域名系统(Domain Name System,DNS)作为互联网基础服务,最主要的功能是提供域名和IP地址之间的映射关系。几乎所有的互联网活动都从域名查询开始,域名系统的安全关系到全球互联网的安全稳定运行。然而域名系统的相关协议在设计之初缺乏对安全性的考虑,使其容易遭受攻击。在现实网络中,因为域名服务器的不恰当部署,更加剧了其受到攻击的风险。2019年2月,由Google、ISC、PowerDNS、Cisco、Cloudflare等全球著名域名系统软件与服务提供商联合发起,并推动了扩展DNS机制(Extension Mechanisms for DNS,EDNS0)强制部署的行动。该行动将不支持EDNS0的权威服务器,标记为服务不可用,从而导致域名无法正常解析。目前还缺乏对存在可用性问题的域名服务器数量进行测量和统计的方法,进而评估对全球域名系统服务可用性和效率的影响。网络测量是分析和了解网络运行情况的重要手段之一。对全网进行系统性的测量可以全面了解网络运行状态与安全现状,对维护网络运行安全稳定具有重要意义。在对域名系统开展测量的工作中,存在数据集局限、缺少对域名系统扩展测量以及安全问题测量不全面等缺陷。针对上述缺陷,本文提出了一种对域名系统新型扩展与多种安全问题综合测量方法,设计并实现了基于上述测量方法的测量原型系统,并通过大规模网络范围下的测量研究,验证了测量方法有效性和系统运行的稳定性。针对当前缺少DNS恶意流量数据集与流量数据匿名化工具短缺的问题,本文提出了一套以原型系统流量数据为基础的DNS恶意流量数据生成与匿名化处理的方案。本文的主要工作和成果如下:(1)提出了权威服务器DNS新型扩展和多种安全问题的测量方法。针对已有研究测量数据集局限、安全测量不全面、缺少对DNS扩展测量的问题,研究提出了将Passive DNS数据用作测量数据集的DNS新型扩展与安全问题主动测量方法。Passive DNS积累近四年来网络中出现过的域名,数据集覆盖范围得到极大提高;结合现实网络部署实例,分析了网络中间设备对测量的影响,提出了DNS扩展可用性测量方法;优化了单一安全问题测量中存在的重复步骤,形成了对权威服务器安全问题的综合测量方法,并对测量过程中可能对被测目标带来的影响提出了缓解措施。与已有研究相比,这种测量方法具有快速准确、测量全面和可扩展性强的优势。(2)构建了大规模网络下对域名系统服务器扩展可用性与安全问题测量原型系统。针对Passive DNS数据集原始数据量庞大、数据质量不高的问题,结合域名系统层次化结构的特点,提出了加入二级域名有效性检查的数据清洗方法,有效提高了数据清洗效果,缩小数据集规模;提出多点测量的系统部署方案,通过对各测量点结果的分析融合提高了测量准确性。测量原型系统由域名数据处理模块、网络测量模块和数据库模块组成。通过中国教育网权威服务器测量实验,验证了测量方法的有效性。目前系统已处理超过3亿条Passive DNS数据,实现对中美政府与教育类域名的定期测量,验证了系统大规模网络范围可用性与稳定性。(3)设计并实现了一套DNS恶意流量数据集生成与处理方案。针对多种恶意流量生成困难与流量数据匿名化处理不成熟的问题,本方案从测量原型系统、网络蜜罐、恶意软件沙箱获取恶意流量,从教育网权威服务器以及校园网出入口获取背景流量,尽可能全面还原攻防对抗场景;为了避免数据集中现网流量带来隐私泄露风险,基于数据匿名化的思想,提出从数据链路层到应用层的分层匿名化处理方案。为了避免通过侧信道方式进行恶意流量识别,采取泛化网卡硬件参数与时间戳校正的方法,丰富和深化了匿名化处理方案,在充分保护数据隐私的前提下保留DNS恶意流量特征以便于开展研究分析。在清华大学与奇安信集团的举办DataCon安全大数据竞赛中采用了本方案,验证了数据处理方案有效性。