域名解析服务DNS系统中监控报文的方法、装置及系统制造方法及图纸
【技术实现步骤摘要】
域名解析服务DNS系统中监控报文的方法、装置及系统
本专利技术涉及网络安全
,尤其是涉及一种域名解析服务DNS系统中监控报文的方法、装置及系统。
技术介绍
作为互联网的早期协议,考虑到当时主机的分布情况,在设计之初基于域名服务(DNS,DomainNameService)协议的DNS系统,是建立在互信基础之上,是一个完全开放的协作体系,该系统中传输的各类数据没有进行加密,没有提供适当的信息保护和认证机制,也没有对各种查询进行准确的识别,同时对网络基础设施和核心骨干设备的保护没有受到足够重视,因此导致了后期DNS系统很容易遭受攻击,安全性较差。其中,对DNS系统的攻击方式主要有以下几种方式:第一种攻击方式是流量型拒绝服务攻击。例如基于用户数据包协议(UDP,UserDatagramProtocol)流(flood)、基于传输控制协议(TCP,TransmissionControlProtocol)flood、DNS请求flood,或拼(PING)flood等。该种方式下的攻击的典型特征是消耗掉DNS服务器的资源,使其不能及时响应正常的DNS解析请求。其中,资源的消耗包括对服务器CPU、网络资源等的消耗。第二种攻击方式是异常请求访问攻击。例如超长域名请求、异常域名请求等。该种方式下的攻击的特点是通过发掘DNS服务器的漏洞,通过伪造特定的请求报文,导致DNS服务器软件工作异常而退出或崩溃而无法启动,达到影响DNS服务器正常工作的目的。第三种攻击方式是DNS劫持攻击。例如DNS缓存“投毒”、篡改授权域内容、ARP欺骗劫持授权域等。该种方式下的攻击的特点是通过...
【技术保护点】
一种域名解析服务DNS系统中监控报文的方法,其特征在于,包括:以第一预设时长作为采样周期,获得域名解析服务器DNS和任一用户终端之间传输的报文;针对在当前采样周期内,任一获得的报文,确定所述报文的报文类型;根据确定出的报文类型,确定所述报文的报文长度值、访问次数以及生存周期中的至少两个参数;根据确定出的包含报文长度值、访问次数以及生存周期中的至少两个参数,确定所述报文在当前采样周期内对应的监控评估值,其中所述监控评估值是用于确定所述报文是否异常的数值;根据确定出的监控评估值,对所述DNS和任一用户终端之间传输的报文进行监控。
【技术特征摘要】
1.一种域名解析服务DNS系统中监控报文的方法,其特征在于,包括:以第一预设时长作为采样周期,获得域名解析服务器DNS和任一用户终端之间传输的报文;针对在当前采样周期内,任一获得的报文,确定所述报文的报文类型;根据确定出的报文类型,确定所述报文的报文长度值、访问次数以及生存周期中的至少两个参数;根据确定出的包含报文长度值、访问次数以及生存周期中的至少两个参数,确定所述报文在当前采样周期内对应的监控评估值,其中所述监控评估值是用于确定所述报文是否异常的数值;根据确定出的监控评估值,对所述DNS和任一用户终端之间传输的报文进行监控;其中,所述报文类型包含DNS查询应答报文,采用下述方式获得所述当前采样周期的所述DNS查询应答报文对应的监控评估值:获得包含当前采样周期的所述DNS查询应答报文对应的报文长度向量值、所述DNS查询应答报文对应的生存周期向量值和所述DNS查询应答报文对应的访问次数向量值;确定由所述报文长度向量值、生存周期向量值和访问次数向量值组成的第二矩阵;将所述第二矩阵和第二预设矩阵相乘得到的结果作为当前采样周期确定出的所述DNS查询应答报文对应的监控评估值。2.如权利要求1所述的方法,其特征在于,所述报文类型包含DNS查询请求报文;根据确定出的包含报文长度值、访问次数以及生存周期中的至少两个参数,确定所述报文在当前采样周期内对应的监控评估值,包括:在确定出获得的报文是DNS查询请求报文时,确定发送所述DNS查询请求报文的用户终端的源地址;在预先维护的安全监控数据库中,判断是否存储有所述源地址;如果判断结果为否,在所述安全监控数据库中添加所述源地址,以及将所述DNS查询请求报文对应的监控评估值设定为第一预设数值、将所述源地址对应的访问DNS的访问次数设定为第二预设数值、将所述源地址对应的访问DNS的DNS查询请求报文的报文长度值设定为第三预设数值;如果判断结果为是,更新所述安全监控数据库中所述源地址对应的监控评估值、访问次数、报文长度值。3.如权利要求2所述的方法,其特征在于,更新所述安全监控数据库中所述源地址对应的监控评估值,包括:确定更新前安全监控数据库中所述源地址对应的监控评估值和当前采样周期确定出的监控评估值的和值;将得到的和值和第四预设数值相除得到的商值作为更新后的所述安全监控数据库中所述源地址对应的监控评估值。4.如权利要求3所述的方法,其特征在于,采用下述方式获得所述当前采样周期确定出的监控评估值:获得包含当前采样周期的所述DNS查询请求报文对应的报文长度向量值,以及所述DNS查询请求报文对应的访问次数向量值;确定由所述报文长度向量值和所述访问次数向量值组成的第一矩阵;将所述第一矩阵和第一预设矩阵相乘得到的结果作为当前采样周期确定出的监控评估值。5.如权利要求4所述的方法,其特征在于,采用下述方式,确定当前采样周期的所述DNS查询请求报文对应的报文长度向量值:获得当前采样周期的所述DNS查询请求报文的报文长度值和预设平均请求报文长度阈值的差值;所述差值和最大报文长度值相除得到的商值作为当前采样周期的所述DNS查询请求报文的报文长度向量值,其中最大报文长度值是在当前采样周期内采样得到的全部报文中,报文长度最大的报文对应的报文长度值;采用下述方式,确定当前采样周期的所述DNS查询请求报文对应的访问次数向量值:获得当前采样周期的访问次数值和预设平均访问次数阈值的差值;所述差值和最大访问次数值相除得到的商值作为当前采样周期的访问次数向量值,其中所述最大访问次数值是DNS在第二预设时长内提供正常DNS解析服务所能支持的最大访问次数。6.如权利要求5所述的方法,其特征在于,按照下述方式确定当前采样周期内的访问次数:获得安全监控数据库中存储的上一采样周期内的所述DNS查询请求报文的访问次数和第五预设数值的和值;所述和值作为当前采样周期内的所述DNS查询请求报文的访问次数;按照下述方式确定当前采样周期内的所述DNS查询请求报文的报文长度值:获得安全监控数据库中存储的上一采样周期内的报文长度值和当前采样周期内获得的DNS查询请求报文的报文长度值的和值;所述和值和第六预设数值的商值作为当前采样周期内的所述DNS查询请求报文的报文长度值。7.如权利要求1所述的方法,其特征在于,所述报文类型包含DNS查询应答报文;根据确定出的包含报文长度值、访问次数以及生存周期中的至少两个参数,确定所述报文在当前采样周期内对应的监控评估值,包括:在确定出获得的报文是DNS查询应答报文时,确定发送所述DNS查询应答报文的DNS的标识;在预先维护的安全监控数据库中,当确定出未存储所述DNS的标识时,判断是否存储有所述DNS查询应答报文所响应的发送DNS查询请求报文的源地址和所述DNS查询请求报文请求查询的域名;如果判断结果为是,确定安全监控数据库中存储的所述DNS查询应答报文对应的监控评估值,在所述监控评估值小于第二预设阈值时,更新所述安全监控数据库中所述DNS查询应答报文对应的监控评估值、访问次数、报文生存周期值;如果判断结果为否,在所述安全监控数据库中添加发送所述DNS查询应答报文的DNS的标识,以及将所述DNS查询应答报文对应的监控评估值设定为第一默认数值、将所述DNS查询应答报文对应的访问次数设定为第二默认数值、将所述DNS查询应答报文对应的报文生存周期设定为第三默认数值。8.如权利要求7所述的方法,其特征在于,更新所述安全监控数据库中所述DNS查询应答报文对应的监控评估值,包括:确定更新前安全监控数据库中所述DNS的标识对应的监控评估值和当前采样周期确定出的监控评估值的和值;将得到的和值和第四默认数值相除得到的商值作为更新后的所述安全监控数据库中所述DNS查询应答报文对应的监控评估值。9.如权利要求8所述的方法,其特征在于,采用下述方式,确定当前采样周期的所述DNS查询应答报文对应的报文长度向量值:获得当前采样周期的所述DNS查询应答报文的报文长度值和预设平均应答报文长度阈值的差值;所述差值和最大报文长度值相除得到的商值作为当前采样周期的所述DNS查询应答报文的报文长度向量值,其中最大报文长度值是当在当前采样周期内采样得到的全部报文中,报文长度最大的报文对应的报文长度值;采用下述方式,确定当前采样周期的所述DNS查询应答报文对应的访问次数向量值:获得当前采样周期的所述DNS查询应答报文的访问次数值和预设平均访问次数阈值的差值;所述差值和最大访问次数值相除得到的商值作为当前采样周期的所述DNS查询应答报文的访问次数向量值,其中所述最大访问次数值是DNS在第二预设时长内提供正常DNS解析服务所能支持的最大访问次数;采用下述方式,确定当前采样周期的所述DNS查询应答报文对应的生存周期向量值:获得当前采样周期的生存周期数值和预设平均生存周期阈值的差值;所述差值和最大生存周期数值相除得到的商值作为当前采样周期的所述DNS查询应答报文的生存周期向量值,其中最大生存周期是在当前采样周期内,采样得到的全部DNS查询应答报文中,生存周期最大的DNS查询应答报文对应的生存周期。10.如权利要求9所述的方法,其特征在于,按照下述方式确定当前采样周期内的所述DNS查询应答报文的访问次数:获得安全监控数据库中存储的上一采样周期内的访问次数和第五默认数值的和值;所述和值作为当前采样周期内的所述DNS查询应答报文的访问次数;按照下述方式确定当前采样周期内的访问次数报文长度值:获得安全监控数据库中存储的上一采样周期内的报文长度值和当前采样周期内获得的DNS查询应答报文的报文长度值的和值;所述和值和第六默认数值的商值作为当前采样周期内的所述DNS查询应答报文的报文长度值;按照下述方式确定当前采样周期内的所述DNS查询应答报文的生存周期值:获得安全监控数据库中存储的上一采样周期内的所述DNS查询应答报文的生存周期值和当前采样周期内获得的DNS查询应答报文的生存周期值的和值;所述和值和第七默认数值的商值作为当前采样周期内的所述DNS查询应答报文的生存周期值。11.如权利要求1所述的方法,其特征在于,根据确定出的监控评估值,对所述DNS和任一用户终端之间传输的报文进行监控,包括:若确定出的监控评估值大于或等于预设门限值,禁止该报文在所述DNS和任一用户终端之间传输;以及若确定出的监控评估值小于预设门限值,允许该报文在述DNS和任一用户终端之间传输。12.如权利要求11所述的方法,其特征在于,在禁止该报文在述DNS和任一用户终端之间传输之后,还包括:在预先维护的安全监控数据库中,获得禁止传输的报文的属性信息,所述属性信息包含发送所述禁止传输的报文的源地址、源端口号以及DNS的标识中的至少两种;根据接收到的属性信息,确定出符合攻击DNS的数据流的源地址、源端口号以及DNS的标识中的至少两个监控参数;基于确定出的至少两个监控参数,在检测到DNS系统中存在攻击DNS的数据流时,阻断所述攻击DNS的数据流。13.一种域名解析服务DNS系统中监控报文的装置,其特征在于,包括:数据采集模块,用于以第一预设时长作为采样周期,获得域名解析服务器DNS和任一用户终端之间传输的报文;数据缓存和分析模块,用于针对在当前采样周期内,任一获得的报文,确定所述报文的报文类型;根据确定出的报文类型,确定所述报文的报文长度值、访问次数以及生存周期中的至少两个参数;根据确定出的包含报文长度值、访问次数以及生存周期中的至少两个参数,确定所述报文在当前采样周期内对应的监控评估值,其中所述监控评估值是用于确定所述报文是否异常的数值;监控模块,用于根据确定出的监控评估值,对所述DNS和任一用户终端之间传输的报文进行监控;所述数据缓存和分析模块,具体用于采用下述方式获得所述当前采样周期的DNS查询应答报文对应的监控评估值:获得包含当前采样周期的所述DNS查询应答报文对应的报文长度向量值、所述DNS查询应答报文对应的生存周期向量值和所述DNS查询应答报文对应的访问次数向量值;确定由所述报文长度向量值、生存周期向量值和访问次数向量值组成的的第二矩阵;将所述第二矩阵和第二预设矩阵相乘得到的结果作为当前采样周期确定出的所述DNS查询应答报文对应的监控评估值。14.如权利要求13所述的装置,其特征在于,所述报文类型包含DNS查询请求报文;所述数据缓存和分析模块,具体用于在确定出获得的报文是DNS查询请求报文时,确定发送所述DNS查询请求报文的用户终端的源地址;在预先维护的安全监控数据库中,判断是否存储有所述源地址;如果判断结果为否,在所述安全监控数据库中添加所述源地址,以及将所述DNS查询请求报文对应的监控评估值设定为第一预设数值、将所述源地址对应的访问DNS的访问次数设定为第二预设数值、将所述源地址对应的访问DNS的DNS查询请求报文的报文长度值设定为第二预设数值;如果判断结果为是,更新所述安全监控数据库中所述源地址对应的监控评估值、访问次数、报文长度值。15.如权利要求14所述的装置,其特征在于,所述数...
【专利技术属性】
技术研发人员:卢楠,张峰,付俊,杨光华,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。