一种随机子域名DDoS攻击检测方法技术

技术编号:19219745 阅读:274 留言:0更新日期:2018-10-20 08:13
本发明专利技术提出了一种针对DNS服务器的DDoS攻击检测方法。DNS是服务器是网络环境中重要的公共基础设施。为了让DNS拒绝服务,恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求,通过耗尽DNS的计算资源与带宽来使得DNS服务器无法响应正常请求。发明专利技术人解决的问题集中于一种新的针对DNS服务器的攻击类型,即针对解析域名的权威服务器通过其控制的僵尸网络发送大量针对解析域名的带有随机子域名的域名解析请求,以此耗尽DNS服务器资源。发明专利技术人针对性的提出了一种基于统计方法的应对上述DDoS攻击的检测方式。不但能准确检测到随机子域名DDoS攻击的发生,还能够确认本次DDoS攻击是针对哪一个域名发起的,在此基础上可以进行后续的防御工作。

【技术实现步骤摘要】
一种随机子域名DDoS攻击检测方法
本专利技术属于网络安全
,具体涉及一种利用随机子域名对域名所属的权威DNS服务器的DDoS攻击检测方法。主要应用于流量运营商或者大型服务提供商、内容提供商的DNS流量防护。
技术介绍
DNS协议是十分重要的网络协议。DNS服务器是网络环境中重要的公共基础设施。正是由于DNS提供Internet上的基本服务,安全防护系统不会对查询进行任何限制,所以对DNS的攻击都可以伪装成正常的查询访问。DNS服务器完全暴露在攻击之下,基本无法受到一些安全防护系统如防火墙、IDS的保护。而且DNS缺乏认证机制,数据传送时未加密,容易被截获和篡改,请求端无法验证数据完整性。数据包欺骗攻击、缓存中毒攻击、DDoS攻击、DNS放大攻击等都是针对或者利用DNS发起的攻击形式。DDoS是尤为重要的一种攻击。为了让DNS无法正常工作,恶意攻击者向允许递归查询的开放DNS服务器发送大量伪造的查询请求,通过耗尽DNS服务器的计算资源与带宽来使得DNS服务器无法响应正常请求。目前针对DNS公共基础设施的DDoS攻击的检测预防还缺乏成熟高效的防御手段,常见的方法主要包括采取高性能的网络设备、保证充足的网络带宽以及通过IP黑名单进行流量清洗。这些防御方式资源利用效率低,而且难以应对新的攻击类型。而且当前对于随机子域名攻击的检测方法更是少见。如公开号为CN102291411A的专利与CN101572701B的专利,主要核心思路在于以流量大小作为判断是否发生DDoS攻击的核心依据。这种思路没有考虑攻击的具体目标,也没有考虑到随机子域名攻击的特征。本专利技术针对的随机子域名的DDoS攻击检测方法。另外,翟、高(翟光群,高凯楠.DNS服务器的DDoS攻击检测系统的研究[J].计算机工程与应用,2011,47(33):94-97.)二人提出的方法结合了优化领域经典算法遗传算法与近些年火热的深度学习领域的基础BP网络结构建立模型,对数据包中的流量特征建立模型进行分类。这两种模型的结合在近些年国内的研究生论文中也屡见不鲜,但是这种模型的结合应用在DDoS领域不适合的一点是,神经网络是一种体量较大的模型,适用于大规模数据的非结构化数据、通常以离线训练的方式使用,在线使用的话会有模型较大以至于消耗较大存储空间,且训练时间长以至于难以在线更新的问题。在本方法中,使用了较小的分类器模型,每个模型只需要存储四个参数,另外,受到深度学习领域优化方法,如Adam算法(Adam:AMethodforStochasticOptimizationarXiv:1412.6980[cs.LG])的启发,将EWMA算法应用至攻击检测模型的更新中。余(余园芝.DNS服务器DDoS防御方法研究[D].华中科技大学,2011.)提出的方法考虑到了服务器上的性能问题,使用过滤器进行作为内存集合的替代方式,用可以接受的正确率的下降去节省大量的存储开销。然而该方法十分依赖于对跳数的估计,在最终的目标服务器处使用TTL字段推算得到,然而TTL的初始值是一个未知数也就是的估计的结果不能给出可靠的保证。布隆过滤器也存在一定的误报率。两两结合,在以安全为主的DDoS攻击检测目的来看,该方法存在一定风险。针对于随机子域名DDoS的攻击检测方案的设计准则应该是安全、可靠、弹性、轻量级。而申请人解决的问题集中于一种新的针对DNS服务器的攻击类型,即针对目标域名的权威服务器通过其控制的僵尸网络发送大量针对目标域名的带有随机子域名的域名解析请求。递归服务器无法解析时会转发至权威DNS服务器。这样的话就会给带宽造成很大压力,而如果简单的采取黑名单方式,不但效率低,还有可能对正常访问的流量造成很大的影响。申请人针对性的提出了一种应对上述DDoS攻击的检测方法,该方法能动态的几乎实时的检测到这种DDoS攻击,还能够确认本次DDoS攻击具体的攻击目标域名,在此基础上可以进行后续的防御工作。
技术实现思路
本专利技术技术解决问题:克服现有技术的不足,提供一种随机子域名DDoS攻击检测方法,能动态的几乎实时的检测到这种DDoS攻击,还能够确认本次DDoS攻击具体的攻击目标域名,在此基础上可以进行后续的防御工作。本专利技术与现有技术相比的优点在于:一种随机子域名DDoS攻击检测方法,包括以下步骤:(1)根据原始DNS日志进行处理数据预处理,将原始DNS日志中切片后,每一条记录过滤后转化为DNS请求失败的关键数据帧,格式为<解析域名的二级域名,源IP,随机子域名>的元组;(2)数据聚合,对步骤(1)中的关键数据帧进行数据聚合与统计,以“解析域名的二级域名”为数据键,以对拥有相同数据键的关键数据帧中的<源IP,随机子域名>数据聚合为集合,对所有的解析域名的二级域名进行如上处理后得到:以<解析域名的二级域名:源IP集合,随机子域名集合>结构为基本单元的键值对列表;(3)攻击检测,根据步骤(2)得到的每个解析域名的二级域名对应的关键数据集合进行统计学计算,得到统计画像和当前阈值向量,针对统计画像和当前阈值向量建立攻击检测分类器,对检测分类器中为负类的域名进行DDoS攻击告警,将正类数据的统计画像以在线学习的方式更新至阈值向量。所述数据预处理具体实现如下:(1)以滑动长度为T的时间窗的方式对原始数据进行切片处理,当前切片作为一个时间片批处理数据向后传递以达到准实时监测模型;(2)对上一步骤得到的时间片批处理数据进行域名解析处理,具体描述如下:从时间片批处理的每一条记录中抽取出解析域名并根据顶级域名列表处理为解析域名的二级域名,将解析域名中除去解析域名的二级域名的剩余部分作为随机子域名,然后从时间片批处理数据中简单的保留原始源IP字段,得到格式为<解析域名的二级域名,源IP,随机子域名>的关键数据帧;(3)对上一步得到的关键数据帧进行过滤,对所有的关键数据帧如下过滤,过滤掉以in-addr.arpa结尾的DNS反向查询、源IP为DNS递归服务器IP地址的DNS递归查询和返回IP字段不为空的正常DNS查询,剩余内容是DNS处理失败的日志记录,最后输出DNS请求失败的关键数据帧所述数据聚合具体实现如下:(1)对得到的DNS请求失败的关键数据帧进行分组聚合操作,分组聚合操作的数据键是权利要求2提取出的关键数据帧中的解析域名的二级域名字段,进行分组聚合操作的数据值是源IP字段,将所有拥有相同的“解析域名的二级域名”字段的关键数据帧中的源IP字段组合成集合,聚合结果为:以<解析域名的二级域名:源IP集合>结构为基本单元的的键值对列表;(2)类似于上一步,对得到的DNS请求失败的关键数据帧进行分组聚合操作,分组聚合操作的数据键是提取出的关键数据帧中的解析域名的二级域名字段,进行分组聚合操作的数据值是随机子域名字段,将所有拥有相同的“解析域名的二级域名”字段的关键数据帧中的随机子域名字段组合成集合,聚合结果为:以<解析域名的二级域名:随机子域名集合>结构为基本单元的的键值对列表;(3)对前两步得到的两个键值对列表进行分组聚合,依然以解析域名的二级域本文档来自技高网
...

【技术保护点】
1.一种随机子域名DDoS攻击检测方法,其特征在于,包括以下步骤:(1)根据原始DNS日志进行处理数据预处理,将原始DNS日志中切片后,每一条记录过滤后转化为DNS请求失败的关键数据帧,格式为

【技术特征摘要】
1.一种随机子域名DDoS攻击检测方法,其特征在于,包括以下步骤:(1)根据原始DNS日志进行处理数据预处理,将原始DNS日志中切片后,每一条记录过滤后转化为DNS请求失败的关键数据帧,格式为<解析域名的二级域名,源IP,随机子域名>的元组;(2)数据聚合,对步骤(1)中的关键数据帧进行数据聚合与统计,以“解析域名的二级域名”为数据键,以对拥有相同数据键的关键数据帧中的<源IP,随机子域名>数据聚合为集合,对所有的解析域名的二级域名进行如上处理后得到:以<解析域名的二级域名:源IP集合,随机子域名集合>结构为基本单元的键值对列表;(3)攻击检测,根据步骤(2)得到的每个解析域名的二级域名对应的关键数据集合进行统计学计算,得到统计画像和当前阈值向量,针对统计画像和当前阈值向量建立攻击检测分类器,对检测分类器中为负类的域名进行DDoS攻击告警,将正类数据的统计画像以在线学习的方式更新至阈值向量。2.根据权利要求1所述的随机子域名DDoS攻击检测方法,其特征在于:所述数据预处理具体实现如下:(1)以滑动长度为T的时间窗的方式对原始数据进行切片处理,当前切片作为一个时间片批处理数据向后传递以达到准实时监测模型;(2)对得到的时间片批处理数据进行域名解析处理,具体描述如下:从时间片批处理的每一条记录中抽取出解析域名并根据顶级域名列表处理为解析域名的二级域名,将解析域名中除去解析域名的二级域名的剩余部分作为随机子域名,然后从时间片批处理数据中简单的保留原始源IP字段,得到格式为<解析域名的二级域名,源IP,随机子域名>的关键数据帧;(3)对得到的关键数据帧进行过滤,对所有的关键数据帧如下过滤,过滤掉以in-addr.arpa结尾的DNS反向查询、源IP为DNS递归服务器IP地址的DNS递归查询和返回IP字段不为空的正常DNS查询,剩余内容是DNS处理失败的日志记录,最后输出DNS请求失败的关键数据帧。3.根据权利要求1所述的随机子域名DDoS攻击检测方法,其特征在于:所述数据聚合具体实现如下:(1)对得到的DNS请求失败的关键数据帧进行分组聚合操作,分组聚合操作的数据键为提取出的关键数据帧中的解析域...

【专利技术属性】
技术研发人员:王利明罗熙张勇涛杨婧王静田甜
申请(专利权)人:中国科学院信息工程研究所中兴通讯股份有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1