dns研究论文
dns研究论文
摘要:在存在安全对策的情况下,设计用于数据泄露的恶意软件必须使用隐蔽的通道来实现其目标。域名系统(DNS)协议是目前恶意软件开发者常用的秘密渠道。虽然近十年来人们一直在研究利用DNS进行隐蔽通道的检测,但以往的研究主要涉及到一个特定的隐蔽通道子类,即DNS隧道化。虽然隧道检测的重要性不应该被最小化,但是整个低吞吐量DNS泄露恶意软件被忽略了。
在这项研究中,我们提出了一种在DNS上检测隧道和低吞吐量数据泄露的方法。在确定之前检测到的恶意软件使用了网络活动注册的网络域名,而不是损害现有的合法域名后,我们专注于检测和拒绝这些域名的请求,作为一个有效的数据泄漏关闭。因此,我们提出的解决方案处理流式DNS流量,以便检测和自动拒绝用于数据交换的域的请求。初始数据收集阶段以允许长时间扫描的方式收集每个域的DNS日志,因此能够处理“慢速”攻击。第二阶段是基于每个域的查询行为提取特征,最后阶段是利用异常检测模型对域进行分类。至于检测,DNS请求被分类为用于数据泄露的域将被无限期拒绝。
我们的方法是在一个大型递归DNS服务器日志上进行评估,其峰值为每小时4700万次请求。在这些DNS日志中,我们从DNS隧道挖掘工具以及两个现实生活中的恶意软件中注入了数据泄露流量:FrameworkPOS,它曾在2014年被用于从家得宝(Home Depot)窃取5600万张信用卡;BackdoorWin32Denis,在2016年被用于Cobalt Kitty APT。即使将我们的方法限制在极低的假阳性率(5万个域中的1个)时,它也检测到了上述所有情况。此外,这些日志还被用来比较我们的系统和最近发表的两种方法,这两种方法的重点是检测DNS隧道,以强调检测低吞吐量过滤恶意软件的新颖性。
一、介绍
个人电脑和计算机网络一直是数据盗窃攻击的目标,通常使用的技术包括中间人攻击[7]或通过秘密渠道[25][40]泄露数据的恶意软件。在恶意软件的情况下,通常是作为命令和控制(C&C)的远程服务器,等待来自恶意软件的通信并记录传输到它的数据。然而,在受保护的网络(私有的或组织的)中,目标主机可以驻留在一个有限的段中,与外界的访问受限。在这种情况下,即使允许连接,通常也会由安全解决方案对可疑行为进行监视。因此,在这种情况下,恶意软件必须找到一个隐蔽的通道,以便将数据过滤到远程服务器,而现有的安全解决方案不会阻止或检测到这些数据。实现这一目标的一个渠道是域名系统(DNS)协议,这是本研究的重点。
从本地计算机到Internet的任何通信(不包括基于静态ip的通信)都依赖于DNS服务。因此,限制DNS通信可能导致合法远程服务断开连接;因此,必须保守地使用DNS来阻止内容。从攻击者的角度来看,这使得DNS协议成为数据泄漏[3]的隐蔽通信通道的一个很好的候选。
典型地,DNS协议不是为任意数据交换而设计的;DNS消息相对较短,响应不相关,这意味着它们到达的顺序不一定与发送[27]的请求的顺序相同。这些局限性可以通过攻击者使用两种方法之一:(1)建立一个双向通信信道上的DNS(例如,通过模拟一个可靠的C&C的恶意软件和服务器之间的会话),或(2)使用通道发送小短的数据点,用最小的开销和请求,并且消息是独立的(如信用卡号码、用户凭证,keylogging和地理位置)。我们将这两种方法分别称为高吞吐量隧穿和低吞吐量恶意软件。DNS过滤的完整威胁环境包括这两类,因此,任何通过DNS协议检测或防止数据泄漏的解决方案都必须同时处理这两类问题。
近年来检测到的低吞吐量泄露恶意软件使用的互联网域名购买、注册和操作完全是为了他们的网络运动。对于需要用户提供和配置Internet域的DNS隧道工具来说也是如此。因此,拒绝这些域的请求相当于在不影响正常网络运行的情况下停止数据泄漏。
本文提出了一种基于机器学习技术的新型DNS泄露检测方法,该方法既针对DNS隧道化,又针对低吞吐量的恶意软件泄露。我们的方法的输入是一个DNS流量日志流,它经常按域分组。这些日志收集的时间足够长,即使数据交换速度相对较慢,也可以检测到恶意软件。对每个域的收集日志定期应用特征提取阶段。然后,对每个域的特征进行分类阶段,以确定该域是否用于数据交换。该分类是使用隔离森林[21]异常检测模型进行的,该模型事先对合法流量进行了训练。在分类之后,对任何已被分类为异常的域的请求将被无限期地阻塞,从而停止数据泄漏。
我们使用隧道工具和之前检测到的低吞吐量泄露恶意软件的流量模拟来评估我们的工作。这些模拟与合法的大规模DNS流量一起执行,其峰值速率为每小时4100万次请求,从而使检测任务尽可能真实。该该检测覆盖率下表明少于0.002%假阳性率以及低误报率随着时间的推移而更少,我们将最近发表的两篇论文旨在检测隧道方法与本文进行比较,证明我们的方法的贡献——检测的低吞吐量漏出恶意软件。
我们工作的贡献有三方面:
1)除了检测DNS隧道外,我们的工作还能够检测低吞吐量DNS泄露恶意软件。
2)因为我们的方法在特定的时间范围内对域进行分类(称为每个域),所以它通过拒绝对被分类为用于数据交换的域的请求,来立即、准确和自动地阻止出现的DNS数据泄漏尝试。可以论证的是,对于在特定时间段内对用户进行分类的检测系统来说,情况并非如此,因为基于恶意软件的存在对合法用户的流量进行无限期阻塞可能是不可接受的。
3)据我们所知,之前的研究还没有对大规模、高质量的DNS流量日志(超过106个查询/小时)进行评估。由于DNS上的数据泄露可能试图低调神秘地操作,针对大规模流量的测试可能是任何检测系统的最终挑战。前一种说法得到了支持,因为当我们将我们提出的方法与以前建议的方法进行比较时,我们发现它们的报告结果有所减少。
二、背景
网络安全与大数据技术应用探讨论文
网络安全与大数据技术应用探讨论文
摘要: 随着互联网技术的高速发展与普及,现如今互联网技术已经广泛应用于人们工作与生活之中,这给人们带来了前所未有的便利,但与此同时各种网络安全问题也随之显现。基于此,本文主要介绍了大数据技术在网络安全领域中的具体应用,希望在网络系统安全方面进行研究的同时,能够为互联网事业的持续发展提供可行的理论参考。
关键词: 网络安全;大数据技术;应用分析
前言
随着近年来互联网技术的不断深入,网络安全事故也随之频频发生。出于对网络信息安全的重视,我国于2014年成立了国家安全委员会,正式将网络安全提升为国家战略部署,这同时也表示我国网络信息安全形势不容乐观,网络攻击事件处于高发状态。木马僵尸病毒、恶意勒索软件、分布式拒绝服务攻击、窃取用户敏感信息等各类网络攻击事件的数量都处于世界前列。时有发生的移动恶意程序、APT、DDOS、木马病毒等网络攻击不仅会严重阻碍网络带宽、降低网络速度、并且对电信运营商的企业声誉也会产生一定影响。根据大量数据表明,仅仅依靠传统的网络防范措施已经无法应对新一代的网络威胁,而通过精确的检测分析从而在早期预警,已经成为现阶段网络安全能力的关键所在。
1网络安全问题分析
网络安全问题不仅涉及公民隐私与信息安全,更关乎国事安全,例如雅虎的信息泄露,导致至少五亿条用户信息被窃;美国棱镜门与希拉里邮件门等等事件都使得网络安全问题进一步升级、扩大。随着互联网构架日益复杂,网络安全分析的数据量也在与日俱增,在由TB级向PB级迈进的过程,不仅数据来源丰富、内容更加细化,数据分析所需维度也更为广泛。伴随着现阶段网络性能的增长,数据源发送速率更快,对安全信息采集的速度要求也就越高,版本更新延时等导致的Odav等漏洞日渐增多,网络攻击的影响范围也就进一步扩大;例如APT此类有组织、有目标且长期潜伏渗透的多阶段组合式攻击更加难以防范,唯有分析更多种类的安全信息并融合多种手段进行检测抵御。在传统技术架构中,大多使用结构化数据库来进行数据存储,但由于数据存储的成本过高,系统往往会将原始数据进行标准化处理后再进行存储,如此易导致数据的丢失与失真以及历史数据难以保存而造成的追踪溯源困难;同时对于嘈杂的大型、非结构化数据集的执行分析以及复杂查询效率很低,导致数据的实时性及准确性难以保证,安全运营效率不高,因此传统网络安全技术已经难以满足现阶段网络安全分析的新要求。大数据技术这一概念最初由维克托.迈尔.舍恩伯格与肯尼斯.库克耶在2008年出版的《大数据时代》一书中提出的,大数据是指不采用随机分析法,而是对所有的数据进行综合分析处理。大数据技术作为现阶段信息架构发展的趋势之首,其独有的高速、多样、种类繁多以及价值密度低等特点,近年来被广泛应用于互联网的多个领域中。大数据的战略意义在于能够掌握庞大的数据信息,使海量的原始安全信息的存储与分析得以实现、分布式数据库相比传统数据库的存储成本得以降低,并且数据易于在低廉硬件上的水平扩展,极大地降低了安全投入成本;并且伴随着数据挖掘能力的大幅提高,安全信息的采集与检测响应速度更加快捷,异构及海量数据存储的支持打造了多维度、多阶段关联分析的基础,提升了分析的深度与广度。对于网络安全防御而言,通过对不同来源的数据进行综合管理、处理、分析、优化,可实现在海量数据中极速锁定目标数据,并将分析结果实时反馈,对于现阶段网络安全防御而言至关重要。
2大数据在网络安全中的应用
将大数据运用到网络安全分析中,不仅能够实现数据的优化与处理,还能够对日志与访问行为进行综合处理,从而提高事件处理效率。大数据技术在网络安全分析的效果可从以下几点具体分析:
2.1数据采集效率
大数据技术可对数据进行分布式地采集,能够实现数百兆/秒的采集速度,使得数据采集速率得到了极大的提高,这也为后续的关联分析奠定了基础。
2.2数据的存储
在网络安全分析系统中,原始数据的存储是至关重要的,大数据技术能够针对不同数据类型进行不同的数据采集,还能够主动利用不同的方式来提高数据查询的效率,比如在对日志信息进行查询时适合采用列式的存储方式,而对于分析与处理标准化的数据,则适合采用分布式的模式进行预处理,在数据处理后可将结果存放在列式存储中;或者也可以在系统中建立起MapReduce的查询模块,在进行查询的时候可直接将指令放在指定的节点,完成处理后再对各个节点进行整理,如此能够确保查询的速度与反应速度。
2.3实时数据的分析与后续数据的处理
在对实时数据的分析中,可以采用关联分析算法或CEP技术进行分析,如此能够实现对数据的采集、分析、处理的综合过程,实现了更高速度以及更高效率的处理;而对于统计结果以及数据的处理,由于这种处理对时效性要求不高,因此可以采用各种数据处理技术或是利用离线处理的方式,从而能够更好地完成系统风险、攻击方面的分析。
2.4关于复杂数据的分析
在针对不同来源、不同类型的复杂数据进行分析时,大数据技术都能够更好的完成数据的分析与查询,并且能够有效完成复杂数据与安全隐患、恶意攻击等方面的处理,当网络系统中出现了恶意破坏、攻击行为,可采用大数据技术从流量、DNS的角度出发,通过多方面的数据信息分析实现全方位的防范、抵御。
3基于大数据技术构建网络系统安全分析
在网络安全系统中引入大数据技术,主要涉及以下三个模块:
3.1数据源模块
网络安全系统中的`数据及数据源会随着互联网技术的进步而倍增技术能够通过分布式采集器的形式,对系统中的软硬件进行信息采集,除了防火墙、检测系统等软件,对设备硬件的要求也在提高,比如对服务器、存储器的检查与维护工作。
3.2数据采集模块
大数据技术可将数据进行对立分析,从而构建起分布式的数据基础,能够做到原始数据从出现到删除都做出一定说明,真正实现数据的访问、追溯功能,尤其是对数据量与日俱增的今天而言,分布式数据存储能够更好地实现提高数据库的稳定性。
3.3数据分析模块
对网络安全系统的运营来说,用户的业务系统就是安全的最终保障对象,大数据分析能够在用户数据产生之初,及时进行分析、反馈,从而能够让网络用户得到更加私人化的服务体验。而对于用户而言,得其所想也会对网络系统以及大数据技术更加的信任,对于个人的安全隐私信息在系统上存储的疑虑也会大幅降低。当前网络与信息安全领域正在面临着全新的挑战,企业、组织、个人用户每天都会产生大量的安全数据,现有的安全分析技术已经难以满足高效率、精确化的安全分析所需。而大数据技术灵活、海量、快速、低成本、高容量等特有的网络安全分析能力,已经成为现阶段业界趋势所向。而对互联网企业来说,实现对数据的深度“加工处理”,则是实现数据增值的关键所在,对商业运营而言是至关重要的。
4结语
在当下时代,信息数据已经渗透到各个行业及业务领域中,成为重要的社会生产因素。正因如此,互联网数据产生的数量也在与日倍增中,这给网络安全分析工作带来了一定难度与压力,而大数据技术则能够很好的完善这一问题。在网络系统中应用大数据技术不仅能够满足人们对数据处理时所要求的高效性与精准性,并且能够在此基础上构建一套相对完善的防范预警系统,这对维护网络系统的安全起着非常关键的作用,相信大数据技术日后能够得到更加广泛的应用。
参考文献:
[1]鲁宛生.浅谈网络安全分析中大数据技术的应用[J].数码世界,2017.
[2]王帅,汪来富,金华敏等.网络安全分析中的大数据技术应用[J].电信科学,2015.
[3]孙玉.浅谈网络安全分析中的大数据技术应用[J].网络安全技术与应用,2017.
本科毕业论文小摘要翻译,特着急,英语牛人帮忙翻一下呗,谢谢!
To return to original state accurately to the corn in the sugar and the total sugar carries on the quantitative analysis, the present paper has conducted the research to the sugar determination method. Determines the solution under the different parameter the extinction. Like best determination wave length, developer amount used, reaction time, settling time, acid hydrolysis time. This article tests uses the DNS law, take 3,5- dinitro naphthol salicylic acids (DNS) as the developer, in the neutrality or under the alkalinity condition heats after the return to original state sugar by the reduction brown red amino-compound, its color depth and the sugar content present are related, through the single factor experiment determined that the best experimental condition, according to returns to original state the sugar by in the glucose standard solution plan's specification curve computation corn and the total sugar content. the experimental result indicated that examines the wave length is best 540nm, developer amount used 1.5mL, colored time 5min. The glucose linear density scope is 8~40ug/mL, carries on 5 parallel determinations by the total sugar solution, RSD=1.1%; The sample mean returns-ratio is 100.56%, RSD=1.54%. Explained that this method is stable, the duplication is good. And through the sample solution infrared scanning spectrogram analysis which resulted to the system proves in the solution to include the return to original state sugar
ipv6技术研究论文
相关范文:
Ipv6在高校校园网中的应用
摘 要 文章对ipv6基本概念,ipv6的实现技术及实现ipv6的现行技术进行了阐述,结合学校校园网的ipv6实际解决方案,系统描述了ipv6在网络出口设备Cisco6503上的配置和在ipv6在网络核心设备Cisco6513上的配置,以及ipv6在我校校园网中的实际应用。
关键词 ipv6;隧道技术;双协议栈技术
1 引言
现有的互联网是在IPv4协议的基础上运行。IPv6是下一版本的互联网协议,它的提出最初是因为随着互联网的迅速发展,IPv4定义的有限地址空间将被耗尽,地址空间的不足必将影响互联网的进一步发展。为了扩大地址空间,拟通过IPv6重新定义地址空间。IPv4采用32位地址长度,只有大约43亿个地址,估计在2005~2010年间将被分配完毕,而IPv6采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址,整个地球每平方米面积上可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题。IPv6的主要优势体现在以下几方面:扩大地址空间、提高网络的整体吞吐量、改善服务质量(QoS)、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。
2 ipv6实现技术概述
从ipv4到ipv6 的转换必须使ipv6能够支持和处理ipv4体系的遗留问题。目前,IETF( Internet Engineering Task Force)已经成立了专门的工作组,研究ipv4 到ipv6 的转换问题,并且已提出了很多方案,主要包括以下几个类型:
2.1 双协议栈技术
在开展双堆栈网络时,主机同时运行两种协议,使应用一个一个地转向ipv6 进行传输。它主要用于与ipv4 和ipv6设备都进行通信的应用。双堆栈将在Cisco Ios软件平台上使用,以支持应用和Telnet,Snmp,以及在ipv6传输上的其它协议等。
2.2 隧道技术
随着ipv6网络的发展,出现了许多局部的ipv6 网络,但是这些ipv6网络需要通过ipv4 骨干网络相连。将这些孤立的“ipv6 岛”相互联通必须使用隧道技术。利用隧道技术可以通过现有的运行ipv4 协议的Internet 骨干网络( 即隧道)将局部的ipv6网络连接起来,因而是ipv4向ipv6 过渡初期最易于采用的技术。
路由器将ipv6 的数据分组封装入ipv4,ipv4 分组的源地址和目的地址分别是隧道入口和出口的ipv4地址。在隧道的出口处,再将ipv6分组取出转发给目的站点。隧道技术只要求在隧道的入口和出口处进行修改,对其他部分没有要求,因而非常容易实现。但是隧道技术不能实现ipv4 主机与ipv6 主机的直接通信。
2.3 网络地址转换/ 协议转换技术
网络地址转换/ 协议转换技术NAT-PT(Network Address Translation-Protocal Translation)通过与S||T 协议转换和传统的ipv4 下的动态地址翻译NAT 以及适当的应用层网关(ALG)相结合,实现了只安装了ipv6 的主机和只安装了ipv4机器的大部分应用的相互通信。上述技术很大程度上依赖于从支持ipv4的互联网到支持ipv6 的互联网的转换,我们期待ipv4 和ipv6 可在这一转换过程中互相兼容。目前,6tot4 机制便是较为流行的实现手段之一。
3 我校校园网ipv6解决方案
我校共有两个校区:老校区和新校区,两个校区之间通过新校区的Cisco6513和老校区Cisco6509万兆相连,Cisco6513又与边界出口Cisco6503相连。
网络拓扑图如下(图1):
针对网络从IPv4向IPv6演进过程中面临的IPv4和IPv6相互之间的通信以及如何实现IPv6网络与现有IPv4网络无缝连接等问题,所以我校在教育网上采用
隧道技术、双栈技术和地址头翻译技术实现对ipv6网络的互访,即借助当今纯熟的ipv4技术,对ipv6数据包实行ipv4格式的封装与解封装。
我校实际的ipv6配置如下:
在核心设备6573的ipv6配置如下:
interface GigabitEthernet12/47
description cumt ipv6 link
ipv6 address 2001:DA8:100D:1::2/64 // 6513与6503的三层对接ipv6地址的配置
interface Vlan12
no ip redirects
ipv6 address 2001:DA8:100D:2::1/64 // ipv6的vlan配置
ipv6 enable //在Cisco6513上启动ipv6协议
ipv6 route ::/0 2001:DA8:100D:1::1 // ipv6默认路由配置
在出口设备Cisco6503上的ipv6配置如下:
interface GigabitEthernet3/47
ipv6 address 2001:DA8:100D:1::1/64 // 6503与6513的三层对接ipv6地址的配置
ipv6 route 2001:DA8:100D::/48 2001:DA8:100D:1::2
ipv6 route ::/0 2001:DA8:A3:F00B::1
ipv6 unicast-routing // ipv6的路由配置
interface Tunnel0 //ipv6隧道配置
ipv6 address 2001:DA8:A3:F00B::2/64 //源端的ipv6地址
ipv6 enable//启动ipv6协议
tunnel source 202.119.200.129 //隧道源端ipv4地址
tunnel destination 202.112.53.38 //隧道目的端ipv4地址
tunnel mode ipv6ip //隧道模式为ipv6
教育网防火墙上的配置如下:
access-list 102 extended permit ip any host 202.119.200.129 //允许校内及校外的访问通过ipv6隧道
目前ipv6在我校已经很好的应用起来,校内用户能够方便的访问外面的ipv6网络资源,而我校也已经分别建立了ipv6的www服务器及ipv6的DNS解析,以提供外面用户对我校ipv6网络资源的访问。
(图1)
4 结论
ipv6在我校的良好应用,进一步体现了ipv6的强大魅力,虽然目前还不能完全取代ipv4,但是,在不远的将来ipv6一定能够取代ipv4,从而实现全范围的纯粹的ipv6网络的运行。
参考文献
[1] 实现ipv4向ipv6过渡的隧道技术6tot4.计算机工程与应用. 2002年 第18期
[2] ipv4向ipv6的过渡技术综述.北京邮电大学学报. 2002年 第4期
[3] 如何从ipv4过渡到ipv6. 计算机时代. 2004年 第8期
其他相关:
论文提纲格式
仅供参考,请自借鉴
希望对您有帮助
上一篇:免费论文查重风险
下一篇:池塘渔业毕业论文