一种多特征融合的DNS隐蔽隧道检测方法

摘要

一种多特征融合的DNS隐蔽隧道检测方法涉及信息技术领域，本发明步骤包括：1）由黑样本收集器通过自建DNS隐蔽隧道获取DNS隐蔽隧道流量包；2）由黑样本标准化模块对DNS隐蔽隧道流量包数据进行预处理，并提取DNS隐蔽隧道流量包数据特征；3）由白样本标准化模块获取正常的DNS请求样本；4）构建神经网络模型模块；5）使用白样本构建快速预筛选模块；本发明的快速预筛选模块可以对正常请求域名和隧道请求域名进行简单区分，高效快速排除在实际工作中占有绝大多数的正常请求域名，在深度学习检测方面，本发明将一般性规则特征和深度域名文本特征结合用于DNS隐蔽隧道检测，提高检测准确度，降低了检测难度。