[0033] 为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
[0034] 本申请提供的一种低吞吐量DNS隐蔽信道检测方法,用于检测低吞量下的DNS隐蔽信道。构建了SPP‑Net‑LSTM检测模型,该模型将改进的SPP‑Net网络与代价敏感LSTM网络(CLSTM)相融合,达到从大量 DNS流量中检测出少数的DNS隐蔽信道流量的目的。首先SPP‑Net对输入的大小的很灵活,输入的矩阵维度无需一致,但是可以产生固定大小的输出。此外,由于SPP‑Net具有不同大小的感受野,可以提高少数的数据感受度。CLSTM网络,将注意力放在少数样本上,提高少数样本的决策权重,从而提升少数样本的检出率。融合SPP‑Net和CLSTM可以进一步提升小数样本的检测精度。
[0035] 在一个实施例中,一种低吞吐量DNS隐蔽信道检测方法,如图1所示,包括:
[0036] 步骤S1、捕获低吞吐量DNS隐蔽信道活动的数据集,提取出数据集中的用于检测的关键特征,将提取出的关键特征转换为机器学习的特征向量。
[0037] 本申请先训练构建的SPP‑Net‑LSTM检测模型,在训练前先准备训练数据集。
[0038] 利用wireshark软件捕获低吞吐量的DNS隐蔽信道活动的数据集,随机划分得到训练集和测试集。
[0039] 在一个优选的技术方案中,所述捕获低吞吐量DNS隐蔽信道活动的数据集,还包括:
[0040] 对数据集中正常样本进行欠采样操作,降低正常样本的数量。
[0041] 由于数据集合中正常样本和隧道样本的比例悬殊过大,所以预先使用一个欠采样步骤降低一部分正常样本的数量,因为比例差别大,这样不会丢失太多的有用信息。
[0042] 提取出数据集中的用于检测的关键特征,通过wireshark获得的DNS 数据集中含有很多与检测无关的冗余信息,因此要对获的数据进行清洗,过滤冗余,提取出有利特征,可以选择如下特征种的一种或多种:
[0043] 域名:域名中往往包含了DNS隐蔽信道编码的信息,检测域名差异是一个识别DNS隐蔽信道的关键特征。
[0044] 资源记录:常见的DNS资源记录有A、AAAA、CNAME、NX等。但这些记录承载信息的能力不能满足DNS隐蔽信道的需要,DNS隧道会使用其他不常用的资源记录,例如TXT、NULL来传输信息。
[0045] TTL值:TTL是Time To Live的缩写,它记录了DNS响应到特定域的缓存时间,将TTL设置为1‑5天可以给DNS服务器带来最大的收益。但是,隧道工具通常设置较低的TTL值,滥用轮循DNS机制。本实施例建议将[0,100]范围内的TTL值划分为恶意域。
[0046] 特定域名的主机名个数:为了传输非重复的信息,DNS隧道只请求特定域的唯一主机名,这会导致同一个顶级(top level domain,TLD)有更多的主机名。
[0047] 相同TLD下两个请求的时间差:低吞吐量的隐蔽信道的活动间隔时间往往是算法规定好的,呈现出一定的规律性。
[0048] NXDOMAIN记录:DNS隐蔽信道请求的域名往往是临时生成的,在 DNS服务上没有相关记录,DNS服务器会产生“NXDOMAIN”响应,表示自己没有相关请求。
[0049] 最近添加的A记录与NS记录:DNS隐蔽信道所使用的域名通常是最近才出现的,其A、NS记录也是最近才添加的。
[0050] 需要说明的是,“NXDOMAIN”响应、A记录与NS记录都是DNS 技术领域的常用技术术语,这里不再赘述。
[0051] 在提取到关键特征后,将提取出的关键特征转换为机器学习的特征向量。
[0052] 从DNS数据包提取出中的特征,是无法直接被机器识别的,因此需要一个预处理过程,将挑选出的特征转换为机器可识别的特征向量,该过程针对不同的关键特征,执行如下的转换步骤:
[0053] 域名转换:例如域名baidu.com,com被称为顶级域(Top Level Domain, TLD),baidu为二级域(Second Level Domain,SLD)。第一步首先去除域名中的分割符“.”,因为它是不携带信息的,所以进行去除;第二步是删除所有域名的TLD,将其称为二级域名(SLD)名称;第三步是统计每个SLD名称中的字符(包括大写字母和小写字母、数字和特殊字符),值得注意的是,所记录的字符不会被重复记录;第四步是为统计的字符创建词汇表;第五步是为词汇表中的每个字符分配一个唯一的整数标签;第六步是将SLD名称中的每个字符替换为对应的整数标签,从而得到该标签所代表的特征向量。
[0054] 资源记录转换:常见的DNS资源记录有A、AAAA、CNAME、NX 等。但这些记录承载信息的能力不能满足DNS隐蔽信道的需要,DNS隧道会使用其他不常用的资源记录,例如TXT、NULL来传输信息。如果出现不常使用的记录,则标记为0,否则标记为1。
[0055] TTL值转换:TTL是Time To Live的缩写,它记录了DNS响应到特定域的缓存时间,将TTL设置为1‑5天可以给DNS服务器带来最大的收益。但是,隧道工具通常设置较低的TTL值,滥用轮循DNS机制,所以建议将[0,100]范围内的TTL值划分为恶意域。因此如果TTL的值在[0,100] 之间,则标记为0,否则标记为1。
[0056] 特定域名的主机名个数转换:为了传输非重复的信息,DNS隧道只请求特定域的唯一主机名,这会导致同一个顶级域(Top Level Domain, TLD)有更多的主机名。本实施例通过写一个python脚本统计某一特定域名主机名的个数。
[0057] 相同TLD下两个请求的时间差:低吞吐量的隐蔽信道的活动间隔时间往往是算法规定好的,呈现出一定的规律性。本实施例通过python脚本统计相同TLD下,两个请求的时间间隔。
[0058] NXDOMAIN记录转换:提取“NXDOMAIN”记录,DNS隐蔽信道请求的域名往往是临时生成的,在DNS服务上没有相关记录,DNS服务器会产生“NXDOMAIN”响应,表示自己没有相关请求。因此如果数据集中一条数据出现“NXDOMAIN”响应,则标记为0,否则标记为1。
[0059] 最近添加的A记录与NS记录转换:DNS隐蔽信道所使用的域名通常是最近才出现的,其A、NS记录也是最近才添加的。首先建立一个历史A记录和NS记录的集合,如果数据集中一条数据的A记录或NS记录从未在集合中出现过,则标记该条数据为0,否则标记为1。
[0060] 步骤S2、将数据集对应的特征向量输入到构建好的SPP‑Net‑LSTM检测模型中,训练得到SPP‑Net‑LSTM检测模型,所述SPP‑Net‑LSTM检测模型包括改进的SPP‑Net网络与代价敏感的LSTM网络,其中所述改进的 SPP‑Net网络中SPP池化层包括并列的1*1、2*2、3*3和4*4四个池化核,所述SPP池化层的输出直接连接代价敏感的LSTM网络。
[0061] 在神经网络中,输入到全连接层进行分类的矩阵维度必须是一致的。而本申请数据集中,域名长度是变化的,导致输入矩阵的维度不一致。传统的方式是将域名填充到的相同的长度,这样做会丢失一部分域名本身的顺序信息和结构信息。而SPP‑Net对输入矩阵的大小的很灵活,无需输入矩阵的维度一致,却可以产生固定大小的输出。此外,由于SPP‑Net具有不同大小的感受野,可以提高少数的数据感受度,因此本申请采用SPP‑Net 作为首层网络,来进行空间特征的提取与重组合。
[0062] Spp‑Net通过最大池化(maxpooling)操作,将不同维度的矩阵,转换为相同的维度。假设输入矩阵的维度为n*n,要得到m*m大小的池化结果,则有如下关系:
[0063] 池化窗口大小
[0064] 池化的步长为:
[0065] 池化的结果为:C=MAX{c},c为原矩阵在一个size*size范围内的元素。
[0066] 本申请对SPP‑Net网络进行改进,SPP‑Net起初用于图像处理领域,用于处理不同尺度的图像的训练问题和提取图像中的关键信息,其网络如图2所示。
[0067] 本申请参考原SPP‑Net做了如下修改:
[0068] 首先,将原本SPP‑Net中空间金字塔卷积(Spatial Pyramid Pooling,简称SPP)中的3路maxpooling,改为4路,以增加特征的数量。即在原来1*1,2*2,4*4的池化上,再并列一个3*3的池化,多增加一路输入,即SPP池化层包括并列的1*1、2*2、3*3和4*4四个池化核,增加一部分特征。
[0069] 其次,去除SPP‑Net网络中SPP操作之后串行的1*1,3*3,1*1的卷积操作,因为SPP‑net在组合SPP操作之后的特征,紧接着连接一个全连接层进行分类。所以通过卷积操作,提取组合特征的关键信息来提高检测的精度。而本申请在SPP操作之后,还要与下一层的CLSTM模型相连接,所以本申请去除这部分卷积操作以保留更多的信息。修改后的改进的 SPP‑Net网络如图3所示。
[0070] CLSTM网络,将注意力放在少数样本上,以提高少数样本的决策权重,其原理如下:
[0071] LSTM的目标是使网络的损失函数最小,这里设y表示真实标签,pi为第i个样本的预测概率,其损失函数定义如下:
[0072] loss=∑yilogpi
[0073] 本申请对该损失函数做出改进,引入代价敏感系数,设数据集中,多数样本的集合个数为N,少数样本的个数为M,则惩罚系数 则 LSTM代价敏感的损失函数为:
[0074]
[0075] 其中,pos表示小数样本的集合,neg表示多数样本的集合。xi表示少数集合或者多数集合中的一个样本,yi表示样本xi对应的真实标签,pi为对样本xi的预测概率,C代表惩罚系数。通过该代价敏感的loss函数,提高少数样本的决策权重,在决策时,将中心偏向小样本。
[0076] 本申请组合改进的SPP‑Net和CLSTM模型,得到融合 SPP‑NET‑CLSTM模型。将改进后的SPP‑Net网络与CLSTM顺序拼接,得到融合的检测模型,如图4所示。
[0077] 步骤S3、将训练好的SPP‑Net‑LSTM检测模型用于实时检测,如检测出异常立即将对应的域设置为不可访问。
[0078] 在训练好SPP‑Net‑LSTM检测模型后,将训练好的模型用于实时检测,如检测出异常立即将对应域设置为不可访问,以阻止信息的继续泄露。
[0079] 实时监测时,通过wireshark抓流量生成pcap包,然后使用python解包提取Dns流量的信息,保存到csv文件中。然后根据需要选择出特征即可转换为特征向量,输入到训练好的SPP‑Net‑LSTM检测模型。
[0080] 本申请还用训练好的模型对测试集的数据进行预测,记录模型预测的结果,根据预测的结果数据和测试集标注的数据进行模型评估,通过计算模型的准确率(ACC),精准率(Precision)、召回率(Recall)和F1‑score来评估模型。其中:
[0081]
[0082]
[0083]
[0084]
[0085] 其中,真阳性(TP)表示被正确归类为隐蔽信道的隐蔽信道数据;假阳性(FP)‑被错误归类为隐蔽信道的正常数据;真阴性(TN)‑被正确归类为正常的正常数据;假阴性(FN)‑被错误归类为正常的隐蔽信道。
[0086] 在一个实施例中,本申请还提供了一种低吞吐量DNS隐蔽信道检测装置,包括处理器以及存储有若干计算机指令的存储器,所述计算机指令被处理器执行时实现所述低吞吐量DNS隐蔽信道检测方法的步骤。
[0087] 关于低吞吐量DNS隐蔽信道检测装置的具体限定可以参见上文中对于低吞吐量DNS隐蔽信道检测方法的限定,在此不再赘述。上述低吞吐量DNS隐蔽信道检测装置可全部或部分通过软件、硬件及其组合来实现。可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上对应的操作。
[0088] 存储器和处理器之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器中存储有可在处理器上运行的计算机程序,所述处理器通过运行存储在存储器内的计算机程序,从而实现本发明实施例中的网络拓扑布局方法。
[0089] 其中,所述存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read‑Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read‑Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read‑Only Memory,EEPROM) 等。其中,存储器用于存储程序,所述处理器在接收到执行指令后,执行所述程序。
[0090] 所述处理器可能是一种集成电路芯片,具有数据的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等。可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0091] 以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
