买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉哈尔滨工业大学申请的专利一种DNS隧道检测方法获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN119996065B 。

龙图腾网通过国家知识产权局官网在2025-10-21发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202510401906.2，技术领域涉及：H04L9/40；该发明授权一种DNS隧道检测方法是由谢润泽;叶麟;周瀚文;史玉申;万梦丹;樊骐瑞;代洪千;詹东阳;张宏莉设计研发完成，并于2025-04-01向国家知识产权局提交的专利申请。

本一种DNS隧道检测方法在说明书摘要公布了：本发明公开了一种DNS隧道检测方法，属于安全通信技术领域。解决了现有技术中传统的DNS隧道检测方法难以检测低吞吐DNS隧道和分布式DNS隧道的问题；本发明使用设定的第一聚合键对数据包进行聚合，并使用自编码器进行初步检测与评分，对常规DNS隧道进行检测；使用设定的第二聚合键和第三聚合键分别对一阶聚合的元数据再次进行聚合，分别从通信对象与域名维度对低吞吐DNS隧道和分布式DNS隧道进行检测；将三个自编码器的评分送入一个作为非线性投票机制的自编码器，最后非线性投票机制根据三个聚合键下数据的评分做出最终判断，得到检测结果。本发明有效提升了DNS隧道检测的全面性，可以应用于检测分布式DNS隧道。

本发明授权一种DNS隧道检测方法在权利要求书中公布了：1.一种DNS隧道检测方法，其特征在于，包括以下步骤： S1.通过获取训练流量数据集、过滤流量数据集、提取与存储包级元数据进行流量预处理，得到数据包级数据库； S2.根据数据包级数据库，进行基于IP-Domain的一阶聚合与检测，得到会话级元数据库、会话级特征库和训练好的会话级异常检测模型； S3.根据会话级元数据库，基于IP与Domain的二阶聚合与检测，得到训练好的域名级异常检测模型和通信级异常检测模型； S4.根据训练好的会话级异常检测模型、域名级异常检测模型和通信级异常检测模型，使用非线性投票器进行综合检测，若检测到DNS隧道则产生高级警报； 所述S2中，包括以下步骤： S21.根据数据包级数据库，生成表示为src_ip，domain，dst_ip的会话级聚合键，得到会话级元数据库和会话级特征库，完成基于IP-Domain的一阶聚合； S22.根据会话级特征库，进行张量转换，对得到的会话特征数据张量进行标准化处理，采用标准化处理后的会话级特征数据对会话级自编码器进行深度无监督训练，得到训练好的会话级异常检测模型，完成基于IP-Domain的一阶检测； 所述S21中，包括以下步骤： S211.读取数据包级数据库中数据包级元数据表； S212.依据数据包级数据库的数据包级元数据表信息、所选取的会话级元数据数据库和会话级特征创建会话级数据库，数据包级数据库中每个数据表对应一个会话级元数据表和会话级特征表； S213.遍历处理数据包级数据库的每个数据包级元数据表； S214.读取数据包级元数据表中的包级元数据； S215.对包级元数据中的域名字段进行主域名提取； S216.生成会话级聚合键，即提取包级元数据中表示为src_ip的源IP和表示为dst_ip的目的IP，与步骤S215提取到的主域名domain组合得到表示为src_ip，domain，dst_ip的会话级聚合键； S217.创建会话级元数据条目，即如果当前处理的聚合键在会话级元数据字典中不存在相关记录，则将其视为新会话，在会话级元数据字典和会话级时间字典中创建相关条目，将会话级元数据条目整合为会话级元数据； S218.更新会话级元数据，即如果当前处理的聚合键在会话级元数据字典中存在相关记录，则对会话级元数据字典和会话级时间字典进行更新； S219.通过对会话级元数据进行聚合均值计算，得到会话级特征； S2110.将聚合键和会话级元数据保存至会话级元数据表中，得到会话级元数据库，并将聚合键和会话级特征数据保存至会话级特征表中，得到会话级特征库； 所述S22中，包括以下步骤： S221.读取会话级特征库中的会话级特征数据表； S222.对会话级特征库中的每个会话级特征数据表进行遍历处理； S223.读取每个会话级特征数据表中的特征数据，为避免内存爆炸，每次读取设定的N条特征数据； S224.进行张量转换，将读取到的特征数据由元组类型转化为适用于深度学习框架Pytorch的张量类型； S225.对会话特征数据张量使用最小-最大标准化方法进行处理，得到标准化处理后的会话特征数据，将每类元数据值映射至[0，1]区间； S226.使用标准化处理后的会话级特征数据作为会话级自编码器的输入数据，进行深度无监督训练； S227.将训练好的会话级异常检测模型保存为.pth文件； 所述S3中，包括以下步骤： S31.根据会话级元数据库，生成表示为src_ip，dst_ip的通信级聚合键，得到通信级特征库，完成通信级特征聚合； S32.根据会话级元数据库，生成域名级聚合键，得到域名级特征库，完成域名级特征聚合； S33.采用标准化处理后的域名级特征与通信级特征数据分别对域名级自编码器和通信级自编码器进行深度无监督训练，得到训练好的域名级异常检测模型和通信级异常检测模型，完成二阶检测； 所述S31中，包括以下步骤： S311.读取会话级元数据库中所有数据表； S312.依据数据会话级元数据库中会话级元数据表信息和所选取的通信级特征，创建通信级特征数据库，每个会话级元数据表对应通信级特征表； S313.遍历处理会话级元数据库中每个会话级元数据表； S314.读取会话级元数据表中的会话级元数据； S315.生成通信级聚合键，提取会话级元数据中表示为src_ip的源IP和表示为dst_ip的目的IP组合得到表示为src_ip，dst_ip的通信级聚合键； S316.创建通信级元数据条目，即如果当前处理的聚合键在通信级元数据字典中不存在相关记录，则将其视为新会话，在通信级元数据字典中创建相关条目，整合为通信级元数据； S317.更新通信级元数据，即如果当前处理的聚合键在通信级元数据字典中存在相关记录，则对通信级元数据字典进行更新； S318.通过对通信级元数据进行计算，得到通信级特征； S319.将通信级聚合键和通信级特征保存至通信级特征表中，得到通信级特征库； 所述S32中，包括以下步骤： S321.读取会话级元数据库中的所有会话级元数据表； S322.依据数据会话级元数据库中的会话级元数据表信息和所选取的域名级特征，创建域名级特征数据库，每个会话级元数据表对应域名级特征表； S323.遍历处理会话级元数据库中的每个会话级元数据表； S324.读取会话级元数据表中的会话级元数据； S325.生成域名级聚合键，即提取会话级元数据中的主域名domain作为域名级聚合键； S326.创建域名级元数据条目，如果当前处理的聚合键在域名级元数据字典中没有相关记录，则将其视为新会话，在域名级元数据字典中创建相关条目，整合为域名级元数据； S327.更新域名级元数据，即如果当前处理的聚合键在域名级元数据字典中存在相关记录，则对域名级元数据字典进行更新； S328.通过对域名级元数据进行计算，得到域名级特征； S329.将域名级聚合键和域名级特征保存至域名级特征表中，得到域名级特征库。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人哈尔滨工业大学，其通讯地址为：150001 黑龙江省哈尔滨市南岗区西大直街92号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。

以上内容由龙图腾AI智能生成。