基于子域上下文关系的DNS隐蔽信道检测方法

摘要

目前,攻击者进行私密信息传输、信息泄露、恶意信息传播等活动的主要手段之一是使用DNS协议作为隐蔽信道,特别是在僵尸网络和匿名通信网络中。为此,提出一种基于子域上下文关系的DNS隐蔽信道检测方法,该方法不仅提取了请求应答时间间隔、请求/应答报文大小、子域熵值以及资源记录类型频率等基础异常流量统计特征,同时对子域内容本身及其上下文关系进行了特征学习和提取。实验结果表明,该方法获得了99%以上的精度和召回率,具有很好的检测性能。