买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：华能信息技术有限公司;中国华能集团有限公司北京招标分公司

摘要：本发明涉及网络流量监测技术领域，公开了一种隐蔽网络通道检测方法，包括：建立缓存服务器，监控预设时间段内的DNS流量；基于过滤模型对DNS流量进行黑白域名分析，确定白域名、灰域名和黑域名；阻止黑域名DNS数据，对灰域名DNS数据进行深度分析，判断灰域名DNS数据是否有异常行为，当有异常行为时，阻止有异常行为的灰域名DNS数据；对灰域名DNS数据进行深度分析，判断灰域名DNS数据是否有异常行为，包括：获取灰域名DNS数据的DNS报文；对DNS报文进行分类细化提取各基本特征信息；将各基本特征信息输入隐蔽通道检测模型中，对基本特征信息进行深度分析，确定是否有隐藏信息。本发明解决了隐蔽网络通道检测的效率低，准确率低的问题。

主权项：1.一种隐蔽网络通道检测方法，其特征在于，包括：建立缓存服务器，监控预设时间段内的DNS流量；基于过滤模型对所述DNS流量进行黑白域名分析，确定白域名、灰域名和黑域名；阻止所述黑域名DNS数据，对所述灰域名DNS数据进行深度分析，判断所述灰域名DNS数据是否有异常行为，当有异常行为时，阻止有异常行为的灰域名DNS数据；对所述灰域名DNS数据进行深度分析，判断所述灰域名DNS数据是否有异常行为，包括：获取所述灰域名DNS数据的DNS报文；对所述DNS报文进行分类细化提取各基本特征信息；将各所述基本特征信息输入隐蔽通道检测模型中，对所述基本特征信息进行深度分析，确定是否有隐藏信息；所述过滤模型包括静态过滤模型和动态过滤模型；建立初始静态过滤模型包括定义输入层和输出层，选取域名长度、数字比例、数字字母交换比例、元音辅音个数及比例、域名类型和非相邻字母作为输入变量，输入维数m=6；以白域名、灰域名和黑域名作为输出变量，输出维数n=3；选择隐层数和隐层单元数，采用单隐层，并根据删除法确定隐层节点数为7；建立初始动态过滤模型包括定义输入层和输出层，选取域名指向环回地址、IP地址、域名解析时长、DNS解析请求包的大小和心跳域名作为输入变量，输入维数m=5；以白域名、灰域名和黑域名作为输出变量，输出维数n=3；选择隐层数和隐层单元数，采用单隐层，并根据删除法确定隐层节点数为6；所述隐蔽通道检测模型的建立，包括：步骤S1，收集具有隐藏信息的DNS报文的历史数据，建立历史数据库；步骤S2，对具有隐藏信息的DNS报文进行编码分析，确定具有隐藏信息的DNS报文的隐藏信息编码方式及规律；步骤S3，基于隐蔽信息的编码方式及规律建立隐蔽通道检测模型；将各所述基本特征信息输入隐蔽通道检测模型中，对所述基本特征信息进行深度分析，确定是否有隐藏信息，包括：将各所述基本特征信息输入隐蔽通道检测模型中，确定所述基本特征信息的编码是否具有隐藏信息的编码方式及规律，当检测到所述基本特征信息的编码具有隐藏信息的编码方式及规律时，确定所述灰域名DNS数据有隐藏信息；所述DNS报文包括基础结构部分、问题部分、资源记录部分；基本特征信息包括未使用的IP头字段、IP头扩展与填充段、IP标志段。

全文数据：

权利要求：

百度查询： 华能信息技术有限公司 中国华能集团有限公司北京招标分公司 一种隐蔽网络通道检测方法