隐蔽通道识别方法、装置、计算机设备及存储介质与流程

本申请属于计算机，具体涉及一种隐蔽通道识别方法、装置、计算机设备及存储介质。

背景技术：

1、隐蔽通道是一种绕过强制安全机制检查，违反系统安全策略传递信息的方式。常用的隐蔽通道包括基于超文本传输协议(hyper text transfer protocol，http)、域名系统(domain name system，dns)和控制报文协议(internet control message protocol，icmp)的隐蔽通道。其中，dns隐蔽通道是指将隐蔽信息搭载于合法dns报文进行传输的方式。

2、在相关技术中，dns隐蔽通道的识别方法可以基于规则的特征匹配方式和基于流量异常的检测方式，构建特征库，并将待检测流量报文与已有特征数据库中的特征进行匹配，从而识别隐蔽通道。然而，攻击者可以通过修改例如域名长度、子域名请求数量等特征，绕过基于规则和异常流量的检测，导致无法有效识别隐蔽通道。

技术实现思路

1、本申请实施例提供一种隐蔽通道识别方法、装置、设备及存储介质，能够解决现有技术中隐蔽通道识别效率低的问题。

2、第一方面，本申请实施例提供一种隐蔽通道识别方法，该方法可以包括：

3、获取待检测的dns隧道域名；

4、通过dfa算法，提取dns隧道域名的目标域名特征；

5、通过卷积神经网络算法和长短时记忆算法，分别对目标域名特征进行特征增强处理，得到增强特征，增强特征包括与卷积神经网络算法对应的局部增强特征和与长短时记忆算法对应的全局增强特征；

6、根据局部增强特征和全局增强特征融合后的融合特征，确定dns隧道域名是否为隐蔽通道的dns隐蔽隧道域名。

7、第二方面，本申请实施例提供了一种隐蔽通道识别装置，该装置可以包括：

8、获取模块，用于获取待检测的dns隧道域名；

9、提取模块，用于通过dfa算法，提取dns隧道域名的目标域名特征；

10、处理模块，用于通过卷积神经网络算法和长短时记忆算法，分别对目标域名特征进行特征增强处理，得到增强特征，增强特征包括与卷积神经网络算法对应的局部增强特征和与长短时记忆算法对应的全局增强特征；

11、确定模块，用于根据局部增强特征和全局增强特征融合后的融合特征，确定dns隧道域名是否为隐蔽通道的dns隐蔽隧道域名。

12、第三方面，本申请实施例提供了一种计算设备，该计算设备包括：处理器以及存储有计算机程序指令的存储器；

13、处理器执行计算机程序指令时实现如第一方面所示的隐蔽通道识别方法。

14、第四方面，本申请实施例提供了一种计算机存储介质，计算机存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现如第一方面所示的隐蔽通道识别方法。

15、第五方面，本申请实施例提供了一种芯片，芯片包括处理器和通信接口，通信接口和处理器耦合，处理器用于运行程序或指令，实现如第一方面所示的隐蔽通道识别方法。

16、第六方面，本申请实施例提供一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如第一方面所示的隐蔽通道识别方法。

17、本申请实施例的隐蔽通道识别方法、装置、设备及存储介质，获取待检测的dns隧道域名，并通过dfa算法，提取dns隧道域名的目标域名特征，接着，通过卷积神经网络算法和长短时记忆算法，分别对目标域名特征进行特征增强处理，得到增强特征，增强特征包括与卷积神经网络算法对应的局部增强特征和与长短时记忆算法对应的全局增强特征，然后，根据局部增强特征和全局增强特征融合后的融合特征，确定dns隧道域名是否为隐蔽通道的dns隐蔽隧道域名。由此，可以充分挖掘dns隧道域名的语义特征，通过dfa算法分析dns隧道域名是否由无序字符或全词典构成，以对域名的组成结构进行判别，从而提取不同域名结构下的dns隧道域名的目标域名特征，实现根据不同的目标域名特征对应的不同的提取算法，准确提取目标域名特征。以及，通过卷积神经网络算法和与长短时记忆算法提取局部增强特征和全局增强特征，并根据局部增强特征和全局增强特征的融合特征，判断dns隧道域名是否为隐蔽通道的dns隐蔽隧道域名，可以有效提高识别准确率，降低误判的可能性，进而提高隐蔽通道识别的效率。

技术特征：

1.一种隐蔽通道识别方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述目标域名特征包括第一域名特征；

3.根据权利要求2所述的方法，其特征在于，所述通过dfa算法，识别所述dns隧道域名，得到所述dns隧道域名的目标域名结构，包括：

4.根据权利要求3所述的方法，其特征在于，所述目标特征提取算法包括daf域名分割算法和词频逆文本频率指数转化算法，所述第一域名特征包括词典特征；

5.根据权利要求3所述的方法，其特征在于，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述目标特征提取算法包括汉语语言模型分词算法和word2vec算法，所述第一域名特征包括字符特征；

7.根据权利要求2所述的方法，其特征在于，所述目标域名特征还包括第二域名特征；所述方法还包括：

8.根据权利要求1所述的方法，其特征在于，所述通过卷积神经网络算法和长短时记忆算法，分别对所述目标域名特征进行特征增强处理，得到增强特征，包括：

9.根据权利要求8所述的方法，其特征在于，所述对所述域名局部特征进行块状卷积局部特征增强处理，得到所述局部增强特征，包括：

10.根据权利要求8所述的方法，其特征在于，所述通过分组特征相似度，对所述域名全局特征进行全局特征增强处理，得到所述全局增强特征，包括：

11.根据权利要求1所述的方法，其特征在于，所述根据所述局部增强特征和所述全局增强特征融合后的融合特征，确定所述dns隧道域名是否为隐蔽通道的dns隐蔽隧道域名，包括：

12.根据权利要求11所述的方法，其特征在在于，所述注意力机制包括平均池化算法、最大池化算法和多层感知机算法；

13.根据权利要求11所述的方法，其特征在于，所述确定所述dns隧道域名是否为隐蔽通道的dns隐蔽隧道域名之前，所述方法还包括：

14.一种隐蔽通道识别装置，其特征在于，包括：

15.一种计算机设备，所述计算设备包括：处理器以及存储有计算机程序指令的存储器；

16.一种存储介质，所述存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如权利要求1-13任意一项所述的隐蔽通道识别方法。

技术总结
本申请公开了一种隐蔽通道识别方法、装置、计算机设备及存储介质。该方法包括获取待检测的DNS隧道域名，通过DFA算法，提取DNS隧道域名的目标域名特征；通过卷积神经网络算法和长短时记忆算法，分别对目标域名特征进行特征增强处理，得到与卷积神经网络算法对应的局部增强特征和与长短时记忆算法对应的全局增强特征；根据局部增强特征和全局增强特征融合后的融合特征，确定DNS隧道域名是否为隐蔽通道的DNS隐蔽隧道域名。由此，可以有效提高识别准确率，降低误判的可能性，进而提高隐蔽通道识别的效率。

技术研发人员：潘文君,马珺浩,郑瑞刚,韩志峰,曲大林,文雪刚,田峰
受保护的技术使用者：中移动信息技术有限公司
技术研发日：
技术公布日：2024/1/13