基于SDN和機(jī)器學(xué)習(xí)的惡意域名檢測(cè)與防護(hù)的研究.pdf

1、隨著互聯(lián)網(wǎng)應(yīng)用的持續(xù)發(fā)展和網(wǎng)民數(shù)量的爆炸式增長(zhǎng)，惡意域名給網(wǎng)民帶來的安全威脅正在迅速增加。域名解析服務(wù)（DNS）存在的許多缺陷常常被僵尸網(wǎng)絡(luò)、釣魚網(wǎng)站等惡意網(wǎng)絡(luò)行為所利用。傳統(tǒng)網(wǎng)絡(luò)下對(duì)惡意域名的防護(hù)一般是在用戶主機(jī)或網(wǎng)絡(luò)出口安裝殺毒軟件和防火墻等，但并不是每個(gè)用戶都愿意或具備安裝能力，而且目前對(duì)惡意域名的檢測(cè)主要基于黑名單匹配，需要及時(shí)更新維護(hù)黑名單，往往危害發(fā)生后才進(jìn)行防護(hù)。Fast-flux技術(shù)和DGA域名生成算法等新的網(wǎng)絡(luò)技術(shù)的應(yīng)

2、用更增加了傳統(tǒng)網(wǎng)絡(luò)的傳統(tǒng)方法對(duì)于惡意域名的檢測(cè)和防護(hù)的難度。
　　針對(duì)目前惡意域名檢測(cè)與防護(hù)方法成本高、靈活性低、檢測(cè)精確率低等問題，本文詳細(xì)研究了SDN網(wǎng)絡(luò)框架的特點(diǎn)以及其相關(guān)的技術(shù)，結(jié)合對(duì)機(jī)器學(xué)習(xí)中SVM分類算法的詳細(xì)研究，最終提出了一種基于SDN和機(jī)器學(xué)習(xí)技術(shù)的惡意域名檢測(cè)與防護(hù)的方法，該方法利用SDN轉(zhuǎn)控分離的特點(diǎn)，實(shí)時(shí)地在惡意域名解析階段就對(duì)其進(jìn)行識(shí)別和攔截，并可在應(yīng)用層靈活的控制其進(jìn)行重定向和代理訪問以及數(shù)據(jù)流實(shí)時(shí)監(jiān)控

3、等，惡意域名檢測(cè)階段利用黑白名單和機(jī)器學(xué)習(xí)分類算法對(duì)域名進(jìn)行檢測(cè)，可以有效提高檢測(cè)精確率。本文根據(jù)提出的方法設(shè)計(jì)和實(shí)現(xiàn)了一套惡意域名檢測(cè)與防護(hù)系統(tǒng)，并在Mininet虛擬仿真網(wǎng)絡(luò)拓?fù)渲羞M(jìn)行了實(shí)驗(yàn)驗(yàn)證。該惡意域名檢測(cè)與防護(hù)系統(tǒng)分為三層，分別是轉(zhuǎn)發(fā)層、控制層和應(yīng)用層。轉(zhuǎn)發(fā)層的設(shè)備通過匹配控制層下發(fā)的流表來轉(zhuǎn)發(fā)數(shù)據(jù)；控制層使用Floodlight作為控制器，控制器具有全局的網(wǎng)絡(luò)視圖，可以集中管理和配置整個(gè)網(wǎng)絡(luò)的資源，在控制器中使用Floodl

4、ight的系統(tǒng)模塊API以及結(jié)合SVM分類算法實(shí)現(xiàn)了惡意域名檢測(cè)與防護(hù)系統(tǒng)，系統(tǒng)總共分為四大功能模塊，分別是DNS數(shù)據(jù)包解析、域名檢測(cè)分類、數(shù)據(jù)流重定向、代理訪問及數(shù)據(jù)流監(jiān)控，并對(duì)應(yīng)用層開放相關(guān)的REST API；應(yīng)用層使用nodejs和python調(diào)用控制器開放的REST API分別實(shí)現(xiàn)了web端可視化界面的惡意域名檢測(cè)與防護(hù)管理器和DNS重定向服務(wù)器。實(shí)驗(yàn)證明，本系統(tǒng)能精確地識(shí)別惡意域名并對(duì)其進(jìn)行攔截，根據(jù)配置要求可以進(jìn)行域名DNS