基于SQL-on-Hadoop的网络日志分析

当今网络带宽、设备和应用数量急剧扩张,日志管理面临数据量爆炸式增长的挑战。基于SQL-on-Hadoop构建网络日志分析平台,实现千亿级日志存储和高效、灵活查询。利用真实TB级数据集对多种Hadoop列存储格式及压缩算法进行性能测试,并对比Hive和Impala引擎日志扫描及统计查询效率,选用Gzip压缩的Parquet格式可将日志体积压缩80%,且将Impala查询性能提升至5倍。基于该平台已开发6种安全事件响应、攻击检测和预警应用并发挥良好效果。     

基于DNS的隐蔽通道流量检测

为提出一种有效检测各类型DNS隐蔽通道的方法,研究了DNS隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的12个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别。实验表明,决策树模型可检测训练中全部22种DNS隐蔽通道,并可识别未经训练的新型隐蔽通道。系统在校园网流量实际部署中成功检出多个DNS隧道的存在。     

NULL字符欺骗DNS监控系统的研究

DNS流量监测统计已广泛应用于互联网安全管理及研究。文章提出一种利用NULL字符欺骗DNS监控系统的方法,并实验验证了该方法利用的缺陷存在于Wireshark、Dnstop和Dsc流量分析软件,以及部分恶意代码沙盘分析系统及域名过滤设备中,并在隐藏恶意软件域名、DNS隐蔽通信流量中得到应用。     

基于NTP反射放大攻击的DDoS追踪研究

提出了一种利用NTP反射型放大攻击的特点,通过对中国大陆开放公共NTP服务的主机定期发起主动探测（执行monlist指令）,利用返回信息对全球范围NTP反射类DRDoS攻击事件进行长期追踪观察和统计分析。追踪从2014年2月开始,初始探测范围为大陆近1.4万台NTP服务主机,每隔2 h一个周期持续进行了164天,观测到了针对数十万个IP地址的疑似DDoS攻击行为。