DNS(domain name system)作为互联网基础设施的重要组成部分，其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性，已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法，且提取的特征不够全面。为深入分析攻击流量和行为特征，基于有限状态机对真实APT攻击中DNS隐蔽通信建模，剖析了APT攻击场景下DNS隐蔽信道的构建机理，详细阐述了其数据交互过程，通过总结和分析DNS隐蔽通信机制，基于有限状态机建立通信模型，提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态，控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信，结合Helminth等恶意样本实验验证了模型的适用性和合理性，为人工提取特征提供了充分的依据。

• 单位
  中国人民解放军国防科学技术大学