基于日志信息的DNS查询异常检测研究
发布时间:2021-07-12 09:18
随着移动网络技术的飞速发展,互联网环境及用户群体日趋复杂,由此造成的网络安全问题也日益严峻。其中,作为互联网中核心基础设施之一的域名系统,是大多数网络应用与服务的基础,其实现域名与IP的快速映射与转换,在本质上是规模庞大的分布式数据库系统。然而,现有的DNS协议缺乏信息保护和认证机制,同时近阶段推动的DNS安全扩展存在系统效率低下与部署困难等问题,这给DNS安全埋下巨大隐患。但是,DNS服务器上的查询日志包含了源IP与域名为主体的DNS查询特征信息,可应用于对异常DNS查询行为的识别。但是由于日志数据庞大且日志采集困难等问题,导致大部分基于查询日志的DNS安全研究既缺乏数量也缺乏深度。鉴于以上背景,本文的研究主要基于DNS查询日志展开,以达到对异常DNS查询的高效精确的识别。其中,考虑到DNS日志采集与存储的困难,设计了高效的日志采集与可靠的数据存储方案;针对行为主体源IP在DNS查询中表现出的快速多变的特点,设计与验证了实时无监督的源IP异常检测方法,该方法在面对多变未知的DNS查询攻击行为能行之有效的适应,且对异常源IP检测结果可通过低维可视化与可信度指标的方式予以呈现;针对DNS...
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:72 页
【学位级别】:硕士
【部分图文】:
图1?-1?DNS域名体系结构??
假设在浏览器中输入www.bupt.edu.cn,主机会直接向DNS本地服务器查询,??如果本地服务器上有相关的缓存,则直接将www.bupt.edu.cn的地址返回给查询??源主机。而如果本地服务器上没有该域名的缓存,其后续查询流程如图2-1所示。??f??根服务器??愚_:?'?—1?0??%?④?cn顶级服务器??圈,嘛服^"?f?1??⑧、々,??edu.cn权威服务器??y??bupt.edu.cn权威服务器??图2-1?DNS查询域名迭代解析过程??主要流程如下:??①
Data?length(资源数据长度)??Data(资源数据,长度不定)??图2-5资源区域中的具体字段??2.1.3DNS?安全扩展?DNSSEC??DNS?安全扩展(Domain?Name?System?Security?Extensions,?DNSSEC),是一套??由IETF提出的DNS安全认证的机制[8?9]。DNSSEC主要是为了帮助DNS服务??器解决收到的查询应答是否真实以及是否存在被篡改的问题,主要是缓存投毒和??DNS欺骗,如图2-6所示。缓存投毒[1G],攻击者是针对DNS本地服务器无法验??证DNS数据真实性的特点,将虚假的DNS响应写入本地服务器的高速缓存中,??同时为达到延长服务器缓存中毒的时间,攻击者还会将回复的存活时长设大。而??DNS欺骗[11]则是,攻击者可以直接向网络用户发送伪造头部ID的DNS回复以??实现欺骗攻击的目的,但是这些攻击不如缓存中毒攻击持久。??dnss^?、?¥??i?权回复?1^/??DNS本地服务DNS权S:服务器??DNS欺^缓存中??T?T??攻击者?攻击者??图2-6?DNSSEG安全认证示意图??DNSSEC的部署
【参考文献】:
期刊论文
[1]基于自适应分段广延指数模型的IPTV用户点播行为[J]. 陈步华,陈戈,梁洁. 电信科学. 2018(05)
[2]基于相对密度的DNS请求数据流源IP异常检测算法[J]. 王靖云,史建焘,张兆心,沈英洪. 高技术通讯. 2016(Z2)
[3]基于深度学习的域名查询行为向量空间嵌入[J]. 周昌令,栾兴龙,肖建国. 通信学报. 2016(03)
[4]基于W-Kmeans算法的DNS流量异常检测[J]. 林成虎,李晓东,金键,尉迟学彪,吴军. 计算机工程与设计. 2013(06)
[5]随机森林方法研究综述[J]. 方匡南,吴见彬,朱建平,谢邦昌. 统计与信息论坛. 2011(03)
[6]DNS缓存投毒攻击原理与防御策略[J]. 靳冲,郝志宇,吴志刚. 中国通信. 2009(04)
[7]DNS服务中的Internet访问行为测量研究[J]. 尉迟学彪,李晓东,阎保平,季成. 计算机工程与应用. 2009(34)
[8]Protocol Buffers——比XML快近100倍[J]. 宫唐小恒,李旭伟. 电脑与信息技术. 2009(01)
[9]DNS欺骗攻击的检测和防范[J]. 闫伯儒,方滨兴,李斌,王垚. 计算机工程. 2006(21)
[10]DNS与关键词服务请求分布研究[J]. 王峰,王恩海,钱华林. 计算机工程. 2006(05)
硕士论文
[1]域名异常检测系统的设计与实现[D]. 乔展鹏.哈尔滨工业大学 2018
[2]基于DNS日志数据的异常域名检测研究[D]. 朱迦南.电子科技大学 2018
[3]基于DNS日志的IP属性分析系统的设计与实现[D]. 熊书珺.哈尔滨工业大学 2017
[4]国家域名日志可视化分析监控系统设计与实现[D]. 董再旺.中国科学院大学(工程管理与信息技术学院) 2014
[5]基于DNS查询日志的互联网访问模式分析[D]. 季成.清华大学 2009
本文编号:3279636
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:72 页
【学位级别】:硕士
【部分图文】:
图1?-1?DNS域名体系结构??
假设在浏览器中输入www.bupt.edu.cn,主机会直接向DNS本地服务器查询,??如果本地服务器上有相关的缓存,则直接将www.bupt.edu.cn的地址返回给查询??源主机。而如果本地服务器上没有该域名的缓存,其后续查询流程如图2-1所示。??f??根服务器??愚_:?'?—1?0??%?④?cn顶级服务器??圈,嘛服^"?f?1??⑧、々,??edu.cn权威服务器??y??bupt.edu.cn权威服务器??图2-1?DNS查询域名迭代解析过程??主要流程如下:??①
Data?length(资源数据长度)??Data(资源数据,长度不定)??图2-5资源区域中的具体字段??2.1.3DNS?安全扩展?DNSSEC??DNS?安全扩展(Domain?Name?System?Security?Extensions,?DNSSEC),是一套??由IETF提出的DNS安全认证的机制[8?9]。DNSSEC主要是为了帮助DNS服务??器解决收到的查询应答是否真实以及是否存在被篡改的问题,主要是缓存投毒和??DNS欺骗,如图2-6所示。缓存投毒[1G],攻击者是针对DNS本地服务器无法验??证DNS数据真实性的特点,将虚假的DNS响应写入本地服务器的高速缓存中,??同时为达到延长服务器缓存中毒的时间,攻击者还会将回复的存活时长设大。而??DNS欺骗[11]则是,攻击者可以直接向网络用户发送伪造头部ID的DNS回复以??实现欺骗攻击的目的,但是这些攻击不如缓存中毒攻击持久。??dnss^?、?¥??i?权回复?1^/??DNS本地服务DNS权S:服务器??DNS欺^缓存中??T?T??攻击者?攻击者??图2-6?DNSSEG安全认证示意图??DNSSEC的部署
【参考文献】:
期刊论文
[1]基于自适应分段广延指数模型的IPTV用户点播行为[J]. 陈步华,陈戈,梁洁. 电信科学. 2018(05)
[2]基于相对密度的DNS请求数据流源IP异常检测算法[J]. 王靖云,史建焘,张兆心,沈英洪. 高技术通讯. 2016(Z2)
[3]基于深度学习的域名查询行为向量空间嵌入[J]. 周昌令,栾兴龙,肖建国. 通信学报. 2016(03)
[4]基于W-Kmeans算法的DNS流量异常检测[J]. 林成虎,李晓东,金键,尉迟学彪,吴军. 计算机工程与设计. 2013(06)
[5]随机森林方法研究综述[J]. 方匡南,吴见彬,朱建平,谢邦昌. 统计与信息论坛. 2011(03)
[6]DNS缓存投毒攻击原理与防御策略[J]. 靳冲,郝志宇,吴志刚. 中国通信. 2009(04)
[7]DNS服务中的Internet访问行为测量研究[J]. 尉迟学彪,李晓东,阎保平,季成. 计算机工程与应用. 2009(34)
[8]Protocol Buffers——比XML快近100倍[J]. 宫唐小恒,李旭伟. 电脑与信息技术. 2009(01)
[9]DNS欺骗攻击的检测和防范[J]. 闫伯儒,方滨兴,李斌,王垚. 计算机工程. 2006(21)
[10]DNS与关键词服务请求分布研究[J]. 王峰,王恩海,钱华林. 计算机工程. 2006(05)
硕士论文
[1]域名异常检测系统的设计与实现[D]. 乔展鹏.哈尔滨工业大学 2018
[2]基于DNS日志数据的异常域名检测研究[D]. 朱迦南.电子科技大学 2018
[3]基于DNS日志的IP属性分析系统的设计与实现[D]. 熊书珺.哈尔滨工业大学 2017
[4]国家域名日志可视化分析监控系统设计与实现[D]. 董再旺.中国科学院大学(工程管理与信息技术学院) 2014
[5]基于DNS查询日志的互联网访问模式分析[D]. 季成.清华大学 2009
本文编号:3279636
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3279636.html
