一种两阶段的混合式DNS隧道检测方法研究.pdf

目录

摘要III

ABSTRACTV

第一章绪论1

1.1研究背景1

1.2国内外研究现状2

1.2.1基于规则的DNS隧道检测方案2

1.2.2基于机器学习的DNS隧道检测方案4

1.2.3总结7

1.3研究内容7

1.4论文结构8

1.5本章小结8

第二章相关理论和技术9

2.1DNS结构和工作流程9

2.1.1DNS结构9

2.1.2DNS工作流程10

2.2DNS隧道11

2.3DNS隧道工具12

2.3.1dnscat212

2.3.2iodine12

2.3.3dns2tcp13

2.3.4OzymanDNS13

2.3.5dnscapy13

2.3.6Reverse_DNS_Shell14

2.4机器学习概述14

2.4.1支持向量机14

2.4.2逻辑回归15

2.4.3决策树15

2.4.4随机森林16

2.4.5孤立森林17

2.4.6多层感知机18

2.4.7卷积神经网络19

2.4.8长短期记忆网络20

2.5本章小结20

第三章DNS隧道数据集22

3.1构建原因22

3.2DNS隧道流量数据集构建22

3.2.1构造流量文件22

3.2.2扩展流量样本24

3.2.3数据的去签名化与混合25

3.3DTT数据集的评价26

3.3.1DTT数据集的规模26

3.3.2DTT数据集的有效性26

3.3.3与其他数据集的规模比较26

3.4本章小结27

第四章一种两阶段检测方案28

4.1规则集的构造29

4.2特征抽取31

4.2.1初选特征及其简介31

4.2.2模型检测特征选取34

4.2.3对特征的消融实验37

4.3二阶段检测模型选择39

4.4本章小结44

第五章DNS隧道检测实验45

5.1测量指标45

5.2对比实验及结果分析45

5.3消融实验及结果分析49

第六章总结与展望52

6.1总结52

6.2展望52

致谢54

参考文献55

附录Ⅰ静态规则中所用符号及其含义59

附录Ⅱ符号列表60

攻读硕士学位期间主要研究成果62

贵州师范大学学位论文原创性声明63

贵州师范大学学位论文使用授权书63

摘要

域名系统(DomainNameSystem,DNS)作为将IP地址和域名互相转换的系统，

是互联网中的重要基础协议之一。由于DNS在互