王迪

國(guó)網(wǎng)平頂山供電公司 河南平頂山 467000

隨著物聯(lián)網(wǎng)技術(shù)、AI技術(shù)和云技術(shù)的日漸普及，傳統(tǒng)互聯(lián)網(wǎng)模式正朝著“互聯(lián)網(wǎng)+設(shè)備”“互聯(lián)網(wǎng)+AI”“互聯(lián)網(wǎng)+云”的“互聯(lián)網(wǎng)+”趨勢(shì)轉(zhuǎn)變，萬(wàn)物互聯(lián)時(shí)代即將到來(lái)。Internet誕生到如今，域名系統(tǒng)所具備的作用已經(jīng)不單單是基本的解析功能，它已經(jīng)成為互聯(lián)網(wǎng)環(huán)境中重要的基礎(chǔ)設(shè)施和軟硬件技術(shù)系統(tǒng)的重要基石。然而，由于DNS的本身設(shè)計(jì)安全漏洞，下一代DNS也將面臨著更加嚴(yán)峻的安全挑戰(zhàn)。萬(wàn)物互聯(lián)時(shí)代將帶來(lái)對(duì)數(shù)據(jù)安全的防護(hù)變化，智能家居數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)、醫(yī)療生活設(shè)備數(shù)據(jù)等，甚至包括一些更敏感的關(guān)系到人身健康的數(shù)據(jù)。黑客不僅能夠利用域名系統(tǒng)的隱蔽通道來(lái)獲取這些數(shù)據(jù)，更能通過(guò)惡意指令更改醫(yī)療數(shù)據(jù)，對(duì)人身造成危害。此外，隨著萬(wàn)物互聯(lián)的不斷發(fā)展，DNS系統(tǒng)將面臨著大規(guī)模DDoS攻擊的風(fēng)險(xiǎn)?；ヂ?lián)網(wǎng)云安全也受到DNS攻擊的嚴(yán)重威脅，其中通過(guò)DNS欺騙并利用DNS隱蔽通道來(lái)獲取隱私數(shù)據(jù)的攻擊方式，對(duì)現(xiàn)有網(wǎng)絡(luò)云環(huán)境的域名集中管理能夠造成嚴(yán)重破壞，一旦云服務(wù)器受到DDOS攻擊，將會(huì)造成嚴(yán)重的損失。因此，DNS攻擊的有效檢測(cè)方式以及DNS安全防護(hù)手段的研究是保障DNS系統(tǒng)穩(wěn)定發(fā)展的重要使命。

1 DNS設(shè)計(jì)的安全局限性

域名系統(tǒng)的架構(gòu)中，其中域名服務(wù)器包含了域名樹(shù)的結(jié)構(gòu)信息以及設(shè)置相關(guān)信息的服務(wù)器程序；域名解析器包含對(duì)相應(yīng)域名請(qǐng)求，以及從服務(wù)器中得到相應(yīng)的查詢(xún)結(jié)果。在DNS域名系統(tǒng)剛開(kāi)始設(shè)計(jì)時(shí)，域名系統(tǒng)的相關(guān)協(xié)議并沒(méi)有充分考慮互聯(lián)網(wǎng)安全問(wèn)題。UDP協(xié)議在網(wǎng)絡(luò)信息的傳輸過(guò)程中并沒(méi)有對(duì)要傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密處理，沒(méi)有查詢(xún)相應(yīng)的網(wǎng)絡(luò)資源是否有防偽簽名，因此，攻擊者往往會(huì)通過(guò)注入網(wǎng)絡(luò)病毒、利用隱秘通道進(jìn)行數(shù)據(jù)監(jiān)聽(tīng)、惡意篡改網(wǎng)絡(luò)數(shù)據(jù)等行為來(lái)攻擊域名系統(tǒng)。

DNS系統(tǒng)的漏洞來(lái)自DNS系統(tǒng)工作原理、系統(tǒng)架構(gòu)和服務(wù)管理方面，在龐大的互聯(lián)網(wǎng)世界中，有大量的開(kāi)放DNS服務(wù)器并沒(méi)有相應(yīng)的安全驗(yàn)證和保護(hù)措施，因此這些開(kāi)放服務(wù)器在解析過(guò)程中存在嚴(yán)重的安全風(fēng)險(xiǎn)。另外，攻擊者利用DNS服務(wù)軟件的漏洞進(jìn)行攻擊也是一種常見(jiàn)的攻擊手段。此外，互聯(lián)網(wǎng)中龐大的第三方DNS服務(wù)器群體，沒(méi)有規(guī)范的管理和防護(hù)措施，也成為被攻擊的對(duì)象。

1.1 DNS安全管控的意義

互聯(lián)網(wǎng)技術(shù)發(fā)展的同時(shí)，DNS攻擊形式也越來(lái)越多，手段也越來(lái)越復(fù)雜。由于DNS系統(tǒng)架構(gòu)功能的多樣性及網(wǎng)絡(luò)設(shè)備的覆蓋性，一旦受到攻擊，將造成嚴(yán)重后果。因此，DNS攻擊安全檢測(cè)和安全防護(hù)是十分必要的，其相關(guān)研究也會(huì)越來(lái)越被人關(guān)注。大多數(shù)的網(wǎng)絡(luò)攻擊都是逐利的，網(wǎng)絡(luò)攻擊者會(huì)主動(dòng)攻擊DNS服務(wù)器，造成服務(wù)中斷，然后對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行持續(xù)攻擊，竊取企業(yè)關(guān)鍵信息，對(duì)被攻擊者造成數(shù)據(jù)、聲譽(yù)、用戶(hù)、經(jīng)濟(jì)等方面損失。據(jù)思科網(wǎng)絡(luò)安全報(bào)告顯示，網(wǎng)絡(luò)攻擊者能夠通過(guò)惡意攻擊手段在短時(shí)間內(nèi)控制十萬(wàn)臺(tái)網(wǎng)絡(luò)設(shè)備，來(lái)進(jìn)行大范圍的網(wǎng)絡(luò)攻擊。攻擊者會(huì)提前將這些惡意軟件放置在被攻擊者的設(shè)備內(nèi)存中，并會(huì)隨著用戶(hù)的開(kāi)、關(guān)機(jī)清除軟件攻擊痕跡，所以很難收集這些惡意程序的攻擊記錄和方式。

DNS攻擊檢測(cè)與安全防護(hù)的研究意義在于：(1)能夠及時(shí)發(fā)現(xiàn)攻擊并阻斷攻擊，確保DNS功能設(shè)備可運(yùn)行性；(2)增強(qiáng)DNS系統(tǒng)的防護(hù)能力，做到未雨綢繆；(3)促進(jìn)新的DNS系統(tǒng)防護(hù)理念和先進(jìn)性防護(hù)技術(shù)的發(fā)展。

1.2 常見(jiàn)DNS攻擊

在整個(gè)互聯(lián)網(wǎng)環(huán)境中擁有大量的DNS服務(wù)器群，并且許多都是開(kāi)放的DNS服務(wù)器。除了這些開(kāi)放服務(wù)器，還有大量非官方、個(gè)人的開(kāi)放DNS服務(wù)器。在域名解析過(guò)程中，會(huì)涉及不同級(jí)別和地區(qū)的域名服務(wù)器和解析程序，但卻沒(méi)有安全的鏈路對(duì)數(shù)據(jù)進(jìn)行傳輸，無(wú)法保證數(shù)據(jù)的真實(shí)性和完整性。因此，攻擊者可以利用漏洞進(jìn)行攻擊，竊取用戶(hù)的個(gè)人信息和瀏覽記錄等。

DNS攻擊對(duì)比分析表

1.3 惡意域名攻擊

傳統(tǒng)檢測(cè)惡意域名的方法成本高、周期長(zhǎng)、檢測(cè)手段單一，所以需要一種能夠從域名詞匯和域名訪問(wèn)角度提取多個(gè)特征，再基于惡意域名特征分類(lèi)來(lái)檢測(cè)的多樣化的檢測(cè)方法?，F(xiàn)有的檢測(cè)方法往往采用復(fù)雜特征提取的方法，結(jié)合多種檢測(cè)系統(tǒng)進(jìn)行多重檢測(cè)，雖然這種方式大大提升了檢測(cè)精度，但它卻需要增加檢測(cè)成本并在檢測(cè)速度上有很大的不足。本文的主要貢獻(xiàn)如下。

在進(jìn)行域名DNS解析提取之前，對(duì)域名進(jìn)行統(tǒng)一格式拆解，這可以保障數(shù)據(jù)格式的統(tǒng)一，提高模型廣泛適用性，并簡(jiǎn)化后續(xù)的域名特征位置向量、注冊(cè)信息等。這樣與正常的操作檢測(cè)效果相比，在一定程度上減少了所需提取的特征數(shù)量，同時(shí)提高了特征提取的速度。

網(wǎng)絡(luò)攻擊者會(huì)通過(guò)DGA算法產(chǎn)生惡意域名，這些域名在格式上與普通的域名有很大的差異，再利用這些差別來(lái)逃避相應(yīng)的安全檢測(cè)。通過(guò)設(shè)置不同的時(shí)間區(qū)間，然后觀察這些時(shí)間區(qū)間內(nèi)的域名訪問(wèn)數(shù)據(jù)，整理數(shù)據(jù)與常規(guī)域名訪問(wèn)的訪問(wèn)量進(jìn)行數(shù)據(jù)比較，通過(guò)數(shù)據(jù)對(duì)比找到差異，以此當(dāng)作判斷依據(jù)。當(dāng)網(wǎng)絡(luò)攻擊者使用DGA算法生成惡意域名時(shí)，可以很容易繞過(guò)傳統(tǒng)域名檢測(cè)特征，但網(wǎng)絡(luò)中的流量是可以被反映出來(lái)的。

2 DNS系統(tǒng)應(yīng)對(duì)攻擊的有效措施

針對(duì)DNS安全威脅的根源，本節(jié)總結(jié)和分析了近年來(lái)在協(xié)議、系統(tǒng)、檢測(cè)方法等方面的有效措施。

2.1 DNSSEC協(xié)議安全增強(qiáng)

為了解決DNS系統(tǒng)在數(shù)據(jù)傳輸過(guò)程中的真實(shí)性和完整性保護(hù)問(wèn)題，IETF提出了DNS安全增強(qiáng)方案DNSSEC。當(dāng)用戶(hù)收到域名信息時(shí)，同時(shí)也會(huì)收到對(duì)應(yīng)記錄的簽名，用戶(hù)可以根據(jù)簽名檢查數(shù)據(jù)的真實(shí)性和完整性。DNSSEC采用公鑰加密的方式對(duì)授權(quán)區(qū)域的數(shù)據(jù)進(jìn)行數(shù)字簽名，避免互聯(lián)網(wǎng)遭受偽造DNS數(shù)據(jù)的侵害。DNSSEC的身份驗(yàn)證功能，可以確保數(shù)據(jù)來(lái)自指定的源，并且在傳輸過(guò)程中未被修改，同時(shí)還可以檢測(cè)證明該域名的真實(shí)性。

雖然DNSSEC增強(qiáng)了DNS的安全性，但它并沒(méi)有形成一個(gè)完整的解決方案，它無(wú)法抵御分布式拒絕服務(wù)(DDoS)攻擊，無(wú)法確保信息交換的機(jī)密性，無(wú)法加密網(wǎng)站數(shù)據(jù)，也無(wú)法防止IP地址欺騙和網(wǎng)絡(luò)釣魚(yú)。為了保障互聯(lián)網(wǎng)的安全，還需要其他的防護(hù)措施來(lái)配合DNSSEC使用，例如DDoS攻擊緩解、SSL加密、站點(diǎn)身份驗(yàn)證以及雙重身份驗(yàn)證等。

2.2 傳輸?shù)男畔⒈Ｃ苄?/h3>

目前DNS系統(tǒng)所采用的UDP數(shù)據(jù)傳輸協(xié)議雖然能夠進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的傳輸，但UDP協(xié)議在數(shù)據(jù)傳輸過(guò)程中不會(huì)對(duì)所傳輸數(shù)據(jù)進(jìn)行安全驗(yàn)證，比如數(shù)據(jù)的真實(shí)性和完整性的驗(yàn)證。所以保障傳輸協(xié)議的防護(hù)有效性是提升DNS系統(tǒng)安全性能的可行手段。

采用多服務(wù)器協(xié)同工作來(lái)完成域名解析，通過(guò)比較多個(gè)DNS服務(wù)器的查詢(xún)結(jié)果來(lái)篩選，減少DNS因設(shè)計(jì)缺陷或漏洞對(duì)DNS解析結(jié)果的影響，提高數(shù)據(jù)準(zhǔn)確性。當(dāng)前DNS協(xié)議在傳輸過(guò)程中沒(méi)有加密和簽名，域名查詢(xún)結(jié)果的真實(shí)性和隱私性不能得到保障，存在解析結(jié)果被篡改和隱私信息泄露的風(fēng)險(xiǎn)。在現(xiàn)有DNS系統(tǒng)的基礎(chǔ)上，可以通過(guò)改變DNS系統(tǒng)的組織架構(gòu)和傳輸協(xié)議，來(lái)提高DNS解析結(jié)果達(dá)到防護(hù)目的。

2.3 信息的安全檢測(cè)監(jiān)控

DNS系統(tǒng)安全防護(hù)的理念在不斷革新，防護(hù)技術(shù)手段也在不斷進(jìn)步，但網(wǎng)絡(luò)攻擊者往往也在不斷更新攻擊手段來(lái)應(yīng)對(duì)這些革新和技術(shù)。僅通過(guò)單方面的改善或彌補(bǔ)DNS傳輸協(xié)議的不足之處，并不一定能夠完全改善DNS系統(tǒng)容易遭受攻擊的困境。筆者認(rèn)為，有效的惡意域名攻擊檢測(cè)機(jī)制和域名診斷手段是十分必要的。在現(xiàn)有的互聯(lián)網(wǎng)結(jié)構(gòu)中，對(duì)DNS系統(tǒng)的檢測(cè)行為是不需要改變現(xiàn)有DNS模式的，并具有很好的漸進(jìn)式部署能力。這種安全監(jiān)測(cè)DNS系統(tǒng)的理念就是通過(guò)對(duì)DNS系統(tǒng)的訪問(wèn)流量進(jìn)行分析和處理，對(duì)異常數(shù)據(jù)進(jìn)行歸類(lèi)對(duì)比，通過(guò)監(jiān)測(cè)機(jī)制對(duì)檢測(cè)結(jié)果進(jìn)行分類(lèi)，提高檢測(cè)精確度。

此外，監(jiān)視底層DNS流量還可以用于檢測(cè)由DNS流量控制的僵尸網(wǎng)絡(luò)和DNS隧道，其原理還是通過(guò)算法對(duì)DNS流量特征進(jìn)行分類(lèi)，僵尸網(wǎng)絡(luò)中的攻擊特征是相似的，可以以此進(jìn)行類(lèi)比。但它又具有鮮明的獨(dú)立特性，可以明顯地跟其他種類(lèi)的網(wǎng)絡(luò)攻擊加以區(qū)別，因此，這種方式能有效檢測(cè)僵尸網(wǎng)絡(luò)的存在。

2.4 去中心化的DNS體系

DNS系統(tǒng)受到攻擊的原因與DNS樹(shù)結(jié)構(gòu)和根服務(wù)器管理系統(tǒng)有關(guān)。這種體系結(jié)構(gòu)存在單點(diǎn)故障問(wèn)題，對(duì)根服務(wù)器進(jìn)行攻擊，會(huì)導(dǎo)致整個(gè)DNS服務(wù)癱瘓，因此，采用分散DNS系統(tǒng)是十分可行的。目前，分散DNS的設(shè)計(jì)主要包括以下兩個(gè)方向。

(1)基于區(qū)塊鏈技術(shù)。區(qū)塊鏈技術(shù)的出現(xiàn)為分散設(shè)計(jì)提供了技術(shù)支持。利用區(qū)塊鏈技術(shù)設(shè)計(jì)去中心化的DNS系統(tǒng)，其主要技術(shù)難點(diǎn)為：高效的P2P網(wǎng)絡(luò)設(shè)計(jì)。P2P網(wǎng)絡(luò)易受網(wǎng)絡(luò)波動(dòng)的影響，在網(wǎng)絡(luò)劇烈波動(dòng)情況下，不僅效率會(huì)大大降低，而且數(shù)據(jù)真實(shí)性也會(huì)被攻擊者偽造。設(shè)計(jì)高效、安全的P2P網(wǎng)絡(luò)是基于區(qū)塊鏈的分布式DNS設(shè)計(jì)的一個(gè)難題。然而，一致性算法在實(shí)現(xiàn)一致性過(guò)程中效率比較低，不適合DNS數(shù)據(jù)的實(shí)時(shí)更新和維護(hù)，共識(shí)算法的設(shè)計(jì)需要與DNS應(yīng)用場(chǎng)景的設(shè)計(jì)相結(jié)合。兩種算法結(jié)合后既保障了效率高，又保證了每個(gè)節(jié)點(diǎn)存儲(chǔ)數(shù)據(jù)的一致性。

(2)基于根服務(wù)器聯(lián)合的方法。許多國(guó)家的頂級(jí)DNS服務(wù)器多采用集中控制的管理手段，造成不同的頂級(jí)服務(wù)器相對(duì)集中，通過(guò)減少這種不同頂級(jí)根服務(wù)器的集中管理來(lái)緩解被攻擊的局面也是可行的。

2.5 開(kāi)放式DNS服務(wù)器安全檢測(cè)

據(jù)調(diào)查顯示，85%以上的開(kāi)放式DNS服務(wù)器存在嚴(yán)重的安全風(fēng)險(xiǎn)，開(kāi)放模式有利于攻擊者進(jìn)行DOS/DDoS、緩沖區(qū)毒物注入、DNS ID劫持等攻擊。在現(xiàn)有的研究中，很少對(duì)這些開(kāi)放系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化和研究，因此，有必要建立一個(gè)能夠有效監(jiān)測(cè)各種安全威脅的綜合檢測(cè)系統(tǒng)。

2.6 DGA惡意域名的檢測(cè)

通過(guò)網(wǎng)絡(luò)DNS流量的上下文信息和域名的特征統(tǒng)計(jì)，這些手段在潛在的DGA分類(lèi)方面能夠取得一定效果，但都不能滿(mǎn)足網(wǎng)絡(luò)安全的實(shí)時(shí)檢測(cè)與防護(hù)。為了達(dá)到防護(hù)目的和要求，許多安全人員會(huì)選擇使用手動(dòng)選擇的惡意域名攻擊特征的方式，包括熵、字符串長(zhǎng)度、元音比、輔音比等。手動(dòng)提取的方式存在誤報(bào)高和效率低的問(wèn)題，總體跟不上惡意域名更新的速度。主要原因有兩個(gè)：一方面，現(xiàn)有的惡意域名檢測(cè)方法大多局限于檢測(cè)級(jí)別不夠，或不能充分分辨惡意網(wǎng)絡(luò)的異常行為。另一方面，惡意域名攻擊方式也趨于多樣化，攻擊者能夠利用新的DGA算法來(lái)繞過(guò)我們固定的檢測(cè)特性。技術(shù)的不斷進(jìn)步，不斷更新著攻防雙方的出手方式，使得網(wǎng)絡(luò)安全形勢(shì)依然嚴(yán)峻。

為了DGA算法攻擊問(wèn)題，可以從以下方面研究DGA域名檢測(cè)：

(1)DGA域名變體研究。DGA算法生成的變體域名為了避免基于字符特征檢測(cè)的手段，大部分都是由英文字母隨機(jī)組成。雖然這些偽域名與普通域名沒(méi)有太大區(qū)別。但通過(guò)觀察是能夠發(fā)現(xiàn)變體域名在長(zhǎng)度或者組合上跟普通域名還是有很大區(qū)別的，這些域名是由幾個(gè)不相關(guān)的單詞組成的，所以可以從這兩個(gè)角度進(jìn)行檢測(cè)研究。

(2)惡意域名對(duì)抗性生成方法研究。域名攻擊中，大多數(shù)都是采用隨機(jī)生成域名的方式。大致表現(xiàn)為兩種類(lèi)型：一種是采用逆向破解DGA生成的方式，恢復(fù)DGA算法生成偽隨機(jī)域名。大多數(shù)生成的域名都有固定模式，這樣在已有數(shù)據(jù)上對(duì)抗提煉的模型，缺乏對(duì)新DGA變體的檢測(cè)能力。二是通過(guò)對(duì)抗網(wǎng)絡(luò)生成對(duì)抗樣本，并使用GAN生成域名對(duì)抗樣本。實(shí)驗(yàn)表明，對(duì)抗樣本在預(yù)測(cè)未知DGA方面具有良好性能。然而，由于GAN主要處理連續(xù)數(shù)據(jù)，對(duì)離散序列數(shù)據(jù)性能較差，因此SEQGAN被提出用于文本序列數(shù)據(jù)處理。

結(jié)語(yǔ)

DNS系統(tǒng)作為互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施，從DNS協(xié)議安全性的早期增強(qiáng)到當(dāng)前體系結(jié)構(gòu)的改進(jìn)，DNS安全一直是業(yè)界關(guān)注的問(wèn)題。本文簡(jiǎn)單分析了常規(guī)DNS安全防護(hù)技術(shù)，將域名特征和管理措施結(jié)合起來(lái)做了討論，提高了系統(tǒng)的適用能力，增加了模型的通用性，針對(duì)不同的惡意域名做出不同的檢測(cè)手段。雖然取得一定檢測(cè)效果，但在類(lèi)似漢語(yǔ)拼音的域名檢測(cè)方面，沒(méi)有達(dá)到理想效果，分詞存在一定的錯(cuò)誤，需要進(jìn)一步改進(jìn)，以提高檢測(cè)效果。