(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210928837.7 (22)申请日 2022.08.03 (71)申请人 上海欣诺通信技 术股份有限公司 地址 201610 上海市松江区文翔东路58号 友喜国际园1 1号楼 (72)发明人 左源　唐麒隆　李磊　向君耀　 吴志远　谢虎　李琳　 (74)专利代理 机构 上海港慧专利代理事务所 (普通合伙) 31402 专利代理师 杨锴 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种基于流量特征的DNS隐蔽隧道检测方法 (57)摘要 本发明涉及信息安全 领域， 特别是涉及一种 基于流量特征的多因子DNS隐蔽隧道检测方法， 包括， 于获取到DNS流量数据的状态下对所述DNS 流量数据做解析处理以形成第一检测数据流和 第二检测数据包； 根据第一类检测数据形成第一 类数据、 第二类数据， 根据第二检测数据形成第 三类数据、 第四类数据、 第五类数据、 第六类数 据； 根据所述第一类数据、 第二类数据、 第三类数 据、 第四类数据、 第五类数据、 第六类数据形成一 检测结果输出。 权利要求书3页 说明书10页 附图2页 CN 115086080 A 2022.09.20 CN 115086080 A 1.一种基于流 量特征的DNS隐蔽隧道检测方法， 其特 征在于： 包括， 于获取到DNS流量数据的状态下对所述DNS流量数据做解析处理以形成第一检测数据 流和第二检测数据包； 根据第一类检测数据形成第一类数据、 第二类数据， 根据第二检测数据形成第三类数 据、 第四类数据、 第五类数据、 第六类数据； 根据所述第 一类数据、 第二类数据、 第三类数据、 第四类数据、 第五类数据、 第六类数据 形成一检测结果输出。 2.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法， 其特征在于： 于 获取到DNS流量数据的状态下对所述DNS流量数据做解析处理以形成第一检测数据流和第 二检测数据包具体包括： 于获取到DNS流量数据的状态下， 根据DNS流量数据获取与当前DNS流量数据的第一特 征值、 第二特 征值、 第三特 征值； 根据所述第一特 征值、 第二特 征值、 第三特 征值形成标识数据； 读取与所述标识数据匹配的数据流以形成第一检测数据流和第二检测数据包。 3.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法， 其特征在于： 所 述第一检测数据流至少包 含所述第一类数据的为： S1＝(R/r)*A； 其中S1为所述第一类数据； R为标准RTT的参考数； A为RTT影响因子； r为所述第一检测 数据流中实际检测的RT T值。 4.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法， 其特征在于： 所 述第一检测数据流至少包 含所述第二类数据的形成方式包括： 获取第二类数据的基础阈值； 第二类数据的基础阈值 为： 其中， S2为第二类数据的基础阈值， n为实际请求响应包数量； N1、 N2分别为第二类数据 的第一参数值和第二 参考值； 根据所述第 一检测数据流中与所述第 二类数据匹配的数据包数量， 结合所述第 二类数 据的基础阈值形成所述第二类数据。 5.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法， 其特征在于： 所 述第二检测数据包至少包括第三类数据， 其中所述第三类数据的形成方式为， 获取第三类数据的基础阈值； 第三类数据的基础阈值 为： 权　利　要　求　书 1/3 页 2 CN 115086080 A 2其中， S3为第三类数据的基础阈值， m为请求类型异常数量； M1、 M2分别为第三类数据的 第一参数值和第二 参考值； 根据所述第 一检测数据流中与所述第 三类数据匹配的数据包数量， 结合所述第 三类数 据的基础阈值形成所述第三类数据。 6.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法， 其特征在于： 所 述第二检测数据包至少包括第四类数据， 所述第四类数据的形成方式为， 获取第四类数据的基础阈值； 第四类数据的基础阈值 为： S4＝(n1*D1+n2*D2+n3 *D3)/(n1+n2+n3) 其中： S4为第四类数据的基础阈值， D1为第四类数据的第一标识值， 于当前数据包的域 名长度小于域名第一参考值的状态下设置 当前数据包的标识 值为D1； D2 为第四类数据的第 二标识值， 于当前数据包的域名长度不小于域名第一参考值且小于域名第二参考值的状态 下设置当前数据包的标识值为D2； D3为第四类数据的第三标识值， 于当前数据包的域名长 度不小于域名第三参考值的状态下设置 当前数据包的标识 值为D3； n1为数据包的标识 值为 D1的总数； n2为数据包的标识值 为D2的总数； n3为数据包的标识值 为D3的总数； 根据所述第 一检测数据流中与所述第四类数据匹配的数据包数量， 结合所述第四类数 据的基础阈值形成所述第四类数据。 7.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法， 其特征在于： 所 述第二检测数据包至少包括第五类数据， 所述第五类数据的形成方式为， 获取第五类数据的基础阈值； 第五类数据的基础阈值 为： S5＝(f1* E1+f2*E2+f3*E3)/(f1+f2+f3) 其中： S5为第五类数据的基础阈值， E1为第五类数据的第一标识值， 于当前数据包的子 域名数量小于子域名第一参考值的状态下设置 当前数据包的标识 值为E1； E2 为第五类数据 的第二标识 值， 于当前数据包的子域名数量不小于子域名第一参考值且小于子域名第二参 考值的状态下设置当前数据包的标识值为E2； E3为第五类数据的第三标识值， 于当前数据 包的子域名数量不小于子域名第三参考值的状态下设置 当前数据包的标识 值为E3； f1为数 据包的标识值为E1的总数； f2为数据包的标识值为E2的总数； f3为数据包的标识值为E3的 总数； 根据所述第 一检测数据流中与所述第五类数据匹配的数据包数量， 结合所述第五类数 据的基础阈值形成所述第五类数据。 8.根据权利要求1所述的一种基于流量特征的DNS隐蔽隧道检测方法， 其特征在于： 所 述第二检测数据包至少包括第六类数据， 所述第六类数据的形成方式为， 获取第五类数据的基础阈值； 第五类数据的基础阈值 为： S6＝(j1*F1+j2*F2+j3 *F3)/(j1+j2+j3) 其中： S5为第六类数据的基础阈值， F1为第六类数据的第一标识值， 于当前数据包的子 域名长度小于子域名第一参考值的状态下设置 当前数据包的标识 值为F1； F2 为第六类数据 的第二标识 值， 于当前数据包的子域名长度不小于子域名第一参考值且小于子域名第二参 考值的状态下设置当前数据包的标识值为F2； F3为第六类数据的第三标识值， 于当前数据 包的子域名长度不小于子域名第三参考值的状态下设置 当前数据包的标识 值为F3； j1为数 据包的标识值为F1的总数； j2为数据包的标识值为F2的总数； j3为数据包的标识值为F3的权　利　要　求　书 2/3 页 3 CN 115086080 A 3