DNS安全防護技術在惡意域名管控上的有效性研究

王迪

國網平頂山供電公司 河南平頂山 467000

隨著物聯網技術、AI技術和云技術的日漸普及，傳統互聯網模式正朝著“互聯網+設備”“互聯網+AI”“互聯網+云”的“互聯網+”趨勢轉變，萬物互聯時代即將到來。Internet誕生到如今，域名系統所具備的作用已經不單單是基本的解析功能，它已經成為互聯網環境中重要的基礎設施和軟硬件技術系統的重要基石。然而，由于DNS的本身設計安全漏洞，下一代DNS也將面臨著更加嚴峻的安全挑戰。萬物互聯時代將帶來對數據安全的防護變化，智能家居數據、個人隱私數據、醫療生活設備數據等，甚至包括一些更敏感的關系到人身健康的數據。黑客不僅能夠利用域名系統的隱蔽通道來獲取這些數據，更能通過惡意指令更改醫療數據，對人身造成危害。此外，隨著萬物互聯的不斷發展，DNS系統將面臨著大規模DDoS攻擊的風險。互聯網云安全也受到DNS攻擊的嚴重威脅，其中通過DNS欺騙并利用DNS隱蔽通道來獲取隱私數據的攻擊方式，對現有網絡云環境的域名集中管理能夠造成嚴重破壞，一旦云服務器受到DDOS攻擊，將會造成嚴重的損失。因此，DNS攻擊的有效檢測方式以及DNS安全防護手段的研究是保障DNS系統穩定發展的重要使命。

1 DNS設計的安全局限性

域名系統的架構中，其中域名服務器包含了域名樹的結構信息以及設置相關信息的服務器程序；域名解析器包含對相應域名請求，以及從服務器中得到相應的查詢結果。在DNS域名系統剛開始設計時，域名系統的相關協議并沒有充分考慮互聯網安全問題。UDP協議在網絡信息的傳輸過程中并沒有對要傳輸的網絡數據進行加密處理，沒有查詢相應的網絡資源是否有防偽簽名，因此，攻擊者往往會通過注入網絡病毒、利用隱秘通道進行數據監聽、惡意篡改網絡數據等行為來攻擊域名系統。

DNS系統的漏洞來自DNS系統工作原理、系統架構和服務管理方面，在龐大的互聯網世界中，有大量的開放DNS服務器并沒有相應的安全驗證和保護措施，因此這些開放服務器在解析過程中存在嚴重的安全風險。另外，攻擊者利用DNS服務軟件的漏洞進行攻擊也是一種常見的攻擊手段。此外，互聯網中龐大的第三方DNS服務器群體，沒有規范的管理和防護措施，也成為被攻擊的對象。

1.1 DNS安全管控的意義

互聯網技術發展的同時，DNS攻擊形式也越來越多，手段也越來越復雜。由于DNS系統架構功能的多樣性及網絡設備的覆蓋性，一旦受到攻擊，將造成嚴重后果。因此，DNS攻擊安全檢測和安全防護是十分必要的，其相關研究也會越來越被人關注。大多數的網絡攻擊都是逐利的，網絡攻擊者會主動攻擊DNS服務器，造成服務中斷，然后對內部網絡進行持續攻擊，竊取企業關鍵信息，對被攻擊者造成數據、聲譽、用戶、經濟等方面損失。據思科網絡安全報告顯示，網絡攻擊者能夠通過惡意攻擊手段在短時間內控制十萬臺網絡設備，來進行大范圍的網絡攻擊。攻擊者會提前將這些惡意軟件放置在被攻擊者的設備內存中，并會隨著用戶的開、關機清除軟件攻擊痕跡，所以很難收集這些惡意程序的攻擊記錄和方式。

DNS攻擊檢測與安全防護的研究意義在于：(1)能夠及時發現攻擊并阻斷攻擊，確保DNS功能設備可運行性；(2)增強DNS系統的防護能力，做到未雨綢繆；(3)促進新的DNS系統防護理念和先進性防護技術的發展。

1.2 常見DNS攻擊

在整個互聯網環境中擁有大量的DNS服務器群，并且許多都是開放的DNS服務器。除了這些開放服務器，還有大量非官方、個人的開放DNS服務器。在域名解析過程中，會涉及不同級別和地區的域名服務器和解析程序，但卻沒有安全的鏈路對數據進行傳輸，無法保證數據的真實性和完整性。因此，攻擊者可以利用漏洞進行攻擊，竊取用戶的個人信息和瀏覽記錄等。

DNS攻擊對比分析表

1.3 惡意域名攻擊

傳統檢測惡意域名的方法成本高、周期長、檢測手段單一，所以需要一種能夠從域名詞匯和域名訪問角度提取多個特征，再基于惡意域名特征分類來檢測的多樣化的檢測方法。現有的檢測方法往往采用復雜特征提取的方法，結合多種檢測系統進行多重檢測，雖然這種方式大大提升了檢測精度，但它卻需要增加檢測成本并在檢測速度上有很大的不足。本文的主要貢獻如下。

在進行域名DNS解析提取之前，對域名進行統一格式拆解，這可以保障數據格式的統一，提高模型廣泛適用性，并簡化后續的域名特征位置向量、注冊信息等。這樣與正常的操作檢測效果相比，在一定程度上減少了所需提取的特征數量，同時提高了特征提取的速度。

網絡攻擊者會通過DGA算法產生惡意域名，這些域名在格式上與普通的域名有很大的差異，再利用這些差別來逃避相應的安全檢測。通過設置不同的時間區間，然后觀察這些時間區間內的域名訪問數據，整理數據與常規域名訪問的訪問量進行數據比較，通過數據對比找到差異，以此當作判斷依據。當網絡攻擊者使用DGA算法生成惡意域名時，可以很容易繞過傳統域名檢測特征，但網絡中的流量是可以被反映出來的。

2 DNS系統應對攻擊的有效措施

針對DNS安全威脅的根源，本節總結和分析了近年來在協議、系統、檢測方法等方面的有效措施。

2.1 DNSSEC協議安全增強

為了解決DNS系統在數據傳輸過程中的真實性和完整性保護問題，IETF提出了DNS安全增強方案DNSSEC。當用戶收到域名信息時，同時也會收到對應記錄的簽名，用戶可以根據簽名檢查數據的真實性和完整性。DNSSEC采用公鑰加密的方式對授權區域的數據進行數字簽名，避免互聯網遭受偽造DNS數據的侵害。DNSSEC的身份驗證功能，可以確保數據來自指定的源，并且在傳輸過程中未被修改，同時還可以檢測證明該域名的真實性。

雖然DNSSEC增強了DNS的安全性，但它并沒有形成一個完整的解決方案，它無法抵御分布式拒絕服務(DDoS)攻擊，無法確保信息交換的機密性，無法加密網站數據，也無法防止IP地址欺騙和網絡釣魚。為了保障互聯網的安全，還需要其他的防護措施來配合DNSSEC使用，例如DDoS攻擊緩解、SSL加密、站點身份驗證以及雙重身份驗證等。

2.2 傳輸的信息保密性

目前DNS系統所采用的UDP數據傳輸協議雖然能夠進行網絡數據的傳輸，但UDP協議在數據傳輸過程中不會對所傳輸數據進行安全驗證，比如數據的真實性和完整性的驗證。所以保障傳輸協議的防護有效性是提升DNS系統安全性能的可行手段。

采用多服務器協同工作來完成域名解析，通過比較多個DNS服務器的查詢結果來篩選，減少DNS因設計缺陷或漏洞對DNS解析結果的影響，提高數據準確性。當前DNS協議在傳輸過程中沒有加密和簽名，域名查詢結果的真實性和隱私性不能得到保障，存在解析結果被篡改和隱私信息泄露的風險。在現有DNS系統的基礎上，可以通過改變DNS系統的組織架構和傳輸協議，來提高DNS解析結果達到防護目的。

2.3 信息的安全檢測監控

DNS系統安全防護的理念在不斷革新，防護技術手段也在不斷進步，但網絡攻擊者往往也在不斷更新攻擊手段來應對這些革新和技術。僅通過單方面的改善或彌補DNS傳輸協議的不足之處，并不一定能夠完全改善DNS系統容易遭受攻擊的困境。筆者認為，有效的惡意域名攻擊檢測機制和域名診斷手段是十分必要的。在現有的互聯網結構中，對DNS系統的檢測行為是不需要改變現有DNS模式的，并具有很好的漸進式部署能力。這種安全監測DNS系統的理念就是通過對DNS系統的訪問流量進行分析和處理，對異常數據進行歸類對比，通過監測機制對檢測結果進行分類，提高檢測精確度。

此外，監視底層DNS流量還可以用于檢測由DNS流量控制的僵尸網絡和DNS隧道，其原理還是通過算法對DNS流量特征進行分類，僵尸網絡中的攻擊特征是相似的，可以以此進行類比。但它又具有鮮明的獨立特性，可以明顯地跟其他種類的網絡攻擊加以區別，因此，這種方式能有效檢測僵尸網絡的存在。

2.4 去中心化的DNS體系

DNS系統受到攻擊的原因與DNS樹結構和根服務器管理系統有關。這種體系結構存在單點故障問題，對根服務器進行攻擊，會導致整個DNS服務癱瘓，因此，采用分散DNS系統是十分可行的。目前，分散DNS的設計主要包括以下兩個方向。

(1)基于區塊鏈技術。區塊鏈技術的出現為分散設計提供了技術支持。利用區塊鏈技術設計去中心化的DNS系統，其主要技術難點為：高效的P2P網絡設計。P2P網絡易受網絡波動的影響，在網絡劇烈波動情況下，不僅效率會大大降低，而且數據真實性也會被攻擊者偽造。設計高效、安全的P2P網絡是基于區塊鏈的分布式DNS設計的一個難題。然而，一致性算法在實現一致性過程中效率比較低，不適合DNS數據的實時更新和維護，共識算法的設計需要與DNS應用場景的設計相結合。兩種算法結合后既保障了效率高，又保證了每個節點存儲數據的一致性。

(2)基于根服務器聯合的方法。許多國家的頂級DNS服務器多采用集中控制的管理手段，造成不同的頂級服務器相對集中，通過減少這種不同頂級根服務器的集中管理來緩解被攻擊的局面也是可行的。

2.5 開放式DNS服務器安全檢測

據調查顯示，85%以上的開放式DNS服務器存在嚴重的安全風險，開放模式有利于攻擊者進行DOS/DDoS、緩沖區毒物注入、DNS ID劫持等攻擊。在現有的研究中，很少對這些開放系統進行標準化和研究，因此，有必要建立一個能夠有效監測各種安全威脅的綜合檢測系統。

2.6 DGA惡意域名的檢測

通過網絡DNS流量的上下文信息和域名的特征統計，這些手段在潛在的DGA分類方面能夠取得一定效果，但都不能滿足網絡安全的實時檢測與防護。為了達到防護目的和要求，許多安全人員會選擇使用手動選擇的惡意域名攻擊特征的方式，包括熵、字符串長度、元音比、輔音比等。手動提取的方式存在誤報高和效率低的問題，總體跟不上惡意域名更新的速度。主要原因有兩個：一方面，現有的惡意域名檢測方法大多局限于檢測級別不夠，或不能充分分辨惡意網絡的異常行為。另一方面，惡意域名攻擊方式也趨于多樣化，攻擊者能夠利用新的DGA算法來繞過我們固定的檢測特性。技術的不斷進步，不斷更新著攻防雙方的出手方式，使得網絡安全形勢依然嚴峻。

為了DGA算法攻擊問題，可以從以下方面研究DGA域名檢測：

(1)DGA域名變體研究。DGA算法生成的變體域名為了避免基于字符特征檢測的手段，大部分都是由英文字母隨機組成。雖然這些偽域名與普通域名沒有太大區別。但通過觀察是能夠發現變體域名在長度或者組合上跟普通域名還是有很大區別的，這些域名是由幾個不相關的單詞組成的，所以可以從這兩個角度進行檢測研究。

(2)惡意域名對抗性生成方法研究。域名攻擊中，大多數都是采用隨機生成域名的方式。大致表現為兩種類型：一種是采用逆向破解DGA生成的方式，恢復DGA算法生成偽隨機域名。大多數生成的域名都有固定模式，這樣在已有數據上對抗提煉的模型，缺乏對新DGA變體的檢測能力。二是通過對抗網絡生成對抗樣本，并使用GAN生成域名對抗樣本。實驗表明，對抗樣本在預測未知DGA方面具有良好性能。然而，由于GAN主要處理連續數據，對離散序列數據性能較差，因此SEQGAN被提出用于文本序列數據處理。

結語

DNS系統作為互聯網的重要基礎設施，從DNS協議安全性的早期增強到當前體系結構的改進，DNS安全一直是業界關注的問題。本文簡單分析了常規DNS安全防護技術，將域名特征和管理措施結合起來做了討論，提高了系統的適用能力，增加了模型的通用性，針對不同的惡意域名做出不同的檢測手段。雖然取得一定檢測效果，但在類似漢語拼音的域名檢測方面，沒有達到理想效果，分詞存在一定的錯誤，需要進一步改進，以提高檢測效果。