信息网络安全 ›› 2019, Vol. 19 ›› Issue (5): 77-83.doi: 10.3969/j.issn.1671-1122.2019.05.010

• 技术研究 • 上一篇    下一篇

面向安全分析的大规模网络下的DNS流量还原系统

文奕1(), 陈兴蜀1, 曾雪梅2, 罗永刚2   

  1. 1. 四川大学网络空间安全学院,四川成都 610000
    2. 四川大学网络空间安全研究院,四川成都 610000
  • 收稿日期:2018-12-10 出版日期:2019-05-10 发布日期:2020-05-11
  • 作者简介:

    作者简介:文奕(1996—),男,四川,硕士研究生,主要研究方向为网络行为分析;陈兴蜀(1968—),女,四川,教授,博士,主要研究方向为云计算、信息安全;曾雪梅(1976—),女,四川,工程师,硕士,主要研究方向为网络行为和大数据安全分析;罗永刚(1980—),男,贵州,助理研究员,博士,主要研究方向为大数据安全。

  • 基金资助:
    国家自然科学基金[61272447];国家“双创”示范基地项目[C700011];四川省科技支撑计划[2016GZ0038];四川省重点研发项目[2018G20100];中央高校基本科研业务费项目[SCU2016D009,2017SCU11065]

DNS Protocol Restore System for Security Analysis Based on Large-scale Network

Yi WEN1(), Xingshu CHEN1, Xuemei ZENG2, Yonggang LUO2   

  1. 1. College of Cyber Security, Sichuan University, Chengdu Sichuan 610000, China
    2. Cyber Security Research Institute, Sichuan University, Chengdu Sichuan 610000, China
  • Received:2018-12-10 Online:2019-05-10 Published:2020-05-11

摘要:

网络流量还原是网络安全分析的基础,文章针对大数据网络环境下对于海量数据实时响应的需求,提出一种基于Storm流式处理框架的面向安全分析的DNS协议实时还原系统。该系统从消息系统获取原始数据包,逐层对数据包进行解析,将还原完成的DNS数据信息进行序列化处理并发布至消息系统,以供后续安全分析。在DNS还原的基础上,对于DNS还原中存在的利用协议特性格式异常的数据进行研究,在还原系统的基础上,增加对以下三类异常DNS数据包的识别功能:异常DNS格式的数据包,利用UDP松弛空间注入传递额外信息的数据包,利用Null字符欺骗隐藏恶意域名信息的数据包。该系统在10 Gbps的真实大数据网络环境中具有高效实时的处理能力,平均处理延迟在5 ms以内,并具有对异常DNS数据包的识别处理能力。

关键词: DNS, 协议还原, Storm, 大数据, 流式处理

Abstract:

Network traffic restoration is the foundation of network security analysis. A DNS protocol restoration systemfor security analysis based on Storm was proposed aiming at the real-time response to massive data in big data network environment. The system obtains original data packets from the message system, parses the data packet layer by layer, and serializes the restored DNS data to the message system for subsequent security analysis. Based on the restoration, the data which used the protocol’s vulnerabilities or had an abnormal format would be researched and the system has the function to tell the packets which are abnormal in format, using UDP’s relaxation space injection or using Null to cheat and send message. The results of the experiment showed that the system had efficient real-time processing capabilities in the 10Gbps real big data network environment with the average processing delay within 5ms, and the ability to recognize and process abnormally formatted DNS packets.

Key words: DNS, protocol restore, storm, big data, streaming processing

中图分类号: