一种基于被动DNS数据分析的DNS重绑定攻击检测技术

作     者：郭烜臻 潘祖烈 沈毅 陈远超 GUO Xuanzhen;PAN Zulie;SHEN Yi;CHEN Yuanchao

作者机构：国防科技大学电子对抗学院合肥230037 网络空间安全态势感知与评估安徽省重点实验室合肥230037 

出 版 物：《信息网络安全》 (Netinfo Security)

年 卷 期：2021年第21卷第3期

页      面：87-95页

学科分类：08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家重点研发计划[2017YFB0802900]。 

主　　题：DNS重绑定 被动DNS 恶意域名检测 混合分类 

摘      要：基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大。DNS重绑定需要通过设置恶意域名才能实现。针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC)。通过引入被动DNS数据,从域名名称、时间、异常通信及恶意行为等4个测度集刻画DNS重绑定相关域名;基于C4.5决策树、KNN、SVM及朴素贝叶斯等分类方法对数据进行混合分类、组合训练及加权求值。交叉验证实验表明,DRC模型对相关恶意域名的识别能够达到95%以上的精确率;与恶意域名检测工具FluxBuster进行对比,DRC模型能够更准确地识别相关恶意域名。