基于命名及解析行为特征的异常域名检测方法

设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。     

OnionDNS: a seizure-resistant top-level domain

The Domain Name System (DNS) provides the critical service of mapping canonical names to IP addresses. Recognizing this, a number of parties have increasingly attempted to perform “domain seizures” on targets by having them delisted from DNS. Such operations often occur without providing due process to the owners of these domains, a practice made potentially worse by recent legislative proposals. We address this problem by creating OnionDNS, an anonymous top-level domain and resolution service for the Internet. Our solution relies on the establishment of a hidden service running DNS within Tor and uses a variety of mechanisms to ensure a high-performance architecture with strong integrity guarantees for resolved records. We then present our anonymous domain registrar and detail the protocol for securely transferring the service to another party. Finally, we also conduct both performance and legal analyses to further demonstrate the robustness of this approach. In so doing, we show that the delisting of domains from DNS can be mitigated in an efficient and secure manner.     

基于多元属性特征的恶意域名检测

域名系统主要提供域名解析功能,完成域名到IP的转换,而恶意域名检测主要用来发现以域名系统为屏障的非法行为,来保障域名服务器的正常运行。总结了恶意域名检测的相关工作,并采用基于机器学习的方法,提出一种基于多元属性特征的恶意域名检测方法。在域名词法特征方面,提取更加细粒度的特征,比如数字字母的转换频率、连续字母的最大长度等;在网络属性特征方面,更加关注名称服务器,比如其个数、分散度等。实验结果表明,该方法的准确率、召回率、F1值均达到了99.8%,具有较好的检测效果。     

DomainProfiler: toward accurate and early discovery of domain names abused in future

Domain names are at the base of today’s cyber-attacks. Attackers abuse the domain name system (DNS) to mystify their attack ecosystems; they systematically generate a huge volume of distinct domain names to make it infeasible for blacklisting approaches to keep up with newly generated malicious domain names. To solve this problem, we propose DomainProfiler for discovering malicious domain names that are likely to be abused in future. The key idea with our system is to exploit temporal variation patterns (TVPs) of domain names. The TVPs of domain names include information about how and when a domain name has been listed in legitimate/popular and/or malicious domain name lists. On the basis of this idea, our system actively collects historical DNS logs, analyzes their TVPs, and predicts whether a given domain name will be used for malicious purposes. Our evaluation revealed that DomainProfiler can predict malicious domain names 220 days beforehand with a true positive rate of 0.985. Moreover, we verified the effectiveness of our system in terms of the benefits from our TVPs and defense against cyber-attacks.     

IPv6协议下域名系统的扩展与实现

为了实现对IPv6协议的支持，需要对现有IPv4协议下的域名系统进行相应的扩展，以使其能在IPv6协议下正确地进行IP地址与域名的正向或反向解析。域名系统的扩展主要包括以下两方面：一是增加了两个新的资源记录AAAA和A6来存储IPv6地址，以实现域名到IPv6地址的正向解析；二是增加了两个新域：ip6.int和ip6．arpa，以实现IPv6地址到域名的反向解析。文中以著名的域名系统软件BIND为对象，以Linux操作系统Redhat9作为实验平台，详细介绍了基于Linux平台的域名系统对IPv6协议的扩展与实现，从而为实现IPv4到IPv6的平稳过渡打下了坚实基础。     

一种基于被动DNS数据分析的DNS重绑定攻击检测技术

基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大。DNS重绑定需要通过设置恶意域名才能实现。针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC)。通过引入被动DNS数据,从域名名称、时间、异常通信及恶意行为等4个测度集刻画DNS重绑定相关域名;基于C4.5决策树、KNN、SVM及朴素贝叶斯等分类方法对数据进行混合分类、组合训练及加权求值。交叉验证实验表明,DRC模型对相关恶意域名的识别能够达到95%以上的精确率;与恶意域名检测工具FluxBuster进行对比,DRC模型能够更准确地识别相关恶意域名。     

Scalable human-friendly resource names

To fill the gap between what uniform resource names (URNs) provide and what humans need, we propose a new kind of uniform resource identifier (URI) called human-friendly names (HFNs). In this article, we present the design for a scalable HFN-to-URL (uniform resource locator) resolution mechanism that makes use of the Domain Name System (DNS) and the Globe location service to name and locate resources. This new URI proposes to improve both scalability and usability in naming replicated resources on the Web     

基于文本和DNS查询的非常规域名检测研究

在钓鱼网站、远控木马等网络攻击中常使用大量的非常规域名。面对海量域名,已有非常规域名检测方法准确性有待提高。基于对使用非常规域名的网络攻击特征,以及对已有非常规域名检测方法的研究,提出了域名伪装特征,分隔特征域名标签被数字分割的最大单元数,DNS查询特征:单次DNS查询返回的IP个数和DNS查询返回IP集合的平均杰卡德距离;改进了发音特征域名元音字母占比。此外,提出一种基于文本特征和DNS查询特征的非常规域名检测方法,其中选取了新定义的特征,以及若干其他域名基本特征、发音特征和分隔特征,并基于机器学习方法区分常规域名和非常规域名。实验结果表明,提出的非常规域名检测方法与部分已有方法相比准确率有较大提高,可用于检测使用了非常规域名的恶意网络攻击。     

国际化域名系统分析

现有的DNS系统中只能使用63个ASCⅡ字符表示网络主机名，这给非英语国家的用户造成了极大的不便，为了让用户要以在DNS中使用本国的文字，迫切需要一个能够支持多种语言文字的国际化域或系统。文中首先对现行域名系统进行简单介绍，然后分析了目前处于研究阶段的国际化域名系统推荐解决方案IDNA，并针对中文域名系统的一些实现问题进行了阐述。     

一种基于联盟管理的高效分布式域名系统

在域名解析系统中,下级域名的命脉被上级域名所掌握,这种中心化的管理为域名解析带来了巨大的风险。以比特币等加密货币为代表的区块链则具有去中心化的特性。随着namecoin的提出,区块链开始被应用在命名系统和域名解析的领域,之后的Blockstack和ENS都提出了去中心化命名系统的解决方案。其中,Namecoin和Blockstack采用了完全去中心化的命名管理方式,产生了域名抢占问题。因此,我们将目光转向了采用小群组投票决定域名增加和删除的联盟化管理方案。在联盟化管理方案中,比如ENS的和超级账本的均存在交易空间太大的问题,在区块链本身存储代价大的背景下,存储效率将变得低下。因此,DNS系统和区块链的结合难度很大,不仅需要保证在多变的域名存储信息中保证存储总量较小,同时还需要针对域名解析实现高效的联盟化管理,这使得至今仍未有一个令人满意的去中心化域名解析系统的解决方案。为此,我们提出了ECMDNS——一个高效的基于联盟化管理的域名解析系统,既考虑到DNS区域文件具有存储量大且变换频繁的特点,又能在完全中心化和完全去中心化之间采取折衷方案,并拥有较高的时空效率及较小的存储总量。我们通过区分链上链下的存储保证在多变的域名信息中保证存储总量较小;通过群组决策投票的方式实现联盟化管理,同时优化了Hyperledger Fabric提出的混合复制模型,将空间存储效率优化到原本的1/16。并且仅需要花费1次分布式副本同步,就可以完成一项由n名成员背书对同一域名背书的事务,并在联盟化管理的基础上实现区块链交易空间性能的高效性,从而实现整体存储效率的高效性。     

Capability-based egress network access control by using DNS server

In conventional egress network access control (NAC) based on access control lists (ACLs), modifying the ACLs is a heavy task for administrators. To enable configuration without a large amount of administrators’ effort, we introduce capabilities to egress NAC. In our method, a user can transfer his/her access rights (capabilities) to other persons without asking administrators. To realize our method, we use a DNS cache server and a router. A resolver of the client sends the user name, domain name, and service name to the DNS cache server. The DNS server issues capabilities according to a policy and sends them to the client. The client puts these capabilities into the IP options of packets and sends them to the router. The router verifies the capabilities, and determines whether to pass or block the packets. In this paper, we describe the design and implementation of our method in detail. Experimental results show that our method does not reduce the router's performance.     

一种高效的DNS日志压缩算法

CN顶级域名的DNS日志从分布式站点传输到数据处理中心时,对海量数据存储和传输带宽提出极大挑战。针对该问题,提出一种高效的DNS日志压缩算法,利用DNS查询类型的冗余性和DNS查询时间、IP地址和域名等的重复性进行DNS日志压缩。实验结果证明了DNS日志压缩算法在DNS实时监控和分析系统中部署的有效性和高效性。     

DNS技术的应用分析

DNS是网络建设中首要解决的问题之一，是实现Internet应用的基础，其作用是实现域名与IP地址之间的转换。介绍了DNS的基本概念、服务器的类型、域名解析的工作原理及资源记录，并设计一个利用Windows 2000 DNS技术实现内部和外部域名解析服务的模型。     

基于DNS的异地服务器负载平衡

随着网络的发展,大型网站的访问量剧增,单台服务器已不能满足需要,负载平衡是解决这一问题的有效方式。分析现有的负载平衡方法,提出一种基于DNS的异地服务器负载平衡新方法。该方法通过控制域名解析,将负载分配到各地服务器,其优点在于既可分散各服务器的负载,增强系统的稳定性,又可利用服务器分放各地的网络环境优势,缩短用户和服务之间通信时间,提高服务质量,从而克服现有负载平衡方法的不足。     

基于域名重定向的可疑域名拦截技术

随着互联网技术的飞速发展,越来越多的人正享受着互联网提供的服务。互联网中绝大多数的服务都是基于Web页面的服务,而这类服务存在巨大的网络安全隐患。网络中的DNS(Domain Name System)数据内容中包含有大量的与Web应用相关的信息,通过监测DNS数据内容可以高效地发现、定位、解决相关网络安全问题。该文通过对DNS域名重定向,有效的对可疑域名进行拦截。     

中文域名技术的研究和展望

随着Internet在中国的普及,要求使用中文域名的呼声越来越高,但是由于目前的域名系统都是针对英语设计的,所以在域名中文化工作的很多方面都存在着困难。该文首先介绍了域名系统的工作原理,再针对现有域名系统的特点,以及中文域名技术在研究和发展中遇到的问题进行了讨论,最后介绍了一种中文域名技术的解决方案。     

域名系统测量研究综述

域名系统(domain name system,DNS)测量研究是深入理解DNS的重要研究方式.从组件、结构、流量、安全4个方面对近30年(1992–2019)的DNS测量研究工作梳理出18个主题.首先,介绍组件测量,组件有解析器和权威服务器两种,解析器测量包括公共解析器、开放解析器、解析器缓存、解析器选择策略4个主题...     

一种基于目录服务的DNS集中整合方案研究

结合校园网域名服务体系的现状,通过对微软目录服务项目的研究,把以目录服务项目DNS服务为基础的DNS体系推广到校园网,在局域网中建立一套统一的域名解析体系。将DNS变成一个活动资源的动态维护数据库,以实现DNS的集中整合,实现全校域名解析整合,方便管理。     

基于机器学习的僵尸网络DGA域名检测系统设计与实现

僵尸网络广泛采用域名生成算法（Domain Generation Algorithm,DGA）生成大量的随机域名来躲避检测。针对僵尸网络DGA域名问题,本文设计实现了一种DGA域名检测系统。首先使用基于随机森林算法的轻量级分类分析检测模块,通过分析域名字符特征区分正常域名与疑似恶意域名,满足现网实际应用中快速检测的要求;然后使用基于X-means算法的聚类分析检测模块,在分类分析检测的基础上,根据DGA域名的字符相似性和查询行为相似性,通过聚类和集合分析方法对疑似恶意域名进一步检测,降低系统误检率。通过部署基于Spark的检测系统对某运营商现网真实DNS日志数据进行连续20天的处理和分析,检测系统平均每天挖掘出约250万DGA域名,经过正则匹配分析,其中约55%属于5类已知的DGA;在前两个实验日,共发现13,000个已知DGA域名分属于3个DGA类别。实验结果表明检测系统可有效检测出多种DGA域名,此外,检测系统也可满足现网实际应用中快速检测的要求。     

A wrinkle in time: a case study in DNS poisoning

International Journal of Information Security - The domain name system (DNS) provides a translation between readable domain names and IP addresses. The DNS is a key infrastructure component of the...