CN110611640A - 一种基于随机森林的dns协议隐蔽通道检测方法 - Google Patents
一种基于随机森林的dns协议隐蔽通道检测方法 Download PDFInfo
- Publication number
- CN110611640A CN110611640A CN201810616548.7A CN201810616548A CN110611640A CN 110611640 A CN110611640 A CN 110611640A CN 201810616548 A CN201810616548 A CN 201810616548A CN 110611640 A CN110611640 A CN 110611640A
- Authority
- CN
- China
- Prior art keywords
- dns
- random forest
- hidden channel
- field
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于随机森林的DNS协议隐蔽通道检测方法,该发明使用机器学习中的随机森林算法对特征进行学习,能迅速识别DNS隐蔽通道的恶意流量,有效检测DNS隐蔽通道,通过解析DNS流量,对DNS请求和应答流量进行分析,对传输隐蔽信息的常用字段进行特征提取,并对各特征进行正常阈值范围的统计。然后使用随机森林模型对正常和异常DNS流量特征进行学习,建立模型,识别该条流量是否为异常流量,从而实现隐蔽通道的检测。
Description
技术领域
本发明涉及网络安全分析领域,具体地说是一种基于随机森林的DNS协议隐蔽通道检测方法。
背景技术
隐蔽通道是一种绕过强制安全机制检查,违反系统安全策略传递信息的方式。隐蔽通道可以分成两类:操作系统隐蔽通道和网络传输隐蔽通道。网络环境下不同主机之间进行数据传输的隐蔽通道,被称为网络隐蔽通道。恶意软件在客户端与服务器端之间,绕过网络安全策略,通过合法报文,使用隐蔽通道秘密进行数据传输,造成数据泄露。在信息安全领域,检测隐蔽通道对提升网络安全性有着重要的意义。“可信计算机系统评估准则”(TCSEC)把对隐通道的限制和分析纳入了安全计算机系统的标准中,国家标准GB17859-1999“计算机信息系统安全保护等级划分准则”等相关标准,都有类似规定。
网络隐蔽通道是攻击者和被攻击者之间一种重要的信息传输途径,攻击者向失陷主机传输恶意指令,对失陷主机进行长期控制,同时进行恶意操作,窃取并传输主机数据,泄露用户隐私和情报。常用的隐蔽通道包括基于HTTP,DNS和ICMP的隐蔽通道。DNS隐蔽通道是指将隐蔽信息搭载于合法DNS报文进行传输的方式,DNS通信通过公共网络解析域名,可以绕过防火墙而不被检测,因此DNS隐蔽通道非常有效。
当前检测隐蔽通道主要采用基于特征匹配,流量异常检测等方式识别隐蔽通道。通过构建特征库,将待检测流量报文与已有特征数据库中的特征进行匹配从而识别隐蔽通道,这写检测技术误报率高,并且无法识别未知的隐蔽通道,另外新型的隐蔽通道技术可能不再引起流量暴增,能够有效规避异常流量的监测。本文提供了一种基于随机森林的DNS协议隐蔽通道检测方法,该方法能提升对DNS隐蔽通道进行检测的有效性,并且能够识别未知的隐蔽通道。
发明内容
针对现有技术之不足,本发明提供了一种基于随机森林的DNS协议隐蔽通道检测方法,该方法能提升对DNS隐蔽通道进行检测的有效性。
本发明的一种基于随机森林的DNS协议隐蔽通道检测方法的具体步骤如下:
步骤1:在正常网络环境中,通过流量采集设备,获取时间段内的全量DNS报文流量,标记为正常样本,存入hdfs;
步骤2:使用隧道工具进行通信,通过流量采集设备,获取时间段内的DNS报文流量,标记为异常样本,存入hdfs;
步骤3:整合步骤1,2得到的数据,按照比例混合正常样本和异常样本作为训练样本集;
步骤4:对数据做特征工程,分别提取异常报文和正常报文的头部标记位,资源记录数,域名字段,TTL字段的均值,最值,占比值,字段熵值等多种统计特征;
步骤5:对数据做特征工程,提取报文的信息类型字段,区域记录数,报文编码方式,数据包大小,使用端口等特征;
步骤6:根据步骤4、5得到的特征作为原始特征数据;
步骤7:对步骤六中的原始特征进行清洗和编码,处理缺失数据和异常值,对离散特征进行编码,构建特征向量;
步骤8:在训练样本集上训练随机森林模型,得到模型参数;
步骤9:将待预测的DNS流量数据输入到随机森林模型,得到结果正常或者异常标签,判断该条DNS流量是否含隐蔽通道。
步骤10:将模型放入实际环境中学习,检测出隐蔽通道流量后由安全分析师进行确认,标记并放回训练集中丰富样本,定期对训练集进行重新训练,可以进一步提升模型准确度。
在步骤8中,随机森林是一个组合分类器,由K个决策树进行集成得到。每棵决策树的训练样本是有放回地从数据集中选取的子数据集,每棵树的训练集具有随机性;每个结点进行分裂时,仅从特征集中抽取若干子属性构成候选特征子集选择特征进行分裂,该候选特征子集也具有随机性。两个随机性的引入使随机森林模型能够显著降低过拟合。输入一个样本值后,每个决策树都会对数据进行分类,随机森林对所有分类结果进行投票,按照投票的多少得到最终类别标签。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明提出的流程图:
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
步骤1:在正常网络环境中,通过流量采集设备,获取时间段内的全量DNS报文流量,标记为正常样本,存入hdfs;
步骤2:使用隧道工具进行通信,通过流量采集设备,获取时间段内的DNS报文流量,标记为异常样本,存入hdfs;
步骤3:整合步骤1,2得到的数据,按照比例混合正常样本和异常样本作为训练样本集;
去掉未被模型使用的字段,采集的原始数据经过筛选后包含以下维度:
步骤4:对数据做特征工程,分别提取异常报文和正常报文的头部标记位,资源记录数,域名字段,TTL字段的均值,最值,占比值,字段熵值等多种统计特征;
步骤5:对数据做特征工程,提取报文的信息类型字段,区域记录数,报文编码方式,数据包大小,使用端口等特征;
步骤6:根据步骤4、5得到的特征作为原始特征数据;
经过特征工程后新增的维度包括:
步骤7:对步骤6中的数据进行清洗和编码,处理缺失数据和异常值,对离散特征进行编码,构建特征向量;
步骤8:在训练样本集上训练随机森林模型,得到模型参数;
步骤9:将待预测的DNS流量数据输入到随机森林模型,得到结果正常或者异常标签,判断该条DNS流量是否含隐蔽通道。
步骤10:将模型放入实际环境中学习,检测出隐蔽通道流量后由安全分析师进行确认,标记并放回训练集中丰富样本,定期对训练集进行重新训练,可以进一步提升模型准确度。
以上对本发明实施例所提供的一种基于随机森林的DNS协议隐蔽通道检测方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (3)
1.一种基于随机森林的DNS协议隐蔽通道检测方法,该发明使用采集器采集网络接口的数据包,抓取DNS流量;对DNS报文选项域各字段进行分析形成特征向量,将特征向量输入随机森林;使用随机森林对特征向量进行预测,通过输出结果的类别标签判断是否存在隐蔽通道。
2.根据权利要求1所述的一种基于随机森林的DNS协议隐蔽通道检测方法,其特征在于所述的对DNS报文选项域各字段进行分析形成特征向量包括如下步骤:
1)分析数据包结构,读出数据包中DNS结构,取出DNS报文头结构字段,请求区域字段,应答区域字段,授权区域字段和附加区域字段;
2)提取头结构字段各标志位,各区域的域名字段,TTL字段,类型字段的特征。
3.根据权利要求1所述的一种基于随机森林的DNS协议隐蔽通道检测方法,其特征在于使用随机森林对特征向量进行预测,通过输出结果的类别标签判断是否存在隐蔽通道包括如下步骤:
1)收集隐蔽通道工具生成的DNS流量和安全环境的DNS流量,组成训练集;
2)每一条DNS流量作为一个样本,从训练集中采集特征向量;
3)利用随机森林进行训练,得到模型;
4)将待检测的DNS流量输入模型,得到输出标签值,判断是否存在隐蔽通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810616548.7A CN110611640A (zh) | 2018-06-15 | 2018-06-15 | 一种基于随机森林的dns协议隐蔽通道检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810616548.7A CN110611640A (zh) | 2018-06-15 | 2018-06-15 | 一种基于随机森林的dns协议隐蔽通道检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110611640A true CN110611640A (zh) | 2019-12-24 |
Family
ID=68887744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810616548.7A Pending CN110611640A (zh) | 2018-06-15 | 2018-06-15 | 一种基于随机森林的dns协议隐蔽通道检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110611640A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111181986A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 数据安全检测方法、模型训练方法、装置和计算机设备 |
| CN111464497A (zh) * | 2020-03-05 | 2020-07-28 | 北京安码科技有限公司 | 基于icmp的靶场隐蔽通道建立方法、系统、电子设备及存储介质 |
| CN111478920A (zh) * | 2020-04-27 | 2020-07-31 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
| CN111585993A (zh) * | 2020-04-27 | 2020-08-25 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
| CN112351018A (zh) * | 2020-10-28 | 2021-02-09 | 东巽科技(北京)有限公司 | Dns隐蔽信道检测方法、装置及设备 |
| CN112615870A (zh) * | 2020-12-22 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 一种基于ntp报文数据的攻击行为检测方法及装置 |
| CN112653659A (zh) * | 2020-09-02 | 2021-04-13 | 浙江德迅网络安全技术有限公司 | 一种基于http协议的隐蔽隧道及其检测方法 |
| CN112688957A (zh) * | 2020-12-29 | 2021-04-20 | 北京天融信网络安全技术有限公司 | Icmp报文的处理方法、装置、计算机设备和介质 |
| CN114301631A (zh) * | 2021-12-02 | 2022-04-08 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
| CN115622814B (zh) * | 2022-12-19 | 2023-03-10 | 北京六方云信息技术有限公司 | 基于深度自编码器的http隧道检测方法、装置及设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103326894A (zh) * | 2013-05-29 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | Dns隧道检测的方法和装置 |
| CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
| WO2017039591A1 (en) * | 2015-08-28 | 2017-03-09 | Hewlett Packard Enterprise Development Lp | Extracted data classification to determine if a dns packet is malicious |
| CN107153789A (zh) * | 2017-04-24 | 2017-09-12 | 西安电子科技大学 | 利用随机森林分类器实时检测安卓恶意软件的方法 |
| US20170318035A1 (en) * | 2016-04-29 | 2017-11-02 | International Business Machines Corporation | Cognitive and contextual detection of malicious dns |
| CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
| CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
-
2018
- 2018-06-15 CN CN201810616548.7A patent/CN110611640A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103326894A (zh) * | 2013-05-29 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | Dns隧道检测的方法和装置 |
| WO2017039591A1 (en) * | 2015-08-28 | 2017-03-09 | Hewlett Packard Enterprise Development Lp | Extracted data classification to determine if a dns packet is malicious |
| CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
| US20170318035A1 (en) * | 2016-04-29 | 2017-11-02 | International Business Machines Corporation | Cognitive and contextual detection of malicious dns |
| CN107153789A (zh) * | 2017-04-24 | 2017-09-12 | 西安电子科技大学 | 利用随机森林分类器实时检测安卓恶意软件的方法 |
| CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
| CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 徐琨: "DNS隐蔽通道检测技术研究", 《《中国优秀硕士学位论文全文数据库•信息科技辑》》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111181986A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 数据安全检测方法、模型训练方法、装置和计算机设备 |
| CN111464497A (zh) * | 2020-03-05 | 2020-07-28 | 北京安码科技有限公司 | 基于icmp的靶场隐蔽通道建立方法、系统、电子设备及存储介质 |
| CN111478920A (zh) * | 2020-04-27 | 2020-07-31 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
| CN111585993A (zh) * | 2020-04-27 | 2020-08-25 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
| CN111585993B (zh) * | 2020-04-27 | 2022-08-09 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
| CN112653659A (zh) * | 2020-09-02 | 2021-04-13 | 浙江德迅网络安全技术有限公司 | 一种基于http协议的隐蔽隧道及其检测方法 |
| CN112351018A (zh) * | 2020-10-28 | 2021-02-09 | 东巽科技(北京)有限公司 | Dns隐蔽信道检测方法、装置及设备 |
| CN112615870A (zh) * | 2020-12-22 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 一种基于ntp报文数据的攻击行为检测方法及装置 |
| CN112688957A (zh) * | 2020-12-29 | 2021-04-20 | 北京天融信网络安全技术有限公司 | Icmp报文的处理方法、装置、计算机设备和介质 |
| CN112688957B (zh) * | 2020-12-29 | 2023-03-24 | 北京天融信网络安全技术有限公司 | Icmp报文的处理方法、装置、计算机设备和介质 |
| CN114301631A (zh) * | 2021-12-02 | 2022-04-08 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
| CN115622814B (zh) * | 2022-12-19 | 2023-03-10 | 北京六方云信息技术有限公司 | 基于深度自编码器的http隧道检测方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| Karatas et al. | Deep learning in intrusion detection systems | |
| Meidan et al. | ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
| CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
| CN109067586B (zh) | DDoS攻击检测方法及装置 | |
| Liu et al. | MalDetect: a structure of encrypted malware traffic detection | |
| Liu et al. | A distance-based method for building an encrypted malware traffic identification framework | |
| Abdullah et al. | Performance evaluation of a genetic algorithm based approach to network intrusion detection system | |
| CN111447232A (zh) | 一种网络流量检测方法及装置 | |
| CN114143037A (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
| CN112800424A (zh) | 一种基于随机森林的僵尸网络恶意流量监测方法 | |
| CN114785563A (zh) | 一种软投票策略的加密恶意流量检测方法 | |
| CN113660267A (zh) | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 | |
| CN110493253B (zh) | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 | |
| CN112235242A (zh) | 一种c&c信道检测方法及系统 | |
| CN116155572A (zh) | 一种基于集成学习的加密流量网络入侵检测方法 | |
| CN118381672B (zh) | 基于人工智能的数据安全动态防护方法及系统 | |
| Lu et al. | Botnets detection based on IRC-community | |
| CN113037748A (zh) | 一种c&c信道混合检测方法及系统 | |
| CN111371727A (zh) | 一种针对ntp协议隐蔽通信的检测方法 | |
| Oujezsky et al. | Botnet C&C traffic and flow lifespans using survival analysis | |
| CN113141349B (zh) | 一种多分类器自适应融合的https加密流量分类方法 | |
| Hejun et al. | Online and automatic identification and mining of encryption network behavior in big data environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20191224 |