域名安全監(jiān)測(cè)系統(tǒng)成功案例

域名是網(wǎng)絡(luò)空間的重要資源，域名服務(wù)器更是關(guān)鍵的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，維護(hù)域名安全刻不容緩。近年來(lái)，針對(duì)域名的攻擊事件層出不窮，騰訊、百度、微軟、谷歌等國(guó)內(nèi)外知名網(wǎng)站域名曾相繼被攻擊、被控制。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的《中國(guó)域名服務(wù)安全狀況與態(tài)勢(shì)分析報(bào)告》顯示，我國(guó)境內(nèi)超80%的域名權(quán)威服務(wù)器安全狀態(tài)較差，容易引發(fā)針對(duì)域名服務(wù)器的各類(lèi)攻擊，如域名控制、域名污染、DDoS攻擊和利用動(dòng)態(tài)域名構(gòu)建僵尸、木馬、蠕蟲(chóng)網(wǎng)絡(luò)控制信道等。因此，針對(duì)域名系統(tǒng)的安全監(jiān)測(cè)是國(guó)家網(wǎng)絡(luò)安全保障體系的重要工作之一。 

以山西省為例，長(zhǎng)安通信承建的山西省通信管理局域名安全監(jiān)測(cè)系統(tǒng)，能夠?qū)ι轿魇∪∮蛎到y(tǒng)進(jìn)行實(shí)時(shí)安全監(jiān)測(cè)。采集主要電信運(yùn)營(yíng)商的數(shù)十個(gè)關(guān)鍵域名服務(wù)器流量，使用大數(shù)據(jù)分析平臺(tái)日均分析處理數(shù)十億條乃至上百億條域名訪問(wèn)記錄，可以在5分鐘內(nèi)發(fā)現(xiàn)針對(duì)域名服務(wù)器的DDoS攻擊和利用域名服務(wù)器發(fā)起的DNS反射放大式DDoS攻擊，并在1分鐘內(nèi)發(fā)現(xiàn)重點(diǎn)網(wǎng)站域名污染和劫持事件；采用譜聚類(lèi)、隨機(jī)森林等機(jī)器學(xué)習(xí)方法挖掘識(shí)別監(jiān)測(cè)范圍內(nèi)活躍的僵尸網(wǎng)絡(luò)、木馬和蠕蟲(chóng)等惡意代碼的控制域名，進(jìn)而可實(shí)時(shí)觀測(cè)省內(nèi)感染主機(jī)的數(shù)量和分布，實(shí)時(shí)定位僵木蠕網(wǎng)絡(luò)C&C控制主機(jī)和控制信道，并結(jié)合域名備案數(shù)據(jù)和流監(jiān)測(cè)數(shù)據(jù)，進(jìn)一步挖掘惡意代碼家族分類(lèi)信息。山西省通信管理局域名安全監(jiān)測(cè)系順利實(shí)施后，已成功預(yù)警數(shù)十起針對(duì)重要域名和域名服務(wù)器的攻擊事件，為重點(diǎn)時(shí)期、重點(diǎn)網(wǎng)站域名解析的安全、公共基礎(chǔ)網(wǎng)絡(luò)的運(yùn)行安全以及省內(nèi)僵木蠕網(wǎng)絡(luò)的發(fā)現(xiàn)和處置提供了有力保障，為掌握全省網(wǎng)絡(luò)安全狀態(tài)、集中管理網(wǎng)絡(luò)安全業(yè)務(wù)工作提供了強(qiáng)有力的技術(shù)支撐。 

截止到2015年底，長(zhǎng)安通信成功承建了包括山西和重慶在內(nèi)的多個(gè)省級(jí)域名安全監(jiān)測(cè)系統(tǒng)。