基于DNS的隐蔽通道流量检测被引量：26

Detecting DNS-based covert channel on live traffic

在线阅读下载PDF

导出

摘要为提出一种有效检测各类型DNS隐蔽通道的方法,研究了DNS隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的12个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别。实验表明,决策树模型可检测训练中全部22种DNS隐蔽通道,并可识别未经训练的新型隐蔽通道。提出的检测方法在校园网流量实际部署中成功检出了多个DNS隧道的存在。 To propose an effective detection method for DNS-based covert channel, traffic characteristics were thor- oughly studied. 12 features were extracted from DNS packets to distinguish covert channels from legitimate DNS queries. Statistical characteristics of these features are used as input of the machine learning classifier. Experimental results show that the decision tree model detects all 22 covert channels used in training, and is capable of detecting untrained covert channels. Several DNS tunnels were detected during the evaluation on campus network＇s live DNS traffic.

作者章思宇邹福泰王鲁华陈铭

机构地区上海交通大学信息安全工程学院国家计算机网络与信息安全管理中心上海交通大学密西根学院

出处《通信学报》 EI CSCD 北大核心 2013年第5期143-151,共9页 Journal on Communications

基金国家自然科学基金资助项目(61071081) 国家242信息安全计划基金资助项目(2011A004) 信息网络安全公安部重点实验室开放课题基金资助项目(C11608)~~

关键词域名系统隐蔽通道入侵检测机器学习网络安全 domain name system covert channel intrusion detection machine learning network security -

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

作者简介章思宇（1989-），男，上海人，上海交通大学硕士生，主要研究方向为网络与信息安全。邹福泰[通信作者]（1973-），男，江西安福人，博士，上海交通大学讲师，主要研究方向为信息安全和分布式计算。E-mail：zoufutai@sjtu．edu．cn。王鲁华（1980-），男，山东曹县人，硕士，国家计算机网络与信息安全管理中心工程师，主要研究方向为网络与信息安全。陈铭（1989-），男，云南景洪人，上海交通大学本科生，主要研究方向为计算机系统和体系结构。

引文网络
相关文献

参考文献16

1KAMINSKY D. The black OPS of DNS[A]. Proceedings of the Black Hat USA 2004[C]. Las Vegas, 2004.
2LEIJENHORST T V, CHIN K-W, LOWED. On the viability and performance of DNS tunneling[A]. Proceedings of the 5th International Conference on Information Technology and Applications[C]. Cairns, Australia, 2008.
3NUSSBAUM L, NEYRON P, RICHARD O. On robust covert channels inside DNS[A]. Proceedings of the 24th IF1P International Security Conference[C]. Pafos, Cyprus, 2009.
4MERLO A, PAPALEO G, VENEZIANO S, et al. A comparativeperformance evaluation of DNS tunneling tools[A]. Proceedings of the 5th International Conference on Complex, Intelligent, and Soitware Intensive Systems[C]. Seoul, Korea, 2011.84-91.
5REVELLI A, LEIDECKER N. Introducing heyoka: DNS tunneling 2.0[A]. Proceedings of the SOURCE Conference Boston[C]. Boston, 2009.
6BORN K. PSUDP: a passive approach to network-wide covert communication[A]. Proceedings of the Black Hat USA 2010[C]. Las Vegas, 2010.
7ZANDER S, ARMITAGE G, BRANCH P. A survey of covert channels and countermeasures in computer network protocols[J]. Communications Surveys & Tutorials, IEEE, 2007, 9 (3): 44-57.
8DUSI M, CROTTI M, GRINGOLI F, et al. Tunnel hunter: detecting application-layer tunnels with statistical fingerprinting[J]. Computer Networks, 2009, 53 (1): 81-97.
9ANDERSSON B, EKMAN E. Iodine[EB/OL]. http://eode.kryo.se/ iodine/, 2011.
10BORN K, GUSTAFSON D. NgViz: detecting DNS tunnels through N-gram visualization and quantitative analysis[A]. Proceedings of the Sixth Annual Workshop on Cyber Security and Information Intelligence Research[C]. Oak Ridge, Tennessee, 2010. 1-4.

同被引文献197

1罗震宇,董琳.基于全流量的网络大数据取证系统研究与设计[J].信息网络安全,2020(S02):106-109. 被引量：4
2史晓敏,刘飞.浅析基于DNS协议的隐蔽通道及监测技术[J].保密科学技术,2011(4):61-65. 被引量：4
3强亮,李斌,胡铭曾.基于HTTP协议的网络隐蔽通道研究[J].计算机工程,2005,31(15):224-225. 被引量：12
4华元彬,蒋建春,卿斯汉.基于链路分析法的复合隐蔽通道检测[J].计算机应用,2006,26(1):81-83. 被引量：2
5孙星明,黄华军,王保卫,孙光,黄俊伟.一种基于等价标记的网页信息隐藏算法[J].计算机研究与发展,2007,44(5):756-760. 被引量：17
6张东辉,王晓宇.校园网络安全问题及对策[J].华东科技,2011,3.
7石淑华,池瑞楠.计算机网络安全技术(第3版)[M].人民邮电出版社,2012-8.
8袁津生,吴砚农.计算机网络安全基础(第4版)[M].人民邮电出版社,2b13-7.
9邓越萍.校园网的安全防范策略[N].山西煤炭管理干部学院院报.2013-5.
10谢安,李冬红.概率论与数理统计[M].北京:清华大学出版社,2012:7-15.

引证文献26

1付智慧.高校实验室网络安全管理策略[J].数字技术与应用,2013,31(9):173-174.
2李凤华,谈苗苗,樊凯,耿魁,赵甫.抗隐蔽通道的网络隔离通信方案[J].通信学报,2014,35(11):96-106. 被引量：5
3郭晓军,程光,周爱平,潘吴斌,朱琛刚.基于扩频Manchester码的可靠自同步网络隐蔽时间通信模型[J].东南大学学报（自然科学版）,2015,45(1):23-30. 被引量：3
4董丽鹏,陈性元,杨英杰,石旺.网络隐蔽信道实现机制及检测技术研究[J].计算机科学,2015,42(7):216-221. 被引量：16
5胡宗辉,甘刚.一种基于DNS隧道的远程访问方法[J].成都信息工程学院学报,2015,30(6):568-572.
6王靖云,史建焘,张兆心,沈英洪.基于相对密度的DNS请求数据流源IP异常检测算法[J].高技术通讯,2016,26(10):849-856. 被引量：10
7阳洋,王明森,沈为.基于DNS和流量特征的业务识别系统设计[J].工业控制计算机,2017,30(7):65-67. 被引量：1
8罗友强,刘胜利,颜猛,武东英.基于通信行为分析的DNS隧道木马检测方法[J].浙江大学学报（工学版）,2017,51(9):1780-1787. 被引量：9
9黄凯,傅建明,黄坚伟,李鹏伟.一种基于字符及解析特征的恶意域名检测方法[J].计算机仿真,2018,35(3):287-292. 被引量：8
10单康康,郭晔,陈文智,鲁东明.基于混合分类算法模型的DNS隧道检测[J].通信学报,2018,39(A01):53-57. 被引量：5

二级引证文献85

1武柯安,高洋洋.基于Netfilter的轻量级木马阻断安全机制[J].网络空间安全,2024,15(4):180-185.
2呙明辉.组态软件测试下电力系统程序缺陷检测仿真[J].计算机仿真,2018,35(12):325-328. 被引量：2
3曹翔,张阳,宋林川,胡绍谦,汤震宇,张春合.基于深度报文检测和安全增强的正向隔离装置设计及实现[J].电力系统自动化,2019,43(2):162-167. 被引量：9
4吉星,黄韬,鄂新华,孙礼.基于日志信息的DNS查询异常检测算法[J].北京邮电大学学报,2018,41(6):83-89. 被引量：7
5孙波,王睿.基于时镜反转的深水对潜通信抗干扰算法[J].舰船电子工程,2016,36(2):38-42.
6王晓雯.基于多径分量重组的扩频通信信道均衡设计[J].科技通报,2016,32(8):182-185. 被引量：2
7陈长庆,魏波.网络光纤通信中的噪声干扰去除方法研究[J].计算机仿真,2016,33(10):166-169. 被引量：12
8杨浩,谢昕,李卓群,章玲玲.网络中隐蔽信道数据安全检测模型研究与仿真[J].计算机仿真,2016,33(10):270-273. 被引量：2
9姚诚,唐彰国,李焕洲,张健.基于FTP目录编码的隐蔽信道[J].计算机工程与设计,2016,37(11):2944-2948. 被引量：5
10路璐,凌捷.尺度变换复双树小波网络隐藏信道深度检测[J].计算机应用研究,2017,34(1):256-260. 被引量：1

1常甜甜,刘红卫,冯筠.多源性数据SVM集成算法研究[J].西安电子科技大学学报,2010,37(1):136-141. 被引量：4
2皮德常,秦小麟,王宁生.多层分组叠加有限制特征编码[J].小型微型计算机系统,2001,22(5):548-550.
3毛文涛,徐文涛,薛天宇,何玲.一种基于特征子集区分度优化的分组特征选择算法[J].小型微型计算机系统,2015,36(8):1827-1831. 被引量：3
4彭安杰,曾辉,康显桂.基于多方向差分的重采样取证技术[J].中国科学：信息科学,2016,46(5):627-642. 被引量：2
5马旭龙,林峰.基于OpenMP的快速并行分层算法[J].计算机辅助设计与图形学学报,2015,27(4):747-753. 被引量：9
6常甜甜,刘红卫,王宇,冯筠.基于分组特征多核支持向量机的微钙化簇检测[J].系统仿真学报,2010,22(5):1159-1163. 被引量：3
7乐鸿辉,李涛,石磊.应用Henon超混沌系统改进的图像加密[J].计算机应用,2011,31(7):1909-1911. 被引量：18
8李云,鲍鸿.语音分组识别技术的研究[J].广东工业大学学报,2014,31(2):54-57. 被引量：4
9王瑜,苑津莎,尚海昆,靳松.组合核支持向量机在放电模式识别中的优化策略[J].电工技术学报,2015,30(2):229-236. 被引量：25
10彭安杰,康显桂.基于滤波残差多方向差分的中值滤波取证技术[J].计算机学报,2016,39(3):503-515. 被引量：9

通信学报

2013年第5期

浏览历史

内容加载中请稍等...

基于DNS的隐蔽通道流量检测被引量：26

参考文献16

同被引文献197

引证文献26

二级引证文献85

相关作者

相关机构

相关主题

浏览历史

基于DNS的隐蔽通道流量检测 被引量：26

参考文献16

同被引文献197

引证文献26

二级引证文献85

相关作者

相关机构

相关主题

浏览历史

基于DNS的隐蔽通道流量检测被引量：26