文件名称:分类器模型比较-商业领域的数据分析宝典
文件大小:1.12MB
文件格式:PDF
更新时间:2024-07-10 06:44:52
DNS隧道 流量检测
4.1 训练数据采集 对 DNS 数据连接分类器进行训练和评估,需 采集一系列合法 DNS流量样本,以及 DNS隐蔽通 道的流量样本。实验使用的合法流量样本取自上海 交通大学校园网的 DNS流量,在 1h的流量截取文 件中,提取单一客户端对同一纯域名请求次数最多 的 6 890 个 DNS 数据连接,并确认了其均不属于 DNS隐蔽通信。 为了获得 DNS 隐蔽通道样本,实验运行了多 个现有的 DNS 隧道软件,截取其产生的流量。测 试的 DNS隧道程序包括 Iodine、Dns2tcp、DNSCat、 tcp-over-dns 和 PSUDP。对于支持多种资源记录类 型的 Iodine、Dns2tcp和 DNSCat,分别截取了其在 NULL、TXT、SRV、MX、CNAME、KEY等资源 记录,以及 Raw UDP模式下的流量。 为使训练产生的模型既能识别数据传输中的 大吞吐量隐蔽通道,又可检测低频交互、小流量的 通道,对上述 DNS 隧道软件的实验中,分别截取其 活动状态(有数据通过隧道传输)和空闲状态(隧道 保持连接)时的流量。隧道传输的数据采用 Web 浏 览器自动加载网页的方法产生。PSUDP 采用在已有 DNS 流量中注入数据的被动工作方式,自身不产生 DNS请求,因此,PSUDP的实验,以 1次/秒的频率 发送DNS请求,使 PSUDP能够进行数据传输。 上述 DNS隧道程序的实验总共涵盖 22种隐蔽 通信模式。实验对每种模式分别截取 6个时间段, 产生总共 132 个 DNS 隐蔽通道流量样本(如表 3 所示)。 表 3 训练样本集 类别 样本来源 样本数 合法请求 校园网 DNS流量 6 890 Iodine(6类资源记录) 78 Dns2tcp(2类资源记录) 18 隐蔽通道 DNSCat(2类资源记录) 18 tcp-over-dns 12 PSUDP 6 4.2 分类器模型比较 本文使用 Weka[16]软件,对 J48 决策树、朴素 贝叶斯(Naïve Bayes)和逻辑回归(LR, logistic regression)算法进行比较,分类器模型采用十折交 图 2 DNS隐蔽通道检测流程