基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

基于大数据分析的APT攻击检测研究综述

高级持续性威胁（APT, advanced persistent threat）已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术和原理,分析攻击的6个实施阶段,并归纳攻击特点;然后,综述现有APT攻击防御框架研究的现状,并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展;最后,提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架,并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。     

一种基于梯度提升树算法的DGA域名检测方法

勒索病毒、僵尸网络等恶意软件在互联网日益泛滥,已成为威胁网络安全运行的重要因素。域名作为恶意软件与命令和控制（Command and Control,C&C）服务器的主要通信方式,是检测和防范的重要途径。但域名生成算法（Domain Generation Algorithm,DGA）的不断改进发展,给传统的基于威胁情报的检测方式带来了巨大挑战,而机器学习技术逐渐成为应对DGA域名的主要途径。梯度提升树算法作为机器学习中重要的分类算法,能够适应DGA域名检测场景。基于XGBoost框架,采用开放域名数据作为样本集,研究了基于梯度提升树算法的DGA域名检测方法,并通过域名向量转换、检测模型训练、参数调优,实现了一个高效的DGA域名检测模型。     

DNS攻击检测与防御技术研究

作为分布式数据库系统,DNS可以用来管理主机名字和地址信息,以便为人们更好应用网络提供支持。但是,由于设计缺陷的存在,DNS较容易受到攻击,继而给网络安全埋下了隐患。而采用先进的技术进行DNS攻击的检测和防御,则可以进一步确保网络的安全。因此,基于这种认识,文章对DNS攻击检测和防御技术进行研究,以便为关注这一话题的人们提供参考。     

DNS攻击检测与安全防护研究综述

随着传统互联网逐渐向“互联网+”演变,域名系统（domain namesystem,DNS）从基础的地址解析向全面感知、可靠传输等新模式不断扩展。新场景下的DNS由于功能的多样性和覆盖领域的广泛性,一旦受到攻击会造成严重的后果,因此DNS攻击检测与安全防护方面的研究持续进行并越来越受到重视。首先介绍了几种常见的DNS攻击,包括DNS欺骗攻击、DNS隐蔽信道攻击、DNS DDoS(distributed denial of service)攻击、DNS反射放大攻击、恶意DGA域名;然后,从机器学习的角度出发对这些攻击的检测技术进行了系统性的分析和总结;接着,从DNS去中心化、DNS加密认证、DNS解析限制3个方面详细介绍了DNS的安全防护技术;最后,对未来的研究方向进行了展望。     

基于ATT CK的多源数据深度安全检测技术研究

APT攻击检测已成为落实《网络安全法》要求的重要内容。本文基于攻击战术和攻击技术统一描述的ATT CK模型,提出一种多源数据深度安全监测模型。该模型可以在APT攻击的早期阶段,实现攻击全貌的分析和呈现。现网实践案例验证本文提出的模型能够有效提升安全防御和响应能力。     

域名系统高可用性方案设计与实现

DNS系统是互联网重要的基础设施,一旦因软硬件故障、遭受攻击、负载过重等原因变得不可用,将导致用此DNS系统的用户无法访问所有互联网上的域名,从而使网络基本处于瘫痪状态。对DNS系统的安全防护应从物理安全、主机安全、网络安全、应用及数据安全、威胁防护五个方面进行考虑,应对DNS系统通过负载均衡等技术进行高可用性设计。     

DNS服务器也需智能化

上海西默智能DNS服务器是一款专用的DNS解析服务器，整个系统由DNS服务器（硬件）＋嵌入式DNS软件系统组成。可以提供域名管理、域名查询统计、监控及报警、无限ISP区域设置．多用户管理、操作日志等功能；采用硬件防火墙的硬件体系，系统软件采用嵌入式操作系统．自带完备的防火墙功能；用户操作界面采用中文Web管理界面，简单易用。     

APT攻击的特点及防范

以政府机关、科研机构、大型企业的关键信息基础设施为目标的APT(高级持续性威胁)攻击逐年增多。总结攻击国家关键信息基础设施的APT具有高级、持续、有针对性三大特点,分析得出APT过程的八大常规步骤,列举防火墙、IPS(入侵防御系统)、IDS(入侵检测系统)、防病毒软件及日志审计等常用的传统防御方法的不足,提出具有综合管理和技术手段的APT防范新思路。     

基于人工神经网络的DGA僵尸网络检测

基于DNS协议的僵尸网络大多采用域名生成算法(domain generation algorithm,DGA),该算法可以随机改变域名来隐藏自身.与传统检测方法相比,基于机器学习的检测可以获得更好的检测结果.因此,提出了一种基于人工神经网络的僵尸网络检测体系结构,可以帮助在线安全卫士监控网络流量,区分DGA域和普通域,通过测试朴素贝叶斯模型和用DGA的正常特征或DGA的N-gram特征训练的人工神经网络(artifi cial neural network,ANN)模型并用真实的数据集实现并评估该解决方案的实用性.结果表明,采用人工神经网络的新模型能够更好地区分DGA的域,能够正确地处理更多的域.     

分布式DNS反射DDoS攻击检测及控制技术

分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值（TTL）智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。     

基于DNS攻击的安全分析及其防范

DNS服务是一项基础网络的服务，它的主要作用是完成IP地址和域名的转换。它的安全性至关重要。本文分析了DNS的脆弱性，并提出了其防范DNS攻击的策略。     

APT攻击及其防御研究

APT攻击是一种新型的网络攻击,其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。首先简要介绍了世界范围内发生的重大APT攻击事件,然后详细阐述了APT攻击过程,并深入研究了APT攻击与传统攻击的区别,以及APT攻击给传统信息安全防御所带来的技术和管理双重挑战。最后,深入研究了APT攻击的现有防御技术,并依据APT攻击链提出了一种针对APT攻击的防御架构。该架构完整覆盖APT攻击各个步骤环节,并考虑了管理、传统防御技术与APT防御技术的结合。     

基于多维度分析的APT邮件攻击检测

电子邮件是APT (Advanced Persistent Threat)攻击中常用的攻击载体,本文针对APT邮件攻击提出了一种基于多维度分析的APT邮件攻击检测方法。首先,提取邮件头部和邮件正文信息,邮件附件文件还原;然后,分别通过邮件头部、邮件正文、情报检测、文件内容深度检测、邮件异常行为检测和邮件站点自学习等多维度进行分析;最后基于分析结果将邮件归类为普通邮件和可疑APT攻击特征的邮件。本文提出的方法既结合传统的邮件威胁攻击特征,并融入情报检测和附件深度检测,且考虑邮件异常行为分析,最后结合客户业务进行自学习分析,有效地提高了APT邮件攻击的检测准确率,为APT邮件攻击检测提供一种良好的检测方案。     

DNS缓存投毒攻击原理与防御策略

DNS is one of the most important basic infrastructures of the Internet, attacks on which will prevent the Internet from working properly. Therefore, its security is receiving great concern. This paper analyzes the principles of both traditional and novel （Kaminsky） DNS cache poisoning, presents attack samples and describes the whole attack process in detail. After verifying the potential harm of DNS cache poisoning, the paper gives out several defense strategies.     

基于Linux平台的DNS服务器容错

在互联网中客户端都是采用域名的方式访问站点,域名到IP地址的映射由DNS域名解析服务器完成,一旦DNS域名解析服务器发生故障,将直接导致网站无法访问.LINUX是继UNIX功能的一种集安全性和高稳定性一体的开源和免费的操作系统.使用LINUX操作系统构建DNS域名解析服务器,通过使用区域传输来构建辅助DNS,能加强互联网站点的域名解析的安全性和容错功能.     

Circumventing security toolbars and phishing filters via rogue wireless access points

One of the solutions that has been widely used by naive users to protect against phishing attacks is security toolbars or phishing filters in web browsers. The present study proposes a new attack to bypass security toolbars and phishing filters via local DNS poisoning without the need of an infection vector. A rogue wireless access point (AP) is set up, poisoned DNS cache entries are used to forge the results provided to security toolbars, and thus misleading information is displayed to the victim. Although there are several studies that demonstrate DNS poisoning attacks, none to our best knowledge investigate whether such attacks can circumvent security toolbars or phishing filters. Five well‐known security toolbars and three reputable browser built‐in phishing filters are scrutinized, and none of them detect the attack. So ineptly, security toolbars provide the victim with false confirmative indicators that the phishing site is legitimate. Copyright © 2009 John Wiley & Sons, Ltd.     

DNS tunneling detection through statistical fingerprints of protocol messages and machine learning

The use of covert‐channel methods to bypass security policies has increased considerably in the recent years. Malicious users neutralize security restriction by encapsulating protocols like peer‐to‐peer, chat or http proxy into other allowed protocols like Domain Name Server (DNS) or HTTP. This paper illustrates a machine learning approach to detect one particular covert‐channel technique: DNS tunneling. Despite packet inspection may guarantee reliable intrusion detection in this context, it may suffer of scalability performance when a large set of sockets should be monitored in real time. Detecting the presence of DNS intruders by an aggregation‐based monitoring is of main interest as it avoids packet inspection, thus preserving privacy and scalability. The proposed monitoring mechanism looks at simple statistical properties of protocol messages, such as statistics of packets inter‐arrival times and of packets sizes. The analysis is complicated by two drawbacks: silent intruders (generating small statistical variations of legitimate traffic) and quick statistical fingerprints generation (to obtain a detection tool really applicable in the field). Results from experiments conducted on a live network are obtained by replicating individual detections over successive samples over time and by making a global decision through a majority voting scheme. The technique overcomes traditional classifier limitations. An insightful analysis of the performance leads to discover a unique intrusion detection tool, applicable in the presence of different tunneled applications. Copyright © 2014 John Wiley & Sons, Ltd.