-
公开(公告)号:CN114844704B
公开(公告)日:2023-06-06
申请号:CN202210482202.9
申请日:2022-05-05
Applicant: 鹏城实验室
IPC: H04L9/40 , H04L61/4511
Abstract: 本发明公开了基于可编程交换机的实时DNS隧道检测方法及相关设备,所述方法包括:数据平面对DNS数据包采用循环增量解析的方式进行解析、哈希和特征统计处理,得到DNS域名、第一哈希值和域名特征;根据第一哈希值查询预设的黑白名单,若在黑白名单中均查询不到且分类结果为正常,则根据划分表将DNS域名均划分为主域名和子域名;对不同子域名的第一哈希值进行哈希运算得到不同子域名的第二哈希值;对第二哈希值的个数进行统计,若超过预设阈值则将DNS域名视为隧道流量并上报至控制平面,以便控制平面更新黑名单后滤除隧道流量。通过循环增量解析任意长度域名并将决策树模型以流表的形式部署在数据平面,实现对DNS隧道的全面检测。
Search Results
11
records
(took 0.014 seconds)
筛选
AND
AND
过滤
NOT
NOT
Scan to Join
