公开(公告)号：CN113438137A

公开(公告)日：2021-09-24

申请号：CN202111000021.X

申请日：2021-08-30

Applicant: 南京信息工程大学 ,  南京理工大学

Inventor： 白惠文 ,  刘光杰 ,  翟江涛 ,  刘伟伟 ,  王桢云

IPC: H04L12/26 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明公开了一种DNS隧道内复杂协议行为识别方法，该方法包括：首先识别DNS隧道流量，针对DNS隧道流量，提取DNS数据包中的查询和应答数据并生成长度序列，提取识别DNS隧道内不同协议行为的统计特征并生成特征向量，基于该特征向量识别DNS隧道内部的HTTP协议、邮件协议、SSH协议、FTP协议等常用协议及行为；对于对隧道内部多种协议混合使用的情况，进一步提取估计DNS隧道内部混合协议数据包比例的统计特征并生成特征向量，并基于该特征向量建立回归模型，估计DNS隧道内部混合协议情况下的各协议数据包占比。本发明用以实现DNS隧道流量的细粒度分析。

公开(公告)号：CN113438137B

公开(公告)日：2021-11-30

申请号：CN202111000021.X

申请日：2021-08-30

Applicant: 南京信息工程大学 ,  南京理工大学

Inventor： 白惠文 ,  刘光杰 ,  翟江涛 ,  刘伟伟 ,  王桢云

IPC: H04L12/26 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明公开了一种DNS隧道内复杂协议行为识别方法，该方法包括：首先识别DNS隧道流量，针对DNS隧道流量，提取DNS数据包中的查询和应答数据并生成长度序列，提取识别DNS隧道内不同协议行为的统计特征并生成特征向量，基于该特征向量识别DNS隧道内部的HTTP协议、邮件协议、SSH协议、FTP协议等常用协议及行为；对于对隧道内部多种协议混合使用的情况，进一步提取估计DNS隧道内部混合协议数据包比例的统计特征并生成特征向量，并基于该特征向量建立回归模型，估计DNS隧道内部混合协议情况下的各协议数据包占比。本发明用以实现DNS隧道流量的细粒度分析。