DNS隐蔽信道检测方法、装置、设备及存储介质与流程

dns隐蔽信道检测方法、装置、设备及存储介质
技术领域
1.本发明涉及网络安全技术领域，尤其涉及一种dns隐蔽信道检测方法、 装置、设备及存储介质。


背景技术：

2.企业网络经常面临网络攻击者窃取有价值和敏感数据的威胁。复杂的攻 击者越来越多地利用dns通道来泄露数据，以及维护恶意软件的隧道c&c (命令和控制)通信。这是因为dns对于几乎所有应用程序来说都是如此重 要的服务，从本地计算机到internet的任何通信(不包括基于静态ip的通信) 都依赖于dns服务，限制dns通信可能会导致合法远程服务的断开，因此， 企业防火墙通常配置为允许udp端口53(由dns使用)上的所有数据包， 即dns流量通常允许通过企业防火墙而无需深度检查或状态维护。从攻击者 的角度来看，这使得dns协议成为数据泄露地隐蔽通信通道。针对dns隐 蔽信道业界也提出了很多dns隐蔽信道识别方法，发现利用dns协议的数 据窃取及通信行为。
3.现有技术一：专利cn110855632 a提出了一种报文检测方法，通过获取 待检测dns报文对应的请求域名，并去除请求域名中的注册域名，得到待处 理域名，通过提取待检测dns报文的至少两个报文特征，其中，该至少两个 报文特征包括待处理域名的域名特征，根据该至少两个报文特征和预先训练 的报文检测模型，可得到该待检测dns报文是否属于dns隐蔽信道报文的 检测结果。
4.现有技术二：专利cn109309673 a提供一种基于神经网络的dns隐蔽信 道检测方法，将深度学习应用在dns隐蔽信道检测的技术领域，提高了现有 的dns隐蔽信道检测方法的准确率、降低了现有的dns隐蔽信道检测方法 的误报率，将数值特征和字符特征结合使用，降低了模型训练时间，提高准 确率，将可疑域名用whois查询，根据规则自动判断域名是否合法，将与神经 网络预测结果不符的域名重新训练神经网络，形成循环，持续改善神经网络。
5.现有技术三：专利cn102624706 a提出了一种dns隐蔽信道的检测方 法，包括超长域名筛选步骤、dns查询请求解析步骤、统计计数步骤和数据 处理步骤，其中超长域名筛选步骤筛选出查询域名超长的dns查询请求消 息，dns查询请求解析步骤解析并提取出域名超长的dns查询请求消息的 发送客户端ip和查询域名中的纯域名并对其计数统计，计数结果超过告警阈 值的记录认为是存在隐蔽信道，读取完统计表中的记录后。
6.上述三种现有技术方案均是针对大带宽dns隐蔽信道，没有充分考虑到 低带宽dns隐蔽信道，并且针对大带宽实时隐蔽信道的检测效率与准确性均 较低。
7.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是 现有技术。


技术实现要素：

8.本发明的主要目的在于提供一种dns隐蔽信道检测方法、装置、设备及 存储介质，
旨在解决现有技术检测效率与准确性均较低，并且没有考虑到低 带宽dns隐蔽信道的技术问题。
9.为实现上述目的，本发明提供了一种dns隐蔽信道检测方法，所述dns 隐蔽信道检测方法包括以下步骤：
10.在接收到dns隐蔽信道检测请求时，根据所述dns隐蔽信道检测请求 对dns日志中的流量数据进行分组，获得目标dns分组；
11.从所述目标dns分组中提取出滑动窗口特征和dns流量特征；
12.根据所述滑动窗口特征和所述dns流量特征构建信道特征图像；
13.对所述信道特征图像进行图像识别，获得dns隐蔽信道检测结果。
14.可选地，所述根据所述dns隐蔽信道检测请求对dns日志中的流量数 据进行分组，获得目标dns分组，包括：
15.根据所述dns隐蔽信道检测请求对dns日志中的原始流量数据进行预 处理，获得目标流量数据；
16.通过预设滑动窗口基于主域名对所述目标流量数据进行分组，获得目标 dns分组。
17.可选地，所述根据所述滑动窗口特征和所述dns流量特征构建信道特征 图像，包括：
18.根据所述滑动窗口特征和所述dns流量特征确定目标灰度特征；
19.将所述目标灰度特征转化为目标特征矩阵；
20.根据所述目标特征矩阵构建信道特征图像。
21.可选地，所述根据所述滑动窗口特征和所述dns流量特征确定目标灰度 特征，包括：
22.对所述滑动窗口特征进行灰度转化，获得滑动窗口灰度特征；
23.对所述dns流量特征进行灰度转化，获得dns流量灰度特征；
24.将所述滑动窗口灰度特征和所述dns流量灰度特征作为目标灰度特征。
25.可选地，所述对所述滑动窗口特征进行灰度转化，获得滑动窗口灰度特 征，包括：
26.从所述滑动窗口特征中提取出滑动窗口尺寸和采集频率；
27.按照预设灰度值对所述滑动窗口尺寸和所述采集频率进行调整；
28.将调整后的滑动窗口尺寸和调整后的采集频率作为滑动窗口灰度特征。
29.可选地，所述对所述dns流量特征进行灰度转化，获得dns流量灰度 特征，包括：
30.从所述dns流量特征中提取出解析行为特征和域名特征；
31.按照预设灰度值对所述解析行为特征对应的特征取值范围进行调整，以 及按照预设灰度值对所述域名特征对应的域名长度、域名有效期以及语义特 征取值范围进行调整，获得调整后的解析行为特征和调整后的域名特征；
32.将所述调整后的解析行为特征和所述调整后的域名特征作为dns流量灰 度特征。
33.可选地，所述对所述信道特征图像进行图像识别，获得dns隐蔽信道检 测结果，包括：
34.将所述隐蔽信道特征图像输入至预设神经网络模型；
35.通过所述预设神经网络模型对应的目标检测器提取所述隐蔽信道特征图 像对应
的目标图像特征；
36.根据所述目标图像特征得到dns隐蔽信道检测结果。
37.此外，为实现上述目的，本发明还提出一种dns隐蔽信道检测装置，所 述dns隐蔽信道检测装置包括：
38.分组模块，用于在接收到dns隐蔽信道检测请求时，根据所述dns隐 蔽信道检测请求对dns日志中的流量数据进行分组，获得目标dns分组；
39.提取模块，用于从所述目标dns分组中提取出滑动窗口特征和dns流 量特征；
40.构建模块，用于根据所述滑动窗口特征和所述dns流量特征构建信道特 征图像；
41.识别模块，用于对所述信道特征图像进行图像识别，获得dns隐蔽信道 检测结果。
42.此外，为实现上述目的，本发明还提出一种dns隐蔽信道检测设备，所 述dns隐蔽信道检测设备包括：存储器、处理器及存储在所述存储器上并可 在所述处理器上运行的dns隐蔽信道检测程序，所述dns隐蔽信道检测程 序配置为实现如上文所述的dns隐蔽信道检测方法。
43.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上 存储有dns隐蔽信道检测程序，所述dns隐蔽信道检测程序被处理器执行 时实现如上文所述的dns隐蔽信道检测方法。
44.本发明在接收到dns隐蔽信道检测请求时，根据所述dns隐蔽信道检 测请求对dns日志中的流量数据进行分组，获得目标dns分组；从所述目 标dns分组中提取出滑动窗口特征和dns流量特征；根据所述滑动窗口特 征和所述dns流量特征构建信道特征图像；对所述信道特征图像进行图像识 别，获得dns隐蔽信道检测结果，通过滑动窗口的方式能够检测出大流量 dns隐蔽信道和低流量dns隐蔽信道，同时基于图像识别，提高了隐蔽信道 识别的效率与准确性。
附图说明
45.图1是本发明实施例方案涉及的硬件运行环境的dns隐蔽信道检测设备 的结构示意图；
46.图2为本发明dns隐蔽信道检测方法第一实施例的流程示意图；
47.图3为本发明dns隐蔽信道检测方法第二实施例的流程示意图；
48.图4为本发明dns隐蔽信道检测方法一实施例中灰度图像示意图；
49.图5为本发明dns隐蔽信道检测装置第一实施例的结构框图。
50.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步 说明。
具体实施方式
51.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定 本发明。
52.参照图1，图1为本发明实施例方案涉及的硬件运行环境的dns隐蔽信 道检测设备结构示意图。
53.如图1所示，该dns隐蔽信道检测设备可以包括：处理器1001，例如中 央处理器(central processing unit，cpu)，通信总线1002、用户接口1003， 网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间 的连接通信。用户接口1003可以包括显
示屏(display)、输入单元比如键盘 (keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。 网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真 (wireless
‑
fidelity，wi
‑
fi)接口)。存储器1005可以是高速的随机存取存储 器(random access memory，ram)存储器，也可以是稳定的非易失性存储 器(non
‑
volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还 可以是独立于前述处理器1001的存储装置。
54.本领域技术人员可以理解，图1中示出的结构并不构成对dns隐蔽信道 检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件， 或者不同的部件布置。
55.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网 络通信模块、用户接口模块以及dns隐蔽信道检测程序。
56.在图1所示的dns隐蔽信道检测设备中，网络接口1004主要用于与网 络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发 明dns隐蔽信道检测设备中的处理器1001、存储器1005可以设置在dns隐 蔽信道检测设备中，所述dns隐蔽信道检测设备通过处理器1001调用存储 器1005中存储的dns隐蔽信道检测程序，并执行本发明实施例提供的dns 隐蔽信道检测方法。
57.本发明实施例提供了一种dns隐蔽信道检测方法，参照图2，图2为本 发明一种dns隐蔽信道检测方法第一实施例的流程示意图。
58.本实施例中，所述dns隐蔽信道检测方法包括以下步骤：
59.步骤s10：在接收到dns隐蔽信道检测请求时，根据所述dns隐蔽信道 检测请求对dns日志中的流量数据进行分组，获得目标dns分组。
60.需要说明的是，本实施例的执行主体可以是dns隐蔽信道检测设备，dns 隐蔽信道检测设备可以是个人电脑、服务器或车载终端等电子设备，还可以 为其他可实现相同或相似功能的设备或服务器，本实施例对此不加以限制， 在本实施例及下述各实施例中，以dns隐蔽信道检测设备为例对本发明dns 隐蔽信道检测方法进行说明。
61.需要说明的是，域名系统(domain name system，dns)是互联网的一 项服务，dns作为将域名和ip地址相互映射的一个分布式数据库，能够使人 更方便地访问互联网。dns使用udp端口53。当前，对于每一级域名长度 的限制是63个字符，域名总长度则不能超过253个字符。现有技术中对于 dns隐蔽信道检测主要是通过fqdn等参数针对高带宽的dns隐蔽信道进 行检测，针对低带宽的dns隐蔽信道检测能力不足，由于高带宽的dns隐 蔽信道特征比较明显比较容易被发现，低带宽dns隐蔽信道逐步受到攻击者 的青睐。本实施例中通过对dns日志中的流量数据进行分组，以实现对低带 宽dns隐蔽信道的有效检测。
62.在具体实施中，本实施例中可以根据用户输入的dns隐蔽信道检测请求 对dns日志中的流量数据进行分组，基于用户输入的dns隐蔽信道检测请 求是一种被动分组方式，本实施例中也可以设置一预设时间，在达到预设时 间时，自动对dns日志中的流量数据进行分组，该方式为一种主动分组方式， 当然还可以根据实际需求采取其他的方式，本实施例就对此不加以限制。在 本实施例中，用户可通过移动终端等设备输入dns隐蔽信道检测请求，也可 以通过其他物理按键输入dns隐蔽信道检测请求，还可以根据实际情况进行 相应地选择，本实施例对此也不加以限制。进一步地，在接收到dns隐蔽信 道检测请求之后，本实施例中可以基于dns日志中流量数据的ip地址或者域 名信息对流量数据进行分组，从而得到各个ip地址或者域名信息对应的dns 分组，即目标流量分组，需要强调的是，本实施
示为sub(q)，则滑动窗口中某个主域名其子域名数据集信息熵计算如下： 其中sub(q)表示查询主域名中的每个子域名， m表示为子域名个数。(4)域名解析类型分布，在正常的的dns请求记录 中a记录(ipv4)、aaaa(ipv6)记录、mail记录和spf记录占到了请求 总量的99.4％。由于txt记录和srv记录比上述的的三种记录拥有更加长的 响应长度，因此可以传输更加多信息，也就更多的被用于dns隐蔽信息通信。 基于以上原因，因此我们需要计算主流dns请求类型占比，从而帮助我们发 现dns隐蔽信道。域名解析类型分布记为 (5)独特查询量，独特查询量记为(6)子域名长 度平均值，为了有效的传输数据，dns隐蔽信道在传输数据时，会采用比长 的子域名，因此通过查询子域名的平均长度可以有效检测dns隐蔽信道通信 行为。域名长度平均值记为主域名长度，根据dns协议的规定，请求域名的最大长度为255bit，因此为 了最大限度的提高每次传输的信息量，因此其主域名的长度一般尽可能简短， 主域名长度记为pl(p
j
)＝length(p
j
)。(8)长度相似性，dns隐蔽信道在通信过 程中为了对信息进行有效还原，一般会采用相同的子域名编码方式，这就意 味着其子域名具有相同的长度，因此子域名长度相似性是其有效特征。域名 长度差异率记为其中表示不同长度域名分组 数量，若分组数量大于200，则强制编码为1。(9)语义 特征，对于主域名，每个子域名都被分解为根据长度排序的层次标签，然后 从最长到最短提取其拥有语义的英文单词长度，然后除以域名的平均长度， (10)失败率，采集主域名相关完整域名dns 解析的失败率特征，该特征有助于减少dga域名引起的误报。失败率记为其中m表示为主域名p
j
在滑动窗口中相关子域名数 量，表示解析失败的子域名数量。(11)主域名有效期,考虑到域 名作为dns隐蔽信道再被发现后又被封堵的可能，因此从攻击成本角度，用 于dns隐蔽信道的域名的有效期不会太长。因此通过whois信息获取通信域 名的有效期，记为其 中expirydate(p
j
)表示域名注册的过期时间，registrydate(p
j
)表示域名注册的开 始时间，months表示获取月份数量。
69.步骤s30：根据所述滑动窗口特征和所述dns流量特征构建信道特征图 像。
70.需要说明的是，本实施例中是基于图像识别对dns隐蔽信道进行识别检 测，根据滑动窗口特征和dns流量特征可以构建信道特征图像，通过对信道 特征图像的识别，实现dns隐蔽信道的检测。具体地，本实施例中可以根据 滑动窗口特征和dns流量特征构建相应的特征向量，然后将特征向量作为矩 阵元素构建出特征矩阵，最后将特征矩阵转化为图像，即信道特征图像。
71.步骤s40：对所述信道特征图像进行图像识别，获得dns隐蔽信道检测 结果。
72.在具体实施中，本实施例基于图像识别对信道特征图像进行特征识别， 根据识别到的图像特征，判断该信道特征图像是否为dns隐蔽信道。本实施 例中可采用神经网络模型对信道特征图像进行图像识别，其中，预设神经网 络模型可以采用yolov4神经网络，还可以根据实际检测需求选择其他神经 网络模型，本实施例对此不加以限制。以yolov4神经网络为例进行说明， 本实施例中通过yolov4神经网络进行图像识别过程包括：(1)input：基于 主域名构建的特征图谱灰度图像作为我们输入的分析图片；(2)backbone： 采用cspdarknet53提取特征图谱灰度图像的初步特征，构建其主干结构；(3) neck：对backbone层提取的特征图谱灰度图像特征进行加工，增强，从而使 得模型学到的特征是想要的特征；(4)head：输出检测结果，该图片是否为 dns隐蔽信道。需要强调的是，backbone与neck为目标检测器，通过目标 检测器能够提取出信道特征图像的图像特征，将提取出的图像特征与dns隐 蔽信道的特征进行比对，如果图像特征一致，则可以判断存在dns隐蔽信道， 反之，则可以判断不存在dns隐蔽信道。
73.本实施例通过在接收到dns隐蔽信道检测请求时，根据所述dns隐蔽 信道检测请求对dns日志中的流量数据进行分组，获得目标dns分组；从 所述目标dns分组中提取出滑动窗口特征和dns流量特征；根据所述滑动 窗口特征和所述dns流量特征构建信道特征图像；对所述信道特征图像进行 图像识别，获得dns隐蔽信道检测结果，通过滑动窗口的方式能够检测出大 流量dns隐蔽信道和低流量dns隐蔽信道，同时基于图像识别，提高了隐 蔽信道识别的效率与准确性。
74.参考图3，图3为本发明一种dns隐蔽信道检测方法第二实施例的流程 示意图。
75.基于上述第一实施例，本实施例dns隐蔽信道检测方法中所述步骤s30 具体包括：
76.步骤s301：根据所述滑动窗口特征和所述dns流量特征确定目标灰度特 征。
77.需要说明的是，本实施例中信道特征图像是一种灰度图像，在构建信道 特征图像之前，需要对滑动窗口特征和dns流量特征进行灰度转化，也即将 原始的滑动窗口特征和原始的dns流量特征转换为0
‑
255的灰度图特征。
78.在具体实施中，将滑动窗口特征进行灰度转化可以得到滑动窗口灰度特 征，将dns流量特征进行灰度转化可以得到dns流量灰度特征，本实施例 中的目标灰度特征包括滑动窗口灰度特征和dns流量灰度特征。
79.在具体实施中，滑动窗口特征包括滑动窗口的窗口尺寸和采集频率，因 此本实施例中在对滑动窗口特征进行灰度转化时，实质是对滑动窗口尺寸和 采集频率进行灰度处理，具体地，本实施例中是按照预设灰度值对滑动窗口 尺寸和采集频率进行调整，其中，预设灰度值对应的取值范围为0
‑
255，按照 这个取值范围进行调整，调整过程实现为按照上述取值范围重新定义滑动窗 口尺寸和采集频率。对滑动窗口尺寸的调整过程具体包括：窗口尺寸一般不 会超过255分钟，因此定义n
s
'＝n
s
，n
s
'为调整后的滑动窗口尺寸。采集频率
表 的调整过程具体包括：数据收集分类时间间隔不会超过255分钟，因此定义 g'调整后的采集频率，调整后的滑动窗口尺寸和调整后的采集频率即为滑动窗 口灰度特征。
80.进一步地，dns流量特征包括解析行为特征和域名特征，其中，域名特 征还包括主域名特征和子域名特征，本实施例中在对dns流量特征进行灰度 转化时，实质是对解析行为特征、主域名特征以及子域名特征进行灰度变换。 具体地，与上述步骤s20中的(1)
‑
(11)对应，本实施例中的dns流量特 征灰度变换过程包括：(1)完整域名数据集信息熵，由于域名的最大长度不 会超过255，其信息熵的最大长度为log255，因此域名信息熵在0到log255 之间，不会超过255，因此定义(2)子域名数据集信息 熵，由于域名的最大长度不会超过255，其信息熵的最大长度为log255，因此 域名信息熵在0到log255之间，不会超过255，因此定义 (3)主域名信息熵，由于域名的最大长度不会超过255，其信息熵的最大长 度为log255，因此域名信息熵在0到log255之间，不会超过255，因此定义(4)域名解析类型分布，由于域名解析类型分布的取值 范围为[0,1]，因此需要将其进行放大，并转化成为[0,255]之间的整数，因此定 义(5)独特查询量，由于独特查询量的取值范围 为[0,1]，因此需要将其进行放大，并转化成为[0,255]之间的整数，因此定义(6)子域名长度平均值，由于域名的最大长度 不会超过255，因此定义(7)主域名长度，由于域 名的最大长度不会超过255，因此定义pl'(p
j
)＝pl(p
j
)。(8)长度相似性， 由于长度相似性的取值范围为[0,1]，因此需要将其进行放大，并转化成为 [0,255]之间的整数，因此定义(9)语义特征， 由于语义特征的取值范围为[0,1]，因此需要将其进行放大，并转化成为[0,255] 之间的整数，因此定义(10)失败率，由于 失败率的取值范围为[0,1]，因此需要将其进行放大，并转化成为[0,255]之间的 整数，因此定义(11)主域名有效期，考虑到 域名有效期已经取整，因此定义正常情况域名 有效期时间不会超过255个月，但是当域名有效期月份值超过255时，则强 制转化为255。其中，表示为想下取整，表示为向上取整。
[0081]
步骤s302：将所述目标灰度特征转化为目标特征矩阵。
[0082]
需要说明的是，在得到目标灰度特征之后，构建目标灰度特征对应的特 征向量，将特征向量作为矩阵中的元素构建对应的目标特征矩阵，本实施例 中目标特征矩阵的尺寸可以设置为4*4，还可以根据实际需求对目标特征矩阵 的尺寸进行调整，本实施例中对此不加以限制。进一步地，本实施例中在构 建目标特征矩阵时，可以采取补0的方式构建，例如根据目标灰度特征得到 的特征向量的数量为13个，而构建4*4的目标特征矩阵需要16个矩阵元素， 本实施例中将不足的矩阵元素用0代替，即根据目标灰度特征得到的13个特 征向量以及3个0构建大小为4*4的目标特征矩阵。
[0083]
步骤s303：根据所述目标特征矩阵构建信道特征图像。
[0084]
在具体实施中，根据目标灰度特征所构建的目标特征矩阵中各个特征向 量元素代表相应的灰度值，根据各个特征向量元素对应的灰度值以及各个特 征向量对应的位置构建相应的灰度特征图，即信道特征图像，如图4所示， 图4为按照大小4*4的目标特征矩阵所构建的信道特征图像。
[0085]
此外，本发明实施例还提出一种存储介质，所述存储介质上存储有dns 隐蔽信道检测程序，所述dns隐蔽信道检测程序被处理器执行时实现如上文 所述的dns隐蔽信道检测方法的步骤。
[0086][0087]
由于本存储介质采用了上述所有实施例的全部技术方案，因此至少具有 上述实施例的技术方案所带来的所有有益效果，在此不再一一赘述。
[0088]
参照图5，图5为本发明dns隐蔽信道检测装置第一实施例的结构框图。
[0089]
如图5所示，本发明实施例提出的dns隐蔽信道检测装置包括：
[0090]
分组模块10，用于在接收到dns隐蔽信道检测请求时，根据所述dns 隐蔽信道检测请求对dns日志中的流量数据进行分组，获得目标dns分组。
[0091]
提取模块20，用于从所述目标dns分组中提取出滑动窗口特征和dns 流量特征。
[0092]
构建模块30，用于根据所述滑动窗口特征和所述dns流量特征构建信道 特征图像。
[0093]
识别模块40，用于对所述信道特征图像进行图像识别，获得dns隐蔽信 道检测结果。
[0094]
本实施例通过在接收到dns隐蔽信道检测请求时，根据所述dns隐蔽 信道检测请求对dns日志中的流量数据进行分组，获得目标dns分组；从 所述目标dns分组中提取出滑动窗口特征和dns流量特征；根据所述滑动 窗口特征和所述dns流量特征构建信道特征图像；对所述信道特征图像进行 图像识别，获得dns隐蔽信道检测结果，通过滑动窗口的方式能够检测出大 流量dns隐蔽信道和低流量dns隐蔽信道，同时基于图像识别，提高了隐 蔽信道识别的效率与准确性。
[0095]
在一实施例中，所述分组模块10，还用于根据所述dns隐蔽信道检测请 求对dns日志中的原始流量数据进行预处理，获得目标流量数据；通过预设 滑动窗口基于主域名对所述目标流量数据进行分组，获得目标dns分组。
[0096]
在一实施例中，所述构建模块30，还用于根据所述滑动窗口特征和所述 dns流量特征确定目标灰度特征；将所述目标灰度特征转化为目标特征矩阵； 根据所述目标特征矩阵构建信道特征图像。
[0097]
在一实施例中，所述构建模块30，还用于对所述滑动窗口特征进行灰度 转化，获得滑动窗口灰度特征；对所述dns流量特征进行灰度转化，获得dns流量灰度特征；将所述滑动窗口灰度特征和所述dns流量灰度特征作为 目标灰度特征。
[0098]
在一实施例中，所述构建模块30，还用于从所述滑动窗口特征中提取出 滑动窗口尺寸和采集频率；按照预设灰度值对所述滑动窗口尺寸和所述采集 频率进行调整；将调整后的滑动窗口尺寸和调整后的采集频率作为滑动窗口 灰度特征。
[0099]
在一实施例中，所述构建模块30，还用于从所述dns流量特征中提取出 解析行为特征和域名特征；按照预设灰度值对所述解析行为特征对应的特征 取值范围进行调整，以
及按照预设灰度值对所述域名特征对应的域名长度、 域名有效期以及语义特征取值范围进行调整，获得调整后的解析行为特征和 调整后的域名特征；将所述调整后的解析行为特征和所述调整后的域名特征 作为dns流量灰度特征。
[0100]
在一实施例中，所述识别模块40，还用于将所述隐蔽信道特征图像输入 至预设神经网络模型；通过所述预设神经网络模型对应的目标检测器提取所 述隐蔽信道特征图像对应的目标图像特征；根据所述目标图像特征得到dns 隐蔽信道检测结果。
[0101]
应当理解的是，以上仅为举例说明，对本发明的技术方案并不构成任何 限定，在具体应用中，本领域的技术人员可以根据需要进行设置，本发明对 此不做限制。
[0102]
需要说明的是，以上所描述的工作流程仅仅是示意性的，并不对本发明 的保护范围构成限定，在实际应用中，本领域的技术人员可以根据实际的需 要选择其中的部分或者全部来实现本实施例方案的目的，此处不做限制。
[0103]
另外，未在本实施例中详尽描述的技术细节，可参见本发明任意实施例 所提供的dns隐蔽信道检测方法，此处不再赘述。
[0104]
此外，需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变 体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品 或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是 还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的 情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、 方法、物品或者系统中还存在另外的相同要素。
[0105]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0106]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述 实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通 过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技 术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体 现出来，该计算机软件产品存储在一个存储介质(如只读存储器(read onlymemory，rom)/ram、磁碟、光盘)中，包括若干指令用以使得一台终端 设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实 施例所述的方法。
[0107]
以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是 利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间 接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。