DNS作为互联网的重要基础设施,承载着域名与IP地址之间相互映射的重任,网络上各种应用活动都与之密切相关。与此同时,域名解析服务也成为各类互联网安全威胁的重要工具,如僵尸网络在其扩散与通信中使用DNS定位命令控制服务器,网络钓鱼和恶意代码下载等通过频繁变更域名对应的IP地址来隐匿背后真实的服务器。从网络测量的角度来说,与全报文网络流量相比,DNS数据量相对较小且不加密,可以用于在主干链路上进行实时流量监测。此外,DNS解析请求总是先于具体的攻击活动,理论上DNS流量监测能够在第一时间发现并且抑制网络攻击。因此,基于DNS活动进行恶意服务检测是网络安全领域的一个新动向。面对日益严峻的网络安全问题,为了保障ISP主干网的安全可靠运行,本文以主干节点路由器上采集的DNS交互报文为数据源,以管理域内所有可见域名为检测对象,通过观察域名的字面特征、DNS活动特征以及通信行为特征,研究僵尸网络、钓鱼网站和垃圾邮件等恶意服务的威胁检测与评估方法。本文的主要工作包括以下六个方面。1.为了缓解主干网上进行实时DNS流量检测的性能压力,通过挖掘域名字面包含的词素特征,提出一个轻量级检测算法,快速锁定可疑域名对象。该算法不但可以提高“基于二元组频率分布特征”经典算法的检测准确率,还能够有效地阻止攻击者基于事前相应特征统计的逃逸策略,以及借助字典或者构词工具的随机域名生成策略。2.为了提高主干网上进行实时DNS流量检测的检测精度,针对DNS缓存机制屏蔽终端用户解析查询请求导致下层DNS流量检测算法失效的问题,在借助流记录数据间接获取用户和域名间访问关系的基础上,提出“域名依赖性”测度组,测量域名对用户的重要程度。另外,针对Fast-Flux特征无法区分内容分发网络引起误报增加的问题,通过分析Fast-Flux服务网络和内容分发网络底层基础架构的不同,提出“域名使用位置”测度组,评估用于承载服务的网络基础架构的可靠性。而后应用有监督的多分类器算法模型,兼顾并行化测度计算的效率和多源数据融合处理的精度。与当前主流的通用域名检测系统相比,该算法虽然使用了最小的测度集,却拥有最高的检测精度。3.为了增强攻击活动的语义处理能力,针对发现的可疑域名,同时追踪它们的DNS活动特征和通信行为特征,提出一个识别僵尸网络、钓鱼网站和垃圾邮件等恶意服务的多元分类方法。该方法结合使用DNS数据和流记录数据,比单一数据源识别方法精度要高。4.面对数量庞大的原始域名警报集,提出基于属性相似性的聚合算法,以及挖掘域名序列模式的关联算法。前者通过分析相同的解析IP地址和相似的用户IP地址集,可以有效地减少冗余警报数量,但是不具备分析警报间因果关系的能力。后者针对“域名查询序列相关性”方法只关注相邻两个域名间相关性的不足,将数据挖掘领域的序列模式发现算法应用到警报关联上,通过挖掘域名序列集中的频繁子序列,间接获取警报之间的因果关系,重构攻击场景。5.在缺少网络脆弱性信息的情况下,通过分析攻击活动数目、受害主机数目和持续时间长度三者之间的关系,设计层次化结构的威胁量化指标体系。而后基于分布式系统架构,提出一个适用于主干网的安全威胁量化评估模型,兼顾威胁评估的实时性、全局性和客观性。一方面,由于同时关注攻守双方的当前安全状况和未来变化趋势,可以及时准确地反映整个网络的全局安全态势。不但可以发现网络安全态势的周期性变化规律,还能够通过曲线突变及时检测到管理域内存在的网络安全问题。另一方面,考虑到单独依靠一个指数不足以刻画丰富的态势信息,层次化结构的威胁量化指标体系可以减少自下而上的计算开销。在发现安全隐患时,也为网络安全管理员由全局到局部的问题追踪提供了方便。6.最后,组织上述各个算法模型设计实现了 DNS活动监测原型系统,并在江苏省教育和科研计算机网边界实际部署运行。该系统能够实时检测DNS流量中的DGA域名,识别域名背后绑定的恶意服务,评估它们对被管网络产生的影响,并将最终结果发送给应急响应系统。此外,该系统还具有稳定适中的CPU开销和内存开销,可以缓解主干网上进行实时DNS流量检测的性能压力。