呂 品 柳廳文 張 洋 亞 靜 時金橋

1 中國科學(xué)院信息工程研究所 北京 100195

2 國家信息中心 北京 100045

引言

隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊從傳統(tǒng)的計算機網(wǎng)絡(luò)迅速擴展到移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興通信網(wǎng)絡(luò)，并延伸至交通、通信、工業(yè)控制等各個領(lǐng)域。網(wǎng)絡(luò)攻擊的強度和多樣性也達到了前所未有的高度。這使得網(wǎng)絡(luò)安全問題成為互聯(lián)網(wǎng)發(fā)展面臨的核心問題之一。

域名服務(wù)系統(tǒng)(Domain Name System，DNS)主要提供域名解析功能，完成域名到IP地址的雙向映射。作為互聯(lián)網(wǎng)最重要的核心基礎(chǔ)設(shè)施，DNS極易被各種網(wǎng)絡(luò)攻擊惡意利用，如僵尸網(wǎng)絡(luò)、欺騙攻擊、誤植域名注冊等，使得DNS安全問題已經(jīng)成為互聯(lián)網(wǎng)安全可靠運行必須要解決的安全問題之一，受到了諸多國內(nèi)外相關(guān)機構(gòu)的重視。

美國國土安全部于2013年發(fā)布了愛因斯坦3促進計劃和網(wǎng)絡(luò)安全增強服務(wù)計劃，兩個計劃都將檢測DNS惡意域名并將其指向合法地址作為應(yīng)對網(wǎng)絡(luò)空間威脅的重要手段之一。國家互聯(lián)網(wǎng)應(yīng)急中心和中國互聯(lián)網(wǎng)信息中心定期發(fā)布的安全報告都將DNS域名的安全性分析作為感知國家網(wǎng)絡(luò)安全態(tài)勢的重要組成部分。與此同時，國外的OpenDNS、國內(nèi)的奇虎360等眾多安全公司紛紛投入大量的人力物力進行DNS相關(guān)安全技術(shù)研究。

本文將重點從域名自身特征出發(fā)，介紹DNS安全問題和對應(yīng)的安全檢測技術(shù)。論文的組織結(jié)構(gòu)如下：第1節(jié)介紹當前典型DNS惡意行為及其特征，第2節(jié)分類介紹DNS安全檢測技術(shù)，第3節(jié)介紹兩類典型的DNS檢測系統(tǒng)，最后在對本文進行總結(jié)的基礎(chǔ)上，對未來DNS惡意行為檢測前景進行展望。

1 DNS惡意行為概述

本文主要研究基于域名的惡意行為問題，包括基于命令控制信道的DNS惡意行為和誤植域名注冊等。域名系統(tǒng)自身的安全性問題，可通過規(guī)范配置、安全加固、加強管理等手段改善和提高，不是本文關(guān)注的范圍。

利用域名構(gòu)建命令控制(Command and Control，C&C)信道是最常見的一種基于域名的惡意行為。命令控制信道是控制者管理大量主機的通信路徑，易被非法利用。攻擊者利用域名構(gòu)建命令控制信道，通過傳遞命令控制信息，進行網(wǎng)絡(luò)攻擊?；诿羁刂菩诺赖腄NS惡意行為主要包括僵尸網(wǎng)絡(luò)方式和惡意域名方式兩類。1)攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。在各種針對域名的惡意行為中，僵尸網(wǎng)絡(luò)，尤其是基于Fast-Flux(一種通過使受控制主機快速持續(xù)變換DNS記錄，進而導(dǎo)致域名解析出的IP也快速持續(xù)改變的技術(shù))的僵尸網(wǎng)絡(luò)逐漸成為網(wǎng)絡(luò)安全的最大威脅。僵尸網(wǎng)絡(luò)為很多非法惡意行為提供了分布式平臺，這些惡意行為包括攻擊關(guān)鍵目標的分布式拒絕服務(wù)攻擊(DDoS)惡意軟件傳播網(wǎng)絡(luò)釣魚、欺詐等。2)惡意域名方式是指利用DNS或應(yīng)用的漏洞嵌入惡意代碼，進而對用戶系統(tǒng)進行惡意破壞的系統(tǒng)。惡意域名通過域名服務(wù)(DNS)管理由大量受感染主機組成的分布式網(wǎng)絡(luò)，因此惡意域名如釣魚網(wǎng)絡(luò)、垃圾郵件、僵尸網(wǎng)絡(luò)的指揮控制等，已經(jīng)成為危害網(wǎng)絡(luò)安全的重要威脅之一。

與基于命令控制信道的DNS惡意行為不同，誤植域名注冊是一種意圖混淆商業(yè)域名或其他著名域名的惡意行為。攻擊者常常將那些與合法網(wǎng)站相似的域名注冊為虛假域名。這些虛假站點可被用來發(fā)布假廣告、賣假商品，甚至更糟糕的，騙取使用者信息并進行身份盜竊。如攻擊者常常注冊一些像baiidu.com、app1e.com這樣的域名，當用戶輸錯字符時，常常會訪問這些網(wǎng)站，而這些網(wǎng)站與原網(wǎng)站具有較高的相似度，從而使其遭受誤導(dǎo)，甚至遭受侵害。

當前，針對DNS惡意行為的安全防護技術(shù)在快速發(fā)展，越來越多的安全防護技術(shù)被提出。本文重點對典型的DNS惡意行為如僵尸網(wǎng)絡(luò)、誤植域名注冊和惡意域名等的安全檢測技術(shù)和檢測系統(tǒng)進行分析和分類介紹。

2 DNS惡意行為安全檢測技術(shù)

為了更清晰的闡述DNS惡意行為檢測機制，本文從域名的技術(shù)特征進行分類，介紹相應(yīng)的安全檢測技術(shù)，并將其與所適用的惡意行為類型進行對應(yīng)。

域名的主要技術(shù)特征分類包括域名的生成機制、域名的相似性、跳變性和連通性等4種，如表1所示。

表1 DNS惡意行為安全檢測技術(shù)

2.1 基于域名生成機制安全檢測技術(shù)

基于域名生成機制的安全檢測技術(shù)主要針對的是基于域名生成算法(Domain Generate Algorithms，DGAs)生成的域名。DGAs也稱為“域流量”，它可以動態(tài)頻繁地產(chǎn)生大量的隨機域名，從而避免通常僵尸網(wǎng)絡(luò)檢測系統(tǒng)的檢測和阻止。

因此，針對基于域名生成算法生成域名的分析和檢測，逐漸成為了僵尸網(wǎng)絡(luò)檢測技術(shù)的重點。當前對域名生成機制的檢測手段主要有域名相關(guān)的流量檢測、域名的關(guān)聯(lián)分析、域名的信譽分析等。

流量檢測方面，Antonakakis[1]等人提出了一種針對隨機生成域名僵尸網(wǎng)絡(luò)檢測方法。該方法針對來自同一個僵尸網(wǎng)絡(luò)(具有相同DGA算法)的“肉機”(bots)，查詢將會產(chǎn)生相似的非存在域名(NXDomain)的網(wǎng)絡(luò)流量，利用聚類和分類算法對域名進行聚類分析，并依據(jù)聚類結(jié)果對僵尸網(wǎng)絡(luò)進行檢測。Guerid等人[2]提出了一種兼顧用戶隱私和系統(tǒng)性能的僵尸網(wǎng)絡(luò)檢測方法。該方法能夠針對僵尸程序的行為識別僵尸程序，并利用關(guān)聯(lián)組織內(nèi)的流量來識別控制僵尸程序的惡意服務(wù)。Sato等人[3]提出了一種尋找未知黑域名的方法。該方法利用兩個不同域名的共生關(guān)系來尋找未知黑域名，即如果一個域名與一個已知的黑域名頻繁伴隨出現(xiàn)，那么認定該域名也是黑域名。

域名關(guān)聯(lián)分析方面，Schiavoni等人[4]利用Phoenix機制來對域名生成算法進行檢測。該方法通過結(jié)合字符串和基于IP的特征，來發(fā)現(xiàn)代表僵尸網(wǎng)絡(luò)的生成域。同時，Phoenix能夠?qū)GAs生成的未知域和這些群體聯(lián)系到一起，并對每個跟蹤的僵尸網(wǎng)絡(luò)的演化行為產(chǎn)生新的認知。Yadav等人[5]提出了一種檢測DNS通信中“域通量”的方法。該方法首先研究了字母和數(shù)字字符的分布以及映射到同一套IP地址所有域上的二元模型；其次對包括KL距離、編輯距離和Jaccard相似性測度在內(nèi)的幾種距離度量的性能進行了比較；最后利用通過抓取映射到所有IPv4地址空間而獲得的域名數(shù)據(jù)集和對目前為止所觀察看到的行為預(yù)期不理想的數(shù)據(jù)進行建模而達到訓(xùn)練數(shù)據(jù)的目的。Zhou等人[6]利用DNS NXDomain通信來檢測DGAs算法，該方法利用基于DGAs算法生成域名具有的生存時間和查詢方式相似性的特點進行檢測。實驗結(jié)果表明，該方法在DNS NXDomain通信中可以較好地過濾掉基于DGAs算法生成的域名。

域名信譽分析方面， Sharifnya和Abadi等人[7-8]提出了一種信譽機制，以對基于DGAs算法的僵尸網(wǎng)絡(luò)進行檢測。其主要目標是為參與可疑活動的每一個主機自動分配一個較高的負面信譽評分。其核心思想是：首先選取在每個時間窗口結(jié)束時具有相似特征的DNS查詢行為；其次識別通過算法生成的可疑域名主機并將其加入到可疑矩陣中，同時識別具有較高DNS查詢失敗次數(shù)的主機并將它們添加到可疑矩陣中；最后計算兩個矩陣中每個主機的負面信譽評分并認定那些具有較高負面信譽評分的主機為被僵尸網(wǎng)絡(luò)感染的主機。該機制兼容采用JSD距離算法、斯皮爾曼等級相關(guān)算法和編輯距離算法，并進行了實驗驗證。實驗結(jié)果表明，該方法可以較好的權(quán)衡檢測率和錯誤率。

2.2 基于域名跳變性安全檢測技術(shù)

當前，攻擊者進行網(wǎng)絡(luò)攻擊時，常常利用動態(tài)域名技術(shù)，并結(jié)合Fast-Flux(跳變性特征)來隱蔽和遷移僵尸網(wǎng)絡(luò)控制端服務(wù)器，達到提高自身安全性的目的。對域名跳變性的檢測手段主要有對Fast-Flux內(nèi)在不變特性的檢測、對Fast-Flux服務(wù)網(wǎng)絡(luò)的檢測以及基于DNS通信過程回歸測試的檢測等，具體來說如下。

Hsu和Huang等人[9]提出了一種實時檢測Fast-Flux僵尸網(wǎng)絡(luò)的方法。該方法依賴Fast-Flux僵尸網(wǎng)絡(luò)的內(nèi)在不變特性，包括請求委托模型、僵尸程序與專用服務(wù)差別以及僵尸程序所使用硬件與專用服務(wù)器的差別。實驗表明，該方法能夠有效地檢測Fast-Flux僵尸網(wǎng)絡(luò)。Celik和Oktug等人[10]通過DNS響應(yīng)包分析，研究了Fast-Flux服務(wù)網(wǎng)絡(luò)(FFSNs)的檢測問題。該方法構(gòu)建了一個包含時間、空間、域名與DNS響應(yīng)信息的高維特征向量，并著重使用一些無延遲并具有輕量級存儲與計算特性的算法。該方法利用C4.5分類樹對特征子空間進行評估，利用每個特性的信息增益排除冗余特性。Mowbray和Hagen等人[11]呈現(xiàn)了一個從DNS查詢數(shù)據(jù)中發(fā)現(xiàn)DGAs的程序。其工作原理是利用域名查詢中異常的二級字符串長度來識別客戶端IP地址。Zou和Zhang等人[12]通過對DNS通信過程的回歸測試，結(jié)合實時監(jiān)測和長期監(jiān)測，提出了一種Fast-Flux域的檢測方法，與基于通量得分的算法相比，該方案具有檢測度高、資源消耗小的優(yōu)點。

2.3 基于域名相似性安全檢測技術(shù)

基于域名相似性的安全檢測技術(shù)主要針對誤植域名進行防護。研究者常常先對誤植域名的傷害進行量化，然后根據(jù)其特征建模，進而利用模型檢測并防護誤植域名。Banerjee和Rahman等人[13]量化了誤植域名注冊的嚴重程度，并基于域名相似性特征，提出了一種誤植域名對抗策略SUT，其作用主要體現(xiàn)在對虛假網(wǎng)站網(wǎng)絡(luò)層的安全分析。實驗結(jié)果表明，SUT能夠以極高精度識別假網(wǎng)站。Khan和Huo等人[14]利用意圖推斷來量化誤植域名搶注網(wǎng)絡(luò)犯罪所帶來的傷害。意圖推斷可以為量化用戶所受的傷害建立一個新的域名相似性度量模型，隨后作者依據(jù)這個模型開發(fā)了一個用于識別誤植域名搶注的方法，并且量化這些由誤植域名搶注所造成的傷害。Liu和Shi[15]等人采用編輯距離(Levenshtein)從視覺角度檢測惡意域名詞法無法很好的處理域名視覺模仿的問題。

2.4 基于域名互通性安全檢測技術(shù)

基于域名互通性的安全檢測技術(shù)主要采用DNS圖實現(xiàn)，并主要用于惡意域名的檢測。當前，不斷發(fā)展的規(guī)避技術(shù)使得針對惡意域名的安全檢測變得越來越困難。典型的規(guī)避技術(shù)，如多域名利用技術(shù)，與單域名DNS活動分析相比，多域名惡意軟件的DNS活動在時間和空間上具有稀疏性和異步性，因而針對多域名的惡意DNS檢測亦更加復(fù)雜。

針對這種情況，Lee等人[16]提出一種基于圖的惡意軟件檢測機制GMAD(Graph-based Malware Activity Detection)，它能夠利用DNS查詢序列對抗前文的規(guī)避技術(shù)，并且具有很好的魯棒性。GMAD利用域名遍歷圖表示DNS查詢序列，進而對受感染客戶端和惡意域名進行檢測。除了能夠檢測惡意軟件的C&C域名，GMAD也能夠檢測諸如黑名單核對，偽DNS查詢等DNS活動。針對當前網(wǎng)絡(luò)異常檢測存在的詳細分析代價高昂的缺點，Jiang和Cao等人[17]提出了一種利用DNS失敗圖實現(xiàn)輕量級異常檢測的方法。該方法首先基于無效的DNS流量(無效DNS查詢)建立DNS失敗圖；其次基于非負三角矩陣的圖分解算法從DNS失敗圖中迭代提取相干聚類(稠密子圖)；最后通過對日常DNS失敗圖中相干聚類的分析，發(fā)現(xiàn)聚類所代表的各種異?；顒?，如垃圾郵件、木馬、僵尸網(wǎng)絡(luò)等。Zou等人[18]提出了一種基于DNS圖挖掘的惡意域名檢測方法。該方法通過建立DNS圖，將惡意域名檢測問題轉(zhuǎn)到圖挖掘任務(wù)；其次依據(jù)置信傳播算法來推算圖節(jié)點的信譽評分，信譽值較低的域名被以較高的概率認定為惡意域名。Gao和Yegneswaran等人[19-20]提出了一種與時間相關(guān)的惡意域名組檢測方法。該方法不需要全面標記訓(xùn)練集。與之相反，該方法將已知惡意域名作為錨，進而識別先前與錨域名相關(guān)的未知惡意域名集合。Kührer和Rossow等人[21]設(shè)計了一個基于圖的方法，來識別黑名單中的陷阱(sinkholes)，即由安全組織控制的惡意域名，并對黑名單的有效性進行了全面評估。

3 DNS惡意行為檢測系統(tǒng)綜述

與DNS惡意行為檢測技術(shù)分類不同的是，DNS惡意行為檢測系統(tǒng)主要從系統(tǒng)實現(xiàn)上進行設(shè)計，主要包括基于DNS流量分析的檢測系統(tǒng)和基于DNS數(shù)據(jù)挖掘的檢測系統(tǒng)兩種。

3.1 基于DNS流量分析的檢測系統(tǒng)

基于DNS流量分析的檢測系是各種各樣的DNS流量分析工具的集合。DNS流量數(shù)據(jù)具有重要的價值，如通過對數(shù)據(jù)包的分析可以精確評估DNS系統(tǒng)負載；通過對DNS用戶流量分析，可以制定針對性營銷推廣活動；通過對DNS通信中的“域通量”進行監(jiān)測和分析，可以進行僵尸網(wǎng)絡(luò)檢測等。DNS流量數(shù)據(jù)的更多重要價值在Robert[22]和Florian[23]等人的研究中進行了詳細分析，本節(jié)重點對已有的DNS流量分析在DNS惡意行為檢測中的應(yīng)用進行綜合分析。

Begleiter[24]和Perdisci[25]等人通過對跨越若干不同地域的數(shù)百個不同網(wǎng)絡(luò)的遞歸DNS(RDNS)服務(wù)器產(chǎn)生的DNS流量進行分析，提出了用于檢測與追蹤惡意流服務(wù)網(wǎng)絡(luò)的FluxBuster系統(tǒng)。該系統(tǒng)不僅可以分析垃圾郵件中的可疑域名，也可以對外部的惡意流服務(wù)網(wǎng)絡(luò)進行檢測。

Thomas等人[26]通過對若干頂級權(quán)威的DNS服務(wù)器(TLD)的全球DNS流量進行分析，建立了一種惡意域名檢測系統(tǒng)。該系統(tǒng)能夠在不獲取惡意軟件樣本的前提下進行惡意域名檢測，并準確聚類惡意域名到一個特定變體或者惡意域名簇。Bilge和Kirda等人[27-28]基于對DNS請求的監(jiān)控和分析，設(shè)計了EXPOSURE檢測系統(tǒng)，并對多種惡意域名和僵尸網(wǎng)絡(luò)進行了檢測分析。Antonakakis和Dagon等人[29]提出基于動態(tài)信譽的惡意域名檢測系統(tǒng)Notos。Notos有效解決了靜態(tài)域名黑名單的局限性，通過對遞歸DNS服務(wù)器的證據(jù)進行統(tǒng)計分析，并映射到對應(yīng)的信譽評分機制，從而對惡意域名和合法域名進行有效識別。Notos同時統(tǒng)計給出了DNS中名稱空間和地址空間的相關(guān)性。

隨著新興網(wǎng)絡(luò)的崛起，建立基于全球監(jiān)控的DNS惡意行為檢測系統(tǒng)的重要性變得越來越突出?；诖耍珹ntonakakis和Perdisc等人[30]提出了基于全球監(jiān)控的惡意域名檢測系統(tǒng)Kopis。Kopis系統(tǒng)主要作用于DNS層次結(jié)構(gòu)的上層，可以實現(xiàn)貫穿整個DNS層次結(jié)構(gòu)的預(yù)警，能夠檢測即將發(fā)生的惡意域名。Kopis系統(tǒng)的檢測機制包括兩個步驟：及時檢測到DNS層次結(jié)構(gòu)高層次中的惡意域名；檢測遞歸級別中與DGA相關(guān)的惡意域名。Kopis系統(tǒng)能夠被TLD和ANS操作者獨立操作進行惡意域名檢測，使得DNS運營商能夠獨立的部署系統(tǒng)，并檢測其權(quán)限域中的惡意域名?；谕瑯拥脑?，為了對釣魚攻擊等惡意域名進行檢測，Shuang等人[31]從DNS系統(tǒng)頂層域名服務(wù)器角度出發(fā)研究了全球DNS查詢模式。

3.2 基于DNS數(shù)據(jù)挖掘的檢測系統(tǒng)

DNS流量分析技術(shù)主要表現(xiàn)為對DNS數(shù)據(jù)已有的數(shù)據(jù)特征進行解析。而隨著DNS數(shù)據(jù)多樣化、爆發(fā)式的增長，DNS數(shù)據(jù)特征變得越來越隱蔽，這使得DNS流量分析技術(shù)越來越難以對其進行有效分析。

基于此，DNS數(shù)據(jù)挖掘技術(shù)被提出。DNS數(shù)據(jù)挖掘技術(shù)能夠深入挖掘DNS數(shù)據(jù)特征，從而實現(xiàn)對DNS惡意行為的檢測。Rahbarinia等人[32]提出了Segugio防御系統(tǒng)，對大規(guī)模ISP網(wǎng)絡(luò)中新的惡意域名進行了有效追蹤。Segugio防御系統(tǒng)首先建立DNS查詢域名的二分圖，然后利用這個二分圖進行惡意域名檢測。Segugio被部署在服務(wù)數(shù)百萬用戶的大型ISP網(wǎng)絡(luò)上，其能夠有效追蹤新惡意域名，準確率(TPs)到了94%，誤檢率(FPs)僅有0.1%。此外，Segugio還具有以下特點：1)Segugio能夠?qū)π碌膼阂庥蛎暹M行檢測，并到達了85% TPs，0.1% FPs；2)從一個ISP網(wǎng)絡(luò)學(xué)習訓(xùn)練成的Segugio模型也適用于其他不同的ISP網(wǎng)絡(luò)，并且仍具有較高的識別率；3)可對新的惡意域名進行提前檢測，這些域名數(shù)天甚至數(shù)周后才出現(xiàn)在大型商業(yè)域名的黑名單中；4)Segugio明顯優(yōu)于常規(guī)使用Notos系統(tǒng)。

通常同一個僵尸網(wǎng)絡(luò)的“肉機”將會產(chǎn)生相似的非存在域名(NXDomain)網(wǎng)絡(luò)流量。Antonakakis等人[33]基于此，利用聚類和分類算法對僵尸網(wǎng)絡(luò)產(chǎn)生NXDomain的響應(yīng)進行聚類分析，提出了一種新的動態(tài)隨機域名生成機制，并建立了原型系統(tǒng)Pleiades。通過在實際應(yīng)用中對Pleiades進行評估(DNS流量來自于北美ISPs供應(yīng)商)，該系統(tǒng)發(fā)現(xiàn)了12個DGAs，其中一半是已知(僵尸網(wǎng)絡(luò))DGAs，另一半是以前未報告的新DGAs。

由于廉價存儲、法證分析、合法性等原因，企業(yè)會定期收集與安全相關(guān)的數(shù)據(jù)，如網(wǎng)絡(luò)日志、應(yīng)用日志等，因此通過分析這些大數(shù)據(jù)集以識別可控的安全信息從而提高企業(yè)的安全逐漸成為一種通用的方法。Manadhata和Yadav等人[34]提出了一個惡意域名檢測系統(tǒng)。該系統(tǒng)將檢測問題建模為圖推理問題，通過將代理日志構(gòu)建為主機域名圖，利用最小區(qū)域真實信息提取圖，并利用置信傳播估計惡意域名的邊緣概率，可以對通過企業(yè)HTTP代理日志訪問企業(yè)主機的惡意域名進行有效檢測。Begleiter和Elovici等人[24]提出了一種快速、可擴展的大規(guī)模DNS日志威脅的檢測技術(shù)。其核心思想為：通過建立基于日志一個語言模型，并從大數(shù)據(jù)集中不斷學(xué)習“正?！庇蛎?，從而得出DNS查詢大數(shù)據(jù)流的域名“異?！背潭?。該技術(shù)在純域名生成算法生成的域名檢測中取得了良好的效果。

4 展望

域名服務(wù)系統(tǒng)作為互聯(lián)網(wǎng)最重要的基礎(chǔ)設(shè)施之一，因其核心基礎(chǔ)性，常常被各種惡意行為所利用，如僵尸網(wǎng)絡(luò)、欺騙攻擊、誤植域名注冊等。本文通過對DNS惡意行為安全檢測技術(shù)和檢測系統(tǒng)進行分析和分類介紹，為DNS安全檢測提供了參考。DNS安全檢測技術(shù)的未來發(fā)展將主要集中在以下兩點。

1)高級持續(xù)性攻擊(Advanced Persistent Threat，APT)檢測已經(jīng)成為業(yè)界關(guān)注的焦點。由于APT通常利用DNS服務(wù)器連接回遠程命令與控制中心，進而對網(wǎng)絡(luò)實施滲透。因此如何通過對DNS服務(wù)器進行安全防護，以防止其被APT攻擊所利用具有重要的研究意義。

2)國內(nèi)外安全公司360、OPENDNS等都爭相展開了基于威脅情報的DNS防護技術(shù)的研究?；谕{情報的DNS防護技術(shù)利用大數(shù)據(jù)技術(shù)并結(jié)合專家分析、可視化分析建立DNS威脅情報庫，從而形成了準確全面的DNS基礎(chǔ)數(shù)據(jù)，將是未來發(fā)展的重要方向之一。

參考文獻

[1] Antonakakis M, Perdisci R, Nadji Y, et al. From throwaway traffic to bots: Detecting the rise of DGA-based malware[C]//Usenix Security Symposium，2012:24-24

[2] Guerid H, Mittig K, Serhrouchni A. Privacypreserving domain-flux botnet detection in a large scale network[C]//Fifth International Conference on Communication Systems and Networks. IEEE, 2013:1-9

[3] Sato K, Ishibashi K, Toyono T, et al. Extending black domain name list by using co-occurrence relation between DNS queries[J]. LEICE Transactions on Communications, 2012, E95B(3):8-8

[4] Schiavoni S, Maggi F, Cavallaro L, et al. Phoenix: DGA-based botnet tracking and intelligence[M]//Detection of Intrusions and Malware, and Vulnerability Assessment，2014:192-211

[5] Yadav S, Reddy A K K, Reddy A L N, et al. Detecting algorithmically generated domain-flux attacks with DNS traffic analysis[J].IEEE/ACM Transactions on Networking, 2012, 20(5):1663-1677

[6] Zhou Y, Li Q, Miao Q, et al. DGA-based botnet detection using DNS traffic[J]. Journal of Internet Services and Information Security (JISIS), 2013, 3(3/4): 116-123

[7] Sharifnya R, Abadi M. A novel reputation system to detect DGA-based botnets[C]//International Econference on Computer and Knowledge Engineering.IEEE, 2013:417-423

[8] Sharifnya R, Abadi M. DFBotKiller. Domain-Flux botnet detection based on the history of group activities and failures in DNS traffic[J].Digital Investigation, 2015,12(12):15-26

[9] Hsu C H, Huang C Y, Chen K T. Fast-Flux bot detection in real time[C]//Recent Advances in Intrusion Detection,International Symposium, RAID 2010, Ottawa, Ontario,Canada, September 15-17, 2010. Proceedings.2010:464-483

[10] Celik Z B, Oktug S. Detection of Fast-Flux Networks using various DNS feature sets[C]//2013 IEEE Symposium on Computers and Communications (ISCC).IEEE Computer Society, 2013:000868-000873

[11] Mowbray M, Hagen J. Finding domain-generation algorithms by looking at length distribution[C]//Software Reliability Engineering Workshops (ISSREW), 2014 IEEE International Symposium on. IEEE, 2014: 395-400

[12] Zou F, Zhang S, Rao W. Hybrid detection and tracking of Fast-Flux botnet on domain name system traffic[J].China Communications, 2013, 10(11):81-94

[13 Banerjee A, Rahman M S, Faloutsos M. SUT:Quantifying and mitigating URL typosquatting[J].Computer Networks the International Journal of Computer & Telecommunications Networking, 2011,55(13):3001-3014

[14] Khan M T, Huo X, Li Z, et al. Every second counts:Quantifying the negative externalities of cybercrime via typosquatting[J]. 2015:135-150

[15] Tingwen Liu, Yang Zhang, Jinqiao Shi, et al. Towards Quantifying Visual Similarity of Domains for Combating Typosquatting Abuse

[16] Lee J, Lee H. GMAD: Graph-based Malware Activity Detection by DNS traffic analysis[J].Computer Communications, 2014, 49(12):33-47

[17] Jiang N, Cao J, Jin Y, et al. Identifying suspicious activities through DNS failure graph analysis[C]//IEEE International Conference on Network Protocols. IEEE Computer Society, 2010:144-153

[18] Zou F, Zhang S, Rao W, et al. Detecting malware based on DNS graph mining[J].International Journal of Distributed Sensor Networks, 2015, 2015:1-12

[19] Gao H, Yegneswaran V, Chen Y, et al. An empirical reexamination of global DNS behavior[J].ACM SIGCOMM Computer Communication Review, 2013,43(4):267-278

[20] Gao H, Yegneswaran V, Jiang J, et al. Reexamining DNS from a global recursive resolver perspective[J].IEEE/ACM Transactions on Networking, 2016, 24(1):43-57

[21] Kührer M, Rossow C, Holz T. Paint it black: Evaluating the effectiveness of malware blacklists[M]// Research in Attacks, Intrusions and Defenses. 2014:1-21

[22] Robert Edmonds, Eric Ziegast, Barry Greene. Join The Global Passive DNS(pDNS) Network Today and Gain Effective Tools To Fight Against Cyber Crime[EB/OL].[2016-07-16].http://www.isc.org/community/blog/201011/join-global-passive-dns-pdns-networktoday-gain-effective-tools-f i ght-against-

[23] Florian Weimer. Passive DNS Replication[EB/OL].[2016-07-16].http://www.enyo.de/fw/software/dnslogger/f i rst2005-paper.pdf

[24] Begleiter R, Elovici Y, Hollander Y, et al. A fast and scalable method for threat detection in large-scale DNS logs[C]//IEEE International Conference on Big Data.IEEE Computer Society, 2013:738-741

[25] Perdisci R, Corona I, Dagon D, et al. Detecting malicious flux service networks through passive analysis of recursive DNS traces[C]//Computer Security Applications Conference, 2009. ACSAC'09. Annual.IEEE, 2009: 311-320

[26] Thomas M, Mohaisen A. Kindred domains: detecting and clustering botnet domains using DNS traffic[C]//Companion Publication of the, International Conference on World Wide Web Companion, 2014:707-712

[27] Bilge L, Kirda E, Kruegel C, et al. EXPOSURE: Finding malicious domains using passive DNS analysis[C]//Network and Distributed System Security Symposium,NDSS 2011, San Diego, California, USA, February.2011

[28] Bilge L, Sen S, Balzarotti D, et al. EXPOSURE: A passive DNS analysis service to detect and report malicious domains[J]. ACM Transactions on Information& System Security, 2014, 16(4):289-296

[29] Antonakakis M, Perdisci R, Dagon D, et al. Building a dynamic reputation system for DNS[C]//Usenix Security Symposium, Washington, DC, USA, August 11-13,2010:273-290

[30] Antonakakis M, Perdisci R, Lee W, et al. Detecting malware domains at the upper DNS hierarchy[C]//Usenix Conference on Security, 2011:27-27

[31] ShuangHao, Nick Feamster, RamakantPandrangi.An Internet-wide View into DNS Lookup Patterns[EB/OL].[2016-07-16].http://labs.verisigninc.com/projects/malicious-domain-names.html

[32] Rahbarinia B, Perdisci R, Antonakakis M. Segugio:Efficient behavior-based tracking of malware-control domains in large ISP networks[C]//2015 45th Annual IEEE/IFIP International Conference on Dependable Systems and Networks. IEEE, 2015: 403-414

[33] Antonakakis E K. Improving internet security via largescale passive and active DNS monitoring[C]// Georgia Institute of Technology, 2012

[34] Manadhata P, Yadav S, Rao P, et al. Detecting malicious domains via graph inference[C]//The Workshop on Artificial Intelligent and Security Workshop. ACM,2014:1-18