基于LSTM的DNS隱蔽信道檢測方法
信息技術與網絡安全 4期
陳解元
(國家計算機網絡與信息安全管理中心,北京100032)
摘要: DNS濫用已成為網絡空間安全治理中面臨的最具挑戰性的威脅之一。針對現有檢測方法多以DNS請求流量為研究對象,忽略了響應流量特征的問題,提出一種基于長短期記憶網絡(Long-Short Term Memory,LSTM)的DNS隱蔽信道檢測方法。綜合分析請求與響應流量特征,提取響應流量中時間戳、TTL、響應分組長度等特征點,并構建LSTM模型進行訓練。實驗結果表明,該方法在準確率、F1評分等指標方面取得了良好的結果,較現有方法有顯著提高。
中圖分類號: TP393.08
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2022.04.009
引用格式: 陳解元. 基于LSTM的DNS隱蔽信道檢測方法[J].信息技術與網絡安全,2022,41(4):60-64,89.
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2022.04.009
引用格式: 陳解元. 基于LSTM的DNS隱蔽信道檢測方法[J].信息技術與網絡安全,2022,41(4):60-64,89.
DNS covert channel detection method based on LSTM
Chen Xieyuan
(National Computer Network Emergency Response Technical Team/Coordination Center of China(CNCERT/CC), Beijing 100032,China)
Abstract: DNS abuse has become one of the most challenging threats in cyberspace security governance.As the existing detection methods mostly focus on DNS request traffic but ignore the characteristics of response traffic,this paper proposed a DNS covert channel detection method based on Long Short Term Memory(LSTM). The characteristics of request and response traffic were comprehensively analyzed and the feature points such as timestamp, TTL and response packet length from response traffic were extracted,then the LSTM model was constructed for training.The experimental results show that the proposed method achieves good results in accuracy, F1 score and other indicators, which are significantly improved compared with existing methods.
Key words : DNS covert channel;machine learning;Long-Short Term Memory(LSTM)
0 引言
域名系統(Domain Name System,DNS)是把域名和IP地址相互映射的一種層次化分布式數據庫系統,是互聯網上進行域名解析的核心基礎設施。互聯網訪問不可避免地需要進行域名解析服務,正由于DNS協議的必要性,大部分網絡中的防火墻不會攔截53端口上的數據包[1]。隨著DNSCat2、Iodine等工具的開源,越來越多的黑客開始利用DNS協議創建隱蔽信道[2],實現木馬控制、數據竊取、高級可持續威脅攻擊(Advanced Persistent Threat,APT)等,嚴重危害信息系統運營者權益和用戶個人隱私。
DNS隱蔽信道[3]是指將其他協議的內容封裝在DNS數據包的可定義字段中,然后以DNS請求和響應包完成數據傳輸的通道。常見的可利用字段有QNAME字段、RDATA字段等[4]。
本文詳細內容請下載:http://www.xxav2194.com/resource/share/2000004100
作者信息:
陳解元
(國家計算機網絡與信息安全管理中心,北京100032)
此內容為AET網站原創,未經授權禁止轉載。