文件名称:实际环境评估-商业领域的数据分析宝典
文件大小:1.12MB
文件格式:PDF
更新时间:2024-07-10 06:44:53
DNS隧道 流量检测
策树模型取得了与全特征集相同的准确率。 4.4 未知隐蔽通道模式检测 为验证决策树模型的检测能力,对训练使用的 隐蔽通道模式重新截取新的流量,测试结果表明该 模型能检出全部 22种已知的 DNS隐蔽通道。进一 步地,本文实验检验模型对训练未涉及的“未知” DNS 隐蔽通道的检测能力。实验另外测试了 3 个 DNS隧道程序,分别为 OzyManDNS、Heyoka,以 及作者自行设计的 DNS隐蔽通道 NSChan。NSChan 使用 Base32 域名编码,下行数据采用了与其他隧 道均不同的设计,将数据编码为多个 IPv4地址,通 过 A记录返回。对于上述 3个未经训练的 DNS通 道程序,检测结果如表 5所示。 模型成功检测活动和空闲状态的 OzyManDNS 与 Heyoka,以及活动状态下的 NSChan。模型未能 检测空闲状态的 NSChan,对其流量分析后发现, 两方面因素导致了漏检的产生。首先,NSChan 在 空闲、保持连接状态下的请求频率 idle 0.2f = ,低于 训练使用的 Iodine 的 idle 0.33f = ,以及 DNSCat、 Dns2tcp 和 tcp-over-dns 的 1.0、2.0和 6.0,从而, 其 5min 对外报文数 o idle 60n Tf= = 恰好低于决策树 模型在该参数的阈值 68,被判为合法。其次,本文 作者实现 NSChan时,对封装报文头部长度未作优 化,空闲时子域名长度与其他隧道活跃时相当,使 决策树在请求报文最小长度节点处进入了适用于 活跃隧道的分支。尽管如此,NSChan 在数据传输 时,不可避免地出现频率提高及域名长度增加的隐 蔽通信特征,活动状态依然无法躲避本算法检测。 作为改进方案,模型训练时可添加将隧道程序 idle f 参数减小后采集的样本,截取报文量接近系统参数 m R (如 3.4节)的流量,以增强模型对请求频率低 至下界 m m 2 /f R= 的隧道的检测。 表 5 检测训练集以外的 DNS隐蔽通道 通道程序 状态 检测结果 活动 Yes OzyManDNS 空闲 Yes 活动 Yes Heyoka 空闲 Yes 活动 Yes NSChan 空闲 No 4.5 实际环境评估 本文对 DNS 隐蔽通道检测算法进行了实现, 处理实时的 DNS 流量发现其中的隐蔽通信行为。 将检测系统在上海交通大学网络中心的 DNS 流量 监控服务器上进行了部署,检验算法在实际环境中 的效果。系统监测的 DNS请求来自约 30万个源 IP 地址,DNS请求量约 3 000次/秒。 流量经数据分组过滤后,DNS数据连接统计表 中暂存的记录为 11万条,内存使用最大 50MB。经 过持续 10h的运行和检测,实际环境测试结果如表 6所示。系统共产生了 30万个样本进入分类器,其 中 310个被检出的样本确认属于隐蔽通信,系统总 共检测到 7个独立的隐蔽通道的存在。 表 6 实际环境测试结果 测试名称 测试结果 样本总数 302 528 检测数 310 独立隐蔽通道 7 样本误报 324 (0.107%) 客户端总数 9 665 客户端误报 38 (0.393%) 域名总数 2 802 域名误报 23 (0.821%) DNS连接总数 64 473 DNS连接误报 45 (0.070%)