http://xuewen.cnki.net/DownloadArticle.aspx?filename=BMKJ201104017&dbtype=CJFD
《浅析基于DNS协议的隐蔽通道及监测技术》
DNS隐蔽通道监测主要采用特征匹配和流量异常检测这两种技术。
3.1 特征匹配技术
特 征 匹 配 技 术 通 过 网 络 通 信 报 文 特 征 来 识别 D N S 隐 蔽 通 道 。 S n o r t 通 过 以 下 规 则 来 识 别NSTX和Iodine隐蔽通道:
alert udp $EXTERNAL_NET any - $HOME_NET 53 (msg:"Potential NSTX DNS Tunneling";
content:"|01 00|"; offset:2; within:4; content:"c T"; offset:12; depth:3; content:"|00 10 00 01|";
within:255; 特 征 匹 配 技 术 的 优 点 是 准 确 性 高 , 能 够 具体地识别出DNS隐蔽通道名称,缺点是不能识别出 未 知 或 变 种 的 隐 蔽 通 道 。 对 于 开 源 的 隐 蔽 通道 来 说 , 改 变 网 络 通 信 特 征 是 轻 而 易 举 的 事 ,
特征匹配技术显然应对不了层出不穷的变种。
3.2 流量异常检测技术
流 量 异 常 检 测 技 术 根 据 异 常 流 量 特 征 来 识别DNS隐蔽通道。DNS隐蔽通道运行时,DNS报文 流 量 有 着 明 显 的 异 常 : 域 名 超 长 、 域 名 中 主机名部分有许多随机字符、DNS报文数量剧增、DNS报文长度加大、出现TXT、NULL 、EDNS0等类型的DNS报文等。这些都是流量异常监测需要重点关注的要素。内网网管可以通过Snort工具来监测这些流量异常情况。思科IDS在监测到大量TXT类型的DNS报文时产生告警。目 前 , 流 量 异 常 检 测 技 术 能 够 较 好 地 识 别DNS隐蔽通道。即便是新型的Heyoka,不再引发单个主机的DNS报文数量剧增,但也难以消除其 他 的 流 量 异 常 特 征 , 难 于 规 避 流 量 异 常 监 测设备的检测。

http://d.g.wanfangdata.com.cn/Periodical_wlaqjsyyy201501024.aspx
《探析基于DNS协议隐蔽通道的基本架构及监测技术》

使用规则库,规则集主要描述不同协议的流量特征、数据报文的时问特征以及报头特征,并且还包括通讯两端的地址、流量等信息。 
在当前隐蔽通道监测技术中,最常用的是特征匹配与基于数据流异常分析的监测技术。基于特征匹配的方法,通过建立记录网络隐蔽信道特征的数据库,将网络中的数据流与其对比,匹配结果为真的话则表示存在隐蔽通道。但是该种方法很难检测出经过变种的隐蔽通道。基于数据流异常的方法,主要通过监测网络中数据流的异常情况来产生报警信息。

http://d.g.wanfangdata.com.cn/Thesis_Y2247883.aspx
《DNS异常行为检测的研究》
使用C4.5决策树分类器实现对隐藏信道的检测。对于基于服务的DNS隐藏信道提出通道流量的统计算法;对于基于域名的DNS隐藏信道,提出了基于机器学习的检测算法,该算法选择多个报文连接特征为检测测度,使用C4.5决策树分类器实现对隐藏信道的检测。

http://d.g.wanfangdata.com.cn/Periodical_txxb201305019.aspx
《基于DNS的隐蔽通道流量检测》

也是使用决策树模型来进行检测。研究了 DNS 隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的 12 个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别。

http://cdmd.cnki.com.cn/Article/CDMD-10013-1011121845.htm
《DNS攻击检测与防御技术研究》
北邮2011年的一篇硕士论文,通过对流量检测的异常检测角度进行分析,改进了信息熵异常检测方法,同时研究利用粗糙集理论知识进行DNS攻击检测,给出检测模型和实验结果。为了弥补异常检测对小流量攻击检测方面不准确性,结合误用检测思想,给出一个双通道检测模型,为DNS服务提供一个较全面、低误报率的攻击检测平台。

http://www.cas.stc.sh.cn/jsjyup/pdf/2011/6/%E4%B8%80%E7%A7%8D%E5%9F%BA%E4%BA%8ENDIS%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E5%AE%9E%E7%8E%B0%E9%9A%90%E8%94%BD%E9%80%9A%E9%81%93%E7%9A%84%E6%96%B9%E6%B3%95.pdf
《基于DNS 协议隐蔽通道的性能分析》
原理介绍居多,关键信息:根据前面对DNS 隐蔽通道原理的分析,可知DNS 隐蔽通道的上传通道可以使用BASE-32 和二进制2 种编码方式,下传通道可以使用BASE-64 和二进制2 种编码方式。BASE-32 和BASE64 编码方式的通用性强,可以应用于所有标准DNS 系统,但通信效率较低。二进制方式的通信效率较高,但是其通用性较差,部分DNS 系统不支持二进制数据。DNS 隐蔽通道的上行通道每个请求数据包可携带的编码后有效数据长度大约240 Byte,下行通道每个应答数据包可携带的编码后有效数据长度大约250 Byte。相应上行通道的BASE-32 编码前有效数据长度约150 Byte,下行通道的BASE-64 编码前有效数据长度约158 Byte。

DNS通道检测 国内学术界研究情况——研究方法:基于特征或者流量,使用机器学习决策树分类算法居多的更多相关文章

  1. DNS通道检测 国外学术界研究情况——研究方法:基于流量,使用机器学习分类算法居多,也有使用聚类算法的;此外使用域名zif low也有

    http://www.ijrter.com/papers/volume-2/issue-4/dns-tunneling-detection.pdf <DNS Tunneling Detectio ...

  2. Android 第三方应用接入微信平台研究情况分享

    微信平台开放后倒是挺火的,许多第三方应用都想试下接入微信这个平台,毕竟可以利用微信建立起来的关系链来拓展自己的应用还是挺不错的 最近由于实习需要也在研究这个东西,这里把我的整个研究情况给出来 微信平台 ...

  3. 利用机器学习进行DNS隐蔽通道检测——数据收集,利用iodine进行DNS隐蔽通道样本收集

    我们在使用机器学习做DNS隐蔽通道检测的过程中,不得不面临样本收集的问题,没办法,机器学习没有样本真是“巧妇难为无米之炊”啊! 本文简单介绍了DNS隐蔽通道传输工具iodine,并介绍如何从iodin ...

  4. Data-independent acquisition mass spectrometry in metaproteomics of gut microbiota - implementation and computational analysis DIA技术在肠道宏蛋白质组研究中的方法实现和数据分析 (解读人:闫克强)

    文献名:Data-independent acquisition mass spectrometry in metaproteomics of gut microbiota - implementat ...

  5. 笛卡尔&小雷:科学发展有规律,研究科学有方法

    一直在总结自己的学习和研究方法,最近在读吴军写的<文明之光> ,感觉这篇介绍笛卡尔的内容非常有价值,特此整理.最近开始在密谋自己的理论体系,低调实施中...  笛卡尔按照感知的方式,把人的 ...

  6. 推荐学习《组织与管理研究的实证方法(第2版)》中文PDF

    在写文章论文时,会涉及到观点论证,需要掌握一些实证方法. 建议学习<组织与管理研究的实证方法(第2版)>,对管理研究中涉及的方法进行了介绍,例如实验室研究,二手数据的研究,实地研究等,这对 ...

  7. JS 检测客户端断网情况

    常用方法 1 navigator.onLine 2 window.addEventListener() 3 获取网络资源 4 ajax请求 1. navigator.onLine 只会在机器未连上路由 ...

  8. 国内apk加固的破解方法

    国内apk加固的破解方法 By Bob Pan 国内的apk加固技术都使用了将原有的dex隐藏, 在运行时解压, 并且通过修改app的类加载器的方式实现加固. 参考: AndoridAPK反逆向解决方 ...

  9. CNN结构:用于检测的CNN结构进化-一站式方法

    有兴趣查看原文:YOLO详解 人眼能够快速的检测和识别视野内的物体,基于Maar的视觉理论,视觉先识别出局部显著性的区块比如边缘和角点,然后综合这些信息完成整体描述,人眼逆向工程最相像的是DPM模型. ...

随机推荐

  1. js 全选选框与取消全选代码

    设置一个全选选框和四个子选框,要实现点击全选后四个子选框选中,取消全选后四个子选框也取消.全选后点击某个子选框,全选也能取消.当四个子选框都选中时,全选框也被选择. 实现代码: <script& ...

  2. 用List表示多重性

    练习目标-在类中使用List作为模拟集合操作: 在本练习中,将用List实现银行与客户间的多重关系. 任务 对银行来说,可添加Bank类. Bank 对象跟踪自身与其客户间的关系.用Customer对 ...

  3. linux 清空文件的几种方案

    之前要清理文件,都是简单粗暴的rm -rf log文件,最近,发现在某些环境下,是不能删除文件本省的,又必须要清理文件的内容信息,经过亲自实验,目测以下的几种方案是可行的,方案如下: 1.采用vi命令 ...

  4. dubbo之多版本

    当一个接口实现,出现不兼容升级时,可以用版本号过渡,版本号不同的服务相互间不引用. 可以按照以下的步骤进行版本迁移: 在低压力时间段,先升级一半提供者为新版本 再将所有消费者升级为新版本 然后将剩下的 ...

  5. WebGL画点程序v2

    本文程序实现画一个点的任务,如下图.其中,点的位置坐标由Javascript传到着色器程序中,而不是直接给定("硬编码")在顶点着色器中. 整个程序包含两个文件,分别是: 1. H ...

  6. eclipse快捷键:

    打开快捷键提示: ctrl + shift + L; 自动补全代码: Alt + /; 快速修复: ctrl + 1; 导包: ctrl + shift + o; 格式化代码: ctrl + shif ...

  7. react性能调谐与diff算法

    一个页面其实就相当于是一颗dom树,里面有很多它的子节点,然后你每次去操作一个事件,它都会生成一个虚拟dom,它会跟上一个虚拟dom进行比对,这里运用的算法叫做diff算法,当它找到需要改变的组件的时 ...

  8. 一个休假申请页对input标签各种属性的用法案例(手机端)

    <%@ page language="java" import="java.util.*" contentType="text/html; ch ...

  9. JDBC对MySQL数据库存储过程的调用

    一.MySQL数据库存储过程: 1.什么是存储过程 存储过程(英文:Stored Procedure)是在大型数据库系统中,为了完成特定功能而编写的一组的SQL语句集.存储过程经编译存储在数据库中,用 ...

  10. [CodeForces]1059C Sequence Transformation

    构造题. 我递归构造的,发现如果N>3的话就优先删奇数,然后就把删完的提取一个公约数2,再重复操作即可. 具体原因我觉得是因为对于一个长度大于3的序列,2的倍数总是最多,要令字典序最大,所以就把 ...