一种DNS隧道流量检测方法、装置、存储介质及终端与流程

技术特征：
1.一种dns隧道流量检测方法，其特征在于，所述方法包括：通过网络接口抓取并解析交换机上传输的目标流量数据；当解析后的目标流量数据为dns数据时，提取所述目标流量数据的多种数据特征；将所述多种数据特征输入预先训练的dns隧道流量检测模型中，输出所述目标流量数据对应的流量类型；其中，所述预先训练的dns隧道流量检测模型是根据历史dns隧道流量和历史dns正常流量所对应的多维度特征训练生成的；根据所述流量类型确定所述目标流量数据是否为dns隧道流量。2.根据权利要求1所述的方法，其特征在于，所述通过网络接口抓取并解析交换机上传输的目标流量数据，包括：当通过交换机监测到客户端与服务端之间建立会话时，通过网络接口抓取交换机上传输的目标流量数据；获取针对所述目标流量数据设置的会话解析函数；根据所述会话解析函数对所述目标流量数据进行深度包解析，得到解析后的目标流量数据。3.根据权利要求1所述的方法，其特征在于，所述根据所述流量类型确定所述目标流量数据是否为dns隧道流量，包括：当所述流量类型为dns隧道流量类型时，将所述目标流量数据确定为dns隧道流量；对所述dns隧道流量启动防御；或者，当所述流量类型为dns正常流量类型时，将所述目标流量数据确定为dns正常流量；允许所述dns正常流量进行传输。4.根据权利要求1所述的方法，其特征在于，所述通过网络接口抓取并解析交换机上传输的目标流量数据之前，还包括：提取历史dns隧道流量和历史dns正常流量各自对应的多维度特征；创建dns隧道流量检测模型；将所述多维度特征确定为机器学习的训练样本，并将所述训练样本输入所述dns隧道流量检测模型中，输出模型损失值；当所述损失值到达最小时，生成预先训练的dns隧道流量检测模型；或者，当所述损失值未到达最小时，将所述模型损失值进行反向传播以更新所述dns隧道流量检测模型的参数，并继续执行将所述训练样本输入所述dns隧道流量检测模型中的步骤。5.根据权利要求4所述的方法，其特征在于，所述提取历史dns隧道流量和历史dns正常流量各自对应的多维度特征，包括：查询历史dns隧道流量和历史dns正常流量各自对应的dns会话时长；查询历史dns隧道流量和历史dns正常流量各自对应的域名长度；计算历史dns隧道流量和历史dns正常流量各自对应的域名熵；统计历史dns隧道流量和历史dns正常流量各自对应的dns会话负载字节数；计算历史dns隧道流量和历史dns正常流量各自对应的dns会话中请求方向报文数占总的会话报文数的比例；
计算历史dns隧道流量和历史dns正常流量各自对应的dns会话中请求方向报文负载字节数占总的会话报文负载字节数的比例；查询历史dns隧道流量和历史dns正常流量各自对应的dns会话中上下文关联请求数据；将所述dns会话时长、域名长度、域名熵、dns会话负载字节数、dns会话中请求方向报文数占总的会话报文数的比例、dns会话中请求方向报文负载字节数占总的会话报文负载字节数的比例以及dns会话中上下文关联请求数据确定为多维度特征。6.根据权利要求5所述的方法，其特征在于，所述计算历史dns隧道流量和历史dns正常流量各自对应的域名熵，包括：对历史dns隧道流量和历史dns正常流量各自对应的域名中每个字符进行概率统计，得到每个字符的概率统计结果；根据每个字符的概率统计结果，并结合信息熵公式计算每个字符熵值；根据所述每个字符熵值计算历史dns隧道流量和历史dns正常流量各自对应的域名熵；其中，域名熵的计算公式如下：；其中，为域名熵计算函数，为历史dns隧道流量和历史dns正常流量各自对应的每个字符的概率统计结果，为字符数量。7.根据权利要求4所述的方法，其特征在于，所述dns隧道流量检测模型包括向量转换模块、特征提取模块、特征映射模块以及回归模块；所述将所述训练样本输入所述dns隧道流量检测模型中，输出模型损失值，包括：将所述训练样本输入所述向量转换模块中，得到向量矩阵；将所述向量矩阵中第一个元素和最后一个元素进行连接，得到连接线；根据所述特征提取模块对所述连接线上的所有元素进行编码，得到训练样本的序列特征；根据所述特征映射模块映射出所述序列特征对应的特征类型标识符；采用所述回归模块将所述序列特征与所述序列特征对应的特征类型标识符进行归一化处理，得到归一化后的参数值；根据归一化后的参数值，并结合损失函数计算出模型损失值。8.一种dns隧道流量检测装置，其特征在于，所述装置包括：目标流量数据解析模块，用于通过网络接口抓取并解析交换机上传输的目标流量数据；多种数据特征提取模块，用于当解析后的目标流量数据为dns数据时，提取所述目标流量数据的多种数据特征；流量类型输出模块，用于将所述多种数据特征输入预先训练的dns隧道流量检测模型中，输出所述目标流量数据对应的流量类型；其中，所述预先训练的dns隧道流量检测模型是根据历史dns隧道流量和历史dns正常流量所对应的多维度特征训练生成的；流量数据判断模块，用于根据所述流量类型确定所述目标流量数据是否为dns隧道流量。
9.一种计算机存储介质，其特征在于，所述计算机存储介质存储有多条指令，所述指令适于由处理器加载并执行如权利要求1-7任意一项的方法。10.一种终端，其特征在于，包括：处理器和存储器；其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行如权利要求1-7任意一项的方法。

技术总结
本公开提供了一种DNS隧道流量检测方法、装置、存储介质及终端，应用于机器学习技术领域，所述方法包括：通过网络接口抓取并解析交换机上传输的目标流量数据；当解析后的目标流量数据为DNS数据时，提取目标流量数据的多种数据特征；将多种数据特征输入预先训练的DNS隧道流量检测模型中，输出目标流量数据对应的流量类型；根据流量类型确定目标流量数据是否为DNS隧道流量。本公开通过提取历史DNS隧道流量和历史DNS正常流量所对应的多维度特征进行模型训练，同时多维度特征可以最大程度表征DNS流量的流量类型，从而使得模型识别的DNS隧道流量的误报率较低，检测结果更加准确，解决现有技术中DNS隧道流量误报率和漏报率较高的问题。问题。问题。


技术研发人员：陈勇 沈传宝 刘加瑞
受保护的技术使用者：安徽华云安科技有限公司
技术研发日：2022.10.18
技术公布日：2022/11/15