DNS域名安全实时检测研究

中国移动集团重点 /联合研发项目结题汇报报告 项目名称： 项目编号： 第 2页 研究背景 目 录 系统组网结构图 海量 模拟实验情况汇报 第 3页 研究背景 1、 旦被攻击，将产生重大通信阻断问题： 2009年电信 519暴风攻击事件导致 电信 6省互联网 省受到不同程度影响；联通、铁通各有 14省 动由于互联网用户较少， 6个省 0%左右。 2、缓存投毒、域名劫持安全问题越发突出： 2010年 1月 12日晨 7时起，至 12时之间网络出现百度出现无法访问的情况。官方事故原因说明为：致全球多处用户不能正常访问百度。 针对 要一个系统能够实现对 依靠策略对于所有的访问进行监控，对于可能出现的安全事件（如大规模攻击、网站欺诈等）及时作出判断，并可采取相应的措施进行封堵。 第 4页 研究背景 目 录 系统组网结构图 海量 模拟实验情况汇报 第 5页 四川移动针对 一 ) 一、 建立应用层网络攻击自动防御机制，当 效消除 确保 预警环节 ： （ 三项关系为或） 1、单位时间 能为遭受海量请求攻击 2、单位时间域名解析失败量达到设定条件，可能遭受畸形报文攻击，以及构造虚拟域名进行海量请求攻击； 3、某域名单位时间请求量达到设定条件，可能某网站被攻击 启动环节： 智能化封堵环节： 建立单位时间“ 系模型，并动态更新。封堵机制启用时，系统将用户侧 满足设定条件的 序添加 智能化保护环节： 当 止僵尸 止防火墙过载退服。 智能化还原环节： 当 序自动解封。 第 6页 二、建立 遭受缓存投毒攻击以及域名劫持攻击时，自动清理缓存服务器域名数据， 确保 1、有效识别缓存投毒攻击，实时预警并自动修复 在 于发往同一个递归 常的情况只产生 1个回应包。当在 10秒内收到来自该 明这个请求链路之间被缓存投毒，系统将实时告警，并自动登陆缓存服务器进行数据清除。 2、有效识别域名劫持，实时预警并自动修复 建立第三方域名库（部分热点域名、重点域名），将 域名解析错误时，自动登陆授权服务器进行数据修复。 3、对于域名异常情况进行半自动分析，生成钓鱼网站库，并自动同步 施钓鱼网站拦截，加强用户关怀，提升客户感知。 （该功能的完善，还需要结合网页数据比对分析，计划下阶段开展） 四川移动针对 ） 第 7页 研究背景 目 录 系统组网结构图 海量 模拟实验情况汇报 第 8页 系统组网结构图 四川公司 端采用两台 550防火墙作为 过镜像数据方式抓取前端 8508上所有数据包进行分析，监测平台根据预设规则加以处理，对监控的异常 这种部署结构适用于不同网络的 影响 第 9页 研究背景 目 录 系统组网结构图 海量 模拟实验情况汇报 第 10页 海量 预警环节： 分析海量 立一套对异常请求攻击的预警模型，包括 单个域名解析请求增量模型 。 启动环节： 系统实时关注 统设定适当的启动条件，当 动 发起攻击的 封堵环节： 系统建立单一 过模型可判断提取发起异常解析请求的 某 入僵尸库，根据请求总量大小，按序封堵。 保护环节： 在封堵过程中，系统同时实时关注防火墙负载情况，当防火墙符合达到一定压力时，停止添加阻断策略，防止防火墙因过载导致退服风险，对防火墙及整个网络起到智能保护作用。 还原环节： 当攻击结束， 统根据智能化策略老化机制，撤除防火墙上的阻断策略，使得整个网络运行状态恢复到攻击发生前的原始正常状态。 预警 启动 封堵 保护 还原 第 11页 海量 第 12页 预警环节单位时间 通过较长时间对四川移动 ：白天平均每分钟访问量通常在 26间，夜晚高峰也不会 超过 34万 。我们据此建立了 5分 钟 5分 钟累计请求量超过 170万 时，系统将进行实时告警，并给出 5分钟内请求的客户端 目前根据此策略，日均告警量在 15条左右，而且在短时间内都能恢复正常，基本排除人为攻击，通常是网站促销等秒杀活动，或热点事件。 正常情况下 短时间内域名访问请求突然大幅增高，则有可能发生了 们以此建立了 第 13页 通过较长时间对四川移动 ：白天平均每分钟失败量通常 间，夜晚高峰也不会超过 我们据此建立了 5分钟 败量的模型，当 5分钟累计请求量超过 15万 时，系统将进行实时告警，并给出 5分钟内失败请求的发起端 目前根据此策略，日均告警量在 25条左右，仅在 11月 30日晚上 22： 100表现异常， 5分钟内最大失败次数最高达到了 22万，经查是 确认此 P，故没进行封堵，监控 40分钟后，恢复正常。 正常情况下 短时间内域名访问失败返回突然大幅增高，则有可能发生了 们以此建立了 预警环节单位时间 第 14页 通过对单一域名的解析请求话务模型的分析，建立了两种攻击发现机制：单一域名解析总量模型和但以域名解析增量模型。分别适用于点击量小的非热点域名和点击量大的热点域名。因此，我们建立了 “访问量滑动平均值”计算模型 ：系统会针对单个域名在 5倍单位时间内的解析请求平均值作为判定基数，以智能化的适应每天访问量的自然波峰和波谷计算，有效提高判断的准确性。 此策略可针对不同数量级的点击量的域名，设定响应的告警阀值。 预警环节单一域名解析请求增量设定条件研究 正常情况下同一域名的解析量应该保持在相对平稳的变化范围内，当短时间内该域名访问请求突然大幅增高，则该域名可能被攻击。我们以此建立了单个域名解析总量和增量话务模型。 单个域名解析总量话务模型 单个域名解析增量话务模型 滑动均值： 86 峰值： 2507 滑动均值： 606 峰值： 5103 第 15页 启动环节 启动环节： 系统实时关注 统设定适当的启动条件，当 动 发起攻击的 通过近一个月对我省 现在正常情况下它们的状态值都很稳定，当出现大量的攻击事件时， 下图所示： 根据这些统计值，我们将 %， 内存使用率设置为 35%，即能够作为系统运行状态是否正常的重要判定依据。 当 启动自动封堵处理流程，对事件源 第 16页 封堵环节智能化封堵设定条件研究 通过较长时间的观察，我们发现除开 公网出口等这些内部 一 00次 /分钟 以内，即便是夜间峰值也很难超过 1500次 /分钟 ；请求失败率通常稳定在 10%以下，峰值不会超过 20%。因此，我们分别建立了单一 5000次 /5分钟，较话务模型增长倍数超过 2倍 / 5分钟及 5分钟单一 000/次的异常 封堵环节： 系统建立单一 过模型可判断提取发起异常解析请求的某 列入僵尸库，根据请求总量大小，按序封堵。 正常情况下单一 短时间内某个 该 们以此建立了单一 第 17页 封堵环节封堵实施环节 通过这两个话务模型的应用，平均每天能够发现 610个 经观察，均为短时间请求异常，未对 当 启动自动封堵机制，即对事件源 封堵方式：系统通过 事件源 实现对该 第 18页 保护环节防火墙过载保护设定条件研究 保护环节： 在封堵过程中，系统同时实时关注防火墙负载情况，当防火墙符合达到一定压力时，停止添加阻断策略，防止防火墙因过载导致退服风险，对防火墙及整个网络起到智能保护作用。 我省系统采用的防火墙是 550，虽然它对策略条数无限制，但是当封堵策略中的 使防火墙的性能明显下降。 当防火墙处理负载达到设定条件时，停止僵尸 止防火墙过载退服。 通过 防火墙 是否过载 否 封堵 不做处理 是 过载设定： 第 19页 还原环节解封设定条件研究 还原环节： 当攻击结束， 统根据智能化策略老化机制，撤除防火墙上的阻断策略，使得整个网络运行状态恢复到攻击发生前的原始正常状态。 智能还原机制： 当防火墙上对应 过如下两种方式进行自动老化： （ 1）定时老化机制： 根据设定的封堵时长，能够定时将已经超过封堵时长的 此之外，还可以手动将未到达封堵时长的 （ 2）智能老化机制：实时检测 照封堵顺序，自动排序退化老化策略，结束封堵。 通过 防火墙解除封堵 不作任何处理 恢复正常 防火墙中标是否 明显下降限 是 是 否 否 第 20页 研究背景 目 录 系统组网结构图 海量 模拟实验情况汇报 第 21页 缓存投毒保护模型： 在 于发往同一个递归 常的情况只产生 1个回应包。当在 10秒内收到来自该 明这个请求链路之间被缓存投毒，系统将实时告警，并自动登陆缓存服务器进行数据清除。由于缓存数据清理后， 到域名保护作用。 解析 与回应包 否 缓存清理 回应包的数量 大于 1 是 对每一请求包的 回应包计数 不做处理 否 第 22页 研究背景 目 录 系统组网结构图 海量 模拟实验情况汇报 第 23页 域名劫持保护模型： 在 取 立第三方热点 /重点域名库，以此为标准进行域名解析正确性判断，发现解析错误时，借助人工判断确定是否发生域名劫持。当解析结果判定为正确时，可同步更新域名库。当解析结果判定为错误时，系统同步告警，并按照设定自动登录 除域名劫持。 响应数据 第三方重点 / 热点域名库 是否匹配 否 实时告警 不做处理 是 人工审核 错误 正常 更新域名库 自动登录授权服务器修复错误解析信息 第 24页 钓鱼网站发现机制： 疑似钓鱼网站域名 缓存投毒攻击监测 域名相似度 分析 网页相似度 分析 人工审核 策略老化机制 将现有系统缓存投毒和域名劫持模块所告警的域名，进行域名相似度的分析，对十分相似的域名以组的方式形成报表。 对报表内的域名，利用我公司现有的网页爬虫系统进行网页数据的爬取，并对网页进行结构和内容相似度分析。 对域名相似度和网页相似度都很高的网站加入到疑似钓鱼网站库。 再由人工拨测的方式对疑似钓鱼网站库中的网站进行审核确认，找出钓鱼网站，加入钓鱼网站库。 对存在于疑似钓鱼网站库的域名，可通过时向客户端 一步提高移动 一步研究方向） 第 25页 研究背景 目 录 系统组网结构图 海量 模拟实验情况汇报 第 26页 模拟实验情况汇报 搭建与现网环境相同的模拟环境，采集点部署在 接入真实 具体拓扑图如下： I n t e r n e tQ u i d w a y 6 5 0 6后 台 处 理 服 务 器数 据 采 集 器D N S 异 常 监 测 及 应 急 处 理 系 统缓 存 D N S 服 务器C i s c o 4 5 0 3I P 阻 断域 名 阻 断域 名 劫 持 恢 复集 中 监 控 服 务 器局 域 网 交 换 机P i x 5 2 5C i s c o 4 5 0 3测 试 环 境第 27页 实验目的： 单一 证系统告警和阻断。 实验过程： 添加【监测策略管理】【 略，如 5分钟单一 0000次 ； 测试人员利用请求工具由公网发起 3万次以上包含正常域名的循环请求，系统产生单一 点击阻断，登录防火墙查看是否存在阻断策略记录，并由攻击发起端 点击取消阻断，登录防火墙查看是否已取消阻断，并由攻击发起端 实验结果： 单一 点击添加阻断 点击取消阻断 阻断成功。 模拟实验情况汇报 第 28页 实验目的： 单一 实验过程： 添加【监测策略管理】【 略，如 5分钟单一 000次 ； 利用请求工具由公网发起 5000次以上包含错误域名的请求，系统产生单一 点击阻断，登录防火墙查看是否存在阻断策略记录，并由攻击发起端 点击取消阻断，登录防火墙查看是否已取消阻断，并由攻击发起端 实验结果： 单一 点击添加阻断 点击取消阻断 阻断成功。 模拟实验情况汇报 第 29页 实验目的： 域名访问绝对流量超过阀值告警阻断。 实验过程： 添加【域名流量攻击】策略，如 5分钟请求次数 从 100 到 1000 (即原访问数在 100到 1000内级别 ) 增加到 5000 以上 ，并选择自动阻断选项为“不阻断” ； 通过请求工具发起 5000次以上针对测试域名的循环请求，系统产生域名绝对流量告警； 点击阻断，登录 确认是否可继续打开网址； 点击取消阻断，登录 确认是否可打开网址。 实验结果： 域名绝对流量请求次数告警 点击添加阻断 点击取消阻断 阻断成功。 模拟实验情况汇报 第 30页 实验目的： 域名访问相对增量超过阀值告警阻断。 实验过程： 添加【域名流量攻击】策略，如 5分钟请求次数 从 1000 到 10000 增加百分之 150 以上（即在原访问数基础上增量超过 150%）以上 ，并选择自动阻断选项为“不阻断” ； 通过请求工具发起