(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211075132.1 (22)申请日 2022.09.03 (71)申请人 东南大学 地址 210096 江苏省南京市玄武区四牌楼 2 号 (72)发明人 吴桦　江初晴　程光　 (74)专利代理 机构 南京众联专利代理有限公司 32206 专利代理师 杜静静 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种面向主干网中DoH隧道流 量的检测方法 (57)摘要 本发明公开了一种面向主干网中DoH隧道流 量的检测方法， 包括以下步骤： 通过部署自建DoH 隐蔽隧道采 集含DoH隧道流量的数据集， 对含DoH 隧道流量的数据集进行数据预处理， 过滤出纯净 的DoH隧道流量， 并提取DoH隧道流量数据的单向 统计特征， 构建DoH隧道流量数据集； 对主干网流 量进行数据预处理， 并提取数据的单向统计特 征， 构建良性背景流量数据集； 再将处理后的良 性背景流量数据集与 DoH隧道流量数据集 混合并 打上标签， 构建具有完整标签的训练集； 使用有 监督机器学习算法训练用于DoH隧道流量检测分 类模型； 使用测试集对模型检测模块性能进行测 试。 本发明只提取流的单向统计特征， 适用于广 泛配置了非对称路由 的主干网场景。 权利要求书2页 说明书6页 附图5页 CN 115499179 A 2022.12.20 CN 115499179 A 1.一种面向主干网中DoH隧道流 量的检测方法， 其特 征在于， 该 方法包括以下步骤： 步骤(1)通过部署自建DoH隐蔽隧道采集含DoH隧道流 量的数据集； 步骤(2)基于步骤(1)的结果， 对含DoH隧道流量的数据集进行数据预处理， 过滤出纯净 的DoH隧道流 量， 并提取DoH隧道流 量数据的单向统计特 征， 构建DoH隧道流 量数据集； 步骤(3)对主干网流量进行数据预处理， 并提取数据的单向统计特征， 构建良性背景流 量数据集； 步骤(4)基于步骤(2) ‑(3)的结果， 将处理后的良性背景流量数据集与DoH隧道流量数 据集混合并打上 标签， 构建具有完整标签的数据集； 步骤(5)基于步骤(4)的结果， 将得到的已标记的数据集样本划分为训练集和测试集， 比例为3： 1； 步骤(6)使用有监督机器学习算法对步骤(5)得到的训练集进行模拟训练， 得到分类模 型； 步骤(7)使用步骤(5)得到的测试集对分类模型的性能进行测试。 2.根据权利要求1所述的一种面向主干网中DoH 隧道流量的检测方法， 其特征在于， 所 述步骤(1)中， 获取DoH隧道流 量数据集的方法如下： 基于DoH隧道的原理构建采集环境， DoH隐蔽隧道的实现原理为： 攻击者预先设定好特 定域名， 主机B将数据隐藏在特定域名中并不断请求特定域名， 再经过互联网中DoH服务代 理商解析后， 将数据从主机B传输到主机A； 同时， 主机A 也可将数据隐藏在响应报文中， 将数 据从主机A传输 到主机B； 如此便可以构建DoH隐蔽隧道进行双向数据传输； 采集环境用两台主机搭建而成， 其中主机A部署DoH隐蔽隧道工具的服务器端， 即攻击 端； 另一台主机B部署DoH隐蔽隧道工具的访问端， 即受控端， 在数据采集过程中， 传输数据 样本大小在10kB到100MB之间， 并设置不同的DoH服务代理商、 请求域名解析的时间间隔、 单 次域名字节数的大小等参数， 最后， 在DoH隐蔽隧道实现工具的受控端部署流量采集工具采 集DoH隧道流 量， 以pcap包的形式保存， 得到含DoH隧道流 量的数据集。 3.根据权利要求1所述的一种面向主干网中DoH 隧道流量的检测方法， 其特征在于， 步 骤(2)中， 数据进行 预处理的步骤如下： (2.1)对含DoH隧道流 量的数据包进行 数据预处 理， 生成若干数据流， 所述数据流 为： L＝{pktCount， directi on， features} 其中L是数据流， p ktCount为流中数据包的个数， direction为流的方向， fe atures为流 的多个单向统计特 征； (2.2)通过筛选对应DoH服务代理商的IP地址， 依据direction确定该条流是否为DoH隧 道流量， 从而过 滤出访问端中纯 净的DoH隧道流 量， 构建DoH隧道流 量数据集。 4.根据权利要求3所述的一种面向主干网中DoH 隧道流量的检测方法， 其特征在于， 步 骤(2)中构建的流 的单向统计特征集群包括： Total  Fwd Packet、 Fwd  IAT Mean、 Fwd  IAT  Std、 Fwd IAT Max、 Fwd IAT Min和Fwd  Packets/s， 其 中， Total  Fwd Packet是在正向上发 送包的数量， Fwd  IAT Mean是在正向发送的两个包之间的平均时间， Fwd  IAT Std是在正向 发送的两个包之间的时间的标准差， Fwd  IAT Max是在正向发送的两个包之间的最大时间， Fwd IAT Min是在正向发送的两个包之间的最小时间， Fwd  Packets/s是每秒正向包 的数 量， 此处， 正向是指由受控端向服 务器端传输的数据流向。权　利　要　求　书 1/2 页 2 CN 115499179 A 25.根据权利要求1所述的一种面向主干网中DoH 隧道流量的检测方法， 其特征在于， 步 骤(3)中， 获取良性背景流 量数据集方法如下： (3.1)获取在主干网节点上持续采集一段时间的高速 网络流量， 使用公开数据集， 获取 在主干网节点上持续采集一段时间的高速网络流量， 或者在有管理权限的主干接入节点采 集； (3.2)对主干网流量进行数据预处理， 生成若干数据流， 提取流的单向统计特征集群， 构建良性背景流 量数据集。 6.根据权利要求1所述的一种面向主干网中DoH 隧道流量的检测方法， 其特征在于， 步 骤(4)中， 将处理后的良性背景流量数据集与DoH隧道流量数据集打散随机混合， 并打上标 签， 用0代表良性数据流， 用1代表DoH隧道数据流， 构建具有完整 标签的数据集， 以便进 行有 监督机器学习算法的模型训练。 7.根据权利要求1所述的一种面向主干网中DoH 隧道流量的检测方法， 其特征在于， 步 骤(6)中， 使用多个机器学习模型对步骤(5)中得到的带有标签的训练集进行分类模型训 练， 得到分类模型。权　利　要　求　书 2/2 页 3 CN 115499179 A 3