基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

基于图注意力网络的DNS隐蔽信道检测

域名系统（Domain Name System,DNS）隐蔽信道在高级持续性威胁（Advanced Persistent Threat,APT）攻击中呈频发态势，对网络空间安全具有潜在威胁。文章提出基于域名语义表示（Domain Semantic Representation,DSR）和图注意力网络（Graph Attention Network,GAT）的DNS隐蔽信道检测方法 DSR-GAT，将域名级别的DNS隐蔽信道检测转化为一种无向图的节点分类任务。首先基于域名的相关性采用无向图构建域名图（Domain Graph,DG）；然后利用域名的文本数据属性，采用一维卷积神经网络提取的语义表示作为DG节点的特征表示；最后通过图注意力网络的消息传播机制及多头自注意力机制，增强每个域名的特征表示。在公开数据集与基于真实APT样本Glimpse的自建数据集上进行实验，实验结果表明，文章提出的DSR-GAT方法检测效果较好，在解决上述问题的同时降低了漏报率，在一定程度上减小了安全风险。