dns隧道攻击检测算法:
最近开始接触dns异常检测相关的内容,根据对dns特征提取方式的不同对近几年的dns tunneling攻击检测算法的相关论文进行了分类整理和总结,用于自身的学习回顾。
特征提取有意义:
2017:HARNESSING PREDICTIVE MODELS FOR ASSISTING NETWORK FORENSIC INVESTIGATIONS OF DNS TUNNELS
数据集:
自制数据集(不是原始的pcap文件,是只包含三维特征的文件):https://dx.doi.org/10.17045/sthlmuni.4229399.v1
构建方法:十折交叉验证
特征向量:
the IP Packet Length, the DNS Query Name Length and the DNS Query Name Entropy.
注意以上特征都是以包为单位而不是以会话为单位进行提取的,对单个包提取以上特征之后将会对整个会话中所有包计算三个值的平均值
分类器:
KNN、决策树(CART算法)、SVM(Radial Kernel)、多项式神经网络MMM