The DNS over HTTPS(Hypertext Transfer Protocol Secure)(DoH)is a new technology that encrypts DNS traffic,enhancing the privacy and security of end-users.However,the adoption of DoH is still facing several research cha...The DNS over HTTPS(Hypertext Transfer Protocol Secure)(DoH)is a new technology that encrypts DNS traffic,enhancing the privacy and security of end-users.However,the adoption of DoH is still facing several research challenges,such as ensuring security,compatibility,standardization,performance,privacy,and increasing user awareness.DoH significantly impacts network security,including better end-user privacy and security,challenges for network security professionals,increasing usage of encrypted malware communication,and difficulty adapting DNS-based security measures.Therefore,it is important to understand the impact of DoH on network security and develop newprivacy-preserving techniques to allowthe analysis of DoH traffic without compromising user privacy.This paper provides an in-depth analysis of the effects of DoH on cybersecurity.We discuss various techniques for detecting DoH tunneling and identify essential research challenges that need to be addressed in future security studies.Overall,this paper highlights the need for continued research and development to ensure the effectiveness of DoH as a tool for improving privacy and security.展开更多
域名系统(domain name system,DNS)作为互联网资源的名字标识服务,提供了从域名到IP地址的查询转换功能,是用户访问互联网应用的入口,也是用户侧安全威胁感知与防御的关键点。用户侧常见的DNS滥用及相关安全威胁有:网络钓鱼、域名不良...域名系统(domain name system,DNS)作为互联网资源的名字标识服务,提供了从域名到IP地址的查询转换功能,是用户访问互联网应用的入口,也是用户侧安全威胁感知与防御的关键点。用户侧常见的DNS滥用及相关安全威胁有:网络钓鱼、域名不良应用、恶意软件以及利用DNS进行攻击等。防护性DNS(protective DNS,PDNS)服务是一种利用DNS协议和架构的网络安全防护技术,通过对DNS查询进行威胁检测与处置,能够从源头上阻止用户对网络钓鱼网站、不良网站、恶意软件的访问。目前学界对PDNS服务还缺少系统的介绍与研究。对PDNS已有研究工作、应用现状及架构与功能进行系统梳理,对PDNS所涉及的关键技术进行系统综述,主要包括域名威胁处置技术、DNS异常检测技术、威胁情报管理技术和数据存储管理技术,分析PDNS目前面临的问题与挑战,并对PDNS未来发展趋势与研究方向提出了展望。展开更多
高校多校区一体化管理中,校区间人员流动频繁,如何保证学校师生在不同校区获得一致的上网体验成为一个难题。除了加快建设多活数据中心,实现重要信息系统的容灾备份体系之外,网络基础设施服务域名系统(Domain Name System,DNS)的一体化...高校多校区一体化管理中,校区间人员流动频繁,如何保证学校师生在不同校区获得一致的上网体验成为一个难题。除了加快建设多活数据中心,实现重要信息系统的容灾备份体系之外,网络基础设施服务域名系统(Domain Name System,DNS)的一体化部署也面临新挑战。以河海大学南京校区和常州校区为例,通过多活容灾网络架构等技术手段部署一体化智能DNS服务,有效解决网络拥塞和信息系统访问瓶颈的问题,同时提升DNS管理的便捷性和服务的安全可靠性,对相关应用场景具有一定参考价值。展开更多
IPv6环境下的域名系统(DNS,domain name system)服务发展迅速,开展IPv6环境下DNS服务发现方法研究,对分析DNS服务在IPv6环境下的全球发展态势,提升服务可靠性具有非常重要的意义。基于IPv4和IPv6的合作解析关系,通过跨栈服务关联发现IPv...IPv6环境下的域名系统(DNS,domain name system)服务发展迅速,开展IPv6环境下DNS服务发现方法研究,对分析DNS服务在IPv6环境下的全球发展态势,提升服务可靠性具有非常重要的意义。基于IPv4和IPv6的合作解析关系,通过跨栈服务关联发现IPv6 DNS服务是一种有效的方法。然而,现有基于跨栈服务关联的IPv6 DNS服务发现方法受DNS探测包长度限制,探测能力有限。针对此问题,提出一种基于动态域名水印的IPv6 DNS服务发现方法。该方法利用自建权威服务器构建动态域名资源记录,绕过探测包长度限制。相比传统方法,该方法发现的IPv6 DNS服务数量提升接近98%;同时,通过解析水印日志记录,发现了解析器间存在大量解析依赖和集中化现象。展开更多
DNSSEC(domain name system security extensions)是一种域名系统(DNS,domain name system)的安全扩展协议,通过为DNS记录添加签名来增加DNS的安全性。域名递归服务器能否有效验证DNSSEC配置的正确性,并且在配置错误时返回相应的错误类...DNSSEC(domain name system security extensions)是一种域名系统(DNS,domain name system)的安全扩展协议,通过为DNS记录添加签名来增加DNS的安全性。域名递归服务器能否有效验证DNSSEC配置的正确性,并且在配置错误时返回相应的错误类型,对保障整个DNS的安全至关重要。为此,基于RFC 8914标准,选择了8种在权威侧可配置的DNSSEC错误类型,并在8个不同的子域分别配置了相应的DNSSEC错误。接下来,面向全球范围内的公共DNS服务器,筛选出其中支持DNSSEC的递归服务器作为探测对象,针对上述8个子域发起解析请求,对探测结果进行了收集、分析及可视化。探测结果表明,对于部分错误,多数支持DNSSEC的递归服务器可以正确地检测出域名的DNSSEC错误配置,并且返回相应的错误类型,如signature_expired、signature_not_valid、RRSIG_missing、DNSKEY_missing等错误。对当前全球范围内重要递归服务器检测DNSSEC错误配置的能力开展了大规模测量分析,可有效指导未来DNSSEC广泛部署中递归侧的能力建设。展开更多
域名系统(domain name system,DNS)隐蔽信道是一种利用DNS协议实现数据泄露的网络攻击手段,受到诸多高级持续性威胁(advanced persistent threat,APT)组织的青睐,给网络空间安全带来了严重威胁。针对传统机器学习方法对特征依赖性强、...域名系统(domain name system,DNS)隐蔽信道是一种利用DNS协议实现数据泄露的网络攻击手段,受到诸多高级持续性威胁(advanced persistent threat,APT)组织的青睐,给网络空间安全带来了严重威胁。针对传统机器学习方法对特征依赖性强、误报率高的问题,提出一种融合多通道卷积和注意力网络的DNS隐蔽信道检测算法。该算法基于DNS请求与响应双向流,首先将残差结构和并行卷积相结合,采用不同大小的卷积核提取并融合多尺度特征信息,实现不同感受野特征的捕获;其次引入通道注意力机制增加卷积通道关键信息的提取能力,丰富网络模型的表达能力;最后采用softmax函数实现DNS隐蔽信道的检测。实验结果表明,所提模型能有效检测DNS隐蔽信道,平均准确率、精确率和召回率分别为96.42%、97.82%和96.16%,优于传统方法。展开更多
DNS作为互联网基础设施,很少受到防火墙的深度监控,导致黑客和APT组织通过DNS隐蔽隧道来窃取数据或控制网络,对网络安全造成严重威胁.针对现有检测方案容易被攻击者绕过以及泛化能力较弱的问题,本研究改进了DNS流量的表征方法,并提出了P...DNS作为互联网基础设施,很少受到防火墙的深度监控,导致黑客和APT组织通过DNS隐蔽隧道来窃取数据或控制网络,对网络安全造成严重威胁.针对现有检测方案容易被攻击者绕过以及泛化能力较弱的问题,本研究改进了DNS流量的表征方法,并提出了PFEC-Transformer(pcap features extraction CNN-Transformer)模型.该模型以表征后的十进制数值序列作为输入,在经过CNN模块进行局部特征提取后,再通过Transformer分析局部特征间的长距离依赖模式并进行分类.研究采集了互联网流量以及各类DNS隐蔽隧道工具生成的数据包构建数据集,并使用包含未知隧道工具流量的公开数据集进行泛化能力测试.实验结果表明,该模型在测试数据集上取得了高达99.97%的准确率,在泛化测试集上也达到了92.12%的准确率,有效地证明了其在检测未知DNS隐蔽隧道方面的优异性能.展开更多
基金Deanship of Scientific Research at King Khalid University for funding this work through a large group Research Project under Grant Number RGP.2/373/45.
文摘The DNS over HTTPS(Hypertext Transfer Protocol Secure)(DoH)is a new technology that encrypts DNS traffic,enhancing the privacy and security of end-users.However,the adoption of DoH is still facing several research challenges,such as ensuring security,compatibility,standardization,performance,privacy,and increasing user awareness.DoH significantly impacts network security,including better end-user privacy and security,challenges for network security professionals,increasing usage of encrypted malware communication,and difficulty adapting DNS-based security measures.Therefore,it is important to understand the impact of DoH on network security and develop newprivacy-preserving techniques to allowthe analysis of DoH traffic without compromising user privacy.This paper provides an in-depth analysis of the effects of DoH on cybersecurity.We discuss various techniques for detecting DoH tunneling and identify essential research challenges that need to be addressed in future security studies.Overall,this paper highlights the need for continued research and development to ensure the effectiveness of DoH as a tool for improving privacy and security.
文摘域名系统(domain name system,DNS)作为互联网资源的名字标识服务,提供了从域名到IP地址的查询转换功能,是用户访问互联网应用的入口,也是用户侧安全威胁感知与防御的关键点。用户侧常见的DNS滥用及相关安全威胁有:网络钓鱼、域名不良应用、恶意软件以及利用DNS进行攻击等。防护性DNS(protective DNS,PDNS)服务是一种利用DNS协议和架构的网络安全防护技术,通过对DNS查询进行威胁检测与处置,能够从源头上阻止用户对网络钓鱼网站、不良网站、恶意软件的访问。目前学界对PDNS服务还缺少系统的介绍与研究。对PDNS已有研究工作、应用现状及架构与功能进行系统梳理,对PDNS所涉及的关键技术进行系统综述,主要包括域名威胁处置技术、DNS异常检测技术、威胁情报管理技术和数据存储管理技术,分析PDNS目前面临的问题与挑战,并对PDNS未来发展趋势与研究方向提出了展望。
文摘高校多校区一体化管理中,校区间人员流动频繁,如何保证学校师生在不同校区获得一致的上网体验成为一个难题。除了加快建设多活数据中心,实现重要信息系统的容灾备份体系之外,网络基础设施服务域名系统(Domain Name System,DNS)的一体化部署也面临新挑战。以河海大学南京校区和常州校区为例,通过多活容灾网络架构等技术手段部署一体化智能DNS服务,有效解决网络拥塞和信息系统访问瓶颈的问题,同时提升DNS管理的便捷性和服务的安全可靠性,对相关应用场景具有一定参考价值。
文摘目的:探讨动态神经肌肉稳定技术(Dynamic Neuromuscular Stabilization,DNS)下的核心稳定训练结合局部针刺运动方案对脑卒中后偏瘫患者步行及姿势控制能力的影响。方法:选取2022年3月~2022年9月在郴州市第一人民医院就诊的脑卒中患者90例,按随机数字表分为对照组(n=45)和观察组(n=45),对照组采用常规康复训练,观察组在此基础上增加DNS核心稳定训练结合局部针刺运动疗法。治疗8周后,对比并分析治疗前后两组患者步态时空参数中步长、步速、步频参数;步态时相参数中双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、步行周期参数;脑卒中患者姿势控制量表(Posture assessment of stoke scale,PASS)量表、Tinnetti(Performance-Oriented Assessment of Mobility)量表及Fugl-Meyer下肢运动功能(FMA-LE)量表评分数据。结果:治疗后,两组步长、步速、步频参数、双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、Tinnetti评分、PASS评分及FMA评分均显著高于治疗前(P<0.05),步行周期显著低于治疗前(P<0.05),且观察组治疗后步长、步速、步频参数、双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、PASS评分、Tinnetti评分及FMALE评分均显著高于对照组(P<0.05),步行周期则低于对照组(P<0.05)。结论:DNS核心稳定训练结合局部针刺运动可提高脑卒中后偏瘫患者核心稳定及姿势控制能力,改善步行功能。
文摘DNSSEC(domain name system security extensions)是一种域名系统(DNS,domain name system)的安全扩展协议,通过为DNS记录添加签名来增加DNS的安全性。域名递归服务器能否有效验证DNSSEC配置的正确性,并且在配置错误时返回相应的错误类型,对保障整个DNS的安全至关重要。为此,基于RFC 8914标准,选择了8种在权威侧可配置的DNSSEC错误类型,并在8个不同的子域分别配置了相应的DNSSEC错误。接下来,面向全球范围内的公共DNS服务器,筛选出其中支持DNSSEC的递归服务器作为探测对象,针对上述8个子域发起解析请求,对探测结果进行了收集、分析及可视化。探测结果表明,对于部分错误,多数支持DNSSEC的递归服务器可以正确地检测出域名的DNSSEC错误配置,并且返回相应的错误类型,如signature_expired、signature_not_valid、RRSIG_missing、DNSKEY_missing等错误。对当前全球范围内重要递归服务器检测DNSSEC错误配置的能力开展了大规模测量分析,可有效指导未来DNSSEC广泛部署中递归侧的能力建设。
文摘域名系统(domain name system,DNS)隐蔽信道是一种利用DNS协议实现数据泄露的网络攻击手段,受到诸多高级持续性威胁(advanced persistent threat,APT)组织的青睐,给网络空间安全带来了严重威胁。针对传统机器学习方法对特征依赖性强、误报率高的问题,提出一种融合多通道卷积和注意力网络的DNS隐蔽信道检测算法。该算法基于DNS请求与响应双向流,首先将残差结构和并行卷积相结合,采用不同大小的卷积核提取并融合多尺度特征信息,实现不同感受野特征的捕获;其次引入通道注意力机制增加卷积通道关键信息的提取能力,丰富网络模型的表达能力;最后采用softmax函数实现DNS隐蔽信道的检测。实验结果表明,所提模型能有效检测DNS隐蔽信道,平均准确率、精确率和召回率分别为96.42%、97.82%和96.16%,优于传统方法。
文摘DNS作为互联网基础设施,很少受到防火墙的深度监控,导致黑客和APT组织通过DNS隐蔽隧道来窃取数据或控制网络,对网络安全造成严重威胁.针对现有检测方案容易被攻击者绕过以及泛化能力较弱的问题,本研究改进了DNS流量的表征方法,并提出了PFEC-Transformer(pcap features extraction CNN-Transformer)模型.该模型以表征后的十进制数值序列作为输入,在经过CNN模块进行局部特征提取后,再通过Transformer分析局部特征间的长距离依赖模式并进行分类.研究采集了互联网流量以及各类DNS隐蔽隧道工具生成的数据包构建数据集,并使用包含未知隧道工具流量的公开数据集进行泛化能力测试.实验结果表明,该模型在测试数据集上取得了高达99.97%的准确率,在泛化测试集上也达到了92.12%的准确率,有效地证明了其在检测未知DNS隐蔽隧道方面的优异性能.