DoH隱蔽隧道檢測綜述

摘 要：域名系統（DNS）隧道是攻擊者通過明文DNS協議傳輸敏感信息的一種途徑，近年來備受關注。為解決DNS安全問題，互聯網工程任務組（IETF）于2018年提出了DNS-over-HTTPS（DoH）協議，通過加密DNS數據傳輸保護用戶隱私。然而，攻擊者巧妙地利用DoH將DNS隧道嵌入HTTPS中，使傳統檢測方法失效，導致多個領域受到攻擊事件的影響。文章對DoH隱蔽隧道檢測進行了全面的梳理，包括對DNS加密狀況、DoH隱蔽隧道檢測特征（流特征、TLS握手特征、統計特征）的詳細總結、數據集構建情況以及現有研究的分類。總結了當前存在的問題，如低通量、小樣本和新協議，后續研究中將著力于提升DoH隱蔽隧道檢測的全面性和魯棒性。

關鍵詞：DoH隱蔽隧道；數據泄露；檢測

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2096-4706（2024）15-0159-13

Survey of DoH Covert Tunnel Detection

LIU Xiaoyu

（China Mobile Communications Group Guizhou Co.，LTD， Guiyang 550081， China）

Abstract： Domain Name System （DNS） tunnel， as a channel for attackers to transmit sensitive information using plaintext DNS protocol， has attracted significant attention in recent years. To address the security concerns associated with DNS， the Internet Engineering Task Force （IETF） introduced the DNS-over-HTTPS （DoH） protocol in 2018. This protocol encrypts DNS data trans-mission， effectively safeguarding user privacy. However， attackers cleverly exploit the DoH protocol to conceal DNS tunnels within HTTPS， rendering traditional detection methods ineffective and leading to attacks across various domains. This paper comprehensively reviews the detection of DoH covert tunnels， covering aspects such as the state of DNS encryption， detailed summaries of DoH covert tunnel detection features （flow features， TLS handshake features， statistical features）， dataset construction， and the categorization of existing research. It summarizes the current issues such as low throughput， small sample size， and new protocols， future research will focus on improving the comprehensiveness and robustness of DoH covert tunnel detection.

Keywords： DoH covert tunnel; data exfiltration; detection

0 引 言

域名系統（DNS）協議將域名和IP相互映射，為用戶訪問網站提供便利，是互聯網較為重要的組成部分。由于DNS是明文協議，請求和響應中的域信息易被第三方獲取和監控，這導致DNS協議存在不少安全和隱私問題。同時防火墻等安全設施因DNS的必要性很少對其進行阻攔，這為攻擊者提供了可乘之機。攻擊者在竊取敏感信息或重要信息后，利用DNS來傳輸這些信息，也就是我們所熟知的DNS隱蔽隧道。

為了緩解DNS安全和隱私問題，互聯網工程任務組（IETF）在2018年設計了DNS-over-HTTPS （DoH）協議，通過HTTPS加密計算機和解析器之間的DNS數據，再進行傳輸。加密后的流量信息只對客戶端和DoH服務提供商可見，可有效防止用戶信息被第三方獲取和監控，但也為攻擊者通過加密的方式來隱藏DNS惡意活動提供便利。攻擊者利用DoH協議將DNS隧道封裝在HTTPS中，這使依賴于檢查DNS數據包的檢測方法無法正常發揮效用。有不少APT組織和惡意軟件利用DoH隱蔽隧道來回傳目標數據，而這些APT組織和惡意軟件導致的安全事件涉及多個領域，影響較大。比如2019年4月，360發現Godlua惡意軟件利用DoH加密方法與命令和控制（C&C）服務器自由建立通信[1]；2020年8月，卡巴斯基發現Oilrig （APT34）一直在使用DoH從被黑網絡中秘密竊取數據[2]；2022年3月，趨勢科技發現Cyclops Blink僵尸網絡使用DoH來解析C&C節點[3]。因此，在面對諸如此類的威脅時，對各種檢測技術進行全面而深入的理解就顯得尤為重要。

本文對DoH隱蔽隧道檢測進行了全面而深入的梳理總結。首先概述了DNS加密現狀，對現有的DNS加密協議做一介紹和比較。其次，從流特征、TLS握手特征和統計特征3個方面對DoH隱蔽隧道檢測特征進行了梳理。接著對DoH隱蔽隧道檢測研究所用數據集的相關情況進行介紹，包括數據集的收集環境和生成數據集的隧道工具。

在此基礎上，從檢測粒度、模型和特征這三個維度對現有的DoH隧道檢測研究進行分類。首先是檢測粒度維度，研究目標從在加密流量中精確識別DoH流量，到區分惡意DoH和正常DoH流量，再到在惡意DoH流量中識別生成加密DNS流量的惡意DNS隧道工具，檢測粒度越來越細。接著是模型維度，研究最初采用傳統機器學習模型，隨著深度學習的發展，越來越多的研究開始采用深度學習模型。最后是特征維度，研究最初只關注流特征，隨著研究的不斷深入，TLS握手特征也開始被越來越多的研究者所關注。

最后總結了當前研究所存在的問題并對未來進行了展望。當前研究主要存在低通量問題、小樣本問題和新協議問題。低通量問題是指攻擊者為了規避檢測有意控制數據傳輸的速率，即在特定時間內傳輸的數據量相對較小，在短時間窗口內難以檢測到隱蔽隧道的存在。小樣本問題是指DoH協議還不是主流的域名協議，獲取真實惡意DoH協議流量比較困難，在分析和研究中可能面臨數據不足的挑戰。新協議問題涉及不斷涌現的DNS加密協議。隨著互聯網技術的不斷發展，新的DNS加密協議層出不窮，其中一些協議可能會采用全新的加密手段，向傳統的檢測方法發起挑戰。這要求檢測技術能夠應對新協議的出現，以確保對不斷演變的DNS加密隱蔽隧道進行有效檢測。

1 DNS加密現狀

DNS協議是互聯網中必不可少的一項基礎協議，它在域名和IP之間構建映射的橋梁，為用戶訪問網站提供便利。但由于DNS協議在設計之初沒有考慮安全性和隱私性，它的明文特性和無認證機制誘發很多安全問題，如DNS脅持、信息泄露等。加密DNS協議正是解決這些問題的關鍵。目前主流的加密協議有DNS-over-HTTPS（DoH）、DNS-over-TLS（DoT）和DNS-over-QUIC（DoQ）。

1.1 DNS協議原理

DNS是域名系統的英文簡稱，本質上是一個分布式數據庫，在數據庫中將域名和IP地址作映射，提供域名轉換為IP地址的服務，具體解析步驟如圖1所示。

DNS解析過程主要分為兩個階段：遞歸查詢階段、迭代查詢階段。遞歸查詢是一個完整的查詢過程，解析器會一直詢問，直至得到最終的結果（或者達到查詢的超時限制）。通常，本地DNS服務器執行遞歸查詢。迭代查詢是一個分步的過程，服務器在每個步驟中都會提供一個部分的結果或指示。客戶端或本地DNS解析器需要根據這些部分的結果做出進一步的查詢決策。具體而言，在遞歸查詢階段，用戶向本地DNS服務器發送DNS請求，若本地DNS服務器上有相應的緩存記錄直接返回結果，反之則進入迭代查詢階段。在迭代查詢階段，本地DNS服務器根據用戶發送的DNS請求依次與DNS根服務器、DNS頂級服務器和DNS權威服務器進行交互獲得查詢結果，并將結果返回給用戶。

DNS查詢請求有多種類型，如表1所示。

1.2 DoT協議原理

為了解決DNS存在的安全問題和隱私問題，互聯網工程任務組（IETF）在2016年設計了DoT協議，具體解析步驟如圖2所示。

用戶向DNS服務器發起TLS握手請求，建立安全的傳輸層連接。在建立TLS連接后，用戶通過TLS向DNS本地服務器發送查詢請求，若本地DNS服務器上有相應的緩存記錄，直接返回結果，反之本地DNS服務器根據用戶發送的DNS請求依次與DNS根服務器、DNS頂級服務器和DNS權威服務器進行交互，獲得查詢結果，將DNS查詢結果加密并通過TLS連接返回給用戶。

1.3 DoH協議原理

互聯網工程任務組（IETF）于2018年設計了DoH協議，并通過發布RFC8484標準將其標準化。DoH同時使用HTTP和DNS兩種應用層協議，將DNS報文封裝到HTTPS消息中。DoH解析步驟如圖3所示。

在DoH中，主機發出的DNS查詢被本地DoH代理封裝在常規HTTPS流量中，并通過端口443轉發到支持DoH的DNS服務器（稱為“DoH解析器”）。充當DNS解析器的DoH服務器接收此請求后檢查DNS緩存，若DoH解析器上具有相應的緩存記錄，直接返回結果，反之則進入迭代查詢階段，并在執行DNS解析后做出響應。響應將返回HTTPS協議。一旦瀏覽器獲得IP地址，它就可以訪問Web服務器了。

1.4 DoQ協議原理

DoQ是一種通過QUIC協議實現的加密DNS方案，它是由IETF于2017年提出的并在2022年發布為正式標準。QUIC是由谷歌提出的基于UDP的傳輸層協議，它巧妙地整合了TCP和TLS協議的特性，通過UDP得以實現。QUIC協議的特點之一是它能夠顯著減少連接延遲。與傳統TCP協議的三次握手不同，QUIC協議能夠在一次握手中建立安全有效的連接。這種創新的設計使得DoQ能夠以更快的速度建立安全通信，同時提供了對傳輸層安全性的強化，以此確保DNS查詢的機密性和完整性。

借助DoQ，用戶能夠安全快速地進行DNS查詢，無須擔心通信安全問題。DoQ可強有力地抵御中間人的攻擊，強化了用戶隱私保護。在不穩定的網絡環境下，DoQ提供了額外的可靠性，確保DNS查詢結果的準確性和穩定性。綜合而言，DoQ通過其創新性的設計，為用戶提供更高效、更安全的DNS解決方案，大大提升了網絡安全水平和用戶體驗。DoQ的解析步驟如圖4所示。

用戶與DNS服務器之間建立QUIC連接。在建立QUIC連接后，用戶通過QUIC連接向DNS本地服務器發送查詢請求，若本地DNS服務器上有相應的緩存記錄，直接返回結果，反之本地DNS服務器根據用戶發送的DNS請求依次與DNS根服務器、DNS頂級服務器和DNS權威服務器進行交互，獲得查詢結果，將DNS查詢結果加密并通過QUIC連接返回給用戶。

1.5 DNS及相關加密協議比較

學者們為了解決DNS協議因明文和無認證機制帶來的安全問題，先后提出了多種加密DNS協議。這些加密DNS協議和DNS協議的異同如表2所示。

表2主要從以下幾個方面對相關協議進行比較：

1）傳輸協議。DNS作為互聯網基礎設施的核心組件，使用UDP進行傳輸。在信息傳遞過程中，由于UDP的無連接性和輕量級特性，DNS可以迅速地完成域名解析請求和響應。DoT引入了加密層，它在TCP上實現了TLS加密。這使得DNS查詢的傳輸變得更為安全，有效地抵御了潛在的中間人攻擊，確保了數據的機密性和完整性。DoH采用HTTP協議作為載體，在TLS的保護下完成DNS傳輸。這種設計使得DoH能夠通過常見的HTTPS端口（443）進行通信，同時還能夠借助瀏覽器的現有基礎設施為用戶提供更為安全的DNS服務。DoQ選擇使用QUIC協議作為傳輸層，以UDP為基礎，通過安全快速的連接進行DNS數據的傳輸。QUIC的設計旨在降低連接建立的延遲，并通過先進的加密機制提供強有力的安全保障。

2）安全性。傳統的DNS傳輸方式存在信息暴露的風險，而引入TLS和HTTPS等加密層的DoT、DoH和DoQ有效地加強了安全性。這種加密機制可阻止惡意方通過竊聽或篡改DNS流量的方式進行攻擊，為用戶提供更高級別的安全保障。

3）隱私保護。DoT、DoH和DoQ都注重用戶的隱私保護。通過加密傳輸，這些協議不僅能防止數據的被動監聽，還可避免敏感信LELgnPDsLZCebGRvLLJvz3uofw4QhCQAj4BrZ5uZxjw=息在傳輸過程中被惡意截取。這種隱私保護機制對于用戶在互聯網上的安全體驗至關重要，尤其是在公共網絡或不受信任的網絡中。

4）端口。不同的DNS傳輸方式使用不同的端口進行通信，這有助于網絡設備正確路由DNS流量。DNS默認使用端口53，DoT使用853，DoH使用443，DoQ使用784。這樣的端口設計有助于確保網絡中的設備正確區分和處理不同類型的DNS流量。

5）采用程度。傳統DNS廣泛應用于全球互聯網基礎設施，是網絡通信的重要組成部分。相較而言，DoT和DoH慢慢在網絡中得以采用，由于其提供的安全性和隱私保護，用戶和服務提供商對其認可度逐漸提高。DoQ目前仍處于實驗階段，預計未來隨著技術的不斷成熟和推廣其應用范圍將不斷擴大。

6）主要支持者。DoT主要由服務器和操作系統提供支持，典型的例子包括一些主流的DNS服務提供商和操作系統的最新版本。DoH得到現代瀏覽器和操作系統的廣泛支持，例如Firefox、Chrome和一些移動設備的最新版本。而DoQ目前仍處于實驗性支持階段，其主要支持者可能是一些早期采用QUIC協議的網絡設備和服務提供商。

7）加密層級。加密層級的設計反映了不同DNS傳輸方式對安全性的關注點。DoT在傳輸層提供加密，通過TLS保護DNS流量；DoH在應用層提供加密，借助HTTP和TLS的組合進行傳輸；DoQ在傳輸層提供加密，使用QUIC協議為DNS數據提供安全的傳輸通道。這種差異化的加密層級設計將不同的性能和安全需求考慮在內，以滿足用戶和網絡系統的多樣化需求，具體區別如圖5所示。

1.6 DoH隱蔽隧道原理

從上一小節可知，在多種加密DNS協議中，只有DoH協議采用的端口是443，與HTTPS協議使用的端口相同。與HTTPS協議共用一個端口讓DoH協議擁有更好的隱蔽性，故攻擊者多采用DoH協議來傳輸信息。攻擊者利用DoH將DNS隧道封裝在HTTPS之內，這使得依賴于檢查DNS數據包的檢測方法無法奏效。DoH隱蔽隧道的原理如圖6所示。

首先，攻擊者注冊一個域名并將其嵌入到惡意軟件中。惡意軟件讀取泄露的數據并逐行劃分。泄露數據的每一部分都被添加到DNS查詢中。惡意軟件定期向本地DoH代理發送DNS查詢，以將DNS查詢包裝在HTTPS中。本地DoH代理執行標準DoH流程來定位攻擊者的注冊域名并將DNS查詢定向到該服務器。當帶有泄露數據的DNS查詢到達時，攻擊者可以通過分析DNS查詢日志來提取所需的數據。然后攻擊者服務器發回DNS響應，對被控主機進行命令和控制。

2 DoH隱蔽隧道特征

DoH隱蔽隧道特征可分為三類：流特征，TLS握手特征和統計特征。這三大類特征的綜合分析為DoH隱蔽隧道的檢測和分析提供了全面而深入的視角。

2.1 流特征

流特征涵蓋有關數據包傳輸過程的重要信息。其中包括DoH數據包的長度、DoH請求和響應包之間的時間間隔，以及整個通信流的持續時間。通過分析這些流特征，我們能夠洞察DoH隱蔽隧道通信的模式和規律，例如是否存在異常的數據包大小或通信頻率，以及是否有持續時間異常的通信流。流特征的詳細內容如下：

1）基礎特征。五元組包括源IP地址、目的IP地址、源端口、目的端口和傳輸協議，這些可視為流的基礎特征。在流量收集階段可根據基礎特征識別DoH流量。此外，在流量識別階段，若IP地址是知名DoH服務器的IP地址，也可由此識別出DoH流量。

2）接收/發送字節大小。在DoH隱蔽隧道中，單個DoH報文所能攜帶的信息量有限，需要大量的DoH報文來傳輸數據，這將導致受控主機產生較多的DoH流量。因此若發現某個IP主機發送或接收較多的DoH流量，則可能存在DoH隱蔽隧道。

3）DoH數據包長度。在DoH隱蔽隧道中，攻擊者將要傳輸的數據封裝在DoH請求報文Queries字段的域名中，這使得DoH隱蔽隧道中的DoH數據包長度所在區間和正常的DoH數據包有所不同。

4）DoH請求響應包之間的時間間隔。主機發出的DoH請求多半能在本地DoH服務器中找到相應的緩存記錄，無須通過迭代查詢即能獲得最終結果。而在DoH隱蔽隧道中，由于是通過迭代查詢進行通信，受控主機發出的DoH請求一般不能在本地DoH服務器中找到相應的緩存記錄，只有經過迭代查詢才能獲得最終結果。因此和正常情況相比，DoH請求響應包之間的時間間隔會更久。

5）流持續時間。DoH隱蔽隧道需要和DoH服務器建立連接且需要經歷迭代查詢才能完成信息的傳遞，因此它的流持續時間比正常的DoH流量要長。

2.2 TLS握手特征

雖然DoH協議是加密協議，但它在TLS握手階段存在不少明文信息。在建立TLS連接的過程中，客戶端和服務器首先進行參數協商，其中包括支持的密碼套件和證書等，然后生成會話密鑰以對通信數據進行加密。這一過程被稱為“TLS握手”。握手的首要步驟是客戶端向服務器發送一個ClientHello消息，該消息以明文形式傳輸。ClientHello消息向服務器提供了客戶端支持的密碼套件和擴展的清單。密碼套件清單按照客戶端的優先順序排列，每個密碼套件定義一組密碼算法，例如ECDHE-ECDSA-AES128-GCM-SHA256。擴展提供了額外的信息，以便服務器支持擴展功能，例如extended_master_secret標識客戶端和服務器使用增強型主密鑰計算方式。TLS的密碼套件和擴展的多樣性使其擁有龐大的參數空間，不同的程序通常支持各自獨立的密碼套件和擴展。這樣可以基于ClientHello消息進行TLS指紋識別。針對DoH客戶端的TLS指紋稱為“DoH客戶端指紋”。

Zhan [4]等人通過實驗發現：不同編程語言實現的客戶端表現出截然不同的指紋特征，而同一客戶端在不同操作系統上運行時可能會呈現出多樣化的指紋。此外，即便是采用相同編程語言編寫的不同DoH客戶端，也可能因其實現方法的多樣性而呈現出迥然不同的指紋。因此，DoH客戶端指紋的獨特性為DoH隧道檢測提供一種簡單而高效的初步方法，比如建立基于TLS指紋的白名單機制。這是因為相較于普通的HTTPS連接，DoH連接通常是由有限數量的應用程序生成的（因為目前大多數應用程序尚未原生支持DoH）。絕大多數DoH連接可能由瀏覽器生成，而只有很少一部分DoH連接是由DoH代理生成的。在將瀏覽器和DoH代理的指紋添加到白名單后，如果連接的指紋不匹配白名單，那么該連接極有可能是惡意的。

然而，需要明確的是，盡管DoH指紋本身不能直接揭示DoH隧道的存在，但它們卻在實際應用中為防御者提供了有力的引導，指引防御者進行深入的調查。具體而言，DoH指紋是基于DoH連接的首個數據包而生成的，這為防御者提供了在實際數據傳輸之前就進行早期預警的機會。這一特性在網絡安全領域具有極高的價值，因為它允許防御系統在潛在的風險行為發生之前及時做出反應。

在實際操作中，為了確保指紋的準確性和實用性，需要不斷地收集和更新DoH指紋數據庫。這一過程不僅需要獲知新應用程序和版本的指紋，還需關注已有應用程序的可能更新，以確保數據庫的完備性。然而，從支持TLS的應用程序數量龐大這一角度來看，支持DoH的應用程序數量相對較少。這樣使DoH指紋數據庫的維護成本相對較低，因為更新的頻率相對較低且規模相對較小。

此外，已存在的與TLS指紋相關的工具鏈在DoH指紋的收集和分析中具有廣泛的適用性。這不僅減輕了新工具的開發成本，還提高了整個安全生態系統的運行效率。借助這些工具鏈，研究人員和安全專業人員可以更加高效地進行DoH指紋的管理和分析，從而更好地理解和應對新型的網絡威脅。

總體而言，基于TLS指紋的DoH隧道檢測方法雖然并非絕對完美，但其卻在網絡安全策略中充當著重要的角色。它為防御者提供了及時發現潛在風險的機制，并為進一步的安全措施提供了有力的支持。因此，對于網絡安全領域而言，持續投入精力維護DoH指紋數據庫以及充分利用已有的工具鏈，二者在確保網絡安全防線穩固方面都是不可或缺的步驟。

2.3 統計特征

為了更準確地描繪DoH隱蔽隧道的行為特征，對DoH數據包長度、DoH請求響應包之間的時間間隔、流持續時間等流特征進行二次處理，以提取相應的統計特征。

在這一過程中，對DoH數據包長度進行統計特征提取有助于深入理解數據包大小的分布和變化趨勢。通過分析數據包長度的中位數、眾數等，我們能夠把握DoH隱蔽隧道通信中的典型數據包大小，能夠判斷是否存在異常或異常變化。

同時，關注DoH請求響應包之間的時間間隔以及流的持續時間，也為我們做進一步的分析提供重要依據。通過對時間特征的二次處理，可以計算得到統計信息（如平均間隔時間、最大間隔時間等），有助于了解DoH隧道通信的時間模式和行為頻率。

這種二次處理和特征提取的方法不僅有助于簡化原始數據，還能夠揭示DoH隱蔽隧道中隱藏的信息，為進一步的分析和檢測提供了重要的依據。通過綜合分析數據包長度、時間間隔、流持續時間等方面的統計特征，我們能夠更加全面、更為深入地理解DoH隱蔽隧道的通信模式，從而更加高效地完成網絡安全領域的檢測和防御工作。統計特征的詳細內容如下：

1）平均值（Mean）。平均值是指一組數據所有數值的總和除以數據個數計算所得的結果。它是對數據集中各個值的平均集中趨勢的度量。平均值的計算方法是將所有數值相加，然后除以數據個數。

2）中位數（Median）。中位數是指將一組數據按大小排列后居于中間位置的值。如果數據集中的數據數量為奇數，那么中位數是中間的那個數；如果數據集中的數據數量為偶數，中位數是中間兩個數的平均值。中位數不受極端值（離群值）的影響，因此在描述數據集的中心位置時更具魯棒性。

3）眾數（Mode）。眾數是一組數據中出現頻率最高的值。一個數據集可以有一個眾數，多個眾數，也可以沒有眾數。眾數用于描述數據集的集中趨勢，尤其是在面對具有明顯峰值或集中趨勢的數據分布時，眾數就顯得尤為重要。

4）方差（Variance）。方差是用來衡量一組數據分散程度的統計量。它是每個數據值與平均值差的平方的平均值。方差越大表示數據的分散程度越高。

5）標準差（Standard Deviation）。標準差是方差的平方根，用于衡量一組數據的離散程度。標準差的單位與原始數據相同，因此相比方差更容易解釋和比較。

6）變異系數（Coefficient of Variation）。變異系數是指標準差與平均值之比，通常以百分比表示。它提供一種相對度量，可以用來比較不同單位或不同尺度下的變異程度。

7）相對于中位數的偏度（Skewness with Respect to Median）。偏度是指描述數據分布形狀的統計量，用于衡量數據分布的不對稱性。當偏度為正時，表示數據右偏，即數據尾部延伸到右側；當偏度為負時，表示數據左偏，即數據尾部延伸到左側。

8）相對于眾數的偏度（Skewness with respect to Mode）。這是一種特殊的偏度度量，其中數據的不對稱性是相對眾數而言的。這種度量方式兼顧了眾數的影響，使得在存在多個眾數或沒有眾數的情況下對數據分布的描述更為全面。

3 DoH數據集

DoH隱蔽隧道檢測離不開DoH數據集的支持。DoH數據集主要分為兩類，一類是公開數據集，另一類是通過使用DoH隱蔽隧道流量產生工具自行收集的私有數據集。下面對數據集的相關情況做一介紹，包括公開數據集概況、數據集收集環境和DoH隱蔽隧道流量產生工具。

3.1 公開數據集

研究人員最開始使用的是傳統未加密DNS的隧道工具，通過代理轉換為DoH，在實驗室環境下收集流量。這種數據集不包括已經具備DoH能力的惡意軟件樣本或泄漏工具的流量，代表數據集是CIRA-CIC-DoHBrw2020 [5]。隨著研究的不斷深入，研究人員開始使用具備DoH能力的泄漏工具進行更為真實的DoH隧道檢測場景數據收集，代表數據集是DoH-Tunnel-Traffic-HKD [6]。

CIRA-CIC-DoHBrw2020和DoH-Tunnel-Traffic-HKD都是用于研究和分析DoH隧道流量的公開數據集。CIRA-CIC-DoHBrw2020是由加拿大互聯網注冊管理機構（Canadian Internet Registration Authority， CIRA）和加拿大網絡安全創新中心（Canadian Institute for Cybersecurity， CIC）聯合開發的，被廣泛應用于DoH隧道檢測領域。這個數據集極具權威性，許多研究工作都是以該數據集為研究基礎。

DoH-Tunnel-Traffic-HKD可以視為對CIRA-CIC-DoHBrw2020的補充。它在搭建實驗環境時參考了CIRA-CIC-DoHBrw2020，收集了由Dnstt、Tcp-over-dns和Tuns生成的DoH隧道流量。通過使用Dohlyzer，它從生成的PCAP文件中提取了與CIRA-CIC-DoHBrw2020相同的統計流量特征。數據集的詳細情況可以在表3中找到，而提取的特征則列在表4中。

3.2 數據收集

研究人員對正常的網絡流量進行兩類采集：非DoH的加密流量和正常的DoH流量。在用戶使用HTTPS協議通過瀏覽器訪問Web服務器期間，研究人員可以收集非DoH的加密流量。而在用戶通過支持DoH的瀏覽器訪問Web服務器期間，研究人員則可以采集正常的DoH流量。針對惡意的DoH流量，研究人員主要關注DoH隱蔽隧道工具生成的流量。這類工具可以分為兩大類別：一類可以直接連接到DoH服務器，而另一類需要通過DoH代理中轉之后才能連接到DoH服務器。研究人員的采集流程將重點關注這些惡意DoH流量的探測和分析。具體的采集過程如圖7所示。

3.3 DoH隱蔽隧道流量產生工具

DoH隱蔽隧道流量產生工具主要分為兩類，一類是DNS隱蔽隧道工具，這類工具通過DoH代理將DNS流量轉變為DoH流量；而另一類是DoH隱蔽隧道工具，這類工具可以直接和DoH服務器相連產生DoH流量。不同工具的比較如表5所示。

3.3.1 DNS隱蔽隧道工具

DNS隱蔽隧道工具根據數據封裝的抽象層級分為兩類，IP over DNS隧道和TCP over DNS隧道。IP over DNS隧道將IP數據包封裝在DNS隧道中，代表工具有NSTX、DNSCat2、Iodine和TUNS等：

1）NSTX [7]是最早實現基于DNS的IP隧道的工具。為了將數據編碼到查詢請求里，NSTX采用了非標準的Base64編碼方法，這種編碼方法通過在DNS RFC規定的63個字符中添加字符“_”來實現。該隧道通過tun0接口建立，而回復則以TXT記錄的形式進行編碼。NSTX需要在外部網絡的C2服務器上運行，同時要求客戶端和服務器具備特殊的內核配置。

2）DNSCat [8]由服務器和客戶端組成，采用Java編寫而成。它是一個快速、高效且高度可配置的跨平臺工具。該隧道是通過ppp0接口創建的，回復中的數據被封裝在CNAME記錄中。相較于NSTX，DNSCat無須特殊的內核配置，使用起來更加靈活。

3）Iodine [9]使用Base32或非標準的Base64編碼來對數據進行編碼（可根據需要選擇）。回復則以NULL記錄的形式發送。此外，Iodine采用了EDNS0，這是一種DNS擴展，允許DNS數據包的長度超過最初在RFC 1035中提出的512字節。NSTX和Iodine都將IP數據包分割成多個DNS數據包并分別發送，然后在最終目標處重新組裝這些IP數據包，類似于IP分片的處理方式。

4）TUNS [10]專門在類UNIX系統（包括客戶端和服務器）上運行，將數據封裝在CNAME字段中。與NSTX和Iodine不同，TUNS不會將IP數據包分割成較小的DNS數據包。TUNS客戶端定期使用短查詢來輪詢惡意服務器，通過使用緩存來避免DNS服務器重復查詢。已經證明TUNS可以在各種網絡中運行。

TCP over DNS隧道將TCP數據包封裝在DNS隧道中，代表工具有Dns2TCP、OzyManDNS和Heyoka等：

1）Dns2TCP [11]包括服務器端和客戶端兩個部分。服務器端維護一個資源列表，每個資源都是一個本地或遠程服務，監聽TCP連接。客戶端監聽預定義的TCP端口，并通過DNS將每個傳入的連接中繼到最終服務。信息被封裝在TXT字段中。與IP-over-DNS工具不同，Dns2TCP的客戶端沒有定期的輪詢活動。

2）OzyManDNS [12]基于四個Perl腳本。其中兩個腳本允許用戶使用DNS上傳和下載文件。另外兩個腳本形成一個服務器客戶端對。服務器模擬DNS服務器，在端口53上監聽傳入的DNS請求。客戶端將輸入轉換為DNS請求，然后將請求發送到指定的域。這兩個腳本可以與SSH一起使用來創建隧道。用戶需要手動映射端口以通過生成的隧道來傳遞流量。這些腳本對應用程序來說是透明的。

3）Heyoka [13]使用二進制編碼和EDNS（0）提升了傳輸效率。此外，Heyoka可以將流量分散到多個域名服務器上，并偽裝網絡內其他主機的源地址。這樣，流量特征會在整個內部網絡中傳播，使得隧道端點更難以被發現。

3.3.2 DoH隱蔽隧道工具

DoH隱蔽隧道工具主要利用DoH協議進行數據泄露，它們一般可以和DoH服務器直連。同時為了適應不同的網絡環境，這些工具一般都支持DNS協議。

DNSExfiltrator [14]主要利用DNS協議進行隱蔽數據泄露。該工具采用的是客戶端/服務器（C/S）模式，其中服務端由Python實現（dnsexfiltrator.py），而客戶端則提供有C#源碼，通過csc.exe編譯為可在Windows上運行的可執行文件。此外，還提供了作者封裝為JavaScript和Powershell腳本的客戶端啟動選項。除了利用DNS協議進行隱蔽數據泄露之外，在使用h參數后，DNSExfiltrator可以使用Google或CloudFlare的DoH服務器執行DoH隱蔽隧道。卡巴斯基在2020年8月發現APT組織Oilrig （APT34）一直在使用DNSExfiltrator進行潛在的隱蔽數據泄露。

Dnstt [15]是一個功能強大的DoH隱蔽隧道工具，自身所擁有的多種特性使其在網絡通信中具有廣泛的適用性：首先，Dnstt支持多種解析器，其中包括DoH和DoT。這使得它能夠在通信過程中采用加密的方式提高數據傳輸的安全性。與此同時，Dnstt并不提供TUN/TAP網絡接口，也不提供SOCKS或HTTP代理接口。相反，它僅提供本地TCP套接字和遠程TCP套接字之間類似netcat的連接。這種設計使Dnstt更加靈活，用戶可以輕松自如地配置連接。此外，Dnstt的客戶端和服務器可以同時發送和接收數據，無須等待一個查詢得到響應后再發送下一個查詢。通過支持同時進行多個查詢，Dnstt進一步提升了性能。這對于需要高吞吐量和低延遲的應用場景尤為有益。最后，Dnstt采用噪聲協議對隧道進行端到端加密和身份驗證，與DoH/DoT加密分開。這有助于確保通信過程中的數據安全，保護數據免受竊聽和篡改。

godoh [16]是一個基于Golang編寫的概念驗證命令和控制框架，其獨特之處在于采用DoH作為其主要傳輸介質。這一框架不僅展示了對DoH的靈活使用，同時還支持傳統DNS，為用戶提供了更多的選擇。使用DoH的情況下，godoh能夠借助Google和Cloudflare等提供商的服務發起命令和進行控制。這意味著在通信過程中，數據可以通過加密的HTTPS通道進行傳輸，提高了通信的安全性和隱蔽性。同時，支持傳統DNS的特性使Godoh具有更大的靈活性，能夠適應不同的網絡環境和配置。

4 DoH隱蔽隧道檢測方法

如圖8所示，我們可以從檢測粒度、模型和特征三個維度對DoH隱蔽隧道檢測方法進行分類。

4.1 檢測粒度

檢測粒度在DoH隱蔽隧道檢測中發揮著重要作用，它決定了我們對網絡流量中DoH隧道進行檢測和識別時所關注細節的程度。目前的研究主要集中在三個不同的檢測粒度層面，以全面了解和識別DoH隱蔽隧道。

首先，最基本的粒度是在加密流量中精確識別DoH流量。Vekshin等人[17]著重于提高DoH的準確識別率。該研究從HTTPS擴展IP流數據中提取特征，采用五種機器學習方法進行評估，以找到最佳的DoH分類器。實驗結果表明，該方法的DoH識別準確率為99.9%以上，為識別DoH隱蔽隧道奠定了堅實的基礎。

其次，研究開始專注于區分惡意DoH和正常DoH流量。Montazerishatoori等人[5]提出一種新的兩層檢測架構，首先對DoH流量和非DoH流量進行分類，然后在第二層對正常DoH流量和惡意DoH流量進行更詳細的劃分。為了開展這項研究，研究人員捕獲了網絡中的良性DoH、惡性DoH和非DoH加密流量，并創建了一個標記數據集（CIRA-CIC-DoHBrw-2020）。這種兩層分類法有助于進一步提高檢測的精準性。

最后，研究人員在惡意DoH流量中識別生成加密DNS流量的惡意DoH隧道工具上傾注更多精力。Mitsuhashi等人[18]利用機器學習技術對DoH流量進行識別，并在識別惡意DoH隧道工具方面取得了顯著的成效，達到97.22%的準確率。這種細粒度的檢測有助于及時發現和阻止潛在的網絡威脅。

綜上所述，當前的DoH隱蔽隧道檢測研究從不同的粒度層面進行了深入的探討，從基礎DoH流量識別到更細致的區分，再到識別生成惡意DoH流量的惡意DNS隧道工具。這些研究為提高DoH隱蔽隧道檢測水平提供了理論依據和技術支撐。

4.2 模型分類

模型可分為基于機器學習的檢測方法和基于深度學習的檢測方法。

4.2.1 基于機器學習的檢測方法

在基于機器學習的檢測方面，Singh等人[19]使用各種機器學習分類器來檢測DoH環境中DNS級別的惡意活動。實驗是在公開數據集CIRA-CIC-DoHBrw-2020上進行的。實驗結果表明，隨機森林和梯度提升分類器是解決上述問題的絕佳選擇。Khodjaeva等人[20]提出了“流量熵”的概念，以加強流量統計特征，便于識別DOH隧道中的惡意行為。評估了5種機器學習分類器，使用這些特征來識別不同公開數據集中的惡意行為。評估結果表明，當前4個數據包的流量統計特征被熵增強時，決策樹分類器實現了99.7%的F1值。

以下幾項研究使用相同的數據集得出了類似的結果。Banadaki [21]的結果證實了LightGBM和XGBoost在準確性方面優于其他算法，達到了100%的準確率。Alenezi等[22]研究了所提出的機器學習方法能否對隧道工具進行分類。XGBoost和RF分類器的準確率超過了99%。Behnke等人[23]引入一種特征選擇方法，通過減少過擬合的方式來提高分類準確性。在準確性和訓練時間方面，LightGBM的表現更加突出。Mitsuhashi等人[6]提出一種檢測惡意DNS隧道的工具。在兩個數據集CIRA-CIC-DoHBrw-2020和DoH-Tunnel-Traffic-HKD上進行性能評估。結果證實，該系統使用LightGBM分類器檢測工具的準確率高達98.02%。

除了實現高準確性的DoH流量檢測外，研究人員還注重實現機器學習模型決策制定的透明性和可解釋性。Zebin等人[24]使用新穎的機器學習框架實施了可解釋的AI解決方案。使用公開可用的CIRA-CICDoHBrw-2020數據集來開發行之有效的解決方案，以檢測DoH攻擊并對其進行分類。其提出的平衡堆疊隨機森林在分類任務中實現了非常rYoaq7X3K6ZVqcVw8F2wtA==高的精度（99.91%）、召回率（99.92%）和F1分數（99.91%）。使用可解釋的AI方法和Shapley加法解釋（SHAP）值說明了個體特征對模型決策制定的影響。強調了潛在的特征貢獻，試圖從模型中找出透明和可解釋的結果。

4.2.2 基于深度學習的檢測方法

在基于深度學習的檢測方面，Huang等人[25]解決了通過評估多個機器學習模型來檢測惡意DoH流量的問題。他們優化了幾個模型的超參數，并在精度、準確性、召回率和F1分數方面進行了比較。他們得出的結論是，相較于KNN、1D卷積神經網絡（CNN）、2D CNN和長短時記憶（LSTM）模型，RF和DT模型的性能最佳。訓練和測試是在CIRA-CIC-DoHBrw-2020數據集上進行的。

Casanova等人[26]對公開數據集CIRA-CICDoHBrw-

2020進行了預處理（包括特征選擇和數據不平衡處理），以加強深度學習模型的泛化。在特征選擇時刪去了前六個特征，并采用重采樣的方式來處理數據不平衡的問題。開發了深度學習模型（包括LSTM模型和BiLSTM模型），模型在DoH流量分類上具有高精度的特點。雖然這兩種模型都取得了良好的性能，但BiLSTM模型在準確性和計算時間方面都比LSTM模型表現得更好，超過了99%。Ding等人[27]提出一種基于變分自編碼器的端到端異常檢測模型，該模型引入了注意力機制，使用基于雙向GRU的網絡來自動學習特征。在流級別對原始流序列數據進行建模并檢測DoH隱蔽隧道。Zou等人[28]使用了N-shot學習，他們的模型名為Depl，輸出用戶訪問的網站。Depl使用BiLSTM提取輸入數據的特征，包括數據包大小的序列。在封閉環境中，僅使用5個樣本就足以實現約86%的準確率，取得了顯著的成果。Al-Fawa'reh等人[29]將雙向循環神經網絡（RNNs）和統計方法相結合，在特定數據集上實現了非常好的準確性。

Nguyen等人[30]提出一種基于Transformer架構的兩層檢測方法，作為一種有效的DoH隧道檢測模型。第一層分隔DoH和HTTPS流量。第二層將合法的DoH流量和惡意的DoH流量區分開來。在此基礎上，實現了一個功能齊全的DoH隧道檢測解決方案，可以將其集成到企業網絡的安全操作系統。該系統是一個端到端的檢測系統，通過采集HTTPS流量跟蹤信息并進行存儲和分析，檢測惡意DoH流量，向網絡管理員發出告警。與傳統監督式機器學習方法相比，其主要優勢在于訓練需要較少的標記數據，相比于其他研究，訓練僅需約20%的標記數據，F1分數超過99%。相關文獻的全面總結如表6所示。

4.3 檢測特征

傳統機器學習方法在DoH隱蔽隧道檢測中通常依賴人工提取的特征。這些特征可以分為兩類：流特征和TLS握手特征。流特征是從DoH流量中提取的一組用來描述特定流的屬性或統計信息，如流量大小、請求頻率、域名長度等。大部分研究采用流特征作為檢測依據，因為它們能提供關于流量行為的重要信息。

然而，只有少數研究采用了TLS握手特征。其中，文獻[4]中提出一種用于檢測基于DoH的數據泄露的方法。研究人員將檢測分為兩個階段。在第一階段，他們測試了TLS數據并與DoH客戶端的指紋進行對比，對比后發現，DoH客戶端的指紋通常是唯一的。在第二階段，他們構建了基于流特征的分類器用以檢測DoH隧道，并測試了3個分類器（AdaBoosted DT、RF和LR），他們還研究了DNS服務器位置對檢測準確性的影響。該方法可以有效地檢測出基于DoH的數據泄露，為網絡安全提供保障。

盡管流特征在現有研究中被廣泛采用，但對TLS握手特征的研究還相對較少。將這兩類特征結合起來進行綜合分析，有助于更全面地檢測和阻止DoH隱蔽隧道的使用。特別是對TLS握手特征的深入研究，可以提供更多的信息來區分正常的DoH流量和潛在的隱蔽隧道流量，從而提高檢測的準確性和可靠性。

5 存在問題

盡管對檢測DoH隱蔽隧道的研究已經取得了一些進展，但卻依然面臨一些尚未解決的問題。首先，低通量的隱蔽傳輸使得檢測更加困難，因為傳輸量小容易混淆于正常的網絡流量中。其次，由于實際流量難以獲取且使用情況存在多樣性，現有研究往往基于小樣本數據，這樣就限制了檢測方法的普適性。此外，通信協議和前沿技術的不斷涌現，也給DoH隱蔽隧道檢測帶來了挑戰，需要不斷地更新和優化檢測方法以適應新協議的變化。這些問題的存在影響了對隱蔽傳輸威脅靈活應對、有力反擊的能力。未來的研究致力于解決這些挑戰，以提高對DoH隱蔽隧道的有效檢測。

5.1 低通量問題

DoH隱蔽隧道的檢測涉及高通量和低通量兩種不同的場景。高通量隱蔽隧道在短時間內傳輸大量數據，使得在較短的時間窗口內對其進行檢測相對容易。相反，低通量隱蔽隧道則以長時間低頻率的方式傳輸數據，其較強的隱蔽性使檢測人員在短時間內難以實現有效檢測。目前，已有的檢測方法主要側重于高通量的場景，而隨著先進持續性威脅（APT）攻擊的興起，越來越多的攻擊者開始采用低通量隱蔽隧道來實現數據泄漏。

高通量隱蔽隧道通常在短時間內迅速傳輸大量數據，因此在檢測時可以重點關注瞬時的數據流量。然而，低通量隱蔽隧道的特點在于其在較長時間內低頻率傳輸數據，這意味著流量行為相對隱蔽，難以在短時間內觀察到顯著的變化。攻擊者可以通過控制數據回傳頻率和大小的方式，使流量行為特征不那么明顯，從而增加DoH隱蔽隧道的檢測難度。

由于低通量隱蔽隧道不易被察覺，使其成為一些高級威脅行為的優選載體。攻擊者能夠更為巧妙地規避網絡安全防護，逃避傳統檢測方法。因此，隨著DoH隱蔽隧道的廣泛使用，研究和探索更加智能和靈活的檢測方法對于有效應對低通量隱蔽隧道攻擊至關重要。

5.2 小樣本問題

DoH小樣本問題是指在研究和檢測DoH隱蔽隧道時，由于實際惡意流量難以獲取導致使用的樣本數據規模相對較小，從而無法準確反映網絡環境中的實際情況。這一問題影響了DoH隱蔽隧道檢測方法的普適性和可靠性，因為狹窄的樣本數據可能無法涵蓋所有潛在的變化和威脅。

首先，由文獻[35-36]可知，DoH作為一種新興的加密DNS協議，其應用正在全球范圍內不斷擴大。然而，由于DoH相對較新，實際惡意流量難以全面獲取，相關的樣本數據相對有限。狹小的樣本空間可能無法捕捉到在真實網絡環境中存在的各種使用情境和變化。

其次，DoH隱蔽隧道的使用方式和行為多種多樣，攻擊者可以采取不同的策略來規避檢測系統。這意味著對DoH隱蔽隧道的研究和檢測需要兼顧各種不同的攻擊場景和模式。如果研究所依賴的樣本數據集過小，就難以涵蓋這種多樣性，導致檢測方法存在局限性。

此外，小樣本問題也影響了對DoH隱蔽隧道行為模式和特征的充分理解。在小樣本情況下，可能會錯過一些潛在的關鍵特征，從而使所開發的檢測方法在真實場景中的適用性受到限制。這可能導致檢測方法在面對未知的攻擊變體時表現不佳，因為這些變體可能在有限的樣本數據中未有涉及。

5.3 新協議問題

隨著互聯網技術的不斷發展，新興的DNS加密協議不斷涌現，其中最近出現的DoQ協議為加密DNS方案帶來新的挑戰。DoQ是一種通過QUIC協議實現的加密DNS方案，QUIC是由谷歌提出的基于UDP的傳輸層協議，巧妙地整合了TCP和TLS協議的特性，并通過UDP實現。DoQ的出現使DoH隱蔽隧道檢測面臨更為嚴峻的考驗。

QUIC協議設計的獨到之處是顯著減少了連接延遲。相較于傳統TCP協議的三次握手，QUIC協議能夠在一次握手中建立安全有效的連接。這種獨有的設計使DoQ協議能夠以更快的速度建立安全通信，提供了對傳輸層安全性的強化，確保DNS查詢的機密性和完整性。這對于保護用戶隱私，防范中間人攻擊，以及提高不可靠網絡環境中的安全性都具有重要意義。然而，DoQ協議的出現也引發一系列新的問題，特別是在DoH隱蔽隧道檢測方面。具體表現如下：

1）DoQ協議的快速連接可能會使傳統的檢測方法失效，因為它不再遵循傳統TCP協議的握手過程。這就增加了檢測的難度，要求安全專家和研究人員重新評估和調整他們的檢測方法。

2）QUIC協議的特性使DoQ協議的流量更難以被傳統網絡監控和審查工具檢測到。QUIC通過單個連接實現多路復用，將多個流量合并在一個連接中，這種復雜性增加了檢測系統對流量行為的解析難度。攻擊者可以充分利用這些特性，更巧妙地偽裝DoQ協議的流量，進一步提高了檢測的難度。

3）此前的DNS加密方案大都采用TLS1.2協議，而DoQ協議采用TLS1.3協議。相較于TLS1.2協議，TLS1.3協議進行了充分的優化和簡化。在TLS1.3中，握手階段的改進主要包括更強大的密鑰協商方式、更簡化的記錄層協議更改，以及支持0-RTT模式等。這些改進提升了協議的性能和安全性，但同時也增加了對外部觀察者進行指紋采集的難度。這也對檢測提出了更高一級的挑戰。

6 結 論

DoH協議解決了DNS協議因明文傳輸和無認證機制帶來的安全隱私問題，但DoH協議的加密性和由此帶來的對第三方監管的不透明性，使其成為攻擊者傳輸敏感信息的可乘之機。

本文深入調研了DoH隱蔽隧道檢測領域，對DNS加密的現狀進行了總結，并詳細介紹和比較了現有的DNS加密協議。對DoH隱蔽隧道檢測的特征（流特征、TLS握手特征和統計特征）進行了梳理。對本研究所采用的DoH隱蔽隧道檢測數據集（數據集的收集環境和生成數據集的隧道工具）進行了介紹。

在此基礎上，對現有DoH隧道檢測研究進行了分類，具體從檢測粒度、模型和特征這三個維度進行了詳細的分析。在檢測粒度方面，研究從在加密流量中精確識別DoH流量，到區分惡意DoH和正常DoH流量，再到在惡意DoH流量中識別生成加密DNS流量的惡意DNS隧道工具，呈現出逐漸細化的趨勢。在模型使用方面，初期采用傳統機器學習模型，后來逐漸轉向采用深度學習模型進行研究。在特征方面，研究最初關注流特征，但隨著研究的不斷深入，TLS握手特征逐漸成為研究者關注的焦點。

最后，總結了當前DoH隱蔽隧道檢測存在的問題，并對未來進行了展望。當前存在的問題包括低通量、小樣本和新協議等問題。低通量問題涉及攻擊者為了繞過檢測，故意控制數據傳輸速率導致隱蔽隧道中數據傳輸量較少，使檢測人員難以在短時間內檢測到隱蔽隧道。小樣本問題則涉及難以獲取真實惡意DoH流量導致樣本數量有限，使相關研究可能面臨數據量不足的挑戰。新協議問題涉及不斷涌現的DNS加密協議，要求檢測技術能夠快速應對新協議的出現，以確保對不斷演變的DNS加密隱蔽隧道進行有效檢測。可以預見，這三個問題也是未來研究的主要方向。

參考文獻：

[1] TURING A，YE G S. Godlua Backdoor Analysis Report [EB/OL].（2019-07-01）.https：//blog.netlab.360.com/an-analysis-of-godlua-backdoor/.

[2] CIMPANU C. Iranian Hacker Group Becomes First Known APT to Weaponize DNS-over-HTTPS （DoH） [EB/OL].（2020-08-04）.https：//www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/.

[3] HACQUEBORD F，HILT S，MERCES F. Cyclops Blink Sets Sights on Asus Routers [EB/OL].[2023-11-15].https：//www.trendmicro.com/en_us/research/22/c/cyclops-blink-sets-sights-on-asus-routers--.html.

[4] ZHAN M Q，LI Y，YU G X，et al. Detecting DNS over HTTPS Based Data Exfiltration [J/OL].Computer Network，2022，209[2023-11-05].https：//doi.org/10.1016/j.comnet.2022.108919.

[5] MONTAZERISHATOORI M，DAVIDSON L，KAUR G，et al. Detection of DoH Tunnels Using Time-series Classification of Encrypted Traffic [C]//2020 IEEE Intl Conf on Dependable， Autonomic and Secure Computing， Intl Conf on Pervasive Intelligence and Computing， Intl Conf on Cloud and Big Data Computing， Intl Conf on Cyber Science and Technology Congress.Calgary：IEEE，2020：63-70.

[6] MITSUHASHI R，JIN Y，IIDA K，et al. Malicious DNS Tunnel Tool Recognition using Persistent DoH Traffic Analysis [J].IEEE Transactions on Network and Service Management，2023，20（2）：2086-2095.

[7] SOURCEFORGE.NSTX [EB/OL].[2023-11-20].http：//nstx.sourceforge.net/.

[8] Github.avitex/rust-DNSCat [EB/OL].[2023-11-15].https：//github.com/avitex/rust-dnscat.

[9] Iodine [EB/OL].（2023-04-17）.[2023-11-05].http：//code.kryo.se/iodine/.

[10] Inussbaum/tuns [EB/OL].[2023-11-15].https：//github.com/lnussbaum/tuns.

[11] DNS2TCP [EB/OL].[2023-11-12].http：//www.hsc.fr/ressources/outils/dns2tcp/index.html.en.

[12] janprunk/ozymandns [EB/OL].[2023-11-10].https：//github.com/janprunk/ozymandns.

[13] xant/heyoka-unix [EB/OL].[2023-11-12].https：//github.com/xant/heyoka-unix/blob/master/src/master.c.

[14] ArnoOx/DNSExfiltrator [EB/OL].[2023-11-15].https：//github.com/Arno0x/DNSExfiltrator.

[15] Mygod/dnstt [EB/OL].[2023-11-09].https：//github.com/Mygod/dnstt.

[16] sensepost/godoh [EB/OL].[2023-11-07].https：//github.com/sensepost/godoh.

[17] VEKSHIN D，HYNEK K，CEJKA T. DoH Insight： Detecting DNS over HTTPS by Machine Learning [C]//Proceedings of the 15th International Conference on Availability， Reliability and Security （ARES '20）.Ireland：Association for Computing Machinery，2020：1-8.

[18] MITSUHASHI R，SATOH A，JIN Y，et al. Identifying Malicious DNS Tunnel Tools from DoH Traffic Using Hierarchical Machine Learning Classification [C]//24th International Conference. [S.I.]：Springer，2021：238-256.

[19] SINGH S K，ROY P K. Detecting Malicious DNS over HTTPS Traffic Using Machine Learning [C]//2020 International Conference on Innovation and Intelligence for Informatics， Computing and Technologies （3ICT）.Sakheer：IEEE，2020：1-6.

[20] KHODJAEVA Y，ZINCIR-HEYWOOD N. Network Flow Entropy for Identifying Malicious Behaviours in DNS Tunnels [C]//Proceedings of the 16th International Conference on Availability， Reliability and Security.Vienna：Association for Computing Machinery，2021：1-7.

[21] BANADAKI Y M. Detecting Malicious DNS over HTTPS Traffic in Domain Name System Using Machine Learning Classifiers [J].Journal of Computer Sciences and Applications，2020，8（2）：46-55.

[22] ALENEZI R，LUDWIG S A. Classifying DNS Tunneling Tools for Malicious DoH Traffic [C]//2021 IEEE Symposium Series on Computational Intelligence （SSCI）. Orlando：IEEE，2021：1-9.

[23] BEHNKE M，BRINER N，CULLEN D，et al. Feature Engineering and Machine Learning Model Comparison for Malicious Activity Detection in the DNS-over-HTTPS Protocol [J].IEEE Access，2021，9：129902-129916.

[24] ZEBIN T，REZVY S，LUO Y. An explainable AI-based Intrusion Detection System for DNS over HTTPS （DoH） Attacks [J].IEEE Transactions on Information Forensics and Security，2022，17：2339-2349.

[25] HUANG Q，CHANG D L，LI Z. A Comprehensive Study of DNS-over-HTTPS Downgrade Attack [C]//10th USENIX Workshop on Free and Open Communications on the Internet （FOCI 20）.[S.I.s.n.]，2020：1-8.

[26] CASANOVA L F G，LIN P C. Generalized Classification of DNS over HTTPS Traffic with Deep Learning [C]//2021 Asia-Pacific Signal and Information Processing Association Annual Summit and Conference （APSIPA ASC）.Tokyo：IEEE，2021：1903-1907.

[27] DING S，ZHANG D Q，GE J G，et al. Encrypt DNS Traffic： Automated Feature Learning Method for Detecting DNS Tunnels [C]//2021 IEEE Intl Conf on Parallel & Distributed Processing with Applications， Big Data & Cloud Computing， Sustainable Computing & Communications， Social Computing & Networking （ISPA/BDCloud/SocialCom/SustainCom）. New York City：IEEE，2021：352-359.

[28] ZOU F T，MENG D C，GAO W T，et al. DePL： Detecting Privacy Leakage in DNS-over-HTTPS Traffic [C]//2021 IEEE 20th International Conference on Trust， Security and Privacy in Computing and Communications （TrustCom）. Shenyang：IEEE，2021：577-586.

[29] AL-FAWA’REH M，ASHI Z，JAFAR M T. Detecting Malicious DNS Queries over Encrypted Tunnels Using Statistical Analysis and Bi-directional Recurrent Neural Networks [J].Karbala International Journal of Modern Science，2021，7（4）：268-280.

[30] NGUYEN T A，PARK M. DoH Tunneling Detection System for Enterprise Network Using Deep Learning Technique [J].Applied Sciences，2022，12（5）：2416.

[31] WU J T，ZHU Y J，LI B Y，et al. Peek Inside the Encrypted World： Autoencoder-based Detection of DoH Resolvers [C]//2021 IEEE 20th International Conference on Trust， Security and Privacy in Computing and Communications （TrustCom）. Shenyang：IEEE，2021：783-790.

[32] CSIKOR L，SINGH H，KANG M S，et al. Privacy of DNS-over-HTTPS： Requiem for a Dream？[C]//2021 IEEE European Symposium on Security and Privacy （EuroS&P） .Vienna：IEEE，2021：252-271.

[33] KWAN C，JANISZEWSKI P，QIU S，et al. Exploring Simple Detection Techniques for DNS-over-HTTPS Tunnels [C]//Proceedings of the ACM SIGCOMM 2021 Workshop on Free and Open Communications on the Internet. [S.I.]：ACM，2021：37-42.

[34] MOURE-GARRIDO M，CAMPO C，GARCIA-RUBIO C. Real Time Detection of Malicious DoH Traffic Using Statistical Analysis [J].Computer Networks，2023，234：109910.

[35] GARCíA S，HYNEK K，VEKSHIN D，et al. Large Scale Measurement on the Adoption of Encrypted DNS [J/OL].arXiv：2107.04436v1[cs.CR].[2023-12-15].https：//arxiv.org/abs/2107.04436.

[36] DECCIO C，DAVIS J. DNS Privacy in Practice and Preparation [C]//Proceedings of the 15th International Conference on Emerging Networking Experiments And Technologies. [S.I.]：ACM，2019：138-143.

作者簡介：劉曉宇（1993—），男，漢族，貴州貴陽人，博士研究生在讀，研究方向：隱蔽隧道檢測。