基于cnn检测 DNS 隧道

DNS协议是一种明文传输协议，DNS隧道木马出于提高通信内容隐蔽性的需要，往往会对通信数据进行加密，因此把加密的DNS数据作为可疑的DNS隧道木马通信的一个特征。为了提高特征工程速度，我们可以使用信息熵作为是否存在加密的衡量标准。

根据安全知识，正常DNS查询中的subdomain的编写规范通常符合RFC规范，以字母开始以字母或数字结尾，中间可以出现格式包括：小写字母 a-z，大写字母A-Z,数字0-9，以及分隔符’-‘共63种字符。在DNS隧道中，通常会对传输数据做加密处理（如base64、base32、base128、RAW等）,并且会大量使用63种字符集以外的字符。安全专家会将这种编写规范性作为鉴别依据，进一步使用熵去度量subdomain的编写规范性并在已经构建的数据集(正负样本均30万条左右)做统计分析结果如下图所示，图中分别展示了使用unigram、trigram、bigram做单元切分后熵值计算的均值和方差，从图可知正常DNS的subdomain熵均值相比于DNS隧道subdomain熵均值要低很多。