欢迎来到天天文库
浏览记录
ID:22687480
大小:24.85 MB
页数:172页
时间:2018-10-30
《基于DNS活动的恶意服务检测及其威胁评估》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、学麵分类号:TP393密级:公开UDC.:0049学号:099234博士学位论文基于DNS活动的恶意服务检测及其威胁评估研究生姓名:张维维___导师姓名:龚俭教授由请学位类別工学m士学位授予单位东南.大隻—20178级学科名称计簋机轴举与技术论文答辩日期年月_gl_a.一纫挙糾夂称计重机系统结构学位授予日期__2Q_M__月__i_答辩委员会主席陈鸣教授评阅人2017年8月24日MALICIOUSS
2、ERVICESDETECTIONANDTHREATEVALUATIONBASEDONDNSACTIVITYANALYSISADissertationSubmittedtoSoutheastUniversityFortheAcademicDegreeofDoctorofEngineeringBYZhanWeiweigSupervisedbyProfessorGonJiangSchoolofComputerScie
3、nceandEngineeringSoutheastUniversityMay2017东南大学学位论文独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果,论。尽我所知,除了文中特别加以标注和致谢的地方外文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。-研究生签名^1-7:為曰期:?
4、东南大学学位论文使用授权声明东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印件和电子文档,可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸一质论文的内容相致,允许论文被查阅和借阅,可以公布(包。除在保密期内的保密论文外括以电子信息形式刊登)论文的全部内容或中、英文摘要等部分内容。论文的公布(包括以电子信息形式刊登)授权东南大学研究生院办理。〇研究生签名::^:师签名爲办日期2i2S.摘要DNS作为互联网的重要基础设施,
5、承载着域名与IP地址之间相互映射的重任,,网络上各种应用活动都与之密切相关。与此同时域名解析服务也成为各类互联网安全威胁的重要工具,如僵尸网络在其扩散与通信中使用DNS定位命令控制服务器,网络钓鱼和恶意代码下载等通过频繁变更域名对应的IP地址来隐匿背后真实的服务器。从网络测量的角度来说,与全报文网络流量相比,DNS数据量相对较小且不加密,可以用于在主干链路上进行实时流量监测。此外,DNDN一S解析请求总是先于具体的攻击活动,理论上S流量监测能够在第时间发现并且抑制网络攻
6、击。因此,基于DNS活动进行恶意服务检测是网络安全领一个新动向域的。面对日益严峻的网络安全问题,为了保障ISP主干网的安全可靠运行,本文以主干节点路由器上采集的DNS交互报文为数据源,以管理域内所有可见域名为检测对象,通过观察域名的字面特征、DNS活动特征以及通信行为特征,研究僵尸网络、钓鱼网站和垃圾邮件等恶意服务的威胁检测与评估方法。本文的主要工作包括以下六个方面。1.为了缓解主干网上进行实时DNS流量检测的性能压力,通过挖掘域名字一面包含的词素特征,提出个轻量级
7、检测算法,快速锁定可疑域名对象。该算法“”不但可以提高基于二元组频率分布特征经典算法的检测准确率,还能够有效地阻止攻击者基于事前相应特征统计的逃逸策略,以及借助字典或者构词工具的随机域名生成策略。2.为了提高主干网上进行实时DNS流量检测的检测精度,针对DNS缓存机制屏蔽终端用户解析查询请求导致下层DNS流量检测算法失效的问题,在借助“”测度流记录数据间接获取用户和域名间访问关系的基础上,提出域名依赖性-F组,测量域名对用户的重要程度。另外,针对Fastlux特征无法区
8、分内容分发网络引起误报增加的问题-,通过分析FastFlux服务网络和内容分发网络底层基础架构“”的不同,提出域名使用位置测度组,评估用于承载服务的网络基础架构的可靠性,。而后应用有监督的多分类器算法模型兼顾并行化测度计算的效率和多源数据融合处理的精度。与当前主流的通用域名检测系统相比,该算法虽然使用了最小的测度集,却拥有最高的检测精度。3.为了增强攻击活动的语义处理能力,针对发现的可疑域名,同时追踪它们一的DNS活动特征和通信行为特征,提出个识别僵尸网
此文档下载收益归作者所有