基于网络元数据分析的DNS隧道检测方法研究开题报告
2021-02-26 11:19:40
1. 研究目的与意义(文献综述)
dns是internet中的重要应用层协议,是internet发展的重要支撑。
它实现了域名到ip地址的转换,为其它internet应用提供了方便。
但是由于dns协议本身的设计缺陷,没有提供适当的信息保护和认证机制使得dns很容易受到攻击[1]。
2. 研究的基本内容与方案
2.1研究的基本内容本次研究的基本内容包括三部分:DNS工作原理、DNS攻击的原理、DNS攻击检测方法。这三部分基本内容的研究在时间和逻辑上都属于递进关系。
2.1.1研究DNS工作原理
从数据库系统层面上说,DNS是一个用于管理域名和地址信息映射的分布式数据库系统。为掌握DNS工作原理,从数据库系统层面上需要深入了解的相关概念:
A. DNS分布式数据库的体系结构
B. 树状结构的域名空间
C. 区和资源记录
D. DNS授权
E. 域名服务器和解析器
F. DNS解析原理
从网络协议层面上说,DNS是一种相对独立的TCP/IP应用层协议,它通常为其它应用层协议所使用。为掌握DNS工作原理,从网络协议层面上需要深入了解的相关概念:
A. DNS报文格式
B. DNS报文的发送和接收
C. 为传输DNS报文,传输层协议(UDP或TCP)的选择
D. DNS高速缓存
2.1.2研究DNS攻击的原理
陈琳从DNS系统脆弱性角度出发将常见的DNS安全问题分为三类[10]:
(1) 协议脆弱性
由于协议缺乏必要的认证机制,客户无法确认接收到的信息的真实性和权威性,而且接收到的应答报文中往往含有额外的附加信息,其正确性也无法判断。此外,绝大部分通信使用UDP协议,数据报文容易丢失,也易于受到劫持和欺骗。
由于协议脆弱性可能导致的安全问题:DNS欺骗攻击、DNS缓存投毒攻击、DDoS攻击、中间人攻击、数据监听。
(2) 实现脆弱性
历史上关于计算机或者计算机网络的很多著名安全问题不是由于算法或协议缺陷造成的,而是由于实现过程中程序员的错误引起的。
BIND(Berkeley Internet Name Domain)是由加利福尼亚大学的Berkeley分校开发和维护的一款开放源码的DNS服务器软件。它的稳定性、高质量、跨平台性以及开放性,使得BIND被认为是其它DNS实现的参考和标准。然而尽管BIND己经相当成熟,系统管理员还是发现需要对BIND进行许多修修补补的工作。BIND 4和BIND 8这两个系列版本允许客户向同一地址同时发送多个递归查询请求,容易造成生日攻击。BIND 9之前的版本随机数生成算法PRNG存在漏洞,生成的Transaction ID和源端口不是随机的。但是即使是BIND 9,在服务器间通信时使用的也是初始化服务时得到的静态源端口,并且生成的Transaction ID也是可以预测的。
由于协议脆弱性可能导致的安全问题:PRNG实现漏洞、缓存区溢出。
(3) 操作脆弱性
DNS最初设计主要考虑物理设备故障,并没有考虑由于人为操作或配置错误所带来的安全隐患。由于缺乏有效的配置管理工具,使得DNS上存在大量的配置错误例如无用授权、循环依赖和冗余降低等,给整个域名空间带来极大的安全威胁。
由于协议脆弱性可能导致的安全问题:域名劫持、域名配置攻击、信息泄露、类似域名注册攻击。
掌握了每种DNS攻击的实现原理,就了解了每种DNS攻击发生时网络流量中的各种元数据特征的变化,从而方便我们进行DNS攻击检测。对每种DNS攻击的实现原理更细致的研究工作将在后续展开。
2.1.3研究DNS攻击检测方法
在本文的第一部分已经阐述了国内外现有的DNS攻击检测方法,但每种攻击检测方法都有各自的局限性。在现有研究的基础上,本次毕业设计希望通过对网络流量中元数据(IP地址、端口、协议、连接持续时间、访问的网站等)的分析,找到DNS攻击发生时各种元数据特征变化的共性,并以此进行DNS攻击检测。
以上论述中尚解决的问题:
(1) 如何获取网络元数据
(2) 选取哪几种元数据作为分析对象
(3) 如何模拟DNS攻击
(4) 通过何种方法找到DNS攻击发生时各种元数据特征变化的共性
2.2研究目标
提出基于网络元数据分析的DNS攻击检测方法并构建一个DNS攻击检测系统。
2.3拟采用的技术方案及措施
2.3.1流量监视及分析平台iTAP
iTAP是南京云利来公司开发的一个部署于网络上的旁路监测设备。应用大数据分析和AI技术,它对内能监测网路和服务器的服务质量,对外预警DDoS攻击和Malware的入侵,从而确保可靠、安全的服务。用户网络行为可以用响应时间、流量、点击次数、访问成功率等元数据(metadata)来刻画。运用深层包检测技术(DPI),通过对全流量的多层协议分析可以抽象出整个数据中心的元数据。
2.3.2大数据分析平台iMAP
iMAP(intelligent metadata analytic platform)是南京云利来公司开发的一个汇集多种数据源的大数据分析平台。对元数据进行汇总分析后,就能实时地计算出数据中心整体或者每台服务器的健康情况。
2.3.3 DNS攻击检测系统模型
如图1所示,在网络中安装流量监视及分析平台iTAP,抓取进出网络的流量以及内部网络流量,并进行元数据的提取。将这些元数据保存到一个大数据分析平台iMAP中,然后通过对元数据的分析来进行攻击检测。
图1 DNS攻击检测系统模型示意图
3. 研究计划与安排
1)2017/1/23—2017/2/22:进一步阅读文献,完成开题报告;翻译英文资料(不少于5000汉字),并交予指导教师检查。
2)2017/2/23—2017/2/28:查阅相关文献,熟悉dns工作原理、dns攻击原理。
3)2017/3/1—2017/3/6:查阅相关文献,了解各种dns攻击检测方法。
4. 参考文献(12篇以上)
[1] 闫伯儒,方滨兴,李斌,王垚. DNS欺骗攻击的检测和防范[J].计算机工程,2006,第19卷,第12期
[2] Pappas V, Xu Z G, Lu S W, et al. Impact of Configuration Errors on DNS Robustness. Proceedings of ACM SIGCOMM 2004. 2004
[3] C. Fetzer, G. Pfeifer, T. Jim. Enhancing DNS Security using the SSL Trust Infrastructure. 10th IEEE International Workshop on Object-oriented Real-time Dependable Systems (WORDS 2005). 2005
[4] 李健.基于聚类算法的DNS攻击检测[J].计算机时代,2016(7):31-33
[5] 胡蓓蓓,彭艳兵,程光.基于Counting Bloom Filter的DNS异常检测[J]. 计算机工程与应用,2014,50(15): 82-86
[6] 宗兆伟.基于流量控制及流重组技术的应用层DDoS攻击的检测与防御[D].山东大学,2009
[7] 丁森林,吴军,毛伟.利用熵检测DNS异常[J].计算机系统应用,2010,第19卷,第12期
[8] 严芬,丁超,殷新春.基于信息熵的DNS拒绝服务攻击的检测研究[J].计算机科学,2015,42(3):140-143
[9] 马云龙,姜彩萍,张千里,王继龙.基于IPFIX的DNS异常行为检测方法[J].通信学报,2014,35(z1)
[10] 陈琳. DNS攻击检测与防御技术研究[D].北京邮电大学,2011
[11] 闫伯儒. DNS安全防护平台的研究与实现[D].哈尔滨工业大学,2006
[12] 靳冲,郝志宇,吴志刚. DNS缓存投毒攻击原理与防御策略[J].中国通信,2009,第4期
[13] 张小妹,赵荣彩,单征,陈静.基于DNS的拒绝服务攻击研究与防范[J].计算机工程与设计,2008,第29卷,第1期
[14] 孔政,姜秀柱. DNS欺骗原理及其防御方案[J].计算机工程,2010,第36卷,第3期
[15] 李闰平. DNS攻击检测与应急响应技术的研究[D].哈尔滨工业大学学,2007
[16] 王海龙,龚正虎,侯婕.僵尸网络检测技术研究进展[J].计算机研究与发展,2010,第47卷,第12期
[17] 智坚.基于应用层的DDoS攻击检测技术的研究[D].大连海事大学,2011
[18] Chris Marrison. DNS as an attack vector – and how businesses can keep it secure[J]. Network Security.2014(6)
[19] Chris Marrison. Understanding the threats to DNS and how to secure it[J]. Network Security.2015(6)
[20] Bisiaux, Jean-Yves1. DNS threats and mitigation strategies[J]. Network Security.2014(7)