计算机科学>网络和互联网架构
标题: 基于正态分布合理范围滤波的DNS隧道滑动窗口差分检测方法
摘要: APT组织经常使用的一种隐蔽攻击方法是DNS隧道,它通过构建C2网络来传递信息。 而且他们经常使用频繁更改域名和服务器IP地址的方法来逃避监控,这使得检测它们变得极其困难。 然而,它们在正常的DNS通信中承载着DNS隧道信息流量,这不可避免地会带来DNS流量某些统计特征的异常,从而为安全人员提供了找到它们的机会。 基于上述考虑,本文研究了典型DNS隧道高频查询行为的统计发现方法。 首先,我们分析了DNS域名长度和次数的分布,发现DNS域名长度与次数服从正态分布规律。 其次,基于这一分布规律,我们提出了一种基于域名长度和频率的统计规则来检测和发现非单个域名的高频DNS查询行为的方法,并给出了三个定理作为理论支持。 第三,基于上述方法设计了一种滑动窗差分格式。 实验结果表明,该方法具有较高的检测率。 同时,由于我们的方法不需要构建数据集,因此在检测未知DNS隧道方面具有更好的实用性。 这也表明,我们基于数学模型的检测方法可以有效避免机器学习方法必须具有有用的训练数据集的两难境地,具有较强的现实意义。