DNS隧道流量檢測特征分析研究

丁 嶠，劉俊延，劉林云，楊璐銘

(1.陸軍工程大學石家莊校區 裝備模擬訓練中心，河北 石家莊 050003；2.國防科技大學 計算機學院，湖南 長沙 410003)

0 引言

域名系統(Domain Name System，DNS)[1]是Internet上使用的一種重要協議和服務，DNS最常見的用途是將域名映射到IP地址。由于DNS特有的分層系統，域的所有者可以為其域定義權威服務器，這意味著它們可以控制向其域進行DNS查詢的主機。DNS隧道對攻擊者很有吸引力，被廣泛用于傳輸竊取的信息，因為大多數防火墻不會阻止DNS報文，只要被攻擊者的網絡需要進行域名解析服務，DNS隧道就可以實現，IDS也不會因此觸發警報。近年來，出現了很多開源的DNS隧道工具，如iodine[2]，dns2tcp[3]和DNScat2[4]等。在2012年RSA會議上Ed Skoudis明確指出，基于DNS隧道流量攻擊是6種最危險的新型網絡攻擊之一，攻擊者已在網絡盜竊、網絡勒索領域使用了這種技術。許多DNS隧道實用程序并不試圖隱藏，因為DNS隧道流量通常沒有被有效監控。針對各類殺毒軟件、IDS等安全策略對DNS隧道流量難以有效監控的現象，眾多學者開始研究DNS隧道流量檢測技術。現今，DNS隧道流量檢測具體可劃分為載荷分析和流量分析兩大類[5]。雖然研究者已經提出了許多方法來確定DNS隧道，但仍有一些問題值得進一步關注。基于載荷的檢測需要大量不同類別統計特征來保證檢測的精度，但檢測時間較長，減少類別統計特征又會出現較高的誤報率。基于流量檢測通常關注DNS流量變化情況，但忽視了DNS報文的波動亦有可能是由Query Flood等攻擊引起的，因此DNS隧道往往會犧牲一定的傳輸效率來規避針對DNS流量的檢測。

機器學習技術已被成功應用到語音識別、圖像識別等領域，并有很好的效果。但由于無法獲取到大數據量的異常樣本，目前在網絡安全行業能成功應用機器學習的案例較少。在DNS隧道檢測場景中，同樣存在異常樣本數據稀缺問題。針對當前基于載荷、基于流量的DNS隧道檢測誤報率高的問題，結合基于載荷、基于流量的特征提取方法，將特征提取維度擴展至一個完整的DNS會話，使得選取的特征更具備差異性，以此為基礎設計并實現了一個基于特征分析的DNS隧道流量檢測系統。系統首先采集不同的開源DNS隧道軟件產生的DNS隧道數據，并將采集的DNS隧道流量重組成DNS會話，進而對包含DNS隧道流量和正常DNS流量的數據集結合領域專家知識進行統計分析，詳細研究DNS協議報文字段，挖掘出可表征不同DNS隧道流量的特征。再使用多種機器學習模型進行學習訓練，結合機器學習評估指標選取最佳分類模型。最后對所選特征進一步篩選，找到可以區分不同DNS隧道流量的最小特征子集。

1 相關工作

DNS載荷分析主要針對DNS數據包中的數據進行分析。Butler等[6]把DNS報文的域名中label部分大于52個字符作為識別DNS隧道的特征之一。Born等[7]引入信息熵的概念來檢測DNS隧道域名字母的混亂程度。Qi等[8]用二元語法字頻來檢測DNS報文中域名字母頻率，發現正常的域名滿足Zipf定律而DNS隧道的域名遵循的是隨機分布。Bilge等[9]把檢測域名中最長有意義子串的百分比作為檢測惡意域名的重要特征之一，同時分析了DNS報文中的TTL屬性，異常的DNS流量TTL值通常比較小，并將此作為特征。DNS流量分析主要是檢測網絡中的DNS流量變化情況。章思宇等[10]發現隱蔽隧道通信中的DNS流在單位時間回答數據的總字節數與合法請求具有明顯的差異。Butler等[11]認為一定時間內IP地址、域名出現的數量可以作為DNS隧道流量的檢測標志。Skoudis[12]在2012年RSA會議上指出，DNS的地理位置也是與DNS隧道流量相關的指標，因為大量的DNS流量都是針對不相關的特定位置。但對于在全球缺乏分支機構的組織來說，這種方法可行性較低。羅友強[13]以第一個DNS報文到最后一個DNS報文的時間差作為一次DNS會話時長，并將DNS會話中的數據包總數作為DNS隧道的特征之一。通過引入機器學習方法，Allard等[14]提出了一種使用MLT檢測DNS隧道的方法,使用了2個分類器決策樹(DT)和隨機森林(RF)，通過對內部協議進行統計分析來訓練加密流,目的是識別DNS隧道流量中數據包的大小。Buczak等[15]研究了不同類型的DNS隧道流量特征組合，并使用射頻分類器進行比較，特征包括DNS請求包數量、連續響應時間間隔等。Aiello等[16]通過主成分分析(PCA)和互信息(MI)2種方法研究了DNS隧道的統計特征，目的是檢查預警的行為模式，以確定隧道流量特征，并將提取的特征與KNN分類器相結合。在存在DNS隧道的情況下，該方法在流量分析方面表現出了良好的性能。

2 DNS隧道流量檢測框架設計

2.1 系統設計目標

基于特征分析的DNS隧道流量檢測系統應能有效地檢測出隱藏在正常DNS流量中的DNS隧道流量。在特征分析中，特征提取的有效性和特征子集的優化是重要的2個方面。因此實驗從2個方面對DNS隧道流量檢測系統進行功能驗證，一方面驗證實驗提取的DNS流量特征能否有效反映DNS隧道流量特點，達到較好的分類效果；另一方面驗證最優特征子集的檢測效果。

2.2 系統架構設計

系統架構由5部分組成。第1個組件是嗅探器模塊，采用WinPcap抓取網絡流量底層數據包，并過濾DNS數據包。Windows系統為用戶提供了一個簡易且實用性較強的WinPcap體系結構，該結構分為3部分：一是驅動程序NPF，用于過濾流量包，是該系統的核心模塊；二是動態連接庫Packet.all，為Windows操作系統提供底層接口；三是獨立于系統之外的wpcap.all，提供符合Libpacp接口的更高層函數庫[17]。第2個組件是DNS會話重組模塊，需要對采集到的DNS流量進行會話重組。該模塊首先對DNS報文按照五元組進行分類，形成DNS會話，并利用哈希鏈表進行存儲。具體存儲方式為：如果新的DNS報文五元組信息在當前的哈希鏈表中有記錄，則把該報文鏈接至當前鏈表后；如果新的DNS報文五元組信息不在當前的哈希鏈表中，則需生成新的哈希鏈表。由于DNS會話沒有TCP會話中類似“四次握手”明顯結束標志，實驗規定5 min內如若沒有接收到新的報文，則DNS會話關閉。第3個組件是DNS特征提取模塊，將DNS會話轉換成特征表示。首先使用Joy軟件對DNS流量進行解析，Joy是一個分析流量數據工具，用于從實時網絡流量或pcap文件中提取數據特征，然后用Json表示這些數據特征。實驗在不同DNS報文字段選取了15個特征來表征一個DNS會話，每個特征的含義將在下文具體介紹。第4個組件是DNS機器學習模塊，對檢測模型進行訓練。在這一模塊需要根據評估指標對不同機器學習模型進行測試，篩選出適合本實驗的機器學習分類模型，并將標記的DNS隧道流量和正常DNS流量特征數據傳入作為機器學習模塊的輸入。第5個組件是特征篩選模塊，用于形成最優特征子集。該模塊根據實際檢測精度對特征進一步篩選，并將篩選出的新的特征子集再次傳入機器學習模塊，與全特征下模型檢測效果做對比。整體框架如圖1所示。

圖1 DNS隧道流量檢測框架

3 特征提取

為了確定反映隧道行為的DNS流量特征，對正常的DNS流量和已被判定為DNS隧道流量的共計10萬條數據在包特征、資源記錄特征、時間特征、域名特征和判決特征等5大類別進行統計對比，觀測各個特征下正常流量和隧道流量的分布情況。DNS隧道流量來自于開源的DNS隧道工具，如iodine，dns2tcp和dnscat2等。最終確定了15個特征作為DNS隧道流量識別特征，特征描述如表1所示。

表1 特征描述

3.1 包特征

3.1.1 DNS數據包總數

DNS隧道會話一般隨著隧道生命周期的結束而結束，在整個隧道生命周期內會向外發送心跳報文、傳輸敏感信息和資源文件[18]，所以在DNS隧道會話中DNS報文數量較大。而正常客戶端產生的DNS會話隨著一次DNS解析任務結束而結束。在隨機抽樣的1萬條DNS會話中，大多數正常的DNS會話中數據包的個數為2，由1個DNS請求報文和1個DNS響應報文組成。

3.1.2 請求包大小和方差

為了將私密數據安全傳輸到目的地，DNS隧道工具通常會將傳遞的信息以子域字符串的形式編碼，并利用子域名串和權威DNS服務器控制的高級域名構造查詢的域名。隧道應用會發出一個解析該域名的請求，權威DNS服務器將接收請求并通過對子域字符串進行解碼來獲取信息。較長的域名說明承載著更多的秘密信息，這就導致了隧道流量的請求報文大小和方差通常比正常DNS流量要大。

3.2 域名特征

DNS會話域名屬性是重要的隧道流量行為判別特征，因為無論隧道工具采用嵌入數據、通信加密(base64，base32編碼等)或者其他方式，隧道流量域名的長度、熵值、格式內容均會與正常DNS流量的域名信息有所不同。由于DNS隧道在工作時，會把隱蔽信息封裝在請求字段的域名中，為了追求傳輸效率，在傳輸過程中會盡可能多地攜帶私密信息，這就造成DNS隧道流量域名字段中子域名個數較多、域名長度均值較長。正常DNS流量域名通常是以完整單詞或者常用詞組構成，域名熵值較低。DNS隧道則一般會采用隨機字符編碼的方法增強隱蔽性，提升抗字符分析能力，這就使得DNS隧道流量域名的混亂程度較高。此外，在研究過程中發現，正常域名易讀性較好，子域名構成中數字、輔音字母較少。DNS隧道流量域名數字、輔音字母占比較高。選取包含正常DNS流量和隧道流量在內的1萬條DNS會話，觀測二者不同特征下域名特征對比情況。域名特征對比如表2所示。從表2可以看出，正常DNS流量和DNS隧道流量的子域名個數、子域名熵值、輔音頻率、數字頻率、長度均值存在顯著差異，將上述5個特征作為域名標識特征。

表2 域名特征對比

3.3 資源記錄特征

資源記錄類型為用戶提供與查詢的域名相關聯的特定類型的信息。有許多類型的標準資源記錄。在選用的DNS數據中，A記錄占比30%～35%，CNAME記錄占比30%～40%,NS記錄占比7%～10%，而像TXT，NS記錄占比則小于1%。統計結果表明，常見的記錄類型占正常DNS流量的大部分。相反，DNS隧道工具更喜歡使用不常見的記錄類型來封裝信息。資源記錄字段長度通常與選用的資源類型相關。選用是否為常用資源類型、資源記錄字段長度2個特征標識資源記錄的信息。

3.4 時間類特征

時間間隔是指單次DNS查詢報文和響應報文的間隔時間。正常的DNS流量查詢報文和響應報文的間隔時間較短，因為在訪問常見的域名地址時本地DNS服務器可以從本地緩存中迅速找到域名解析記錄。而若是訪問構造的域名信息，本地DNS服務器由于在本地緩存中找不到該域名的解析記錄，只能求助根域名服務器進行迭代查詢，致使DNS查詢報文和響應報文的間隔時間較長。在此過程中，域名解析記錄在DNS服務器上的“生存時間”就是TTL值，倘若在TTL值失效之前，本地DNS服務器再次收到對同一域名的解析請求，本地DNS服務器就會用已經緩存的記錄信息進行回應。有部分研究人員發現，通信雙方在使用DNS隧道進行通信時，為使DNS隧道時間延長以便于傳遞更多數據，攻擊者會設置較小的TTL值。因此，選用時間間隔和TTL的均值來表征時間類特征。

3.5 判決類特征

除了上述定義的特征，本文加入3個判決類特征進行輔助判別，分別為有效載荷部分是否加密、會話中的UDP報文是否有空隙、DNS頭部ID字段的值是否隨機。

DNS報文中除去DNS報文頭部還有3部分：查詢問題字段、回答、授權和額外信息字段的內容，這3部分內容共同構成了DNS會話報文的有效載荷[19]。DNS協議是一種明文傳輸協議。而DNS隧道流量在工作中通常將需要傳遞的隱蔽信息封裝在DNS報文的有效載荷中，并采用加密算法對隱蔽數據做加密處理，所以將DNS報文中有效載荷部分是否加密作為一個識別特征。

DNS協議通常使用UDP報文傳輸。由于DNS隧道采用中繼模式時，受控端會一直向DNS服務器發送心跳包保持連接，這通常導致DNS協議字段格式損壞，使報文完整性缺失，故將會話中的UDP報文是否有空隙作為一個識別特征。

DNS頭部ID是DNS報文的標識，對于請求和應答報文，此字段相同，通過它可以區分DNS應答報文是哪個請求的響應。對于正常的DNS流量，Transaction ID是隨機生成的，而對于DNS隧道流量，由于其數據包較多，每個報文的Transaction ID可能會呈現出一定規律性，因此將Transaction ID是否隨機作為識別特征。

4 實驗測試與分析

4.1 實驗環境搭建

DNS隧道流量檢測實驗環境如圖2所示。DNS隧道流量檢測系統安裝在防火墻的內部，通過交換機連接鏡像流量端口檢測隱藏在正常DNS流量中的DNS隧道流量。在實驗搭建的局域網測試環境中，15臺機器中有4臺安裝了DNS隧道流量，DNS隧道流量分別由dns2tcp，dnscat2，iodine，OzymanDNS四種隧道軟件搭建。實驗在會話重組模塊選取8 000個正常的DNS流量和2 000個DNS隧道流量會話作為訓練樣本，2 000個DNS隧道流量樣本中四種不同類型隧道軟件生成的流量各500個。

圖2 DNS隧道流量檢測實驗環境

4.2 分類模型比較

在機器學習模塊中實驗選取了Accuracy，Precision，Recall，F1-score，AUC等5個機器學習指標比較了NaviBayes，J48，Simple Logistic，KNN，MultilayerPerception(MLP)，XGboost 6種分類器的分類效果，并在時間復雜度上對6種分類器進行比較如圖3所示。流量的類別編號為0：normal，1：dns2tcp，2：dnscat2，3：iodine，4：OzymanDNS。

(a)不同模型準確率檢測

在總體識別精度和誤報率上，MLP，Simple Logistic，XGboost三種分類模型明顯更優，而在三者的時間復雜度上，XGboost相對更低。由于DNS隧道流量檢測系統需要兼顧檢測精度和時間，最終選用XGboost作為機器學習模塊的分類模型。

XGboost在檢測精度和時間復雜度上的優勢證明了此模型更適用于DNS隧道流量檢測。在檢測精度方面，XGboost對損失函數進行二階泰勒展開,并在代價函數里加入了正則項。正則項里包含了樹的葉子節點個數、每個葉子節點上輸出的權重得分的平方和。加入的正則項降低了模型的方差,防止過擬合，提升了模型的檢測精度與魯棒性；在時間復雜度方面,XGboost在訓練前預先對數據排序并保存為塊(Block)結構,在后面的迭代中重復地使用此結構，顯著減少了計算量。此外，在進行樹節點分裂時，Block結構可以將各個特征的增益計算過程并行展開，進一步降低了模型的時間復雜度。

4.3 特征篩選

為了驗證15個特征中是否存在冗余特征，以獲取最小特征子集表征DNS隧道流量檢測模型，實驗選用XGboost對每個特征進行重要性排序，XGboost根據結構分數的增益情況計算出選擇哪個特征作為分割點，而某個特征的重要性就是它在所有樹中出現的次數之和。特征重要性評分如圖4所示，在15個特征中，域名熵值、域名輔音頻率、域名長度均值、域名數字頻率、TTL均值、包總數、請求包大小、平均時間間隔擁有更強的重要性。

圖4 特征重要性評分

為了獲取最小特征子集，實驗首先設置了一個空集，以前向搜索的方式按照特征重要性程度依次往空集中加入新的特征，篩選的條件是分類精度始終維持在95%以上。圖5展示了分類精度與特征數量的相關性，可以直觀地看到當n=6時，分類精度首先滿足閾值要求，并隨著后續新的特征的加入，精度無明顯提升。對照特征重要性(圖4)，最小特征子集確定為域名熵值、域名輔音頻率、域名長度均值、域名數字頻率、TTL均值和包總數。

圖5 特征閾值篩選

實驗將選取的6特征的最小特征子集與全部15個特征在相同訓練集、測試集下進行分類效果對比。圖6、圖7分別為全特征(15特征)與最小特征子集(6特征)的分類模型混淆矩陣對比圖，可以看出分類效果下降并不明顯。

圖7 分類模型混淆矩陣(6特征)

實驗進一步觀測2個特征集合在完成DNS隧道流量檢測過程中時間復雜度對比情況。從圖8可以清晰地看出，最優特征子集檢測模型比全特征檢測模型在時間復雜度上有了顯著提升。

圖8 時間復雜度對比

5 結束語

為了更有效地識別DNS隧道攻擊，本文對DNS隧道流量檢測特征進行分析研究，找出能夠刻畫DNS隧道行為的特征。通過觀測正常流量與隧道流量的統計分布、擴展時間維度至一個完整的DNS會話等方法，實驗共提取出5大類共15個特征標記一條完整的DNS會話。以提取出的特征為基礎模型，設計并實現了DNS隧道流量檢測系統，實驗結果表明，該系統能夠有效地檢測出不同DNS隧道軟件下產生的隧道流量，且具有較小的誤報率和漏報率。通過特征篩選可以進一步降低特征子集的冗余度，發現最優特征子集，最優特征子集可以更好地平衡檢測精度和時間復雜度之間的關系。