基于改进卷积神经网络识别DNS隐蔽信道

doi:10.11959/j.issn.1000-436x.2020017

通信学报 ›› 2020, Vol. 41 ›› Issue (1): 169-179.doi: 10.11959/j.issn.1000-436x.2020017

基于改进卷积神经网络识别DNS隐蔽信道

张猛¹,孙昊良²,杨鹏²()

¹ 中国电子信息产业发展研究院网络安全研究所，北京 100846
² 国家计算机网络与信息安全管理中心，北京 100029

修回日期:2019-12-11 出版日期:2020-01-25 发布日期:2020-02-11
作者简介:张猛（1988- ），男，山东兖州人，博士，中国电子信息产业发展研究院助理研究员，主要研究方向为网络空间安全、域名安全、区块链技术|孙昊良（1983- ），男，辽宁朝阳人，博士，国家计算机网络与信息安全管理中心高级工程师，主要研究方向为威胁检测与信息对抗、安全态势感知|杨鹏（1982- ），男，内蒙古集宁人，博士，国家计算机网络与信息安全管理中心高级工程师，主要研究方向为信息安全、人工智能
基金资助:
国家自然科学基金资助项目(61672495)

Identification of DNS covert channel based on improved convolutional neural network

Meng ZHANG¹,Haoliang SUN²,Peng YANG²()

¹ Institute of Cyberspace,China Center for Information Industry Development,Beijing 100846,China
² National Computer Network Emergency Response Technical Team/Coordination Center of China,Beijing 100029,China

Revised:2019-12-11 Online:2020-01-25 Published:2020-02-11
Supported by:
The National Nature Science Foundation of China(61672495)

摘要/Abstract

摘要：

为了全面有效地识别DNS隐蔽信道，对多种DNS隐蔽信道软件的实现方式进行了研究，提出了一种基于改进的卷积神经网络的 DNS 隐蔽信道识别方法。基于真实的校园网流量进行了实验，结果表明，所提方法可检测出全部22种数据交互模式的DNS隐蔽信道，并且具有识别未知的DNS隐蔽信道流量的能力。其识别性能的全面性和准确率相较于现有方法有显著提高。

关键词: 隐蔽信道, 域名系统, 卷积神经网络

Abstract:

In order to effectively identify the multiple types of DNS covert channels,the implementation of different sorts of DNS covert channel software was studied,and a detection based on the improved convolutional neural network was proposed.The experimental results,grounded upon the campus network traffic,show that the detection can identify twenty-two kinds of data interaction modes of DNS covert channels and is able to identify the unknown DNS covert channel traffic.The proposed method outperforms the existing methods.

Key words: covert channel, domain name system, convolutional neural network

中图分类号:

TP393

张猛,孙昊良,杨鹏. 基于改进卷积神经网络识别DNS隐蔽信道[J]. 通信学报, 2020, 41(1): 169-179.

Meng ZHANG,Haoliang SUN,Peng YANG. Identification of DNS covert channel based on improved convolutional neural network[J]. Journal on Communications, 2020, 41(1): 169-179.

图/表 13

表1

表2

图1

图2

图3

表3

表4

表5

表6

图4

表7

表8

表9

参考文献 13

[1]	CROTTI M , DUSI M , GRINGOLI F ,et al. Detecting HTTP tunnels with statistical mechanisms[C]// IEEE International Conference on Communications. IEEE, 2007: 6162-6168.
[2]	DUSI M , CROTTI M , GRINGOLI F ,et al. Tunnel hunter:detecting application-layer tunnels with statistical fingerprinting[J]. Computer Networks, 2009,53(1): 81-97.
[3]	CASAS P , MAZEL J , OWEZARSKI P . MINETRAC:mining flows for unsupervised analysis ＆ semi-supervised classification[C]// The 23rd International Teletraffic Congress. 2011: 87-94.
[4]	MARCHAL S , FRANCIS J , WAGNER C ,et al. DNSSM:a large scale passive DNS security monitering framework[J]. Network Operations＆ Management Symposium IEEE, 2012,131(5): 988-993.
[5]	KARASARIDIS A , MEIER-HELLSTEM K , HOEFLIN D . NIS04-2:detection of DNS anomalies using flow data analysis[C]// Global Telecommunications Conference. IEEE, 2006: 1-6.
[6]	SHERIDAN S , KEANE A . Detection of DNS based covert channels[C]// The 14th European Conference on Cyber Warfare and Security (ECCWS). 2015: 66-77.
[7]	SHAFIEIAN S , SMITH D , ZULKERNINE M . Detecting DNS tunneling using ensemble learning[C]// International Conference on Network and System Security. 2017: 112-127.
[8]	NUSSBAUM L , NEYRON P , RICHARD O . On robust covert chan-nels inside DNS[J]. IFIP Advances in Information＆Communication Technology, 2009,297(7): 51-62.
[9]	AIELLO M , MERLO A , PAPALEO G . Performance assessment and analysis of DNS tunneling tools[J]. Logic Journal of IGPL, 2013,21(4): 592-602.
[10]	NADLER A , AMINOV A , SHABTAI A . Detection of malicious and low throughput data exfiltration over the DNS protocol[J]. Computer＆ Security, 2019,80(10): 36-53.
[11]	FARNHAM G , ATLASIS A . Detecting DNS tunneling[C]// SANS Institute InfoSec Reading Room. 2013: 1-32.
[12]	BILGE L , KIRDA E , KRUEGEL C ,et al. EXPOSURE:finding malicious domains using passive DNS analysis[C]// The Network and Distributed System Security Symposium. 2011: 68-82.
[13]	LENCUN Y , BOTTOU L , BENGIO Y . Gradient-based learning applied to document recognition[J]. Proceedings of the IEEE, 1998,862(10): 2278-2324.

序号	表征元素名称	含义
1	Label_pointer	网络分组含标签指针
2	Exist_cname	应答分组含CNAME记录
3	Response_rdlength	应答部分资源记录数据长度总和
4	All_rdlength	全部资源记录数据长度总和
5	Num_unusual_record_type	不常用的记录类型的数目
6	Num_qname_label	QNAME的标签数量
7	Qname_2ld_length	QNAME二级域名部分的字符串长度
8	Qname_subdomain_2_data_amount	QNAME子域名承载的二进制数据量
9	Qname_subdomain_data_amount	QNAME子域名存储的数据量
10	Domain_str_entropy	域名字符串的熵
11	Parse_exception	网络分组解析是否异常
12	Injected_data_amount	注入数据的数据量
13	DNS_request_length	DNS请求分组的长度
14	DNS_response_length	DNS响应分组的长度
15	UDP_payload_length	UDP载荷长度
16	Violate_strategy	是否违反策略

特征集	特征集说明
Feature_Set₁	客户端发送DNS分组的总数
	客户端接收DNS分组的总数
	异常解析
	违反策略
Feature_Set₂	标签指针
	CNAME 记录
	使用了不常见的记录类型
	QNAME 中具有二进制的分组总数
Feature_Set₃	网络分组特征1、2、6、7、9、10、12、13、14、15的统计值
	独立的DNS 请求个数
Feature_Set₄	每个域名的主机名个数
	NXDomain 响应的个数

编号	C1卷积层		S2池化层		C3卷积层		S4池化层		F5全连接层
编号	卷积核	输出	采样窗口	输出	卷积核	输出	采样窗口	输出	卷积核	输出
模型1	48×(3×3)	48×(8×8)	2×2	48×(4×4)	96×(3×3)	96×(4×4)	2×2	96×(2×2)	96×(2×2)	96×1
模型2	32×(3×3)	32×(8×8)	2×2	32×(4×4)	64×(3×3)	64×(4×4)	2×2	64×(2×2)	32×(2×2)	32×1
模型3	16×(3×3)	16×(8×8)	2×2	16×(4×4)	32×(3×3)	32×(4×4)	2×2	32×(2×2)	64×(2×2)	64×1
模型4	16×(3×3)	16×(8×8)	2×2	16×(4×4)	32×(3×3)	32×(4×4)	2×2	32×(2×2)	32×(2×2)	32×1
模型5	8×(3×3)	8×(8×8)	2×2	8×(4×4)	16×(3×3)	16×(4×4)	2×2	16×(2×2)	64×(2×2)	64×1
模型6	8×(3×3)	8×(8×8)	2×2	8×(4×4)	16×(3×3)	16×(4×4)	2×2	16×(2×2)	32×(2×2)	32×1

编号	总体正确率	测试时间/s
模型1	88.98%	50.21
模型2	96.96%	48.32
模型3	97.78%	42.15
模型4	98.68%	41.23
模型5	98.92%	36.57
模型6	99.65%	35.56

编号	总体正确率	测试时间/s
模型1	97.98%	50.57
模型2	98.10%	48.59
模型3	98.32%	41.59
模型4	98.33%	40.35
模型5	97.99%	36.39
模型6	98.67%	35.19

基于改进卷积神经网络识别DNS隐蔽信道

Identification of DNS covert channel based on improved convolutional neural network

在线阅读

PDF下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 13

参考文献 13

相关文章 15

Metrics

推荐阅读 0

样本类型	训练样本数	测试样本数
校园网DNS流量	300 000	279 200
Iodine（6类资源记录）	312 000	312 000
Dns2tcp（2类资源记录）	320 000	320 000
DNSCat（2类资源记录）	320 000	320 000
tcp-over-dns	280 000	280 000
PSUDP	240 000	240 000

方法	总体准确率	测试时间/s
Farnham模型	93.96%	5.11
Karasaridis模型	96.86%	4.66
Shafieian模型	97.23%	5.00
Nadler模型	98.37%	5.01
本文方法	99.50%	5.03

类型	Farnham模型	Karasarid is模型	Shafieian模型	Nadler模型	本文方法
Iodine₁	98.6%	98.1%	99.1%	99.3%	99.8%
Iodine₂	91.9%	93.6%	97.9%	97.5%	99.3%
Iodine₃	93.8%	95.6%	97.3%	97.8%	99.1%
Iodine₄	96.9%	97.2%	98.6%	98.5%	99.9%
Iodine₅	78.6%	87.9%	96.2%	96.8%	99.8%
Iodine₆	75.9%	88.9%	97.2%	97.6%	99.3%
Dns2tcp₁	61.8%	68.7%	97.4%	97.1%	99.0%
Dns2tcp₂	96.2%	93.3%	98.2%	98.1%	99.9%
DNSCat₁	91.2%	90.9%	95.9%	96.1%	99.9%
DNSCat₂	91.7%	92.6%	96.9%	97.0%	99.6%
tcp-over-dns	77.1%	79.1%	92.1%	93.3%	98.3%
PSUDP	78.6%	78.9%	91.2%	92.1%	96.9%

[1]	李雷孝, 杜金泽, 林浩, 高昊昱, 杨艳艳, 高静. 区块链网络隐蔽信道研究进展[J]. 通信学报, 2022, 43(9): 209-223.
[2]	李昂, 陈建新, 魏昕, 周亮. 面向6G的跨模态信号重建技术[J]. 通信学报, 2022, 43(6): 28-40.
[3]	王晓丹, 李京泰, 宋亚飞. DDAC：面向卷积神经网络图像隐写分析模型的特征提取方法[J]. 通信学报, 2022, 43(5): 68-81.
[4]	廖育荣, 王海宁, 林存宝, 李阳, 方宇强, 倪淑燕. 基于深度学习的光学遥感图像目标检测研究进展[J]. 通信学报, 2022, 43(5): 190-203.
[5]	张帆, 黄赟, 方子茁, 郭威. 卷积神经网络的损失最小训练后参数量化方法[J]. 通信学报, 2022, 43(4): 114-122.
[6]	朱政宇, 侯庚旺, 黄崇文, 孙钢灿, 郝万明, 梁静. 基于并行CNN的RIS辅助D2D保密通信系统资源分配算法[J]. 通信学报, 2022, 43(3): 172-179.
[7]	安泽亮, 张天骐, 马宝泽, 邓盼, 徐雨晴. 基于一维CNN的多入多出OSTBC信号协作调制识别[J]. 通信学报, 2021, 42(7): 84-94.
[8]	王洪雁, 张莉彬, 陈国强, 汪祖民, 管志远. 结合粒子滤波及度量学习的目标跟踪方法[J]. 通信学报, 2021, 42(5): 98-110.
[9]	刁嘉文, 方滨兴, 崔翔, 王忠儒, 甘蕊灵, 冯林, 姜海. DNS隐蔽信道综述[J]. 通信学报, 2021, 42(5): 164-178.
[10]	司念文, 张文林, 屈丹, 常禾雨, 李盛祥, 牛铜. 基于对抗补丁的可泛化的Grad-CAM攻击方法[J]. 通信学报, 2021, 42(3): 23-35.
[11]	高红民, 曹雪莹, 陈忠昊, 花再军, 李臣明, 陈月. 基于多尺度近端特征拼接网络的高光谱图像分类方法[J]. 通信学报, 2021, 42(2): 92-102.
[12]	杨军,党吉圣. 基于上下文注意力CNN的三维点云语义分割[J]. 通信学报, 2020, 41(7): 195-203.
[13]	韩春雨,张永铮,张玉. Fast-flucos：基于DNS流量的Fast-flux恶意域名检测方法[J]. 通信学报, 2020, 41(5): 37-47.
[14]	高红民,曹雪莹,杨耀,花再军,李臣明. 基于CNN的双边融合网络在高光谱图像分类中的应用[J]. 通信学报, 2020, 41(11): 132-140.
[15]	周鑫,何晓新,郑昌文. 基于图像深度学习的无线电信号识别[J]. 通信学报, 2019, 40(7): 114-125.

类型	Farnham模型	Karasaridis模型	Shafieian模型	Nadler模型	本文方法
Iodine₁	1.6%	2.17%	0.93%	0.91%	0.11%
Iodine₂	1.7%	1.81%	0.98%	0.97%	0.13%
Iodine₃	1.32%	1.66%	1.22%	1.11%	0.91%
Iodine₄	1.91%	1.32%	1.14%	0.99%	0.31%
Iodine₅	1.86%	1.87%	0.70%	0.72%	0.18%
Iodine₆	1.93%	1.91%	0.68%	0.66%	0.25%
Dns2tcp₁	2.58%	1.97%	1.32%	1.29%	0.71%
Dns2tcp₂	2.82%	3.13%	1.33%	1.30%	1.19%
DNSCat₁	2.19%	2.89%	1.24%	1.21%	0.9%
DNSCat₂	3.17%	2.11%	1.08%	1.03%	0.61%
tcp-over-dns	2.16%	1.91%	0.89%	0.91%	0.23%
PSUDP	3.68%	3.93%	1.45%	1.50%	1.13%