(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111182875.4 (22)申请日 2021.10.1 1 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 庞瑞　 (74)专利代理 机构 工业和信息化部电子专利中 心 11010 代理人 焉明涛 (51)Int.Cl. G06N 3/04(2006.01) G06N 3/08(2006.01) G06N 20/00(2019.01)H04L 12/46(2006.01) H04L 61/4511(2022.01) (54)发明名称 一种DNS隧道流量模拟方法、 装置及检测方 法 (57)摘要 本发明公开了一种DNS隧道流量模拟方法、 装置及检测方法， 包括： 利用训练获得的生成器 来生成所需的DNS隧道流量； 其中， 通过如下步骤 训练生成器： 通过生成器生成模拟DNS隧道流量， 生成器的输入为随机向量， 其输出为指定长度的 模拟DNS隧道流量， 且指定长度是根据 DNS流量样 本确定的； 通过判别器对模拟DNS隧道流量进行 判定， 并输 出二分类的判别结果， 判别器基于DNS 流量样本训练获得； 训练生成器和判别器， 判别 器被配置为在训练过程中将模拟DNS隧道 流量判 别为真实隧道 流量的数量越多， 生成器的性能越 好。 本实施例通过基于生 成对抗网络训练获得的 生成器能够大量生成模拟的DNS隧道流量， 从而 提高机器学习模型的识别效果。 权利要求书2页 说明书6页 附图2页 CN 114048836 A 2022.02.15 CN 114048836 A 1.一种基于生成对抗网络的DNS隧道流量模拟方法， 其特征在于， 包括： 利用训练获得 的生成器来 生成所需的DNS隧道流 量； 其中， 通过如下步骤训练所述 生成器： 通过生成器生成模拟DNS隧道流量， 所述生成器的输入为随机向量， 其输出为指定长度 的模拟DNS隧道流 量， 且所述指定 长度是根据DNS流 量样本确定的； 通过判别器对所述模拟DNS隧道流量进行判定， 并输出二分类的判别结果， 所述判别器 基于DNS流 量样本训练获得； 训练所述生成器和所述判别器， 所述判别器被配置为在训练过程中将所述模拟DNS隧 道流量判别为真实隧道流 量的数量越多， 所述 生成器的性能越好。 2.如权利要求1所述的基于生成对抗网络的DNS隧道流量模拟方法， 其特征在于， 还包 括： 获取已知的DNS流量样本， 所述DNS流量样本包括正常的DNS报文流量数据和真实DNS隧 道流量数据； 将DNS隧道流量样本中的各流量数据转换至指定长度， 在所述DNS流量样本报文字段的 长度不足或者超过 所述指定 长度的情况 下， 通过补零或者截断的方式转换至指定 长度。 3.如权利要求2所述的基于生成对抗网络的DNS隧道流量模拟方法， 其特征在于， 训练 所述生成器和所述判别器包括： 固定所述生成器的网络参数， 基于所述DNS流量样本训练所述判别器， 以调整所述判别 器的参数； 固定所述判别器的网络参数， 通过所述生成器生成模拟的DNS隧道流量， 并通过所述判 别器进行判定， 以调整所述 生成器的参数。 4.如权利要求3所述的基于生成对抗网络的DNS隧道流量模拟方法， 其特征在于， 调整 所述生成器的参数之后， 所述DNS隧道流 量模拟方法还 包括： 在迭代训练预设次数后， 基于所述生成器生成模拟的DNS隧道流量， 对所述判别器执行 一次训练， 并调整所述判别器的参数。 5.如权利要求3所述的基于生成对抗网络的DNS隧道流量模拟方法， 其特征在于， 在固 定所述判别器的网络参数， 训练所述生成器的过程中， 所述生成器的输入的随机 向量中还 包括预设概 率分布的噪声。 6.如权利要求5所述的基于生成对抗网络的DNS隧道流量模拟方法， 其特征在于， 利用 训练获得的生成器来 生成所需的DNS隧道流 量包括： 利用与训练过程中的随机向量具有相同分布的信号作为 生成器的输入； 在所述生成器生成的数据模式不单一且满足所述判别器的指标要求的情况下， 基于所 述生成器输出 所需的DNS隧道流 量。 7.如权利要求1 ‑6任一项所述的基于生成对抗网络的DNS隧道流量模拟方法， 其特征在 于， 利用训练获得的生成器来生成所需的DNS隧道流量之后， 所述DNS隧道流量模拟方法还 包括： 对所述生成器来 生成的DNS隧道流 量进行筛 选， 剔除不符合DNS协议的流 量。 8.一种基于生成对抗网络的DNS隧道流量模拟装置， 其特征在于， 包括存储器和处理 器； 其中， 所述存储器， 用于存储计算机程序， 所述处理器用于执行所述计算机程序时实现权　利　要　求　书 1/2 页 2 CN 114048836 A 2如权利要求1至7任一项所述的基于生成对抗网络的DNS隧道流 量模拟方法的步骤。 9.一种DNS隐蔽隧道的检测方法， 其特 征在于， 包括： 获取网络的DNS流 量数据； 利用机器学习模型对所述DNS流量数据进行识别， 其中所述机器学习模型基于如权利 要求1‑7任一项所述的基于生成对抗网络的DNS隧道 流量模拟方法所生 成的DNS隧道流量以 及正常DNS流 量进行训练获得。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处 理器执行时实现如权利要求1至7中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114048836 A 3