基于自動編碼器的DNS隧道自動特征學習檢測方法

1.簡介

本文提出了一種基于自編碼器的DNS隧道特征自動學習檢測方法，并命名為TDAE，該方法使用自動編碼器來學習不同數據集的潛在表示。作者使用該方法在一個有標簽的數據集和一個公共的無標簽數據集進行了實驗驗證，結果表明在標記數據集上的召回率可以超過0.9834，在無標簽數據集上的召回率可以超過0.9313。

本文主要有3個方面的貢獻：

• 使用一種基于自動編碼器的半監督特征學習方法進行隱蔽隧道檢測
• 使用TDAE能夠自動學習正常流量特征間語義相似性
• 檢測方法使用未標記的數據，無需手動提取特征，可以大大減少數據預處理所需的時間

2.方法

作者利用深度學習算法，在數據處理方面，首先解析正常的DNS請求并將其轉換為十進制形式；然后將轉換后的數據放入自動編碼器中進行訓練；在測試階段，將正常DNS查詢與DNS隧道通信混合使用。該方法的框架如圖所示。

自動編碼器（AE）的工作流程如下圖所示。

算法如下圖所示。

3.實驗

作者采用2種數據集去分析自動編碼器，一種是使用dns-grind工具訪問Alexa網站前20000域名產生的流量；另一種是一個公開的DNS流量數據集(https://data.mendeley.com/datasets/zh3wnddzxy/2)。在2種數據集中，隨機選取80%作為訓練集，20%作為測試集。使用的DNS隧道流量由dns2tcp, dnscapy, dnscat2, ozymandns,and iodine5種工具產生。作者使用提出的方法與現有的3種方法進行了對比測試，得到結果如下圖所示。

4.總結

本文提出了一種基于半監督學習的DNS隧道檢測方法。該方法通過神經網絡學習正常DNS流量的特征，實驗結果表明，該方法能夠自動學習到校園網正常流量特征之間語義相似性。但也存在2個方面的不足：

• 在現實世界中，DNS隧道通信量比正常通信量小得多，正常通信量與DNS隧道通信量的比例會有很大差異。
• 通過自動提取的特征不包含時間相關變量，該方法無法檢測在時間編碼的隱蔽通道。