基于IP分布及请求响应时间的恶意fast-flux域名检测算法

提出了一种基于域名对应IP分布及IP对请求响应时间波动的恶意fast-flux域名检测算法。该算法基于合法域名与fast-flux僵尸网络域名在域名解析IP的分布特性与IP对请求响应时间波动特性方面的差异,将解析IP分布特性与IP对请求响应时间的波动性作为参量生成两维特征,给出具体的特征表示。通过SVM分类器进行实验验证了该两维特征的分类效果。特征分析及实验结果表明,相比于现有的检测方法,文章算法能够更准确地检测恶意fastflux域名,虚警率、漏报率较低。

互联网域名行业市场竞争与工商管理策略分析

互联网域名行业是一个充满激烈竞争和不断创新的领域,随着互联网的普及和发展,域名注册和管理服务变得越来越重要。在这个行业中,企业必须应对来自技术变革、用户需求变化及竞争对手的挑战。文章从合作伙伴关系与生态系统建设策略、成功案例分析及借鉴成功案例的关键因素与实践经验等方面进行了深入分析。在合作伙伴关系与生态系统建设策略方面,企业可以通过与各方建立紧密合作关系,实现资源共享和优势互补,从而提升市场竞争力。而成功案例分析和借鉴成功案例的经验则为其他企业提供了宝贵的启示和指导,强调了技术创新、用户体验和服务质量在取得市场竞争优势中的重要性。综上所述,通过精心制定工商管理策略,域名行业的企业能够在激烈的市场竞争中取得成功,并实现可持续发展。

基于区块链和压缩前缀树的去中心化域名系统

现存的基于区块链的去中心化域名方案多存在去中心化不彻底、时间复杂度高、区块链存储膨胀等问题,为此提出了一个兼顾时空复杂度和去中心化程度的域名方案。首先,借助区块链实现去中心化,使用对等节点充当域名服务器,不另设特殊节点,实现彻底的去中心化;其次,设计了一种基于压缩前缀树的数据结构(DNT)以改善区块链的存储膨胀问题和降低系统的时间复杂度,并针对DNT提出了一种高效检索算法;最后,提出了一种基于非对称密钥的零集中管理机制用于系统在去中心环境下运营。实验结果表明:DNT在改善存储膨胀问题上有着良好的效果,总体空间占用约为每千万条0.87 GB,仅为同类方案的10%;DNT对节点总数和深度都有出色的抑制效果,节点总数比前缀树(Trie)少了2个数量级;吞吐率几乎不会随着区块高度的增加而衰减。

基于域名系统流量的Fast-Flux僵尸网络检测方法

在僵尸网络中,为保持服务器的可用性和隐蔽性,与域名关联的Flux-Agent的IP地址需要不停地变动,而黑名单策略对于阻止Fast-Flux僵尸网络攻击已经失效。为解决该问题,基于域名系统流量的分析和识别技术,提出一种新的Fast-Flux僵尸网络检测方法,用于检测互联网中使用Fast-Flux技术的僵尸网络,且对域名的分析不局限于来自垃圾邮件、点击欺诈或黑名单列表的可疑域名。实验结果表明,该方法能够以较高的准确率检测Fast-Flux僵尸网络,并且有利于完善黑名单列表。

基于多模态特征融合的Fast-Flux恶意域名检测方法

Fast-Flux恶意域名是僵尸网络通信中的一种重要载体,通过快速变换域名解析的IP抵御检测。目前,恶意域名检测系统大多基于传统机器学习模型,需要对数据进行复杂处理和特征提取,并且需要借助大量第三方数据源,导致检测的实时性较差。域名解析是一个复杂的过程,并且具有丰富的特征,文章设计了基于多模态特征融合的Fast-Flux恶意域名检测方法。首先利用GCN模块提取空间特征,采用BiLSTM模块提取域名文本特征,然后利用MLP模块提取侧信息特征,最后利用神经网络将这3种特征进行融合。在Fast-Flux-Attack-Datasets公开数据集上进行实验,实验结果表明,该方法的精确率达99.94%、召回率达99.76%、准确率达99.69%,总体效果优于当前同类方法。文章所提方法有效融合了域名解析的多模态特征,明显提升了检测效果,对于提高僵尸网络检测能力具有重要意义。

基于网络流量的Fast-flux僵尸网络域名检测方法

APT攻击危害着网络安全,对企业数据安全产生重大威胁,黑客和不法分子在APT攻击前可能会使用自己组建的僵尸网络为攻击做准备.同时为了提高僵尸网络的生成机会,攻击者常会使用Fast-flux技术隐藏主控机,因此要检测APT攻击需要先检测Fast-flux僵尸网络域名.本文调研了Fast-flux僵尸网络检测方法国内外研究现状,发现现有方法存在对CDN域名产生误报、准确率不高的问题.为此,本文提出两个新特征并且利用DNS流量设计了基于AdaBoosting算法的检测方法,然后对所提方法进行验证.实验表明,本文提出特征和方法在对Fast-flux域名检测时可以有效降低对CDN域名的误报率,大大提高整体检测性能.

Fast-flucos:基于DNS流量的Fast-flux恶意域名检测方法

现有的Fast-flux域名检测方法在稳定性、针对性和流量普适性方面存在一些不足,为此提出一种基于DNS流量的检测方法Fast-flucos。首先,采用流量异常过滤和关联匹配算法,以提高检测的稳定性;然后,引入量化的地理广度、国家向量表和时间向量表特征,以加强对Fast-flux域名检测的针对性;最后,采用更合理的正负样本和包括深度学习在内的多种机器学习方法确定最佳分类器和最优特征组合,以尽量确保对真实DNS流量的普适性。基于真实DNS流量的实验表明,Fast-flucos的召回率、精确率和ROC_AUC分别达到了0.9986、0.9767和0.9929,均优于当前主流的EXPOSURE、GRADE和AAGD等检测方法。

互联网域名滥用信息处置架构研究

互联网域名滥用治理是网络空间治理的重要内涵和主要抓手。域名滥用信息处置是域名滥用治理的核心关键环节。对当前域名滥用信息处置架构进行了梳理,在此基础上就新型域名滥用信息处置架构进行了探讨,并结合区块链技术提出了一种基于信誉激励的去中心化的新型域名滥用信息处置架构。试验结果表明了该架构的可用性和可靠性。

基于联盟式区块链的域名系统根区管理体系

当前互联网域名系统的中心化根体系伴随着长期的担忧:一方面担忧国家代码顶级域可能由于根权威职能被破坏而失控;另一方面担忧去中心化的根替代方案会导致域名空间分裂.上述担忧的根源在于当前和替代的根区管理在自治化和透明化上不足,导致对当前的根权威或替代方案的不信任.为解决上述问题,提出一种新的域名系统根区管理体系——根共识链,通过增强互信缓解各方担忧.根共识链中多个自治的注册局共同参与根区管理,每个注册局下辖国家代码顶级域和根服务器运营者,共同构建一个基于联盟式区块链的根区管理体系.根共识链在维护统一域名空间和唯一全球根权威的同时,通过根共识链管理者们建立根共同体提高自治性,通过区块链记录和执行各方协议以及根区操作提高透明性.基于现网科研测试床的实验结果表明,根共识链能够有效应对上述担忧,具有良好的可行性与实用性.

基于字符和词特征融合的恶意域名检测

针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word network, CWNet)。利用并行卷积神经网络分别提取域名中字符和词的特征;将两种特征进行拼接,构造成融合特征;利用Softmax函数实现合法域名与恶意域名的检测。实验结果表明,该算法可以提升对恶意域名的检测能力,对更具挑战性的恶意域名家族的检测准确率提升效果更为明显。

基于协同注意力的多家族恶意域名入侵检测

及时准确地检测出非法域名,可以有效预防网络服务器宕机或非法入侵导致的信息丢失问题.为此,提出一种基于协同注意力的多家族恶意域名入侵检测方法.首先,利用深度自编码网络逐层编码压缩,捕获中间层的域名编码特征;其次,从时序和空间维度提取域名字符串的长短距离编码特征和空间编码特征,并在时序和空间编码特征图上构造自注意力机制,强化编码特征在局部空间中的表达能力;再次,借助交叉注意力机制建立时序和空间编码特征的信息交互,增强不同维度编码特征在全局空间中的表达能力;最后,利用softmax函数预测待测域名的概率,并根据概率值快速判定待测域名的合法性.在多个家族的恶意域名数据集上进行测试,结果表明所设计的方法在合法域名与恶意域名二分类检测任务上可以获得0.9876的检测精准率,并在16个家族数据集上可以实现0.9568的平均识别精准率.与其他同类经典方法相比,所设计方法在多个评价指标上实现了最佳的检测结果.

基于多策略的CDN加速域名识别与分析研究

CDN加速机制可以提升网站访问速度,隐藏主服务器真实IP地址。针对CDN加速域名真实IP地址难以获取的问题,提出一种基于多策略的CDN加速域名识别与分析方法。通过多地ping指令查询、综合站点查询、DNS历史记录查询等多种策略,借助互联网公开平台查询源站点真实IP地址。对已停用的域名,通过子域名、兄弟域名历史记录查询,尝试获取源站点IP地址。提出的多策略CDN加速域名识别与分析方法均通过互联网公开平台完成查询。实际测试表明,该方法可较好地应用于CDN加速域名的识别与分析。

新通用顶级域名解析行为分析与恶意域名检测方法

自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义.然而,由于new g TLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低.针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名(SLD)数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为.然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名(FQDN)数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征.最后根据这些特征设计了一种基于随机森林的new g TLD恶意域名检测方法.实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法.

一种基于联盟管理的高效分布式域名系统

在域名解析系统中,下级域名的命脉被上级域名所掌握,这种中心化的管理为域名解析带来了巨大的风险。以比特币等加密货币为代表的区块链则具有去中心化的特性。随着namecoin的提出,区块链开始被应用在命名系统和域名解析的领域,之后的Blockstack和ENS都提出了去中心化命名系统的解决方案。其中,Namecoin和Blockstack采用了完全去中心化的命名管理方式,产生了域名抢占问题。因此,我们将目光转向了采用小群组投票决定域名增加和删除的联盟化管理方案。在联盟化管理方案中,比如ENS的和超级账本的均存在交易空间太大的问题,在区块链本身存储代价大的背景下,存储效率将变得低下。因此,DNS系统和区块链的结合难度很大,不仅需要保证在多变的域名存储信息中保证存储总量较小,同时还需要针对域名解析实现高效的联盟化管理,这使得至今仍未有一个令人满意的去中心化域名解析系统的解决方案。为此,我们提出了ECMDNS——一个高效的基于联盟化管理的域名解析系统,既考虑到DNS区域文件具有存储量大且变换频繁的特点,又能在完全中心化和完全去中心化之间采取折衷方案,并拥有较高的时空效率及较小的存储总量。我们通过区分链上链下的存储保证在多变的域名信息中保证存储总量较小;通过群组决策投票的方式实现联盟化管理,同时优化了Hyperledger Fabric提出的混合复制模型,将空间存储效率优化到原本的1/16。并且仅需要花费1次分布式副本同步,就可以完成一项由n名成员背书对同一域名背书的事务,并在联盟化管理的基础上实现区块链交易空间性能的高效性,从而实现整体存储效率的高效性。

基于深度学习的不良应用域名早期识别方法

不良应用网站依赖域名系统(DNS)实现不良内容传播,严重影响互联网的健康发展。尽早识别出不良应用网站对应的域名(即不良应用域名),并进行相应治理,对域名系统的管理与运行至关重要。本文从国家顶级域名(.CN)管理的角度出发,关注如何在注册阶段识别不良应用域名。分析发现不良应用域名在注册特征与文本结构2个维度,与正常域名存在显著差异。为此,提出了一种基于深度学习的不良应用域名早期识别方法。该方法首先提取域名的注册信息特征,并利用预训练语言模型基于Transformer的双向编码器(BERT)提取域名本身的文本语义特征,其次基于注意力机制融合2类特征,并最终使用全连接神经网络,构建域名分类器,实现不良应用域名的早期识别。基于真实网络数据的实验结果表明,所提方法分类准确率(F1分数)可达到0.99;消融实验结果也验证了所选特征的有效性和必要性。

恶意域名检测方法研究进展

近年来,网络攻击事件愈发严重,域名系统因其简单性和敏捷性而受到攻击者的广泛使用。域名系统可以实现域名与IP地址之间的快速映射,从而可以被攻击者用来隐藏其攻击地址,域名也因此成为网络攻击的主要载体之一。随着恶意域名不断变化的形式以及数量的剧增,迫切需要对恶意域名进行检测和防御,而传统的基于黑白名单的域名检测方法已变得不再有效。基于DNS数据的恶意域名检测方法可以实现对恶意域名的高效检测,因此被广泛提出。本文主要针对基于DNS数据的恶意域名检测方法进行梳理分析,首先简要回顾域名系统的层次结构和解析过程及原理,以及攻击者基于域名系统所产生的一些滥用技术,例如域通量技术和快速通量技术;其次对DNS数据按照收集方式的不同将其分为主动DNS数据和被动DNS数据,并对这两类数据进行优缺点的对比;然后按照检测技术的不同将恶意域名检测方法分为三大类,包括基于规则发现的检测方法、基于动态特征的检测方法和基于关联推理的检测方法,并依次对每一类检测方法按照类型的不同再次进行细分,并对各方法的优缺点、适用场景等进行分析说明;文中对现有检测方法的评估准则进行了划分,将其分为基于分类性能的评估准则和基于真实环境的评估准则;最后讨论了现有研究中存在的问题和未来工作方向。

域名生成算法检测技术综述

C&C服务器是网络攻击者用于控制僵尸主机的中间服务器,在僵尸网络中处于核心位置。为增强C&C服务器的隐蔽性,网络攻击者使用域名生成算法来隐藏C&C服务器地址。近年来,域名生成算法检测技术作为检测僵尸网络的重要手段,已经成为一个研究热点。首先,介绍了当前网络安全的发展态势和僵尸网络的拓扑结构。其次,介绍了域名生成算法和相关数据集。接着,介绍了域名生成算法检测技术的分类,并对这些检测技术进行总结综述。最后,探讨了现阶段域名生成算法检测技术存在的问题,并对未来研究方向进行了展望。

基于动态域名水印的IPv6 DNS服务发现方法

IPv6环境下的域名系统(DNS,domain name system)服务发展迅速,开展IPv6环境下DNS服务发现方法研究,对分析DNS服务在IPv6环境下的全球发展态势,提升服务可靠性具有非常重要的意义。基于IPv4和IPv6的合作解析关系,通过跨栈服务关联发现IPv6 DNS服务是一种有效的方法。然而,现有基于跨栈服务关联的IPv6 DNS服务发现方法受DNS探测包长度限制,探测能力有限。针对此问题,提出一种基于动态域名水印的IPv6 DNS服务发现方法。该方法利用自建权威服务器构建动态域名资源记录,绕过探测包长度限制。相比传统方法,该方法发现的IPv6 DNS服务数量提升接近98%;同时,通过解析水印日志记录,发现了解析器间存在大量解析依赖和集中化现象。

基于增强嵌入特征超图学习的恶意域名检测方法

攻击者利用域名灵活地实施各类网络攻击,诸多学者针对性地提出了一些基于统计特征和基于关联关系的恶意域名检测方法,但这2类方法在域名属性高阶关系表示方面存在不足,无法准确呈现域间全局高阶关系.针对这类问题,提出一种基于嵌入式特征超图学习的恶意域名检测方法:首先基于域名空间统计特征利用决策树构建域名超图结构,利用决策树倒数第2层节点的输出结果作为先验条件形成超边,快速将域名流量之间的多阶关联关系清晰地表示出来;其次基于超图结构特征对字符嵌入特征进行增强编码,基于域名空间统计特征和域名字符嵌入编码特征从域名数据中挖掘出字符间隐藏的高阶关系;最后结合中国科技网真实的域名系统(domain name system,DNS)流量,对有效性和可行性进行了分析与评估,能够快速高效地检测隐蔽的恶意域名.

基于v3洋葱域名的比特币地址威胁程度分析

比特币可以在不透露使用者身份的情况下进行交换,导致其成为不法分子在暗网上进行违法活动的主要方式。为了追踪比特币非法交易,传统方法根据比特币的伪匿名性,在整个区块链上进行启发式地址聚类,没有充分利用比特币地址在暗网上的信息。2021年Tor官方全面启用v3洋葱域名,使得以往的v2洋葱域名数据无法再作为分析的依据。设计并实现基于v3洋葱域名的比特币地址威胁程度的一体化分析框架TLAFDB。信息收集模块使用境外服务器解决地域限制并设置socks5h代理以支持暗网爬虫运行,使用洋葱种子地址在暗网中爬行收集最新的v3洋葱域名数据,信息清洗模块采用可同时覆盖Base58和Bech32编码的正则表达式以提取v3洋葱域名网页中的比特币地址,通过区块链搜索引擎Blockchain.com筛选存在真实交易的比特币地址,并建立其和所在v3洋葱域名的关联关系,信息分析模块采用人工分析和关键词匹配相结合的方法分类v3洋葱域名,赋予其关联的比特币地址类别和流行度并判定威胁程度。实验结果表明,TLAFDB收集了23627个v3洋葱域名网页,提取并分析1141个存在真实交易的比特币地址的类别、流行度和威胁程度,发现在暗网中同一个比特币地址常出现在大量的镜像洋葱域名网页上,超过95%的比特币地址被恶意使用,并且庞氏骗局交易量占高危比特币地址总交易量的99%。