http://xuewen.cnki.net/DownloadArticle.aspx?filename=BMKJ201104017&dbtype=CJFD
《浅析基于DNS协议的隐蔽通道及监测技术》
DNS隐蔽通道监测主要采用特征匹配和流量异常检测这两种技术。
3.1 特征匹配技术
特 征 匹 配 技 术 通 过 网 络 通 信 报 文 特 征 来 识别 D N S 隐 蔽 通 道 。 S n o r t 通 过 以 下 规 则 来 识 别NSTX和Iodine隐蔽通道:
alert udp $EXTERNAL_NET any - $HOME_NET 53 (msg:"Potential NSTX DNS Tunneling";
content:"|01 00|"; offset:2; within:4; content:"c T"; offset:12; depth:3; content:"|00 10 00 01|";
within:255; 特 征 匹 配 技 术 的 优 点 是 准 确 性 高 , 能 够 具体地识别出DNS隐蔽通道名称,缺点是不能识别出 未 知 或 变 种 的 隐 蔽 通 道 。 对 于 开 源 的 隐 蔽 通道 来 说 , 改 变 网 络 通 信 特 征 是 轻 而 易 举 的 事 ,
特征匹配技术显然应对不了层出不穷的变种。
3.2 流量异常检测技术
流 量 异 常 检 测 技 术 根 据 异 常 流 量 特 征 来 识别DNS隐蔽通道。DNS隐蔽通道运行时,DNS报文 流 量 有 着 明 显 的 异 常 : 域 名 超 长 、 域 名 中 主机名部分有许多随机字符、DNS报文数量剧增、DNS报文长度加大、出现TXT、NULL 、EDNS0等类型的DNS报文等。这些都是流量异常监测需要重点关注的要素。内网网管可以通过Snort工具来监测这些流量异常情况。思科IDS在监测到大量TXT类型的DNS报文时产生告警。目 前 , 流 量 异 常 检 测 技 术 能 够 较 好 地 识 别DNS隐蔽通道。即便是新型的Heyoka,不再引发单个主机的DNS报文数量剧增,但也难以消除其 他 的 流 量 异 常 特 征 , 难 于 规 避 流 量 异 常 监 测设备的检测。

http://d.g.wanfangdata.com.cn/Periodical_wlaqjsyyy201501024.aspx
《探析基于DNS协议隐蔽通道的基本架构及监测技术》

使用规则库,规则集主要描述不同协议的流量特征、数据报文的时问特征以及报头特征,并且还包括通讯两端的地址、流量等信息。 
在当前隐蔽通道监测技术中,最常用的是特征匹配与基于数据流异常分析的监测技术。基于特征匹配的方法,通过建立记录网络隐蔽信道特征的数据库,将网络中的数据流与其对比,匹配结果为真的话则表示存在隐蔽通道。但是该种方法很难检测出经过变种的隐蔽通道。基于数据流异常的方法,主要通过监测网络中数据流的异常情况来产生报警信息。

http://d.g.wanfangdata.com.cn/Thesis_Y2247883.aspx
《DNS异常行为检测的研究》
使用C4.5决策树分类器实现对隐藏信道的检测。对于基于服务的DNS隐藏信道提出通道流量的统计算法;对于基于域名的DNS隐藏信道,提出了基于机器学习的检测算法,该算法选择多个报文连接特征为检测测度,使用C4.5决策树分类器实现对隐藏信道的检测。

http://d.g.wanfangdata.com.cn/Periodical_txxb201305019.aspx
《基于DNS的隐蔽通道流量检测》

也是使用决策树模型来进行检测。研究了 DNS 隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的 12 个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别。

http://cdmd.cnki.com.cn/Article/CDMD-10013-1011121845.htm
《DNS攻击检测与防御技术研究》
北邮2011年的一篇硕士论文,通过对流量检测的异常检测角度进行分析,改进了信息熵异常检测方法,同时研究利用粗糙集理论知识进行DNS攻击检测,给出检测模型和实验结果。为了弥补异常检测对小流量攻击检测方面不准确性,结合误用检测思想,给出一个双通道检测模型,为DNS服务提供一个较全面、低误报率的攻击检测平台。

http://www.cas.stc.sh.cn/jsjyup/pdf/2011/6/%E4%B8%80%E7%A7%8D%E5%9F%BA%E4%BA%8ENDIS%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E5%AE%9E%E7%8E%B0%E9%9A%90%E8%94%BD%E9%80%9A%E9%81%93%E7%9A%84%E6%96%B9%E6%B3%95.pdf
《基于DNS 协议隐蔽通道的性能分析》
原理介绍居多,关键信息:根据前面对DNS 隐蔽通道原理的分析,可知DNS 隐蔽通道的上传通道可以使用BASE-32 和二进制2 种编码方式,下传通道可以使用BASE-64 和二进制2 种编码方式。BASE-32 和BASE64 编码方式的通用性强,可以应用于所有标准DNS 系统,但通信效率较低。二进制方式的通信效率较高,但是其通用性较差,部分DNS 系统不支持二进制数据。DNS 隐蔽通道的上行通道每个请求数据包可携带的编码后有效数据长度大约240 Byte,下行通道每个应答数据包可携带的编码后有效数据长度大约250 Byte。相应上行通道的BASE-32 编码前有效数据长度约150 Byte,下行通道的BASE-64 编码前有效数据长度约158 Byte。

DNS通道检测 国内学术界研究情况——研究方法:基于特征或者流量,使用机器学习决策树分类算法居多的更多相关文章

  1. DNS通道检测 国外学术界研究情况——研究方法:基于流量,使用机器学习分类算法居多,也有使用聚类算法的;此外使用域名zif low也有

    http://www.ijrter.com/papers/volume-2/issue-4/dns-tunneling-detection.pdf <DNS Tunneling Detectio ...

  2. Android 第三方应用接入微信平台研究情况分享

    微信平台开放后倒是挺火的,许多第三方应用都想试下接入微信这个平台,毕竟可以利用微信建立起来的关系链来拓展自己的应用还是挺不错的 最近由于实习需要也在研究这个东西,这里把我的整个研究情况给出来 微信平台 ...

  3. 利用机器学习进行DNS隐蔽通道检测——数据收集,利用iodine进行DNS隐蔽通道样本收集

    我们在使用机器学习做DNS隐蔽通道检测的过程中,不得不面临样本收集的问题,没办法,机器学习没有样本真是“巧妇难为无米之炊”啊! 本文简单介绍了DNS隐蔽通道传输工具iodine,并介绍如何从iodin ...

  4. Data-independent acquisition mass spectrometry in metaproteomics of gut microbiota - implementation and computational analysis DIA技术在肠道宏蛋白质组研究中的方法实现和数据分析 (解读人:闫克强)

    文献名:Data-independent acquisition mass spectrometry in metaproteomics of gut microbiota - implementat ...

  5. 笛卡尔&小雷:科学发展有规律,研究科学有方法

    一直在总结自己的学习和研究方法,最近在读吴军写的<文明之光> ,感觉这篇介绍笛卡尔的内容非常有价值,特此整理.最近开始在密谋自己的理论体系,低调实施中...  笛卡尔按照感知的方式,把人的 ...

  6. 推荐学习《组织与管理研究的实证方法(第2版)》中文PDF

    在写文章论文时,会涉及到观点论证,需要掌握一些实证方法. 建议学习<组织与管理研究的实证方法(第2版)>,对管理研究中涉及的方法进行了介绍,例如实验室研究,二手数据的研究,实地研究等,这对 ...

  7. JS 检测客户端断网情况

    常用方法 1 navigator.onLine 2 window.addEventListener() 3 获取网络资源 4 ajax请求 1. navigator.onLine 只会在机器未连上路由 ...

  8. 国内apk加固的破解方法

    国内apk加固的破解方法 By Bob Pan 国内的apk加固技术都使用了将原有的dex隐藏, 在运行时解压, 并且通过修改app的类加载器的方式实现加固. 参考: AndoridAPK反逆向解决方 ...

  9. CNN结构:用于检测的CNN结构进化-一站式方法

    有兴趣查看原文:YOLO详解 人眼能够快速的检测和识别视野内的物体,基于Maar的视觉理论,视觉先识别出局部显著性的区块比如边缘和角点,然后综合这些信息完成整体描述,人眼逆向工程最相像的是DPM模型. ...

随机推荐

  1. 复习HTML+CSS(7)

    n  HTML 注释 <--! 注释内容 --> 注意:注释内容不会显示,注释是为了将来维护方面. n  图片热点(图像地图) 图像热点:给一张图片加多个链接,默认情况下,一张图片只能加一 ...

  2. python--5、模块

    模块 程序的代码根据作用分散写入多个文件,这些文件相互引用,以实现程序的功能,这些文件即称之为”模块“.自己定义的函数或者变量为了防止在解释器中执行完退出后丢失,需要把代码写到文件中,再直接执行,称为 ...

  3. python--4、装饰器

    装饰器(Decorator) 使用场景:为被装饰器装饰的函数增加功能,但又不希望修改函数的定义,即在代码运行期间动态增加功能. 装饰器更多的用于后期功能升级而不是编写新的代码.装饰器不光能装饰函数,也 ...

  4. list用法(用到了再补充)

    之前学list吧,也知道很多,但是到用的时候却无从下手,还是不熟悉的缘故,看来基础知识应该再加强,要达到信手拈来的程度才行. 先说下list的特性:有序可重复,也可以存储多个空值. 我用到的方法: L ...

  5. JWPL工具处理维基百科wikipedia数据用于NLP

    JWPL处理维基百科数据用于NLP 处理zhwiki JWPL是一个Wikipedia处理工具,主要功能是将Wikipedia dump的文件经过处理.优化导入mysql数据库,用于NLP过程.以下以 ...

  6. 安卓使用JNI-NDK

    详细配置,参考链接:http://www.jb51.net/softjc/115204.html 一  .为什么使用NDK 1.代码的保护.由于apk的java层代码很容易被反编译,而C/C++库反汇 ...

  7. Linux下文件查找命令find笔记

    在Linux命令下如果需要快速自己系统所需要处理的文件,可以通过find命令快速进行检索. 如果想在某个路径下查找相应的文件可以执行如下命令: find path -name filename # p ...

  8. day002 计算机基础之 操作系统和编程语言的分类

    &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp今天主要针对计算机基础中的操作系统和编程语言的分类进行了讲解. 操作系统 &nbsp ...

  9. TCP中的RST标志(Reset)详解

    在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接.四次握手怎样把全双工的连接关闭掉.滑动窗口是怎么传输数据的.TCP的flag标志位里RST在哪些情况下出现.下面我会画一些尽量简化的 ...

  10. loadrunner录制不了

    我在使用loadrunner过程中遇到的问题是,录制脚本时候能够打开firefox,但是无法打开IE,降低IE版本以后仍然不行. 1.在录制脚本时Start Recoding中,默认如下,这样有可能I ...