导师序言

域名系统（DNS）是互联网重要的基础服务之一，除了完成域名和IP地址的相互转换以外，也是互联网Web应用、电子邮件、公钥基础设施和许多安全通信协议和信任机制的基础，它的安全与稳定运行是互联网及应用安全的基础保障，关系着用户的隐私与安全。因此，域名系统的安全与治理一直是国际学术界、工业界以及各国政府关注的重点，国际标准化组织（如IETF）、互联网治理机构（如ICANN）以及多国政府制定了保护域名系统安全和用户隐私的多项技术标准和管理规范。然而，这些技术和规范在互联网上的部署和执行情况如何、有哪些缺陷和障碍，此前系统化的测量和分析并不多见。

本论文完成时，陆超逸博士已经聚焦于域名系统安全技术的测量五年之久，现在仍然孜孜不倦地围绕域名系统安全开展研究。他对域名系统安全技术和域名治理体系进行了系统性的研究，不仅涵盖DNSSEC、多种加密域名协议等技术的最新发展，还涉及域名注册、域名解析、域名查封等重要的治理环节。在大量国内外文献调研的基础上，进行了大规模、系统化的网络测量研究，主要做出了以下贡献：

（1）针对域名注册这一重要治理环节，提出域名注册数据的隐私保护技术制约了网络安全的许多基础研究。通过基于文本相似性特征的数据隐私合规性分析方法，分析了全球域名注册机构的隐私保护措施部署情况。更重要的是，对大量基于域名注册数据的工作进行定量分析，证实半数以上的安全研究将受到隐私保护措施的制约。据此，论文向政策和规范制定者、域名注册机构以及安全研究者提出了具体建议。

（2）对域名系统安全扩展和加密域名协议在互联网上的部署进行了系统化的测量和分析，指出了当前部署中的问题和安全缺陷。通过主被动结合的方法设计了大规模测量系统，首次对加密域名协议进行了系统化的测量研究。研究表明DNSSEC协议的部署率仍然较低、加密域名协议的部署在快速增长，但是存在无效证书等安全隐患，并据此向协议设计者、服务提供者以及互联网用户提出了具体的建议。

（3）针对互联网治理中的恶意域名查封技术开展了广泛的测量和大量的案例分析，发现恶意域名的监管机构缺乏透明性和指导规范，并且存在严重的安全漏洞。论文提出并设计了域名查封行为挖掘关联系统，证实基于域名黑洞的查封行为已成为一种常见的恶意域名监管实践。研究发现部分监管机构对域名黑洞的管理存在严重的安全漏洞，比如美国联邦调查局（FBI）维护的域名黑洞可以被攻击者接管并利用。这些发现可以帮助政策制定者和监管方提高安全措施。

陆超逸博士的研究成果发表在国际顶级的网络安全和网络测量学术会议上（如NDSS、IMC等），并且在相关的国际互联网治理机构（如ICANN、IETF、DNS-OARC等）和一些国家政府的政策管理部门产生了重要影响，得到国内外同行的高度认可。

最后，祝贺陆超逸博士在域名系统安全和测量领域研究中取得的创新贡献。本书的出版不仅对互联网和安全研究者提供了一个重要学术文献，也将成为网络安全政策制定者、域名监管相关的政府、企业的重要参考，推动域名系统安全技术和治理机制的进一步发展。

吴建平，教授

中国工程院院士

清华大学网络研究院院长

中关村实验室主任

段海新，教授

清华大学网络研究院