一、研究背景
多年来,DNS一直面临着安全方面的威胁,也是各种网络攻击行为的重要针对目标。Efficient IP和IDC共同发布的报告显示,DNS攻击的主要方式有网络钓鱼、基于DNS的恶意软件、分布式拒绝服务(distributed denial of service,DDoS)与放大攻击、DNS劫持、DNS隧道、缓存投毒等。其中DDoS、缓存投毒是针对DNS基础设施的攻击,其他则是因DNS滥用对个人用户和企业公司等产生的安全威胁,后者可能对用户及企业造成不可估量的损失。
防护性域名服务也被称为防护性DNS(Protective DNS,PDNS)是一种安全服务。PDNS可通过分析DNS查询来阻止网络钓鱼、恶意软件、勒索软件、不良内容和其他网络攻击,并防止用户和流量访问恶意网站,从而提高网络的安全性。图1给出了防护性域名服务示意。
近年来防护性域名服务在全球呈现出良好发展态势。根据服务提供方以及服务目标对象的不同,防护性域名服务可分为两种类型:域名服务商服务与国家/区域级服务。目前,多个大型公共DNS递归解析服务已支持防护性域名服务。此外,多个国家/区域推出了防护性DNS服务或提出计划。
本研究对用户侧DNS安全威胁与问题、PDNS关键技术进行系统梳理(已发表论文《防护性DNS服务关键技术研究综述》)。工程实践方面,基于防护性域名服务原型系统,实现了PDNS相关的多项关键技术工程验证。
二、防护性域名服务关键技术综合研究
(一)用户侧DNS安全威胁与问题
用户侧DNS安全一般是指用于保护用户在DNS解析过程中免受恶意行为影响的技术或策略。用户侧DNS解析的安全威胁和问题主要包括:网络钓鱼、域名不良应用、恶意软件攻击、速变恶意域名、字符注入攻击、DNS重绑定攻击等。
(二)防护性域名服务核心功能与关键技术
典型PDNS服务的核心功能主要有:域名威胁情报管理、域名威胁处置、域名威胁感知、数据存储管理。根据PDNS的功能分类,PDNS关键技术可分为4类:域名威胁处置技术、DNS异常检测技术、威胁情报管理技术、数据存储管理技术。域名威胁处置技术包括响应策略区(response policy zones,RPZ)技术和DNS Sinkhole技术;DNS异常检测技术包括:网络钓鱼检测技术、域名不良应用检测技术、恶意软件攻击检测、速变域名检测技术、DNS隧道攻击检测技术、DNS重绑定攻击检测技术、恶意域名检测与分类技术;域名威胁情报管理技术包括:黑名单与网络威胁情报(cyber threat intelligence,CTI)技术;数据存储管理技术包括:数据仓库、数据湖、湖仓一体技术。
三、防护性域名服务原型系统
本研究设计并实现了防护性域名服务原型系统,原型系统主要包括三个部分:域名威胁情报管理系统、RPZ数据服务器、DNS递归服务器。
域名威胁情报管理系统功能主要包括域名威胁情报管理、威胁处置策略管理、威胁情报数据共享、多源数据清洗、聚合及统计分析等。RPZ数据服务器支持同步RPZ数据至DNS递归服务器。DNS递归服务器除了支持递归解析服务,还支持基于RPZ协议执行RPZ策略的功能。
本研究基于原型系统完成技术验证。在此基础上,进一步提出了防护性域名服务相关的域名威胁情报管理改进优化方案,减少对DNS协议的依赖,提升数据传输效率。
四、总结
本研究对PDNS已有研究工作、应用现状及架构与功能进行了系统梳理,对PDNS所涉及的关键技术进行了系统综述,主要包括域名威胁处置技术、DNS异常检测技术、威胁情报管理技术和数据存储管理技术,分析了PDNS目前面临的问题与挑战;突破多源域名威胁情报汇聚管理关键技术、域名威胁情报与威胁处置联动关键技术,搭建域名威胁情报管理原型系统,完成相关技术验证。研究成果可用于用户侧DNS安全增强以及基于域名的网络安全增强。
来源:“CNNIC 国家工程实验室”公众号
作者:马中胜,中国互联网络信息中心高级工程师,主要研究方向为域名安全、路由安全。
推荐阅读:
