dns协议研究的论文

关于IPv6的题材很多可以写的啊如IPv4向IPv6过渡策略， 架设IPv6服务器方案等等，下面这个地址里有一些论文，你可以参考下里面有不少关于IPv6的文章，希望对你有所帮助

摘要：在存在安全对策的情况下，设计用于数据泄露的恶意软件必须使用隐蔽的通道来实现其目标。域名系统(DNS)协议是目前恶意软件开发者常用的秘密渠道。虽然近十年来人们一直在研究利用DNS进行隐蔽通道的检测，但以往的研究主要涉及到一个特定的隐蔽通道子类，即DNS隧道化。虽然隧道检测的重要性不应该被最小化，但是整个低吞吐量DNS泄露恶意软件被忽略了。 在这项研究中，我们提出了一种在DNS上检测隧道和低吞吐量数据泄露的方法。在确定之前检测到的恶意软件使用了网络活动注册的网络域名，而不是损害现有的合法域名后，我们专注于检测和拒绝这些域名的请求，作为一个有效的数据泄漏关闭。因此，我们提出的解决方案处理流式DNS流量，以便检测和自动拒绝用于数据交换的域的请求。初始数据收集阶段以允许长时间扫描的方式收集每个域的DNS日志，因此能够处理“慢速”攻击。第二阶段是基于每个域的查询行为提取特征，最后阶段是利用异常检测模型对域进行分类。至于检测，DNS请求被分类为用于数据泄露的域将被无限期拒绝。 我们的方法是在一个大型递归DNS服务器日志上进行评估，其峰值为每小时4700万次请求。在这些DNS日志中，我们从DNS隧道挖掘工具以及两个现实生活中的恶意软件中注入了数据泄露流量:FrameworkPOS，它曾在2014年被用于从家得宝(Home Depot)窃取5600万张信用卡;BackdoorWin32Denis，在2016年被用于Cobalt Kitty APT。即使将我们的方法限制在极低的假阳性率(5万个域中的1个)时，它也检测到了上述所有情况。此外，这些日志还被用来比较我们的系统和最近发表的两种方法，这两种方法的重点是检测DNS隧道，以强调检测低吞吐量过滤恶意软件的新颖性。 一、介绍 个人电脑和计算机网络一直是数据盗窃攻击的目标，通常使用的技术包括中间人攻击[7]或通过秘密渠道[25][40]泄露数据的恶意软件。在恶意软件的情况下，通常是作为命令和控制(C&C)的远程服务器，等待来自恶意软件的通信并记录传输到它的数据。然而，在受保护的网络(私有的或组织的)中，目标主机可以驻留在一个有限的段中，与外界的访问受限。在这种情况下，即使允许连接，通常也会由安全解决方案对可疑行为进行监视。因此，在这种情况下，恶意软件必须找到一个隐蔽的通道，以便将数据过滤到远程服务器，而现有的安全解决方案不会阻止或检测到这些数据。实现这一目标的一个渠道是域名系统(DNS)协议，这是本研究的重点。 从本地计算机到Internet的任何通信(不包括基于静态ip的通信)都依赖于DNS服务。因此，限制DNS通信可能导致合法远程服务断开连接;因此，必须保守地使用DNS来阻止内容。从攻击者的角度来看，这使得DNS协议成为数据泄漏[3]的隐蔽通信通道的一个很好的候选。 典型地，DNS协议不是为任意数据交换而设计的;DNS消息相对较短，响应不相关，这意味着它们到达的顺序不一定与发送[27]的请求的顺序相同。这些局限性可以通过攻击者使用两种方法之一:(1)建立一个双向通信信道上的DNS(例如,通过模拟一个可靠的C&C的恶意软件和服务器之间的会话),或(2)使用通道发送小短的数据点，用最小的开销和请求，并且消息是独立的(如信用卡号码、用户凭证,keylogging和地理位置)。我们将这两种方法分别称为高吞吐量隧穿和低吞吐量恶意软件。DNS过滤的完整威胁环境包括这两类，因此，任何通过DNS协议检测或防止数据泄漏的解决方案都必须同时处理这两类问题。 近年来检测到的低吞吐量泄露恶意软件使用的互联网域名购买、注册和操作完全是为了他们的网络运动。对于需要用户提供和配置Internet域的DNS隧道工具来说也是如此。因此，拒绝这些域的请求相当于在不影响正常网络运行的情况下停止数据泄漏。 本文提出了一种基于机器学习技术的新型DNS泄露检测方法，该方法既针对DNS隧道化，又针对低吞吐量的恶意软件泄露。我们的方法的输入是一个DNS流量日志流，它经常按域分组。这些日志收集的时间足够长，即使数据交换速度相对较慢，也可以检测到恶意软件。对每个域的收集日志定期应用特征提取阶段。然后，对每个域的特征进行分类阶段，以确定该域是否用于数据交换。该分类是使用隔离森林[21]异常检测模型进行的，该模型事先对合法流量进行了训练。在分类之后，对任何已被分类为异常的域的请求将被无限期地阻塞，从而停止数据泄漏。 我们使用隧道工具和之前检测到的低吞吐量泄露恶意软件的流量模拟来评估我们的工作。这些模拟与合法的大规模DNS流量一起执行，其峰值速率为每小时4100万次请求，从而使检测任务尽可能真实。该该检测覆盖率下表明少于0.002%假阳性率以及低误报率随着时间的推移而更少,我们将最近发表的两篇论文旨在检测隧道方法与本文进行比较，证明我们的方法的贡献——检测的低吞吐量漏出恶意软件。 我们工作的贡献有三方面: 1)除了检测DNS隧道外，我们的工作还能够检测低吞吐量DNS泄露恶意软件。 2)因为我们的方法在特定的时间范围内对域进行分类(称为每个域)，所以它通过拒绝对被分类为用于数据交换的域的请求，来立即、准确和自动地阻止出现的DNS数据泄漏尝试。可以论证的是，对于在特定时间段内对用户进行分类的检测系统来说，情况并非如此，因为基于恶意软件的存在对合法用户的流量进行无限期阻塞可能是不可接受的。 3)据我们所知，之前的研究还没有对大规模、高质量的DNS流量日志(超过106个查询/小时)进行评估。由于DNS上的数据泄露可能试图低调神秘地操作，针对大规模流量的测试可能是任何检测系统的最终挑战。前一种说法得到了支持，因为当我们将我们提出的方法与以前建议的方法进行比较时，我们发现它们的报告结果有所减少。 二、背景

相关范文：

Ipv6在高校校园网中的应用

摘  要  文章对ipv6基本概念，ipv6的实现技术及实现ipv6的现行技术进行了阐述，结合学校校园网的ipv6实际解决方案，系统描述了ipv6在网络出口设备Cisco6503上的配置和在ipv6在网络核心设备Cisco6513上的配置，以及ipv6在我校校园网中的实际应用。

关键词  ipv6；隧道技术；双协议栈技术

1  引言

现有的互联网是在IPv4协议的基础上运行。IPv6是下一版本的互联网协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，地址空间的不足必将影响互联网的进一步发展。为了扩大地址空间，拟通过IPv6重新定义地址空间。IPv4采用32位地址长度，只有大约43亿个地址，估计在2005～2010年间将被分配完毕，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址，整个地球每平方米面积上可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决地址短缺问题以外，还考虑了在IPv4中解决不好的其它问题。IPv6的主要优势体现在以下几方面：扩大地址空间、提高网络的整体吞吐量、改善服务质量(QoS)、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。

2  ipv6实现技术概述

从ipv4到ipv6 的转换必须使ipv6能够支持和处理ipv4体系的遗留问题。目前，IETF（ Internet Engineering Task Force）已经成立了专门的工作组，研究ipv4 到ipv6 的转换问题，并且已提出了很多方案，主要包括以下几个类型：

2.1  双协议栈技术

在开展双堆栈网络时，主机同时运行两种协议，使应用一个一个地转向ipv6 进行传输。它主要用于与ipv4 和ipv6设备都进行通信的应用。双堆栈将在Cisco Ios软件平台上使用，以支持应用和Telnet，Snmp，以及在ipv6传输上的其它协议等。

2.2  隧道技术

随着ipv6网络的发展，出现了许多局部的ipv6 网络，但是这些ipv6网络需要通过ipv4 骨干网络相连。将这些孤立的“ipv6 岛”相互联通必须使用隧道技术。利用隧道技术可以通过现有的运行ipv4 协议的Internet 骨干网络（ 即隧道）将局部的ipv6网络连接起来，因而是ipv4向ipv6 过渡初期最易于采用的技术。

路由器将ipv6 的数据分组封装入ipv4，ipv4 分组的源地址和目的地址分别是隧道入口和出口的ipv4地址。在隧道的出口处，再将ipv6分组取出转发给目的站点。隧道技术只要求在隧道的入口和出口处进行修改，对其他部分没有要求，因而非常容易实现。但是隧道技术不能实现ipv4 主机与ipv6 主机的直接通信。

2.3 网络地址转换/ 协议转换技术

网络地址转换/ 协议转换技术NAT-PT（Network Address Translation-Protocal Translation）通过与S||T 协议转换和传统的ipv4 下的动态地址翻译NAT 以及适当的应用层网关（ALG）相结合，实现了只安装了ipv6 的主机和只安装了ipv4机器的大部分应用的相互通信。上述技术很大程度上依赖于从支持ipv4的互联网到支持ipv6 的互联网的转换，我们期待ipv4 和ipv6 可在这一转换过程中互相兼容。目前，6tot4 机制便是较为流行的实现手段之一。

3  我校校园网ipv6解决方案

我校共有两个校区：老校区和新校区，两个校区之间通过新校区的Cisco6513和老校区Cisco6509万兆相连，Cisco6513又与边界出口Cisco6503相连。

网络拓扑图如下（图1）：

针对网络从IPv4向IPv6演进过程中面临的IPv4和IPv6相互之间的通信以及如何实现IPv6网络与现有IPv4网络无缝连接等问题，所以我校在教育网上采用

隧道技术、双栈技术和地址头翻译技术实现对ipv6网络的互访，即借助当今纯熟的ipv4技术，对ipv6数据包实行ipv4格式的封装与解封装。

我校实际的ipv6配置如下：

在核心设备6573的ipv6配置如下：

interface GigabitEthernet12/47

description cumt ipv6 link

ipv6 address 2001:DA8:100D:1::2/64      // 6513与6503的三层对接ipv6地址的配置

interface Vlan12

no ip redirects

ipv6 address 2001:DA8:100D:2::1/64        // ipv6的vlan配置

ipv6 enable                              //在Cisco6513上启动ipv6协议

ipv6 route ::/0 2001:DA8:100D:1::1      // ipv6默认路由配置

在出口设备Cisco6503上的ipv6配置如下：

interface GigabitEthernet3/47

ipv6 address 2001:DA8:100D:1::1/64     // 6503与6513的三层对接ipv6地址的配置

ipv6 route 2001:DA8:100D::/48 2001:DA8:100D:1::2

ipv6 route ::/0 2001:DA8:A3:F00B::1

ipv6 unicast-routing                 //  ipv6的路由配置

interface Tunnel0                   //ipv6隧道配置

ipv6 address 2001:DA8:A3:F00B::2/64       //源端的ipv6地址

ipv6 enable//启动ipv6协议

tunnel source 202.119.200.129         //隧道源端ipv4地址

tunnel destination 202.112.53.38     //隧道目的端ipv4地址

tunnel mode ipv6ip                  //隧道模式为ipv6

教育网防火墙上的配置如下：

access-list 102 extended permit ip any host 202.119.200.129       //允许校内及校外的访问通过ipv6隧道

目前ipv6在我校已经很好的应用起来，校内用户能够方便的访问外面的ipv6网络资源，而我校也已经分别建立了ipv6的www服务器及ipv6的DNS解析，以提供外面用户对我校ipv6网络资源的访问。

（图1）

4  结论

ipv6在我校的良好应用，进一步体现了ipv6的强大魅力，虽然目前还不能完全取代ipv4，但是，在不远的将来ipv6一定能够取代ipv4，从而实现全范围的纯粹的ipv6网络的运行。

参考文献

[1] 实现ipv4向ipv6过渡的隧道技术6tot4.计算机工程与应用.  2002年 第18期

[2] ipv4向ipv6的过渡技术综述.北京邮电大学学报. 2002年 第4期

[3]  如何从ipv4过渡到ipv6. 计算机时代. 2004年 第8期

其他相关：

论文提纲格式

仅供参考，请自借鉴

希望对您有帮助