一种DoH实时流量识别系统

信息安全研究 ›› 2025, Vol. 11 ›› Issue (4): 358-.

一种DoH实时流量识别系统

孙璇马行一康海燕

(北京信息科技大学计算机学院北京100192)

出版日期:2025-04-30 发布日期:2025-05-01
通讯作者: 马行一硕士研究生.主要研究方向为网络安全、信息隐藏. 2021020899@bistu.edu.cn
作者简介:孙璇博士，副教授.主要研究方向为人工智能、网络安全. sunxuan@bistu.edu.cn 马行一硕士研究生.主要研究方向为网络安全、信息隐藏. 2021020899@bistu.edu.cn 康海燕博士，教授.主要研究方向为网络安全、隐私计算. kanghaiyan@126.com

A DoH Realtime Traffic Identification System

Sun Xuan, Ma Xingyi, and Kang Haiyan

(School of Computer, Beijing Information Science and Technology University, Beijing 100192)

Online:2025-04-30 Published:2025-05-01

摘要/Abstract

摘要： DoH(DNSoverHTTPS)技术已经成为加密DNS的主要手段.与经过长时间捕获得到的DoH流量数据集不同，进行DoH实时流量识别需要多次短时间内捕获流量，导致流量呈碎片化，使得流级和会话级特征不适用.为了解决这一问题，提出了一种DoH实时流量识别系统.系统利用DNS解析服务器IP字典进行初步快速识别，并根据DoH实时流量在数据包长度、数据包间时延及流量激增的相关特性，建立了针对DoH实时流量的特征提取方法，搭配机器学习模型进行流量准确识别.使用多个网络公开数据集，并自主生成DoH实时流量数据集进行验证实验.实验结果显示，流量识别系统所使用的特征提取方法能准确识别DoH实时流量.

关键词: DNS, DNSoverHTTPS, 加密流量, 实时流量, 机器学习

Abstract: DoH(Dnsoverhttps) technology has become the main means of encrypting DNS. Different from DoH traffic data sets that are captured over a long period of time, realtime DoH traffic identification requires multiple traffic capture in a short period of time, resulting in traffic fragmentation and makeing flow level and session level features not applicable. In order to solve this problem, a DoH realtime traffic identification system is proposed. The system utilizes the DNS resolution server IP dictionary for preliminary and rapid identification, and establishes a feature extraction method for DoH realtime traffic based on the relevant characteristics of packet length, inter packet latency, and traffic surge, combined with machine learning models for accurate traffic identification. Multiple network public datasets are used, and a realtime DoH traffic dataset are independently generated for verification experiments. The experimental results show that the feature extraction method used in the traffic identification system, can accurately identify realtime DoH traffic.

Key words: DNS, DNSoverHTTPS, encrypted traffic, real time traffic, machine learning

中图分类号:

TP393.08

孙璇, 马行一, 康海燕, . 一种DoH实时流量识别系统[J]. 信息安全研究, 2025, 11(4): 358-.

参考文献

［1］Chhabra R, Murley P, Kumar D, et al. Measuring DNSoverHTTPS performance around the world［C］ Proc of the 21st ACM Internet Measurement Conference. New York: ACM, 2021: 351365［2］林泉. 抵御加密DNS流量分析的技术研究［D］. 南京: 东南大学, 2023［3］张曼, 姚健康, 李洪涛, 等. DNS信道传输加密技术: 现状、趋势和挑战［J］. 软件学报, 2024, 35(1): 309332［4］杨礼嘉. 中国DNS over HTTPS应用实测分析及改进研究［D］. 南京: 南京邮电大学, 2022［5］Zhan Mengqi, Li Yang, Yu Guangxi, et al. Detecting DNS over HTTPS based data exfiltration［J］. Computer Networks, 2022, 209(3): 108919［6］Zebin T, Rezvy S, Luo Y. An explainable AIbased intrusiondetection system for DNS over HTTPS (DoH) attacks［J］. IEEE Trans on Information Forensics and Security, 2022, 17(1): 23392349［7］Vekshin D, Hynek K, Cejka T. Doh insight: Detecting dns over https by machine learning［C］ Proc of the 15th Int Conf on Availability, Reliability and Security. New York: ACM, 2020: 18［8］李博, 温雪岩, 徐克生, 等. 一种改进XGboost的DoH流量分类方法［J］. 哈尔滨理工大学学报, 2023, 28(1): 6472［9］Nguyen T A, Park M. Doh tunneling detection system for enterprise network using deep learning technique［J］. Applied Sciences, 2022, 12(5): 2416［10］Casanova L F G, Lin P C. Generalized classification of DNS over HTTPS traffic with deep learning［C］ Proc of 2021 AsiaPacific Signal and Information Processing Association Annual Summit and Conference. Piscataway, NJ: IEEE, 2021: 19031907［11］Jerabek K, Hynek K, Rysavy O, et al. DNS over HTTPS detection using standard flow telemetry［J］. IEEE Access, 2023, 11: 5000050012［12］李天琦. 基于机器学习的网络流量分类研究［D］. 北京: 北京邮电大学, 2019［13］Montazeri S M, Davidson L, Kaur G, et al. Detection of DoH tunnels using timeseries classification of encrypted traffic［C］ Proc of the 5th IEEE Cyber Science and Technology Congress. Piscataway, NJ: IEEE, 2020: 6370［14］Jeǐábek K, Hynek K, ejka T, et al. Collection of datasets with DNS over HTTPS traffic［J］. Data in Brief, 2022, 42(1): 108310［15］Mitsuhashi R, Jin Y, Iida K, et al. Malicious DNS tunnel tool recognition using persistent DoH traffic analysis［J］. IEEE Trans on Network and Service Management, 2022, 20(2): 20862095

[1]	池亚平, 彭文龙, 徐子涵, 陈颖, . 基于深度学习的加密网站指纹识别方法[J]. 信息安全研究, 2025, 11(4): 304-.
[2]	曾庆鹏, 贺述明, 柴江力, . 融合多模态特征的恶意TLS流量检测方法[J]. 信息安全研究, 2025, 11(2): 130-.
[3]	郭回, 马骏臣, 吴礼发, . 基于设备WiFi重连流量的隐蔽智能摄像头检测方法[J]. 信息安全研究, 2025, 11(2): 173-.
[4]	周成胜, 孟楠, 赵勋, 邱情芳, . 基于深度学习的多会话协同攻击加密流量检测技术研究[J]. 信息安全研究, 2025, 11(1): 66-.
[5]	王圣立, 裴培, . 经济诚信系统在医政管理中的应用[J]. 信息安全研究, 2024, 10(E2): 144-.
[6]	竹高山, 孙梦琪, 高阳, . 药企平台大模型安全威胁建模与评估#br#[J]. 信息安全研究, 2024, 10(E1): 182-.
[7]	赵荻, 尹志超, 崔苏苏, 曹中华, 卢志刚, . 基于图表示的恶意TLS流量检测方法[J]. 信息安全研究, 2024, 10(3): 209-.
[8]	江荣旺, 魏爽, 龙草芳, 杨明, . 基于增量学习的车联网恶意位置攻击检测研究[J]. 信息安全研究, 2024, 10(3): 277-.
[9]	张鹏飞. 基于机器学习的入侵检测模型对比研究[J]. 信息安全研究, 2023, 9(8): 739-.
[10]	张晴晴, 田潇, 田锦, . 基于区块链预言机的车联网可信身份方案研究[J]. 信息安全研究, 2023, 9(2): 120-.
[11]	王旭阳, 秦玉海, 任思远, . 基于机器学习的Android混合应用代码注入攻击漏洞检测[J]. 信息安全研究, 2023, 9(10): 940-.
[12]	李思涌, 吴书汉, 孙伟, . 基于注意力机制的CNN-LSTM网络车内CAN总线入侵检测技术[J]. 信息安全研究, 2023, 9(10): 961-.
[13]	喻晓伟, 陈丹伟, . 基于注意力机制的图神经网络加密流量分类研究[J]. 信息安全研究, 2023, 9(1): 13-.
[14]	姚锡龙, 崔炳杰, 王瑜, . 应用层加密流量检测解决方案[J]. 信息安全研究, 2022, 8(E1): 35-.
[15]	郝卓楠, 谌颐. 融入智能检测引擎的AI防火墙[J]. 信息安全研究, 2022, 8(E1): 143-.