本申请提供一种DNS攻击检测方法及装置,应用在检测设备上,所述方法包括:接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度;当所述离散度大于告警阈值时,确认检测到DNS攻击。应用本申请实施例,可以利用DNS域名请求的离散程度来判断DNS服务器是否受到离散域名的DNS攻击,从而提高了DNS攻击检测的准确性。
【技术实现步骤摘要】
本专利技术涉及网络通信
,尤其涉及一种DNS攻击检测方法及装置。
技术介绍
DNS(Domain Name System,域名系统)攻击是一种典型的网络攻击,通过伪造IP地址向DNS服务器发送大量的DNS请求报文,使DNS服务器在极短的时间内需要处理大量的域名解析工作,从而导致DNS服务器严重超载甚至瘫痪,无法响应正常用户的DNS请求报文。现有技术中可以通过设置固定的防护域名和防护阈值对DNS攻击行为进行检测,比如:统计检测周期内与防护域名匹配的域名数量,并将该数量与防护阈值进行比较,当超过防护阈值时可以确定发生DNS攻击。然而,当攻击者采用随机变化的域名进行DNS攻击时,由于预设的防护域名是固定的,因此检测到的DNS请求报文的数量可能无法触发设置的防护阈值,从而无法检测到DNS攻击行为,导致DNS服务器超载甚至瘫痪。
技术实现思路
有鉴于此,本申请提供一种DNS攻击检测方法及装置,以解决现有技术中DNS攻击检测的准确性低下这一问题。具体的,本申请是通过如下技术方案实现的:本申请提供一种DNS攻击检测方法,所述方法应用于检测设备上,包括:接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度;当所述离散度大于告警阈值时,确认检测到DNS攻击。可选的,所述根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度之前,还包括:根据所述DNS请求报文数量计算当前检测周期内的域名请求速率;确定所述域名请求速率大于速率阈值时,执行计算离散度的步骤。可选的,所述根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量,包括:解析出所述DNS请求报文中携带的域名;根据预设算法计算所述域名的特征值;根据所述特征值更新当前检测周期内的域名种类数量。可选的,利用下列公式计算当前检测周期内DNS请求报文的离散度:离散度=域名种类数量/DNS请求报文数量。可选的,所述方法还包括:在当前检测周期结束时,清空当前检测周期内的DNS请求报文数量以及域名种类数量。本申请还提供一种DNS攻击检测装置,所述方法应用于检测设备上,包括:接收单元,用于接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;更新单元,用于根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;离散计算单元,用于根据所述DNS请求报文数量以及所述域名种类数量
计算当前检测周期内DNS请求报文的离散度;判断单元,用于当所述离散度大于告警阈值时,确认检测到DNS攻击。可选的,所述装置还包括:速率计算单元,用于根据所述DNS请求报文数量计算当前检测周期内的域名请求速率;确定执行单元,用于在确定所述域名请求速率大于速率阈值时,通知所述离散计算单元计算离散度。可选的,所述更新单元,包括:解析子单元,用于解析出所述DNS请求报文中携带的域名;计算子单元,用于根据预设算法计算所述域名的特征值;执行子单元,用于根据所述特征值更新当前检测周期内的域名种类数量。可选的,所述离散计算单元利用下列公式计算当前检测周期内DNS请求报文的离散度:离散度=域名种类数量/DNS请求报文数量。可选的,所述装置还包括:清空单元,用于在当前检测周期结束时,清空当前检测周期内的DNS请求报文数量以及域名种类数量。应用本申请实施例,检测设备可以根据当前检测周期内DNS请求报文数量以及域名种类数量计算接收到的DNS请求报文的离散度,并在所述离散度大于告警阈值时,确定DNS服务器受到离散域名的DNS攻击,检测设备通过检测DNS请求报文的离散程度来判断当前检测周期内是否受到离散域名DNS攻击,提高了离散域名DNS攻击的识别率,进而大大提高了DNS攻击检测的准确性。附图说明图1是本申请一种DNS攻击检测实施例的应用场景示意图;图2是本申请一种DNS攻击检测方法的一个实施例流程图;图3是本申请一种DNS攻击检测装置所在设备的一个硬件结构图;图4是本申请一种DNS攻击检测装置的一个实施例框图;图5是本申请一种DNS攻击检测装置的另一个实施例框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。参见图1,为应用本申请一种DNS攻击检测实施例的应用场景示意图。图1中,客户端设备和DNS服务器之间设置有检测设备,其中,除了作为客户端设备示例的PC(Personal Computer,个人计算机)外,客户端设备还可以包括手机、平板电脑等具有网络访问功能的终端设备。所述检测设备可以是交换机、路由器等等具有DNS攻击检测功能的网络设备,可以对网络中的DNS
请求报文实时进行检测。当然,在实际应用中,所述检测设备也可以为DNS服务器,比如:将该DNS攻击检测功能集成在DNS服务器中,本申请对此不作特殊限制。在一个例子中,可以在检测设备中配置固定的防护域名。在设定的检测周期内,检测设备对接收到的DNS请求报文中的域名进行域名解析,若匹配到某防护域名的DNS请求报文数量达到预先设定的防护阈值,则可以判定受到DNS攻击。然而,目前网络中出现了使用离散域名攻击DNS服务器的攻击方式,通过使用不同的域名,发送大量的DNS请求报文到同一个DNS服务器。通过使用离散域名对该DNS服务器发起DNS攻击,由于域名的离散化程度较高,针对某防护域名的DNS请求报文数量可能无法触及到所述防护阈值,进而无法检测到离散域名的DNS攻击,大大降低了DNS攻击检测的准确性。为解决现有技术问题,本申请提供一种DNS攻击检测方法以及对应的装置。参照图1所示,该方法可以应用在检测设备上。通过解析DNS请求报文中携带的域名,更新当前检测周期内的域名种类数量,并根据当前检测周期内接收到的DNS请求报文数量和所述域名种类数量计算当前检测周期内的DNS请求报文的离散度,当所述离散度大于预先设置的告警阈值时,确本文档来自技高网...
【技术保护点】
一种DNS攻击检测方法,其特征在于,所述方法应用于检测设备上,包括:接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度;当所述离散度大于告警阈值时,确认检测到DNS攻击。
【技术特征摘要】
1.一种DNS攻击检测方法,其特征在于,所述方法应用于检测设备上,包括:接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度;当所述离散度大于告警阈值时,确认检测到DNS攻击。2.根据权利要求1所述的方法,其特征在于,所述根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度之前,还包括:根据所述DNS请求报文数量计算当前检测周期内的域名请求速率;确定所述域名请求速率大于速率阈值时,执行计算离散度的步骤。3.根据权利要求1所述的方法,其特征在于,所述根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量,包括:解析出所述DNS请求报文中携带的域名;根据预设算法计算所述域名的特征值;根据所述特征值更新当前检测周期内的域名种类数量。4.根据权利要求1-3任一所述的方法,其特征在于,利用下列公式计算当前检测周期内DNS请求报文的离散度:离散度=域名种类数量/DNS请求报文数量。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:在当前检测周期结束时,清空当前检测周期内的DNS请求报文数量以及
\t域名种类数量。6...
【专利技术属性】
技术研发人员:李征,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。