DNS隧道检测技术研究综述

doi:10.11772/j.issn.1001-9081.2024070972

《计算机应用》唯一官方网站 ›› 2025, Vol. 45 ›› Issue (7): 2079-2091.DOI: 10.11772/j.issn.1001-9081.2024070972

• CCF第39届中国计算机应用大会 (CCF NCCA 2024) • 上一篇下一篇

DNS隧道检测技术研究综述

郑智强¹, 王锐棋²^,³, 范子静³^,⁴, 何发镁⁵(), 姚叶鹏³^,⁴, 汪秋云³^,⁴, 姜政伟³^,⁴

^1.首都师范大学信息工程学院，北京 100048
^2.贵州师范大学大数据与计算机科学学院，贵阳 550025
^3.中国科学院信息工程研究所，北京 100085
^4.中国科学院大学网络空间安全学院，北京 100049
^5.北京理工大学图书馆，北京 100081

收稿日期:2024-07-10 修回日期:2024-10-09 接受日期:2024-10-09 发布日期:2025-07-10 出版日期:2025-07-10
通讯作者: 何发镁
作者简介:郑智强（1999—），男，辽宁大连人，硕士研究生，主要研究方向：加密流量分类、恶意流量识别
王锐棋（1996—），男，河南洛阳人，硕士，主要研究方向：流量分析、异常检测
范子静（1990—），女，河南洛阳人，助理研究员，博士，主要研究方向：人工智能安全
何发镁（1972—），男，四川盐亭人，副研究馆员，博士，主要研究方向：网络安全 hefm@bit.edu.cn
姚叶鹏（1987—），男，河北邢台人，副研究员，博士，主要研究方向：网络威胁分析与发现
汪秋云（1987—），男，广东茂名人，高级工程师，博士，主要研究方向：高级威胁检测与分析、恶意代码与恶意通信检测与分析
姜政伟（1985—），男，湖南郴州人，教授/正高级工程师，博士，CCF会员，主要研究方向：网络威胁分析、网络攻防对抗。

Survey of DNS tunneling detection technology research

Zhiqiang ZHENG¹, Ruiqi WANG²^,³, Zijing FAN³^,⁴, Famei HE⁵(), Yepeng YAO³^,⁴, Qiuyun WANG³^,⁴, Zhengwei JIANG³^,⁴

^1.Information Engineering College，Capital Normal University，Beijing 100048，China
^2.School of Big Data and Computer Science，Guizhou Normal University，Guiyang Guizhou 550025，China
^3.Institute of Information Engineering，Chinese Academy of Sciences，Beijing 100085，China
^4.School of Cyber Security，University of Chinese Academy of Sciences，Beijing 100049，China
^5.Library，Beijing Institute of Technology，Beijing 100081，China

Received:2024-07-10 Revised:2024-10-09 Accepted:2024-10-09 Online:2025-07-10 Published:2025-07-10
Contact: Famei HE
About author:ZHENG Zhiqiang， born in 1999， M. S. candidate. His research interests include encrypted traffic classification， malicious traffic identification.
WANG Ruiqi， born in 1996， M. S. His research interests include traffic analysis， anomaly detection.
FAN Zijing， born in 1990， Ph. D.， assistant research fellow. Her research interests include artificial intelligence security.
HE Famei， born in 1972， Ph. D.， associate research librarian. His research interests include cyber security.
YAO Yepeng， born in 1987， Ph. D.， associate research fellow. His research interests include cyber threat analysis and detection.
WANG Qiuyun， born in 1987， Ph. D.， senior engineer. His research interests include advanced threat detection and analysis， malicious code and malicious communication detection and analysis.
JIANG Zhengwei， born in 1985， Ph. D.， professor/senior engineer. His research interests include cyber threat analysis， network attack and defense confrontation.

摘要/Abstract

摘要：

域名系统（DNS）作为将IP地址和域名互相转换的系统，是互联网中的重要基础协议之一。由于DNS在互联网中的重要性，一些安全设施如防火墙和入侵检测系统（IDS）等的安全策略默认允许DNS流量通过，这给了攻击者利用DNS隧道进行通信的机会。目前，已经有许多恶意软件支持DNS通信，甚至默认使用DNS通信，这为网络安全工具和安全运营中心带来了很大的挑战。然而，现有的研究主要聚焦于具体的检测方法，即使绝大部分研究者在他们的研究中依赖隧道工具生成样本，却很少对隧道工具本身进行探索。因此，对DNS隧道检测技术研究进行综述。首先，系统阐述DNS隧道的发展历史、研究现状和现有的检测方案，并对过去10年中的检测方案的优缺点进行探讨。其次，对检测方案中常见的dnscat2、Iodine和dns2tcp等6种通信工具进行评估与实验，并公开实验数据。实验结果表明，绝大多数检测方案都没有公开它们的隧道样本数据集或使用隧道工具生成流量时所设定的参数，使这些检测方案很难复现。此外，部分检测方案使用的DNS隧道工具具有明显签名特征，而使用具有签名特征的样本对基于模型的检测方案进行训练将导致模型的泛化能力存疑，即无从得知这一类模型在真实世界中是否具有良好表现。最后，展望相关未来的工作方向。

关键词: DNS隧道, 隐蔽通信, 隧道工具, 隧道通信检测, 隧道检测特征, 隧道工具评估

Abstract:

As a system that converts IP addresses and domain names to each other， Domain Name System （DNS） is one of the important basic protocols in Internet. Due to the importance of DNS in Internet， the security policies of some security facilities such as firewalls and Intrusion Detection Systems （IDSs） allow DNS traffic to pass by default， giving attackers the opportunity to use DNS tunneling for communication. Currently， there are many malware that support DNS communication or even use DNS communication by default， which brings great challenges to network security tools and security operations centers. However， the existing research mainly focuses on specific detection methods and rarely explores the tunneling tools themselves， even though the majority of researchers rely on tunneling tools to generate samples. Therefore， the research on DNS tunnel detection technology was reviewed. Firstly， the development history and research status and the existing detection schemes of DNS tunneling were elaborated systematically， and the advantages and disadvantages of detection methods in the past 10 years were discussed. Subsequently， 6 commonly used tools in these detection schemes such as dnscat2， Iodine， and dns2tcp were evaluated and tested， and the experimental data was published. Experimental results show that most detection schemes do not disclose their tunneling sample datasets or the set parameters when using tunneling tools to generate traffic， making these schemes almost impossible to reproduce. Besides， some detection solutions use DNS tunneling tools with distinctive signature characteristics. Using samples with signature features to train model-based detection schemes will lead to doubts about the generalization ability of the model， that is， it is impossible to know whether this type of model will perform well in the real world. Finally， related future work development directions were prospected.

Key words: Domain Name System (DNS) tunneling, covert communication, tunneling tool, tunneling communication detection, tunneling detection feature, tunneling tool evaluation

中图分类号:

TP393

郑智强, 王锐棋, 范子静, 何发镁, 姚叶鹏, 汪秋云, 姜政伟. DNS隧道检测技术研究综述[J]. 计算机应用, 2025, 45(7): 2079-2091.

Zhiqiang ZHENG, Ruiqi WANG, Zijing FAN, Famei HE, Yepeng YAO, Qiuyun WANG, Zhengwei JIANG. Survey of DNS tunneling detection technology research[J]. Journal of Computer Applications, 2025, 45(7): 2079-2091.

图/表 11

参考文献 61

[1]	KrebsOnSecurity. Why is.US being used to phish so many of US？［EB/OL］. ［2024-03-31］. .
[2]	SEGURA J. Clever malvertising attack uses Punycode to look like KeePass’s official website ［EB/OL］. ［2024-03-31］. .
[3]	HINCHLIFFE A. DNS Tunneling： how DNS can be （ab） used by malicious actors ［EB/OL］. ［2024-03-31］. .
[4]	HEINZ F， OSTER J. NSTX ［EB/OL］. ［2024-03-31］. .
[5]	BOWES R. Dnscat2 ［EB/OL］. ［2024-03-31］. .
[6]	EKMAN E. Iodine ［EB/OL］. ［2024-03-31］. .
[7]	Fortra. Cobalt Strike ［EB/OL］. ［2024-03-31］. .
[8]	SHULMIN A. Use of DNS tunneling for C&C communications ［EB/OL］. ［2024-03-31］. .
[9]	微步情报局. “海莲花”团伙本月利用Office漏洞发起高频攻击［EB/OL］. ［2024-03-31］. .
	ThreatBook intelligence agency. The “OceanLotus” gang used Office vulnerabilities to launch high-frequency attacks this month ［EB/OL］. ［2024-03-31］. .
[10]	MOCKAPETRIS P. Domain names — concepts and facilities： RFC 882 ［S］. Reston， VA： Internet Society， 1983-11.
[11]	MOCKAPETRIS P. Domain names — implementation and specification： RFC 883 ［S］. Reston， VA： Internet Society， 1983-11.
[12]	MOCKAPETRIS P. Domain names — concepts and facilities： RFC 1034 ［S］. Reston， VA： Internet Society， 1987-11.
[13]	MOCKAPETRIS P. Domain names — implementation and specification： RFC 1035 ［S］. Reston， VA： Internet Society， 1987-11.
[14]	RIVEST R L， SHAMIR A， ADLEMAN L. A method for obtaining digital signatures and public-key cryptosystems ［J］. Communications of the ACM， 1978， 21（2）： 120-126.
[15]	McGREW D， IGOE K， SALTER M. Fundamental elliptic curve cryptography algorithms： RFC 6090 ［S］. Reston， VA： Internet Society， 2011-02.
[16]	GHOSH T， EI-SHEIKH E， JAMMAL W. A multi-stage detection technique for DNS-tunneled botnets ［J］. EPiC Series in Computing， 2019， 58： 137-143.
[17]	Fox-IT. Dissect.cobaltstrike ［EB/OL］. ［2024-03-31］. .
[18]	MARCHAL S， FRANÇOIS J， WAGNER C， et al. DNSSM： a large scale passive DNS security monitoring framework ［C］// Proceedings of the 2012 IEEE Network Operations and Management Symposium. Piscataway： IEEE， 2012： 988-993.
[19]	ISHIKURA N， KONDO D， VASSILIADES V， et al. DNS tunneling detection by cache-property-aware features ［J］. IEEE Transactions on Network and Service Management， 2021， 18（2）： 1203-1217.
[20]	DO V T， ENGELSTAD P， FENG B， et al. Detection of DNS tunneling in mobile networks using machine learning ［C］// Proceedings of the 2017 Information Conference on Intelligent Systems and Applications， LNEE 424. Singapore： Springer， 2017： 221-230.
[21]	AALEN O O. A linear regression model for the analysis of life times ［J］. Statistics in Medicine， 1989， 8（8）： 907-925.
[22]	BREIMAN L. Random forests ［J］. Machine Learning， 2001， 45（1）： 5-32.
[23]	LIU F T， TING K M， ZHOU Z H. Isolation forest ［C］// Proceedings of the 8th IEEE International Conference on Data Mining. Piscataway： IEEE， 2008： 413-422.
[24]	LeCUN Y， BOTTOU L， BENGIO Y， et al. Gradient-based learning applied to document recognition ［J］. Proceedings of the IEEE， 1998， 86（11）： 2278-2324.
[25]	HOCHREITER S， SCHMIDHUBER J. Long short-term memory ［J］. Neural Computation， 1997， 9（8）： 1735-1780.
[26]	WANG Y， ZHOU A， LIAO S， et al. A comprehensive survey on DNS tunnel detection ［J］. Computer Networks， 2021， 197： No.108322.
[27]	BORN K， GUSTAFSON D. Detecting DNS tunnels using character frequency analysis ［EB/OL］. ［2024-03-31］. .
[28]	ELLENS W， ŻURANIEWSKI P， SPEROTTO A， et al. Flow-based detection of DNS tunnels ［C］// Proceedings of the 2013 IFIP International Conference on Autonomous Infrastructure， Management and Security， LNCS 7943. Berlin： Springer， 2013： 124-135.
[29]	BINSALLEEH H， KARA A M， YOUSSEF A， et al. Characterization of covert channels in DNS ［C］// Proceedings of the 6th International Conference on New Technologies， Mobility and Security. Piscataway： IEEE， 2014： 1-5.
[30]	SHERIDAN S， KEANE A. Detection of DNS based covert channels ［EB/OL］. ［2024-03-31］. .
[31]	LUO M， WANG Q， YAO Y， et al. Towards comprehensive detection of DNS tunnels ［C］// Proceedings of the 2020 IEEE Symposium on Computers and Communications. Piscataway： IEEE， 2020： 1-7.
[32]	AIELLO M， MONGELLI M， PAPALEO G. Supervised learning approaches with majority voting for DNS tunneling detection ［C］// Proceedings of the 2014 International Joint Conference on Soft Computing Models in Industrial and Environmental Applications/ International Joint Conference Computational Intelligence in Security for Information Systems/ International Conference on European Transnational Education， 5th International Conference， AISC 299. Cham： Springer， 2014： 463-472.
[33]	DAS A， SHEN M Y， SHASHANKA M， et al. Detection of exfiltration and tunneling over DNS ［C］// Proceedings of the 16th IEEE International Conference on Machine Learning and Applications. Piscataway： IEEE， 2017： 737-742.
[34]	AHMED J， GHARAKHEILI H H， RAZA Q， et al. Real-time detection of DNS exfiltration and tunneling from enterprise networks ［C］// Proceedings of the 2019 IFIP/IEEE Symposium on Integrated Network and Service Management. Piscataway： IEEE， 2019： 649-653.
[35]	WU K， ZHANG Y， YIN T. FTPB： a three-stage DNS tunnel detection method based on character feature extraction ［C］// Proceedings of the IEEE 19th International Conference on Trust， Security and Privacy in Computing and Communications. Piscataway： IEEE， 2020： 250-258.
[36]	LIU J， LI S， ZHANG Y， et al. Detecting DNS tunnel through binary-classification based on behavior features ［C］// Proceedings of the 16th IEEE International Conference on Trust， Security and Privacy in Computing and Communications. Piscataway： IEEE， 2017： 339-346.
[37]	ALMUSAWI A， AMINTOOSI H. DNS tunneling detection method based on multilabel support vector machine ［J］. Security and Communication Networks， 2018， 2018： No.6137098.
[38]	LAMBION D， JOSTEN M， OLUMOFIN F， et al. Malicious DNS tunneling detection in real-traffic DNS data ［C］// Proceedings of the 2020 IEEE International Conference on Big Data. Piscataway： IEEE， 2020： 5736-5738.
[39]	ZHAO Y， YE H， LI L， et al. Detecting DNS tunnels using session behavior and random forest method ［C］// Proceedings of the IEEE 5th International Conference on Data Science in Cyberspace. Piscataway： IEEE， 2020： 45-52.
[40]	WANG S， SUN L， QIN S， et al. KRTunnel： DNS channel detector for mobile devices ［J］. Computers and Security， 2022， 120： No.102818.
[41]	MAHDAVIFAR S， HANAFY SALEM A， VICTOR P， et al. Lightweight hybrid detection of data exfiltration using DNS based on machine learning ［C］// Proceedings of the 11th International Conference on Communication and Network Security. New York： ACM， 2021： 80-86.
[42]	ZEBIN T， REZVY S， LUO Y. An explainable AI-based intrusion detection system for DNS over HTTPS （DoH） attacks ［J］. IEEE Transactions on Information Forensics and Security， 2022， 17： 2339-2349.
[43]	SHAFIEIAN S， SMITH D， ZULKERNINE M. Detecting DNS tunneling using ensemble learning ［C］// Proceedings of the 2017 International Conference on Network and System Security， LNCS 10394. Cham： Springer， 2017： 112-127.
[44]	NADLER A， AMINOV A， SHABTAI A. Detection of malicious and low throughput data exfiltration over the DNS protocol ［J］. Computers and Security， 2019， 80： 36-53.
[45]	ALHARBI T， KOUTNY M. Domain Name System （DNS） tunnelling detection using Structured Occurrence Nets （SONs）［C］// Proceedings of the 2019 International Workshop on Petri Nets and Software Engineering. Aachen： CEUR-WS.org， 2019： 93-108.
[46]	LAI C M， HUANG B C， HUANG S Y， et al. Detection of DNS tunneling by feature-free mechanism ［C］// Proceedings of the 2018 IEEE Conference on Dependable and Secure Computing. Piscataway： IEEE， 2018： 1-2.
[47]	LIU C， DAI L， CUI W， et al. A byte-level CNN method to detect DNS tunnels ［C］// Proceedings of the IEEE 38th International Performance Computing and Communications Conference. Piscataway： IEEE， 2019： 1-8.
[48]	CHEN Y， LI X. A high accuracy DNS tunnel detection method without feature engineering ［C］// Proceedings of the 16th International Conference on Computational Intelligence and Security. Piscataway： IEEE， 2020： 374-377.
[49]	WU K， ZHANG Y， YIN T. TDAE： autoencoder-based automatic feature learning method for the detection of DNS tunnel ［C］// Proceedings of the 2020 IEEE International Conference on Communications. Piscataway： IEEE， 2020： 1-7.
[50]	LIANG J， WANG S， ZHAO S， et al. FECC： DNS tunnel detection model based on CNN and clustering ［J］. Computers and Security， 2023， 128： No.103132.
[51]	ZHANG J， YANG L， YU S， et al. A DNS tunneling detection method based on deep learning models to prevent data exfiltration ［C］// Proceedings of the 2019 International Conference on Network and System Security， LNCS 11928. Cham： Springer， 2019： 520-535.
[52]	PALAU F， CATANIA C， GUERRA J， et al. DNS tunneling： a deep learning based lexicographical detection approach ［EB/OL］. ［2024-03-31］. .
[53]	CHEN S， LANG B， LIU H， et al. DNS covert channel detection method using the LSTM model ［J］. Computers and Security， 2021， 104： No.102095.
[54]	D’ANGELO G， CASTIGLIONE A， PALMIERI F. DNS tunnels detection via DNS-images ［J］. Information Processing and Management， 2022， 59（3）： No.102930.
[55]	Umbrella Cisco. Cisco Umbrella ［EB/OL］. ［2024-03-31］. .
[56]	DEMBOUR O. Dns2tcp ［EB/OL］. ［2024-03-31］. .
[57]	KAMINSKY D. OzymanDNS ［EB/OL］. ［2024-03-31］. .
[58]	GOHR A. Dnstunnel ［EB/OL］. ［2024-03-31］. .
[59]	BIENAIMÉ P， MAZON P. DNScapy ［EB/OL］. ［2024-03-31］. .
[60]	BORGES D. Reverse_DNS_Shell ［EB/OL］. ［2024-03-31］. .
[61]	Raaaaag. DNS_tunneling_traffic ［EB/OL］. ［2024-04-01］. .

年份	文献	隧道样本工具	检测规则	表现	优势	劣势
2010	文献［27］	Iodine、 dns2tcp、 TCPoverDNS	字符分布	—	—	—
2013	文献［28］	Iodine	流级阈值经验累积分布	FPR=0.01时TP=0.773^*	FPR低对域名不敏感	仅针对一种隧道容易被绕过
2014	文献［29］	2种恶意软件	通信模式	—	—	—
2015	文献［30］	Iodine	Iodine的签名规则	—	—	—
2019	文献［16］	dns2tcp	dns2tcp的签名规则	—	低成本 FPR低	FN高（约10%）
2021	文献［19］	dnscat2	缓存未命中率	AUC=0.993 6 TPR=0.974 3^**	不关注域名误报率低	低通量时表现不佳

年份	文献	隧道样本工具	检测规则	表现	优势	劣势
2010	文献［27］	Iodine、 dns2tcp、 TCPoverDNS	字符分布	—	—	—
2013	文献［28］	Iodine	流级阈值经验累积分布	FPR=0.01时TP=0.773^*	FPR低对域名不敏感	仅针对一种隧道容易被绕过
2014	文献［29］	2种恶意软件	通信模式	—	—	—
2015	文献［30］	Iodine	Iodine的签名规则	—	—	—
2019	文献［16］	dns2tcp	dns2tcp的签名规则	—	低成本 FPR低	FN高（约10%）
2021	文献［19］	dnscat2	缓存未命中率	AUC=0.993 6 TPR=0.974 3^**	不关注域名误报率低	低通量时表现不佳

年份	文献	隧道样本工具	检测特征	分类器	表现	特点	问题
2014	文献［32］	dns2tcp	域名字符串和RR	贝叶斯	—	二级分类可分辨流量类型	隧道样本出自同一工具；评价指标少
2017	文献［33］	dnscat	域名特征共计10个	逻辑回归	TPR=0.917， FPR=0.004	FPR低	仅检测TXT类型；隧道样本出自同一工具
2017	文献［36］	dnscat2、iodine、dns2tcp、OzymanDNS	包特征、域名特征、时序特征共计18个	逻辑回归	F1=0.998 1	—	只能检测已知隧道；部分工具产生的样本存在明显签名特征
2017	文献［43］	iodine、dnscat、OzymanDNS	包特征和域名特征共计9个	RF、kNN和多层感知机组合			部分工具产生的样本存在明显签名特征
2018	文献［37］	dns2tcp	包特征、域名特征共计8个	多标签贝叶斯 SVM	F1=0.800 0	可以分辨隧道内的流量类型	隧道样本出自同一工具
2019	文献［44］	2种恶意软件 Iodine、dns2tcp	流特征、域名特征共计6个	IF	—	能检测到低通量隧道	依赖SLD；评价指标少
2019	文献［34］	从学校和企业处收集， DNS Exfiltration Toolkit	域名特征共计8个	IF	acc=0.968^*	可在实时状态下工作	泄露样本出自同一工具
2019	文献［45］	iodine	将数据包建模为发生网络，并检测异常	逻辑回归	—	—	样本比例低时无法工作；隧道样本出自同一工具；评价指标少
2020	文献［35］	dns2tcp、dnscapy、dnscat2、OzymanDNS、Iodine、Weasel、PacketWhisper	域名特征共计9个	使用C4.5的装袋算法	F1=0.998 0	比较了多种机器学习算法可识别编码簿型隧道	部分工具产生的样本域名存在明显签名特征
2020	文献［38］	从企业、学校、ISP处收集	流特征和域名特征共计10个；域名输入CNN，其输出作为第11特征	随机森林	FPR=0.01， AUC=0.923	可部署在真实环境中	—
2020	文献［39］	dns2tcp、dnscat2、TCPoverDNS、iodine	流特征、域名特征共计9个	RF	F1=0.957 9	—	—
2020	文献［31］	dns2tcp、dnscapy、dnscat2、CobaltStrike、pisloader、dnsdelivery、Glimpse	流特征、包特征、域名特征共计29个	IF	F1=0.786 0	可以检测A和AAAA类型	低通量隧道可能会被忽略
2021	文献［40］	Andiodine （Iodine）	流特征、包特征、域名特征共计9个	IF	F1=0.978 0	移动设备的DNS隧道	隧道样本出自同一工具
2021	文献［41］	DNS Exfiltration Toolkit	流特征、包特征、域名特征共计30个	RF	F1=0.999 4	轻量级检测方案	一级检测本质上是阈值规则，易被绕过；隧道样本出自同一工具
2022	文献［42］	dnscat2、Iodine、dns2tcp	流特征、包特征、时序特征共计29个	平衡堆叠随机森林	F1=0.999 1	可以识别DoH中的隧道具有可解释性	—

年份	文献	隧道样本工具	检测特征	分类器	表现	特点	问题
2014	文献［32］	dns2tcp	域名字符串和RR	贝叶斯	—	二级分类可分辨流量类型	隧道样本出自同一工具；评价指标少
2017	文献［33］	dnscat	域名特征共计10个	逻辑回归	TPR=0.917， FPR=0.004	FPR低	仅检测TXT类型；隧道样本出自同一工具
2017	文献［36］	dnscat2、iodine、dns2tcp、OzymanDNS	包特征、域名特征、时序特征共计18个	逻辑回归	F1=0.998 1	—	只能检测已知隧道；部分工具产生的样本存在明显签名特征
2017	文献［43］	iodine、dnscat、OzymanDNS	包特征和域名特征共计9个	RF、kNN和多层感知机组合			部分工具产生的样本存在明显签名特征
2018	文献［37］	dns2tcp	包特征、域名特征共计8个	多标签贝叶斯 SVM	F1=0.800 0	可以分辨隧道内的流量类型	隧道样本出自同一工具
2019	文献［44］	2种恶意软件 Iodine、dns2tcp	流特征、域名特征共计6个	IF	—	能检测到低通量隧道	依赖SLD；评价指标少
2019	文献［34］	从学校和企业处收集， DNS Exfiltration Toolkit	域名特征共计8个	IF	acc=0.968^*	可在实时状态下工作	泄露样本出自同一工具
2019	文献［45］	iodine	将数据包建模为发生网络，并检测异常	逻辑回归	—	—	样本比例低时无法工作；隧道样本出自同一工具；评价指标少
2020	文献［35］	dns2tcp、dnscapy、dnscat2、OzymanDNS、Iodine、Weasel、PacketWhisper	域名特征共计9个	使用C4.5的装袋算法	F1=0.998 0	比较了多种机器学习算法可识别编码簿型隧道	部分工具产生的样本域名存在明显签名特征
2020	文献［38］	从企业、学校、ISP处收集	流特征和域名特征共计10个；域名输入CNN，其输出作为第11特征	随机森林	FPR=0.01， AUC=0.923	可部署在真实环境中	—
2020	文献［39］	dns2tcp、dnscat2、TCPoverDNS、iodine	流特征、域名特征共计9个	RF	F1=0.957 9	—	—
2020	文献［31］	dns2tcp、dnscapy、dnscat2、CobaltStrike、pisloader、dnsdelivery、Glimpse	流特征、包特征、域名特征共计29个	IF	F1=0.786 0	可以检测A和AAAA类型	低通量隧道可能会被忽略
2021	文献［40］	Andiodine （Iodine）	流特征、包特征、域名特征共计9个	IF	F1=0.978 0	移动设备的DNS隧道	隧道样本出自同一工具
2021	文献［41］	DNS Exfiltration Toolkit	流特征、包特征、域名特征共计30个	RF	F1=0.999 4	轻量级检测方案	一级检测本质上是阈值规则，易被绕过；隧道样本出自同一工具
2022	文献［42］	dnscat2、Iodine、dns2tcp	流特征、包特征、时序特征共计29个	平衡堆叠随机森林	F1=0.999 1	可以识别DoH中的隧道具有可解释性	—

年份	文献	隧道样本工具	模型输入	神经网络	表现	特点	问题
2014	文献［32］	dns2tcp	域名字符串和RR字符串	NN	—	可分辨隧道内应用程序	隧道样本来自同一工具；评价指标少
2018	文献［46］	iodine	DNS响应包	NN	F1=0.998 0	—	隧道样本来自同一工具；模型描述模糊
2019	文献［47］	iodine、dnscat2、dns2tcp、dnscapy、reverseDNSshell	原始字节流	CNN	F1=0.999 8	模型表现好	时间复杂度高
2019	文献［51］	iodine、dns2tcp、dnscat2、reverseDNSshell	去除了TLD的FQDN	CNN	F1=0.980 1	—	—
2020	文献［48］	dnscat2、iodine、dns2tcp、OzymanDNS	原始字节序列	Char-CNN	F1=0.961 5	具有增量学习特性	部分隧道工具有明显签名特征
2020	文献［38］	从企业、学校、ISP处收集	FQDN	CNN+RF	FPR=0.01， AUC=0.923	可部署在真实环境	数据集描述模糊
2020	文献［52］	tuns、dnscat2、dns2tcp、iodine、DNSexfiltrator	FQDN	CNN	F1=0.957 5	—	—
2020	文献［49］	dns2tcp、dnscapy、dnscat2、OzymanDNS、iodine	数据包前400字节	AE	F1=0.967 0	检测未知隧道	—
2021	文献［53］	Iodine、dnscat2、dns2tcp、reverseDNSshell、OzymanDNS、CobaltStrike、DNSExfiltrator、DET	FQDN	LSTM	F1=0.993 9	—	—
2021	文献［19］	dnscat2	日志中提取的AMC数据集	LSTM	FPR=0.025， AUC=0.974 6	不关注域名	—
2022	文献［54］	iodine、dnscat2、OzymanDNS	包和域名特征共计22个特征导出的二维图像	CNN	F1=0.999 6	模型表现好	部分隧道工具有明显签名特征
2023	文献［50］	iodine、dnscat2、dns2tcp、dnscapy、reverseDNSshell	原始字节流	CNN+KNN	F1=0.983 3	训练成本低	—

DNS隧道检测技术研究综述

Survey of DNS tunneling detection technology research

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 11

参考文献 61

相关文章 2

编辑推荐

Metrics

参数	含义	范围
-T	查询类型	CNAME、MX、TXT、A、AAAA
--delay	包间延迟	最小50 ms

参数	含义	范围
-T	查询类型	NULL、PRIVATE、TXT、SRV、 MX、CNAME、A
-O	编码方式	Base32、Base64、Base128
-M	最大域名长度	100~255字节
-m	最大负载切片长度	0~1 344字节
-I	最大请求间隔	最小1 s

隧道工具	DNS类型（“&”后为可选项）	前向平均包长度/B	后向平均包长度/B	平均域名长度/B	每秒前向包数	是否支持高级或自定义加密	连接模式	支持远程控制	支持二层隧道	仍在更新
dnscat2	TXT MX CNAME & A AAAA	221.30	316.68	161.25	4.68	是	中继和直连	是	是	是
iodine	NULL TXT CNAME & A AAAA	281.26	349.85	206.40	13.71	否	中继和直连	是	是	是
dns2tcp	TXT & KEY	91.89	291.23	31.90	4.97	否	中继和直连	是	是	否
dnscapy	TXT CNAME	93.33	262.62	33.33	4.68	否	直连	是	否	否
Ozymandns	TXT	105.38	143.20	45.38	18.19	否	直连	是	否	否
Reverse_DNS_Shell	A TXT	121.22	121.99	61.03	11.60	是	直连	是	是	否

[1]	高斌, 翟江涛, 戴跃伟. 基于BitTorrent协议Have消息的信息隐藏方法[J]. 计算机应用, 2017, 37(1): 200-205.
[2]	刘静汤光明. 主动攻击下的隐写系统博弈模型[J]. 计算机应用, 2014, 34(3): 720-723.