DNS欺騙和緩存中毒攻擊的檢測.pdf

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)基礎(chǔ)設(shè)施和服務(wù)的安全性越來越重要。DNS系統(tǒng)作為互聯(lián)網(wǎng)上最為核心的基礎(chǔ)設(shè)施，其安全性直接決定著整個(gè)網(wǎng)絡(luò)的安全性，近年來，針對(duì)DNS系統(tǒng)的攻擊頻發(fā)，造成了嚴(yán)重的影響，因此，針對(duì)DNS攻擊行為進(jìn)行檢測，對(duì)保障網(wǎng)絡(luò)安全具有重要意義。
　　DNS協(xié)議在設(shè)計(jì)之初并沒有考慮太多的安全因素，協(xié)議本身存在的脆弱性使得 DNS面臨各種安全威脅。本文對(duì) DNS的系統(tǒng)結(jié)構(gòu)和工作原理做了簡單介紹，并對(duì)DNS系統(tǒng)的脆弱性進(jìn)行了詳細(xì)

2、的分析。
　　本文對(duì)現(xiàn)有的DNS攻擊檢測方案進(jìn)行了調(diào)研，傳統(tǒng)的入侵檢測技術(shù)對(duì)DNS攻擊檢測缺乏針對(duì)性，不能有效識(shí)別攻擊?，F(xiàn)有的針對(duì)DNS攻擊的檢測方式主要有基于網(wǎng)絡(luò)流量的檢測方法和基于數(shù)據(jù)包特征的檢測方法。分析對(duì)比現(xiàn)有檢測技術(shù)的優(yōu)缺點(diǎn)，本文提出了基于改進(jìn)累積和算法和信息熵模型結(jié)合的檢測方案。根據(jù)DNS數(shù)據(jù)包數(shù)量的特點(diǎn)，將入侵檢測中的累積和算法針對(duì)DNS流量特征進(jìn)行改進(jìn)，同時(shí)對(duì)其計(jì)算過程進(jìn)行優(yōu)化，去除冗余參數(shù)；依據(jù)DNS數(shù)據(jù)包特征屬

3、性的分布特征，設(shè)計(jì)信息熵模型對(duì)數(shù)據(jù)包進(jìn)行檢測。通過在累積和算法中設(shè)置雙門限值，在大流量波動(dòng)環(huán)境中，基于數(shù)據(jù)包數(shù)量的特征進(jìn)行檢測，在小流量波動(dòng)的環(huán)境中，對(duì)可疑行為通過基于數(shù)據(jù)包特征屬性分布的信息熵模型進(jìn)行檢測，實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)環(huán)境的針對(duì)性處理。
　　最后，根據(jù)檢測方案對(duì)檢測系統(tǒng)原型進(jìn)行了設(shè)計(jì)與實(shí)現(xiàn)，并在不同的網(wǎng)絡(luò)環(huán)境中進(jìn)行了實(shí)驗(yàn)。經(jīng)測試，本檢測模型可以在大流量的攻擊環(huán)境中準(zhǔn)確的檢測到攻擊，同時(shí)具有非常高的檢測效率；在小流量的攻擊環(huán)境中