基于权威域名服务器的停靠域名识别机制

由于互联网中充斥着大量的停靠域名,给用户上网体验、上网环境带来严重影响,为识别停靠域名,提出一种基于权威域名服务器（DNS）的停靠域名检测方法。该方法从常用于域名停靠服务的错拼域名入手,提取出可能用于停靠服务的权威DNS集合,并通过半监督聚类方法对该集合进行分析,识别出用于停靠服务的权威DNS。在检测停靠域名时,通过判断域名的权威DNS是否用于停靠服务,并且该域名解析的IP地址是否属于停靠服务Web服务器的IP地址集合,来对停靠域名进行识别。借助现有基于页面特征的检测方法对所提方法进行分析,实验结果表明所提方法的准确率达92.8%以上,并且避免了页面信息的爬取,能够实时地检测域名是否为停靠域名。     

基于域名重定向的可疑域名拦截技术

随着互联网技术的飞速发展,越来越多的人正享受着互联网提供的服务。互联网中绝大多数的服务都是基于Web页面的服务,而这类服务存在巨大的网络安全隐患。网络中的DNS(Domain Name System)数据内容中包含有大量的与Web应用相关的信息,通过监测DNS数据内容可以高效地发现、定位、解决相关网络安全问题。该文通过对DNS域名重定向,有效的对可疑域名进行拦截。     

速变服务网络行为特征分析

速变(Fast-Flux)服务网络通过返回不断变化的DNS解析结果,以大量被攻陷主机的IP地址作为服务地址,利用被攻陷主机进行重定向形成服务网络。长时间跟踪并记录了分布在全球6大洲的300个DNS服务器对23000多个域名的解析结果。根据DNS解析数据,文章对比其他研究成果从多个维度对Fast-Flux恶意域名和Fast-Flux服务网络的行为特征进行了全面讨论,并进一步开展特征辨识度分析。关于 Fast-Flux 服务网络行为特征的分析揭示了FFSN新的行为变化,为恶意域名检测、网络资源保护等提供了依据。     

基于命名及解析行为特征的异常域名检测方法

设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。     

Web 通信中可疑域名监控技术的研究

现有 Web 服务存在着很多的仿冒、欺骗等安全威胁,而 Web 通信基本先通过 DNS 获取 IP 地址,因此对网络中DNS 域名信息的分析有助于加强对可疑非法 Web 通信的监控.传统的域名分析技术只能进行简单的协议分析,而且耗费资源严重,不能实现安全控制.文中提出了一种针对可疑域名的监控技术,给出了设计方案和具体的编程实现方法,并搭建了校园网环境进行验证,表明该系统有很小的丢包率和及时的安全控制响应,能很好实现对网络域名信息的监控     

Domain-flux僵尸网络域名检测

针对现有Domain-flux僵尸网络检测方法在检测范围方面的不足,提出基于域名访问活跃特征的Domain-flux僵尸网络域名检测方法。通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃特征的检测算法,给出检测算法的具体描述、检测处理流程及系统整体结构,利用某运行商DNS服务器镜像数据实验验证检测算法。实验结果显示,检测算法不依赖于具体的域名字符特征,可以有效过滤出Domain-flux僵尸网络所利用的域名。     

基于文本和DNS查询的非常规域名检测研究

在钓鱼网站、远控木马等网络攻击中常使用大量的非常规域名。面对海量域名,已有非常规域名检测方法准确性有待提高。基于对使用非常规域名的网络攻击特征,以及对已有非常规域名检测方法的研究,提出了域名伪装特征,分隔特征域名标签被数字分割的最大单元数,DNS查询特征:单次DNS查询返回的IP个数和DNS查询返回IP集合的平均杰卡德距离;改进了发音特征域名元音字母占比。此外,提出一种基于文本特征和DNS查询特征的非常规域名检测方法,其中选取了新定义的特征,以及若干其他域名基本特征、发音特征和分隔特征,并基于机器学习方法区分常规域名和非常规域名。实验结果表明,提出的非常规域名检测方法与部分已有方法相比准确率有较大提高,可用于检测使用了非常规域名的恶意网络攻击。     

结合Web站点,分析DNS工作原理的实践与思考

本文用理论和实践相结合的方式,介绍如何通过对Web站点的分析,帮助理解DNS服务器的工作原理,并通过“WEB站点设置”和“DNS服务器设置”两个实验,帮助学生理解IP地址和域名之间的映射关系。     

基于LSTM和CNN的恶意域名检测方法

笔者利用长短期记忆网络(LSTM)和卷积神经网络(CNN),以正常域名、不正常域名作为特征进行有监督的DNS数据异常检测方法的研究。该方法使用黑白样本集,通过有监督学习方法建立检测模型,实现对正常和不正常域名的二分类检测,主要实现对DNS隐蔽通道和DGA域名的检测。通过全监督的学习方法,能够识别已知黑样本特征集的异常域名。     

Web通信中可疑域名监控技术的研究

现有Web服务存在着很多的仿冒、欺骗等安全威胁,而Web通信基本先通过DNS获取IP地址,因此对网络中DNS域名信息的分析有助于加强对可疑非法Web通信的监控。传统的域名分析技术只能进行简单的协议分析,而且耗费资源严重,不能实现安全控制。文中提出了一种针对可疑域名的监控技术,给出了设计方案和具体的编程实现方法,并搭建了校园网环境进行验证,表明该系统有很小的丢包率和及时的安全控制响应,能很好实现对网络域名信息的监控。     

基于域名关联的恶意移动应用检测研究

为实现对恶意移动应用的准确检测以保障移动设备安全,提出一种基于域名关联的恶意移动应用检测方法。以DNS域名为检测分析对象识别网络流量中的恶意域名,利用DNS请求流量的时间特征寻找恶意域名的相关联域名,并将关联域名与文本分类样本库进行比对,确定恶意移动应用名称。实验结果表明,该方法可有效用于移动设备的安全防护,其在公开测试数据集中的检测率达到97.1%,在实际网络的部署运行中共检测出13款恶意移动应用,且误报数量为0。     

基于域名系统知识图谱的CDN域名识别技术

内容分发网络(content delivery network,CDN)是互联网上的重要基础设施,目前识别CDN域名的方法主要利用域名字符特征、HTTP关键字和DNS记录等,识别范围有限.针对大规模识别CDN域名的问题,提出了基于域名系统知识图谱的CDN域名识别技术.根据域名系统的特征进行本体建模、数据获取、知识图谱构...     

一种基于被动DNS数据分析的DNS重绑定攻击检测技术

基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大.DNS重绑定需要通过设置恶意域名才能实现.针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC).通过引入...     

DNS技术的应用分析

DNS是网络建设中首要解决的问题之一，是实现Internet应用的基础，其作用是实现域名与IP地址之间的转换。介绍了DNS的基本概念、服务器的类型、域名解析的工作原理及资源记录，并设计一个利用Windows 2000 DNS技术实现内部和外部域名解析服务的模型。     

在DNSSEC下保障顶级域名解析托管服务稳定迁移的操作机制

基于顶级域解析服务托管平台迁移部署实践,重点研究分析了在DNSSEC环境下,为避免发生域名系统安全扩展(DNSSEC,DNS security extension)信任链及解析服务中断、域名NS记录不一致等安全问题,如何在密钥轮转、DS和NS记录变更、数据更新等环节中实现新旧服务托管商及互联网数字分配机构(IANA,i...     

双出口校园网的DNS解析策略与实现

在双出口校园网环境下,通过对本地DNS和外部DNS之间数据流向的研究,合理地规划了本地DNS的工作模式,并利用WINDOWS SERVER 2003 DNS配置实现.该模式利用第二出口链路,提高了校园网DNS服务器域名解析的整体速度,并且当第一出口中断时,本地DNS还能进行互联网域名的解析,真正实现了校园网访问互联网高速、可靠的目标.     

基于混合式P2P的域名系统中超节点选择策略

域名系统是Internet的基础。IPv6网络的新特性,要求基于IPv6的域名系统提供高效的域名服务。鉴于传统的域名系统模型使得DNS服务器容易成为网络的瓶颈和攻击目标,本文提出了采用混合式P2P网络思想构建高效的IPv6DNS域名系统,着重讨论了混合式P2P域名系统中超节点的选择策略,并在实验室中验证了该策略的可行性,最后分析并指出了今后的研究方向。