引言
近年来,AI技术持续应用在网络安全领域,通过数据学习总结,提高对潜在威胁的检测能力,不断强化现有安全产品。
在此背景下,迪普科技深度使用AI技术赋能产品及解决方案,迪普科技先知威胁感知大数据平台以“大数据+AI”智能分析技术为核心,构建高效精准的安全检测分析模型,针对常见APT网络攻击、加密流量恶意行为、异常流量识别、综合态势评估等方面构建了大量的AI安全检测模型。
●
●
DNS隐蔽隧道工作机理
DNS隧道指直接将要传递的数据,或其他协议的协议数据单元通过DNS报文进行传输。大多数安全防护设备对DNS流量是默认放行的,攻击者利用这一漏洞来偷运数据,并且建立一个非常难以限制的隐蔽命令控制信道。
传统检测方式一般利用基于规则的静态阈值,存在不灵活、误报率高、易被绕过的问题,随着AI技术的发展,AI赋能安全检测的研究逐渐进入大众视野,因此迪普科技提出了AI检测技术的DNS隧道检测方案。
基于应用的DNS隧道检测框架图
迪普科技应用实践
迪普科技网络安全威胁感知大数据平台使用AI技术构建了DNS隐蔽隧道检测模型。
检测模型搭建
通过搭建专网,在该网的多个端系统中部署运行隐蔽隧道通信工具以产生流量,同时采集日常DNS协议流量作为正常样本。数据对象为query and response,根据五元组和会话标识确定,累计采集144万样本对象。
|
特征分类 |
描述 |
|
时间间隔 |
DNS隐蔽隧道通信每次请求报文域名都会有变动,不会命中本地缓存,因此间隔上与正常流量会存在差异。 |
|
通信报文 |
为最大效率使用宽带传输信息,请求/响应报文较长。通信过程中控制端向被控端发送少量的控制命令,被控端需要回传大量的本机敏感资源文件数据。 |
|
请求域名 |
每一级域名长度为63,域名总长度不超过253,DNS隧道通信将发送信息采用加密处理封装在子域名部分,可读性差,不符合Zipf定律,会大量使用63种规范字符集外的字符。 |
|
请求类型 |
DNS隧道倾向使用提供更大带宽的请求类型,如iodine建议用户使用NULL,PRIVATE,ESNS0等;dns2tcp默认是TXT。 |
接下来使用小样本选择合适的算法。算法选型需从准确率、可解释性、训练速度几个维度考虑,Gradient Boosting分类器在各指标上均有优越表现。
Gradient Boosting分类器通过构建和结合多个简单的决策树来集成强学习器从而解决问题。其中,所有的树都是串联的,每棵树都试图最小化前一棵树的误差,根据前一棵决策树的误差获得一个新的弱学习器,这种串联结构极大提升了模型的准确性。
我们在100万的训练数据(其中隧道样本为19万)上训练模型,发生1个误判和5个漏判,且模型在44万测试集上依旧表现优异。
为测试训练模型的泛化能力,在日常通信中使用Iodine、Dns2tcp、Tuns等隧道工具,采集到447万条数据对象(其中15万为DNS隧道流量),发生2个误判,准确率接近100%。
|
|
混淆阵列 |
预测类别 |
|
|
正常DNS报文 |
DNS隧道 |
||
|
通信 报文 |
正常DNS报文 |
4327025 |
2 |
|
DNS隧道 |
0 |
150868 |
|
目前先知威胁感知大数据平台的AI识别引擎实时检测网络中的DNS流量,并将识别到的隧道流量同步显示。
实际效果测试
在2022年2月23日监测到208.XX.XX.46短期内发生大量的DNS请求,进一步查看可以发现请求类型均为TXT,请求内容均为*.tnt-tunnel.com形式,为使用隧道工具导致。
AI赋能安全展望
在网络安全攻防技术不断升级、网络安全建设要求不断加强的背景下,AI技术必将是未来网络安全防御不可或缺的一环。迪普科技未来也将持续加大在AI安全检测、安全分析等领域的技术投入,推动AI与网络安全技术两者不断融合、优化、提升,将AI安全由“单场景”向“全局化”演进,使得未来的网络安全技术手段更为简单、智能、安全。
原文始发于微信公众号(迪普科技):AI技术应用实践——DNS隐蔽隧道检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论