欢迎来到天天文库
浏览记录
ID:31360041
大小:103.50 KB
页数:4页
时间:2019-01-09
《基于聚类算法的dns攻击检测》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基于聚类算法的DNS攻击检测 DOI:10.16644/j.cnki.cn33-1094/tp.2016.07.009 摘要:DNS是Internet应用基础,通过DNS映射主机名和IP地址信息来保证两者间正常解析,但DNS设计有先天缺陷,使得其成为被网络攻击的首要对象。为了研究DNS攻击检测方法,从网络遭受DNS攻击的特性等方面分析,提出将捕获到的数据包进行过滤,并将过滤后数据信息通过K-means聚类算法分为不同类别,再用相应算法判定该类数据是否为DNS攻击。 关键词:DNS攻击;过滤;聚类;K-means算法 中图分类号:TP393.08文献标志
2、码:A文章编号:1006-8228(2016)07-31-03 DNSattackdetectionbasedonclusteringalgorithm LiJian (CommunicationUniversityofShanxi,Jinzhong,Shanxi030619,China) Abstract:DNSisthebasisofInternetapplication.InordertoensurethenormalparsinginformationbetweenthehostnameandIPaddress,theDNSusingmappi
3、ngmethods.ButDNSmakesittheprimaryobjectofnetworkattackbecauseofitsbirthdefects.InordertostudytheDNSattackdetectionmethods,thearticle4analyzesthecharacteristicsofDNSattackfromnetworks,proposestofilterthecaptureddatapackets,anddividethesedataintodifferentcategoriesbyusingK-meansmethod
4、s,andthenwhetherthedataisDNSattackisdeterminedbythecorrespondingalgorithm. Keywords:DNSattack;filter;clustering;K-meansalgorithm 0引言 DNS实现IP地址与网络域名之间的映射关系,是Internet重要的基础设施,但DNS设计本身没有完善的安全措施,使得其成为主要被攻击对象。2010年1月百度域名NS记录被伊朗网军(IranianCyberArmy)劫持,持续时间8小时,直接经济损失700万人民币[1]。2013年8月CN域D
5、NS受到DDOS攻击,导致所有CN域名无法解析。2014年1月发生的全国DNS故障是大陆境内遭受最为严重的DNS攻击事件,所有通用顶级域(.com/.net/.org)均遭到DNS污染[2]。 国内外很多学者针对DNS攻击问题曾提出许多解决方案。1997年1月IETF域名安全工作组提出了DNS安全扩展协议[3],以此加强DNS基础设施安全性。Fetzer[4]提出SSL协议改进DNS安全性,但SSL是面向连接的协议,以TCP协议为基础,不适合DNS广泛使用的UDP协议。除了对协议本身研究外,也有研究提出在现有基础上改进安全方案,但大多方式是针对现有技术基础上
6、的服务器软件升级、禁止相关功能等较为被动的方法,对DNS攻击缺乏必要的解决方案,为解决此类问题,需对检测和防御技术作深入研究。 1DNS攻击原理4 DNS作为开放的协议体系,其上数据未加密,也没有足够的信息认证和保护措施,对基础设施和主要设备的攻击未能引起足够重视。DNS系统在给全球用户提供域名解析服务的同时也遭受到来自各方的攻击和安全威胁,主要攻击特征描述如表1所示。 由表1可知,大多针对DNS的攻击都会导致源、目的IP、端口信息等产生异常。因此,可通过分析报头信息来检测其是否受到DNS的攻击,分别选取报文5维属性(源IP,目的IP,源端口,目的端口,
7、报文长度)作为分析数据,一定时间间隔内(如5min)截取相关端口数据包,分别统计各维度数据,并依据统计数据做相关处理和检测,以确定其是否受到DNS攻击。具体异常检测模型流程如图1所示。 具体方法为:在一定时间间隔内(如5min)捕获经过网络端口的数据包并分别统计各维度数据;根据数据可信白名单进行过滤,分离出正常网络流量数据;使用聚类算法对过滤出来的数据进行聚类,将数据分为不同类别;计算各聚类间的偏移程度,并将可疑聚类数据移入观察区做进一步检测确定其是否为DNS攻击,为此提出系统异常评估因子的计算公式,根据系统阀值计算系统异常评估因子,并借此判定是否受到DNS
8、攻击。 2数据包捕获4 捕获全部经
此文档下载收益归作者所有