摘 要:本文研究基于DNS日志分析的网络异常监测系统,通过对校园网DNS日志进行分析,能够得出用户进行域名访问的规律,提取用户行为特征,掌握网络运行状况,并通过定义DNS访问次数偏移度,即时发现并定位网络异常。
关键词:DNS;日志分析;异常检测
1.引言 随着网络规模的迅速扩大,网络环境和用户群体的日益复杂,对网络管理提出了更高的要求。网络管理者不仅希望能够掌握网络流量、拥塞状况等信息,同时也希望能够掌握用户进行域名请求等相关信息,通过这些信息发现用户行为规律和网络异常。DNS是网络中的一项基础服务,通过监控网络中的DNS服务器,网络管理者可以获取用户发起域名访问请求的相关信息,并应用于网络运营。DNS服务除了提供域名解析等基本功能,还能够被用于检测僵尸网络和蠕虫检测、入侵检测、发现以及预防DDOS攻击等关乎网络安全的许多方面。本文所研究的基于DNS日志分析的异常监测系统可对DNS服务器日志进行分析,通过分析DNS日志,获取网络中用户进行域名查询请求的信息,提取用户的行为特征,发现DNS服务的异常状况。 异常检测技术 域名解析服务是通过DNS系统完成的互联网上的基础服务,通过DNS提供的域名解析服务,用户能够获取域名与IP地址间的对应关系。DNS系统可以存储用户进行域名解析过程的相关信息,这些与用户行为相关的信息可以被用于网络异常检测。DNS系统能够提供与用户相关的域名查询信息,以DNS提供的数据为基础能够进行僵尸网络的检测、蠕虫检测、入侵检测以及DDOS攻击检测等各类网络异常检测。已有方法针对不同的网络异常提取特定的DNS数据,DNS能够提供的数据不能够全部的有效利用。其次,上述方法没有针对网络整体的运行情况的监控也不能通过DNS系统提供的丰富的用户相关信息对用户的行为特征进行提取分析。 3.系统架构 本系统以网络DNS服务器日志为源数据,通过数据挖掘、统计的方法将统计信息存入本地数据库,然后再通过二次数据挖掘对DNS日志数据进行分析。在本系统中,实现了DNS域名查询次数统计、DNS 查询IP统计、特定域名查询统计、DNS均线系统、访问异常检测等功能,系统架构如图1所示:
系统按照功能可以划分为两大模块:日志统计模块和日志分析模块。4.系统关键技术实现4.1DNS日志数据统计模块 DNS日志数据统计模块实现了最基本的DNS访问日志的统计功能:统计每小时(天)DNS服务器响应的请求次数,每小时(天)被请求最多的十个域名,每小时(天)发起请求最多的十个IP地址,特定域名每小时(天)的访问次数。DNS记录格式为<日期,访问域名,发起访问IP>,通过解析DNS日志记录,可以分别获得DATE, QUERY_DOMAIN, IP三个字段的信息。Domain Hash Table以
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。 返回电子论文列表
