《fastflux服务网络检测方法研究》由会员分享,可在线阅读,更多相关《fastflux服务网络检测方法研究(49页珍藏版)》请在金锄头文库上搜索。
1、华中科技大学 硕士学位论文 Fast-flux服务网络检测方法研究 姓名:汪洋 申请学位级别:硕士 专业:信息安全 指导教师:李芝棠 20090526 华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文 I 摘摘 要要 互联网的迅猛发展,给人类社会带来了巨大的进步和繁荣,但是网络安全问题也 变得愈发严重。 Fast-flux Service Network(FFSN)就是一种精心设计的并且正在发展中 的技术,这项技术正在被越来越多的应用在诸如钓鱼网站、恶意网站、垃圾邮件和 广告发送等非法活动中。 FFSN 由大量被控制的计算机组成,这些计算机的作用主要
2、有两个:一是提供了 一个庞大的 IP 地址池,FFSN 的控制者可以选择其中的 IP 来为自己的域名服务;二 是这些机器可以为向该域名的请求提供代理中转服务,以隐藏背后的控制者。FFSN 的表现是域名的 DNS 记录以非常快的频率持续变化。由于它的这些特点,它和经常 被应用在非法活动中的其它技术比如普通的钓鱼或者恶意网站相比,有更好的隐蔽 性和生存性。 重点分析了 FFSN 的可用性问题。FFSN 的可用性问题源自它的网络节点的不可 控性,利用泊松过程原理建立了一个描述可用性的模型,并且分析了 FFSN 的可用 性和它的规模的关系。 为了应对 FFSN 的威胁, 找到检测它的方法至关重要。 不
3、过它与循环 DNS 和 CDN 等负载均衡的技术有着相似的表现,因此要检测需要能正确区分它们。依据提取的 标识域名的特征四元组,包括域名的不同 A 记录个数,TTL 值,IP 分散度以及域名 的创建时间,提出了一个 FFSN 的检测机制,它由两层的分类器组成,这两层分类 器分别根据域名的单次 DNS 查询和累次 DNS 查询进行 FFSN 的检测。 根据提出的检测机制实现了一个原型系统进行测试,并且用神经网络和 SVM 进 行了对比,测试结果是二者的漏报率都为 0%,SVM 的误报率在 2%以下,神经网络 的误报率在 4%以下。实验结果表明,提出的检测机制能非常有效的识别 FFSN。 关键词:
4、关键词:网络安全,域名系统,Fast-flux 服务网络,支持向量机 华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文 II Abstract The rapid development of the Internet, to the human society has brought about tremendous progress and prosperity, but the issue of network security has become more serious. Fast-flux Service Network is a gr
5、owing, sophisticated technique, which has being applied more and more sites such as phishing, malicious websites, and advertisers send spam and other illegal activities. FFSN be controlled by a large number of computers, these computers have two main roles: first, providing a huge pool of IP address
6、es, FFSN can control which IP to select for their own Domain Name Service; Second, these machines can be provided at the request of the domain name transfer service agents to hide behind the control. Because its these characteristics, it has often been used in illegal activities, compared to other t
7、echnologies, it is better concealed and survivability. This paper analyzes the problem of the availability of FFSN. FFSN problem stems from the availability of the network nodes it is not controllable, Poisson process using the principles of the establishment of a model to describe the availability
8、and analysis of the availability of FFSN and the relationship between the size of it. In response to the threat of FFSN find a way to detect it is essential. But with the cycle and the CDN, such as DNS load balancing techniques have similar performance, thus enabling us to detect that they need to b
9、e able to correctly distinguish between. This paper identifies the domain name to extract the characteristics of the quaternion group, including the domain name A record number of different, TTL value, IP dispersion, as well as the creation of the time domain. Use of the characteristics of four grou
10、ps, FFSN In this paper, a detection mechanism, which is composed of two layers of classifiers, the two-tier classifier, respectively, under the name of a single repeated DNS queries and DNS queries FFSN testing. Detection mechanism on the basis of the realization of a prototype system for testing an
11、d use of neural network and SVM were compared, the test results is the false negative rates are 0%, SVM false positive rate is below 2%, neural network false positive rate is below 4%. The experimental results show that the detection mechanism proposed in this paper can be very effective to identify
12、 FFSN. Keywords: network security, Domain Name System, Fast-flux Service Network, Support Vector Machine 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作 及取得的研究成果。尽我所知,除文中已经标明引用的内容外,本论文不 包含任何其他个人或集体已经发表或撰写过的研究成果。 对本文的研究做 出贡献的个人和集体, 均已在文中以明确方式标明。 本人完全意识到本声 明的法律结果由本人承担。 学位论文作者签名: 日期: 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学
13、校有关保留、使用学位论文的规定,即: 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版, 允许 论文被查阅和借阅。 本人授权华中科技大学可以将本学位论文的全部或部 分内容编入有关数据库进行检索, 可以采用影印、 缩印或扫描等复制手段 保存和汇编本学位论文。 保 密,在_年解密后适用本授权书。 不保密。 (请在以上方框内打“” ) 学位论文作者签名: 指导教师签名: 日期: 年 月 日 日期: 年 月 日 本论文属于 华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文 1 1 绪论绪论 1.1 引言引言 互联网的迅猛发展,给人类社会带来了巨大的
14、进步和繁荣,但是网络安全问题 也变得愈发严重。这首先是由于网络和绝大部分的网络协议在最初被设计时,更多 的是考虑性能、效率问题,而较少考虑到安全问题。另外,网络本身给网络犯罪行 为提供了一个极佳的平台,网络巨大的扩展性和互联性扩大了犯罪行为的影响,同 时也提高了可能获得的收益。聪明的犯罪者在不断发展能从网络犯罪中获利的更为 先进和狡猾的方式。Fast-flux 服务网络(Fast-flux Service Network,简称 FFSN)就 是一种精心设计的并且正在发展中的技术,这项技术的实际应用日益增多。 什么是 FFSN 呢?FFSN 由一些被控制的计算机系统组成,这些计算机系统的公 共
15、DNS 记录在持续变化,甚至有些时候每隔几分钟就变化一次。这种 DNS 记录不 断变化的机制首先保证了域名较高的可用性,同时也使犯罪行为的追踪和阻断更为 困难。这样,研究如何检测 FFSN 就成为一个十分重要的问题。 1.2 国内外研究现状国内外研究现状 由于 Fast-flux 技术在近两年才大量出现,因此,针对针对它们的研究还处于 起步阶段,国内外相关方面的论文比较少。就搜集到的相关论文来看,大多并不 是专门来就 FFSN 来研究的,一般都是研究 botnet 之类的网络,而把 Fast-flux 技 术作为其中的一种现象来提出。根据所找到的资料,Gadi 最早提出了 Fast-flux 现 象1,但是并没有做很深入的研究。 Bojan 在监测 DNS 流量时, 也提出了 FFSN 的问题2。 他和其他人之后对检测 到的各种 DNS 异常进行了更深入的分析3,根据产生原因的不同进行了简单的分 类,FFSN 是其中一类,并提出对域名进行“声誉”评价的想法,以此来减少恶意 域名的危害。 蜜网项目组 (The Honeynet Project) 于 2007 年 7 月发布的一篇名为”Know Your Enemy: Fast-flux Service Networks”的报告最早系统地提出了 Fast-flux 技术,并对 华 中 科 技 大 学 硕 士 学 位
