域名系統(tǒng)(DNS),在互聯(lián)網(wǎng)上映射域名和IP地址的分布式數(shù)據(jù)庫,是各種信息系統(tǒng)協(xié)調(diào)與合作的“中樞神經(jīng)”。鑒于歷史原因造成了DNS的復(fù)雜性和脆弱性,如果DNS癱瘓將會造成非常嚴(yán)重的后果。面對網(wǎng)絡(luò)中各種異常的DNS行為,通過分析DNS通信數(shù)據(jù),可以獲得大量的正�；虍惓；顒有畔�,繼而檢測惡意行為并控制惡意活動。惡意活動控制的關(guān)鍵在于檢測速度和準(zhǔn)確性,然而目前異常檢測的方法如NetFlow/sFlow報文采樣方式,DDoS/Port Scan異常流量發(fā)現(xiàn),分析方式太粗,會丟失較多信息,造成檢測結(jié)果的缺失;如數(shù)據(jù)包檢測(DPI),是基于已知簽名的識別方式,這對于加密流量的檢測作用有限。所以,利用元數(shù)據(jù)(MetaData)的檢測方式是介于兩者之間的,這將會是進行異常情況檢測的有效途徑。同時,DNS元數(shù)據(jù)相較于原始采集數(shù)據(jù),會大大減少對于CPU和內(nèi)存等系統(tǒng)資源的占用,減小對網(wǎng)絡(luò)傳輸設(shè)備的影響。本論文以元數(shù)據(jù)為驅(qū)動,重點過濾異常狀態(tài)和現(xiàn)象,并以此為索引,回溯聚類、逆向溯源、關(guān)聯(lián)分析、發(fā)現(xiàn)疑似、協(xié)同聯(lián)動。總結(jié)前人有關(guān)DNS數(shù)據(jù)異常行為檢測的方法,提出了基于DNS元數(shù)據(jù)的異常檢測系統(tǒng)。系統(tǒng)基于大數(shù)據(jù)kafka+storm集群進行數(shù)據(jù)處理,提取全流量的DNS元數(shù)據(jù)作為網(wǎng)絡(luò)安全分析中重要的資產(chǎn)。系統(tǒng)設(shè)計中結(jié)合了威脅情報庫,主要職能模塊為數(shù)據(jù)預(yù)處理模塊、統(tǒng)計分析模塊和異常檢測模塊。系統(tǒng)“預(yù)處理+分析+檢測”的多層次的方式比較全面的分析了數(shù)據(jù),以遞進和補充的方式實現(xiàn)異常行為的檢測。
【學(xué)位單位】：中北大學(xué)
【學(xué)位級別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

中北大學(xué)學(xué)位論文別 作用 不佳表現(xiàn)3) 被引向惡意網(wǎng)站S處理非權(quán)威性域和記錄的查詢1) 互聯(lián)網(wǎng)無效，嚴(yán)重退化2) 數(shù)據(jù)泄露3) 被引向惡意網(wǎng)站理通信的原理，路由器的路徑是通過 IP 地址轉(zhuǎn)發(fā)的。當(dāng)訪問DNS 服務(wù)器將該主機名解析為 IP 地址。工作原理如圖 2.1 所訪問域名 www.baidu.com 為例。

DNS查詢和響應(yīng)的一般格式（1）首部中包括標(biāo)識字段、標(biāo)志、問題數(shù)、資源記錄數(shù)、授權(quán)資源記錄數(shù)和額外

圖 2.3 DNS 查詢報文中查詢部分的格式，是由一個或幾個標(biāo)識符構(gòu)成的序列。用首字的字節(jié)長度，域名末尾標(biāo)識符的字節(jié)數(shù)為 0。查圖 2.4 域名 smdfgh.uxz.dma.com 的表示行的服務(wù)類型 Type，通常為 A，即 IP 地址查詢中的響應(yīng)部分響應(yīng)部分包括回答字段、授權(quán)字段和額外信息字
【相似文獻】

相關(guān)期刊論文 前10條

1 張曉娟;唐長樂;;我國政府信息元數(shù)據(jù)標(biāo)準(zhǔn)體系框架構(gòu)建及其應(yīng)用流程[J];信息資源管理學(xué)報;2018年03期

2 劉建華;張智雄;;保存元數(shù)據(jù)的發(fā)展趨勢研究[J];圖書館雜志;2016年06期

3 蔡學(xué)美;;檔案管理視角下的電子文件元數(shù)據(jù)[J];中國檔案;2014年04期

4 許軔;;國內(nèi)外描述性元數(shù)據(jù)研究綜述[J];四川圖書館學(xué)報;2013年04期

5 錢毅;;論電子文件中心元數(shù)據(jù)方案的管理策略[J];檔案學(xué)通訊;2012年06期

6 徐玉萍;;元數(shù)據(jù)在知識管理中的應(yīng)用[J];遼寧師范大學(xué)學(xué)報(社會科學(xué)版);2011年03期

7 高翔;;數(shù)據(jù)倉庫中多維元數(shù)據(jù)的組織研究[J];信息與電腦(理論版);2010年06期

8 沈蕓蕓;肖瓏;馮英;;元數(shù)據(jù)應(yīng)用規(guī)范研究[J];現(xiàn)代圖書情報技術(shù);2010年12期

9 ;OCLC為出版商啟動元數(shù)據(jù)服務(wù)[J];現(xiàn)代圖書情報技術(shù);2009年11期

10 陳力娟;;淺談元數(shù)據(jù)及其應(yīng)用[J];中國統(tǒng)計;2006年11期

相關(guān)博士學(xué)位論文 前10條

1 王智化;燃煤多種污染物一體化協(xié)同脫除機理及反應(yīng)射流直接數(shù)值模擬DNS的研究[D];浙江大學(xué);2005年

2 王趙琛;醫(yī)學(xué)情境下基因檢測的倫理學(xué)探究[D];北京協(xié)和醫(yī)學(xué)院;2014年

3 戴露;煤礦地測數(shù)據(jù)的地理本體與網(wǎng)絡(luò)服務(wù)研究[D];中國礦業(yè)大學(xué);2010年

4 周俊臨;基于數(shù)據(jù)挖掘的分布式異常檢測[D];電子科技大學(xué);2010年

5 顧平莉;SaaS應(yīng)用中多租戶若干關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2012年

6 殷繼永;蛋白質(zhì)芯片技術(shù)定量檢測血清鐵蛋白和可溶性轉(zhuǎn)鐵蛋白受體方法的研究[D];中國疾病預(yù)防控制中心;2011年

7 葉芳芳;監(jiān)控視頻中的異常行為檢測研究[D];浙江大學(xué);2014年

8 劉海龍;免疫入侵檢測中檢測器優(yōu)化與多形態(tài)檢測研究[D];哈爾濱理工大學(xué);2013年

9 周鑫淼;興奮劑生長激素檢測方法的研究[D];北京體育大學(xué);2012年

10 張抒;可視目標(biāo)檢測與分割關(guān)鍵技術(shù)研究[D];電子科技大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 蘇師師;基于元數(shù)據(jù)的DNS異常檢測系統(tǒng)設(shè)計與實現(xiàn)[D];中北大學(xué);2018年

2 趙闖;數(shù)據(jù)倉庫元數(shù)據(jù)管理技術(shù)研究與應(yīng)用[D];東北大學(xué);2011年

3 劉文博;水土保持元數(shù)據(jù)及關(guān)鍵技術(shù)研究[D];北京林業(yè)大學(xué);2012年

4 解曉偉;分布式文件系統(tǒng)元數(shù)據(jù)擴展管理研究與實現(xiàn)[D];北京郵電大學(xué);2014年

5 何玉濤;云存儲中的元數(shù)據(jù)管理方法研究與實現(xiàn)[D];北京郵電大學(xué);2012年

6 王浩然;海洋文獻元數(shù)據(jù)的語義標(biāo)注技術(shù)研究[D];中國海洋大學(xué);2008年

7 李茉;數(shù)據(jù)倉庫元數(shù)據(jù)的管理與實現(xiàn)[D];東北師范大學(xué);2005年

8 鄒楠;文件系統(tǒng)元數(shù)據(jù)圖譜化研究[D];華中科技大學(xué);2017年

9 李劼;質(zhì)量元數(shù)據(jù)及其管理系統(tǒng)的研究與應(yīng)用[D];重慶大學(xué);2007年

10 韓新春;空間元數(shù)據(jù)和數(shù)據(jù)集一體化管理模型及應(yīng)用研究[D];成都理工大學(xué);2005年

本文編號：2865885