基于知识图谱的DNS Query Flood攻击检测研究

摘要:

  摘要: 针对具有成本低廉、破坏性大、防御困难特性的DNS Query Flood攻击,本文构建UDP请求的知识图谱。基于攻击者通过发送大量伪造源IP地址的小UDP包冲击DNS服务器实施攻击的原理,本文通过计算客户机对服务器的正常访问频率确定发现DNS Query Flood攻击的流量阈值,基于加州大学洛杉矶分校的DNS Query Flood攻击实验数据集,利用Neo4j可视化分析检验通过阈值判定攻击的准确性。结果表明,阈值检测的方法在混合流量中对攻击流量的检测成功率高达95.04%。

1. 引言

网络技术快速发展的同时,各类网络安全问题层出不穷。根据2021年2月公布的第47次《中国互联网络发展状况统计报告》,2020年,国家信息安全漏洞共享平台收集整理信息安全漏洞20,721个,较2019年同期增长28% [1]。在各类漏洞威胁中,DDoS (Distributed Denial of Service,分布式拒绝服务)攻击以容易实施、难以防范、难以追踪等特点成为最难以防范和抵御的网络攻击类型之一,其中DNS反射放大攻击(DNS Amplification Attack)又是其中较为常见的方式。DNS攻击主要是利用UDP及DNS协议的安全漏洞,以DNS服务器作为攻击流量的反射放大器,实现对目标主机的DDoS攻击。如果DNS服务器被攻击,将会导致大量网站无法被正常访问,对网络安全造成严重威胁。由于计算机根区文件是公开可访问的,因此顶级域的权威服务器很容易被用来作为反射放大器。

2016年美国Dyn公司遭到了一次与以往不同的DDoS攻击,此次攻击通过Mirai病毒,将攻陷的物联网设备作为“肉鸡”,使得Dyn服务器一下子收到了成千上万条请求导致瘫痪。经调查发现,这是通过DNS的TCP和UDP数据包发起的一次攻击,据称此次攻击手段还不是很成熟,但已经对Dyn内部造成巨大伤害。DNS反射放大攻击是一种具有巨大攻击力的DDoS攻击方式之一,其危害大、成本低、溯源难,被黑色产业从业者所喜爱。攻击者只需要付出少量的代价,即可对需要攻击的目标产生巨大的流量冲击,对网络带宽资源、连接资源和计算机资源造成巨大的压力。Dyn公司的DNS服务器受到DNS反射放大攻击后,导致美国大范围断网,事后的攻击流量分析显示,DNS反射放大攻击是造成美国大范围断网的DDoS攻击的主力之一。

本文通过构建UDP请求的知识图谱,提出运用客户机与服务器的访问频率阈值的方法来检测、发现DNS Query Flood攻击。

2. 研究现状

2.1. DNS Query Flood攻击研究现状

当前DNS服务器由于其本身缺陷导致安全事故频发,针对DNS Query Flood攻击已有不少研究。严芬等人通过分析一段时间内DNS流量变化情况,得到该时间段内域名解析的成功率,计算出信息熵值,从而判断DNS服务器是否出现异常,进一步利用滑动窗口算法计算源IP地址的信息熵值,与正常情况比较得出结论,并通过实验验证了该检测方法的有效性 [2]。NM SAHRI和Koji OKAMURA提出引入一个服务器控制器,负责向先前请求DNS服务的每个主机发送身份验证包,通过验证请求客户端网络回复的“身份验证包”,来确定DNS查询是否为合法的查询或攻击包。经实验证实,该方法可以有效阻止来自僵尸网络的所有DNS查询 [3]。Roberto Alonso等人提出了一种新的递归抽取DNS流量来检测DNS Query Flood攻击的方法,建立了一种基于异常的检测机制,给定DNS使用的时间窗口,利用DNS攻击特征捕获DNS社群结构,通过观察DNS社群结构的变化来判断是否受到DNS攻击 [4]。

本文通过对客户机与DNS服务器之间的UDP数据包特征的研究,分析DNS Query Flood攻击流量的判定阈值,以尽早发现可能的攻击行为、减少损失。

2.2. 知识图谱简介

知识图谱是结构化的语义知识库,以符号形式描述物理世界中的概念及其相互关系。其基本组成单位是“实体–关系–实体”三元组,以及实体及其相关属性–值对,实体间通过关系相互联结,构成网状的知识结构 [5]。

相对于现有的字符串模糊匹配方式而言,知识图谱一方面

你可能感兴趣的:(人工智能,深度学习)