【技术实现步骤摘要】
一种DNS恶意攻击流量的发现方法及系统
本专利技术涉及计算机领域,具体为一种DNS恶意攻击流量的发现方法及系统。
技术介绍
作为互联网的重要基础设施,域名系统(DomainNameSystem,DNS)一直为全球互联网的运行提供关键性的基础服务,它的安全和稳定对于互联网是很重要的。由于DNS请求和响应主要基于不可靠传输层协议UDP,而UDP很容易遭受DDOS攻击、反射攻击。黑客利用掌握的肉鸡向域名服务器发送大流量的DNS包,导致DNS服务器不能正常提供服务,不能正常响应合法用户的正常请求,如导致它们的丢包或时延变大。对于DDOS攻击,需要及时发现其攻击行为和尽快分析出其攻击的目的域名和来源地址等攻击模式,才能为下一步的抵制举措采取及时的响应。现阶段,有的人专注于全局流量的分析和研究,虽然能够及时发现DNS服务器流量情况发生变化,但是不能确定是否是恶意变化,即使有的方法能够确定是恶意变化,也不能及时发现攻击域名和攻击的来源地址等攻击模式。有的人就是对DNS服务器的总体流量、总体请求率或者为每个来源IP地址设置静态的或者动态的阈值。DNS请求流量是一个动态变化的过程,静态的阀值方法不灵活,易错报。虽然有的专利技术采用了动态阀值方法,但是因为孤立地分析和研究域名和来源地址的请求情况,所以即使一定程度上能够分析出攻击源地址、攻击目标域名和域名服务器,也不能全面清晰地分析出攻击源地址和攻击目标。
技术实现思路
为克服上述不足,本专利技术提供一种DNS恶意攻击流量的发现方法及系统,通过实时分析DNS服务器的流量或者请求日志,从域名和IP地址两个维度来分析以判断DDOS攻击 ...
【技术保护点】
一种DNS恶意攻击流量的发现方法,适用于对已知规模的DNS流量进行检测,步骤包括:检测发送给DNS服务器的数据报流量;如果所述数据报流量相对于所述DNS服务器非法,则提取恶意域名和恶意IP地址;如果所述数据报流量相对于所述DNS服务器合法,则检测所述数据报流量包含的DNS请求域名,如果所述DNS请求域名非法,则判定所述数据报流量的IP地址为恶意IP地址,所述DNS请求域名为恶意域名;如果所述DNS请求域名合法,则从所述数据报流量中提取DNS流量指标,当所述DNS流量指标中的一项或几项异常时,所述DNS请求域名判定为恶意域名,所述数据报流量的IP地址判定为恶意IP地址;查找访问所述恶意域名的IP地址和所述恶意IP地址访问的域名,并判断是否为恶意IP地址和恶意域名,如果是,则继续查找所述判定的恶意IP地址访问的域名和访问所述判定的恶意域名的IP地址并做出判断,直至满足退出条件。
【技术特征摘要】
1.一种DNS恶意攻击流量的发现方法,适用于对已知规模的DNS流量进行检测,步骤包括:检测发送给DNS服务器的数据报流量;如果所述数据报流量相对于所述DNS服务器非法,则提取恶意域名和恶意IP地址;如果所述数据报流量相对于所述DNS服务器合法,则检测所述数据报流量包含的DNS请求域名,如果所述DNS请求域名非法,则判定所述数据报流量的IP地址为恶意IP地址,所述DNS请求域名为恶意域名;如果所述DNS请求域名合法,则从所述数据报流量中提取DNS流量指标,当所述DNS流量指标中的一项或几项异常时,所述DNS请求域名判定为恶意域名,所述数据报流量的IP地址判定为恶意IP地址;查找访问所述恶意域名的IP地址和所述恶意IP地址访问的域名,并判断是否为恶意IP地址和恶意域名,如果是,则继续查找所述判定的恶意IP地址访问的域名和访问所述判定的恶意域名的IP地址并做出判断,直至满足退出条件。2.根据权利要求1所述的方法,其特征在于,所述数据报相对于DNS服务器非法是指,所述数据报使用的协议不是基于TCP或UDP运输层协议报文;或者使用的端口不是TCP53端口或UDP53端口;或者运输层包体部分不符合DNS协议,包括没有合适的DNS包头或DNS包体;或者DNS请求包里设置有qr字段。3.根据权利要求1所述的方法,其特征在于,所述DNS请求域名非法是指所述DNS请求域名不属于所述DNS服务器的服务范围或不符合DNS国际标准;合法是指所述DNS请求域名属于所述DNS服务器的服务范围且符合DNS国际标准。4.根据权利要求1所述的方法,其特征在于,所述DNS流量指标包括DNS请求率、DNS服务器响应时间、DNS响应包大小。5.根据权利要求4所述的方法,其特征在于,所述DNS流量指标异常包括:所述DNS请求率超过平时平均值的至少2倍,或者比其他域名或者IP地址的请求率大至少10倍;所述DNS服务器响应时间超过平时平均值的至少2倍,或者比其他域名请求的响应时间大至少一个数量级;所述DNS响应包大小超过平时平均值的至少3倍,或者比其他域名请求响应包大至少1倍。6.根据权利要求1所述的方法,其特征在于,所述退出条件包括:找不到更多的恶意域名、恶意IP地址,或者查找时间超过平均查找时间的3倍,或者查找到的恶意域名、恶意IP地址的被查询次数、查询次数小于平时平均值的1/2。7.根据权利要求1所述的方法,其特征在于,所述判断查找到的所述恶意IP地址访问的域名为恶意域名的方法包括:历史访问量,在过去一定时间内,如果所述域名的请求率因太大...
【专利技术属性】
技术研发人员:刘明星,张跃冬,黄永厚,冷峰,覃宇,
申请(专利权)人:中国互联网络信息中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。