多校区校园网一体化DNS网络架构研究

高校多校区一体化管理中,校区间人员流动频繁,如何保证学校师生在不同校区获得一致的上网体验成为一个难题。除了加快建设多活数据中心,实现重要信息系统的容灾备份体系之外,网络基础设施服务域名系统(Domain Name System,DNS)的一体化部署也面临新挑战。以河海大学南京校区和常州校区为例,通过多活容灾网络架构等技术手段部署一体化智能DNS服务,有效解决网络拥塞和信息系统访问瓶颈的问题,同时提升DNS管理的便捷性和服务的安全可靠性,对相关应用场景具有一定参考价值。

基于RF-RNN模型的DNS隐蔽信道检测方法

为提高检测隐蔽信道的灵敏度,提出一种基于随机森林(Random Forest,RF)和循环神经网络(Recurrent Neural Network,RNN)的域名系统(Domain Name System,DNS)隐蔽信道检测方法。该方法采用域名检测作为主要手段,使用RF模型对域名进行分类,通过深度学习方法挖掘更高阶的特征表示。实验结果表明,与单一模型相比,该方法在检测准确性和健壮性方面均取得了显著提升。

递归侧DNS安全研究与分析

因特网用户在访问网络应用前都需要通过DNS进行解析,DNS安全是保障网络正常运行的第1道门户,如果DNS的安全不能得到有效保证,即使网络其他系统安全防护措施级别再高,攻击者也可以通过攻击DNS系统使网络无法正常使用.目前DNS恶性事件仍有上升趋势,DNS攻击检测和防御技术的发展仍不能满足现实需求.从直接服务用户DNS请求的递归解析服务器视角出发,将DNS安全事件通过两种分类方法,全面梳理和总结DNS工作过程中面临的安全问题,包括由攻击或系统漏洞等引起各类安全事件,各类安全事件的具体检测方法,各类防御保护技术.在对各类安全事件、检测和防御保护技术总结的过程中,对相应典型方法的特点进行分析和对比,并对未来DNS安全领域的研究方向进行展望.

一种基于DNS的零信任增强认证系统设计

针对当前大量HTTPS应用复用证书存在安全风险问题,借鉴了零信任模型中安全策略动态授权的思路,提出了一种基于现有互联网基础设施DNS来扩展增强认证功能的方案,通过在现有DNS权威服务器上额外配置增强的认证信息来对HTTPS访问请求进行动态认证,从而能实时验证当前HTTPS证书的安全状态。该方案通过可信易得的DNS基础设施解决了当前普遍存在的HTTPS证书复用带来的安全问题,是一种灵活高效并且可扩展的零信任安全增强认证架构。

DNS核心稳定训练结合局部针刺运动对脑卒中后偏瘫患者步行及姿势控制能力的影响

目的:探讨动态神经肌肉稳定技术(Dynamic Neuromuscular Stabilization,DNS)下的核心稳定训练结合局部针刺运动方案对脑卒中后偏瘫患者步行及姿势控制能力的影响。方法:选取2022年3月~2022年9月在郴州市第一人民医院就诊的脑卒中患者90例,按随机数字表分为对照组(n=45)和观察组(n=45),对照组采用常规康复训练,观察组在此基础上增加DNS核心稳定训练结合局部针刺运动疗法。治疗8周后,对比并分析治疗前后两组患者步态时空参数中步长、步速、步频参数;步态时相参数中双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、步行周期参数;脑卒中患者姿势控制量表(Posture assessment of stoke scale,PASS)量表、Tinnetti(Performance-Oriented Assessment of Mobility)量表及Fugl-Meyer下肢运动功能(FMA-LE)量表评分数据。结果:治疗后,两组步长、步速、步频参数、双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、Tinnetti评分、PASS评分及FMA评分均显著高于治疗前(P<0.05),步行周期显著低于治疗前(P<0.05),且观察组治疗后步长、步速、步频参数、双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、PASS评分、Tinnetti评分及FMALE评分均显著高于对照组(P<0.05),步行周期则低于对照组(P<0.05)。结论:DNS核心稳定训练结合局部针刺运动可提高脑卒中后偏瘫患者核心稳定及姿势控制能力,改善步行功能。

基于无监督学习的DNS隧道检测

文章利用局域网中DNS服务器的历史流量数据通过无监督训练生成DNS隧道检测模型,计算待检测流量数据所对应的特征向量与DNS隧道检测模型提供的正常流量矩阵之间的马氏距离,并基于马氏距离来进行DNS隧道异常识别。根据局域网中内部DNS服务器的历史流量数据进行DNS隧道检测模型的训练,从而使得训练后的DNS隧道检测模型适应于不同的网络环境,提高了对DNS隧道异常的识别精度,保证了DNS隧道检测的准确性。

Systematic study of the synthesis of heavy and superheavy nuclei in 48Ca-induced fusion-evaporation reactions

We systematically studied the evaporation residue cross sections of ^(48)Ca-induced reactions on lanthanide and actinide target nuclei under the Dinuclear System(DNS)model framework to check the reliability and applicability of the model.To produce new proton-rich Fl and Lv isotopes through hot fusion reactions in the superheavy element region with Z≥104,we utilized the reactions ^(48)Ca+^(236,238,239) Pu and ^(48)Ca+^(242,243,244,250) Cm.However,owing to the detection limit of available equipment(0.1 pb),only 283Fl and 287−289Lv,which have the maximum evaporation residue cross section values of 0.149,0.130,9.522,and 0.309 pb,respectively,can be produced.Furthermore,to produce neutron-deficient isotopes of actinides near the proton drip line with Z=93−100,we attempted to generate the new isotopes(224−227Pu,228−232,237Cm)using the reactions ^(48)Ca+180,182,183 W and ^(48)Ca+^(184,186,187,192) Os.The maximum evaporation residue cross section values are 0.07,0.06,0.26,and 0.30 nb for the former set of reactions,and 1.96 pb,5.73 pb,12.16 pb,19.39 pb,54.79 pb,and 6.45 nb for the latter,respectively.These results are expected to provide new information for the future synthesis of unknown neutron-deficient isotopes.

基于AWX的DNS自动化运维管理探究

为提高企业IT系统的效率、可靠性及安全性,基于AWX的DNS自动化运维管理,研究AWX作为自动化工具在DNS管理中的应用,利用其功能简化DNS配置及部署,为IT基础设施的发展及创新提供参考。

基于终端DNS协议安全设计缺陷的代偿技术研究

针对DNS协议安全设计缺陷,文章对终端设备本地hosts缓存重定向技术、终端设备应用层DNS代理技术、操作系统内核驱动层DNS阻断技术进行了深入研究,提出了终端设备DNS协议安全设计缺陷代偿技术模型。该模型不仅能从终端设备操作系统底层拦截DNS域名解析请求数据包,还能联动威胁情报。经验证,它能在不影响用户正常体验的前提下对恶意域名进行准确识别和首包拦截,从而满足各行业的企、事业单位员工及供应链人员对终端设备的安全管理需求。

基于智能DNS与反向代理实现Web应用系统IPv6网络部署与IPv4网络安全加固

基于下一代互联网核心技术IPv6具有地址空间足够大、安全性更高、服务质量更好、支持终端设备移动等特性,高校的信息化发展在逐步推进IPv6网络部署与信息系统的IPv6网络应用。然而,在高校推进应用系统的IPv6网络部署访问过程中,仍然存在部分底层网络设备不支持IPv6协议、安全设备无法做到全面管控等问题。为尽可能不改变当前学校网络架构,不影响当前学校应用系统的IPv4网络访问,提出了基于智能DNS与反向代理设备实现高校Web应用系统IPv6网络部署与访问的技术方法。该技术方法具有实现原理简单、稳定性强、安全性高、易维护等特性,通过联动部署,实现了学校应用系统的IPv6网络访问与IPv4访问安全加固,为高校校园网IPv6网络应用部署提供了参考实践。

CentOS系统下DNS服务器配置与实现

基于CentOS 8系统讲解了DNS服务器的作用,并介绍了DNS服务器的安装方法,以及配置和管理DNS服务器的具体步骤。

基于Promethus的分布式DNS性能测试和监测系统研究

域名解析服务是互联网访问和流量调度入口,因此域名系统(Domain Name System,DNS)性能直接影响用户访问体验。基于Promethus时序数据库,设计实现一种分布式域名系统响应性能自动化测试监测系统,使用该系统,不仅可对自研DNS系统进行多节点分布式DNS性能测试,而且可以时序化方式长时监测运行,并以可视化方式实时监测DNS服务性能。

基于PKI的DNS安全防护研究

DNSSEC协议逐层数字签名的分层结构牵涉到复杂的多次手工滚动交换密钥,造成其在互联网上的实际部署率很低。基于PKI的DNS安全防护方案,开发了一个验证程序,基于私有云搭建测试环境进行仿真测试,针对DNS记录的数据响应延迟和存储消耗两个指标与DNSSEC方案进行比较,结果表明,采用CA证书的DNS防护方案能有效减少各层权威DNS服务器的存储开销并降低DNS解析响应延迟。

构建立体化DNS安全防护体系

2023年6月~7月,教育网运行正常,未发现影响严重的安全事件。在安全投诉事件方面,近期收到多起针对递归DNS查询服务器的拒绝服务攻击投诉。攻击者伪造大量递归查询请求,并把查询数据包里的源发IP伪造成递归查询服务器同子网内的IP。由于这些伪造的IP请求与递归查询服务器在同一广播域,递归查询服务器在返回查询结果时需要使用ARP协议确认子网IP对应的端口信息。但因为IP是伪造的,这些ARP查询请求得不到回应,进而大大增加递归查询服务器的系统负担,造成拒绝服务攻击。

基于DNS流量分析识别加密货币矿工的研究和实现

随着加密货币的兴起,恶意挖矿在全球肆虐,成为国家整治的重点,而挖矿木马不断进化,以各种方式规避当前主流的挖矿监测手段。为解决这一问题,提出一种AI算法,基于运营商DNS流量、AAA日志和挖矿威胁情报数据,自动识别挖矿行为和矿工。通过模型训练和结果分析,选择使用GMM和Bisecting Kmeans混合模型对DNS查询和响应中的模式进行识别,实时准确地检测矿工及其行为规律。

基于顶级域解析日志的递归DNS识别方法

递归域名系统(DNS)根据其服务的开放性、进行递归查询的目的等可分为不同的类型,递归DNS类型的准确识别,对于对根、顶级和各级权威DNS的分析与运行具有重要意义。针对递归DNS的准确识别问题,本文通过分析.CN国家顶级域名系统的解析日志,提出基于递归查询的行为特征识别递归DNS类型的方法。该方法从多个维度信息来筛选甄别表征全量日志信息,基于无监督特征选择方法选择重要特征,实现同类型递归DNS的准确聚类。实验结果表明,该方法能高效准确识别出递归DNS类型。

基于图注意力网络的DNS隐蔽信道检测

域名系统(Domain Name System,DNS)隐蔽信道在高级持续性威胁(Advanced Persistent Threat,APT)攻击中呈频发态势,对网络空间安全具有潜在威胁。文章提出基于域名语义表示(Domain Semantic Representation,DSR)和图注意力网络(Graph Attention Network,GAT)的DNS隐蔽信道检测方法DSR-GAT,将域名级别的DNS隐蔽信道检测转化为一种无向图的节点分类任务。首先基于域名的相关性采用无向图构建域名图(Domain Graph,DG);然后利用域名的文本数据属性,采用一维卷积神经网络提取的语义表示作为DG节点的特征表示;最后通过图注意力网络的消息传播机制及多头自注意力机制,增强每个域名的特征表示。在公开数据集与基于真实APT样本Glimpse的自建数据集上进行实验,实验结果表明,文章提出的DSR-GAT方法检测效果较好,在解决上述问题的同时降低了漏报率,在一定程度上减小了安全风险。

基于流量切片的DNS隐蔽通道检测

针对DNS隐蔽信道(DCC)流量变形策略对现有检测方法的绕过性问题,提出了一种基于流量切片的DCC检测方法。该方法首先将实验环境出口流量基于滑动窗口分批,再基于主机端聚合形成流量切片,每个切片包含一个较短时间跨度中归属同一主机的DNS报文与Web报文,再对切片内DNS报文的数据量、请求行为、响应行为以及与Web报文的关联行为实施面向DCC检测的特征工程,并在此基础上建立DCC检测模型。对比实验表明,所构建的DCC检测模型在常规DCC流量切片集上检测准确性达到99.83%,误报率仅0.08%,在6类不同流量变形策略的变形DCC流量切片集上有平均95%以上的检出能力,远优于其他检测方案,证明了所提出的方法应对DCC流量变形的有效性。同时,该方法能在主机单个流量切片上对DCC通信作出有效检测,是一种具有良好实时性的检测方法。

基于SSDP和DNS-SD协议的双栈主机发现方法及其安全分析

随着全球互联网IPv4地址分配耗尽,IPv6开始加速推广和部署。双栈技术允许设备同时启用IPv4和IPv6栈,这意味着用户暴露了双倍的安全风险。尽管现有的工作可实现对部分双栈服务器的识别和测量,但仍存在以下问题。首先,双栈主机识别需要对主机服务进行深层协议识别,然而这种方式会消耗过高的扫描资源。其次,实际的网络服务提供商有可能在分布式主机上提供一致的服务,使得通过服务指纹进行双栈主机判别的准确性难以保证。针对此问题,利用局域网服务发现协议将主机服务与IP地址绑定的协议特性,提出了基于SSDP和DNS-SD协议的双栈主机发现方法:在IPv4网络环境下,通过SSDP诱导目标主机主动向构建的IPv6服务器发送请求,然后从服务器日志中提取IPv6地址;或通过DNS-SD协议枚举目标主机的服务列表及其对应的AAAA记录,获取目标主机IPv6地址,实现双栈地址对的发现。该方法直接从IPv4主机获取其IPv6地址,确保了发现的双栈主机的准确性,同时,在发现过程中只需要针对特定协议构造请求数据包,极大地节约了扫描资源。基于该方法,对全球IPv4网络意外暴露的SSDP主机和DNS-SD主机进行了测量,共收集到158000个不重复的IPv6地址,其中55000个为拥有全球可达IPv6地址的双栈主机地址对。与现有工作将测量目标聚焦于双栈服务器不同,该方法主要针对终端用户和客户端设备,构建了迄今为止尚未探索过的活跃IPv6设备独特集合及双栈主机地址对集合。通过对获取的IPv6地址编址类型的分析,随机生成已成为当前IPv6地址分配的主要方式,这一方式大大降低了IPv6主机被扫描发现的可能性。特别地,通过对双栈主机的开放端口和服务测量,发现双栈主机在不同协议栈上的安全策略差异:IPv6栈上暴露了更多高风险服务,扩大了主机的攻击面。研究结果表明,IPv6地址空间遍历扫描的不可行性缓解了IPv6的安全风险,但错误的网络配置大幅增加了这些高风险的IPv6主机被发现的可能性,用户应该重新审视双栈主机上的IPv6安全策略。

DNS法与菲林试剂法测定酿酒大曲糖化酶活力的比较分析

试验采用菲林试剂法和DNS法分别对20个大曲糖化酶活力进行测定,并比较两种方法测得结果的相关性、精密度和准确性。结果表明,DNS法的检测值大于菲林试剂法,两种方法测得大曲糖化酶活力的结果高度相关(相关系数r=0.9918);同时两种方法测得糖化酶活力的精密度和准确度也均较好,相对于菲林试剂法,DNS法测定糖化酶活力的精密度较高,准确度稍好。两种方法均能满足大曲日常检测需求,从精密性和准确性来说,DNS法相对更优。