您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
利用DoH技術(shù)加密傳輸?shù)腄NS隧道流量檢測分析
概述
DNS over HTTPS(DoH)由RFC8484定義,其目標(biāo)之一是增加用戶的隱私,通過 HTTPS 解析 DNS 查詢。目前國外廠商如Adguard、Cloudflare、Google、Quad9等對公提供DoH服務(wù),國內(nèi)也有廠商陸續(xù)提供DoH服務(wù)。此外,也可以通過自建DoH服務(wù)器的方式進(jìn)行DoH傳輸。以騰訊云DoH服務(wù)器(https://doh.pub/dns-query)為例,運(yùn)用瀏覽器訪問百度,同時(shí)進(jìn)行抓包分析,結(jié)果如下:
? 解密前,只能看到與DoH服務(wù)器間的TLS Application Data消息,數(shù)據(jù)被加密。
? 解密分析:利用瀏覽器同步生成(Pre)-Master-Secret 日志對流量進(jìn)行解密,第785個(gè)數(shù)據(jù)包的內(nèi)容如下:
可以清晰看到DNS協(xié)議流量被封裝進(jìn)HTTP協(xié)議,并進(jìn)一步經(jīng)過TLS協(xié)議加密,形成了HTTPS流量。
DoH 的優(yōu)點(diǎn)是顯而易見的,該技術(shù)提高了DNS服務(wù)安全性并保護(hù)了用戶隱私。但DoH也是一把雙刃劍,傳統(tǒng)的惡意DNS隱蔽隧道,同樣可以通過利用DoH服務(wù)進(jìn)行HTTPS協(xié)議加密封裝,進(jìn)一步增強(qiáng)自己的隱蔽性。我們經(jīng)過試驗(yàn),知名DNS隧道工具、熱門黑客平臺(tái)如Iodine、DNS2TCP、 DNScat2、Cobalt Strike等,都可以通過DoH服務(wù)將DNS隧道流量轉(zhuǎn)換為HTTPS協(xié)議。這類利用DoH技術(shù)加密傳輸?shù)膼阂釪NS隧道流量,給檢測造成了新的挑戰(zhàn)。
惡意DoH流量檢測
與一般TLS加密流量檢測相比,利用DoH技術(shù)加密傳輸?shù)膼阂釪NS隧道流量(以下簡稱惡意DoH流量)檢測的難度更高。惡意DoH流量完全可以利用正常DoH服務(wù)器進(jìn)行中轉(zhuǎn),那么單純從DoH服務(wù)的TLS協(xié)商過程中暴露的明文信息(如TLS握手信息、證書信息、背景DNS流量特征等)判定會(huì)造成較大誤報(bào),必須從更深層次尋求另外的維度進(jìn)行判斷。本次針對DoH惡意流量檢測的研究,將重點(diǎn)放在與完成握手協(xié)商后的加密數(shù)據(jù)會(huì)話過程。研究過程包括數(shù)據(jù)搜集、特征工程、模型訓(xùn)練、實(shí)際測試幾個(gè)環(huán)節(jié)。
1 數(shù)據(jù)搜集
數(shù)據(jù)搜集分為公開數(shù)據(jù)搜集和自建環(huán)境搜集。因DoH協(xié)議比較新,所以公開數(shù)據(jù)集不是特別豐富。Canadian Institute for Cybersecurity (CIC)在2020年公開了一個(gè)DoH數(shù)據(jù)集DoHBrw-2020。我們對該流量集進(jìn)行了處理,可以得到正常(以下簡稱白)DoH流量+正常HTTPS流量共514459次會(huì)話,惡意(以下簡稱黑)DoH流量共144167次會(huì)話。
DoHBrw-2020數(shù)據(jù)集主要針對國外廠商提供的DoH服務(wù),另外數(shù)據(jù)集偏小。為了彌補(bǔ)數(shù)據(jù)集不足,我們搭建模擬環(huán)境針對國內(nèi)主要DoH服務(wù)進(jìn)行了白/黑DoH流量搜集,通過自建DoH服務(wù)器,同樣進(jìn)行了白/黑DoH流量的搜集。白流量主要通過腳本調(diào)用熱門瀏覽器,利用DoH服務(wù)對常用網(wǎng)站進(jìn)行訪問進(jìn)行捕獲搜集。黑流量主要通過搭建Iodine、DNS2TCP、 DNScat2、Cobalt Strike等實(shí)驗(yàn)環(huán)境,利用國內(nèi)DoH服務(wù)器、自建DoH服務(wù)器等進(jìn)行流量搜集(所有數(shù)據(jù)搜集均在嚴(yán)格可控范圍內(nèi)進(jìn)行,未對實(shí)驗(yàn)環(huán)境之外設(shè)施造成影響)。
2 特征工程
特征工程是建立惡意DoH流量檢測模型的重要步驟,直接決定了模型檢出效果的好壞。如前所述,針對惡意DoH流量,無法單純從服務(wù)端證書、背景DNS、SNI信息等方面進(jìn)行檢測,因此本次特征工程的重點(diǎn)放在加密數(shù)據(jù)會(huì)話過程,即TLS協(xié)議的Application Data消息交互階段?;陂L期從事加密流量檢測的經(jīng)驗(yàn)和對DNS隧道行為的深刻理解,我們設(shè)計(jì)了超過100項(xiàng),大于1000維特征值,涵蓋加密消息個(gè)數(shù)、長度、到達(dá)時(shí)間等重要加密會(huì)話行為信息。我們在黑白DoH流量集上對這些特征進(jìn)行了分析。因特征眾多,在這里簡要列舉幾項(xiàng)。
? C_Total_Count/S_Total_Count:Client/Server端Application Data消息總個(gè)數(shù)(線性歸一,歸一化區(qū)間0-512):
通過數(shù)據(jù)統(tǒng)計(jì)可見,大約60%的白流量,Client端Application Data消息的總個(gè)數(shù)在0-0.01之間(約1-5個(gè)Application Data消息),而在這個(gè)區(qū)間的黑DoH流量僅占不到30%。大約45%的黑DoH流量個(gè)數(shù)在0.01-0.02之間(約6-10個(gè)Application Data消息)。在0.1-1區(qū)間(約大于50個(gè)Application Data消息)中包含了將近20%的惡意DoH流量,而本區(qū)間中的白流量僅占2.2%。Server端Application Data消息總個(gè)數(shù)分布與Client端相比有相似之處,但也有所不同,在此不再贅述。
? C_Len_Max/S_Len_Max:Client/Server端Application Data消息長度最大值(線性歸一,歸一化區(qū)間0- 16384):
通過數(shù)據(jù)統(tǒng)計(jì),90%的黑DoH流量,Client端Application Data最大長度傾向小于約160字節(jié),回傳過程中,Server端Application Data消息的最大長度基本都達(dá)到了16384字節(jié)。盡管如此,也不能使用Server端回傳大包這個(gè)單一因素進(jìn)行判別,因?yàn)?6%的白流量也會(huì)使用較長的Application Data消息進(jìn)行傳輸。
? S_Intervel_Trans[100]_4:Server端Application Data消息到達(dá)時(shí)間間隔轉(zhuǎn)移矩陣第五維:
我們在0-300秒時(shí)間內(nèi)根據(jù)數(shù)據(jù)分布,劃分為10個(gè)區(qū)間。將每兩個(gè)Application Data消息到達(dá)時(shí)間間隔根據(jù)區(qū)間落點(diǎn)的轉(zhuǎn)換,形成Application Data消息到達(dá)時(shí)間轉(zhuǎn)移矩陣。轉(zhuǎn)移矩陣為10*10,共100維。從流量集數(shù)據(jù)分析,在矩陣的第五維上,黑白流量獲得了比較好的分辨度。
篩選較好特征后,我們隨機(jī)選取了黑白流量各5000次會(huì)話,進(jìn)行了PCA降維可視化分析。PCA算法降至3維:
PCA算法降至2維:
由于降維過程中帶來的信息損失,3維和2維散點(diǎn)圖出現(xiàn)了少量合理的重疊。由特征工程以及可視化分析可知,我們選取的特征,可較好的分辨黑白流量集,為下一步訓(xùn)練模型提供了良好基礎(chǔ)。
3 模型訓(xùn)練和測試
選取Decision Tree、Logistic Regression、Random Forest、Linear Regression、Adaboost和SVM等算法進(jìn)行模型訓(xùn)練和測試對比,相應(yīng)結(jié)果如下:
從測試結(jié)果進(jìn)行分析,綜合考慮精確率、準(zhǔn)確率和模型泛化能力,結(jié)合工程化實(shí)現(xiàn)等因素,選取隨機(jī)森林算法作為產(chǎn)品使用的算法。
產(chǎn)品檢出
觀成瞰云-加密威脅智能檢測系統(tǒng)目前已集成惡意DoH流量檢測能力。產(chǎn)品檢出截圖如下所示:
從魚骨圖可以看出,雖然惡意DoH會(huì)話的SNI為知名白域名,但是上文所述的單流行為檢測模型給出了較高的判斷,另外惡意DoH會(huì)話的握手協(xié)商特征也與熱門瀏覽器的TLS握手協(xié)商存在差異,系統(tǒng)最終綜合決策評(píng)分為0.82,威脅標(biāo)簽為DNSTunnelOverHTTPS。
來源:數(shù)世咨詢