基于元数据的DNS异常检测系统设计与实现

摘要

域名系统（DNS），在互联网上映射域名和IP地址的分布式数据库，是各种信息系统协调与合作的“中枢神经”。鉴于历史原因造成了DNS的复杂性和脆弱性，如果DNS瘫痪将会造成非常严重的后果。面对网络中各种异常的DNS行为，通过分析DNS通信数据，可以获得大量的正常或异常活动信息，继而检测恶意行为并控制恶意活动。 恶意活动控制的关键在于检测速度和准确性，然而目前异常检测的方法如NetFlow/sFlow报文采样方式，DDoS/Port Scan异常流量发现，分析方式太粗，会丢失较多信息，造成检测结果的缺失；如数据包检测（DPI），是基于已知签名的识别方式，这对于加密流量的检测作用有限。所以，利用元数据（MetaData）的检测方式是介于两者之间的，这将会是进行异常情况检测的有效途径。同时，DNS元数据相较于原始采集数据，会大大减少对于CPU和内存等系统资源的占用，减小对网络传输设备的影响。 本论文以元数据为驱动，重点过滤异常状态和现象，并以此为索引，回溯聚类、逆向溯源、关联分析、发现疑似、协同联动。总结前人有关DNS数据异常行为检测的方法，提出了基于DNS元数据的异常检测系统。系统基于大数据kafka+storm集群进行数据处理，提取全流量的DNS元数据作为网络安全分析中重要的资产。系统设计中结合了威胁情报库，主要职能模块为数据预处理模块、统计分析模块和异常检测模块。系统“预处理+分析+检测”的多层次的方式比较全面的分析了数据，以递进和补充的方式实现异常行为的检测。

目录

声明

1 绪论

1.1 研究背景

1.2 研究目的及意义

1.3 与本课题有关的国内外研究现状

1.4 论文内容及组织结构

2 DNS元数据相关理论

2.1 DNS系统

2.2 DNS元数据概述

2.3 DNS异常行为

2.4 本章小结

3 异常检测系统的需求分析

3.1 业务背景

3.2 功能性需求

3.3 非功能性需求

3.4 本章小结

4 异常检测系统的概要设计

4.1 系统设计目标

4.2 系统架构设计

4.3 系统模块设计

4.4 接口设计

4.5 数据库设计

4.6 本章小结

5 异常检测系统的详细设计与实现

5.1 数据输入输出模块

5.2 DNS数据预处理模块

5.3 统计分析模块

5.4 异常检测模块

5.5 本章小结

6 系统测试及结果分析

6.1 系统测试环境

6.2 功能性测试

6.3 非功能性测试

6.4 结果分析

6.5 本章小结

7 总结与前景展望

参考文献

攻读硕士期间发表的论文及所取得的研究成果

致谢