文件名称:特征评估-商业领域的数据分析宝典
文件大小:1.12MB
文件格式:PDF
更新时间:2024-07-10 06:44:52
DNS隧道 流量检测
4.3 特征评估 在不同的特征选取的情况下,分别建立分类器 模型进行比较,采用全样本集和十折交叉验证评 估,各个模型的误报率均在 0.15%至 0.30%的范围 内,因此着重比较其漏检率(false negative rate)。 由于 FS 3 包含的特征数量众多,进一步将 FS 3 分为 报文解析特征统计(FS 3 PP)、请求域名特征统计 (FS 3 DN)和资源记录特征统计(FS 3 RR)3部分进 行了评估,不同特征选取时模型漏检率如图 4所示。 结果表明 FS 3 和全部特征集(ALL)均取得了较低 的漏检率,而 FS 1 和 FS 2 的漏检率较高。 图 4 各类特征集下的漏检率 与本文算法相比,传统的基于高请求频率判断 DNS隐蔽通道的方法,仅仅依赖于统计同一客户端 对同一纯域名的请求量,即仅使用本文算法的特征 集 FS 1 中的特征,而缺乏应用层深入分析产生的特 征集 FS 2 和 FS 3 。图 5 对比了合法请求与隐蔽通道 样本的报文数量分布,DNS隧道程序在保持连接和 低速率传输时的请求频率与合法应用难以区分, 34.5%的隧道样本 5min报文数小于 150,而有 17.2% 的合法样本报文数超过该值。根据此参数设定阈 值,为使误报率保持在合理范围内,将不可避免地 忽略低带宽的隐蔽通信。因此,特征评估实验利用 FS 1 特征集建立决策树模型的漏检率达 30%左右。 图 5 同域名查询频率分布