一種基于多模型融合的隱蔽隧道和加密惡意流量檢測方法

摘要： 高級持續(xù)威脅APT攻擊為了躲避檢測,攻擊者往往采用加密惡意流量和隱蔽隧道等策略隱匿惡意行為,從而增加檢測的難度。目前大多數(shù)檢測DNS隱蔽隧道的方法基于統(tǒng)計、頻率、數(shù)據(jù)包等特征,這種方法不能很好地進行實時檢測,從而導(dǎo)致數(shù)據(jù)泄露,因此,需要根據(jù)單個DNS請求進行檢測而不是對流量進行統(tǒng)計后再檢測,才能夠?qū)崿F(xiàn)實時且可靠的檢測,當系統(tǒng)判定單個DNS請求為隧道流量,便可做出響應(yīng),進而避免數(shù)... （共15頁）