DNS隧道流量检测特征分析研究

域名系统(Domain Name System,DNS)隧道是一种典型的网络隐蔽通道,攻击者窃取的信息被编码并封装到DNS报文中进行传输.在攻击者具备受控服务器和受控域的前提下,只要被攻击者的网络需要进行域名解析服务,DNS隧道就可以实现,IDS也不会因此触发警报.目前流行的基于载荷和基于流量的检测方法都不够灵活,且误报率高.为了更有效地识别DNS隧道攻击,对DNS报文特征进行分析,提取出5大类共15个特征标记一条完整的DNS会话,选用XGboost分类模型进行分类识别.实验结果表明,实验选用的15个特征可以有效检测DNS隧道流量,对于4种不同隧道软件产生的隧道流量识别率达95％.在此基础上,对所选特征的重要性进行了评估,成功筛选出能够保持分类模型稳定性下的最小特征子集.