基于報文特征的DNS隱信道檢測技術(shù)研究

楊路輝，馬雪婧，翟江濤，戴躍偉，

(1.南京理工大學(xué)自動化學(xué)院，江蘇 南京 210094;2.中國船舶重工集團(tuán)第七二四研究所，江蘇 南京 211153;3.南京信息工程大學(xué)電子與信息工程學(xué)院，江蘇 南京 210044)

1 引言

近年來以高級持續(xù)性威脅(Advanced Persistent Threat，APT)為代表的各種網(wǎng)絡(luò)失竊泄密事件此起彼伏給網(wǎng)絡(luò)安全帶來嚴(yán)重威脅。APT惡意軟件在入侵系統(tǒng)后，為了保證與服務(wù)器的通信不被現(xiàn)有的防火墻設(shè)備發(fā)現(xiàn)并阻斷，往往會使用網(wǎng)絡(luò)隱信道技術(shù)以躲避網(wǎng)絡(luò)審查。網(wǎng)絡(luò)隱信道的定義為：在公開信道中建立的一種實現(xiàn)隱蔽通信的信道，用于信息傳輸[1]。目前已知的網(wǎng)絡(luò)隱信道包括在IP、TCP、ICMP、HTTP等常見網(wǎng)絡(luò)協(xié)議的冗余位進(jìn)行信息的嵌入，而域名系統(tǒng)(Domain Name System，DNS)協(xié)議作為網(wǎng)絡(luò)通信中必不可少的協(xié)議，一般不會被防火墻策略阻攔，由于DNS的遞歸查詢策略需要本地DNS服務(wù)器與其它DNS服務(wù)器進(jìn)行通信，這樣即使在一個受到嚴(yán)格安全策略管控的網(wǎng)絡(luò)環(huán)境下，同樣能夠通過DNS協(xié)議與外界網(wǎng)絡(luò)環(huán)境進(jìn)行通信，這就為網(wǎng)絡(luò)隱信道的構(gòu)建提供了必要的條件。DNS隱信道能夠為惡意軟件提供高隱蔽性的數(shù)據(jù)傳輸通道，文獻(xiàn)[2]中作者對惡意軟件進(jìn)行了長達(dá)一年的數(shù)據(jù)收集，發(fā)現(xiàn)不少僵尸網(wǎng)絡(luò)和蠕蟲均在使用DNS進(jìn)行惡意數(shù)據(jù)傳播。相對與DNS隱信道可能造成的危害，DNS隱信道的檢測方法卻不多，尤其是缺乏快速、準(zhǔn)確的檢測方法。

針對DNS隱信道的檢測，早期的研究者們通常使用單個或少數(shù)幾個相關(guān)特征進(jìn)行檢測，文獻(xiàn)[3]提出使用詞頻分析的方法檢測DNS隱信道，并將檢測特征由單個字母的頻率統(tǒng)計推廣到多個字符的頻率統(tǒng)計；文獻(xiàn)[4]提出了基于二元詞頻統(tǒng)計特征的檢測算法。文獻(xiàn)[5]根據(jù)真實網(wǎng)絡(luò)環(huán)境中DNS的響應(yīng)類型，提出了一種針對TXT響應(yīng)類型的隱信道檢測方法。隨后，更多的特征被提出，并且開始使用機(jī)器學(xué)習(xí)的方法進(jìn)行分類，文獻(xiàn)[6]提取了基于DNS請求和響應(yīng)數(shù)據(jù)的長度、請求頻率等12個數(shù)據(jù)分組特征，利用樸素貝葉斯、邏輯回歸和決策樹等常見的機(jī)器學(xué)習(xí)分類器對其數(shù)據(jù)分組特征進(jìn)行分類。文獻(xiàn)[7]提出了基于DNS請求和響應(yīng)的長度、響應(yīng)時間等12個數(shù)據(jù)特征結(jié)合貝葉斯分類器和邊界分類器的檢測算法，并在文獻(xiàn)[8]中使用貝葉斯、神經(jīng)網(wǎng)絡(luò)(Neural Network，NN)、支持向量機(jī)(Support Vector Machine，SVM)、臨近算法(k-Nearest Neighbor，kNN)等分類器進(jìn)行分類。文獻(xiàn)[9]在前人基礎(chǔ)上提出了16維特征，并使用隨機(jī)森林算法進(jìn)行分類。為了克服單分類器對DNS隱信道檢測效果不佳的問題，文獻(xiàn)[10]提出了一種混合分類算法，結(jié)合樸素貝葉斯、決策樹和SVM三種算法進(jìn)行綜合加權(quán)分類?？紤]到DNS隧道交互的行為模式，文獻(xiàn)[11]提出一種基于DNS行為交互特征的DNS隧道檢測算法。文獻(xiàn)[12-13]提出建立DNS會話并提取行為特征，進(jìn)而采用分類器進(jìn)行分類。

使用特征工程結(jié)合機(jī)器學(xué)習(xí)的方法能夠?qū)NS隱信道進(jìn)行較為全面的檢測，同時對未知的DNS隱信道方法有一定的檢測能力。然而在現(xiàn)有的檢測方法中，所采用的多維特征都包含了多個連續(xù)的DNS請求組成的流信息，然而在觀察實際的DNS請求過程中，發(fā)現(xiàn)要將基于UDP協(xié)議的DNS數(shù)據(jù)的流關(guān)聯(lián)信息提取出來，只能使用五元組信息加二級域名信息的方法進(jìn)行分流，然而部分DNS隧道工具可以偽造源IP，且二級域名可以用動態(tài)生成的方法，這就導(dǎo)致不一定能獲取到完整的DNS交互數(shù)據(jù)，確定能夠獲取的DNS數(shù)據(jù)為一個請求和對應(yīng)的響應(yīng)?；谝粚NS請求，提取相關(guān)數(shù)據(jù)特征進(jìn)行DNS隱信道的判定，能夠?qū)崿F(xiàn)快速的DNS隱信道檢測，同時更具有實際使用意義。

本文根據(jù)DNS單次交互的請求和響應(yīng)數(shù)據(jù)，分析其數(shù)據(jù)特征和交互行為特征，提出了一種基于單次請求報文特征的DNS隱信道檢測算法。本文分析了DNS請求和響應(yīng)的報文內(nèi)容和交互行為，提出了19維包含長度、字符特征、響應(yīng)時間等維度的特征，同時使用樸素貝葉斯、決策樹、SVM和隨機(jī)森林四種機(jī)器學(xué)習(xí)分類器進(jìn)行分類，并與文獻(xiàn)[6]中的算法進(jìn)行了對比，實驗結(jié)果表明，本文算法在相同的數(shù)據(jù)條件下，能夠?qū)崿F(xiàn)比對比算法更好的檢測效果。

2 DNS隱信道特征分析

DNS隱信道通信主要是通過DNS遞歸查詢的原理，通過合法DNS服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā)從而與惡意服務(wù)器進(jìn)行通信，該通信方式由于沒有直接與惡意服務(wù)器通信，是一種高隱蔽性的隱信道。分析了DNS隱信道的基本原理，對DNS隱信道的數(shù)據(jù)報文特征進(jìn)行分析，發(fā)現(xiàn)在請求域名的長度、響應(yīng)域名的長度以及二元詞組詞頻特征上，正常DNS通信數(shù)據(jù)與DNS隱信道數(shù)據(jù)存在較為明顯的區(qū)別，通過三個特征的組合，進(jìn)一步驗證了多維特征對于DNS隱信道檢測的有效性。

2.1 DNS隱信道原理

DNS隱信道的基本原理是利用DNS遞歸查詢策略，在公網(wǎng)架設(shè)一臺DNS服務(wù)器，并注冊NS信息，DNS服務(wù)器系統(tǒng)通過NS記錄查詢得到服務(wù)器IP，本地DNS服務(wù)器可將DNS查詢的數(shù)據(jù)報文轉(zhuǎn)發(fā)到這臺服務(wù)器上，然后服務(wù)器給出響應(yīng)。整體結(jié)構(gòu)如圖1所示。

圖1 DNS隱信道整體結(jié)構(gòu)圖

抗菌藥說明書［適應(yīng)癥］不符合抗菌藥說明書撰寫技術(shù)指導(dǎo)原則的主要表現(xiàn)有：適應(yīng)癥沒有按照“本品適用于治療由對本品敏感的XXX、XXX和XXX菌引起的YYY病。”的規(guī)范描述；沒有遵循“如果獲得的證據(jù)僅僅支持用于較大人群的亞群（例如，疾病輕微的患者或特殊年齡組的患者）應(yīng)予說明”的規(guī)定；沒有遵循“在某些情況下有理由限制適應(yīng)癥，例如，建議藥品不作為某種感染的一線治療”應(yīng)予描述的規(guī)定；遺漏使用限制的內(nèi)容。

2.2 特征分析

首先分析了DNS請求報文的負(fù)載長度，由于DNS隱信道的被控端會向控制端發(fā)送數(shù)據(jù)或者狀態(tài)信息，DNS隱信道請求報文的負(fù)載長度會比正常的DNS請求報文的負(fù)載長度更長，通過圖2可看出，DNS隱信道的請求報文負(fù)載長度明顯大于正常DNS數(shù)據(jù)，然而單個特征還不足以完全將隱信道和正常數(shù)據(jù)區(qū)分開來。

圖2 隱信道與正常DNS請求長度對比

對于DNS響應(yīng)報文，由于控制端需要向被控端發(fā)送數(shù)據(jù)或者控制指令，DNS隱信道響應(yīng)報文負(fù)載的長度也會比正常的DNS響應(yīng)報文負(fù)載的長度要長。通過圖3可以看出，DNS隱信道響應(yīng)報文負(fù)載的長度大于正常DNS隱信道。

圖3 隱信道與正常DNS響應(yīng)報文長度對比

誤檢率=FP/N×100%

將一個域名切分成m個n-gram單詞組，分別為w1，w2，…，wm，計算這m個單詞組的組合概率

機(jī)械電氣設(shè)備電抗器故障問題較為常見，通常表現(xiàn)為電抗裝置燒壞、冒煙及起火等。當(dāng)電抗裝置出現(xiàn)故障后，極有可能造成電抗器絕緣性能下降，電源泄露等，大大增加了維修風(fēng)險，需相關(guān)維修人員對電抗裝置進(jìn)行及時維修，防止故障進(jìn)一步演化為事故。

DNS隱信道傳輸?shù)碾[秘信息通常隱藏在請求的域名當(dāng)中，假定需要傳遞的隱秘信息為“message”，惡意服務(wù)器注冊的域名為“test.com”，則，客戶端發(fā)出DNS請求，請求的域名為“message.test.com”，本地DNS服務(wù)器向“.com”根服務(wù)器請求相關(guān)信息，根服務(wù)器將請求轉(zhuǎn)發(fā)至惡意服務(wù)器“test.com”，這樣，惡意服務(wù)器即可接收到隱蔽消息，且避免直接與客戶端通信。

P(w1，…，wm)=P(w1)P(w2|w1)…P(wm|w1，…，wm-1)

(1)

組建后，獨家管網(wǎng)形成新的高度壟斷，只是將一家或數(shù)家國企壟斷變?yōu)榱硪患覈髩艛?，既有龐大的現(xiàn)有管網(wǎng)，又有新建管網(wǎng)沿線土地資源，無法實質(zhì)性解決油氣管道的自然壟斷問題。不僅如此，管網(wǎng)建設(shè)依賴上游資源，目前還需要大規(guī)模的投資，拆分管網(wǎng)將影響現(xiàn)有石油公司繼續(xù)投資管道建設(shè)的積極性，而且新組建的公司籌資身份難確定，籌資將更加困難。由于缺乏競爭動力，投資積極性降低，建設(shè)力量單一，組建獨立的管網(wǎng)公司后天然氣管道的建設(shè)速度可能放緩，很難跟上我國天然氣產(chǎn)業(yè)快速發(fā)展的需要，很可能由此形成新的發(fā)展制約。自從管網(wǎng)獨立改革消息傳出后，中國的天然氣管道建設(shè)速度明顯放緩，現(xiàn)有管道運輸企業(yè)新建管道積極性大幅受挫[6]。

作物轉(zhuǎn)入外源基因使作物生長勢、越冬性和抗性得到明顯提升，轉(zhuǎn)基因作物發(fā)生基因漂流，對逆境有極強(qiáng)適應(yīng)性，其后代發(fā)揮外源基因的優(yōu)勢與原有種成競爭關(guān)系[17]。此外，若近緣種是雜草，基因漂流的結(jié)果可能產(chǎn)生攜帶抗性基因的雜草，由于失去天敵克制，淪為惡性雜草，從而占據(jù)生存空間。1998年加拿大發(fā)現(xiàn)部分油菜可以抗1～3種除草劑，只能用毒性更大的除草劑才能殺滅[18]。轉(zhuǎn)基因作物向非轉(zhuǎn)基因作物進(jìn)行基因漂流時，攜帶外源基因的后代可能產(chǎn)生抗性積累，致使除草劑使用增加、土壤污染、生物多樣性遭到破壞[19]。由此可見，轉(zhuǎn)基因作物大規(guī)模種植可能會給植物群落造成極大的負(fù)面影響，導(dǎo)致生物入侵。

P(wi|w1，…，wi-1)=P(wi|wi-n+1，…，wi-1)

(2)

取n=2，即bigram詞頻概率為

(3)

取其平均對數(shù)或然率為

由于第i個單詞組的出現(xiàn)近似符合n-1階馬爾科夫模型，即出現(xiàn)wi的概率只與wi的前n-1個字符有關(guān)，即

(4)

使用局域網(wǎng)抓取的五千個DNS請求域名以及Alexa網(wǎng)站排名前五千的域名作為bigram訓(xùn)練樣本，最終得出的正常DNS和隱信道DNS域名的平均對數(shù)或然率對比情況如圖4所示，正常DNS的Avg_Log值明顯大于DNS隱信道數(shù)據(jù)。

圖4 隱信道與正常DNS Avg_Log值對比

實驗使用的數(shù)據(jù)主要包括DNS隱信道數(shù)據(jù)和正常DNS數(shù)據(jù)，訓(xùn)練樣本為10000個正常DNS數(shù)據(jù)和10000個DNS隱信道數(shù)據(jù)，測試樣本包2500個正常的DNS請求，2500個DNS隱信道數(shù)據(jù)，隱信道數(shù)據(jù)主要由iodine工具產(chǎn)生，由于iodine支持多種類型的DNS隱信道，同時支持?jǐn)?shù)據(jù)包長度的控制，僅使用iodine產(chǎn)生隱信道訓(xùn)練樣本，數(shù)據(jù)包含了A記錄、CNME記錄、TXT記錄、NULL四種DNS請求類型，隱信道請求的DNS域名長度由15到200不等。機(jī)器學(xué)習(xí)工具使用weka3.6完成。

圖5 隱信道與正常DNS三維特征分類效果

3 基于報文特征的DNS隱信道檢測模型

3.1 DNS隱信道報文特征

檢測率計算公式為

表1 DNS報文19維特征

3.2 檢測模型

為實現(xiàn)快速而準(zhǔn)確的DNS隱信道檢測，設(shè)計了一個兩級的DNS隱信道分析模型，模型第一級采用域名長度L2和字符的平均對數(shù)或然率Avg_Log進(jìn)行快速分類，當(dāng)L2大于設(shè)定的閾值，且Avg_Log小于設(shè)定的閾值時，進(jìn)入下一級分類器，第二級分類器采用完整的19維特征結(jié)合機(jī)器學(xué)習(xí)分類器進(jìn)行分類。第一級分類器主要用于快速過濾大量的正常域名，減小第二級分類器的壓力，第二級分類器對域名進(jìn)行準(zhǔn)確分類，輸出分類結(jié)果。具體檢測流程如圖6所示。

圖6 DNS隱信道檢測模型

4 實驗及結(jié)果分析

4.1 實驗數(shù)據(jù)和工具準(zhǔn)備

通過對單個特征的直方圖分析，確定了單個特征難以準(zhǔn)確區(qū)分隱信道數(shù)據(jù)和非隱信道數(shù)據(jù)。將上述三個特征進(jìn)行結(jié)合，在三維空間內(nèi)進(jìn)行分類，結(jié)果如圖5所示，隱信道數(shù)據(jù)和正常數(shù)據(jù)的區(qū)分度更大了，為了更加準(zhǔn)確的分類DNS隱信道數(shù)據(jù)和非DNS隱信道數(shù)據(jù)，需要更多維的特征。

合理的合同條款設(shè)置可以有效降低工程量清單風(fēng)險。依據(jù)工程項目各分部工程要求，共有可調(diào)總價合同、固定總價合同、單價合同等幾種類型。為了避免合同漏洞導(dǎo)致工程招標(biāo)方規(guī)避工程價款索賠風(fēng)險，可在合作協(xié)議簽訂期間，利用可調(diào)總價合同控制分部工程實際工程量與工程量清單中工程量差額在±5.0%以內(nèi)，若工程量上升幅度在標(biāo)準(zhǔn)限度外，則需要依照綜合單價的95%執(zhí)行。

4.2 實驗結(jié)果

選擇了四種常見的機(jī)器學(xué)習(xí)算法來建立模型，分別為樸素貝葉斯、SVM、J48決策樹、隨機(jī)森林。模型的準(zhǔn)確性通過十折交叉驗證法驗證。檢測結(jié)果如表2所示。評價指標(biāo)采用檢測率、誤檢率和建模時間三個指標(biāo)來比較不同分類器的檢測效果。建模時間為使用訓(xùn)練樣本訓(xùn)練模型所需的時間，建模時間越小表示模型復(fù)雜度越低，檢測速度越快。

表2 DNS隱信道分類結(jié)果

通過對DNS隱信道報文進(jìn)行分析，歸納總結(jié)了19維DNS報文特征，其特征維度涵蓋了DNS報文長度、報文長度統(tǒng)計量、響應(yīng)時間、域名字符特征等維度，具體特征及描述如表1所示。

再次，確定核心目標(biāo)。每一名問題學(xué)生背后都一個深層次的原因造成了一系列問題的發(fā)生。在確定教育轉(zhuǎn)化問題學(xué)生的目標(biāo)后，我們要撥云見日，找到那個深層次的原因，并根據(jù)這個原因確定核心教育目標(biāo)，以便解決根源性問題，把力量用在刀刃上。根源性問題不解決，所有工作都是隔靴搔癢。

檢測率=TP/P×100%

(5)

由于DNS隱信道在通信過程中將信息編碼在域名中，這必然會導(dǎo)致生成的域名與一般以自然語言為基礎(chǔ)的域名存在差別，將其n-gram詞頻特性作為DNS隱信道的一種特征。

(6)

其中，TP表示DNS隱信道被正確分類為DNS隱信道的數(shù)量，P表示DNS隱信道的測試樣本總數(shù)。FP表示正常DNS報文被錯誤分類為DNS隱信道的樣本數(shù)量，N表示正常DNS測試樣本數(shù)量。

2.1 4組患者治療前后肺部感染及留置胃管情況比較 治療4周后，3個觀察組肺部感染及留置胃管率較治療前及對照組治療后顯著下降(均P<0.05)；3個觀察組之間肺部感染及留置胃管率比較差異無統(tǒng)計學(xué)意義。見表2。

四種分類器的檢測效果不同，其中，隨機(jī)森林的檢測率最高，可達(dá)到99.7%，同時誤檢率最低，為0.1%，但是由于模型復(fù)雜度高，建模時間較長，為7.72秒。樸素貝葉斯檢測率和誤檢率均為最差，分別為79.1%和1.8%，然而模型簡單，建模時間最快，為0.11秒。SVM模型檢測率為98.6%，誤檢率為0.5%，建模時間為0.52秒，檢測效果好于樸素貝葉斯。J48決策樹檢測率為99.4%，誤檢率為0.2%，建模時間為0.37秒，檢測效果僅次于隨機(jī)森林，且建模時間較短，僅次于樸素貝葉斯。綜合來看，SVM、J48決策樹和隨機(jī)森林三種分類器檢測效果均能夠滿足實際需求，如果考慮到模型復(fù)雜度，J48決策樹最適合需要快速檢測的實時檢測環(huán)境。

4.3 對比實驗

在同樣僅使用一對DNS請求和響應(yīng)報文的情況下，將本文提出的檢測模型與文獻(xiàn)[6]中的模型進(jìn)行了對比，分別比較了本文采用的報文特征與文獻(xiàn)[6]所采用的報文特征結(jié)合樸素貝葉斯、SVM、J48決策樹三種分類器的檢測效果。對比實驗結(jié)果如表3所示。

表3 對比實驗結(jié)果

實驗結(jié)果表明，在同樣的數(shù)據(jù)條件下，使用相同的分類器時，本文提出的檢測算法對DNS隱信道的檢測結(jié)果均優(yōu)于文獻(xiàn)[6]中的算法。

5 結(jié)論

本文針對真實網(wǎng)絡(luò)環(huán)境中DNS交互報文難以完全收集完整，從而容易導(dǎo)致現(xiàn)有的檢測算法模型失配的問題，提出了一種基于單次DNS請求與響應(yīng)報文的檢測算法，該算法提取了19維報文特征并采用機(jī)器學(xué)習(xí)分類器進(jìn)行分類，并與其它文獻(xiàn)中的算法進(jìn)行了對比實驗，實驗結(jié)果表明，在相同的數(shù)據(jù)條件下，本文提出的算法整體檢測效果好于對比算法。