一种DNS恶意攻击流量的发现方法及系统技术方案

本发明专利技术公开一种DNS恶意攻击流量的发现方法，通过对已知规模的DNS流量进行检测，依次分析其数据报流量及所含的DNS请求域名是否合法，更进一步提取并分析各DNS流量指标，能够快速准确地判断是否为恶意域名和恶意IP地址；通过分析DNS流量的IP地址和域名的关联关系，递归发现更多的恶意域名和恶意IP地址，从而对攻击DNS服务器的恶意流量实现更加精确的定位。本发明专利技术还公开一种DNS恶意攻击流量的发现系统，包括数据报流量获取模块、危险发现模块、流量指标计算模块以及恶意分析模块。

【技术实现步骤摘要】
一种DNS恶意攻击流量的发现方法及系统
本专利技术涉及计算机领域，具体为一种DNS恶意攻击流量的发现方法及系统。
技术介绍
作为互联网的重要基础设施，域名系统(DomainNameSystem，DNS)一直为全球互联网的运行提供关键性的基础服务，它的安全和稳定对于互联网是很重要的。由于DNS请求和响应主要基于不可靠传输层协议UDP，而UDP很容易遭受DDOS攻击、反射攻击。黑客利用掌握的肉鸡向域名服务器发送大流量的DNS包，导致DNS服务器不能正常提供服务，不能正常响应合法用户的正常请求，如导致它们的丢包或时延变大。对于DDOS攻击，需要及时发现其攻击行为和尽快分析出其攻击的目的域名和来源地址等攻击模式，才能为下一步的抵制举措采取及时的响应。现阶段，有的人专注于全局流量的分析和研究，虽然能够及时发现DNS服务器流量情况发生变化，但是不能确定是否是恶意变化，即使有的方法能够确定是恶意变化，也不能及时发现攻击域名和攻击的来源地址等攻击模式。有的人就是对DNS服务器的总体流量、总体请求率或者为每个来源IP地址设置静态的或者动态的阈值。DNS请求流量是一个动态变化的过程，静态的阀值方法不灵活，易错报。虽然有的专利技术采用了动态阀值方法，但是因为孤立地分析和研究域名和来源地址的请求情况，所以即使一定程度上能够分析出攻击源地址、攻击目标域名和域名服务器，也不能全面清晰地分析出攻击源地址和攻击目标。
技术实现思路
为克服上述不足，本专利技术提供一种DNS恶意攻击流量的发现方法及系统，通过实时分析DNS服务器的流量或者请求日志，从域名和IP地址两个维度来分析以判断DDOS攻击发生。为解决上述技术问题，本专利技术所采用的技术方案是：一种DNS恶意攻击流量的发现方法，适用于对已知规模的DNS流量进行检测，从中找出恶意流量，步骤包括：1)找出首批恶意流量1-1)判断发送给DNS服务器的数据报流量对于所述DNS服务器是非法还是合法，如果非法，则所述数据报流量为非法流量，提取恶意域名和恶意IP地址；1-2)如果所述数据报流量合法，则判断所述数据报流量包含的DNS请求域名是非法还是合法，如果非法，则判定所述数据报流量的IP地址为恶意IP地址，所述DNS请求域名为恶意域名；1-3)如果所述DNS请求域名合法，从所述数据报流量中提取DNS流量指标，当所述DNS流量指标中的一项或几项异常时，所述DNS请求域名判定为恶意域名，所述数据报流量的IP地址判定为恶意IP地址；2)递归查找恶意流量2-1)查找访问所述恶意域名的IP地址和所述恶意IP地址访问的域名，并判断是否为恶意IP地址和恶意域名，如果是，继续查找所述判定的恶意IP地址访问的域名和访问所述判定的恶意域名的IP地址并做出判断，直到满足退出条件时停止。进一步地，所述发送给DNS服务器的数据报对于所述DNS服务器非法是指，所述数据报使用的协议不是基于TCP或UDP运输层协议报文；或者使用的端口不是TCP53端口或UDP53端口；或者运输层包体部分不符合DNS协议，包括没有合适的DNS包头或DNS包体；或者DNS请求包里设置有qr字段。进一步地，所述DNS请求域名非法是指所述DNS请求域名不属于所述DNS服务器的服务范围或不符合DNS国际标准；合法是指所述DNS请求域名属于所述DNS服务器的服务范围且符合DNS国际标准。进一步地，所述DNS流量指标包括DNS请求率、DNS服务器响应时间、DNS响应包大小。进一步地，所述DNS流量指标异常包括：所述DNS请求率超过平时平均值的至少2倍，或者比其他域名或者IP地址的请求率大至少10倍；所述DNS服务器响应时间超过平时平均值的至少2倍，或者比其他域名请求的响应时间大至少一个数量级；所述DNS响应包大小超过平时平均值的至少3倍，或者比其他域名请求响应包大至少1倍。进一步地，所述退出条件包括：找不到更多的恶意域名、恶意IP地址，或者查找时间超过平均查找时间的3倍，或者查找到的恶意域名、恶意IP地址的被查询次数、查询次数小于平时平均值的1/2。进一步地，所述步骤2-1)中恶意域名的判断方法包括：历史访问量，在过去一定时间内，如果域名的请求率因太大而属于小概率事件，或者超过平时平均请求率的3倍，则认为所述域名正遭受恶意攻击，可判定所述域名为恶意域名；历史域名空间，在当前所有域名的请求中，如果所述域名的请求率因太大而属于小概率事件，或者超过平时平均请求率的3倍，则认为所述域名正遭受恶意攻击，可判定所述域名为恶意域名；子域名数量，在所有域名中，如果所述域名的子域名数量因太大而属于小概率事件，或者超过平时平均值的3倍，则认为所述域名正遭受恶意攻击，可判定所述域名为恶意域名；请求域名的否定应答情况，如果所述域名的否定应答的子域名数量占子域名总数的比例因太大而属于小概率事件，或超过平时平均值的3倍，则认为所述域名正遭受恶意攻击，可判定所述域名为恶意域名；如果所述域名的所有否定应答子域名的总访问次数占总访问数的比例因太大而属于小概率事件，或者超过平时平均值的3倍，则认为所述域名正遭受恶意攻击，可判定所述域名为恶意域名。进一步地，所述步骤2-1)中恶意IP地址的判断方法包括：地址真实性验证，通过第三方收集的BGP路由数据查看某IP地址所属AS号和运营商信息，如果所述BGP路由数据足够全而从中没有查找到对应的AS号和运营商信息，可判定所述IP地址为恶意IP地址；通过第三方IP地址地理位置定位服务商提供的服务获取所述IP地址的地理位置，如果没有查找到所述IP地址的地理位置，可判定所述IP地址为恶意IP地址；IP地址新鲜度，如果所述IP地址在过去的某一长度时间段内没有访问记录，当这段时间长度超过6个月时，可判定所述IP地址为恶意IP地址；历史访问量，在过去的一段时间里，如果IP地址访问某一域名的次数因太多而属于小概率事件，可判定所述IP地址为恶意IP地址；一种DNS恶意攻击流量的发现系统，包括：数据报流量获取模块，用于获取发送给DNS服务器的数据报流量；危险发现模块，用于判断数据报以及所述判断数据报所包含的DNS请求域名是否合法；流量指标计算模块，从数据报流量中提取DNS流量指标；恶意分析模块，从所述数据报流量获取模块、所述流量指标计算模块及所述危险发现模块获取全部DNS流量数据、DNS流量指标及数据报并判断是否异常，如果是，则递归查找出全部的恶意域名和恶意IP地址。进一步地，还包括流量指标存储模块和DNS流量存储模块，所述流量指标存储模块用于存储所述流量指标计算模块提取的DNS流量指标，所述DNS流量存储模块用于储存从数据报流量中提取来的全部DNS流量数据。进一步地，所述DNS流量指标包括DNS请求率、DNS服务器响应时间、DNS响应包大小。本专利技术方法通过对已知规模的DNS流量进行检测，依次分析其数据报流量及所含的DNS请求域名是否合法，更进一步提取并分析各DNS流量指标，能够快速准确地判断是否为恶意域名和恶意IP地址；通过分析DNS流量的IP地址和域名的关联关系，递归发现更多的恶意域名和恶意IP地址，从而对攻击DNS服务器的恶意流量实现更加精确的定位。附图说明图1为实施例的一种DNS恶意攻击流量的发现方法流程图。图2为递归查找恶意流量的过程示意图。图3为实施例一种DNS恶本文档来自技高网...

【技术保护点】
一种DNS恶意攻击流量的发现方法，适用于对已知规模的DNS流量进行检测，步骤包括：检测发送给DNS服务器的数据报流量；如果所述数据报流量相对于所述DNS服务器非法，则提取恶意域名和恶意IP地址；如果所述数据报流量相对于所述DNS服务器合法，则检测所述数据报流量包含的DNS请求域名，如果所述DNS请求域名非法，则判定所述数据报流量的IP地址为恶意IP地址，所述DNS请求域名为恶意域名；如果所述DNS请求域名合法，则从所述数据报流量中提取DNS流量指标，当所述DNS流量指标中的一项或几项异常时，所述DNS请求域名判定为恶意域名，所述数据报流量的IP地址判定为恶意IP地址；查找访问所述恶意域名的IP地址和所述恶意IP地址访问的域名，并判断是否为恶意IP地址和恶意域名，如果是，则继续查找所述判定的恶意IP地址访问的域名和访问所述判定的恶意域名的IP地址并做出判断，直至满足退出条件。

【技术特征摘要】
1.一种DNS恶意攻击流量的发现方法，适用于对已知规模的DNS流量进行检测，步骤包括：检测发送给DNS服务器的数据报流量；如果所述数据报流量相对于所述DNS服务器非法，则提取恶意域名和恶意IP地址；如果所述数据报流量相对于所述DNS服务器合法，则检测所述数据报流量包含的DNS请求域名，如果所述DNS请求域名非法，则判定所述数据报流量的IP地址为恶意IP地址，所述DNS请求域名为恶意域名；如果所述DNS请求域名合法，则从所述数据报流量中提取DNS流量指标，当所述DNS流量指标中的一项或几项异常时，所述DNS请求域名判定为恶意域名，所述数据报流量的IP地址判定为恶意IP地址；查找访问所述恶意域名的IP地址和所述恶意IP地址访问的域名，并判断是否为恶意IP地址和恶意域名，如果是，则继续查找所述判定的恶意IP地址访问的域名和访问所述判定的恶意域名的IP地址并做出判断，直至满足退出条件。2.根据权利要求1所述的方法，其特征在于，所述数据报相对于DNS服务器非法是指，所述数据报使用的协议不是基于TCP或UDP运输层协议报文；或者使用的端口不是TCP53端口或UDP53端口；或者运输层包体部分不符合DNS协议，包括没有合适的DNS包头或DNS包体；或者DNS请求包里设置有qr字段。3.根据权利要求1所述的方法，其特征在于，所述DNS请求域名非法是指所述DNS请求域名不属于所述DNS服务器的服务范围或不符合DNS国际标准；合法是指所述DNS请求域名属于所述DNS服务器的服务范围且符合DNS国际标准。4.根据权利要求1所述的方法，其特征在于，所述DNS流量指标包括DNS请求率、DNS服务器响应时间、DNS响应包大小。5.根据权利要求4所述的方法，其特征在于，所述DNS流量指标异常包括：所述DNS请求率超过平时平均值的至少2倍，或者比其他域名或者IP地址的请求率大至少10倍；所述DNS服务器响应时间超过平时平均值的至少2倍，或者比其他域名请求的响应时间大至少一个数量级；所述DNS响应包大小超过平时平均值的至少3倍，或者比其他域名请求响应包大至少1倍。6.根据权利要求1所述的方法，其特征在于，所述退出条件包括：找不到更多的恶意域名、恶意IP地址，或者查找时间超过平均查找时间的3倍，或者查找到的恶意域名、恶意IP地址的被查询次数、查询次数小于平时平均值的1/2。7.根据权利要求1所述的方法，其特征在于，所述判断查找到的所述恶意IP地址访问的域名为恶意域名的方法包括：历史访问量，在过去一定时间内，如果所述域名的请求率因太大...

【专利技术属性】
技术研发人员：刘明星，张跃冬，黄永厚，冷峰，覃宇，
申请(专利权)人：中国互联网络信息中心，
类型：发明
国别省市：北京,11