基于聚类算法的DNS攻击检测DOI：10.16644/33-1094/tp.2016.07.009摘要：DNS是Internet应用基础通过DNS映射主机名和IP地址信息来保证两者间正常解析但DNS设计有先天缺陷使得其成为被网络攻击的首要对象。为了研究DNS攻击检测方法从网络遭受DNS攻击的特性等方面分析提出将捕获到的数据包进行过滤并将过滤后数据信息通过K-means聚类算法分为不同类别再用相应算法判定该类数据是否为DNS攻击。关键词：DNS攻击；过滤；聚类；K-means算法中图分类号：TP393.08文献标志码：A文章编号：1006-8228（2016）07-31-03DNSattackdetectionbasedonclusteringalgorithmLiJian（CommunicationUniversityofShanxiJinzhongShanxi030619China）Abstract：DNSisthebasisofInternetapplication.InordertoensurethenormalparsinginformationbetweenthehostnameandIPaddresstheDNSusingmappingmethods.ButDNSmakesittheprimaryobjectofnetworkattackbecauseofitsbirthdefects.InordertostudytheDNSattackdetectionmethodsthearticleanalyzesthecharacteristicsofDNSattackfromnetworksproposestofilterthecaptureddatapacketsanddividethesedataintodifferentcategoriesbyusingK-meansmethodsandthenwhetherthedataisDNSattackisdeterminedbythecorrespondingalgorithm.Keywords：DNSattack；filter；clustering；K-meansalgorithm0引言DNS实现IP地址与网络域名之间的映射关系是Internet重要的基础设施但DNS设计本身没有完善的安全措施使得其成为主要被攻击对象。2010年1月百度域名NS记录被伊朗网军（IranianCyberArmy）劫持持续时间8小时直接经济损失700万人民币[1]。2013年8月CN域DNS受到DDOS攻击导致所有CN域名无法解析。2014年1月发生的全国DNS故障是大陆境内遭受最为严重的DNS攻击事件所有通用顶级域（.com/.net/.org）均遭到DNS污染[2]。国内外很多学者针对DNS攻击问题曾提出许多解决方案。1997年1月IETF域名安全工作组提出了DNS安全扩展协议[3]以此加强DNS基础设施安全性。Fetzer[4]提出SSL协议改进DNS安全性但SSL是面向连接的协议以TCP协议为基础不适合DNS广泛使用的UDP协议。除了对协议本身研究外也有研究提出在现有基础上改进安全方案但大多方式是针对现有技术基础上的服务器软件升级、禁止相关功能等较为被动的方法对DNS攻击缺乏必要的解决方案为解决此类问题需对检测和防御技术作深入研究。1DNS攻击原理DNS作为开放的协议体系其上数据未加密也没有足够的信息认证和保护措施对基础设施和主要设备的攻击未能引起足够重视。DNS系统在给全球用户提供域名解析服务的同时也遭受到来自各方的攻击和安全威胁主要攻击特征描述如表1所示。由表1可知大多针对DNS的攻击都会导致源、目的IP、端口信息等产生异常。因此可通过分析报头信息来检测其是否受到DNS的攻击分别选取报文5维属性（源IP目的IP源端口目的端口报文长度）作为分析数据一定时间间隔内（如5min）截取相关端口数据包分别统计各维度数据并依据统计数据做相关处理和检测以确定其是否受到DNS攻击。具体异常检测模型流程如图1所示。具体方法为：在一定时间间隔内（如5min）捕获经过网络端口的数据包并分别统计各维度数据；根据数据可信白名单进行过滤分离出正常网络流量数据；使用聚类算法对过滤出来的数