閆志豪，劉京菊，郭 徽，郭兵陽

1.國防科技大學(xué) 電子對抗學(xué)院，合肥 230037

2.網(wǎng)絡(luò)空間安全態(tài)勢感知與評估安徽省重點實驗室，合肥 230037

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和用戶體量的急劇增長在給互聯(lián)網(wǎng)內(nèi)容提供商（Internet content provider，ICP）帶來機遇的同時也帶來了巨大的挑戰(zhàn)。CDN技術(shù)的出現(xiàn)，極大地改善了由廣分布、大體量用戶訪問所帶來的網(wǎng)絡(luò)擁堵、服務(wù)器過載和高延遲等問題。目前全球CDN服務(wù)商在世界各地部署的數(shù)萬臺服務(wù)器在提供服務(wù)的同時也構(gòu)成了互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的關(guān)鍵部分。CDN的大范圍應(yīng)用也給網(wǎng)絡(luò)空間帶來了新的安全挑戰(zhàn)，2019年Nguyen等人[1]發(fā)現(xiàn)了一種針對CDN的新型緩存系統(tǒng)中毒攻擊，2020年Li等人[2]提出了一種針對CDN的HTTP范圍請求放大攻擊。CDN域名識別作為檢測、防御針對CDN攻擊的第一步，同時也是網(wǎng)絡(luò)空間測繪的重要一步，對于了解CDN的體系結(jié)構(gòu)、業(yè)務(wù)性能和技術(shù)演變至關(guān)重要。

目前國內(nèi)外學(xué)者針對CDN域名識別提出的方法主要有：Huang[3]和Adhikari[4]等人使用規(guī)范名稱記錄（canonical name record，CNAME）的特征對采用指定服務(wù)商的CDN域名進行識別。Guo等人[5]使用服務(wù)器返回的HTTP錯誤消息來發(fā)現(xiàn)CDN節(jié)點。B?ttger等人[6]通過猜測CDN邊緣服務(wù)器的命名規(guī)則來構(gòu)造主機名，并執(zhí)行DNS探測以獲得更多的節(jié)點IP。這些方法雖然簡單有效，可以獲取一個或幾個特定CDN服務(wù)商的數(shù)據(jù)來衡量CDN的規(guī)模和性能，但它們的識別范圍非常有限，只能識別部分特定的CDN域名。

Chen等人[7]針對CDN域名和Fast-Flux（FF）域名區(qū)分困難的問題，基于長短期記憶網(wǎng)絡(luò)（long short-term memory，LSTM）網(wǎng)絡(luò)，根據(jù)域名特征、經(jīng)驗信息、地理和時間相關(guān)特征對FF域名和CDN域名進行了區(qū)分。Li等人[8]根據(jù)域名系統(tǒng)記錄相關(guān)特征基于機器學(xué)習(xí)識別CDN域名，但需要多地域多節(jié)點對目標進行數(shù)據(jù)獲取，并手工識別大量CDN域名構(gòu)建樣本集。

因此，如何以較低的代價對大規(guī)模的CDN域名進行識別仍是一個亟待解決的問題。由于CDN技術(shù)依托于域名系統(tǒng)實現(xiàn)，通過對域名系統(tǒng)的相關(guān)記錄和數(shù)據(jù)進行分析，能夠獲取CDN域名特征進而進行有效識別。域名系統(tǒng)作為互聯(lián)網(wǎng)重要基礎(chǔ)設(shè)施之一，數(shù)據(jù)和記錄類型多樣，網(wǎng)絡(luò)結(jié)構(gòu)之間存在復(fù)雜的依賴關(guān)系，而知識圖譜（knowledge graph，KG）作為一種用圖模型來描述知識和建模世界萬物之間的關(guān)聯(lián)關(guān)系的技術(shù)方法，擅長對多源異構(gòu)數(shù)據(jù)和復(fù)雜關(guān)系進行表征和利用。

因此，本文針對CDN域名識別的問題，引入知識圖譜構(gòu)建、知識推理等關(guān)鍵技術(shù)，提出構(gòu)建域名系統(tǒng)知識圖譜方案。旨在將涉及域名系統(tǒng)的多源異構(gòu)數(shù)據(jù)通過知識圖譜進行統(tǒng)一利用和分析，進而在域名數(shù)據(jù)中尋找CDN服務(wù)特征并進行大規(guī)模CDN域名識別。

1 CDN特征分析

1.1 CDN系統(tǒng)概述

域名系統(tǒng)作為廣泛應(yīng)用于互聯(lián)網(wǎng)的分布式名稱解析系統(tǒng)，提供了域名和IP地址之間的轉(zhuǎn)換服務(wù)。CDN技術(shù)基于域名系統(tǒng)，在其上采用分布式方式構(gòu)建用于承載業(yè)務(wù)的服務(wù)器集群。通過中央平臺的負載均衡、內(nèi)容分發(fā)調(diào)度等功能模塊，用戶可以就近獲取所需內(nèi)容，降低內(nèi)容擁塞，提高用戶訪問的響應(yīng)速度和命中率[9]。

啟用CDN服務(wù)的域名解析結(jié)構(gòu)如圖1所示。用戶請求訪問域名時，域名權(quán)威DNS會根據(jù)配置好的CNAME記錄，使其跳轉(zhuǎn)至CDN系統(tǒng)，轉(zhuǎn)而請求其CNAME記錄的IP地址。然后CDN系統(tǒng)會根據(jù)用戶位置，采用全局負載均衡技術(shù)返回距離用戶較近的緩存內(nèi)容服務(wù)器的IP地址。

圖1 CDN服務(wù)結(jié)構(gòu)Fig.1 CDN service architecture

因此CDN服務(wù)商通常維護著內(nèi)容和DNS兩種類型不同的服務(wù)器。內(nèi)容服務(wù)器復(fù)制了原始Web服務(wù)器上的內(nèi)容，對客戶的請求進行響應(yīng)。DNS服務(wù)器向客戶返回距離最近的內(nèi)容服務(wù)器。

1.2 CNAME模式特征分析

CNAME是域名系統(tǒng)的一種記錄，用于將一個域名映射到另外一個域名，域名解析服務(wù)器遇到CNAME記錄時會以映射到的目標重新開始查詢[10]。

根據(jù)CDN域名使用CNAME記錄轉(zhuǎn)入CDN系統(tǒng)的特征，本文通過對Alexa前100萬域名及其“www.”子域名的CNAME記錄進行查詢獲取，根據(jù)實際數(shù)據(jù)統(tǒng)計分析其模式特征和對應(yīng)用途，在其中尋找CDN服務(wù)特征。

1.2.1 子域名及其CNAME的主域分析

（1）子域名和其CNAME同屬一個主域

在共計93.3萬子域名中共有35.7萬域名擁有CNAME記錄，其中有26.1萬條記錄的子域名和CNAME同屬一個主域，且有24.9萬條將CNAME記錄設(shè)置為子域名的主域名。

該類型CNAME的設(shè)置主要是為了便于在同一個IP地址上運行多種服務(wù)的情況，例如，如果需要同時運行文件傳輸服務(wù)和Web服務(wù)，則可以使用CNAME記錄把ftp.example.com和www.example.com都指向example.com。后者擁有指向IP地址的A記錄，當需要更改時，直接更改example.com的A記錄便可修改整個服務(wù)對應(yīng)IP地址的映射。

（2）子域名和其CNAME屬不同主域

在9萬多條子域名和其CNAME屬不同主域的記錄中，大于20個子域名的CNAME指向同一域名的記錄超過2.5萬條。表1中列出了被指向次數(shù)最多的10個域名。

表1 CNAME被指向次數(shù)最多的10個域名Table 1 Top 10 domains with CNAME record

此類型的CNAME記錄，主要目的是實現(xiàn)某種特定的功能。例如在使用Google企業(yè)套件和Google AppEngine時，如果要綁定自己申請的獨立域名，就需要將域名CNAME解析到ghs.google.com，因此出現(xiàn)6 795次的CNAME記錄指向域名ghs.google.com。

1.2.2 CNAME字符表現(xiàn)特征

針對子域名和其CNAME是否同屬一個域的情況，分別對子域名和CNAME域名中的字母、數(shù)字、點字符和連字符進行統(tǒng)計，其結(jié)果如表2所示。

為了更直觀地展現(xiàn)它們的區(qū)別，圖2中將平均數(shù)字個數(shù)和平均連字符個數(shù)放大了10倍?？梢悦黠@得出同屬一個主域的情況下子域名和其CNAME的各類字符串統(tǒng)計特征無過大差別。但屬于不同主域時CNAME的各項字符統(tǒng)計特征均高于其他幾項。

圖2子域名和CNAME字符統(tǒng)計特征Fig.2 Subdomain and CNAME character statistics feature

同屬一個域的情況下，有超過95%的CNAME記錄設(shè)置為域的主域名，因此子域名和CNAME的字符統(tǒng)計特征無異常。但在屬不同主域的情況下，CDN服務(wù)商維護著大量的服務(wù)器，域名采用CDN服務(wù)時，為了方便管理和映射，通常會特征化內(nèi)容服務(wù)器域名。因此，內(nèi)容服務(wù)器在域名構(gòu)成上表現(xiàn)出與普通域名不同的特點，其域名部分包含了更多的字母、數(shù)字、點和連字符。該特征是判斷CDN域和CDN域名的一個重要特征。這種情況下也可細分為兩種特征化內(nèi)容服務(wù)器域名的情況：

（1）基于子域名特征化內(nèi)容服務(wù)器域名

根據(jù)子域名的字符特征，即使用子域名的部分或全部字符串作為內(nèi)容服務(wù)器域名的前綴。如圖3所示，針對CDN服務(wù)商Cloudflare的CNAME記錄進行統(tǒng)計分析，發(fā)現(xiàn)子域名的字符長度表現(xiàn)特征和CNAME長度表現(xiàn)特征相同，原因為Cloudflare的內(nèi)容服務(wù)器域名設(shè)置規(guī)則將子域名作為.cdn.cloudflare.net的前綴。例如查詢子域名www.shein.com的CNAME記錄為www.shein.com.cdn.cloudflare.net。

圖3 采用Cloudflare的子域名和CNAME域名長度Fig.3 Subdomain and CNAME domain length in Cloudflare

（2）隨機生成字符串作為內(nèi)容服務(wù)器域名特征

部分CDN服務(wù)商使用隨機生成字符串作為內(nèi)容服務(wù)器的前綴。如圖4所示，針對CDN服務(wù)商Incapsula的CNAME記錄進行統(tǒng)計分析，發(fā)現(xiàn)CNAME長度集中在20和22個字符上，原因是其設(shè)置CNAME的規(guī)則為隨機生成長度5或者7的字符串作為.x.incapdns.net.incapdns.net的前綴，例如子域名www.kooora.com的CNAME記錄為foosc.x.incapdns.net.incapdns.net。

圖4 采用Incapsula的子域名和CNAME域名長度分布Fig.4 Subdomain and CNAME domain length in Incapsula

1.2.3 CNAME主域重合

由于域名是一種不可再生的有限資源，同時為了便于記憶和表現(xiàn)CDN服務(wù)商的特征，CDN服務(wù)商在采用特征化前綴的情況下，其CNAME域名后綴通常使用其擁有的特定域名。表3列出了CDN服務(wù)商Akamai和Amazon Cloudfront的CNAME設(shè)置常用后綴。因此，當CDN服務(wù)提供商為較多域名提供服務(wù)時，這些域名的CNAME記錄的后綴會集中到幾個主域上。該特征也是判斷CDN域和CDN域名的一個重要特征。

表3 Akamai和Amazon Cloudfront常用CNAME后綴Table 3 Akamai and Amazon Cloudfront CNAME suffixes

2 構(gòu)建域名系統(tǒng)知識圖譜

2.1 知識圖譜構(gòu)建過程

知識圖譜于2012年5月17日被Google正式提出[11]，主要是為了提高搜索引擎的搜索能力，在搜索時增強搜索質(zhì)量。知識圖譜由節(jié)點和邊組成，節(jié)點可以是實體或抽象的概念，邊表示實體的屬性或?qū)嶓w之間的關(guān)系。知識圖譜打破了不同場景下的數(shù)據(jù)隔離，為實際應(yīng)用提供基礎(chǔ)支持[12]。

針對知識圖譜的覆蓋范圍也可分為通用知識圖譜和領(lǐng)域知識圖譜。

不同領(lǐng)域知識圖譜數(shù)據(jù)的來源、格式、應(yīng)用和需求各不相同，因此沒有一套通用的標準和規(guī)范的構(gòu)建方法。根據(jù)領(lǐng)域知識圖譜和通用知識圖譜的互通之處，其生命周期可以分為六個階段[13]，如圖5所示。

圖5 領(lǐng)域知識圖譜生命周期Fig.5 Domain knowledge graph life cycle

知識建模是建立知識圖譜本體（Ontology）的過程。本體是指一種“形式化的，對于共享概念體系的明確而又詳細的說明”，本質(zhì)上是對特定領(lǐng)域之中某套概念及其相互之間關(guān)系的形式化表達。知識建模通常有兩種構(gòu)建方式[14]：一種是先從最頂層概念構(gòu)建本體模型，逐步細化后添加實體的自頂向下（Top-Down）方法。另一種則是自底向上（Bottom-Up）的方法，即先對實體進行歸納，而后形成底層概念，并逐步向上抽象形成本體。

知識存儲是針對構(gòu)建完成的本體指定底層存儲方式，根據(jù)領(lǐng)域特征選擇合適的存儲方案和存儲介質(zhì)。而后針對不同來源的不同數(shù)據(jù)進行知識抽取，形成知識并進行存儲。最后將知識進行對齊、合并，形成統(tǒng)一的標識和關(guān)聯(lián)來提高知識圖譜的整體質(zhì)量，進而形成最終的知識圖譜。

知識圖譜通過構(gòu)建揭示實體之間關(guān)系的語義網(wǎng)絡(luò)，實現(xiàn)對現(xiàn)實世界的事物及其相互關(guān)系進行形式化的描述，提供了一種更好地組織、管理和理解互聯(lián)網(wǎng)海量信息的能力[15]。例如，賈焰等人[16]提出了一種構(gòu)建網(wǎng)絡(luò)安全知識圖譜的實用方法。Najafi等人[17]通過構(gòu)建DNS日志知識圖譜來檢測威脅。

因此針對域名系統(tǒng)構(gòu)建知識圖譜可將多源異構(gòu)數(shù)據(jù)構(gòu)建成一個整體，進而對域名系統(tǒng)的多源數(shù)據(jù)和復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)進行分析和利用。

2.2 本體構(gòu)建

本文針對域名系統(tǒng)構(gòu)建領(lǐng)域知識圖譜，因為域名系統(tǒng)涉及的實體和關(guān)系較為清楚，采用了自頂向下的方法：首先構(gòu)建域名系統(tǒng)本體，基于構(gòu)建的本體進行數(shù)據(jù)收集并從中抽取知識用以構(gòu)建域名系統(tǒng)知識圖譜。本文參照斯坦福大學(xué)提出七步法[18]構(gòu)建域名系統(tǒng)本體。

Syed等人[19]提出了一種統(tǒng)一的網(wǎng)絡(luò)安全本體（unified cybersecurity ontology，UCO），旨在支持網(wǎng)絡(luò)安全系統(tǒng)中的信息集成和網(wǎng)絡(luò)態(tài)勢感知。但是其抽象程度較高，側(cè)重點不在于域名系統(tǒng)，本文僅復(fù)用UCO的部分類和屬性。

隨后確定域名系統(tǒng)的實體類和屬性及其約束。針對域名系統(tǒng)所涉及的要素，考慮域名系統(tǒng)的解析流程和層次特性，創(chuàng)建如圖6所示本體模型，其中各字段所表達含義如表4所示。

表4 域名系統(tǒng)本體的節(jié)點和關(guān)系Table 4 Nodes and relationships of DNS ontology

圖6 域名系統(tǒng)本體模型Fig.6 DNS ontology model

2.3 CDN域名推理規(guī)則

知識圖譜使用KG表示，定義KG={＜E,R,P＞},其中：

（1）E={ei|i=1,2,…,n},E是實體（Entities）的集合，如Country、Domain、Organization等。

（2）R={rij|i,j=1,2,…,n},R是關(guān)系（Relationships）的集合，rij表示從節(jié)點ei到節(jié)點ej的關(guān)系，如Control、OriginateFrom、Location等。

（3）P={＜ei,pj,vk＞},P是實體屬性（Properties）值對的集合。＜ei,pj,vj＞,表示實體ei的一項屬性pj的值為vk。

本文將CDN域名作為SubDomain節(jié)點的一種屬性進行表示，從而CDN域名的識別問題可以轉(zhuǎn)化為域名系統(tǒng)知識圖譜SubDomain節(jié)點的屬性推理問題。當SubDomain節(jié)點ei是CDN域名時，為其添加P={＜ei,DomainClass,CDN＞}。

對于CDN域名的判定，根據(jù)CDN服務(wù)特性，首先排除域名和其CNAME同屬一個主域的情況。其次根據(jù)CNAME主域重合的特征，識別出可能作為CDN服務(wù)商管轄的主域，進而根據(jù)CNAME的字符特征確定。

（1）CNAME主域重合特征，可分為三種情況如圖7所示。分別為：

圖7 CNAME主域重合的三種情況Fig.7 Three situations of CNAME primary domains overlap

①多個域名的CNAME記錄指向同一個域名，該情況不屬于CDN域名特征。

②多個域名的CNAME記錄不同，但是存在CNAME鏈使其指向同一個域名，類比情況①不屬于CDN域名特征。

③多個域名的CNAME不同，且不存在CNAME鏈，CNAME的主域相同，該情況屬于CDN域名特征。

根據(jù)三種可能出現(xiàn)的情況，定義了CDN服務(wù)商主域的推理規(guī)則：

式中，pi,vj代表域名節(jié)點ei的屬性值對，針對Domain Zone節(jié)點ei，求所有通過authorized_by關(guān)系rgh到達節(jié)點ei的節(jié)點eh，同時要求eh是通過cname關(guān)系rhi被指向的cname域名。每存在這樣一條路徑便會增加節(jié)點ei是CDN域的可能性。π為所有通過關(guān)系authori zed_by可達ei的節(jié)點，ω是路徑帶來的可能性增量。如果Score(pij,vj)≥τ,τ為閾值，則判定節(jié)點ei是CDN域。判斷域名是否屬于CDN域名則判斷其CNAME記錄是否設(shè)置為CDN域下的子域名。

3 實驗分析

3.1 知識獲取

針對CDN服務(wù)的性質(zhì)，個人和組織日常訪問頻次較多的域名開啟CDN服務(wù)的可能性較大，所以本文基于Alexa的前100萬域名進行數(shù)據(jù)獲取，實例化知識圖譜。初始化域名共包含91萬個主域名和2.4萬個子域名。其數(shù)據(jù)集中針對CDN域名一般開啟在子域名上的特征，本文將910 015個主域名進行擴展，加入其“www.”子域名。模型實例初始域名共包含91萬主域名和93.4萬子域名。

從初始域名開始，對DNS系統(tǒng)負責解析的域名服務(wù)器進行數(shù)據(jù)收集，主要包括A記錄解析Web服務(wù)器、NS記錄解析權(quán)威域名服務(wù)器、MX記錄解析電子郵件服務(wù)器。通過搭建本地域名服務(wù)器，使用dig命令對域名相關(guān)記錄信息進行查詢。

針對共93.3萬域名，對其A記錄進行查詢，共獲取48萬個唯一的IP地址，同時添加110萬條域名和IP對應(yīng)A解析記錄的關(guān)系。

對于域名的名稱服務(wù)器，獲取NS記錄中所有的名稱服務(wù)器，并添加和權(quán)威域名服務(wù)器的關(guān)系。針對原始域名的91萬個域空間，共獲取到權(quán)威域名服務(wù)器11.4萬個，名稱服務(wù)器21萬個。添加權(quán)威域名到名稱服務(wù)器的關(guān)系84.9萬個。

對93萬個子域名進行CNAME記錄查詢，共發(fā)現(xiàn)35萬個域名存在CNAME記錄，其中子域名的主域和CNAME域名主域相同的有26萬條記錄，不同的有9萬條數(shù)據(jù)，將其CNAME添加為子域名節(jié)點，并添加CNAME關(guān)系。

MX記錄存儲電子郵件服務(wù)器的地址，對電子郵件客戶端向收件人發(fā)送電子郵件時提供IP解析記錄。對于每一個域，獲取其MX記錄，添加電子郵件服務(wù)器節(jié)點和域名到電子郵件服務(wù)器的MX解析記錄的關(guān)系。

自治域（autonomous system，AS）是自主決定內(nèi)部網(wǎng)絡(luò)協(xié)議的IP網(wǎng)絡(luò)和路由器的集合。使用歐洲網(wǎng)絡(luò)協(xié)調(diào)中心（RIPE network coordination centre，RIPE NCC）的RIPEStat（Information about specific IP addresses and prefixes.https：//stat.ripe.net/.）數(shù)據(jù)庫服務(wù)查詢IP所屬的AS自治域。對于每個AS，創(chuàng)建一個AS節(jié)點，并添加一條IP地址到AS自治域的originate_from關(guān)系。通過MaxMind公司的GeoIP（IP Geolocation and Online Fraud Prevention.http：//dev.maxmind.com/.）數(shù)據(jù)庫，將國家和組織信息加入知識圖譜中。對每個IP查找其所屬組織和其地理位置，并通過地理位置和國家相關(guān)聯(lián)。

3.2 生成域名系統(tǒng)知識圖譜

針對域名系統(tǒng)的特征，主要對域名系統(tǒng)中的IP地址、DNS服務(wù)器、機構(gòu)、地理位置等相關(guān)數(shù)據(jù)進行獲取和處理。由于網(wǎng)絡(luò)基礎(chǔ)設(shè)施和相關(guān)數(shù)據(jù)類型的確定性，涉及到的大多數(shù)據(jù)類型均為結(jié)構(gòu)化數(shù)據(jù)采用基于規(guī)則與字典的方法進行實體抽取。

根據(jù)定義好的域名系統(tǒng)本體和收集分析得到的相關(guān)知識，進行域名系統(tǒng)知識圖譜構(gòu)建。域名系統(tǒng)知識圖譜采用NoSQL數(shù)據(jù)庫Neo4j進行存儲，基于Neo4j實現(xiàn)的數(shù)據(jù)模型具有靈活可變的特性。模型擴展只是在數(shù)據(jù)模型中創(chuàng)建額外的節(jié)點、關(guān)系和屬性，不需要對模式進行更改或重新對數(shù)據(jù)庫進行規(guī)范化。圖形模式匹配查詢可以用Neo4j所具有的查詢語言（Cypher）表示。

如圖8所示，通過Neo4j圖數(shù)據(jù)庫查詢和baidu.com域相關(guān)的節(jié)點，共包含15個DNS域、4個NS域名服務(wù)器、3個MX域名服務(wù)器、7個子域名、2個IP地址等34個節(jié)點和68條關(guān)系。由此可見，域名系統(tǒng)相關(guān)數(shù)據(jù)類型較多，且關(guān)聯(lián)關(guān)系豐富，使用知識圖譜能夠較好地將各類數(shù)據(jù)進行統(tǒng)一建模表征，實現(xiàn)較好的展現(xiàn)效果和更快捷的查詢。

圖8 baidu.com域在知識圖譜中的展示實例圖Fig.8 DNS zone baidu.com in knowledge graph

3.3 識別CDN域名

針對Alexa前100萬域名構(gòu)建的域名系統(tǒng)知識圖譜，在其之上進行CDN域名識別，共識別出CDN域名37 600個，涉及170個可能為CDN域名服務(wù)商的TLD，其中出現(xiàn)次數(shù)最多的10個主域名如表5所示。

表5 出現(xiàn)次數(shù)最多的10個主域名Table 5 Top 10 DNS Zone

對識別結(jié)果的評價，為了兼顧測試集的多樣性和準確性，避免測試集中存在較多非CDN域名對實驗結(jié)果產(chǎn)生大幅度影響。

本文根據(jù)各種不同的類型，選取不同數(shù)量的域名構(gòu)成樣本集。分別從算法識別出的CDN域名、沒有CNAME記錄的域名和擁有CNAME記錄且識別為非CDN域名中各隨機選取600、200和200個，共計1 000個域名構(gòu)成測試樣本。

并通過參考第三方CDN識別網(wǎng)站和基于多地域Ping的人工識別的方式對測試樣本進行CDN域名識別，最終形成測試集。從而計算模型識別結(jié)果的準確率（Precision）、召回率（Recall）和F1值，結(jié)果如表6所示。

表6 識別結(jié)果Table 6 Recognition result

在構(gòu)成的測試集中，識別的準確率、召回率和F1值均達到85%以上，證明了本文基于知識圖譜在大規(guī)模數(shù)據(jù)集上可以達到較好的識別結(jié)果。同時如表7所示，和其他方法進行對比，在不需要手工構(gòu)建大量樣本集的前提下便可實現(xiàn)大規(guī)模不限定范圍的CDN域名識別。同時本文所有數(shù)據(jù)僅基于單節(jié)點的DNS記錄查詢，可以實現(xiàn)以更小的代價達到CDN域名檢測的目的。

表7 方法對比Table 7 Method comparison

4 結(jié)束語

本文針對CDN域名大規(guī)模識別的問題，提出基于域名系統(tǒng)知識圖譜的CDN域名識別技術(shù)。通過知識圖譜可以對多源異構(gòu)數(shù)據(jù)進行統(tǒng)一建模利用的特性，構(gòu)建域名系統(tǒng)知識圖譜，針對域名系統(tǒng)相關(guān)數(shù)據(jù)進行深入分析尋找CDN域名特征，從而定義知識圖譜的屬性推理規(guī)則，達到識別CDN域名的效果。實驗表明，在構(gòu)建的百萬節(jié)點規(guī)模的知識圖譜之上，可以達到較好的識別精度，并且能夠?qū)DN攻擊進行影響范圍的評估，用以針對性地進行防御。未來工作可以考慮將域名系統(tǒng)擴展到網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施，構(gòu)建覆蓋面更廣的知識圖譜，豐富知識圖譜和推理規(guī)則，以達到更精準的CDN域名識別和更深層次的知識挖掘。