网藤首度开放能力中心，共享安全研究成果

5月4日，斗象科技旗下网藤风险感知(www.riskivy.com)正式上线「能力中心」技术专栏，将斗象能力中心最新的安全研究成果与大家共享。

斗象能力中心(Tophant Competence Center 以下简称TCC)成立于2017年4月，致力于提供最新的技术研究和商业洞见，为斗象科技产品及客户提供前沿安全技术的研究与能力支撑。

近年来，以机器学习为代表的人工智能技术正在掀起新一轮的产业革命，作为传统IT领域，网络安全与机器学习技术的结合势在必行。然而，机器学习能够应用在哪些安全领域?又是如何在安全防御中发挥作用的呢?「能力中心」专栏首期分享课题就以DNS隐蔽隧道检测为例，分享TCC在机器学习安全检测领域的最新研究成果。

基于机器学习的DNS隐蔽隧道检测方法与实现

企业内网环境中，DNS协议是必不可少的网络通信协议之一，为了访问互联网和内网资源，DNS提供域名解析服务，将域名和IP地址进行转换。网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽，因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。

在实际场景中，当攻击者拿下某台服务器权限，或服务器被恶意软件、蠕虫、木马等感染之后，通过建立DNS隧道从而达到敏感信息盗窃、文件传输、回传控制指令、回弹Shell等目的。

DNS工作原理

目前安全产品多是基于监控终端请求异常长度的域名等规则方式进行DNS隧道检测，攻击者可以使用商业渗透套件如Metasploit、Cobalt Strike等，或一些开源软件iodine、ozymandns、dns2tcp、dnscat2等快速轻易地构建DNS隐蔽隧道，并且可以通过修改域名长度、请求频率等特征轻易绕过传统基于规则的DNS隧道检测模型。

相比于基于规则的静态阈值检测误报高，易被绕过等问题，机器学习技术可以从历史数据中学习出一个DNS隧道模式用于检测。

大数据量异常样本获取

目前，机器学习技术已被成功应用到语音识别、图像识别等领域，并有很好的效果。但在网络安全行业能成功应用机器学习的案例较少，主要原因是无法获取到大数据量的异常样本。在DNS隧道检测场景中，业内同样存在异常样本数据的稀缺问题，为解决这一问题，TCC基于「网藤PRS」构建了一套DNS数据制造和收集的自动化框架，为机器学习建模提供了大量样本数据。

DNS隧道工具

算法模型选择

机器学习算法可分为基于特征的浅层学习(如逻辑回归)和自动提取特征的深度学习(如CNN)，鉴于在安全检测类产品中要求模型具有高效性、结果便于解释性等特点，在检测算法模型选取上更侧重选用一些基于特征的浅层学习模型。

具体，首先需对包含DNS隧道流量和正常DNS流量数据结合领域专家知识进行统计分析，挖掘出区分性强的特征集。其次使用多种模型训练特征并评估选取最佳效果模型。

验证

我们将DNS隧道检测模型载入网藤PRS系统，部署到某行业客户私有云平台内网环境中，进行了1周的DNS协议日志分析，检测到DNS隐蔽隧道流量。

在所有DNS流量中检测模型成功识别出了DNS隐蔽隧道通信流量，经过调查与验证，发现内网中部分服务器存在MS17-010系统漏洞，被利用植入了远控类型的恶意软件，该软件使用DNS隧道通信模式和外网控制端进行数据和指令的传输。