基于流量切片的DNS隐蔽通道检测

作     者：刘阳洋 阮树骅 曾雪梅 Liu Yangyang;Ruan Shuhua;Zeng Xuemei

作者机构：四川大学网络空间安全学院成都610065 四川大学网络空间安全研究院成都610065 

出 版 物：《计算机应用研究》 (Application Research of Computers)

年 卷 期：2023年第40卷第10期

页      面：3138-3143页

学科分类：08[工学] 0839[工学-网络空间安全] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金区域基金重点项目(U19A2081) 中央高校基础研究基金资助项目(2022SCU12116) 四川大学理工科发展计划项目(2020SCUNG129) 

主　　题：DNS隐蔽通道 流量变形 主机流量切片 行为分析 

摘      要：针对DNS隐蔽信道(DCC)流量变形策略对现有检测方法的绕过性问题,提出了一种基于流量切片的DCC检测方法。该方法首先将实验环境出口流量基于滑动窗口分批,再基于主机端聚合形成流量切片,每个切片包含一个较短时间跨度中归属同一主机的DNS报文与Web报文,再对切片内DNS报文的数据量、请求行为、响应行为以及与Web报文的关联行为实施面向DCC检测的特征工程,并在此基础上建立DCC检测模型。对比实验表明,所构建的DCC检测模型在常规DCC流量切片集上检测准确性达到99.83%,误报率仅0.08%,在6类不同流量变形策略的变形DCC流量切片集上有平均95%以上的检出能力,远优于其他检测方案,证明了所提出的方法应对DCC流量变形的有效性。同时,该方法能在主机单个流量切片上对DCC通信作出有效检测,是一种具有良好实时性的检测方法。