Kaminsky攻击及其异常行为分析
Kaminsky攻击是一种远程DNS投毒攻击,攻击成功后解析域名子域的请求都被引导到伪造的权威域名服务器上,危害极大.通过模拟攻击实验并分析攻击特征提出一种新的针对Kaminsky攻击的异常行为分析方法,该方法先提取DNS报文中时间、IP、DNS中Flags和Transaction ID等信息,然后使用滑动窗口对DNS Transaction ID去重之后计算相同IP地址条件下Transaction ID的条件熵,最后用改进的CUSUM算法分析条件熵时间序列以检测攻击时间.此外,调取检测出的攻击时间内的数据,相同IP地址条件下Transaction ID的条件熵可以追溯到投毒目标权威域名服务器的IP地址.将攻击流量与正常流量混合作为分析样本,通过调整攻击代码参数模拟不同攻击模式,结果表明该方法不仅时间复杂度小,而且有较低的误检率、漏报率和较高的检测率,是一种有效的检测和分析手段.
Kaminsky攻击、域名系统、行为分析、条件熵、CUSUM算法、追溯
47
TP393(计算技术、计算机技术)
2020-12-03(万方平台首次上网日期,不代表论文的发表时间)
共6页
396-401
