本發(fā)明涉及dns數(shù)據(jù)泄露檢測(cè)，具體涉及一種基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法和系統(tǒng)。

背景技術(shù)：

1、域名系統(tǒng)(domain?name?system，dns)是將域名和ip地址相互映射的以層次結(jié)構(gòu)分布的數(shù)據(jù)庫系統(tǒng)，該系統(tǒng)可以使人們更為方便的使用互聯(lián)網(wǎng)。dns的工作方式很像一個(gè)“電話簿”，用戶在其中搜索待查找人的“姓名”，就可以檢索到他們的“電話號(hào)碼”。dns使得人們可以使用可讀性較強(qiáng)的名稱來訪問設(shè)備服務(wù)，而不是直接使用難以閱讀記憶的ip地址來進(jìn)行訪問。

2、dns數(shù)據(jù)泄露是一種基于dns協(xié)議通過隱蔽信道等方式從計(jì)算機(jī)中獲取敏感信息的攻擊手段，允許攻擊者獲取數(shù)據(jù)、命令和控制主機(jī)等，極大的威脅了系統(tǒng)安全。由于dns是互聯(lián)網(wǎng)上普遍存在的基礎(chǔ)解析服務(wù)，防火墻等基礎(chǔ)防御設(shè)施一般不會(huì)對(duì)dns數(shù)據(jù)進(jìn)行過濾，泛在性、穿透性使其成為攻擊者手中較為理想的秘密武器。

3、目前對(duì)dns數(shù)據(jù)泄露檢測(cè)研究主要分為三類：傳統(tǒng)模式、經(jīng)典機(jī)器學(xué)習(xí)方法和深度學(xué)習(xí)方法，其中，深度學(xué)習(xí)方法為現(xiàn)有技術(shù)中最為先進(jìn)的dns數(shù)據(jù)泄露檢測(cè)技術(shù)，該方法一般采用cnn和lstm算法及其改進(jìn)算法進(jìn)行檢測(cè)，然而，現(xiàn)有的方法一般采用單一模態(tài)特征進(jìn)行檢測(cè)，存在dns數(shù)據(jù)泄密特征提取不全面的技術(shù)問題。

技術(shù)實(shí)現(xiàn)思路

1、(一)解決的技術(shù)問題

2、針對(duì)現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法和系統(tǒng)，解決了現(xiàn)有的檢測(cè)方法存在dns數(shù)據(jù)泄密特征提取不全面的技術(shù)問題。

3、(二)技術(shù)方案

4、為實(shí)現(xiàn)以上目的，本發(fā)明通過以下技術(shù)方案予以實(shí)現(xiàn)：

5、第一方面，本發(fā)明提供一種基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法，包括：

6、s1、針對(duì)每一個(gè)dns數(shù)據(jù)流，將其轉(zhuǎn)換為若干不同的模態(tài)圖像，將若干不同的模態(tài)圖像組合成一個(gè)融合圖像；所述不同的模態(tài)圖像中包括dns數(shù)據(jù)流的時(shí)序信息和位置相關(guān)性信息；

7、s2、通過預(yù)先構(gòu)建的dns數(shù)據(jù)泄密檢測(cè)模型對(duì)融合圖像進(jìn)行檢測(cè)，得到檢測(cè)結(jié)果；

8、其中，預(yù)先構(gòu)建的dns數(shù)據(jù)泄密檢測(cè)模型包括深度特征提取網(wǎng)絡(luò)和檢測(cè)網(wǎng)絡(luò)；深度特征提取網(wǎng)絡(luò)包括輸入層和n個(gè)基于深度殘差收縮網(wǎng)絡(luò)的塊，所述n個(gè)基于深度殘差收縮網(wǎng)絡(luò)的塊中均包括3個(gè)深度殘差收縮網(wǎng)絡(luò)層、全局注意力機(jī)制、通道注意力機(jī)制和全局注意力機(jī)制；所述輸入層用于提取融合圖像的淺層語義表示；所述n個(gè)基于深度殘差收縮網(wǎng)絡(luò)塊用于對(duì)淺層語義表示進(jìn)行深度學(xué)習(xí)，得到深度特征；檢測(cè)網(wǎng)絡(luò)用于對(duì)深度特征進(jìn)行檢測(cè)，得到檢測(cè)結(jié)果。

9、優(yōu)選的，所述針對(duì)每一個(gè)dns數(shù)據(jù)流，將其轉(zhuǎn)換為若干不同的模態(tài)圖像，將若干不同的模態(tài)圖像組合成一個(gè)融合圖像，包括：

10、針對(duì)每一個(gè)dns數(shù)據(jù)流，將其轉(zhuǎn)換為格拉姆角場、遞歸圖和馬爾可夫轉(zhuǎn)移場三種模態(tài)圖像，將格拉姆角場、遞歸圖和馬爾可夫轉(zhuǎn)移場三種模態(tài)圖像組合成一個(gè)融合圖像，所述融合圖像為一個(gè)三通道彩色圖像。

11、優(yōu)選的，所述輸入層包括一個(gè)二維卷積層和一個(gè)批量歸一化層，并使用relu作為激活函數(shù)。

12、優(yōu)選的，所述深度殘差收縮網(wǎng)絡(luò)層包括：在resnet的殘差模塊基礎(chǔ)上增加一個(gè)收縮層，并引入軟閾值化的非線性層。

13、優(yōu)選的，所述檢測(cè)網(wǎng)絡(luò)包括2個(gè)卷積神經(jīng)網(wǎng)絡(luò)模塊、一層bilstm、一層gru檢測(cè)模塊，其中，深度特征輸入第一個(gè)卷積神經(jīng)網(wǎng)絡(luò)模塊中，

14、第一個(gè)卷積神經(jīng)網(wǎng)絡(luò)模塊輸出的數(shù)據(jù)輸入到第二個(gè)卷積神經(jīng)網(wǎng)絡(luò)模塊中，第二個(gè)卷積神經(jīng)網(wǎng)絡(luò)模塊輸入到bilstm中，經(jīng)過bilstm處理后輸出的特征由gru檢測(cè)模塊經(jīng)過處理，得到檢測(cè)結(jié)果。

15、優(yōu)選的，所述gru檢測(cè)模塊包括gru層、dropout層、線性層和softmax層，其中，gru層的輸出通過dropout層隨機(jī)丟棄一部分神經(jīng)元，dropout層的輸出被送入一個(gè)線性層，再通過softmax層輸出檢測(cè)結(jié)果。

16、第二方面，本發(fā)明提供一種基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)系統(tǒng)，包括：

17、dns流量的圖形化模塊，用于針對(duì)每一個(gè)dns數(shù)據(jù)流，將其轉(zhuǎn)換為若干不同的模態(tài)圖像，將若干不同的模態(tài)圖像組合成一個(gè)融合圖像；所述不同的模態(tài)圖像中包括dns數(shù)據(jù)流的時(shí)序信息和位置相關(guān)性信息；

18、檢測(cè)模塊，用于通過預(yù)先構(gòu)建的dns數(shù)據(jù)泄密檢測(cè)模型對(duì)融合圖像進(jìn)行檢測(cè)，得到檢測(cè)結(jié)果；

19、其中，預(yù)先構(gòu)建的dns數(shù)據(jù)泄密檢測(cè)模型包括深度特征提取網(wǎng)絡(luò)和檢測(cè)網(wǎng)絡(luò)；深度特征提取網(wǎng)絡(luò)包括輸入層和n個(gè)基于深度殘差收縮網(wǎng)絡(luò)的塊，所述n個(gè)基于深度殘差收縮網(wǎng)絡(luò)的塊中均包括3個(gè)深度殘差收縮網(wǎng)絡(luò)層、全局注意力機(jī)制、通道注意力機(jī)制和全局注意力機(jī)制；所述輸入層用于提取融合圖像的淺層語義表示；所述n個(gè)基于深度殘差收縮網(wǎng)絡(luò)塊用于對(duì)淺層語義表示進(jìn)行深度學(xué)習(xí)，得到深度特征；檢測(cè)網(wǎng)絡(luò)用于對(duì)深度特征進(jìn)行檢測(cè)，得到檢測(cè)結(jié)果。

20、優(yōu)選的，所述針對(duì)每一個(gè)dns數(shù)據(jù)流，將其轉(zhuǎn)換為若干不同的模態(tài)圖像，將若干不同的模態(tài)圖像組合成一個(gè)融合圖像，包括：

21、針對(duì)每一個(gè)dns數(shù)據(jù)流，將其轉(zhuǎn)換為格拉姆角場、遞歸圖和馬爾可夫轉(zhuǎn)移場三種模態(tài)圖像，將格拉姆角場、遞歸圖和馬爾可夫轉(zhuǎn)移場三種模態(tài)圖像組合成一個(gè)融合圖像，所述融合圖像為一個(gè)三通道彩色圖像。

22、第三方面，本發(fā)明提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其存儲(chǔ)用于基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)的計(jì)算機(jī)程序，其中，所述計(jì)算機(jī)程序使得計(jì)算機(jī)執(zhí)行如上述所述的基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法。

23、第四方面，本發(fā)明提供一種電子設(shè)備，包括：

24、一個(gè)或多個(gè)處理器，存儲(chǔ)器，以及一個(gè)或多個(gè)程序，其中所述一個(gè)或多個(gè)程序被存儲(chǔ)在所述存儲(chǔ)器中，并且被配置成由所述一個(gè)或多個(gè)處理器執(zhí)行，所述程序包括用于執(zhí)行如上述所述的基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法。

25、(三)有益效果

26、本發(fā)明提供了一種基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法和系統(tǒng)。與現(xiàn)有技術(shù)相比，具備以下有益效果：

27、本發(fā)明針對(duì)每一個(gè)dns數(shù)據(jù)流，將其轉(zhuǎn)換為若干不同的模態(tài)圖像，可以保留dns數(shù)據(jù)的時(shí)序信息和位置相關(guān)性，更有效地從多模態(tài)中提取時(shí)空特征，從而為dns泄密數(shù)據(jù)檢測(cè)提供準(zhǔn)確的深度特征，提高dns數(shù)據(jù)泄露檢測(cè)的準(zhǔn)確率。同時(shí)，設(shè)計(jì)了基于深度殘差收縮網(wǎng)絡(luò)的深度特征提取模塊，可以有效整合來自不同模態(tài)的補(bǔ)充信息，并利用深度殘差收縮網(wǎng)絡(luò)對(duì)噪聲的魯棒性，可以自動(dòng)提取深度dns數(shù)據(jù)泄密特征，提高實(shí)際檢測(cè)中的魯棒性。

技術(shù)特征：

1.一種基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法，其特征在于，包括：

2.如權(quán)利要求1所述的基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法，其特征在于，所述針對(duì)每一個(gè)dns數(shù)據(jù)流，將其轉(zhuǎn)換為若干不同的模態(tài)圖像，將若干不同的模態(tài)圖像組合成一個(gè)融合圖像，包括：

3.如權(quán)利要求1所述的基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法，其特征在于，所述輸入層包括一個(gè)二維卷積層和一個(gè)批量歸一化層，并使用relu作為激活函數(shù)。

4.如權(quán)利要求1所述的基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法，其特征在于，所述深度殘差收縮網(wǎng)絡(luò)層包括：在resnet的殘差模塊基礎(chǔ)上增加一個(gè)收縮層，并引入軟閾值化的非線性層。

5.如權(quán)利要求1～4任一所述的基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法，其特征在于，所述檢測(cè)網(wǎng)絡(luò)包括2個(gè)卷積神經(jīng)網(wǎng)絡(luò)模塊、一層bilstm、一層gru檢測(cè)模塊，其中，深度特征輸入第一個(gè)卷積神經(jīng)網(wǎng)絡(luò)模塊中，

6.如權(quán)利要求5所述的基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法，其特征在于，所述gru檢測(cè)模塊包括gru層、dropout層、線性層和softmax層，其中，gru層的輸出通過dropout層隨機(jī)丟棄一部分神經(jīng)元，dropout層的輸出被送入一個(gè)線性層，再通過softmax層輸出檢測(cè)結(jié)果。

7.一種基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)系統(tǒng)，其特征在于，包括：

8.如權(quán)利要求7所述的基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)系統(tǒng)，其特征在于，所述針對(duì)每一個(gè)dns數(shù)據(jù)流，將其轉(zhuǎn)換為若干不同的模態(tài)圖像，將若干不同的模態(tài)圖像組合成一個(gè)融合圖像，包括：

9.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，其存儲(chǔ)用于基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)的計(jì)算機(jī)程序，其中，所述計(jì)算機(jī)程序使得計(jì)算機(jī)執(zhí)行如權(quán)利要求1～6任一所述的基于多模態(tài)時(shí)空特性的dns數(shù)據(jù)泄露檢測(cè)方法。

10.一種電子設(shè)備，其特征在于，包括：

技術(shù)總結(jié)
本發(fā)明提供一種基于多模態(tài)時(shí)空特性的DNS數(shù)據(jù)泄露檢測(cè)方法和系統(tǒng)，涉及DNS數(shù)據(jù)泄露檢測(cè)技術(shù)領(lǐng)域。本發(fā)明針對(duì)每一個(gè)DNS數(shù)據(jù)流，將其轉(zhuǎn)換為若干不同的模態(tài)圖像，可以保留DNS數(shù)據(jù)的時(shí)序信息和位置相關(guān)性，更有效地從多模態(tài)中提取時(shí)空特征，從而為DNS泄密數(shù)據(jù)檢測(cè)提供準(zhǔn)確的深度特征，提高DNS數(shù)據(jù)泄露檢測(cè)的準(zhǔn)確率。同時(shí)，設(shè)計(jì)了基于深度殘差收縮網(wǎng)絡(luò)的深度特征提取模塊，可以有效整合來自不同模態(tài)的補(bǔ)充信息，并利用深度殘差收縮網(wǎng)絡(luò)對(duì)噪聲的魯棒性，可以自動(dòng)提取深度DNS數(shù)據(jù)泄密特征，提高實(shí)際檢測(cè)中的魯棒性。

技術(shù)研發(fā)人員：劉揚(yáng),王悄,陳俊杰,張靜,吳卿蓉,劉兵,張明陽
受保護(hù)的技術(shù)使用者：安徽省大數(shù)據(jù)中心
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6