文件名称:数据分组特征-商业领域的数据分析宝典
文件大小:1.12MB
文件格式:PDF
更新时间:2024-07-10 06:44:51
DNS隧道 流量检测
3.2 数据分组特征 通过对 DNS隐蔽通道构造方法和流量的分析, 本文从 DNS 数据分组中提取了一系列可用于区别 DNS隐蔽通道的特征。 3.2.1 数据分组解析特征 如 3.1节所述,对采集的数据分组进行 DNS协 议解析时若出现格式异常或有注入数据,则可能为 基于服务器的 DNS 隐蔽通道。对于数据注入的情 况,本文计算注入数据长度,即协议解析完毕时指 针与 UDP 载荷末尾的距离,作为表示松弛空间注 入量的特征参数。 DNS 隐蔽通道在数据传输时,充分利用 DNS 协议各字段或 Raw UDP报文允许的最大长度,以 提高带宽利用率、减少数据分组数量。基于域名的 通道,其上行和下行数据分别存储在 DNS 消息的 问题段和回答段,增加了 DNS 消息本身的长度。 基于服务器的隧道,由于无法将其作为 DNS 报文 解析,本文将 UDP 载荷长度也作为数据分组解析 特征之一。 3.2.2 请求域名特征 请求域名特征针对基于域名的隐蔽通道。 DNS 问题段除 QNAME 以外的字段只能容纳 4byte数据,因此,基于域名的通道上行数据通常 只能存储在 QNAME中,提取 QNAME的特征: 标签数量和子域名长度。DNS协议限制域名最长 为 255byte,每个标签不超过 63byte,因此,DNS 隐蔽通道将上行数据编码为长域名之后,必须分 割为多个标签。 文献[5]在域名中使用二进制数据以提高传输 效率,也是 QNAME的特征之一。实验发现大多数 DNS 隐蔽通道使用了 DNS 协议允许的字符集以外 的字符。对于使用二进制编码的子域名,请求中所 包含的信息量与子域名长度相等;仅使用 DNS 协 议允许的字符,则必须 Base32编码,QNAME包含 的信息量等于子域名长度的 60%。 3.2.3 DNS 消息特征 编码域名中使用前向指针是文献[6]提出的 提高数据注入检测难度的手段,前向指针在一般 的 DNS解析器和服务器实现中几乎不会被采用, 因而是否存在前向指针是识别隐蔽通道的特征之 一。隐蔽性较高的隧道的 A记录请求,一般采用 CNAME(规范名称)记录来携带较多的下行数据, 本文将回答含CNAME记录作为第二个DNS消息 特征。 基于域名的隐蔽通道,下行数据存储在资源记 录中,尤其是回答段的资源记录中,因此,本文计 算回答段资源记录数据长度(RDLENGTH)之和, 以及整个报文包括授权和附加段在内全部资源记 录 RDLENGTH之和,作为表示 DNS回答所容纳的 隧道下行数据量的 2个参数。 3.2.4 特征总结 通过对数据分组 3类特征的分析,总共提取了 12 个数据分组特征用于区别合法 DNS 请求与隐蔽 通信,总结如表 1所示。