一种基于域名错误的DNS重定向协议①

域名系统（DNS）重定向是为互联网服务提供商（ISP）和DNS应用服务提供商（ASP）的用户实现增值服务的有效功能。定义以不同于错误查询域名的按相关性排序的推荐域名列表作为错误描述。提出重定向服务器的两个转交过程,以利于正确及时地找到推荐域名。此外,提出使用延长资源记录的请求处理算法。定义重定向报文结构以在DNS协议内容纳重定向IP地址信息。     

基于词素特征的轻量级域名检测算法

对网络中DNS交互报文进行检测以发现恶意服务,是网络安全监测的一个重要手段,这种检测往往要求系统能够实时或准实时地发现监测域名中的可疑对象.面对庞大的域名集合,若对所有域名使用同样强度的监测通常开销过大.通过挖掘域名字面蕴含的词素（词根、词缀、拼音及缩写）特征,提出一种轻量级检测算法,能够快速锁定可疑域名,以便后续有针对性地进行DPI检测.实验结果表明：基于词素特征的检测算法比统计n元组频率分布的方法虽然略微增加了58.3%的内存开销,但却具备抗逃避能力以及更高的准确率（相对提高35.2%）;与基于单词特征的方法相比,极大地降低了计算复杂度（相对降低64.8%）,并减少了2.6%的内存开销,而准确率仅下降2.5%.     

一种基于被动DNS数据分析的DNS重绑定攻击检测技术

基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大。DNS重绑定需要通过设置恶意域名才能实现。针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC)。通过引入被动DNS数据,从域名名称、时间、异常通信及恶意行为等4个测度集刻画DNS重绑定相关域名;基于C4.5决策树、KNN、SVM及朴素贝叶斯等分类方法对数据进行混合分类、组合训练及加权求值。交叉验证实验表明,DRC模型对相关恶意域名的识别能够达到95%以上的精确率;与恶意域名检测工具FluxBuster进行对比,DRC模型能够更准确地识别相关恶意域名。     

基于LSTM和CNN的恶意域名检测方法

笔者利用长短期记忆网络(LSTM)和卷积神经网络(CNN),以正常域名、不正常域名作为特征进行有监督的DNS数据异常检测方法的研究。该方法使用黑白样本集,通过有监督学习方法建立检测模型,实现对正常和不正常域名的二分类检测,主要实现对DNS隐蔽通道和DGA域名的检测。通过全监督的学习方法,能够识别已知黑样本特征集的异常域名。     

日志分析网络异常检测系统研究

本文研究基于DNS日志分析的网络异常监测系统,通过对校园网DNS日志进行分析,能够得出用户进行域名访问的规律,提取用户行为特征,掌握网络运行状况,并通过定义DNS访问次数偏移度,即时发现并定位网络异常。     

支持IP地址定向解析的扩展DNS服务器的设计与实现

从DNS着手解决用户访问多服务器时的选择策略问题.如果一个域名拥有属于不同ISP的多个IP地址,在解析域名时,采用IP地址定向解析,根据客户端本身的IP地址类型优先提供同一个ISP网络的服务器IP地址,客户端访问服务器资源时就避免了跨越不同的ISP网络,从而加快访问速度,提高性能.     

利用熵检测DNS异常

利用DNS查询数据中出现的查询类型作为随机条件计算熵值,根据熵值的突发性变化,检测DNS查询中是否出现异常。利用该算法对2009年5月19日发生大面积断网事件时的DNS查询原始数据进行分析,证明这种方法可以及时检测到DNS查询中的异常情况的发生,并具有较好的检测效果。     

基于文本和DNS查询的非常规域名检测研究

在钓鱼网站、远控木马等网络攻击中常使用大量的非常规域名。面对海量域名,已有非常规域名检测方法准确性有待提高。基于对使用非常规域名的网络攻击特征,以及对已有非常规域名检测方法的研究,提出了域名伪装特征,分隔特征域名标签被数字分割的最大单元数,DNS查询特征:单次DNS查询返回的IP个数和DNS查询返回IP集合的平均杰卡德距离;改进了发音特征域名元音字母占比。此外,提出一种基于文本特征和DNS查询特征的非常规域名检测方法,其中选取了新定义的特征,以及若干其他域名基本特征、发音特征和分隔特征,并基于机器学习方法区分常规域名和非常规域名。实验结果表明,提出的非常规域名检测方法与部分已有方法相比准确率有较大提高,可用于检测使用了非常规域名的恶意网络攻击。     

基于随机域名检测和主动防御的用户站安全防护

电力监控系统是电力行业最重要的生产管理系统. 作为电力监控系统的重要组成部分, 缺少电网约束力的用户站将会成为网络攻击的重要目标. 为及时感知用户站侧网络攻击事件, 提出了一种结合用户站侧随机域名实时检测和主动防御的方法. 使用胶囊网络(CapsNet)结合长短期记忆网络(LSTM)对流量数据中提取的域名进行二分类, 当检测到随机域名时, 通过远程终端协议(Telnet)对路由器和交换机下发指令更新其安全策略或关闭路由器和交换机的业务接口以阻断网络攻击. 实验结果表明, 使用CapsNet结合LSTM分类算法在随机域名检测中准确率达到99.16%, 召回率达到98%, 通过Telnet协议可以联动路由器和交换机在不中断业务的情况下做出主动防御.     

一种基于目录服务的DNS集中整合方案研究

结合校园网域名服务体系的现状,通过对微软目录服务项目的研究,把以目录服务项目DNS服务为基础的DNS体系推广到校园网,在局域网中建立一套统一的域名解析体系。将DNS变成一个活动资源的动态维护数据库,以实现DNS的集中整合,实现全校域名解析整合,方便管理。     

基于机器学习的域名数据监控方法

域名资源记录被篡改的问题严重危害域名应用。由于该问题具有较强的隐蔽性,亟需一种快速且有效的发现域名危险变化的方法。为此,提出一种基于机器学习算法的域名数据监控方法。在一定数量的域名中选取出资源记录发生变化的域名,通过分析其相关信息生成一个由域名字面特征、正反匹配度等属性组成的元组。以变化是否危险为依据进行类标签人工标记,每个元组和其类标签组成训练集中的一个实例。由分析训练集决策树算法和支持向量机算法建立检测域名系统数据危险变化的分类器。通过十折交叉法验证2个分类器,发现其在域名危险变化判断上具有较强的能力,正确率的加权均值分别达到73.8%和82.4%。     

基于累积和算法的域名系统缓存攻击检测

针对域名系统(DNS)缓存攻击,提出一种简单有效的检测机制。为增强对攻击行为的敏感性并减小计算复杂度,通过无参数累积和检测模型改进DNS的协议行为,利用变点检测的相关算法实现对攻击行为的检测。仿真结果表明,该机制能够有效检测DNS缓存攻击,并实现检测准确率和误警率间的平衡。     

一种基于自动特征工程与压缩感知的网络隧道检测方法

利用网络隧道进行攻击、窃密等成为近年来网络安全领域的热点问题。如何提高大规模网络隧道检测分析时带来的识别精度低的问题亟需解决。针对基于DNS、HTTP协议的主流隧道检测问题,提出一种基于自动特征工程与压缩感知相结合的网络隧道检测方法。通过自动特征工程挖掘出更深层次的网络隧道特征,同时通过压缩感知算法在不损失高维特征精度的基础上实现降维,提高计算效率。在大规模真实数据集上实验结果表明,DNS隧道检测的F-measure值能达到95%,HTTP隧道检测的F-measure值能达到82%以上。     

基于命名及解析行为特征的异常域名检测方法

设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。     

基于多元属性特征的恶意域名检测

域名系统主要提供域名解析功能,完成域名到IP的转换,而恶意域名检测主要用来发现以域名系统为屏障的非法行为,来保障域名服务器的正常运行。总结了恶意域名检测的相关工作,并采用基于机器学习的方法,提出一种基于多元属性特征的恶意域名检测方法。在域名词法特征方面,提取更加细粒度的特征,比如数字字母的转换频率、连续字母的最大长度等;在网络属性特征方面,更加关注名称服务器,比如其个数、分散度等。实验结果表明,该方法的准确率、召回率、F1值均达到了99.8%,具有较好的检测效果。     

A DNS algorithm using B-spline collocation method for compressible turbulent channel flow

Direct numerical simulation (DNS) offers useful information about the understanding and modeling of turbulent flow. However, few DNSs of wall-bounded compressible turbulent flows have been performed. The objective of this paper is to construct a DNS algorithm which can simulate the compressible turbulent flow between the adiabatic and isothermal walls accurately and efficiently. Since this flow is the simplest turbulent flow with adiabatic and isothermal walls, it is ideal for the modeling of compressible turbulent flow near the adiabatic and isothermal walls. The present DNS algorithm for wall-bounded compressible turbulent flow is based on the B-spline collocation method in the wall-normal direction. In addition, the skew-symmetric form for convection term is used in the DNS algorithm to maintain numerical stability. The validity of the DNS algorithm is confirmed by comparing our results with those of an existing DNS of the compressible turbulent flow between isothermal walls [J. Fluid Mech. 305 (1995) 159]. The applicability and usefulness of the DNS algorithm are demonstrated by the stable computation of the DNS of compressible turbulent flow between adiabatic and isothermal walls.     

基于决策树的网络流量异常分析与检测

针对现有网络流量异常检测方法准确率较低的问题,提出基于决策树的网络流量异常分析与检测方法。研究网络流量结构特征及流量异常的交叉熵表示方法。采用C4.5算法建立决策树模型,将具有连续性的属性值离散化,根据最大信息增益比逐层选取分类属性,依此规则对流量数据进行分类。实验结果表明,当该方法的检测准确率达90%以上时,误报率可控制在5%以内,与同类方法相比能更准确地发现网络流量异常并进行分类。     

B2L: A hot data identification algorithm by fusing bloom filter and temporal locality for NAND flash based solid-state drives

Aiming at improving the firmware performance of NAND flash based solid-state drives, this paper proposes a hot data identification algorithm by fusing bloom filter and temporal locality, briefly as B2L, whose main contribution of B2L is to use cascade structure to make it have both advantages. Specifically. Firstly, the bloom filter is used to filter the real cold data, so that the probability of the remaining data being hot data becomes higher. Secondly, a temporal locality based two-level least recently used (T-LRU) lists is used to identify the true hot data. That is to say, the data hit in the hot list of T-LRU are identified as the true hot data. B2L can avoid the high false positive ratio problem of the bloom filter and effectively reduce the false positive ratio of T-LRU and the false negative ratio caused by false positives. Hence, B2L can improve the accuracy of hot data identification. The experimental result shows that in the case of using the direct address method as the baseline, compared with the state-of-the- art identification algorithms, B2L improves the accuracy of hot data identification by 60.4% on average.     

基于DNS查询行为的Bot检测

提出一种基于DNS查询行为的检测方法。根据Bot的自动运行特性,从DNS查询的角度对主机中的进程进行初步过滤,缩小检测范围;分析Bot与其他进程的DNS反应行为模式的异同,构建Bot-DNS检测模型,在此基础上判断可疑进程是否为Bot。实验结果表明,该方法能够检测出处于生命周期早期阶段的Bot,且检测过程与Bot采用的协议结构无关,具有较好的检测效果。