基于域名的恶意行为检测技术.PDF

Research Development 研究与开发 基于域名的恶意行为检测技术 1,2 1 1 1 1 吕 品 柳厅文 张 洋 亚 静 时金桥 1 中国科学院信息工程研究所 北京 100195 2 国家信息中心 北京 100045 ； 、 、 摘　要 文章首先对域名恶意行为进行简述 然后从域名恶意行为生成机制 相似性 跳变性和互通性四个维度介 绍现有的基于域名的恶意行为安全检测技术；之后从DNS流量检测系统和基于DNS数据挖据技术两个维度介绍现有 ； 。 的检测系统 最后展望了恶意域名检测的发展方向 关键词 DNS恶意行为；DNS安全检测技术；DNS检测系统 外的OpenDNS、国内的奇虎360等众多安全公司纷纷投 引言 入大量的人力物力进行DNS相关安全技术研究。 随着信息技术的快速发展，网络攻击从传统的计 本文将重点从域名自身特征出发 ，介绍DNS安全 算机网络迅速扩展到移动互联网、物联网等新兴通信网 问题和对应的安全检测技术。论文的组织结构如下 ： 络 并延伸至交通 通信 工业控制等各个领域 网络 第1节介绍当前典型DNS恶意行为及其特征，第2节分 ， 、 、 。 攻击的强度和多样性也达到了前所未有的高度。这使得 类介绍DNS安全检测技术，第3节介绍两类典型的DNS 网络安全问题成为互联网发展面临的核心问题之一。 检测系统 ，最后在对本文进行总结的基础上，对未来 域名服务系统(Domain Name System ，DNS)主要 DNS恶意行为检测前景进行展望。 提供域名解析功能，完成域名到IP地址的双向映射。作 1 DNS恶意行为概述 为互联网最重要的核心基础设施，DNS极易被各种网 络攻击恶意利用，如僵尸网络、欺骗攻击、误植域名注 本文主要研究基于域名的恶意行为问题 ，包括基 册等，使得DNS安全问题已经成为互联网安全可靠运 于命令控制信道的DNS恶意行为和误植域名注册等。 行必须要解决的安全问题之一，受到了诸多国内外相关 域名系统自身的安全性问题 ，可通过规范配置、安全 机构的重视。 加固、加强管理等手段改善和提高，不是本文关注的 美国国土安全部于2013年发布了爱因斯坦3促进计 范围。 划和网络安全增强服务计划，两个计划都将检测DNS恶 利用域名构建命令控制(Command and Control ， 意域名并将其指向合法地址作为应对网络空间威胁的重 CC)信道是最常见的一种基于域名的恶意行为。命令 要手段之一。国家互联网应急中心和中国互联网信息中 控制信道是控制者管理大量主机的通信路径，易被非法 心定期发布的安全报告都将DNS域名的安全性分析作为 利用。攻击者利用域名构建命令控制信道 ，通过传递 感知国家网络安全态势的重要组成部分。与此同时，国 命令控制信息 ，进行网络攻击。基于命令控制信道的 23 研究与开发 Research Development DNS恶意行为主要包括僵尸网络方式和恶意域名方式 域名的主要技术特征分类包括域名的生成机制、域 两类 1)攻击者通过各种途径传播僵尸程序感染互联网 名的相似性 跳