为了解决传统DNS隧道攻击检测方法因大量会话重组导致检测效率不高的问题,提出一种多粒度DNS隧道攻击检测方法,该方法采用粗细粒度相结合的方式对DNS隧道攻击行为进行分析,通过将DNS会话划分时间片提取粗粒度特征,减少会话重组与特征提取的时间,并在异常时间片上重组会话后提取更多细粒度特征加以分析,准确定位隧道攻击流量。最后通过实验结果验证多粒度DNS隧道攻击检测方法在保持检测准确率的同时明显提升检测效率。

• 单位
  四川大学