基于攻击流量自生成的DNS隐蔽信道检测方法

作     者：刁嘉文 方滨兴 田志宏 王忠儒 宋首友 王田 崔翔 DIAO Jia-Wen;FANG Bin-Xing;TIAN Zhi-Hong;WANG Zhong-Ru;SONG Shou-You;WANG Tian;CUI Xiang

作者机构：北京邮电大学网络空间安全学院可信分布式计算与服务教育部重点实验室北京100876 广州大学网络空间先进技术研究院广州510006 中国网络空间研究院北京100010 北京丁牛科技有限公司北京100081 丁牛信息安全科技(江苏)有限公司江苏南通226014 

基　　金：广东省重点领域研发计划项目(2019B010136003,2019B010137004) 国家自然科学基金(U20B2046) 国家重点研发计划(2019YFA0706404)资助 

出 版 物：《计算机学报》 (Chinese Journal of Computers)

年 卷 期：2022年第45卷第10期

页      码：2190-2206页

摘      要：高级持续性威胁(Advanced Persistent Threat,APT)是当前最为严重的网络安全威胁之一.DNS隐蔽信道(DNS Covert Channel,DCC)由于其泛在性、隐蔽性成为攻击者手中理想的秘密信息传输通道,受到诸多APT组织的青睐.人工智能赋能的DCC检测方法逐步流行,但APT攻击相关恶意样本获取难、活性低等原因造成训练数据不平衡问题明显,严重影响了模型的检测性能.同时,已有检测工作使用DCC工具流量及少数恶意样本来评估系统,测试集覆盖范围有限,无法对系统进行全面、有效的评估.针对上述问题,本文基于攻击战术、技术和程序(Tactics,Techniques,and Procedures,TTPs)设计DCC流量生成框架并生成完备度可控的、覆盖大样本空间的、大数据量的恶意流量数据集.基于本研究生成的数据集,训练可解释性较强的机器学习模型,提出基于攻击流量自生成的DCC检测系统——DCCHunter.本研究收集了8个DCC恶意软件流量样本,复现了已被APT组织恶意运用的3个DCC工具产生流量,基于上述真实恶意样本评估系统对其未知的、真实的DCC攻击的检测能力.结果发现,系统对DCC的召回率可达99.80%,对数以亿计流量的误报率为0.29%.

主 题 词：DNS隐蔽信道检测 数据不平衡 攻击流量自生成 恶意软件 未知样本 

学科分类：12[管理学] 1201[管理学-管理科学与工程类] 08[工学] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.11897/SP.J.1016.2022.02190

馆 藏 号：203115024...