基于SDN和機器學習的惡意域名檢測與防護的研究.pdf

1、隨著互聯(lián)網應用的持續(xù)發(fā)展和網民數(shù)量的爆炸式增長，惡意域名給網民帶來的安全威脅正在迅速增加。域名解析服務（DNS）存在的許多缺陷常常被僵尸網絡、釣魚網站等惡意網絡行為所利用。傳統(tǒng)網絡下對惡意域名的防護一般是在用戶主機或網絡出口安裝殺毒軟件和防火墻等，但并不是每個用戶都愿意或具備安裝能力，而且目前對惡意域名的檢測主要基于黑名單匹配，需要及時更新維護黑名單，往往危害發(fā)生后才進行防護。Fast-flux技術和DGA域名生成算法等新的網絡技術的應

2、用更增加了傳統(tǒng)網絡的傳統(tǒng)方法對于惡意域名的檢測和防護的難度。
　　針對目前惡意域名檢測與防護方法成本高、靈活性低、檢測精確率低等問題，本文詳細研究了SDN網絡框架的特點以及其相關的技術，結合對機器學習中SVM分類算法的詳細研究，最終提出了一種基于SDN和機器學習技術的惡意域名檢測與防護的方法，該方法利用SDN轉控分離的特點，實時地在惡意域名解析階段就對其進行識別和攔截，并可在應用層靈活的控制其進行重定向和代理訪問以及數(shù)據(jù)流實時監(jiān)控

3、等，惡意域名檢測階段利用黑白名單和機器學習分類算法對域名進行檢測，可以有效提高檢測精確率。本文根據(jù)提出的方法設計和實現(xiàn)了一套惡意域名檢測與防護系統(tǒng)，并在Mininet虛擬仿真網絡拓撲中進行了實驗驗證。該惡意域名檢測與防護系統(tǒng)分為三層，分別是轉發(fā)層、控制層和應用層。轉發(fā)層的設備通過匹配控制層下發(fā)的流表來轉發(fā)數(shù)據(jù)；控制層使用Floodlight作為控制器，控制器具有全局的網絡視圖，可以集中管理和配置整個網絡的資源，在控制器中使用Floodl

4、ight的系統(tǒng)模塊API以及結合SVM分類算法實現(xiàn)了惡意域名檢測與防護系統(tǒng)，系統(tǒng)總共分為四大功能模塊，分別是DNS數(shù)據(jù)包解析、域名檢測分類、數(shù)據(jù)流重定向、代理訪問及數(shù)據(jù)流監(jiān)控，并對應用層開放相關的REST API；應用層使用nodejs和python調用控制器開放的REST API分別實現(xiàn)了web端可視化界面的惡意域名檢測與防護管理器和DNS重定向服務器。實驗證明，本系統(tǒng)能精確地識別惡意域名并對其進行攔截，根據(jù)配置要求可以進行域名DNS