3将本条待检测域名访问日志10和对应的AI检测结果90发送给子域名编码格式识别模块4;
子域名编码格式识别模块4对所收到的待检测域名访问日志10进行编码格式的判定:当待检测域名访问日志10中的查询域名的子域名中只包含大写英文字母A至大写英文字母Z和数字234567时,子域名编码格式识别模块4识别当前的待检测域名访问日志10中的查询域名的子域名为base32编码;当待检测域名访问日志10中的查询域名的子域名中包含大写英文字母和小写英文字母和任意数字以及符号+和符号/时,子域名编码格式识别模块4识别当前的待检测域名访问日志10中的查询域名的子域名为base64编码;当待检测域名访问日志10中的查询域名的子域名中包含的字符串含有空字符时,子域名编码格式识别模块4识别当前的待检测域名访问日志10中的查询域名的子域名为二进制编码;当待检测域名访问日志10中的查询域名的子域名中包含的字符串中的字符超过百分之三十的字符为ascii字符中排位大于126的字符时,子域名编码格式识别模块4识别当前的待检测域名访问日志10中的查询域名的子域名为二进制编码;当待检测域名访问日志10中的查询域名的子域名中包含的字符串由数字0到数字9及大写英文字母A到大写英文字母F组成,子域名编码格式识别模块4识别当前的待检测域名访问日志10中的查询域名的子域名为十六进制编码;当待检测域名访问日志10中的查询域名的子域名中包含的字符串中的字符为ascii码从排位32到排位126的字符和\n和\r和\t和\b时,且被子域名编码格式识别模块4识别为非base32编码且非base64编码且非二进制编码且非十六进制编码时,子域名编码格式识别模块4识别当前的待检测域名访问日志10中的查询域名的子域名为文本格式编码;
当子域名编码格式识别模块4判定所收到的待检测域名访问日志10中的查询域名的子域名为文本格式编码时,子域名编码格式识别模块4识别AI检测结果90为查询域名是DNS隐蔽隧道时,子域名编码格式识别模块4将待检测域名访问日志10和子域名编码和子域名长度和AI检测结果90写入给策略研判结果记录器5; 当子域名编码格式识别模块4判定所收到的待检测域名访问日志10中的查询域名的子域名为文本格式编码时,子域名编码格式识别模块4识别AI检测结果90为查询域名不是DNS隐蔽隧道时,子域名编码格式识别模块4丢弃本条待检测域名访问日志10及AI检测结果90;
当子域名编码格式识别模块4判定所收到的待检测域名访问日志10中的查询域名的子域名为非文本格式编码时,子域名编码格式识别模块4将待检测域名访问日志10和子域名编码和子域名长度和AI检测结果90写入策略研判结果记录器5;
策略研判结果记录器5中记录的待检测域名访问日志10和子域名编码和子域名长度和AI检测结果生成为疑似DNS隐蔽隧道记录;策略研判结果记录器5启动域名备案查询器6对疑似DNS隐蔽隧道记录中的查询域名进行备案记录查询,当疑似DNS隐蔽隧道记录中的查询域名为已备案域名时,策略研判结果记录器5删除本条疑似DNS隐蔽隧道记录;当疑似DNS隐蔽隧道记录中的查询域名为非备案域名时,策略研判结果记录器5将本条疑似DNS隐蔽隧道记录发送给子域名独占访问比率判断器8;
单位时间设定器7用来设定判断子域名独占访问比率计算用的时间周期生成单位时间,单位时间默认设定为五分钟;
子域名独占访问比率判断器8将当单位时间内的所有疑似DNS隐蔽隧道记录中查询域名按照域名和子域名进行归类,当单位时间内特定子域名的访问次数占到单位时间内访问特定子域名所在域名的所有子域名集合的百分之三十及以上时,子域名独占访问比率判断器8断定疑似DNS隐蔽隧道记录中的查询域名为DNS隐蔽隧道。

Claims (1)

1.一种研判DNS隐蔽隧道的检测装置由DNS流量采集和解析模块、高频白名单域名过滤器、子域名长度识别模块、子域名编码格式识别模块、策略研判结果记录器、域名备案查询器、单位时间设定器、子域名独占访问比率判断器组成;
DNS流量采集和解析模块负责从原始流量中对DNS流量采集和解析,将DNS访问日志转化生成待检测域名访问日志;待检测域名访问日志包括:源ip、源端口、目的ip、目的端口、查询域名、查询类型名称和查询时间;DNS流量采集和解析模块将待检测域名访问日志发送给高频白名单域名过滤器;
高频白名单域名过滤器存储着高频白名单域名,高频白名单域名由最新alexa排名100万域名和公开情报中收集的白名单域名组合形成;当待检测域名访问日志中的查询域名属于高频白名单域名时,高频白名单域名过滤器过滤并删除查询域名属于高频白名单域名的待检测域名访问日志;高频白名单域名过滤器将查询域名不属于高频白名单域名的待检测域名访问日志发送给AI检测模块和子域名长度识别模块;
AI检测模块根据收到的待检测域名访问日志给出待检测域名访问日志中的查询域名的AI检测结果,AI检测结果必然是两种类型中的一种,两种类型是:查询域名是DNS隐蔽隧道和查询域名不是DNS隐蔽隧道;AI检测模块将AI检测结果发送给子域名长度识别模块;
子域名长度识别模块对待检测域名访问日志中的查询域名进行子域名长度计算;当子域名长度小于32字符时,子域名长度识别模块判断查询域名为正常域名,丢弃本条待检测域名访问日志;当子域名长度大于等于32字符时,子域名长度识别模块将本条待检测域名访问日志和对应的AI检测结果发送给子域名编码格式识别模块;
子域名编码格式识别模块对所收到的待检测域名访问日志进行编码格式的判定:当待检测域名访问日志中的查询域名的子域名中只包含大写英文字母A至大写英文字母Z和数字234567时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为base32编码;当待检测域名访问日志中的查询域名的子域名中包含大写英文字母和小写英文字母和任意数字以及符号+和符号/时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为base64编码;当待检测域名访问日志中的查询域名的子域名中包含的字符串含有空字符时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为二进制编码;当待检测域名访问日志中的查询域名的子域名中包含的字符串中的字符超过百分之三十的字符为ascii字符中排位大于126的字符时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为二进制编码;当待检测域名访问日志中的查询域名的子域名中包含的字符串由数字0到数字9及大写英文字母A到大写英文字母F组成,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为十六进制编码;当待检测域名访问日志中的查询域名的子域名中包含的字符串中的字符为ascii码从排位32到排位126的字符和\n和\r和\t和\b时,且被子域名编码格式识别模块识别为非base32编码且非base64编码且非二进制编码且非十六进制编码时,子域名编码格式识别模块识别当前的待检测域名访问日志中的查询域名的子域名为文本格式编码;
当子域名编码格式识别模块判定所收到的待检测域名访问日志中的查询域名的子域名为文本格式编码时,子域名编码格式识别模块识别AI检测结果为查询域名是DNS隐蔽隧道时,子域名编码格式识别模块将待检测域名访问日志和子域名编码和子域名长度和AI检测结果写入给策略研判结果记录器; 当子域名编码格式识别模块判定所收到的待检测域名访问日志中的查询域名的子域名为文本格式编码时,子域名编码格式识别模块识别AI检测结果为查询域名不是DNS隐蔽隧道时,子域名编码格式识别模块丢弃本条待检测域名访问日志及AI检测结果;
当子域名编码格式识别模块判定所收到的待检测域名访问日志中的查询域名的子域名为非文本格式编码时,子域名编码格式识别模块将待检测域名访问日志和子域名编码和子域名长度和AI检测结果写入策略研判结果记录器;
策略研判结果记录器中记录的待检测域名访问日志和子域名编码和子域名长度和AI检测结果生成为疑似DNS隐蔽隧道记录;策略研判结果记录器启动域名备案查询器对疑似DNS隐蔽隧道记录中的查询域名进行备案记录查询,当疑似DNS隐蔽隧道记录中的查询域名为已备案域名时,策略研判结果记录器删除本条疑似DNS隐蔽隧道记录;当疑似DNS隐蔽隧道记录中的查询域名为非备案域名时,策略研判结果记录器将本条疑似DNS隐蔽隧道记录发送给子域名独占访问比率判断器;
单位时间设定器用来设定判断子域名独占访问比率计算用的时间周期生成单位时间,单位时间默认设定为五分钟;
子域名独占访问比率判断器将当单位时间内的所有疑似DNS隐蔽隧道记录中查询域名按照域名和子域名进行归类,当单位时间内特定子域名的访问次数占到单位时间内访问特定子域名所在域名的所有子域名集合的百分之三十及以上时,子域名独占访问比率判断器断定疑似DNS隐蔽隧道记录中的查询域名为DNS隐蔽隧道。
CN202011194241.6A 2020-10-30 2020-10-30 一种研判dns隐蔽隧道的检测方法及装置 Active CN112367312B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011194241.6A CN112367312B (zh) 2020-10-30 2020-10-30 一种研判dns隐蔽隧道的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011194241.6A CN112367312B (zh) 2020-10-30 2020-10-30 一种研判dns隐蔽隧道的检测方法及装置

Publications (2)

Publication Number Publication Date
CN112367312A true CN112367312A (zh) 2021-02-12
CN112367312B CN112367312B (zh) 2022-10-11

Family

ID=74513166

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011194241.6A Active CN112367312B (zh) 2020-10-30 2020-10-30 一种研判dns隐蔽隧道的检测方法及装置

Country Status (1)

Country Link
CN (1) CN112367312B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114448846A (zh) * 2021-12-27 2022-05-06 奇安信科技集团股份有限公司 一种dns隧道通信检测方法及***
CN114844704A (zh) * 2022-05-05 2022-08-02 鹏城实验室 基于可编程交换机的实时dns隧道检测方法及相关设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104754071A (zh) * 2013-12-31 2015-07-01 金琥 基于dns协议标准检测dns隧道数据的方法
CN109309673A (zh) * 2018-09-18 2019-02-05 南京方恒信息技术有限公司 一种基于神经网络的dns隐蔽信道检测方法
CN109639744A (zh) * 2019-02-27 2019-04-16 深信服科技股份有限公司 一种dns隧道的检测方法及相关设备
CN109842588A (zh) * 2017-11-27 2019-06-04 腾讯科技(深圳)有限公司 网络数据检测方法及相关设备
CN110149418A (zh) * 2018-12-12 2019-08-20 国网信息通信产业集团有限公司 一种基于深度学习的dns隐蔽隧道检测方法
CN111786993A (zh) * 2020-06-30 2020-10-16 山石网科通信技术股份有限公司 Dns隧道流量的检测方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104754071A (zh) * 2013-12-31 2015-07-01 金琥 基于dns协议标准检测dns隧道数据的方法
CN109842588A (zh) * 2017-11-27 2019-06-04 腾讯科技(深圳)有限公司 网络数据检测方法及相关设备
CN109309673A (zh) * 2018-09-18 2019-02-05 南京方恒信息技术有限公司 一种基于神经网络的dns隐蔽信道检测方法
CN110149418A (zh) * 2018-12-12 2019-08-20 国网信息通信产业集团有限公司 一种基于深度学习的dns隐蔽隧道检测方法
CN109639744A (zh) * 2019-02-27 2019-04-16 深信服科技股份有限公司 一种dns隧道的检测方法及相关设备
CN111786993A (zh) * 2020-06-30 2020-10-16 山石网科通信技术股份有限公司 Dns隧道流量的检测方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114448846A (zh) * 2021-12-27 2022-05-06 奇安信科技集团股份有限公司 一种dns隧道通信检测方法及***
CN114844704A (zh) * 2022-05-05 2022-08-02 鹏城实验室 基于可编程交换机的实时dns隧道检测方法及相关设备
CN114844704B (zh) * 2022-05-05 2023-06-06 鹏城实验室 基于可编程交换机的实时dns隧道检测方法及相关设备

Also Published As

Publication number Publication date
CN112367312B (zh) 2022-10-11

Similar Documents

Publication Publication Date Title
CN109714322B (zh) 一种检测网络异常流量的方法及其***
CN109600317B (zh) 一种自动识别流量并提取应用规则的方法及装置
CN110247930B (zh) 一种基于深度神经网络的加密网络流量识别方法
CN107370752B (zh) 一种高效的远控木马检测方法
CN112367312B (zh) 一种研判dns隐蔽隧道的检测方法及装置
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN110868404A (zh) 一种基于tcp/ip指纹的工控设备自动识别方法
CN107145779B (zh) 一种离线恶意软件日志的识别方法和装置
Watson A comparison of header and deep packet features when detecting network intrusions
CN111245784A (zh) 多维度检测恶意域名的方法
CN112491917A (zh) 一种物联网设备未知漏洞识别方法及装置
CN101488861A (zh) 一种网络未知应用的关键词提取方法
CN112887291A (zh) 基于深度学习的i2p流量识别方法及***
CN112507336A (zh) 基于代码特征和流量行为的服务端恶意程序检测方法
CN111224998B (zh) 一种基于极限学习机的僵尸网络识别方法
CN114629718A (zh) 一种基于多模型融合的隐匿恶意行为检测方法
CN113746804B (zh) Dns隐蔽信道检测方法、装置、设备及存储介质
CN115622926A (zh) 一种基于网络流量的工控协议逆向分析方法
CN117318980A (zh) 一种面向小样本场景的自监督学习恶意流量检测方法
CN116781341A (zh) 一种基于大语言模型的去中心化网络DDoS攻击识别方法
CN111211948A (zh) 基于载荷特征和统计特征的Shodan流量识别方法
CN112073362B (zh) 一种基于流量特征的apt组织流量识别方法
CN114124834B (zh) 一种工业控制网络内icmp隐蔽隧道检测的集成学习装置及方法
CN112968906B (zh) 一种基于多元组的Modbus TCP异常通讯检测方法和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant