借助机器学习,揪出利用DNS隐蔽隧道作恶黑手

基于机器学习的方法则通过学习历史数据特征，准确识别未知流量是否为DNS隐蔽隧道，同时具有较低的误报率和高召回率。

近年来检测到的低吞吐量泄露恶意软件使用的互联网域名购买、注册和操作完全是为了他们的网络运动。对于需要用户提供和配置Internet域的DNS隧道工具来说也是如此。因此，拒绝这些域的请求相当于在不影响正常网络运行的情况下停止数据泄漏。

攻击者通过控制NS服务器，建立DNS隧道，实现敏感信息盗窃、文件传输、控制指令回传、Shell反弹等目的。传统基于规则的DNS隧道检测方法误报率高，易于绕过，而机器学习技术可从历史数据中学习DNS隧道模式，提供更有效的检测方法。机器学习在网络安全领域的应用较少，受限于异常样本数据的稀缺性。