[本文摘要]

为提出一种有效检测各类型DNS隐蔽通道的方法，研究了DNS隐蔽通信流量特性，提取可区分合法查询与隐蔽通信的12个数据分组特征，利用机器学习的分类器对其会话统计特性进行判别。实验表明，决策树模型可检测训练中全部22种DNS隐蔽通道，并可识别未经训练的新型隐蔽通道。提出的检测方法在校园网流量实际部署中成功检出了多个DNS隧道的存在。