一、域名服务器的安全保护(论文文献综述)
何国彪[1](2021)在《去中心化可信互联网基础设施关键技术研究》文中研究说明互联网作为信息革命核心技术已经深入到各个领域,随着网络空间的快速扩张,其安全可信问题也变得更加严峻。域名根服务系统、域间路由系统和多域网络资源共享与切片编排是互联网重要基础设施,它们是互联网服务可用性、网络连通性和资源共享性的基础。虽然互联网整体架构采用了分布式设计理念,但这些互联网重要基础设施背后所依赖的安全信任模型是中心化的,存在中心权威机构权限过大、单点失效和数据隐私泄露等诸多安全风险。近年来,具备去中心化和不可篡改特性的区块链技术发展迅速,为构建互联网基础设施去中心化安全信任模型带来新的思路,本文主要工作和创新点如下:(1)域名根服务系统依赖中心化安全信任模型,存在单点失效、顶级域名被篡改或删除等安全风险。针对此问题,提出一种基于区块链的去中心化可信域名根服务机制。设计了基于区块链的顶级域名操作交易格式,提出一种基于信誉值的新型共识算法保证根区数据一致性且不可篡改,提升系统可扩展性和安全性。然后,设计了一种兼容性方案以降低部署复杂度。本文实现的原型系统在谷歌云上进行了性能测试,并对其安全性进行了分析评估。实验结果表明,去中心化可信域名根服务机制在时延、吞吐量方面可满足根区数据更新性能要求,域名解析性能稍低于当前域名根服务系统,但更安全可信。(2)BGP(Border Gateway Protocol)中路由源认证、路径通告验证和路由泄露保护三类安全机制依赖中心化的资源公钥基础设施,存在单方面撤销IP前缀证书等安全风险。针对此问题,提出一种基于区块链的去中心化可信BGP安全机制。核心思想是基于区块链技术维护去中心化且不可篡改的路由源认证、真实拓扑和加密的路由策略信息库,分别用以防御前缀劫持攻击、路径伪造攻击和路由泄露。为最小化对当前BGP性能影响和保证安全信息全局一致性,提出一种基于分区和BLS(Boneh-Lynn-Shacham)签名的高效共识算法。然后,利用BGP的团体扩展属性设计了一种兼容性部署方案。最后,实现去中心化路由源认证和路径通告验证原型系统并在谷歌云上进行部署,实现去中心化路由泄露保护原型系统并在微软机密计算云平台上部署,对性能、安全性和隐私性进行了分析评估。实验结果表明,所提机制可满足当前BGP消息和路由策略更新性能要求,在有效防御BGP攻击的前提下具有更好的安全性和隐私性。(3)当前多个网络管理域之间资源共享与切片编排多采用中心化架构,存在单点失效、中心权威机构权限过大和数据隐私泄露等问题。针对此问题,提出一种基于区块链的去中心化可信多域网络资源共享与切片编排机制。为激励网络管理域积极共享其可用网络资源和最小化区块链技术为保证安全可信引入的性能损耗,设计了一种基于资源贡献值和可信度的新型共识算法。此外,引入一种基于博弈论的双边评价机制,通过抑制网络中恶意行为保证资源共享过程中的公平性,提升用户体验。为防止多域网络资源共享中数据隐私泄露,采用可信执行环境技术设计相应功能组件保护数据隐私。最后,实现原型系统并在微软机密计算云平台上进行实验验证,对其性能、安全性和优势分析评估。实验结果表明,去中心化可信多域网络资源共享与切片编排机制在保证网络资源共享与切片编排信息隐私性的前提下,具有较好时延、吞吐量性能和安全性。
甘蕊灵[2](2021)在《恶意DNS流量检测技术研究与系统实现》文中指出随着网络技术的发展以及物联网、车联网应用的日益增加,越来越多的用户隐私数据存储在各种联网设备上。高级持续威胁(Advanced Persistent Thread,APT)是网络空间安全的严重威胁之一,而基于DNS协议的远程控制通信与数据窃取是APT攻击的常用方法之一。APT的攻击目标大到国防、电力和金融等关乎国计民生的重要部门,小至个人计算机,攻击者从目标上窃取重要文件、核心数据或者是大量窃取个人信息用于贩卖以获取利益。如果能够在网络攻击发生时及时发现并阻断受控主机与攻击者之间的通信,则能够维护个人设备上的数据信息安全。本文提出了一种在真实攻击样本严重缺乏的情况下仍能保持高精度检测,且检测能力同时覆盖已知攻击与未知攻击的DNS流量检测方法。针对样本问题与未知攻击检测问题,本文创新性地提出了样本集强化方案与特征集强化方案,并实现了一个原型系统。为了解决真实攻击样本不足的问题,本文提出一种样本集强化方案,该方案又称为“完备度可控的DNS恶意流量生成技术”。它的核心思想是充分利用安全研究人员的网络空间知识积累与实战经验,构造实现各种攻击场景,将生成的攻击流量捕获下来用作机器学习模型的样本。为了使得检测模型对已知攻击的变种和未知攻击均具备优秀的检测能力,本文提出一种特征集强化方案。特征集强化方案的核心思想是基于DNS恶意流量构建的机理,对应提出新的检测特征,除非攻击者彻底改变现有的攻击构建原理,否则无法完全绕过这些特征的检测。新增的检测特征包括名可读性、域名结构性、二级域名钓鱼性和IP离散性四个类别。基于这两个创新强化方案,本文构建了一个决策树DNS流量检测模型,并在这个模型的基础上实现了一个原型系统。在测试实验中,本文模型对已知样本的检测率达到1 00%,对未知样本的检测率达到99.95%;在对比实验中,本文模型对于未知样本的检测能力高于已有研究成果,且在已有研究成果上验证了本文提出的创新方案切实有效。
冀煌[3](2021)在《天地一体化网络分布式标识映射解析系统机制的研究与实现》文中进行了进一步梳理天地一体化网络作为未来国家电子信息系统的重要基础设施,是未来网络发展的一种趋势。目前有很多以地面网络技术为基础设计的天地一体化网络组网方案,其中的主流方案是基于传统互联网TCP/IP体系并结合天地一体化网络需求实现的。然而,传统互联网TCP/IP体系随着时代的发展显现出越来越多的局限性,其中包括IP地址二义性带来的网络安全性和移动性问题。北京交通大学提出的标识网络体系中身份与位置分离的思想很好的解决了IP地址二义性带来的问题,但是其缺乏高效的标识映射解析机制来满足天地一体化网络大规模部署和场景复杂的需求。因此设计一套稳定可靠的标识映射解析系统对基于标识的天地一体化网络具有十分重要的现实意义。本文在此场景下,设计并实现了天地一体化网络下的分布式标识映射解析系统。在满足了用户间通信的同时,提出了一种标识映射条目分布式存储维护的方案,提高了标识网络在天地一体化网络场景下的稳定性和可靠性。本文具体工作如下:首先,概述了国内外现有成熟的天基网络,身份与位置分离的研究现状,简述了基于标识的天地一体化网络体系架构,通过分析DNS协议命名与解析机制为映射的分布式存储维护提供了理论基础,介绍了分布式、字典树与数据库的相关算法和技术。其次,分析了分布式标识映射解析系统的设计需求,给出了系统架构与模块化的设计,并详细阐述了各模块的实现方式。其中,为了提高系统的性能和可扩展性,将映射服务器进行分域管理,减轻了各服务器存储维护的压力。同时,针对天地一体化网络分级服务的需求,构建了包含用户等级、业务类型等字段的接入标识与路由标识映射表;在此基础上,设计了分布式标识映射解析机制,实现了标识映射条目的分域存储与维护。此外,为了提高系统的可操作性,方便设备部署,设计实现了用户命令界面和配置文件;为了支持天地一体化网络的可管可控,在映射服务器上用My SQL数据库同步映射信息到网管系统。最后,本文对搭建的分布式标识映射解析系统进行了功能测试。在对标识交换路由器和映射服务器配置后,完成了对映射注册/注销、查询回复、移动更新以及数据库同步功能的测试。测试结果表明,分布式标识映射解析系统的设计可以满足天地一体化网络对标识映射条目分布式存储维护的需求,在总结了本文的工作后对下一步研究内容进行了展望。
朱振华[4](2021)在《新制度经济学视角下美国对域名资源的商标权治理研究》文中指出域名是一种网络标记,其功能是用具象的字符替代抽象的IP网络地址,方便用户访问互联网资源。域名是应对接入互联网节点不断增多而开发的技术产物。而商标是特定符号构成的用于区分产品与服务的商业标记。两者都具有标识符特征。从20世纪90年代开始,互联网的商业化带来域名需求的剧增,其商业价值也不断凸显,这种由技术催生的数字资源与商标这种传统商业资源之间因相似性而产生了冲突,并由此引发了关于域名资源的集体行动。对于美国来说,把商标权引入网络空间以治理域名资源,既有技术可行性,也能服务于美国的政治经济目的。技术上,域名系统是互联网中为数不多的需要执行中心化管理的节点。美国对域名系统的技术垄断,以及域名的垂直管理架构,为美国控制域名资源提供了技术保障。而在政治经济层面,以解决域名与商标冲突为契机,用商标权治理网络空间,不仅能够维护美国大商业集团的利益,为它们在开拓网络边疆的过程中建立有利的制度保障,同时也能服务于美国同时期的全球信息技术战略。本文的研究问题是,美国是如何利用商标权来实现对域名资源的控制?本文以新制度经济学的相关理论作为分析框架,结合历史分析方法,对美国以商标权划定域名资源产权,以及在网络空间建立商标权保护制度的过程进行了历时性的考察。美国以商标权划定域名资源产权的过程可以分为三个阶段:一是域名的技术治理时期。在技术治理时期,因为域名的商标价值不大,对传统商业集团带来的冲击有限,并没有引起美国政府的关注。第二个阶段是互联网商业化后,域名资源的商业价值凸显,域名与商标冲突开始不断加剧,引发了围绕域名资源的集体博弈,并受到了美国商务部的注意。在第三个阶段,美国政府为了维护商业资本的利益,也为了阻止域名治理走向国际化,不惜违反相关的行政法规,开始动用国家的行政力量,建立了私营性质的互联网名称与数字地址分配机构(ICANN),划定了域名资源的产权,使其成为了美国的“私有资源”。在界定了域名资源的产权之后,美国以ICANN为起点,不断强化网络空间的商标权保护制度,通过建立统一域名争议解决政策、反对与争议解决程序、商标信息交换中心、预注册权限和注册通知服务、域名的统一快速终止程序、商标授权后争议解决程序等制度,用以维护商业资本的利益。基于上述考察,研究主要获得了以下三方面的发现。一、以商标权界定域名资源的产权,减少了美国商业资本在开拓网络边疆过程中对预期收益的不确定性,增加了它们创造收益、积累财富的动力,从而提升了经济绩效。二、美国在网络空间建立的商标权保护力度远甚于现实世界,大幅节约了解决域名与商标冲突的交易成本,使得前述的预期收益得以强化。三、美国以商标权治理网络空间,增大了其对网络空间的政策制定权。美国主导的解决域名与商标纠纷的制度成为了全球准则,为美国商业资本迅速地占领全球市场提供了制度保障,强化了美国在互联网全球治理中的霸权地位。国际社会虽然对此进行长期抗争并获得了一些成果,但是传统以主权国家主导的抗争难以适应网络社会的治理需求,并没有实质性的改变互联网全球治理的现状。本研究的创新点在于以跨学科的视角,从微观的商标权入手去研究互联网的全球治理问题,为认识美国把控互联网全球治理的路径提供了新的解释。研究的不足之处在于,虽然提出互联网的技术变迁、制度变迁以及美国的数字经济增长之间存在关联并就此进行了解释,但未能建立量化模型,揭示域名技术、商标权保护制度与美国数字经济绩效之间的因果关系,这也将成为后续研究的方向所在。
李妍星[5](2021)在《DNS安全扩展与可扩展分布式DNS研究》文中认为域名系统(Domain Name System,DNS)是互联网的一项基础服务,提供了域名到IP地址的转换。DNS系统设计之初是在可信的环境里运行,但如今互联网环境复杂,使得DNS协议的脆弱性显现出来。因此本文总结了DNS系统的安全问题,大致可以分为两类:一是DNS协议存在的安全漏洞;二是DNS系统结构极度中心化造成的权利滥用风险。针对上述问题,本文提出并仿真实现了一种带取证分析扩展的DNS安全扩展系统,以及一种可扩展的分布式DNS系统。本文的研究工作及成果主要有以下几点:1)详细分析了DNS系统面临的安全挑战,梳理DNS系统应对安全挑战的技术演进路线。包括传统DNS系统的安全性扩展技术,以及新型分布式DNS系统架构设计这两方面的技术发展和成果。定量分析了传统DNS系统被攻击者成功实施缓存中毒攻击的概率。2)分析DNS安全扩展(Domain Name System Security Extensions,DNSSEC)推广与应用中存在的问题,指出在DNSSEC部署时增强取证分析功能的必要性。提出了一种带取证分析扩展的DNSSEC系统的方案。搭建环境仿真实现了该方案,实现了DNSSEC系统部署和异常数据提取。3)提出了一种结合了联盟链Hyperledger Fabric和分布式文件系统IPFS(Inter Planetary File System)技术的可扩展性分布式DNS系统。其中,针对组织的重要域名以交易方式,永久地、安全地计入超级账本,实现链上域名管理。而组织内部的机构、团队和个人所的域名称为扩展域名,采用分布式存储的方式,实现链下域名管理。论文仿真实现了该链上域名/链下扩展域名相结合的DNS系统。同时对两类域名的域名注册和域名解析的处理流程进行了详细说明。4)为了保障扩展域名的安全性,对链下扩展域名数据文件的内容以及内容标识符CID(Content-ID)进行数字签名,并为签名验证建立了信任链体系。论文给出了信任链处理过程以及链上和链下所存储的数据结构。最后对包含信任链机制的可扩展分布式DNS系统进行了仿真实现,通过功能测试证明了整个方案的可行性。
贾卓生[6](2021)在《基于域名服务日志分析的主动防御架构及关键技术研究》文中研究表明随着互联网技术的普及和迅速发展,网络安全问题越来越突出,从个人信息盗取、隐私泄露,到危害社会和国家安全,无处不在。为此,政府和相关单位投入巨大的人力和财力开展网络安全检测与防御方面的研究。如何通过检测分析自动感知网络中存在的安全隐患,对网络信息系统进行研判,准确定位故障点,精准反映各个系统的安全风险值,形成网络安全主动防御体系,成为研究的热点问题。网络安全的研究虽然已经取得了一定的阶段性进展,但在关键技术手段和准确度上仍需要不断完善。目前在企业网中通过安装入侵防御、漏洞扫描、用户行为管理、数据安全审计等设备进行安全分析和防御,但因处理量大、误报率高,在实际环境中往往旁路部署,难以提高防御能力。在面对越来越大的网络流量和分布式内容分发网络以及加密协议的普遍采用,全流量网络安全检测方法难以有效地识别网络攻击行为,也增加了企业和用户隐私数据被窃取的风险。基于日志数据进行安全攻击检测方法往往采用单个设备或系统的日志,数据粒度不够精细,分析滞后,检测效果难以保证,也缺乏与现有网络安全防御设备的反馈和联动机制,且随着数据的不断累积,需要关联分析的数据量越来越大,极大地影响分析效率。针对这些问题,本文提出利用互联网中最基础的域名服务日志数据进行分析挖掘,构建基于知识图谱的网络行为指纹特征库模型,通过聚类分析研究网络攻击行为特征检测算法,检测网络安全风险和网络攻击隐患。并采用网络计费日志作为辅助的细粒度分析和验证手段,进一步提高检测精确度。提出利用域名服务器构建具有主动防御功能的智能域名体系架构,建立事前干预的安全防护体系,在用户和系统无感知的情况下,主动阻止危害网络安全的攻击行为,增强网络安全管理和防御能力。论文主要内容如下:1、构建基于域名服务的主动防御体系架构。在分析网络日志的采集方式、格式类型、数据映射与清洗基础上,研究了域名数据的统计分类方法,以及域名服务面临的解析过程安全、体系安全和网络威胁。对域名集进行统计聚类挖掘,分析域名解析过程中分布式内容分发网络加速和动态地址带来的安全检测问题,在此基础上,提出了一个基于智能域名服务的主动防御体系架构。2、提出一种构建域名指纹图谱的方法。建立基于知识图谱的域名指纹图谱特征库模型,对生成的指纹模型数据特征值进行关联和聚类分析。定义了安全检测分析中各种域名指纹标准数据集合,包括:可供智能域名系统进行安全防御的动态黑白名单集;基于知识图谱的用户访问行为指纹集;采用图神经网络有向图和无向图生成的域名解析指纹集。给出了指纹集建立、生成、存储、比对和可视化分析的方法,并对指纹检测算法进行了实验验证和分析。针对域名服务日志数据粒度不够精细的问题,采用网络计费日志作为辅助的细粒度分析和验证手段,提高检测准确度。3、提出一种网站、用户、操作系统和常用应用软件的正常域名访问行为指纹检测分析方法。通过用户查询行为的合集还原网站所有活跃域名链接,形成网站活跃域名指纹图谱,提出了基于C4.5决策树算法的网站域名指纹特征检测分析方法。通过用户网络访问行为形成用户访问域名特征指纹图谱,在分析用户的固定、变化、异常三种行为模式的基础上,提出了基于粗糙聚类算法FCM的用户访问行为检测分析方法。通过操作系统和常用应用软件域名请求形成特征指纹图谱,提出了操作系统和常用应用软件行为的检测分析方法。实验验证了方法的可行性和有效性。4、提出一种网络攻击行为指纹图谱的检测分析方法。在分析网络攻击行为的基础上,针对典型攻击行为指纹特征,采用隐狄利克雷LDA概率图模型方法进行估值计算,提出了一种基于一阶同质马尔科夫链FHM行为转移概率算法的改进方法,来检测网络攻击行为,提高了对攻击行为的预测和预防能力。以挖矿病毒攻击和网页暗链攻击为例,对该检测分析方法进行了验证。5、实现了一个基于域名服务的网络安全主动防御系统。通过域名日志安全分析系统与智能域名服务器联动,实现网络主动防御。并通过网络代理服务器把可能产生安全问题的流量导向蜜罐系统进行分析和阻断。通过与动态主机配置协议服务器日志的综合分析,实现适应动态地址变化的域名分析系统,满足物联网和IPv6等动态IP地址网络环境下的安全分析和防御。在系统间建立相互反馈机制,验证了检测和预防效果。本文通过对域名服务日志的分析,提出基于域名访问行为指纹图谱的安全检测分析方法,设计并实现了一个网络安全检测与主动防御系统,能够实施闭环控制和统一的威胁管控,并在实际网络环境中得到应用。
王锐[7](2021)在《互联网DNS服务资源测绘技术研究》文中研究说明DNS(DomainName System)服务资源是互联网中非常重要的一类基础设施,对DNS服务资源进行测绘,即对DNS服务器进行识别和探测,一方面能帮助我们深入理解和认识DNS,更合理的分配DNS服务资源,另一方面帮助我们更好的应对DNS安全威胁。目前,DNS服务资源测绘研究依然面临挑战,现有的DNS服务器识别方法依据DNS协议报文中的相关字段进行判断,识别效果不太理想,而现有的DNS服务器探测方法单纯使用主动方式或者被动方式,探测结果的全面性存在不足。因此,本文针对DNS服务器识别和DNS服务器探测技术展开了研究,主要包括以下两个创新点:1)基于长时间行为特征的DNS服务器识别方法该方法引入DNS服务器的长时间行为特征并利用机器学习模型对DNS服务器类型进行识别,相比于传统方法主要关注协议规定的标准字段,本方法强调对实际DNS服务长时间行为特性进行观察与分析,并将其转换成在长时间服务过程中所体现出来的稳定特征,从而提升对DNS服务器识别的准确率。方法首先通过对实际骨干网中DNS应答流量进行观察与分析,提取了访问量特征、用户IP离散性特征和域名离散性特征等DNS服务器的长时间行为特征,接着将这些特征与传统特征进行融合并进行了特征选择,最后使用了多种分类器构建模型,对比选出了效果最优的分类器,实验结果表明,本文方法能够获得更高的识别准确率、精度、召回率和F1-Score值,其中AUC值超过0.94,精确率和召回率达到94%,F1-Score值也能达到0.9。2)主被动结合的DNS服务器探测方法研究该方法同时使用主动DNS服务器信息探测方法和被动DNS服务器信息收集方法。方法首先通过被动方式进行DNS服务器信息收集,分析DNS应答数据,获取DNS服务器信息。然后对全国范围内的IP地址进行扫描式DNS协议探测,获取DNS服务器信息,同时改进了主动探测方法,引入了多线程异步模型,探测速度提升了约53%,最后汇总了主动方式和被动方式的结果,实验结果表明引入了被动方法将探测结果的准确率提升了 22%,而且相比主动探测增加了9.9%的探测结果。最后,本文在上述研究的基础上构建了 DNS服务器资源查询系统,系统在国内探测得到300多万个DNS服务器,其中包含200多万个递归DNS服务器,90多万个权威DNS服务器,这些数据为其他DNS研究提供了参考和支持。
左元威[8](2020)在《基于深度学习和SDN网络的恶意域名检测与防御的研究》文中认为随着强大的移动互联网平台以及云计算、大数据以及现代人工智能等现代技术的不断创新发展,人们的日常生活更加的依赖于互联网,也更加智能化,如超市的自动收银系统,公路上电动汽车的无人驾驶系统等。但是伴随着互联网给人们的日常生活带来了方便的同时,危险也随之而产生,这些危险中最严重的就是互联网中的非法分子对网络的攻击,这些非法分子会偷偷地在用户不知情的情况下获取个人或公司的重要私密信息,尤其是关于金融方面的信息,这种攻击产生的危害巨大。而非法分子主要使用的传输媒介是僵尸网络,随着互联网技术的发展,僵尸网络也和以往的表现形式不同,危害也越来越大,新时代的僵尸网络中主要使用的新型技术是域名生成算法(Domain Generation Algorithm,DGA),这种算法通过在极短的时间内生成大量域名并注册,然后绑定僵尸网络控制器的网际互联协议(Internet Protocol,IP),使得网络安全人员难以查询到其真实IP。目前已有相关工作针对僵尸网络中所使用的恶意域名做出检测,例如基于人工设计特征选取规则以及传统的机器学习算法,虽然这些算法已经取得了一些成果,但是,仍然存在一些缺点,例如人工特征的选取不同对检测结果影响较大,机器学习更加依赖于训练数据集等。基于此,本文提出了一种卷积神经网络模型的域名检测方法,该方法不仅可以自动学习到域名的深度特征,而且在恶意域名识别的准确度以及时效性上都有很好的表现。最后,在虚拟机系统中利用软件定义网络的Open Daylight控制器再次开发扩展防御系统并进行仿真实验,并对本文提出的恶意域名检测模型进行相关性能评估,以及和现今已有的比较成熟的特征提取检测方法比较,研究结果表明软件定义网络(Software Defined Network,SDN)比传统网络在域名解析时间和域名解析成功率方面有很大的优势,而且在SDN网络中开启了重定向功能后相较于传统网络优势更加明显。
王政[9](2020)在《内网域名系统的安全保密风险研究》文中认为在机关、单位内网中,域名系统的安全问题往往会被忽视,因此逐渐成为木桶效应的短板。本文介绍了域名系统的原理,比较了内网域名系统和互联网域名系统的差异,分析了内网域名系统面临的主要安全保密风险,并提出改进建议。
王文通,胡宁,刘波,刘欣,李树栋[10](2020)在《DNS安全防护技术研究综述》文中进行了进一步梳理DNS为互联网应用提供名字解析服务,是互联网的重要基础服务设施.近年发生的互联网安全事件表明DNS正面临严峻的安全威胁.DNS的安全脆弱性主要包括:协议设计脆弱性、技术实现脆弱性和体系结构脆弱性.针对上述脆弱性,对DNS协议设计、系统实现、检测监控和去中心化等方面的最新研究成果进行了归纳和总结,并且对未来可能的热点研究方向进行了展望.
二、域名服务器的安全保护(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、域名服务器的安全保护(论文提纲范文)
(1)去中心化可信互联网基础设施关键技术研究(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 主要缩略语对照表 |
| 1 绪论 |
| 1.1 引言 |
| 1.2 研究背景与现状 |
| 1.2.1 区块链技术 |
| 1.2.2 信任到信任的互联网Blockstack |
| 1.2.3 Internet Blockchain |
| 1.2.4 去中心化互联网基础设施DII |
| 1.3 研究目标与意义 |
| 1.4 论文主要内容与创新点 |
| 1.5 论文组织结构 |
| 2 去中心化可信域名根服务机制 |
| 2.1 引言 |
| 2.1.1 研究背景与问题描述 |
| 2.1.2 研究现状 |
| 2.2 设计目标 |
| 2.3 去中心化可信域名根服务机制设计 |
| 2.3.1 基于区块链的顶级域名操作交易格式定义及处理流程 |
| 2.3.2 基于区块链的顶级域名解析流程 |
| 2.3.3 基于区块链的接入认证机制设计 |
| 2.3.4 基于信誉值的共识算法设计 |
| 2.3.5 兼容性方案设计 |
| 2.4 安全性分析与评估 |
| 2.4.1 分区攻击 |
| 2.4.2 DoS攻击 |
| 2.5 原型系统实现与性能评估 |
| 2.5.1 基于区块链的顶级域名操作性能评估 |
| 2.5.2 基于区块链的顶级域名解析性能评估 |
| 2.5.3 与现有基于区块链的域名方案对比 |
| 2.5.4 初始化部署时间评估 |
| 2.5.5 优势和可行性分析 |
| 2.6 本章小结 |
| 3 去中心化可信BGP安全机制 |
| 3.1 引言 |
| 3.1.1 研究背景与问题描述 |
| 3.1.2 研究现状 |
| 3.2 设计目标 |
| 3.3 去中心化可信BGP安全机制设计 |
| 3.3.1 总体设计思路 |
| 3.3.2 基于区块链的BGP安全消息交易及区块格式设计 |
| 3.3.3 防御前缀劫持攻击、路径伪造攻击和路由泄露方案设计 |
| 3.3.4 基于区块链的接入认证机制设计 |
| 3.3.5 基于分区和BLS签名的高效共识算法设计 |
| 3.3.6 兼容性方案设计 |
| 3.4 原型系统实现与评估 |
| 3.4.1 防御前缀劫持攻击和路径伪造攻击性能评估 |
| 3.4.2 防御路由泄露性能评估 |
| 3.4.3 安全性分析与评估 |
| 3.4.4 与现有BGP安全解决方案对比 |
| 3.4.5 初始化部署时间评估 |
| 3.5 本章小结 |
| 4 去中心化可信多域网络资源共享与切片编排机制 |
| 4.1 引言 |
| 4.1.1 研究背景与问题描述 |
| 4.1.2 研究现状 |
| 4.2 设计目标 |
| 4.3 去中心化可信多域网络资源共享与切片编排机制设计 |
| 4.3.1 总体设计思路 |
| 4.3.2 基于可信执行环境技术的节点功能组件设计 |
| 4.3.3 多域网络资源共享与切片编排交易及区块格式设计 |
| 4.3.4 接入认证和分布式密钥生成机制设计 |
| 4.3.5 基于资源贡献值和信任度的共识算法设计 |
| 4.3.6 基于博弈论的双边评价机制设计 |
| 4.3.7 兼容性方案设计 |
| 4.4 原型系统实现与评估 |
| 4.4.1 性能测试评估 |
| 4.4.2 安全性分析与评估 |
| 4.4.3 基于博弈论的双边评价机制有效性评估 |
| 4.4.4 与现有多域网络资源共享与切片编排方案对比 |
| 4.5 本章小结 |
| 5 总结与展望 |
| 5.1 总结 |
| 5.2 未来研究工作展望 |
| 参考文献 |
| 作者简历及攻读博士学位期间取得的研究成果 |
| 学位论文数据集 |
(2)恶意DNS流量检测技术研究与系统实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题背景及研究意义 |
| 1.2 国内外研究现状 |
| 1.3 主要研究内容 |
| 1.4 论文组织结构 |
| 1.5 本章小结 |
| 第二章 恶意软件的DNS利用模型与机理 |
| 2.1 DNS相关知识 |
| 2.1.1 域名结构 |
| 2.1.2 DNS通信过程 |
| 2.1.3 DNS报文 |
| 2.2 基于DNS的恶意通信方法 |
| 2.2.1 DNS恶意通信在网络攻击中的作用 |
| 2.2.2 恶意DNS流量构造的关键技术 |
| 2.2.3 恶意DNS通信流程与示例 |
| 2.3 本章小结 |
| 第三章 完备度可控的DNS恶意流量生成技术 |
| 3.1 开源数据集概况 |
| 3.2 完备度可控的恶意流量生成方法 |
| 3.3 扰动要素 |
| 3.4 本章小结 |
| 第四章 基于机器学习的恶意DNS流量检测技术 |
| 4.1 数据集 |
| 4.2 特征集构建 |
| 4.2.1 常用特征选取 |
| 4.2.2 创新特征提出 |
| 4.3 决策树检测模型 |
| 4.3.1 决策树模型 |
| 4.3.2 检测模型概述 |
| 4.3.3 检测模型训练 |
| 4.3.4 检测模型测试 |
| 4.4 特殊样本测试实验 |
| 4.5 文献工作复现与对比实验 |
| 4.6 创新技术有效性评估 |
| 4.6.1 样本向量覆盖空间验证实验 |
| 4.6.2 复现模型上的强化对比实验 |
| 4.7 本章小结 |
| 第五章 恶意DNS流量检测原型系统的设计与实现 |
| 5.1 系统需求分析 |
| 5.2 系统总体架构 |
| 5.3 模块间交互 |
| 5.4 模块设计实现 |
| 5.4.1 关键技术 |
| 5.4.2 任务接收模块 |
| 5.4.3 流量预处理模块 |
| 5.4.4 特征提取模块 |
| 5.4.5 流量检测模块 |
| 5.4.6 检测结果处理模块 |
| 5.4.7 异常处理模块 |
| 5.5 使用界面演示 |
| 5.6 本章小结 |
| 第六章 总结与展望 |
| 6.1 工作总结 |
| 6.2 工作展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
(3)天地一体化网络分布式标识映射解析系统机制的研究与实现(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 引言 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 天基网络研究现状 |
| 1.2.2 身份与位置分离技术 |
| 1.3 论文主要工作与结构 |
| 2 天地一体化网络及映射系统相关技术介绍 |
| 2.1 天地一体化网络体系架构 |
| 2.2 基于标识的天地一体化网络组网模型 |
| 2.3 DNS协议命名与解析机制 |
| 2.3.1 DNS协议命名机制 |
| 2.3.2 DNS协议解析机制 |
| 2.4 相关算法与技术 |
| 2.4.1 分布式集群系统 |
| 2.4.2 字典树算法原理 |
| 2.4.3 数据库 |
| 2.5 小结 |
| 3 分布式标识映射解析系统设计 |
| 3.1 标识映射解析系统架构设计 |
| 3.1.1 映射解析系统需求分析 |
| 3.1.2 映射解析系统架构设计 |
| 3.2 映射表模块设计 |
| 3.3 通信报文模块设计 |
| 3.3.1 注册与注销报文设计 |
| 3.3.2 查询与回复报文设计 |
| 3.3.3 移动更新报文设计 |
| 3.4 通信流程模块设计 |
| 3.4.1 注册与注销流程设计 |
| 3.4.2 查询与回复流程设计 |
| 3.4.3 移动更新流程设计 |
| 3.5 数据库网管接口模块设计 |
| 3.5.1 本地数据库接口设计 |
| 3.5.2 网管系统主从数据库设计 |
| 3.6 小结 |
| 4 分布式标识映射解析系统的实现 |
| 4.1 映射解析系统整体模块实现 |
| 4.1.1 本地映射服务器实现 |
| 4.1.2 根/区域映射服务器实现 |
| 4.2 报文数据模块实现 |
| 4.2.1 报文数据结构 |
| 4.2.2 报文通信接收和发送流程 |
| 4.2.3 报文通信处理流程 |
| 4.3 映射表维护模块实现 |
| 4.3.1 映射表存储结构 |
| 4.3.2 映射表操作函数 |
| 4.4 用户命令界面和配置文件实现 |
| 4.4.1 用户命令界面 |
| 4.4.2 配置文件的设置和读取 |
| 4.5 数据库接口实现 |
| 4.6 小结 |
| 5 分布式标识映射解析系统的测试与分析 |
| 5.1 系统测试环境 |
| 5.2 映射解析系统配置 |
| 5.2.1 标识交换路由器配置 |
| 5.2.2 映射服务器配置 |
| 5.3 映射解析系统机制测试 |
| 5.3.1 注册/注销功能测试 |
| 5.3.2 映射查询功能测试 |
| 5.3.3 移动更新功能测试 |
| 5.4 数据库同步功能测试 |
| 5.5 小结 |
| 6 结论 |
| 参考文献 |
| 作者简历 |
| 学位论文数据集 |
(4)新制度经济学视角下美国对域名资源的商标权治理研究(论文提纲范文)
| 致谢 |
| 摘要 |
| Abstract |
| 第一章 导论 |
| 一、研究背景和选题意义 |
| 二、概念界定 |
| 三、理论框架 |
| 四、研究方法 |
| 五、研究创新点 |
| 六、论文结构 |
| 第二章 文献综述 |
| 一、政治学视角的研究 |
| 二、传播学视角的研究 |
| 三、经济学视角的研究 |
| 四、法学视角的研究 |
| 五、存在的不足与研究趋势 |
| 第三章 美国以商标权治理域名资源的背景 |
| 一、美国以商标权治理域名资源的技术背景 |
| 二、美国以商标权治理域名资源的政治经济背景 |
| 第四章 美国以商标权界定域名资源的产权 |
| 一、域名资源的技术治理 |
| 二、商业化环境下域名治理的权利争夺 |
| 三、美国国家角色的回归 |
| 第五章 ICANN及其域名资源商标权保护制度 |
| 一、ICANN的商标权保护制度 |
| 二、后ICANN时代的商标权保护制度 |
| 三、ICANN制度的争议及其实质 |
| 第六章 国际社会与美国域名资源治理霸权的博弈 |
| 一、把抗争纳入世界信息与传播新秩序运动 |
| 二、建立常态化的互联网治理论坛使抗争制度化 |
| 三、推动《国际电信规则》的修订 |
| 第七章 结论 |
| 一、研究问题的回答 |
| 二、思考和启示 |
| 三、不足与展望 |
| 附录 相关英文缩略语 |
| 参考文献 |
(5)DNS安全扩展与可扩展分布式DNS研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 本文的工作内容与创新 |
| 1.4 本文的结构安排 |
| 第二章 DNS系统演进的相关技术 |
| 2.1 DNS系统概述 |
| 2.2 DNS的安全挑战 |
| 2.3 DNS欺骗的定量分析 |
| 2.4 DNSSEC概述 |
| 2.5 分布式DNS系统架构 |
| 2.6 本章小结 |
| 第三章 DNS系统的安全性扩展与取证分析 |
| 3.1 基于DNS的取证分析 |
| 3.2 DNSSEC部署关键问题 |
| 3.3 基于DNSSEC的取证分析 |
| 3.3.1 DNSSEC技术增强 |
| 3.3.2 DNSSEC的安全挑战 |
| 3.4 带有取证分析DNSSEC系统设计思路 |
| 3.5 功能测试 |
| 3.6 本章小结 |
| 第四章 可扩展分布式DNS的设计与实现 |
| 4.1 可扩展分布式DNS系统的设计思路 |
| 4.2 链上和链下域名的数据结构 |
| 4.2.1 链上域名数据结构 |
| 4.2.2 链下扩展域名数据结构 |
| 4.3 链上域名系统的实现 |
| 4.3.1 链上域名系统的域名注册 |
| 4.3.2 链上域名系统的域名查询 |
| 4.3.3 域名拥有者身份鉴别 |
| 4.4 链下域名系统的实现 |
| 4.4.1 扩展域名的域名注册 |
| 4.4.2 扩展域名的域名解析 |
| 4.5 搭建和测试 |
| 4.5.1 链上环境搭建 |
| 4.5.2 链下环境搭建 |
| 4.5.3 测试结果 |
| 4.6 本章小结 |
| 第五章 总结与展望 |
| 5.1 全文总结 |
| 5.2 工作展望 |
| 致谢 |
| 参考文献 |
| 攻读硕士学位期间取得的成果 |
(6)基于域名服务日志分析的主动防御架构及关键技术研究(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 研究现状及进展 |
| 1.3 研究内容与论文结构 |
| 1.3.1 研究方法 |
| 1.3.2 研究内容 |
| 1.3.3 研究成果 |
| 1.3.4 论文结构安排 |
| 2 基于域名服务日志分析的主动防御架构 |
| 2.1 引言 |
| 2.2 域名服务 |
| 2.2.1 域名系统 |
| 2.2.2 域名解析过程的安全分析 |
| 2.2.3 智能域名服务 |
| 2.2.4 域名服务面临的安全威胁 |
| 2.2.5 域名服务器体系安全 |
| 2.3 域名服务日志分析主动防御架构 |
| 2.3.1 域名服务日志采集 |
| 2.3.2 域名服务和计费日志格式 |
| 2.3.3 数据清洗与映射 |
| 2.4 基于知识图谱的域名服务日志主动防御检测 |
| 2.5 本章小结 |
| 3 域名指纹图谱生成与分析 |
| 3.1 引言 |
| 3.2 域名名单数据集合 |
| 3.3 域名指纹标准库生成 |
| 3.3.1 数据集合定义 |
| 3.3.2 指纹数据集合建立 |
| 3.3.3 指纹图谱的生成 |
| 3.3.4 指纹图谱的存储 |
| 3.3.5 指纹图谱的比对 |
| 3.3.6 指纹图谱的可视化 |
| 3.4 域名指纹图谱的分析 |
| 3.5 实验与结果分析 |
| 3.6 本章小结 |
| 4 正常访问行为的域名指纹图谱检测分析 |
| 4.1 引言 |
| 4.2 网站域名特征指纹分析 |
| 4.2.1 网站域名指纹特征 |
| 4.2.2 基于决策树的网页域名指纹检测分析 |
| 4.3 用户行为特征指纹分析 |
| 4.3.1 用户域名解析行为指纹特征 |
| 4.3.2 基于粗糙聚类的用户访问行为指纹检测分析 |
| 4.4 操作系统和常用应用软件特征指纹分析 |
| 4.5 实验与结果分析 |
| 4.6 本章小结 |
| 5 网络攻击行为域名指纹图谱检测分析 |
| 5.1 引言 |
| 5.2 网络攻击行为分析方法 |
| 5.2.1 网络攻击典型方法 |
| 5.2.2 网络攻击行为检测 |
| 5.3 基于马尔科夫链的网络攻击行为转移概率指纹分类算法 |
| 5.4 算法实验与结果分析 |
| 5.4.1 网络攻击行为检测分析 |
| 5.4.2 常见攻击行为指纹检测分析 |
| 5.5 网络攻击行为检测实例 |
| 5.6 本章小结 |
| 6 基于域名服务的主动防御系统的实现 |
| 6.1 引言 |
| 6.2 网络攻击行为防御 |
| 6.3 代理服务器和蜜罐分析与阻断 |
| 6.4 动态地址联动防御 |
| 6.5 本章小结 |
| 7 总结与展望 |
| 7.1 工作总结 |
| 7.2 未来工作展望 |
| 参考文献 |
| 作者简历及攻读博士学位期间取得的研究成果 |
| 学位论文数据集 |
(7)互联网DNS服务资源测绘技术研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状和面临的挑战 |
| 1.2.1 DNS服务器识别研究现状 |
| 1.2.2 DNS服务器探测研究现状 |
| 1.3 本文的研究内容 |
| 1.4 论文的结构安排 |
| 第二章 DNS服务器识别与探测相关技术 |
| 2.1 DNS协议介绍 |
| 2.1.1 DNS组成 |
| 2.1.2 DNS工作原理 |
| 2.1.3 DNS协议报文格式 |
| 2.2 DNS服务器识别技术 |
| 2.3 DNS服务器探测技术 |
| 2.4 本章小结 |
| 第三章 基于长时间行为特征的DNS服务器识别方法 |
| 3.1 问题描述及模型定义 |
| 3.2 算法实现 |
| 3.2.1 DNS服务器向量化特征表示 |
| 3.2.2 DNS服务器识别特征选择 |
| 3.2.3 基于长时间行为特征的DNS服务器识别算法 |
| 3.2.4 算法整体流程 |
| 3.3 结果评估 |
| 3.3.1 DNS服务器识别评价指标 |
| 3.3.2 实验数据 |
| 3.3.3 实验结果 |
| 3.4 本章小结 |
| 第四章 主被动结合的DNS服务器探测方法 |
| 4.1 问题描述 |
| 4.2 主被动结合的DNS服务器探测方法 |
| 4.2.1 被动DNS服务器信息收集 |
| 4.2.2 DNS服务器信息主动探测 |
| 4.2.3 主被动结合的DNS服务器探测方法 |
| 4.3 实验结果 |
| 4.3.1 实验环境 |
| 4.3.2 实验结果 |
| 4.4 本章小结 |
| 第五章 DNS服务器信息查询系统的设计与实现 |
| 5.1 系统需求分析 |
| 5.2 系统功能结构设计 |
| 5.3 系统总体架构 |
| 5.4 详细设计与实现 |
| 5.4.1 DNS服务器探测与识别模块 |
| 5.4.2 IP地理信息获取模块 |
| 5.4.3 DNS服务器信息展示模块 |
| 5.5 功能测试 |
| 5.5.1 软硬件测试环境 |
| 5.5.2 系统整体测试 |
| 5.5.3 系统性能测试 |
| 5.6 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 作者攻读学位期间发表的学术论文目录 |
(8)基于深度学习和SDN网络的恶意域名检测与防御的研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1.研究背景及意义 |
| 1.2.研究现状 |
| 1.2.1 域名检测的研究现状 |
| 1.2.2 SDN研究现状 |
| 1.3.论文的主要工作 |
| 1.4.论文的组织结构 |
| 第二章 相关技术背景知识介绍 |
| 2.1.DNS域名的层次结构 |
| 2.2.僵尸网络的定义与威胁 |
| 2.3.恶意域名检测 |
| 2.3.1 恶意攻击的变革 |
| 2.3.2 DGA域名 |
| 2.4.软件定义网络相关知识 |
| 2.4.1 软件定义网络定义及工作原理 |
| 2.4.2 软件定义网络的基础网络架构 |
| 2.4.3 软件定义网络特点 |
| 2.5.从感知机到深度学习 |
| 2.5.1 单层感知机 |
| 2.5.2 多层感知机 |
| 2.5.3 神经网络的崛起 |
| 2.5.4 深度学习 |
| 2.6.本章小结 |
| 第三章 域名分类模型的搭建 |
| 3.1.基于域名生成算法生成的域名及其特点分析 |
| 3.1.1 域名生成算法 |
| 3.1.2 域名生成算法生成的域名特征分析 |
| 3.1.3 域名检测难点分析 |
| 3.2.域名检测模型的总体设计 |
| 3.2.1 域名的词向量表示方法 |
| 3.2.2 卷积神经网络层的设计 |
| 3.2.3 分类层设计 |
| 3.3.实验 |
| 3.4.本章小结 |
| 第四章 恶意域名防御系统的建立 |
| 4.1.技术介绍 |
| 4.1.1 对Open Daylight控制器的介绍 |
| 4.1.2 对北向接口REST的介绍 |
| 4.2.恶意域名防御系统设计 |
| 4.2.1 恶意域名防御系统的主要功能模块 |
| 4.2.2 Open Daylight开发流程 |
| 4.3.实验仿真 |
| 4.3.1 搭建实验仿真环境 |
| 4.3.2 对实验结果的解释 |
| 4.4.本章小结 |
| 第五章 总结与展望 |
| 5.1.总结本文工作 |
| 5.2.未来展望 |
| 参考文献 |
| 附录1 攻读硕士学位期间申请的专利 |
| 致谢 |
(10)DNS安全防护技术研究综述(论文提纲范文)
| 1 DNS安全现状 |
| 2 安全威胁分析 |
| 2.1 DNS层级关系及漏洞分析 |
| 2.2 DNS脆弱性分类 |
| 2.2.1 协议脆弱性 |
| 2.2.2 系统实现脆弱性 |
| 2.2.3 体系结构脆弱性 |
| 3 DNS安全增强 |
| 3.1 协议安全增强 |
| 3.1.1 DNSSEC |
| 3.1.2 DNSCurve |
| 3.2 系统实现增强 |
| 3.2.1 传输协议 |
| 3.2.2 查询机制 |
| 3.2.3 信息保密 |
| 3.3 检测监控 |
| 3.3.1 监测DNS用户端与递归服务器间流量 |
| 3.3.2 监测DNS服务器间流量 |
| 3.4 体系结构增强 |
| 3.4.1 全分布式系统结构 |
| 3.4.2 基于区块链的域名结构 |
| 3.4.3 基于根服务器联盟的系统结构 |
| 3.5 小结 |
| 4 未来研究方向 |
| 4.1 去中心化DNS系统的研究 |
| 4.2 开放式DNS服务器安全检测 |
| 4.3 防护方案增量部署 |
| 4.4 云环境下的DNS安全检测与隐私保护 |
| 5 总结 |
四、域名服务器的安全保护(论文参考文献)
- [1]去中心化可信互联网基础设施关键技术研究[D]. 何国彪. 北京交通大学, 2021(02)
- [2]恶意DNS流量检测技术研究与系统实现[D]. 甘蕊灵. 北京邮电大学, 2021(01)
- [3]天地一体化网络分布式标识映射解析系统机制的研究与实现[D]. 冀煌. 北京交通大学, 2021(02)
- [4]新制度经济学视角下美国对域名资源的商标权治理研究[D]. 朱振华. 北京外国语大学, 2021(09)
- [5]DNS安全扩展与可扩展分布式DNS研究[D]. 李妍星. 电子科技大学, 2021(01)
- [6]基于域名服务日志分析的主动防御架构及关键技术研究[D]. 贾卓生. 北京交通大学, 2021(02)
- [7]互联网DNS服务资源测绘技术研究[D]. 王锐. 北京邮电大学, 2021(01)
- [8]基于深度学习和SDN网络的恶意域名检测与防御的研究[D]. 左元威. 南京邮电大学, 2020(03)
- [9]内网域名系统的安全保密风险研究[J]. 王政. 保密科学技术, 2020(10)
- [10]DNS安全防护技术研究综述[J]. 王文通,胡宁,刘波,刘欣,李树栋. 软件学报, 2020(07)