DNS通道检测 国内学术界研究情况——研究方法：基于特征或者流量，使用机器学习决策树分类算法居多

http://xuewen.cnki.net/DownloadArticle.aspx?filename=BMKJ201104017&dbtype=CJFD
《浅析基于DNS协议的隐蔽通道及监测技术》
DNS隐蔽通道监测主要采用特征匹配和流量异常检测这两种技术。
3.1 特征匹配技术
特 征 匹 配 技 术 通 过 网 络 通 信 报 文 特 征 来 识别 D N S 隐 蔽 通 道 。 S n o r t 通 过 以 下 规 则 来 识 别NSTX和Iodine隐蔽通道：
alert udp $EXTERNAL_NET any - $HOME_NET 53 (msg:"Potential NSTX DNS Tunneling";
content:"|01 00|"; offset:2; within:4; content:"c T"; offset:12; depth:3; content:"|00 10 00 01|";
within:255; 特 征 匹 配 技 术 的 优 点 是 准 确 性 高 ， 能 够 具体地识别出DNS隐蔽通道名称，缺点是不能识别出 未 知 或 变 种 的 隐 蔽 通 道 。 对 于 开 源 的 隐 蔽 通道 来 说 ， 改 变 网 络 通 信 特 征 是 轻 而 易 举 的 事 ，
特征匹配技术显然应对不了层出不穷的变种。
3.2 流量异常检测技术
流 量 异 常 检 测 技 术 根 据 异 常 流 量 特 征 来 识别DNS隐蔽通道。DNS隐蔽通道运行时，DNS报文 流 量 有 着 明 显 的 异 常 ： 域 名 超 长 、 域 名 中 主机名部分有许多随机字符、DNS报文数量剧增、DNS报文长度加大、出现TXT、NULL 、EDNS0等类型的DNS报文等。这些都是流量异常监测需要重点关注的要素。内网网管可以通过Snort工具来监测这些流量异常情况。思科IDS在监测到大量TXT类型的DNS报文时产生告警。目 前 ， 流 量 异 常 检 测 技 术 能 够 较 好 地 识 别DNS隐蔽通道。即便是新型的Heyoka，不再引发单个主机的DNS报文数量剧增，但也难以消除其 他 的 流 量 异 常 特 征 ， 难 于 规 避 流 量 异 常 监 测设备的检测。

http://d.g.wanfangdata.com.cn/Periodical_wlaqjsyyy201501024.aspx
《探析基于DNS协议隐蔽通道的基本架构及监测技术》

使用规则库，规则集主要描述不同协议的流量特征、数据报文的时问特征以及报头特征，并且还包括通讯两端的地址、流量等信息。 
在当前隐蔽通道监测技术中，最常用的是特征匹配与基于数据流异常分析的监测技术。基于特征匹配的方法，通过建立记录网络隐蔽信道特征的数据库，将网络中的数据流与其对比，匹配结果为真的话则表示存在隐蔽通道。但是该种方法很难检测出经过变种的隐蔽通道。基于数据流异常的方法，主要通过监测网络中数据流的异常情况来产生报警信息。

http://d.g.wanfangdata.com.cn/Thesis_Y2247883.aspx
《DNS异常行为检测的研究》
使用C4.5决策树分类器实现对隐藏信道的检测。对于基于服务的DNS隐藏信道提出通道流量的统计算法；对于基于域名的DNS隐藏信道，提出了基于机器学习的检测算法，该算法选择多个报文连接特征为检测测度，使用C4.5决策树分类器实现对隐藏信道的检测。

http://d.g.wanfangdata.com.cn/Periodical_txxb201305019.aspx
《基于DNS的隐蔽通道流量检测》

也是使用决策树模型来进行检测。研究了 DNS 隐蔽通信流量特性，提取可区分合法查询与隐蔽通信的 12 个数据分组特征，利用机器学习的分类器对其会话统计特性进行判别。

http://cdmd.cnki.com.cn/Article/CDMD-10013-1011121845.htm
《DNS攻击检测与防御技术研究》
北邮2011年的一篇硕士论文，通过对流量检测的异常检测角度进行分析,改进了信息熵异常检测方法,同时研究利用粗糙集理论知识进行DNS攻击检测,给出检测模型和实验结果。为了弥补异常检测对小流量攻击检测方面不准确性,结合误用检测思想,给出一个双通道检测模型,为DNS服务提供一个较全面、低误报率的攻击检测平台。

http://www.cas.stc.sh.cn/jsjyup/pdf/2011/6/%E4%B8%80%E7%A7%8D%E5%9F%BA%E4%BA%8ENDIS%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E5%AE%9E%E7%8E%B0%E9%9A%90%E8%94%BD%E9%80%9A%E9%81%93%E7%9A%84%E6%96%B9%E6%B3%95.pdf
《基于DNS 协议隐蔽通道的性能分析》
原理介绍居多，关键信息：根据前面对DNS 隐蔽通道原理的分析，可知DNS 隐蔽通道的上传通道可以使用BASE-32 和二进制2 种编码方式，下传通道可以使用BASE-64 和二进制2 种编码方式。BASE-32 和BASE64 编码方式的通用性强，可以应用于所有标准DNS 系统，但通信效率较低。二进制方式的通信效率较高，但是其通用性较差，部分DNS 系统不支持二进制数据。DNS 隐蔽通道的上行通道每个请求数据包可携带的编码后有效数据长度大约240 Byte，下行通道每个应答数据包可携带的编码后有效数据长度大约250 Byte。相应上行通道的BASE-32 编码前有效数据长度约150 Byte，下行通道的BASE-64 编码前有效数据长度约158 Byte。