利用熵检测DNS异常

利用DNS查询数据中出现的查询类型作为随机条件计算熵值,根据熵值的突发性变化,检测DNS查询中是否出现异常。利用该算法对2009年5月19日发生大面积断网事件时的DNS查询原始数据进行分析,证明这种方法可以及时检测到DNS查询中的异常情况的发生,并具有较好的检测效果。     

基于Counting Bloom Filter的DNS异常检测

鉴于失败的DNS查询（failed DNS query）能提供恶意网络活动的证据,以DNS查询失败的数据为切入口,提出一种轻量级的基于Counting Bloom Filter的DNS异常检测方法。该方法使用带语义特征的可逆哈希函数对被查询的域名及发起查询的IP进行快速的聚类和还原。实验结果证明该方法能以较少的空间占用和较快的计算速度有效识别出DNS流量中的异常,适用于僵尸网络、分布式拒绝服务（DDoS）攻击等异常检测的前期筛选和后期验证。     

保护DNS服务器十大技巧

1．使用DNS转发器 DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力．把查询请求从DNS服务器转给转发器，从DNS转发器的更大DNS高速缓存中受益。     

基于流量切片的DNS隐蔽通道检测

针对DNS隐蔽信道(DCC)流量变形策略对现有检测方法的绕过性问题，提出了一种基于流量切片的DCC检测方法。该方法首先将实验环境出口流量基于滑动窗口分批，再基于主机端聚合形成流量切片，每个切片包含一个较短时间跨度中归属同一主机的DNS报文与Web报文，再对切片内DNS报文的数据量、请求行为、响应行为以及与Web报文的关联行为实施面向DCC检测的特征工程，并在此基础上建立DCC检测模型。对比实验表明，所构建的DCC检测模型在常规DCC流量切片集上检测准确性达到99.83%,误报率仅0.08%,在6类不同流量变形策略的变形DCC流量切片集上有平均95%以上的检出能力，远优于其他检测方案，证明了所提出的方法应对DCC流量变形的有效性。同时，该方法能在主机单个流量切片上对DCC通信作出有效检测，是一种具有良好实时性的检测方法。     

一种基于被动DNS数据分析的DNS重绑定攻击检测技术

基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大。DNS重绑定需要通过设置恶意域名才能实现。针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC)。通过引入被动DNS数据,从域名名称、时间、异常通信及恶意行为等4个测度集刻画DNS重绑定相关域名;基于C4.5决策树、KNN、SVM及朴素贝叶斯等分类方法对数据进行混合分类、组合训练及加权求值。交叉验证实验表明,DRC模型对相关恶意域名的识别能够达到95%以上的精确率;与恶意域名检测工具FluxBuster进行对比,DRC模型能够更准确地识别相关恶意域名。     

速变服务网络行为特征分析

速变(Fast-Flux)服务网络通过返回不断变化的DNS解析结果,以大量被攻陷主机的IP地址作为服务地址,利用被攻陷主机进行重定向形成服务网络。长时间跟踪并记录了分布在全球6大洲的300个DNS服务器对23000多个域名的解析结果。根据DNS解析数据,文章对比其他研究成果从多个维度对Fast-Flux恶意域名和Fast-Flux服务网络的行为特征进行了全面讨论,并进一步开展特征辨识度分析。关于 Fast-Flux 服务网络行为特征的分析揭示了FFSN新的行为变化,为恶意域名检测、网络资源保护等提供了依据。     

一种基于异常检测的DNS流量负载审计

本文结合防火墙系统以及流量监测系统，长期持续地对DNS系统流量进行追踪，通过对整体DNS流量的摘要汇集记录、有效DNS查询的比率、UDP与TCP数据包数目的变化等基本DNS审计方法和技术研究，提出应对DNS攻击的一般流量审计方法和防护系统架构。     

DNS协议测试软件的设计与实现

本文通过对DNS协议和DNS系统的业务流程进行分析,以及目前现有的DNS协议测试软件进行分析,设计并实现了一种对DNS协议状态进行测试的软件。软件可以实现不同类型记录的检测,并对响应数据分析得到DNS服务器的访问状态以及访问性能情况。实例证明,该软件能很好地完成检测与分析任务,方便对DNS服务器的运行情况进行正确评估。     

一种基于熵检测的DNS64分布式拒绝服务攻击检测方法

针对DNS64分布式拒绝服务攻击的具体场景,提出了一种基于信息熵估计的异常流量检测技术,该技术采用了统计阈值而非固定阈值的攻击检测方式,并结合DNS64协议特点,针对性地引入了多攻击特征加权判别机制。实验与分析结果表明,上述方法能够针对渐增的DDoS攻击行为给予及时响应,同时在保障DDoS攻击检测率的同时,有效地降低其检测误报率,从而达到DNS64攻击识别与服务防护的目的。     

数据分析与DNS服务器维护策略

针对复杂的网络环境中的DNS服务器搭建与发生故障等问题，较为详尽地阐述了DNS实现原理，并从DNS结构、查询原理入手，对故障现象进行分析，采用网络诊断命令nslcokup获得相关数据，根据返回的数据进行对比分析，确定故障产生的原因，探讨解决故障的方法，系统地提出了由内到外、由Intranet到Internet逐步展开的策略。实践证明，该策略能够提高复杂网络环境下的DNS的运行效率，极大地缩短DNS故障排除时间，从而保持网络的畅通。     

域名系统测量研究综述

域名系统(domain name system,DNS)测量研究是深入理解DNS的重要研究方式.从组件、结构、流量、安全4个方面对近30年(1992–2019)的DNS测量研究工作梳理出18个主题.首先,介绍组件测量,组件有解析器和权威服务器两种,解析器测量包括公共解析器、开放解析器、解析器缓存、解析器选择策略4个主题...     

DNS隐私问题现状的研究

域名系统（DNS）作为互联网运行必不可少的基础设施,它能将易记的域名转换成互联网资源的IP地址。DNS由于天然的开放性,导致其备受安全问题困扰。而隐私问题则是近些年DNS安全上的热点问题。通过回顾DNS的查询操作,分析了DNS查询每个环节可能存在的隐私隐患,发现DNS受到的隐私攻击主要有链路上窃听和服务器上的隐私收集。结合近些年DNS隐私的相关的研究,分析了DNS上可能泄漏的隐私数据、影响范围以及可能带来的危害。整理了目前已知的解决方案,分析对比了各种方案在可靠性、匿名化程度、可部署性上的表现。最后从技术、部署难度和法律层面为后续研究提供了一些建议。     

一种高效的DNS日志压缩算法

CN顶级域名的DNS日志从分布式站点传输到数据处理中心时,对海量数据存储和传输带宽提出极大挑战。针对该问题,提出一种高效的DNS日志压缩算法,利用DNS查询类型的冗余性和DNS查询时间、IP地址和域名等的重复性进行DNS日志压缩。实验结果证明了DNS日志压缩算法在DNS实时监控和分析系统中部署的有效性和高效性。     

基于再生策略的DNS加速器设计与实现

优化域名系统(DNS)性能是减少域名系统解析时间的关键，已成为研究热点。该文提出的基于TTL失效的再生策略，能达到很快的查询速度。对具体网站的性能测试表明所设计的DNS加速器相比于传统DNS服务器，在缓存命中率、网络流量、CPU负载和DNS查询响应时间等方面都具有很优异的性能，达到了良好的加速效果。     

ENUM及其性能问题研究

ENUM（Telephone Number Mapping,电话号码映射）是一种网络资源寻址方式,在IP数据网与PSTN电话网的融合中起着重要作用,它解决了不同通信方式之间的寻址问题。将因特网中的DNS技术用于电话网中的通信,有很多需要克服的难题,而性能和安全是最为关键的两大方面。ENUM的更新和查询是ENUM性能的主要问题,可以从网络的性能、使用的协议以及系统的配置等方面进行提高,负载均衡和选播是提高ENUM性能的新技术。对当前的ENUM实验系统进行了一系列的性能测试,测试结果说明其性能可以满足一般通信     

一种新的快速安全的域名解析方案

通过对当前域名系统解析过程的分析，针对其中存在的信道负载和安全隐患问题，提出了一种对现有域名系统的解析机制进行改进和加强安全性的域名解析方案，减少了查询延迟，降低了国际、国内信道负载，提高了系统响应还厦和安生性，实现了相对快速、安全的域名解析。