申请/专利权人：西安电子科技大学

申请日：2022-03-28

公开（公告）日：2024-03-19

公开（公告）号：CN114793170B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/16;G06F18/2415;G06F18/243;G06N3/0442;G06N3/0464;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.03.19#授权;2022.08.12#实质审查的生效;2022.07.26#公开

摘要：本发明属于网络安全技术领域，公开了一种基于开集识别DNS隧道检测方法、系统、设备及终端，将捕获到的DNS数据包进行解析；使用神经网络对DNS查询子域名进行特征提取；数据空间的界限划分，对输入的DNS查询域名特征向量分别构建划分森林，使用极值理论对分类边界进行校准；使用概率估计方法计算测试样本属于包括未知类别在内的所有类别的概率；根据最大的概率将测试样本标识分类标签，当测试样本属于已知类别的概率均小于阈值ε时，将该样本识别为未知类别。本发明将开集识别技术应用于DNS隧道检测有望解决对于未知类别隐蔽隧道的判断难题，开集识别作为应对现实世界中面临的开放类别分类的解决方法。

主权项：1.一种基于开集识别DNS隧道检测方法，其特征在于，在将DNS数据预处理后，使用深度学习网络对数据进行特征向量表示，使用开集识别算法对得到的特征向量空间进行分割变换以明确已知空间与未知空间的界限，最后通过概率评估输出识别结果；所述方法进一步包括：将捕获到的DNS数据包进行解析；使用神经网络对DNS查询子域名进行特征提取；数据空间的界限划分，对输入的DNS查询域名特征向量分别构建划分森林，使用极值理论对分类边界进行校准；使用概率估计方法计算测试样本属于包括未知类别在内的所有类别的概率；根据最大的概率将测试样本标识分类标签，当测试样本属于已知类别的概率均小于阈值ε时，将样本识别为未知类别；所述基于开集识别DNS隧道检测方法包括以下步骤：第一步，将捕获到的DNS数据包进行解析，将字符转换为整数型数值；第二步，使用神经网络对DNS查询子域名进行特征提取，采用CNN和LSTM及不同组合方式对DNS查询域名进行特征向量表示，进行网络训练，以经训练后的网络倒数第二层所在空间为特征空间；第三步，完成数据空间的界限划分，对输入的DNS查询域名特征向量分别构建划分森林，计算每个类别的平均路径长度作为类别中心，使用极值理论对分类边界进行校准；第四步，基于测试样本和每个已知类别之间的相似性，使用概率估计方法来计算测试样本属于包括未知类别在内的所有类别的概率；第五步，根据最大的概率将测试样本标识分类标签，当测试样本属于已知类别的概率均小于阈值ε时，将样本识别为未知类别；所述第三步包括：使用应用于开集识别的极限森林对得到的特征向量空间进行分割变换，使划分出的每个类别界限包含最小距离边界；第三步的训练分类器：1根据所有的已知类别数据，对于每个类别进行子采样，随机选取一个特征作为起始节点，在特征的取值范围内随机选取一个值，将ψ个样本分为两部分，小于值的样本分为左分支，大于值的样本分为右分支；在左右分支里重复这个二叉划分，直到满足以下条件：树达到了限制的高度；节点上只有一个样本；节点上的样本所有特征都相同；根据样本数据容量迭代重复划分过程，将生成的划分树组成二叉树森林；2计算每个类别的平均路径长度，样本个数ψ，平均路径长度等同于二叉排序树查找不成功的平均查找长度： 3计算每个类别中训练样本的路径长度向量lx，并计算与平均路径长度的距离dix＝lix-Ciψ，得到距离特征集合Lx；4使用极值理论确定每个类别的分类界限，极值模型描述异常高或异常低值数据的分布，对右偏斜数据、左偏斜数据或对称数据建模；使用Weibull分布分别对Dx进行拟合，划分已知类别界限： 其中β，λ和κ分别是位置、比例和形状参数；概率预测具体包括：分别计算待测样本属于每个类别的概率，通过概率间接计算拒绝概率；对于待测样本x，通过Weibull分布计算属于某个已知类别i分布的概率分数计算方法公式： 路径向量Lx是待测样本x与每个已知类别平均距离长度的差值，结合公式对路径向量进行转换以应用到经极值模型校准后的类别划分，每个类别概率分数计算方法公式： 在得到测试样本属于已知类别的概率后，计算未知类别的拒绝概率通过逆Weibull分布1-Wi得到，待测样本x属于未知类别的概率分数为： 其中，N+1表示未知类别；基于得到的N+1个概率值，将待测样本识别为最大概率值所在的类别；通过设置阈值ε进一步限制开放空间风险：若计算得出最大的概率值Pmax＜ε，将样本作为未知类拒绝。

全文数据：

权利要求：

百度查询： 西安电子科技大学 基于开集识别DNS隧道检测方法、系统、设备及终端

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD