域名依賴性的監(jiān)測.pdf

1、DNS作為互聯(lián)網(wǎng)上最為關(guān)鍵的基礎(chǔ)設(shè)施，其主要作用是將易于記憶的主機名稱映射為枯燥難記的IP地址。絕大多數(shù)網(wǎng)絡(luò)訪問請求都要涉及到域名解析功能，如電子郵件、網(wǎng)站服務(wù)、微博等網(wǎng)絡(luò)應(yīng)用。本文研究特定網(wǎng)絡(luò)環(huán)境下的域名依賴性情況，主要監(jiān)測的是江蘇省教育網(wǎng)JSERNET中域名活動。
　　首先，針對被管網(wǎng)絡(luò)JSERNET中域名活動信息，建立域名數(shù)據(jù)庫進行存儲。域名數(shù)據(jù)庫的建立主要是為域名依賴性的監(jiān)測提供數(shù)據(jù)源，同時，也可以滿足IPCIS所需的域名

2、基礎(chǔ)信息的查詢功能和為惡意服務(wù)檢測尤其是僵尸網(wǎng)絡(luò)的檢測提供數(shù)據(jù)來源。依據(jù)域名的字面特征將域名分為非DGA域名和DGA域名兩類，將其相應(yīng)的信息存入對應(yīng)數(shù)據(jù)表中。域名數(shù)據(jù)庫中存儲的域名信息包括域名歸屬信息、域名與解析IP以及域名與DNS名字服務(wù)器之間的關(guān)聯(lián)信息等。
　　其次，基于已建立的域名數(shù)據(jù)庫，進行僵尸網(wǎng)絡(luò)的檢測?；谟蛎慕┦W(wǎng)絡(luò)檢測是為了實現(xiàn)域名的服務(wù)類型的分類，從而阻止和抑制惡意服務(wù)尤其是僵尸網(wǎng)絡(luò)的危害，也為域名依賴性的檢測

3、提供數(shù)據(jù)支撐。本文基于域名的僵尸網(wǎng)絡(luò)檢測思路是先設(shè)計C&C檢測模型，利用域名的字面特征、域名使用位置信息和活動信息以及Whois信息檢測出疑似僵尸網(wǎng)絡(luò)的C&C域名。在此基礎(chǔ)上，采集與C&C服務(wù)器通信的對端IP的數(shù)據(jù)報文，分析獲取的報文通信特征，并利用僵尸網(wǎng)絡(luò)的通信特征進行僵尸主機的檢測判定，實現(xiàn)基于域名的僵尸網(wǎng)絡(luò)的檢測。
　　最后，對已建立的域名數(shù)據(jù)庫，域名依賴性的研究可以驗證域名數(shù)據(jù)庫存儲信息的可用性和有效性，同時，也有助于對惡