域名信息主动获取及备份系统的设计和实现*

为解决因国外根/顶级域名系统无法提供域名解析服务而影响我国互联网正常运行的问题,设计并实现了一种高效的DNS信息获取及备份恢复系统。通过被动获取DNS数据包与主动发送DNS请求相结合的方式,可获取网络中活跃的域名信息。利用基于可变长请求队列的发送速度自适应方法来有效控制请求效率,以适应网络带宽和DNS服务器负载。详细介绍了整个系统的设计和实现,并进行了性能测试与分析。该系统对建设国家根/顶级域名备份恢复系统具有重要参考价值。     

海量域名日志数据分析与可视化研究及应用*

针对域名数据数量巨大且具有时空特征的特点,利用地理信息系统时空分析以及可视化的技术和方法对中国国家级域名.cn日志数据进行分析和研究。通过对域名数据的分析,了解域名解析总体规律及特征,得到热点域名及域名中蕴含的时空分布规律,为域名业务规划、服务站点布局调整提供分析数据。最后提出一种基于模拟退火算法的DNS站点优化布局方法,实验结果表明该方法可用于指导DNS服务站点的布局及DNS解析服务的调整,为.cn域名服务的整体布局提供决策依据。     

基于域名关联的恶意移动应用检测研究

为实现对恶意移动应用的准确检测以保障移动设备安全,提出一种基于域名关联的恶意移动应用检测方法。以DNS域名为检测分析对象识别网络流量中的恶意域名,利用DNS请求流量的时间特征寻找恶意域名的相关联域名,并将关联域名与文本分类样本库进行比对,确定恶意移动应用名称。实验结果表明,该方法可有效用于移动设备的安全防护,其在公开测试数据集中的检测率达到97.1%,在实际网络的部署运行中共检测出13款恶意移动应用,且误报数量为0。     

高级持续性威胁中隐蔽可疑DNS行为的检测

近年来,高级持续性威胁(advanced persistent threats, APT)危害企业、组织甚至国家安全,给目标带来了巨大的经济损失,其重要特征是攻击持续时间跨度大,在目标网络内长期潜伏.现有的安全防御措施还无法有效检测APT.现有研究认为通过分析APT攻击中目标网络的DNS请求,可以帮助检测APT攻击.增加DNS流量中的时间特征结合变化向量分析和信誉评分方法来检测隐蔽可疑的DNS行为.提出一种协助检测APT的框架APDD,通过分析大量的DNS请求数据检测长时间周期下APT中隐蔽可疑的DNS行为.将收集到的DNS请求数据执行数据缩减并提取特征;利用变化向量分析方法(change vector analysis, CVA)和滑动时间窗口方法分析待检测域名访问记录与现有APT相关域名之间的相似度;建立一个信誉评分系统对相似度较高的待检测域名访问记录进行打分;APDD框架输出一个可疑域名访问记录排名列表,可用于后续人工优先分析最可疑的记录,从而提高APT攻击的检测效率;利用一个大型校园网中收集的包含1584225274条DNS请求记录的数据加入仿真攻击数据来验证框架的有效性与正确性,实验结果表明：提出的框架可以有效地检测到APT中隐蔽可疑的DNS行为.     

一种高效的DNS日志压缩算法

CN顶级域名的DNS日志从分布式站点传输到数据处理中心时,对海量数据存储和传输带宽提出极大挑战。针对该问题,提出一种高效的DNS日志压缩算法,利用DNS查询类型的冗余性和DNS查询时间、IP地址和域名等的重复性进行DNS日志压缩。实验结果证明了DNS日志压缩算法在DNS实时监控和分析系统中部署的有效性和高效性。     

软交换系统中分布式呼叫服务器DNS实现

本文介绍了软交换系统分布式呼叫服务器(Call Server,简称CS)中SIP协议DNS的实现,讨论了支持DNS域名对系统的影响及需求,分析了分布式CS如何支持对端SIP实体以域名呈现,以及其如何支持以域名呈现给对端SIP实体.软交换系统通过对DNS域名的支持,CS不仅能和以域名方式呈现的其他SIP实体互通,更重要的通过以DNS域名方式呈现给其SIP实体,一个CS或者多个CS组成一个DNS域,简化了网络,提高了系统的可靠性.     

基于超级账本的DNS协同防御体系研究

针对传统域名系统(DNS)防御体系难以有效抵抗饱和流量攻击和域名劫持攻击的问题,建立网络流及状态迁移模型,从理论上分析并研究遏制网络攻击的关键因素,进而提出基于超级账本的DNS协同防御体系。通过联盟链整合多方资源共同对抗网络攻击,并利用超级账本的通道架构和背书策略实现隐私保护,促进网络信息共享。分析结果表明,该协同防御体系在数据层面和业务层面均具有较强的安全性,为解决域名行业安全问题提供了借鉴作用。     

基于权威域名服务器的停靠域名识别机制

由于互联网中充斥着大量的停靠域名,给用户上网体验、上网环境带来严重影响,为识别停靠域名,提出一种基于权威域名服务器（DNS）的停靠域名检测方法。该方法从常用于域名停靠服务的错拼域名入手,提取出可能用于停靠服务的权威DNS集合,并通过半监督聚类方法对该集合进行分析,识别出用于停靠服务的权威DNS。在检测停靠域名时,通过判断域名的权威DNS是否用于停靠服务,并且该域名解析的IP地址是否属于停靠服务Web服务器的IP地址集合,来对停靠域名进行识别。借助现有基于页面特征的检测方法对所提方法进行分析,实验结果表明所提方法的准确率达92.8%以上,并且避免了页面信息的爬取,能够实时地检测域名是否为停靠域名。     

基于SUN Solaris 10的DNS域名服务器配置

SUN Sohris 10是一种性能优良的操作系统,在该系统上构建DNS域名服务具有明显的优越性.介绍在SUN Solaris 10系统下构建DNS域名服务的方法,并给出了相应的安全策略.     

互联网域名解析系统安全分析

本文通过对国内四次重大DNS事件的分析与研究,列举实际案例,深入剖析了互联网域名解析系统（DNS）失控成为国家网络重大安全隐患的原因,以及其对社会的危害,并在文章最后提出规范互联网域名解析系统（DNS）服务的思路。     

基于文本和DNS查询的非常规域名检测研究

在钓鱼网站、远控木马等网络攻击中常使用大量的非常规域名。面对海量域名,已有非常规域名检测方法准确性有待提高。基于对使用非常规域名的网络攻击特征,以及对已有非常规域名检测方法的研究,提出了域名伪装特征,分隔特征域名标签被数字分割的最大单元数,DNS查询特征:单次DNS查询返回的IP个数和DNS查询返回IP集合的平均杰卡德距离;改进了发音特征域名元音字母占比。此外,提出一种基于文本特征和DNS查询特征的非常规域名检测方法,其中选取了新定义的特征,以及若干其他域名基本特征、发音特征和分隔特征,并基于机器学习方法区分常规域名和非常规域名。实验结果表明,提出的非常规域名检测方法与部分已有方法相比准确率有较大提高,可用于检测使用了非常规域名的恶意网络攻击。     

基于命名及解析行为特征的异常域名检测方法

设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。     

A method for identifying compromised clients based on DNS traffic analysis

DNS is widely abused by Internet criminals in order to provide reliable communication within malicious network infrastructure as well as flexible and resilient hosting of malicious content. This paper presents a novel detection method that can be used for identifying potentially compromised clients based on DNS traffic analysis. The proposed method identifies suspicious agile DNS mappings, i.e., mappings characterized by fast changing domain names or/and IP addresses, often used by malicious services. The approach discovers clients that have queried domains contained within identified suspicious domain-to-IP mappings, thus assisting in pinpointing potentially compromised clients within the network. The proposed approach targets compromised clients in large-scale operational networks. We have evaluated the proposed approach using an extensive set of DNS traffic traces from different operational ISP networks. The evaluation illustrates a great potential of accurately identifying suspicious domain-to-IP mappings and potentially compromised clients. Furthermore, the achieved performance indicate that the novel detection approach is promising in view of the adoption in operational ISP networks. Finally, the proposed approach targets both Fast-flux and Domain-flux, thus having an advantage over existing detection methods that identify compromised clients.     

基于集对分析的网络流量大数据均衡调度方法

为了有效降低网络流量传输时的网络负载,基于集对分析策略,提出DNS网络流量大数据均衡调度方法。设计Dramp流量路由控制方法,根据链路权值量化,提出优化函数,实现多路径网络流量的传输,在静态域名解析(DNS)的环境下,重新构建网络链路,设计了一个包括网络流量负载信息和网络信息实体输入信息,且序列一体的传输链路,用于配合路由控制,最后基于集对分析思想,根据定向控制器分析信息,保证路由和链路的匹配,实现网络流量的均衡调度。实验数据表明,与传统方法相比,设计的DNS网络流量大数据均衡调度方法,网络时延降低了21%,丢包率降低了27%,可以有效降低网络负载。     

一种基于被动DNS数据分析的DNS重绑定攻击检测技术

基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大.DNS重绑定需要通过设置恶意域名才能实现.针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC).通过引入...     

基于GRU型循环神经网络的随机域名检测

随机域名是指由随机域名算法生成的域名,被针对计算机网络系统的恶意软件广泛使用,随机域名的检测任务是域名系统过滤攻击流量的基础性工作.传统方法对随机域名的检测效果不理想,精确率与召回率较低,导致过滤攻击流量时会出现较多的误判.本文提出和实现了一种基于GRU型循环神经网络的随机域名检测模型,该模型首先将域名转换成向量,然后借助GRU自动学习域名向量的特征,最后通过神经网络计算分类.相比于传统方法,该模型不再需要人工提取特征的过程,减少了特征提取的时间.且经过算法生成数据与真实场景数据的实验验证,该方法在随机域名检测任务中相比传统模型表现更加出色.     

Quantifying DNS namespace influence

Name resolution using the Domain Name System (DNS) is integral to today’s Internet. The resolution of a domain name is often dependent on namespace outside the control of the domain’s owner. In this article we review the DNS protocol and several DNS server implementations. Based on our examination, we propose a formal model for analyzing the name dependencies inherent in DNS. Using our name dependency model we derive metrics to quantify the extent to which domain names affect other domain names. It is found that under certain conditions, more than half of the queries for a domain name are influenced by namespaces not expressly configured by administrators. This result serves to quantify the degree of vulnerability of DNS due to dependencies that administrators are unaware of. When we apply metrics from our model to production DNS data, we show that the set of domains whose resolution affects a given domain name is much smaller than previously thought. However, behaviors such as using cached addresses for querying authoritative servers and chaining domain name aliases increase the number and diversity of influential domains, thereby making the DNS infrastructure more vulnerable.     

基于机器学习的域名数据监控方法

域名资源记录被篡改的问题严重危害域名应用。由于该问题具有较强的隐蔽性,亟需一种快速且有效的发现域名危险变化的方法。为此,提出一种基于机器学习算法的域名数据监控方法。在一定数量的域名中选取出资源记录发生变化的域名,通过分析其相关信息生成一个由域名字面特征、正反匹配度等属性组成的元组。以变化是否危险为依据进行类标签人工标记,每个元组和其类标签组成训练集中的一个实例。由分析训练集决策树算法和支持向量机算法建立检测域名系统数据危险变化的分类器。通过十折交叉法验证2个分类器,发现其在域名危险变化判断上具有较强的能力,正确率的加权均值分别达到73.8%和82.4%。     

基于机器学习的僵尸网络DGA域名检测系统设计与实现

僵尸网络广泛采用域名生成算法（Domain Generation Algorithm,DGA）生成大量的随机域名来躲避检测。针对僵尸网络DGA域名问题,本文设计实现了一种DGA域名检测系统。首先使用基于随机森林算法的轻量级分类分析检测模块,通过分析域名字符特征区分正常域名与疑似恶意域名,满足现网实际应用中快速检测的要求;然后使用基于X-means算法的聚类分析检测模块,在分类分析检测的基础上,根据DGA域名的字符相似性和查询行为相似性,通过聚类和集合分析方法对疑似恶意域名进一步检测,降低系统误检率。通过部署基于Spark的检测系统对某运营商现网真实DNS日志数据进行连续20天的处理和分析,检测系统平均每天挖掘出约250万DGA域名,经过正则匹配分析,其中约55%属于5类已知的DGA;在前两个实验日,共发现13,000个已知DGA域名分属于3个DGA类别。实验结果表明检测系统可有效检测出多种DGA域名,此外,检测系统也可满足现网实际应用中快速检测的要求。