基于RF-RNN模型的DNS隐蔽信道检测方法

为提高检测隐蔽信道的灵敏度,提出一种基于随机森林(Random Forest,RF)和循环神经网络(Recurrent Neural Network,RNN)的域名系统(Domain Name System,DNS)隐蔽信道检测方法。该方法采用域名检测作为主要手段,使用RF模型对域名进行分类,通过深度学习方法挖掘更高阶的特征表示。实验结果表明,与单一模型相比,该方法在检测准确性和健壮性方面均取得了显著提升。

DNS核心稳定训练结合局部针刺运动对脑卒中后偏瘫患者步行及姿势控制能力的影响

目的:探讨动态神经肌肉稳定技术(Dynamic Neuromuscular Stabilization,DNS)下的核心稳定训练结合局部针刺运动方案对脑卒中后偏瘫患者步行及姿势控制能力的影响。方法:选取2022年3月~2022年9月在郴州市第一人民医院就诊的脑卒中患者90例,按随机数字表分为对照组(n=45)和观察组(n=45),对照组采用常规康复训练,观察组在此基础上增加DNS核心稳定训练结合局部针刺运动疗法。治疗8周后,对比并分析治疗前后两组患者步态时空参数中步长、步速、步频参数;步态时相参数中双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、步行周期参数;脑卒中患者姿势控制量表(Posture assessment of stoke scale,PASS)量表、Tinnetti(Performance-Oriented Assessment of Mobility)量表及Fugl-Meyer下肢运动功能(FMA-LE)量表评分数据。结果:治疗后,两组步长、步速、步频参数、双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、Tinnetti评分、PASS评分及FMA评分均显著高于治疗前(P<0.05),步行周期显著低于治疗前(P<0.05),且观察组治疗后步长、步速、步频参数、双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、PASS评分、Tinnetti评分及FMALE评分均显著高于对照组(P<0.05),步行周期则低于对照组(P<0.05)。结论:DNS核心稳定训练结合局部针刺运动可提高脑卒中后偏瘫患者核心稳定及姿势控制能力,改善步行功能。

基于无监督学习的DNS隧道检测

文章利用局域网中DNS服务器的历史流量数据通过无监督训练生成DNS隧道检测模型,计算待检测流量数据所对应的特征向量与DNS隧道检测模型提供的正常流量矩阵之间的马氏距离,并基于马氏距离来进行DNS隧道异常识别。根据局域网中内部DNS服务器的历史流量数据进行DNS隧道检测模型的训练,从而使得训练后的DNS隧道检测模型适应于不同的网络环境,提高了对DNS隧道异常的识别精度,保证了DNS隧道检测的准确性。

基于PKI的DNS安全防护研究

DNSSEC协议逐层数字签名的分层结构牵涉到复杂的多次手工滚动交换密钥,造成其在互联网上的实际部署率很低。基于PKI的DNS安全防护方案,开发了一个验证程序,基于私有云搭建测试环境进行仿真测试,针对DNS记录的数据响应延迟和存储消耗两个指标与DNSSEC方案进行比较,结果表明,采用CA证书的DNS防护方案能有效减少各层权威DNS服务器的存储开销并降低DNS解析响应延迟。

基于Promethus的分布式DNS性能测试和监测系统研究

域名解析服务是互联网访问和流量调度入口,因此域名系统(Domain Name System,DNS)性能直接影响用户访问体验。基于Promethus时序数据库,设计实现一种分布式域名系统响应性能自动化测试监测系统,使用该系统,不仅可对自研DNS系统进行多节点分布式DNS性能测试,而且可以时序化方式长时监测运行,并以可视化方式实时监测DNS服务性能。

构建立体化DNS安全防护体系

2023年6月~7月,教育网运行正常,未发现影响严重的安全事件。在安全投诉事件方面,近期收到多起针对递归DNS查询服务器的拒绝服务攻击投诉。攻击者伪造大量递归查询请求,并把查询数据包里的源发IP伪造成递归查询服务器同子网内的IP。由于这些伪造的IP请求与递归查询服务器在同一广播域,递归查询服务器在返回查询结果时需要使用ARP协议确认子网IP对应的端口信息。但因为IP是伪造的,这些ARP查询请求得不到回应,进而大大增加递归查询服务器的系统负担,造成拒绝服务攻击。

智能DNS优缺点分析

文章介绍了普通DNS的意义和Linux下的配置方法,普通DNS与智能DNS的区别及智能DNS的配置情况,分析了智能DNS在地址解析过程中的优点和缺陷,提出了发挥智能DNS在地址解析及负载均衡使用中的优点,避免智能DNS缺陷的方法。

DNSSEC的选择:Yes还是No?

互联网早期的特点是技术的不断更新。例如,路由协议接二连三地出现和消失,传输技术处于不断变化的状态,我们用来与新兴数字环境交互的设备正在变化,我们使用的应用程序也在变化。因此有些令人惊讶的是,至少有一个协议在互联网四十多年的发展中保持相对稳定,那就是域名系统(DNS)和相关的DNS解析协议。也许我们可以将传输协议UDP(用户数据报协议)和TCP(传输控制协议)也放入同一类协议中。在互联网协议中,它们肯定是最古老的协议之一,并且今天仍在大量使用。这是对这些协议基本设计的肯定,虽然网络和它的使用者已经增长了十亿倍甚至更多,但这些协议基本上保持不变。

面向主干网的DNS流量监测

面对ISP主干网,为了检测威胁其管理域内用户安全的僵尸网络、钓鱼网站以及垃圾邮件等恶意活动,实时监测流经主干网边界的DNS交互报文,并从域名的依赖性和使用位置两个方面刻画DNS活动行为模式,而后,基于有监督的多分类器模型,提出面向ISP主干网的上层DNS活动监测算法DAOS(binary classifier for DNS activity observation system).其中,依赖性从用户角度观察域名的外在使用情况,而使用位置则关注区域文件中记录的域名内部资源配置.实验结果表明:该算法在不依赖先验知识的前提下,经过两小时的DNS活动观测,可以达到90.5%的检测准确率,以及2.9%的假阳性和6.6%的假阴性.若持续观察1周,准确率可以上升到93.9%,假阳性和假阴性也可以下降到1.3%和4.8%.

DNS欺骗原理及其防御方案

针对DNS欺骗表现出的危害性大、隐蔽性强的特点,通过对DNSID欺骗攻击及DNS缓存中毒攻击的原理进行剖析,应用概率学理论证明了"生日攻击"的危害,分别给出相应的防御方案。对于不同类型的用户可以根据自身的条件和对信息安全要求级别的高低,采用适合自己的应对方案。

恶意DNS流量攻击研究

DNS是重要的基础设施,用于域名服务,在负载均衡、移动IP等方面也有着重要的应用。分析了针对DNS的几种攻击行为类别,讨论了DNS流量激增对互联网的正常运作的影响,并提出了恶意DNS流量攻击、蜂窝效应概念,给出了几种导致DNS流量激增的措施,给出了能导致互联网DNS流量激增VC#的实例代码,最后讨论了针对DNS流量攻击的应对措施。

基于ECS机制的智能EDNS研究

文章主要针对基于ECS(Edns-Client-Subnet)机制的智能EDNS(Extension Mechanisms for DNS)进行了相关研究,对智能EDNS的技术原理、报文形式、主要用途以及实际应用进行了介绍,通过对比分析智能EDNS机制与传统DNS的优势,结合实际应用中CDN调度存在的不足,提出了改进版的基于ECS机制的CDN调度优化方案,并就实现过程中的关键要点进行阐述。

DNS安全防护技术研究综述

DNS为互联网应用提供名字解析服务,是互联网的重要基础服务设施.近年发生的互联网安全事件表明DNS正面临严峻的安全威胁.DNS的安全脆弱性主要包括:协议设计脆弱性、技术实现脆弱性和体系结构脆弱性.针对上述脆弱性,对DNS协议设计、系统实现、检测监控和去中心化等方面的最新研究成果进行了归纳和总结,并且对未来可能的热点研究方向进行了展望.

互联网DNS安全研究现状与挑战

域名系统为互联网的应用提供域名与IP地址的相互转换服务,是互联网的重要基础设施。DNS的安全是互联网稳定运行的保障,也是互联网安全研究的重要内容。现有研究主要通过设计增强协议、监测机制和使用方法来提高DNS系统的安全防护能力,但近期的DNS攻击事件表明,DNS安全依然存在很多极具挑战性的问题没有解决。从安全增强、行为监测和隐私保护等方面对现有成果和挑战问题进行了总结和讨论。

基于DNS流量分析识别加密货币矿工的研究和实现

随着加密货币的兴起,恶意挖矿在全球肆虐,成为国家整治的重点,而挖矿木马不断进化,以各种方式规避当前主流的挖矿监测手段。为解决这一问题,提出一种AI算法,基于运营商DNS流量、AAA日志和挖矿威胁情报数据,自动识别挖矿行为和矿工。通过模型训练和结果分析,选择使用GMM和Bisecting Kmeans混合模型对DNS查询和响应中的模式进行识别,实时准确地检测矿工及其行为规律。

基于顶级域解析日志的递归DNS识别方法

递归域名系统(DNS)根据其服务的开放性、进行递归查询的目的等可分为不同的类型,递归DNS类型的准确识别,对于对根、顶级和各级权威DNS的分析与运行具有重要意义。针对递归DNS的准确识别问题,本文通过分析.CN国家顶级域名系统的解析日志,提出基于递归查询的行为特征识别递归DNS类型的方法。该方法从多个维度信息来筛选甄别表征全量日志信息,基于无监督特征选择方法选择重要特征,实现同类型递归DNS的准确聚类。实验结果表明,该方法能高效准确识别出递归DNS类型。

基于流量切片的DNS隐蔽通道检测

针对DNS隐蔽信道(DCC)流量变形策略对现有检测方法的绕过性问题,提出了一种基于流量切片的DCC检测方法。该方法首先将实验环境出口流量基于滑动窗口分批,再基于主机端聚合形成流量切片,每个切片包含一个较短时间跨度中归属同一主机的DNS报文与Web报文,再对切片内DNS报文的数据量、请求行为、响应行为以及与Web报文的关联行为实施面向DCC检测的特征工程,并在此基础上建立DCC检测模型。对比实验表明,所构建的DCC检测模型在常规DCC流量切片集上检测准确性达到99.83%,误报率仅0.08%,在6类不同流量变形策略的变形DCC流量切片集上有平均95%以上的检出能力,远优于其他检测方案,证明了所提出的方法应对DCC流量变形的有效性。同时,该方法能在主机单个流量切片上对DCC通信作出有效检测,是一种具有良好实时性的检测方法。

基于图注意力网络的DNS隐蔽信道检测

域名系统(Domain Name System,DNS)隐蔽信道在高级持续性威胁(Advanced Persistent Threat,APT)攻击中呈频发态势,对网络空间安全具有潜在威胁。文章提出基于域名语义表示(Domain Semantic Representation,DSR)和图注意力网络(Graph Attention Network,GAT)的DNS隐蔽信道检测方法DSR-GAT,将域名级别的DNS隐蔽信道检测转化为一种无向图的节点分类任务。首先基于域名的相关性采用无向图构建域名图(Domain Graph,DG);然后利用域名的文本数据属性,采用一维卷积神经网络提取的语义表示作为DG节点的特征表示;最后通过图注意力网络的消息传播机制及多头自注意力机制,增强每个域名的特征表示。在公开数据集与基于真实APT样本Glimpse的自建数据集上进行实验,实验结果表明,文章提出的DSR-GAT方法检测效果较好,在解决上述问题的同时降低了漏报率,在一定程度上减小了安全风险。

DNS查询原理与实验

DNS是因特网上主机之间相互通信的基础,它提供了一个域名和IP地址之间的映射关系。这篇文章介绍了DNS的工作原理,使用nslookup程序探究了在WIFI共享大师环境下、SNNU无线上网环境下和PPPOE拨号上网环境下DNS的A类查询结果并与在浏览器访问百度时的DNS查询结果作以比较,总结了这几种情况下查询的异同。

基于SSDP和DNS-SD协议的双栈主机发现方法及其安全分析

随着全球互联网IPv4地址分配耗尽,IPv6开始加速推广和部署。双栈技术允许设备同时启用IPv4和IPv6栈,这意味着用户暴露了双倍的安全风险。尽管现有的工作可实现对部分双栈服务器的识别和测量,但仍存在以下问题。首先,双栈主机识别需要对主机服务进行深层协议识别,然而这种方式会消耗过高的扫描资源。其次,实际的网络服务提供商有可能在分布式主机上提供一致的服务,使得通过服务指纹进行双栈主机判别的准确性难以保证。针对此问题,利用局域网服务发现协议将主机服务与IP地址绑定的协议特性,提出了基于SSDP和DNS-SD协议的双栈主机发现方法:在IPv4网络环境下,通过SSDP诱导目标主机主动向构建的IPv6服务器发送请求,然后从服务器日志中提取IPv6地址;或通过DNS-SD协议枚举目标主机的服务列表及其对应的AAAA记录,获取目标主机IPv6地址,实现双栈地址对的发现。该方法直接从IPv4主机获取其IPv6地址,确保了发现的双栈主机的准确性,同时,在发现过程中只需要针对特定协议构造请求数据包,极大地节约了扫描资源。基于该方法,对全球IPv4网络意外暴露的SSDP主机和DNS-SD主机进行了测量,共收集到158000个不重复的IPv6地址,其中55000个为拥有全球可达IPv6地址的双栈主机地址对。与现有工作将测量目标聚焦于双栈服务器不同,该方法主要针对终端用户和客户端设备,构建了迄今为止尚未探索过的活跃IPv6设备独特集合及双栈主机地址对集合。通过对获取的IPv6地址编址类型的分析,随机生成已成为当前IPv6地址分配的主要方式,这一方式大大降低了IPv6主机被扫描发现的可能性。特别地,通过对双栈主机的开放端口和服务测量,发现双栈主机在不同协议栈上的安全策略差异:IPv6栈上暴露了更多高风险服务,扩大了主机的攻击面。研究结果表明,IPv6地址空间遍历扫描的不可行性缓解了IPv6的安全风险,但错误的网络配置大幅增加了这些高风险的IPv6主机被发现的可能性,用户应该重新审视双栈主机上的IPv6安全策略。