http://xuewen.cnki.net/DownloadArticle.aspx?filename=BMKJ201104017&dbtype=CJFD
《浅析基于DNS协议的隐蔽通道及监测技术》
DNS隐蔽通道监测主要采用特征匹配和流量异常检测这两种技术。
3.1 特征匹配技术
特 征 匹 配 技 术 通 过 网 络 通 信 报 文 特 征 来 识别 D N S 隐 蔽 通 道 。 S n o r t 通 过 以 下 规 则 来 识 别NSTX和Iodine隐蔽通道:
alert udp $EXTERNAL_NET any - $HOME_NET 53 (msg:"Potential NSTX DNS Tunneling";
content:"|01 00|"; offset:2; within:4; content:"c T"; offset:12; depth:3; content:"|00 10 00 01|";
within:255; 特 征 匹 配 技 术 的 优 点 是 准 确 性 高 , 能 够 具体地识别出DNS隐蔽通道名称,缺点是不能识别出 未 知 或 变 种 的 隐 蔽 通 道 。 对 于 开 源 的 隐 蔽 通道 来 说 , 改 变 网 络 通 信 特 征 是 轻 而 易 举 的 事 ,
特征匹配技术显然应对不了层出不穷的变种。
3.2 流量异常检测技术
流 量 异 常 检 测 技 术 根 据 异 常 流 量 特 征 来 识别DNS隐蔽通道。DNS隐蔽通道运行时,DNS报文 流 量 有 着 明 显 的 异 常 : 域 名 超 长 、 域 名 中 主机名部分有许多随机字符、DNS报文数量剧增、DNS报文长度加大、出现TXT、NULL 、EDNS0等类型的DNS报文等。这些都是流量异常监测需要重点关注的要素。内网网管可以通过Snort工具来监测这些流量异常情况。思科IDS在监测到大量TXT类型的DNS报文时产生告警。目 前 , 流 量 异 常 检 测 技 术 能 够 较 好 地 识 别DNS隐蔽通道。即便是新型的Heyoka,不再引发单个主机的DNS报文数量剧增,但也难以消除其 他 的 流 量 异 常 特 征 , 难 于 规 避 流 量 异 常 监 测设备的检测。

http://d.g.wanfangdata.com.cn/Periodical_wlaqjsyyy201501024.aspx
《探析基于DNS协议隐蔽通道的基本架构及监测技术》

使用规则库,规则集主要描述不同协议的流量特征、数据报文的时问特征以及报头特征,并且还包括通讯两端的地址、流量等信息。 
在当前隐蔽通道监测技术中,最常用的是特征匹配与基于数据流异常分析的监测技术。基于特征匹配的方法,通过建立记录网络隐蔽信道特征的数据库,将网络中的数据流与其对比,匹配结果为真的话则表示存在隐蔽通道。但是该种方法很难检测出经过变种的隐蔽通道。基于数据流异常的方法,主要通过监测网络中数据流的异常情况来产生报警信息。

http://d.g.wanfangdata.com.cn/Thesis_Y2247883.aspx
《DNS异常行为检测的研究》
使用C4.5决策树分类器实现对隐藏信道的检测。对于基于服务的DNS隐藏信道提出通道流量的统计算法;对于基于域名的DNS隐藏信道,提出了基于机器学习的检测算法,该算法选择多个报文连接特征为检测测度,使用C4.5决策树分类器实现对隐藏信道的检测。

http://d.g.wanfangdata.com.cn/Periodical_txxb201305019.aspx
《基于DNS的隐蔽通道流量检测》

也是使用决策树模型来进行检测。研究了 DNS 隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的 12 个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别。

http://cdmd.cnki.com.cn/Article/CDMD-10013-1011121845.htm
《DNS攻击检测与防御技术研究》
北邮2011年的一篇硕士论文,通过对流量检测的异常检测角度进行分析,改进了信息熵异常检测方法,同时研究利用粗糙集理论知识进行DNS攻击检测,给出检测模型和实验结果。为了弥补异常检测对小流量攻击检测方面不准确性,结合误用检测思想,给出一个双通道检测模型,为DNS服务提供一个较全面、低误报率的攻击检测平台。

http://www.cas.stc.sh.cn/jsjyup/pdf/2011/6/%E4%B8%80%E7%A7%8D%E5%9F%BA%E4%BA%8ENDIS%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E5%AE%9E%E7%8E%B0%E9%9A%90%E8%94%BD%E9%80%9A%E9%81%93%E7%9A%84%E6%96%B9%E6%B3%95.pdf
《基于DNS 协议隐蔽通道的性能分析》
原理介绍居多,关键信息:根据前面对DNS 隐蔽通道原理的分析,可知DNS 隐蔽通道的上传通道可以使用BASE-32 和二进制2 种编码方式,下传通道可以使用BASE-64 和二进制2 种编码方式。BASE-32 和BASE64 编码方式的通用性强,可以应用于所有标准DNS 系统,但通信效率较低。二进制方式的通信效率较高,但是其通用性较差,部分DNS 系统不支持二进制数据。DNS 隐蔽通道的上行通道每个请求数据包可携带的编码后有效数据长度大约240 Byte,下行通道每个应答数据包可携带的编码后有效数据长度大约250 Byte。相应上行通道的BASE-32 编码前有效数据长度约150 Byte,下行通道的BASE-64 编码前有效数据长度约158 Byte。

DNS通道检测 国内学术界研究情况——研究方法:基于特征或者流量,使用机器学习决策树分类算法居多的更多相关文章

  1. DNS通道检测 国外学术界研究情况——研究方法:基于流量,使用机器学习分类算法居多,也有使用聚类算法的;此外使用域名zif low也有

    http://www.ijrter.com/papers/volume-2/issue-4/dns-tunneling-detection.pdf <DNS Tunneling Detectio ...

  2. Android 第三方应用接入微信平台研究情况分享

    微信平台开放后倒是挺火的,许多第三方应用都想试下接入微信这个平台,毕竟可以利用微信建立起来的关系链来拓展自己的应用还是挺不错的 最近由于实习需要也在研究这个东西,这里把我的整个研究情况给出来 微信平台 ...

  3. 利用机器学习进行DNS隐蔽通道检测——数据收集,利用iodine进行DNS隐蔽通道样本收集

    我们在使用机器学习做DNS隐蔽通道检测的过程中,不得不面临样本收集的问题,没办法,机器学习没有样本真是“巧妇难为无米之炊”啊! 本文简单介绍了DNS隐蔽通道传输工具iodine,并介绍如何从iodin ...

  4. Data-independent acquisition mass spectrometry in metaproteomics of gut microbiota - implementation and computational analysis DIA技术在肠道宏蛋白质组研究中的方法实现和数据分析 (解读人:闫克强)

    文献名:Data-independent acquisition mass spectrometry in metaproteomics of gut microbiota - implementat ...

  5. 笛卡尔&小雷:科学发展有规律,研究科学有方法

    一直在总结自己的学习和研究方法,最近在读吴军写的<文明之光> ,感觉这篇介绍笛卡尔的内容非常有价值,特此整理.最近开始在密谋自己的理论体系,低调实施中...  笛卡尔按照感知的方式,把人的 ...

  6. 推荐学习《组织与管理研究的实证方法(第2版)》中文PDF

    在写文章论文时,会涉及到观点论证,需要掌握一些实证方法. 建议学习<组织与管理研究的实证方法(第2版)>,对管理研究中涉及的方法进行了介绍,例如实验室研究,二手数据的研究,实地研究等,这对 ...

  7. JS 检测客户端断网情况

    常用方法 1 navigator.onLine 2 window.addEventListener() 3 获取网络资源 4 ajax请求 1. navigator.onLine 只会在机器未连上路由 ...

  8. 国内apk加固的破解方法

    国内apk加固的破解方法 By Bob Pan 国内的apk加固技术都使用了将原有的dex隐藏, 在运行时解压, 并且通过修改app的类加载器的方式实现加固. 参考: AndoridAPK反逆向解决方 ...

  9. CNN结构:用于检测的CNN结构进化-一站式方法

    有兴趣查看原文:YOLO详解 人眼能够快速的检测和识别视野内的物体,基于Maar的视觉理论,视觉先识别出局部显著性的区块比如边缘和角点,然后综合这些信息完成整体描述,人眼逆向工程最相像的是DPM模型. ...

随机推荐

  1. My97DatePicker 动态设置有效/无效日期

    <%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding= ...

  2. Activity生命周期(待整理)

    1. 定义 有一些方法共同定义生命周期,如下图示:(图片来自于官网文档) 2. onStart()——在Activity即将对用户可见之前调用 (1)Activity启动动画.二维动画在onStart ...

  3. python--6、re模块

    re模块 用于在正则表达式匹配操作. python中为了避免实现输出'\','\n'字符的转义问题(如正则表达式使用反斜杠" \ "来代表特殊形式或用作转义字符,这里跟Python ...

  4. Android 侦听应用(Package)变化的方法侦听广播

    应用的状态变化,包括安装.卸载.更新,是android系统上重要的事件.如何侦听到?有两种方法,一是通过侦听广播,一是实现PackageMonitor. 侦听广播   当Package状态发生变化时, ...

  5. Android中ImageView的属性

    资源使用 Android 中支持三种格式的位图文件:.png(首选), .jpg(可接受),.gif(不建议) 为什么首推 PNG 呢? 官网的描述如下: 注:在构建过程中,可通过 aapt 工具自动 ...

  6. 结构体、枚举、联合(day14)

    一个存储区的地址必须是它自身大小的整数倍 (double类型存储区的地址只需要是4的 整数倍) 这个规则叫数据对齐 结构体里面的子存储区通常也需要遵守数据 对齐的规则 数据对齐会造成结构体内部子存储区 ...

  7. 数据结构实验病毒感染检测问题(C++)

    医学研究者最近发现了某些新病毒,通过对这些病毒的分析,得知他们的DNA序列都是环状的.现在研究者已收集了大量的病毒DNA和人的DNA数据,想快速检测出这些人是否感染了相应的病毒.为了方便研究,研究者将 ...

  8. 34.初识搜索引擎及timeout机制

    主要知识点 1.对搜索执行结果的说明 2.timeout机制讲解 一.对执行 GET /_search 的结果的说明 执行结果如下(只保留部分) { "took": 29, &qu ...

  9. js中三个默认方法call,applay,bind

    这三个都是函数自带的方法(Function.prototype),这三个方法都能够改变函数内部 this的指向, call //call方法接收三个参数,第一个是this指向,第二个,三个是传递给函数 ...

  10. android下xml放哪儿?

    1.用Project->Deployment,打开发布文件窗口,增加要发布的文件.然后设置文件发布的位置Remote Path,填写为assets\internal\ 2.代码 varp: st ...