基于知识图谱的DNS Query Flood攻击检测研究

摘要：

  摘要: 针对具有成本低廉、破坏性大、防御困难特性的DNS Query Flood攻击，本文构建UDP请求的知识图谱。基于攻击者通过发送大量伪造源IP地址的小UDP包冲击DNS服务器实施攻击的原理，本文通过计算客户机对服务器的正常访问频率确定发现DNS Query Flood攻击的流量阈值，基于加州大学洛杉矶分校的DNS Query Flood攻击实验数据集，利用Neo4j可视化分析检验通过阈值判定攻击的准确性。结果表明，阈值检测的方法在混合流量中对攻击流量的检测成功率高达95.04%。

1. 引言

网络技术快速发展的同时，各类网络安全问题层出不穷。根据2021年2月公布的第47次《中国互联网络发展状况统计报告》，2020年，国家信息安全漏洞共享平台收集整理信息安全漏洞20,721个，较2019年同期增长28% [1]。在各类漏洞威胁中，DDoS (Distributed Denial of Service，分布式拒绝服务)攻击以容易实施、难以防范、难以追踪等特点成为最难以防范和抵御的网络攻击类型之一，其中DNS反射放大攻击(DNS Amplification Attack)又是其中较为常见的方式。DNS攻击主要是利用UDP及DNS协议的安全漏洞，以DNS服务器作为攻击流量的反射放大器，实现对目标主机的DDoS攻击。如果DNS服务器被攻击，将会导致大量网站无法被正常访问，对网络安全造成严重威胁。由于计算机根区文件是公开可访问的，因此顶级域的权威服务器很容易被用来作为反射放大器。

2016年美国Dyn公司遭到了一次与以往不同的DDoS攻击，此次攻击通过Mirai病毒，将攻陷的物联网设备作为“肉鸡”，使得Dyn服务器一下子收到了成千上万条请求导致瘫痪。经调查发现，这是通过DNS的TCP和UDP数据包发起的一次攻击，据称此次攻击手段还不是很成熟，但已经对Dyn内部造成巨大伤害。DNS反射放大攻击是一种具有巨大攻击力的DDoS攻击方式之一，其危害大、成本低、溯源难，被黑色产业从业者所喜爱。攻击者只需要付出少量的代价，即可对需要攻击的目标产生巨大的流量冲击，对网络带宽资源、连接资源和计算机资源造成巨大的压力。Dyn公司的DNS服务器受到DNS反射放大攻击后，导致美国大范围断网，事后的攻击流量分析显示，DNS反射放大攻击是造成美国大范围断网的DDoS攻击的主力之一。

本文通过构建UDP请求的知识图谱，提出运用客户机与服务器的访问频率阈值的方法来检测、发现DNS Query Flood攻击。

2. 研究现状

2.1. DNS Query Flood攻击研究现状

当前DNS服务器由于其本身缺陷导致安全事故频发，针对DNS Query Flood攻击已有不少研究。严芬等人通过分析一段时间内DNS流量变化情况，得到该时间段内域名解析的成功率，计算出信息熵值，从而判断DNS服务器是否出现异常，进一步利用滑动窗口算法计算源IP地址的信息熵值，与正常情况比较得出结论，并通过实验验证了该检测方法的有效性 [2]。NM SAHRI和Koji OKAMURA提出引入一个服务器控制器，负责向先前请求DNS服务的每个主机发送身份验证包，通过验证请求客户端网络回复的“身份验证包”，来确定DNS查询是否为合法的查询或攻击包。经实验证实，该方法可以有效阻止来自僵尸网络的所有DNS查询 [3]。Roberto Alonso等人提出了一种新的递归抽取DNS流量来检测DNS Query Flood攻击的方法，建立了一种基于异常的检测机制，给定DNS使用的时间窗口，利用DNS攻击特征捕获DNS社群结构，通过观察DNS社群结构的变化来判断是否受到DNS攻击 [4]。

本文通过对客户机与DNS服务器之间的UDP数据包特征的研究，分析DNS Query Flood攻击流量的判定阈值，以尽早发现可能的攻击行为、减少损失。

2.2. 知识图谱简介

知识图谱是结构化的语义知识库，以符号形式描述物理世界中的概念及其相互关系。其基本组成单位是“实体–关系–实体”三元组，以及实体及其相关属性–值对，实体间通过关系相互联结，构成网状的知识结构 [5]。

相对于现有的字符串模糊匹配方式而言，知识图谱一方面