一种DNS隧道攻击检测方法、设备以及存储介质

本公开提供了一种DNS隧道攻击检测方法、设备以及存储介质，该方法响应于检测周期内DNS消息的频率信息满足预设条件，确定检测周期内DNS消息的多种属性特征，从而初步识别可能存在的异常流量，然后将多种属性特征输入预先训练的DNS隧道攻击检测模型中，输出DNS消息对应的风险评分，提高检测的准确性和实时性，针对风险评分高于目标评分阈值的DNS消息，进行反编码和语义分析，深入解析DNS消息内容，识别潜在的攻击行为和数据传输，并基于语义识别结果，从DNS消息中确定与DNS隧道攻击匹配的具体消息，精确定位和确认攻击行为，能够更有效地检测和确认DNS隧道攻击，提高检测的准确性，降低误报率。