丁 嶠，劉俊延，劉林云，楊璐銘

(1.陸軍工程大學(xué)石家莊校區(qū) 裝備模擬訓(xùn)練中心，河北 石家莊 050003；2.國(guó)防科技大學(xué) 計(jì)算機(jī)學(xué)院，湖南 長(zhǎng)沙 410003)

0 引言

域名系統(tǒng)(Domain Name System，DNS)[1]是Internet上使用的一種重要協(xié)議和服務(wù)，DNS最常見的用途是將域名映射到IP地址。由于DNS特有的分層系統(tǒng)，域的所有者可以為其域定義權(quán)威服務(wù)器，這意味著它們可以控制向其域進(jìn)行DNS查詢的主機(jī)。DNS隧道對(duì)攻擊者很有吸引力，被廣泛用于傳輸竊取的信息，因?yàn)榇蠖鄶?shù)防火墻不會(huì)阻止DNS報(bào)文，只要被攻擊者的網(wǎng)絡(luò)需要進(jìn)行域名解析服務(wù)，DNS隧道就可以實(shí)現(xiàn)，IDS也不會(huì)因此觸發(fā)警報(bào)。近年來(lái)，出現(xiàn)了很多開源的DNS隧道工具，如iodine[2]，dns2tcp[3]和DNScat2[4]等。在2012年RSA會(huì)議上Ed Skoudis明確指出，基于DNS隧道流量攻擊是6種最危險(xiǎn)的新型網(wǎng)絡(luò)攻擊之一，攻擊者已在網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)勒索領(lǐng)域使用了這種技術(shù)。許多DNS隧道實(shí)用程序并不試圖隱藏，因?yàn)镈NS隧道流量通常沒有被有效監(jiān)控。針對(duì)各類殺毒軟件、IDS等安全策略對(duì)DNS隧道流量難以有效監(jiān)控的現(xiàn)象，眾多學(xué)者開始研究DNS隧道流量檢測(cè)技術(shù)?，F(xiàn)今，DNS隧道流量檢測(cè)具體可劃分為載荷分析和流量分析兩大類[5]。雖然研究者已經(jīng)提出了許多方法來(lái)確定DNS隧道，但仍有一些問(wèn)題值得進(jìn)一步關(guān)注?；谳d荷的檢測(cè)需要大量不同類別統(tǒng)計(jì)特征來(lái)保證檢測(cè)的精度，但檢測(cè)時(shí)間較長(zhǎng)，減少類別統(tǒng)計(jì)特征又會(huì)出現(xiàn)較高的誤報(bào)率?；诹髁繖z測(cè)通常關(guān)注DNS流量變化情況，但忽視了DNS報(bào)文的波動(dòng)亦有可能是由Query Flood等攻擊引起的，因此DNS隧道往往會(huì)犧牲一定的傳輸效率來(lái)規(guī)避針對(duì)DNS流量的檢測(cè)。

機(jī)器學(xué)習(xí)技術(shù)已被成功應(yīng)用到語(yǔ)音識(shí)別、圖像識(shí)別等領(lǐng)域，并有很好的效果。但由于無(wú)法獲取到大數(shù)據(jù)量的異常樣本，目前在網(wǎng)絡(luò)安全行業(yè)能成功應(yīng)用機(jī)器學(xué)習(xí)的案例較少。在DNS隧道檢測(cè)場(chǎng)景中，同樣存在異常樣本數(shù)據(jù)稀缺問(wèn)題。針對(duì)當(dāng)前基于載荷、基于流量的DNS隧道檢測(cè)誤報(bào)率高的問(wèn)題，結(jié)合基于載荷、基于流量的特征提取方法，將特征提取維度擴(kuò)展至一個(gè)完整的DNS會(huì)話，使得選取的特征更具備差異性，以此為基礎(chǔ)設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于特征分析的DNS隧道流量檢測(cè)系統(tǒng)。系統(tǒng)首先采集不同的開源DNS隧道軟件產(chǎn)生的DNS隧道數(shù)據(jù)，并將采集的DNS隧道流量重組成DNS會(huì)話，進(jìn)而對(duì)包含DNS隧道流量和正常DNS流量的數(shù)據(jù)集結(jié)合領(lǐng)域?qū)＜抑R(shí)進(jìn)行統(tǒng)計(jì)分析，詳細(xì)研究DNS協(xié)議報(bào)文字段，挖掘出可表征不同DNS隧道流量的特征。再使用多種機(jī)器學(xué)習(xí)模型進(jìn)行學(xué)習(xí)訓(xùn)練，結(jié)合機(jī)器學(xué)習(xí)評(píng)估指標(biāo)選取最佳分類模型。最后對(duì)所選特征進(jìn)一步篩選，找到可以區(qū)分不同DNS隧道流量的最小特征子集。

1 相關(guān)工作

DNS載荷分析主要針對(duì)DNS數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行分析。Butler等[6]把DNS報(bào)文的域名中l(wèi)abel部分大于52個(gè)字符作為識(shí)別DNS隧道的特征之一。Born等[7]引入信息熵的概念來(lái)檢測(cè)DNS隧道域名字母的混亂程度。Qi等[8]用二元語(yǔ)法字頻來(lái)檢測(cè)DNS報(bào)文中域名字母頻率，發(fā)現(xiàn)正常的域名滿足Zipf定律而DNS隧道的域名遵循的是隨機(jī)分布。Bilge等[9]把檢測(cè)域名中最長(zhǎng)有意義子串的百分比作為檢測(cè)惡意域名的重要特征之一，同時(shí)分析了DNS報(bào)文中的TTL屬性，異常的DNS流量TTL值通常比較小，并將此作為特征。DNS流量分析主要是檢測(cè)網(wǎng)絡(luò)中的DNS流量變化情況。章思宇等[10]發(fā)現(xiàn)隱蔽隧道通信中的DNS流在單位時(shí)間回答數(shù)據(jù)的總字節(jié)數(shù)與合法請(qǐng)求具有明顯的差異。Butler等[11]認(rèn)為一定時(shí)間內(nèi)IP地址、域名出現(xiàn)的數(shù)量可以作為DNS隧道流量的檢測(cè)標(biāo)志。Skoudis[12]在2012年RSA會(huì)議上指出，DNS的地理位置也是與DNS隧道流量相關(guān)的指標(biāo)，因?yàn)榇罅康腄NS流量都是針對(duì)不相關(guān)的特定位置。但對(duì)于在全球缺乏分支機(jī)構(gòu)的組織來(lái)說(shuō)，這種方法可行性較低。羅友強(qiáng)[13]以第一個(gè)DNS報(bào)文到最后一個(gè)DNS報(bào)文的時(shí)間差作為一次DNS會(huì)話時(shí)長(zhǎng)，并將DNS會(huì)話中的數(shù)據(jù)包總數(shù)作為DNS隧道的特征之一。通過(guò)引入機(jī)器學(xué)習(xí)方法，Allard等[14]提出了一種使用MLT檢測(cè)DNS隧道的方法,使用了2個(gè)分類器決策樹(DT)和隨機(jī)森林(RF)，通過(guò)對(duì)內(nèi)部協(xié)議進(jìn)行統(tǒng)計(jì)分析來(lái)訓(xùn)練加密流,目的是識(shí)別DNS隧道流量中數(shù)據(jù)包的大小。Buczak等[15]研究了不同類型的DNS隧道流量特征組合，并使用射頻分類器進(jìn)行比較，特征包括DNS請(qǐng)求包數(shù)量、連續(xù)響應(yīng)時(shí)間間隔等。Aiello等[16]通過(guò)主成分分析(PCA)和互信息(MI)2種方法研究了DNS隧道的統(tǒng)計(jì)特征，目的是檢查預(yù)警的行為模式，以確定隧道流量特征，并將提取的特征與KNN分類器相結(jié)合。在存在DNS隧道的情況下，該方法在流量分析方面表現(xiàn)出了良好的性能。

2 DNS隧道流量檢測(cè)框架設(shè)計(jì)

2.1 系統(tǒng)設(shè)計(jì)目標(biāo)

基于特征分析的DNS隧道流量檢測(cè)系統(tǒng)應(yīng)能有效地檢測(cè)出隱藏在正常DNS流量中的DNS隧道流量。在特征分析中，特征提取的有效性和特征子集的優(yōu)化是重要的2個(gè)方面。因此實(shí)驗(yàn)從2個(gè)方面對(duì)DNS隧道流量檢測(cè)系統(tǒng)進(jìn)行功能驗(yàn)證，一方面驗(yàn)證實(shí)驗(yàn)提取的DNS流量特征能否有效反映DNS隧道流量特點(diǎn)，達(dá)到較好的分類效果；另一方面驗(yàn)證最優(yōu)特征子集的檢測(cè)效果。

2.2 系統(tǒng)架構(gòu)設(shè)計(jì)

系統(tǒng)架構(gòu)由5部分組成。第1個(gè)組件是嗅探器模塊，采用WinPcap抓取網(wǎng)絡(luò)流量底層數(shù)據(jù)包，并過(guò)濾DNS數(shù)據(jù)包。Windows系統(tǒng)為用戶提供了一個(gè)簡(jiǎn)易且實(shí)用性較強(qiáng)的WinPcap體系結(jié)構(gòu)，該結(jié)構(gòu)分為3部分：一是驅(qū)動(dòng)程序NPF，用于過(guò)濾流量包，是該系統(tǒng)的核心模塊；二是動(dòng)態(tài)連接庫(kù)Packet.all，為Windows操作系統(tǒng)提供底層接口；三是獨(dú)立于系統(tǒng)之外的wpcap.all，提供符合Libpacp接口的更高層函數(shù)庫(kù)[17]。第2個(gè)組件是DNS會(huì)話重組模塊，需要對(duì)采集到的DNS流量進(jìn)行會(huì)話重組。該模塊首先對(duì)DNS報(bào)文按照五元組進(jìn)行分類，形成DNS會(huì)話，并利用哈希鏈表進(jìn)行存儲(chǔ)。具體存儲(chǔ)方式為：如果新的DNS報(bào)文五元組信息在當(dāng)前的哈希鏈表中有記錄，則把該報(bào)文鏈接至當(dāng)前鏈表后；如果新的DNS報(bào)文五元組信息不在當(dāng)前的哈希鏈表中，則需生成新的哈希鏈表。由于DNS會(huì)話沒有TCP會(huì)話中類似“四次握手”明顯結(jié)束標(biāo)志，實(shí)驗(yàn)規(guī)定5 min內(nèi)如若沒有接收到新的報(bào)文，則DNS會(huì)話關(guān)閉。第3個(gè)組件是DNS特征提取模塊，將DNS會(huì)話轉(zhuǎn)換成特征表示。首先使用Joy軟件對(duì)DNS流量進(jìn)行解析，Joy是一個(gè)分析流量數(shù)據(jù)工具，用于從實(shí)時(shí)網(wǎng)絡(luò)流量或pcap文件中提取數(shù)據(jù)特征，然后用Json表示這些數(shù)據(jù)特征。實(shí)驗(yàn)在不同DNS報(bào)文字段選取了15個(gè)特征來(lái)表征一個(gè)DNS會(huì)話，每個(gè)特征的含義將在下文具體介紹。第4個(gè)組件是DNS機(jī)器學(xué)習(xí)模塊，對(duì)檢測(cè)模型進(jìn)行訓(xùn)練。在這一模塊需要根據(jù)評(píng)估指標(biāo)對(duì)不同機(jī)器學(xué)習(xí)模型進(jìn)行測(cè)試，篩選出適合本實(shí)驗(yàn)的機(jī)器學(xué)習(xí)分類模型，并將標(biāo)記的DNS隧道流量和正常DNS流量特征數(shù)據(jù)傳入作為機(jī)器學(xué)習(xí)模塊的輸入。第5個(gè)組件是特征篩選模塊，用于形成最優(yōu)特征子集。該模塊根據(jù)實(shí)際檢測(cè)精度對(duì)特征進(jìn)一步篩選，并將篩選出的新的特征子集再次傳入機(jī)器學(xué)習(xí)模塊，與全特征下模型檢測(cè)效果做對(duì)比。整體框架如圖1所示。

圖1 DNS隧道流量檢測(cè)框架

3 特征提取

為了確定反映隧道行為的DNS流量特征，對(duì)正常的DNS流量和已被判定為DNS隧道流量的共計(jì)10萬(wàn)條數(shù)據(jù)在包特征、資源記錄特征、時(shí)間特征、域名特征和判決特征等5大類別進(jìn)行統(tǒng)計(jì)對(duì)比，觀測(cè)各個(gè)特征下正常流量和隧道流量的分布情況。DNS隧道流量來(lái)自于開源的DNS隧道工具，如iodine，dns2tcp和dnscat2等。最終確定了15個(gè)特征作為DNS隧道流量識(shí)別特征，特征描述如表1所示。

表1 特征描述

3.1 包特征

3.1.1 DNS數(shù)據(jù)包總數(shù)

DNS隧道會(huì)話一般隨著隧道生命周期的結(jié)束而結(jié)束，在整個(gè)隧道生命周期內(nèi)會(huì)向外發(fā)送心跳報(bào)文、傳輸敏感信息和資源文件[18]，所以在DNS隧道會(huì)話中DNS報(bào)文數(shù)量較大。而正常客戶端產(chǎn)生的DNS會(huì)話隨著一次DNS解析任務(wù)結(jié)束而結(jié)束。在隨機(jī)抽樣的1萬(wàn)條DNS會(huì)話中，大多數(shù)正常的DNS會(huì)話中數(shù)據(jù)包的個(gè)數(shù)為2，由1個(gè)DNS請(qǐng)求報(bào)文和1個(gè)DNS響應(yīng)報(bào)文組成。

3.1.2 請(qǐng)求包大小和方差

為了將私密數(shù)據(jù)安全傳輸?shù)侥康牡?，DNS隧道工具通常會(huì)將傳遞的信息以子域字符串的形式編碼，并利用子域名串和權(quán)威DNS服務(wù)器控制的高級(jí)域名構(gòu)造查詢的域名。隧道應(yīng)用會(huì)發(fā)出一個(gè)解析該域名的請(qǐng)求，權(quán)威DNS服務(wù)器將接收請(qǐng)求并通過(guò)對(duì)子域字符串進(jìn)行解碼來(lái)獲取信息。較長(zhǎng)的域名說(shuō)明承載著更多的秘密信息，這就導(dǎo)致了隧道流量的請(qǐng)求報(bào)文大小和方差通常比正常DNS流量要大。

3.2 域名特征

DNS會(huì)話域名屬性是重要的隧道流量行為判別特征，因?yàn)闊o(wú)論隧道工具采用嵌入數(shù)據(jù)、通信加密(base64，base32編碼等)或者其他方式，隧道流量域名的長(zhǎng)度、熵值、格式內(nèi)容均會(huì)與正常DNS流量的域名信息有所不同。由于DNS隧道在工作時(shí)，會(huì)把隱蔽信息封裝在請(qǐng)求字段的域名中，為了追求傳輸效率，在傳輸過(guò)程中會(huì)盡可能多地?cái)y帶私密信息，這就造成DNS隧道流量域名字段中子域名個(gè)數(shù)較多、域名長(zhǎng)度均值較長(zhǎng)。正常DNS流量域名通常是以完整單詞或者常用詞組構(gòu)成，域名熵值較低。DNS隧道則一般會(huì)采用隨機(jī)字符編碼的方法增強(qiáng)隱蔽性，提升抗字符分析能力，這就使得DNS隧道流量域名的混亂程度較高。此外，在研究過(guò)程中發(fā)現(xiàn)，正常域名易讀性較好，子域名構(gòu)成中數(shù)字、輔音字母較少。DNS隧道流量域名數(shù)字、輔音字母占比較高。選取包含正常DNS流量和隧道流量在內(nèi)的1萬(wàn)條DNS會(huì)話，觀測(cè)二者不同特征下域名特征對(duì)比情況。域名特征對(duì)比如表2所示。從表2可以看出，正常DNS流量和DNS隧道流量的子域名個(gè)數(shù)、子域名熵值、輔音頻率、數(shù)字頻率、長(zhǎng)度均值存在顯著差異，將上述5個(gè)特征作為域名標(biāo)識(shí)特征。

表2 域名特征對(duì)比

3.3 資源記錄特征

資源記錄類型為用戶提供與查詢的域名相關(guān)聯(lián)的特定類型的信息。有許多類型的標(biāo)準(zhǔn)資源記錄。在選用的DNS數(shù)據(jù)中，A記錄占比30%～35%，CNAME記錄占比30%～40%,NS記錄占比7%～10%，而像TXT，NS記錄占比則小于1%。統(tǒng)計(jì)結(jié)果表明，常見的記錄類型占正常DNS流量的大部分。相反，DNS隧道工具更喜歡使用不常見的記錄類型來(lái)封裝信息。資源記錄字段長(zhǎng)度通常與選用的資源類型相關(guān)。選用是否為常用資源類型、資源記錄字段長(zhǎng)度2個(gè)特征標(biāo)識(shí)資源記錄的信息。

3.4 時(shí)間類特征

時(shí)間間隔是指單次DNS查詢報(bào)文和響應(yīng)報(bào)文的間隔時(shí)間。正常的DNS流量查詢報(bào)文和響應(yīng)報(bào)文的間隔時(shí)間較短，因?yàn)樵谠L問(wèn)常見的域名地址時(shí)本地DNS服務(wù)器可以從本地緩存中迅速找到域名解析記錄。而若是訪問(wèn)構(gòu)造的域名信息，本地DNS服務(wù)器由于在本地緩存中找不到該域名的解析記錄，只能求助根域名服務(wù)器進(jìn)行迭代查詢，致使DNS查詢報(bào)文和響應(yīng)報(bào)文的間隔時(shí)間較長(zhǎng)。在此過(guò)程中，域名解析記錄在DNS服務(wù)器上的“生存時(shí)間”就是TTL值，倘若在TTL值失效之前，本地DNS服務(wù)器再次收到對(duì)同一域名的解析請(qǐng)求，本地DNS服務(wù)器就會(huì)用已經(jīng)緩存的記錄信息進(jìn)行回應(yīng)。有部分研究人員發(fā)現(xiàn)，通信雙方在使用DNS隧道進(jìn)行通信時(shí)，為使DNS隧道時(shí)間延長(zhǎng)以便于傳遞更多數(shù)據(jù)，攻擊者會(huì)設(shè)置較小的TTL值。因此，選用時(shí)間間隔和TTL的均值來(lái)表征時(shí)間類特征。

3.5 判決類特征

除了上述定義的特征，本文加入3個(gè)判決類特征進(jìn)行輔助判別，分別為有效載荷部分是否加密、會(huì)話中的UDP報(bào)文是否有空隙、DNS頭部ID字段的值是否隨機(jī)。

DNS報(bào)文中除去DNS報(bào)文頭部還有3部分：查詢問(wèn)題字段、回答、授權(quán)和額外信息字段的內(nèi)容，這3部分內(nèi)容共同構(gòu)成了DNS會(huì)話報(bào)文的有效載荷[19]。DNS協(xié)議是一種明文傳輸協(xié)議。而DNS隧道流量在工作中通常將需要傳遞的隱蔽信息封裝在DNS報(bào)文的有效載荷中，并采用加密算法對(duì)隱蔽數(shù)據(jù)做加密處理，所以將DNS報(bào)文中有效載荷部分是否加密作為一個(gè)識(shí)別特征。

DNS協(xié)議通常使用UDP報(bào)文傳輸。由于DNS隧道采用中繼模式時(shí)，受控端會(huì)一直向DNS服務(wù)器發(fā)送心跳包保持連接，這通常導(dǎo)致DNS協(xié)議字段格式損壞，使報(bào)文完整性缺失，故將會(huì)話中的UDP報(bào)文是否有空隙作為一個(gè)識(shí)別特征。

DNS頭部ID是DNS報(bào)文的標(biāo)識(shí)，對(duì)于請(qǐng)求和應(yīng)答報(bào)文，此字段相同，通過(guò)它可以區(qū)分DNS應(yīng)答報(bào)文是哪個(gè)請(qǐng)求的響應(yīng)。對(duì)于正常的DNS流量，Transaction ID是隨機(jī)生成的，而對(duì)于DNS隧道流量，由于其數(shù)據(jù)包較多，每個(gè)報(bào)文的Transaction ID可能會(huì)呈現(xiàn)出一定規(guī)律性，因此將Transaction ID是否隨機(jī)作為識(shí)別特征。

4 實(shí)驗(yàn)測(cè)試與分析

4.1 實(shí)驗(yàn)環(huán)境搭建

DNS隧道流量檢測(cè)實(shí)驗(yàn)環(huán)境如圖2所示。DNS隧道流量檢測(cè)系統(tǒng)安裝在防火墻的內(nèi)部，通過(guò)交換機(jī)連接鏡像流量端口檢測(cè)隱藏在正常DNS流量中的DNS隧道流量。在實(shí)驗(yàn)搭建的局域網(wǎng)測(cè)試環(huán)境中，15臺(tái)機(jī)器中有4臺(tái)安裝了DNS隧道流量，DNS隧道流量分別由dns2tcp，dnscat2，iodine，OzymanDNS四種隧道軟件搭建。實(shí)驗(yàn)在會(huì)話重組模塊選取8 000個(gè)正常的DNS流量和2 000個(gè)DNS隧道流量會(huì)話作為訓(xùn)練樣本，2 000個(gè)DNS隧道流量樣本中四種不同類型隧道軟件生成的流量各500個(gè)。

圖2 DNS隧道流量檢測(cè)實(shí)驗(yàn)環(huán)境

4.2 分類模型比較

在機(jī)器學(xué)習(xí)模塊中實(shí)驗(yàn)選取了Accuracy，Precision，Recall，F(xiàn)1-score，AUC等5個(gè)機(jī)器學(xué)習(xí)指標(biāo)比較了NaviBayes，J48，Simple Logistic，KNN，MultilayerPerception(MLP)，XGboost 6種分類器的分類效果，并在時(shí)間復(fù)雜度上對(duì)6種分類器進(jìn)行比較如圖3所示。流量的類別編號(hào)為0：normal，1：dns2tcp，2：dnscat2，3：iodine，4：OzymanDNS。

(a)不同模型準(zhǔn)確率檢測(cè)

在總體識(shí)別精度和誤報(bào)率上，MLP，Simple Logistic，XGboost三種分類模型明顯更優(yōu)，而在三者的時(shí)間復(fù)雜度上，XGboost相對(duì)更低。由于DNS隧道流量檢測(cè)系統(tǒng)需要兼顧檢測(cè)精度和時(shí)間，最終選用XGboost作為機(jī)器學(xué)習(xí)模塊的分類模型。

XGboost在檢測(cè)精度和時(shí)間復(fù)雜度上的優(yōu)勢(shì)證明了此模型更適用于DNS隧道流量檢測(cè)。在檢測(cè)精度方面，XGboost對(duì)損失函數(shù)進(jìn)行二階泰勒展開,并在代價(jià)函數(shù)里加入了正則項(xiàng)。正則項(xiàng)里包含了樹的葉子節(jié)點(diǎn)個(gè)數(shù)、每個(gè)葉子節(jié)點(diǎn)上輸出的權(quán)重得分的平方和。加入的正則項(xiàng)降低了模型的方差,防止過(guò)擬合，提升了模型的檢測(cè)精度與魯棒性；在時(shí)間復(fù)雜度方面,XGboost在訓(xùn)練前預(yù)先對(duì)數(shù)據(jù)排序并保存為塊(Block)結(jié)構(gòu),在后面的迭代中重復(fù)地使用此結(jié)構(gòu)，顯著減少了計(jì)算量。此外，在進(jìn)行樹節(jié)點(diǎn)分裂時(shí)，Block結(jié)構(gòu)可以將各個(gè)特征的增益計(jì)算過(guò)程并行展開，進(jìn)一步降低了模型的時(shí)間復(fù)雜度。

4.3 特征篩選

為了驗(yàn)證15個(gè)特征中是否存在冗余特征，以獲取最小特征子集表征DNS隧道流量檢測(cè)模型，實(shí)驗(yàn)選用XGboost對(duì)每個(gè)特征進(jìn)行重要性排序，XGboost根據(jù)結(jié)構(gòu)分?jǐn)?shù)的增益情況計(jì)算出選擇哪個(gè)特征作為分割點(diǎn)，而某個(gè)特征的重要性就是它在所有樹中出現(xiàn)的次數(shù)之和。特征重要性評(píng)分如圖4所示，在15個(gè)特征中，域名熵值、域名輔音頻率、域名長(zhǎng)度均值、域名數(shù)字頻率、TTL均值、包總數(shù)、請(qǐng)求包大小、平均時(shí)間間隔擁有更強(qiáng)的重要性。

圖4 特征重要性評(píng)分

為了獲取最小特征子集，實(shí)驗(yàn)首先設(shè)置了一個(gè)空集，以前向搜索的方式按照特征重要性程度依次往空集中加入新的特征，篩選的條件是分類精度始終維持在95%以上。圖5展示了分類精度與特征數(shù)量的相關(guān)性，可以直觀地看到當(dāng)n=6時(shí)，分類精度首先滿足閾值要求，并隨著后續(xù)新的特征的加入，精度無(wú)明顯提升。對(duì)照特征重要性(圖4)，最小特征子集確定為域名熵值、域名輔音頻率、域名長(zhǎng)度均值、域名數(shù)字頻率、TTL均值和包總數(shù)。

圖5 特征閾值篩選

實(shí)驗(yàn)將選取的6特征的最小特征子集與全部15個(gè)特征在相同訓(xùn)練集、測(cè)試集下進(jìn)行分類效果對(duì)比。圖6、圖7分別為全特征(15特征)與最小特征子集(6特征)的分類模型混淆矩陣對(duì)比圖，可以看出分類效果下降并不明顯。

圖7 分類模型混淆矩陣(6特征)

實(shí)驗(yàn)進(jìn)一步觀測(cè)2個(gè)特征集合在完成DNS隧道流量檢測(cè)過(guò)程中時(shí)間復(fù)雜度對(duì)比情況。從圖8可以清晰地看出，最優(yōu)特征子集檢測(cè)模型比全特征檢測(cè)模型在時(shí)間復(fù)雜度上有了顯著提升。

圖8 時(shí)間復(fù)雜度對(duì)比

5 結(jié)束語(yǔ)

為了更有效地識(shí)別DNS隧道攻擊，本文對(duì)DNS隧道流量檢測(cè)特征進(jìn)行分析研究，找出能夠刻畫DNS隧道行為的特征。通過(guò)觀測(cè)正常流量與隧道流量的統(tǒng)計(jì)分布、擴(kuò)展時(shí)間維度至一個(gè)完整的DNS會(huì)話等方法，實(shí)驗(yàn)共提取出5大類共15個(gè)特征標(biāo)記一條完整的DNS會(huì)話。以提取出的特征為基礎(chǔ)模型，設(shè)計(jì)并實(shí)現(xiàn)了DNS隧道流量檢測(cè)系統(tǒng)，實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)能夠有效地檢測(cè)出不同DNS隧道軟件下產(chǎn)生的隧道流量，且具有較小的誤報(bào)率和漏報(bào)率。通過(guò)特征篩選可以進(jìn)一步降低特征子集的冗余度，發(fā)現(xiàn)最優(yōu)特征子集，最優(yōu)特征子集可以更好地平衡檢測(cè)精度和時(shí)間復(fù)雜度之間的關(guān)系。