DNS欺騙和緩存中毒攻擊的檢測.pdf

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)基礎(chǔ)設(shè)施和服務(wù)的安全性越來越重要。DNS系統(tǒng)作為互聯(lián)網(wǎng)上最為核心的基礎(chǔ)設(shè)施，其安全性直接決定著整個網(wǎng)絡(luò)的安全性，近年來，針對DNS系統(tǒng)的攻擊頻發(fā)，造成了嚴重的影響，因此，針對DNS攻擊行為進行檢測，對保障網(wǎng)絡(luò)安全具有重要意義。
　　DNS協(xié)議在設(shè)計之初并沒有考慮太多的安全因素，協(xié)議本身存在的脆弱性使得 DNS面臨各種安全威脅。本文對 DNS的系統(tǒng)結(jié)構(gòu)和工作原理做了簡單介紹，并對DNS系統(tǒng)的脆弱性進行了詳細

2、的分析。
　　本文對現(xiàn)有的DNS攻擊檢測方案進行了調(diào)研，傳統(tǒng)的入侵檢測技術(shù)對DNS攻擊檢測缺乏針對性，不能有效識別攻擊?，F(xiàn)有的針對DNS攻擊的檢測方式主要有基于網(wǎng)絡(luò)流量的檢測方法和基于數(shù)據(jù)包特征的檢測方法。分析對比現(xiàn)有檢測技術(shù)的優(yōu)缺點，本文提出了基于改進累積和算法和信息熵模型結(jié)合的檢測方案。根據(jù)DNS數(shù)據(jù)包數(shù)量的特點，將入侵檢測中的累積和算法針對DNS流量特征進行改進，同時對其計算過程進行優(yōu)化，去除冗余參數(shù)；依據(jù)DNS數(shù)據(jù)包特征屬

3、性的分布特征，設(shè)計信息熵模型對數(shù)據(jù)包進行檢測。通過在累積和算法中設(shè)置雙門限值，在大流量波動環(huán)境中，基于數(shù)據(jù)包數(shù)量的特征進行檢測，在小流量波動的環(huán)境中，對可疑行為通過基于數(shù)據(jù)包特征屬性分布的信息熵模型進行檢測，實現(xiàn)對不同網(wǎng)絡(luò)環(huán)境的針對性處理。
　　最后，根據(jù)檢測方案對檢測系統(tǒng)原型進行了設(shè)計與實現(xiàn)，并在不同的網(wǎng)絡(luò)環(huán)境中進行了實驗。經(jīng)測試，本檢測模型可以在大流量的攻擊環(huán)境中準確的檢測到攻擊，同時具有非常高的檢測效率；在小流量的攻擊環(huán)境中