文献类型：期刊文章

作　　者：刁嘉文[1] 方滨兴[1,2] 田志宏[2] 王忠儒[3] 宋首友[1,4,5] 王田[1] 崔翔[2]

DIAO Jia-Wen;FANG Bin-Xing;TIAN Zhi-Hong;WANG Zhong-Ru;SONG Shou-You;WANG Tian;CUI Xiang(Key Laboratory of Trustworthy Distributed Computing and Service(Beijing University of Posts and Telecommunications),Ministry of Education,Beijing 100876;Cyberspace Institute of Advanced Technology,Guangzhou University,Guangzhou 510006;Chinese Academy of Cyberspace Studies,Beijing 100010;Beijing DigApis Technology Co.,Ltd,Beijing 100081;DigApis Information Security Technology(Jiangsu)Co.,Ltd,Nantong,Jiangsu 226014)

机构地区：[1]北京邮电大学网络空间安全学院可信分布式计算与服务教育部重点实验室,北京100876 [2]广州大学网络空间先进技术研究院,广州510006 [3]中国网络空间研究院,北京100010 [4]北京丁牛科技有限公司,北京100081 [5]丁牛信息安全科技(江苏)有限公司,江苏南通226014

出　　处：《计算机学报》

基　　金：广东省重点领域研发计划项目(2019B010136003,2019B010137004);国家自然科学基金(U20B2046);国家重点研发计划(2019YFA0706404)资助.

年　　份：2022

卷　　号：45

期　　号：10

起止页码：2190-2206

语　　种：中文

收录情况：BDHX、BDHX2020、CAS、CSCD、CSCD2021_2022、EAPJ、EI、IC、JST、MR、RCCSE、SCOPUS、ZGKJHX、核心刊

摘　　要：高级持续性威胁(Advanced Persistent Threat,APT)是当前最为严重的网络安全威胁之一.DNS隐蔽信道(DNS Covert Channel,DCC)由于其泛在性、隐蔽性成为攻击者手中理想的秘密信息传输通道,受到诸多APT组织的青睐.人工智能赋能的DCC检测方法逐步流行,但APT攻击相关恶意样本获取难、活性低等原因造成训练数据不平衡问题明显,严重影响了模型的检测性能.同时,已有检测工作使用DCC工具流量及少数恶意样本来评估系统,测试集覆盖范围有限,无法对系统进行全面、有效的评估.针对上述问题,本文基于攻击战术、技术和程序(Tactics,Techniques,and Procedures,TTPs)设计DCC流量生成框架并生成完备度可控的、覆盖大样本空间的、大数据量的恶意流量数据集.基于本研究生成的数据集,训练可解释性较强的机器学习模型,提出基于攻击流量自生成的DCC检测系统——DCCHunter.本研究收集了8个DCC恶意软件流量样本,复现了已被APT组织恶意运用的3个DCC工具产生流量,基于上述真实恶意样本评估系统对其未知的、真实的DCC攻击的检测能力.结果发现,系统对DCC的召回率可达99.80%,对数以亿计流量的误报率为0.29%.

关 键 词：DNS隐蔽信道检测  数据不平衡  攻击流量自生成  恶意软件 未知样本  

分 类 号：TP393]