基于IP分布及请求响应时间的恶意fast-flux域名检测算法

提出了一种基于域名对应IP分布及IP对请求响应时间波动的恶意fast-flux域名检测算法。该算法基于合法域名与fast-flux僵尸网络域名在域名解析IP的分布特性与IP对请求响应时间波动特性方面的差异,将解析IP分布特性与IP对请求响应时间的波动性作为参量生成两维特征,给出具体的特征表示。通过SVM分类器进行实验验证了该两维特征的分类效果。特征分析及实验结果表明,相比于现有的检测方法,文章算法能够更准确地检测恶意fastflux域名,虚警率、漏报率较低。

互联网域名滥用信息处置架构研究

互联网域名滥用治理是网络空间治理的重要内涵和主要抓手。域名滥用信息处置是域名滥用治理的核心关键环节。对当前域名滥用信息处置架构进行了梳理,在此基础上就新型域名滥用信息处置架构进行了探讨,并结合区块链技术提出了一种基于信誉激励的去中心化的新型域名滥用信息处置架构。试验结果表明了该架构的可用性和可靠性。

基于联盟式区块链的域名系统根区管理体系

当前互联网域名系统的中心化根体系伴随着长期的担忧:一方面担忧国家代码顶级域可能由于根权威职能被破坏而失控;另一方面担忧去中心化的根替代方案会导致域名空间分裂.上述担忧的根源在于当前和替代的根区管理在自治化和透明化上不足,导致对当前的根权威或替代方案的不信任.为解决上述问题,提出一种新的域名系统根区管理体系——根共识链,通过增强互信缓解各方担忧.根共识链中多个自治的注册局共同参与根区管理,每个注册局下辖国家代码顶级域和根服务器运营者,共同构建一个基于联盟式区块链的根区管理体系.根共识链在维护统一域名空间和唯一全球根权威的同时,通过根共识链管理者们建立根共同体提高自治性,通过区块链记录和执行各方协议以及根区操作提高透明性.基于现网科研测试床的实验结果表明,根共识链能够有效应对上述担忧,具有良好的可行性与实用性.

基于字符和词特征融合的恶意域名检测

针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word network, CWNet)。利用并行卷积神经网络分别提取域名中字符和词的特征;将两种特征进行拼接,构造成融合特征;利用Softmax函数实现合法域名与恶意域名的检测。实验结果表明,该算法可以提升对恶意域名的检测能力,对更具挑战性的恶意域名家族的检测准确率提升效果更为明显。

基于多策略的CDN加速域名识别与分析研究

CDN加速机制可以提升网站访问速度,隐藏主服务器真实IP地址。针对CDN加速域名真实IP地址难以获取的问题,提出一种基于多策略的CDN加速域名识别与分析方法。通过多地ping指令查询、综合站点查询、DNS历史记录查询等多种策略,借助互联网公开平台查询源站点真实IP地址。对已停用的域名,通过子域名、兄弟域名历史记录查询,尝试获取源站点IP地址。提出的多策略CDN加速域名识别与分析方法均通过互联网公开平台完成查询。实际测试表明,该方法可较好地应用于CDN加速域名的识别与分析。

一种基于联盟管理的高效分布式域名系统

在域名解析系统中,下级域名的命脉被上级域名所掌握,这种中心化的管理为域名解析带来了巨大的风险。以比特币等加密货币为代表的区块链则具有去中心化的特性。随着namecoin的提出,区块链开始被应用在命名系统和域名解析的领域,之后的Blockstack和ENS都提出了去中心化命名系统的解决方案。其中,Namecoin和Blockstack采用了完全去中心化的命名管理方式,产生了域名抢占问题。因此,我们将目光转向了采用小群组投票决定域名增加和删除的联盟化管理方案。在联盟化管理方案中,比如ENS的和超级账本的均存在交易空间太大的问题,在区块链本身存储代价大的背景下,存储效率将变得低下。因此,DNS系统和区块链的结合难度很大,不仅需要保证在多变的域名存储信息中保证存储总量较小,同时还需要针对域名解析实现高效的联盟化管理,这使得至今仍未有一个令人满意的去中心化域名解析系统的解决方案。为此,我们提出了ECMDNS——一个高效的基于联盟化管理的域名解析系统,既考虑到DNS区域文件具有存储量大且变换频繁的特点,又能在完全中心化和完全去中心化之间采取折衷方案,并拥有较高的时空效率及较小的存储总量。我们通过区分链上链下的存储保证在多变的域名信息中保证存储总量较小;通过群组决策投票的方式实现联盟化管理,同时优化了Hyperledger Fabric提出的混合复制模型,将空间存储效率优化到原本的1/16。并且仅需要花费1次分布式副本同步,就可以完成一项由n名成员背书对同一域名背书的事务,并在联盟化管理的基础上实现区块链交易空间性能的高效性,从而实现整体存储效率的高效性。

基于深度学习的不良应用域名早期识别方法

不良应用网站依赖域名系统(DNS)实现不良内容传播,严重影响互联网的健康发展。尽早识别出不良应用网站对应的域名(即不良应用域名),并进行相应治理,对域名系统的管理与运行至关重要。本文从国家顶级域名(.CN)管理的角度出发,关注如何在注册阶段识别不良应用域名。分析发现不良应用域名在注册特征与文本结构2个维度,与正常域名存在显著差异。为此,提出了一种基于深度学习的不良应用域名早期识别方法。该方法首先提取域名的注册信息特征,并利用预训练语言模型基于Transformer的双向编码器(BERT)提取域名本身的文本语义特征,其次基于注意力机制融合2类特征,并最终使用全连接神经网络,构建域名分类器,实现不良应用域名的早期识别。基于真实网络数据的实验结果表明,所提方法分类准确率(F1分数)可达到0.99;消融实验结果也验证了所选特征的有效性和必要性。

恶意域名检测方法研究进展

近年来,网络攻击事件愈发严重,域名系统因其简单性和敏捷性而受到攻击者的广泛使用。域名系统可以实现域名与IP地址之间的快速映射,从而可以被攻击者用来隐藏其攻击地址,域名也因此成为网络攻击的主要载体之一。随着恶意域名不断变化的形式以及数量的剧增,迫切需要对恶意域名进行检测和防御,而传统的基于黑白名单的域名检测方法已变得不再有效。基于DNS数据的恶意域名检测方法可以实现对恶意域名的高效检测,因此被广泛提出。本文主要针对基于DNS数据的恶意域名检测方法进行梳理分析,首先简要回顾域名系统的层次结构和解析过程及原理,以及攻击者基于域名系统所产生的一些滥用技术,例如域通量技术和快速通量技术;其次对DNS数据按照收集方式的不同将其分为主动DNS数据和被动DNS数据,并对这两类数据进行优缺点的对比;然后按照检测技术的不同将恶意域名检测方法分为三大类,包括基于规则发现的检测方法、基于动态特征的检测方法和基于关联推理的检测方法,并依次对每一类检测方法按照类型的不同再次进行细分,并对各方法的优缺点、适用场景等进行分析说明;文中对现有检测方法的评估准则进行了划分,将其分为基于分类性能的评估准则和基于真实环境的评估准则;最后讨论了现有研究中存在的问题和未来工作方向。

域名生成算法检测技术综述

C&C服务器是网络攻击者用于控制僵尸主机的中间服务器,在僵尸网络中处于核心位置。为增强C&C服务器的隐蔽性,网络攻击者使用域名生成算法来隐藏C&C服务器地址。近年来,域名生成算法检测技术作为检测僵尸网络的重要手段,已经成为一个研究热点。首先,介绍了当前网络安全的发展态势和僵尸网络的拓扑结构。其次,介绍了域名生成算法和相关数据集。接着,介绍了域名生成算法检测技术的分类,并对这些检测技术进行总结综述。最后,探讨了现阶段域名生成算法检测技术存在的问题,并对未来研究方向进行了展望。

基于增强嵌入特征超图学习的恶意域名检测方法

攻击者利用域名灵活地实施各类网络攻击,诸多学者针对性地提出了一些基于统计特征和基于关联关系的恶意域名检测方法,但这2类方法在域名属性高阶关系表示方面存在不足,无法准确呈现域间全局高阶关系.针对这类问题,提出一种基于嵌入式特征超图学习的恶意域名检测方法:首先基于域名空间统计特征利用决策树构建域名超图结构,利用决策树倒数第2层节点的输出结果作为先验条件形成超边,快速将域名流量之间的多阶关联关系清晰地表示出来;其次基于超图结构特征对字符嵌入特征进行增强编码,基于域名空间统计特征和域名字符嵌入编码特征从域名数据中挖掘出字符间隐藏的高阶关系;最后结合中国科技网真实的域名系统(domain name system,DNS)流量,对有效性和可行性进行了分析与评估,能够快速高效地检测隐蔽的恶意域名.

新通用顶级域名解析行为分析与恶意域名检测方法

自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义.然而,由于new g TLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低.针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名(SLD)数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为.然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名(FQDN)数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征.最后根据这些特征设计了一种基于随机森林的new g TLD恶意域名检测方法.实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法.

基于v3洋葱域名的比特币地址威胁程度分析

比特币可以在不透露使用者身份的情况下进行交换,导致其成为不法分子在暗网上进行违法活动的主要方式。为了追踪比特币非法交易,传统方法根据比特币的伪匿名性,在整个区块链上进行启发式地址聚类,没有充分利用比特币地址在暗网上的信息。2021年Tor官方全面启用v3洋葱域名,使得以往的v2洋葱域名数据无法再作为分析的依据。设计并实现基于v3洋葱域名的比特币地址威胁程度的一体化分析框架TLAFDB。信息收集模块使用境外服务器解决地域限制并设置socks5h代理以支持暗网爬虫运行,使用洋葱种子地址在暗网中爬行收集最新的v3洋葱域名数据,信息清洗模块采用可同时覆盖Base58和Bech32编码的正则表达式以提取v3洋葱域名网页中的比特币地址,通过区块链搜索引擎Blockchain.com筛选存在真实交易的比特币地址,并建立其和所在v3洋葱域名的关联关系,信息分析模块采用人工分析和关键词匹配相结合的方法分类v3洋葱域名,赋予其关联的比特币地址类别和流行度并判定威胁程度。实验结果表明,TLAFDB收集了23627个v3洋葱域名网页,提取并分析1141个存在真实交易的比特币地址的类别、流行度和威胁程度,发现在暗网中同一个比特币地址常出现在大量的镜像洋葱域名网页上,超过95%的比特币地址被恶意使用,并且庞氏骗局交易量占高危比特币地址总交易量的99%。

基于深度学习的DGA恶意域名检测

攻击者常使用域名生成算法(DGA)生成大量的随机域名来传输恶意软件控制指令,而传统DGA检测方法存在计算量大、检测精确度低等问题,采用机器学习和深度学习的方法可极大缓解上述问题。首先从域名的基本特征、语言特征和统计特征3个方面对DGA域名和正常域名进行特征提取,在特征集上采用机器学习算法进行模型训练;同时,采用长短期记忆(LSTM)网络以域名字符串的嵌入向量作为输入,提取域名的深度特征进行域名检测。通过查准率、召回率、F1-score、ROC曲线、AUC值等评测指标对模型训练结果进行对比,获得较优的DGA域名检测模型。

基于域名的负载均衡技术在多院区的应用研究

随着医院业务的高速发展,多院区建设呈现趋势化发展态势,加快医院双活或多活数据中心的建设,对构建信息系统容灾备份体系具有重要意义。以烟台毓璜顶医院为例,通过分析多院区内网应用多活数据库中心建设中存在的业务系统单点故障、服务器负载不均衡、网络资源浪费等问题与难点,结合实践提出基于智能DNS、负载均衡和超融合技术在多院区应用的解决方案,根据应用服务器资源使用情况、客户端地理范围匹配值等因素,动态分配各院区应用服务器,解决网络拥堵问题,服务器集群横向扩展,避免关键部位单点故障,提高服务器响应速度,为用户提供更好的访问质量。

我国域名交易市场的现状及思考

域名作为全球互联网发展不可或缺的基础资源,域名注册用户可以根据自己的需要和喜好来命名,既可以标识企业、品牌、产品,也可以是网络流行语等等。域名一旦注册成功,他人不能重复注册,因此域名还兼具商业价值。

GB/T 33134-2023等标准在国家域名服务技术平台中的应用

围绕国家域名服务技术平台对安全性、稳定性的需求,遵循公共域名服务系统安全要求、国产商用密码算法等网络安全国家标准,自主研发多项的国家域名注册系统、解析系统等关键系统,全面覆盖域名服务各大领域,有效满足国家域名注册、审核、存储、解析全生命周期在机密性、完整性和可用性等方面的安全需求,显著提升国家域名服务技术平台服务质量,并为多家政府机构及重要新闻媒体提供稳定解析服务。

基于图对比学习的恶意域名检测方法

域名是实施网络犯罪行为的重要环节,现有的恶意域名检测方法一方面难以利用丰富的拓扑和属性信息,另一方面需要大量的标签数据,检测效果受限而成本较高.针对该问题,提出一种基于图对比学习的恶意域名检测方法,以域名和IP地址作为异构图的两类节点并根据其属性建立对应节点的特征矩阵,依据域名之间的包含关系、相似度度量以及域名和IP地址之间对应关系构建3种元路径;在预训练阶段,使用基于非对称编码器的对比学习模型,避免图数据增强操作对图结构和语义的破坏,也降低对计算资源的需求;使用归纳式的图神经网络图编码器HeteroSAGE和HeteroGAT,采用以节点为中心的小批量训练模式来挖掘目标节点和邻居节点的聚合关系,避免直推式图神经网络在动态场景下适用性较差的问题;下游分类检测任务则对比使用了逻辑回归、随机森林等算法.在公开数据上的实验结果表明检测性能相比已有工作提高2–6个百分点.

基于双分支特征提取和自适应胶囊网络的DGA域名检测方法

面向域名生成算法(domain generation algorithm,DGA)的域名检测方法普遍具有特征提取能力弱、特征信息压缩比高等特点,这导致特征信息丢失、特征结构破坏以及域名检测效果较差等诸多不足.针对上述问题,提出一种基于双分支特征提取和自适应胶囊网络的DGA域名检测方法.首先,通过样本清洗和字典构建重构原始样本并生成重构样本集;其次,通过双分支特征提取网络处理重构样本,在其中,利用切片金字塔网络提取域名局部特征,利用Transformer提取域名全局特征,并利用轻量级注意力融合不同层次的域名特征;然后,利用自适应胶囊网络计算域名特征图的重要度系数,将域名文本特征转换为向量域名特征,并通过特征转移计算基于文本特征的域名分类概率;同时,利用多层感知机处理域名统计特征,以此计算基于统计特征的域名分类概率;最后,通过合并得到的两种不同视角的域名分类概率进行域名检测.大量的实验表明,所提方法在DGA域名检测以及DGA域名家族检测分类方面均取得了当前领先的检测效果.在DGA域名检测中,F1分数提升了0.76%-5.57%;在DGA域名家族检测分类中,F1分数(宏平均)提升了1.79%-3.68%.

基于CNN-BiGRU的恶意域名检测方法

恶意域名检测对于防范僵尸网络等网络攻击具有重要意义。该文提出一种基于CNN和BiGRU的恶意域名检测方法CNN-BiGRU-Focal,利用卷积神经网络和双向门控循环单元网络来进行特征的融合学习,并引入改进的Focal Loss函数用以解决数据不平衡问题。与LSTM、CNN、GRU、ATT-CNN-BiLSTM方法的对比实验表明,文章方法在多分类实验中检测准确率分别提高1.43百分点、2.89百分点、1.27百分点、2.43百分点,在二分类实验中检测准确率分别提高0.19百分点、0.12百分点、1.41百分点、0.3百分点。实验表明CNN-BiGRU-Focal方法在恶意域名的检测上有着更好的性能。

基于注意力特征融合网络的DGA恶意域名检测方法

僵尸网络借助DGA生成大量随机域名逃避安全防御系统监测。为解决已有DGA恶意域名检测方法准确性不高和泛化能力受限等问题,提出基于注意力特征融合网络。通过结合输入层、Embedding层、卷积神经网络层、注意力模块和长短时记忆网络层,实现层次化特征提取使模型性能得到极大的改善。实验结果显示,该方法在各项指标上都有明显的提升,表现出优秀的DGA恶意域名检测能力。