Kaminsky攻击是一种远程DNS投毒攻击,攻击成功后解析域名子域的请求都被引导到伪造的权威域名服务器上,危害极大。通过模拟攻击实验并分析攻击特征提岀一种新的针对 Kaminsky攻击的异常行为分析方法,该方法先提取DNS报文中时间、P、DNS中 Flags和 Transaction II等信息,然后使用滑动窗口对 DNS Transaction II去重之后计算相同IP地址条件下 Transaction ID的条件熵,最后用改进的 CUSUM算法分析条件熵时间序列以检测攻击时间。此外,调取检测出的攻击时间内的数据,相同IP地址条件下 Transaction ID的条件熵可以追溯到投毒目标权威域名服务器的I地址。将攻击流量与正常流量混合作为分析样本,通过调整攻击代码参数模拟不同攻击模式,结果表明该方法不仅时间复杂度小,而且有较低的误检率、漏报率和较高的检测率,是一种有效的检测和分析手段。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
全部0条评论
快来发表一下你的评论吧 !