基于 DNS 的隐蔽通道流量检测

TP393.08; 为提出一种有效检测各类型 DNS 隐蔽通道的方法,研究了 DNS 隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的12个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别.实验表明,决策树模型可检测训练中全部22种 DNS 隐蔽通道,并可识别未经训练的新型隐蔽通道.提出的检测方法在校园网流量实际部署中成功检出了多个 DNS 隧道的存在....

Full description

Saved in:
Bibliographic Details
Published in通信学报 no. 5; pp. 143 - 151
Main Authors 章思宇, 邹福泰, 王鲁华, 陈铭
Format Journal Article
LanguageChinese
Published 上海交通大学 信息安全工程学院,上海 200240%国家计算机网络与信息安全管理中心,北京 100017%上海交通大学 密西根学院,上海 200240 2013
Subjects
隐蔽通道
入侵检测
机器学习
network security
domain name system
covert channel
intrusion detection
machine learning
网络安全
域名系统
Online AccessGet full text
ISSN1000-436X
DOI10.3969/j.issn.1000-436x.2013.05.017

Cover

More Information
Summary:TP393.08; 为提出一种有效检测各类型 DNS 隐蔽通道的方法,研究了 DNS 隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的12个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别.实验表明,决策树模型可检测训练中全部22种 DNS 隐蔽通道,并可识别未经训练的新型隐蔽通道.提出的检测方法在校园网流量实际部署中成功检出了多个 DNS 隧道的存在.
ISSN:1000-436X
DOI:10.3969/j.issn.1000-436x.2013.05.017