今日动态

生物通首页 > 今日动态 > 正文

一种基于多分支知识蒸馏的加密DNS流量僵尸网络检测方法

时间:2026年1月30日
来源:Computer Networks

编辑推荐:

基于多分支知识蒸馏的加密DNS流量Botnet检测方法提出自适应特征提取与空间聚类分类策略,构建多级检测体系,实验表明该方法在保持高精度的同时显著降低计算复杂度,提升实时检测能力。

广告
   X   

秦志鹏|严汉冰|李向宇|王鹏
北京航空航天大学,中国

摘要

随着加密网络通信技术的进步,僵尸网络越来越多地使用加密的DNS流量来隐蔽地传播和执行攻击。僵尸网络流量表现出多样且复杂的行为,在加密的DNS流量中检测僵尸网络面临诸多挑战,例如高隐蔽性、低检测效率以及特征匹配的困难。为了解决这些问题,本文提出了一种基于多分支知识蒸馏的加密DNS流量检测方法。该方法利用自适应特征提取算法捕获加密DNS流量特征,根据流量特征应用空间聚类进行多类分类,并采用多级知识蒸馏策略开发了多个专门的僵尸网络检测模型。这些模型并行运行,提高了检测效率和准确性。实验结果表明,这种方法在保持高精度的同时显著降低了计算复杂度,提升了检测效率和实时性。

引言

随着对网络安全和隐私保护的重视日益增加,加密DNS技术(包括基于HTTPS的DNS、基于TLS的DNS和基于QUIC的DNS)已被广泛采用。这些技术通过加密DNS请求来防止拦截或篡改,从而增强用户隐私。然而,加密DNS使得网络流量分析变得更加复杂,尤其是在识别恶意流量(如僵尸网络)时[1],[2]。DNS数据的加密意味着传统的检测技术(依赖于明文数据特征)无法直接应用,使得检测恶意流量变得更加困难[3],[4]。
僵尸网络代表了一组广泛使用的恶意网络攻击行为。根据其技术特性,它们可以分为三类:基于C&C架构的传统僵尸网络,这些网络依赖固定域名进行命令传输;使用Fast-flux技术快速切换IP地址以避免被屏蔽的变种;以及利用域名生成算法(DGA)每天生成数千个伪随机域名的僵尸网络[5],[6],[7]。随着加密DNS技术的采用,僵尸网络的通信方式已从传统的明文DNS转变为加密DNS,进一步增强了其隐蔽性[8]。
目前,有多种方法用于检测加密DNS流量中的僵尸网络。基于解密的检测方法使用SSL/TLS解密技术来分析加密流量,从而获取完整的明文信息。然而,解密过程计算量较大且会引入显著延迟,难以满足实时检测的要求[9]。基于机器学习的检测方法从加密DNS流量中提取特征,并使用深度学习模型来识别流量模式。这些方法可以自动提取复杂特征并进行分类,但通常需要大量的训练数据。此外,这些模型的泛化能力和实时性能在应对不断变化的僵尸网络行为时仍是一个挑战[10]。
与这些方法相比,本文提出的基于多分支知识蒸馏的加密DNS流量检测框架具有显著优势。首先,知识蒸馏将复杂教师模型的知识转移到高效的学生模型中,大大降低了计算开销,使该方法适用于实时检测[11],[12]。其次,通过结合自适应特征提取和空间聚类算法,该框架不仅提高了检测效率,而且在面对僵尸网络行为变化时仍保持高准确性。此外,多分支知识蒸馏框架训练了多个专门的学生模型,每个模型专注于检测不同类型的僵尸网络,从而提高了检测的灵活性和可靠性。本文的贡献如下:
  • 提出了一种针对加密DNS僵尸网络流量的多分支分类检测框架,该框架结合了新颖的EWM-GRA自适应特征提取、空间聚类和多分支知识蒸馏模块,实现了对僵尸网络流量的分层分类和检测,提高了检测效率和精度。
  • 设计了一种基于空间聚类的僵尸网络分类算法,根据其特征对僵尸网络流量进行分类,从而提高了在加密流量中捕获和区分僵尸网络特征的能力。
  • 开发了一种基于知识蒸馏的加密DNS僵尸网络多分支检测机制。该机制构建了多个专门用于检测特定类型僵尸网络的学生模型,确保模型能够应对多种僵尸网络攻击场景。

    • 部分摘录

    加密DNS流量分析技术

    随着对隐私保护需求的增加,越来越多的加密协议被采用,例如基于HTTPS的DNS(DoH)、基于TLS的DNS(DoT)和基于QUIC的DNS(DoQ)。这些技术旨在防止DNS数据泄露或篡改[13]。尽管加密DNS通过保护通信内容增强了隐私,但它也使得传统的流量分析方法变得更加复杂,尤其是在检测恶意流量(如僵尸网络流量)时[14]。目前,检测加密流量中的恶意活动

    加密DNS僵尸网络流量的多分支分类检测框架

    本章提出了一种针对加密DNS僵尸网络流量的多分支分类检测框架,旨在提高检测恶意流量(尤其是僵尸网络)的准确性和效率。
    与传统的僵尸网络检测框架相比,所提出的加密DNS流量多分支分类检测框架展现了显著的创新。首先,多分支结构由多个学生模型组成,每个模型都专注于

    基于加密DNS流量特征的僵尸网络分类策略

    本章将研究多分支知识蒸馏僵尸网络检测框架中的特征处理和聚类策略,讨论如何利用从加密DNS流量中提取的特征来准确分类不同类型的僵尸网络,并解释如何通过分类结果进一步优化检测精度。

    基于知识蒸馏的加密DNS僵尸网络多分支检测机制

    基于僵尸网络聚类分类的结果,本章采用两阶段知识蒸馏方法来训练针对不同类型僵尸网络的学生模型,这样可以更准确地捕获复杂的僵尸网络行为,同时保持较低的计算负担。

    实验数据集和配置

    本实验重点关注加密DNS环境中的僵尸网络流量分类,特别是加密DNS流量。基线数据集是DoH-DGA-Malware-Traffic-HKD数据集[36],[37],其中包含897,493条非DoH流量和24,019条DoH流量。其中,4,212条流量属于僵尸网络DoH流量,包括PadCrypt(840)、Sisron(744)、Tinba(1,808)和Zloader(820)。该数据集提供了34个统计和时间序列特征(例如PacketLengthVariance等)

    结论

    本文提出了一种基于多分支知识蒸馏的僵尸网络检测框架,以解决加密DNS流量中的僵尸网络检测问题。该框架结合了自适应特征提取算法和OPTICS聚类,用于加密DNS流量的多类别分类。它还通过多分支知识蒸馏策略训练了多个DE-TCN学生模型,每个模型专注于识别特定类型的僵尸网络攻击。这种方法有效地处理了

    利益冲突声明

    作者声明与本文的发表没有利益冲突。

    未引用的图表

    图6、图7和表1。

    CRediT作者贡献声明

    秦志鹏:撰写 – 审稿与编辑,撰写 – 原始草案,可视化,验证,监督。严汉冰:数据管理,概念化。李向宇:软件,资源,项目管理。王鹏:撰写 – 审稿与编辑。

    利益冲突声明

    亲爱的编辑:
    根据《计算机网络》杂志的要求,我们声明与题为“基于分层知识蒸馏的加密DNS流量僵尸网络检测方法”的手稿无关任何利益冲突。
    本手稿中的研究是独立进行的,结果和结论完全基于作者进行的科学方法和数据分析。我们确认不存在任何财务利益冲突,

    热点排行
    生物通微信公众号
    微信
    新浪微博
    我要投稿

    返回顶部

    生物通 版权所有