近年来,数据泄露攻击事件爆发,给被攻击企事业单位造成了巨大损失。借助DNS协议良好的隐蔽性和穿透能力实施数据窃取,逐渐成为诸多APT组织所青睐的攻击TTPs。在网络边界监测DNS流量进而精准地发现潜在的攻击行为,已成为企事业单位急需建立的网络防御能力。AI赋能网络安全能够有效提升防御能力,攻击数据的规模、质量等问题制约着AI检测模型的训练,已经成为限制模型性能的一个重要因素。尤其是利用DNS完成APT攻击活动所涉及的攻击数据或恶意样本,存在获取困难、数量极少、活性很低等现实问题。而且其他领域常用的数据增强技术,暂不适合移植到网络攻防这个语义敏感的领域。在人工智能算法趋于成熟、算力大幅提升的情况下,为应对模型训练面临的数据集紧缺、完备度不足的瓶颈问题,本文开展的研究工作及主要贡献有:1.提出了一种基于TTPs的攻击数据自动生成及应用方法。数据生成方法以攻击原理作为理论基础,保证生成数据的有效性和完备度,提升防御方在攻防博弈中的主动性。与此同时,设计了使用生成数据来训练AI模型、使用真实的攻击数据来验证模型性能的应用方案,从而促进AI助力网络防御能力建设。2.梳理了DNS窃密攻击的现状,并深入研究攻击机理及其4项关键技术。机理研究工作以大量真实APT攻击案例的分析报告为基础,结合开源工具,总结了数据嵌入与恢复、编解码转换、DNS窃密传送和策略响应共4项关键技术。这不仅是后续DNS窃密流量自动生成系统的理论基础,还可以作为DNS窃密攻防研究人员的技术参考。3.基于DNS窃密攻击TTPs设计并实现Mal DNS系统,以生成大规模的、高度逼真的、完备度可调的DNS窃密攻击数据。该系统具备完整的DNS窃密框架,并通过灵活的配置项设计实现良好的扩展性。因而它不仅可以高度还原已有案例报告中的DNS窃密攻击,还可以在攻击原理范畴内来预测未知的DNS窃密攻击。4.从生成数据的有效性和应用效果这两个方面展开数据评估实验。一方面,通过生成系统执行窃密任务的完成情况,可以直接评估生成数据的有效性,并易于进行数据清洗和标签化处理。另一方面,综合生成的数据来训练AI模型,所得到的检测模型在检测真实的DNS窃密攻击时,准确率不低于99%,误报基本为零。实验结果证明了生成流量数据的有效性,以及对检测模型训练的有效支撑;而且训练所得到的模型性能良好,能够有效地检测真实的DNS窃密攻击。