基于SVM方法的DNS服務(wù)攻擊防范模型.pdf

1、域名系統(tǒng)(Domain Name System,DNS)已經(jīng)成為Internet最關(guān)鍵的基礎(chǔ)設(shè)施。2008年,Dan Kaminsky公布的針對(duì)DNS協(xié)議缺陷的CNiping攻擊,使DNS服務(wù)攻擊防范問(wèn)題受到全球廣泛關(guān)注。DNS服務(wù)攻擊防范的前提是要正確檢測(cè)出針對(duì)DNS的入侵行為,入侵檢測(cè)問(wèn)題可轉(zhuǎn)化為模式識(shí)別問(wèn)題。支持向量機(jī)(SVM)是建立在統(tǒng)計(jì)學(xué)習(xí)理論上的模式識(shí)別方法,它具有運(yùn)算速度快、擴(kuò)展能力強(qiáng)等優(yōu)點(diǎn),將之應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè),可以提

2、高檢測(cè)性能。
　　 論文針對(duì)DNS通信的特點(diǎn)設(shè)計(jì)了DNS服務(wù)攻擊防范模型,其核心的入侵檢測(cè)系統(tǒng)使用SW方法來(lái)實(shí)現(xiàn)。論文首先介紹了DNS的發(fā)展、系統(tǒng)結(jié)構(gòu)和工作原理;其次分析了目前DNS系統(tǒng)主要存在的三類安全問(wèn)題,并分析了用于保障DNS安全的DNSSEC和TSIG;然后介紹了入侵檢測(cè)和SVM的相關(guān)概念。在這些理論的基礎(chǔ)上,設(shè)計(jì)基于SVM方法的入侵檢測(cè)系統(tǒng)。該系統(tǒng)從原始網(wǎng)絡(luò)數(shù)據(jù)中提取出每條網(wǎng)絡(luò)連接的41個(gè)特征,然后將字符型的特征轉(zhuǎn)化為

3、數(shù)值,利用異構(gòu)數(shù)據(jù)集上的奇異距離函數(shù)對(duì)數(shù)據(jù)進(jìn)行歸一化處理,生成支持向量機(jī)的輸入矢量。SVM模型選擇了用于分類的C-SVM算法和Mercer核函數(shù),通過(guò)訓(xùn)練后生成檢測(cè)規(guī)則庫(kù)。最后,利用該入侵檢測(cè)系統(tǒng)設(shè)計(jì)了DNS服務(wù)攻擊防范模型。該模型基于Linux操作系統(tǒng),采用Linux環(huán)境下的開(kāi)源軟件和開(kāi)發(fā)工具,實(shí)現(xiàn)了防火墻、DNS服務(wù)、日志、數(shù)據(jù)捕獲和SVM入侵檢測(cè)系統(tǒng),每一個(gè)模塊都針對(duì)DNS服務(wù)進(jìn)行必要的安全配置。
　　 論文通過(guò)對(duì)CNip