一種基于多模型融合的隱蔽隧道和加密惡意流量檢測(cè)方法

摘要： 高級(jí)持續(xù)威脅APT攻擊為了躲避檢測(cè),攻擊者往往采用加密惡意流量和隱蔽隧道等策略隱匿惡意行為,從而增加檢測(cè)的難度。目前大多數(shù)檢測(cè)DNS隱蔽隧道的方法基于統(tǒng)計(jì)、頻率、數(shù)據(jù)包等特征,這種方法不能很好地進(jìn)行實(shí)時(shí)檢測(cè),從而導(dǎo)致數(shù)據(jù)泄露,因此,需要根據(jù)單個(gè)DNS請(qǐng)求進(jìn)行檢測(cè)而不是對(duì)流量進(jìn)行統(tǒng)計(jì)后再檢測(cè),才能夠?qū)崿F(xiàn)實(shí)時(shí)且可靠的檢測(cè),當(dāng)系統(tǒng)判定單個(gè)DNS請(qǐng)求為隧道流量,便可做出響應(yīng),進(jìn)而避免數(shù)...