本发明专利技术公开了一种定位被DDOS攻击的域名的方法和系统。该方法包括:获取被攻击服务器集群信息以及DNS服务器日志;基于所述被攻击服务器集群信息和所述DNS服务器日志,确定所述DNS服务器日志中被访问域名的风险评分,并筛选第一设定数量的风险评分最高的域名。本发明专利技术的方法和系统可以快速、准确地对被攻击的域名进行定位,并减少企业因DDOS攻击带来的资源占用过大的问题,同时提高企业的服务品质。
【技术实现步骤摘要】
一种定位被DDOS攻击的域名的方法和系统
本专利技术涉及互联网
,尤其涉及一种定位被DDOS攻击的域名的方法和系统方法及系统。
技术介绍
随着互联网的发展,分布式拒绝服务(DistributedDenialofService,简称DDoS)越来越普遍,并且随时都有被攻击的可能。此外,由于云厂商与CDN厂商在自己的服务器上会存放多个域名,因为攻击都是匿名的,每当其中一个域名被攻击的时候,很难从众多域名中快速定位出被攻击的域名,从而,需要长时间进行分析查找处理。目前,定位被攻击的域名通常使用二分法,将众多的域名切分在不同的服务器上,然后确定哪台服务器设备受攻击,此过程需要占用大量的服务器资源。并且,因为排查出来需要很长一段时间,最终定位出被攻击的域名过慢。因此,需要能够快速、准确地定位被DDOS攻击的域名。
技术实现思路
为了解决现有技术中定位被DDOS攻击的域名的问题,提出了一种定位被DDOS攻击的域名的方法和系统。根据本专利技术的一个方面,提供了一种定位被DDOS攻击的域名的方法,所述方法包括:获取被攻击服务器集群信息以及DNS服务器日志;基于所述被攻击服务器集群信息和所述DNS服务器日志,确定所述DNS服务器日志中被访问域名的风险评分,并筛选第一设定数量的风险评分最高的域名。其中,确定所述被攻击服务器日志中被访问域名的风险评分包括:基于所述被访问域名是否由所述被攻击服务器集群中的服务器解析,确定所述被访问域名的风险评分。其中,确定所述被攻击服务器日志中被访问域名的风险评分还包括:针对第二设定数量的风险评分最高的被访问域名,判断各被访问域名在所述被攻击时间段内的流量变化是否超过第一阈值和/或被访问次数变化是否超过第二阈值,若超过,则增加该被访问域名的风险评分。其中,确定所述被攻击服务器日志中被访问域名的风险评分还包括:针对第三设定数量的风险评分最高的被访问域名,判断与各被访问域名相关的网站内容是否属于危险内容,若是,则增加该被访问域名的风险评分。其中,所述方法还包括:在筛选第一设定数量的风险评分最高的域名后,将所述风险评分最高的域名确定为被攻击的域名。根据本专利技术的另一方面,还提供了一种定位被DDOS攻击的域名的系统,所述系统包括:获取模块,用于获取被攻击服务器集群信息以及DNS服务器日志;确定模块,用于基于所述被攻击服务器集群信息和所述DNS服务器日志,确定所述DNS服务器日志中被访问域名的风险评分;筛选模块,用于筛选第一设定数量的风险评分最高的域名。其中,所述确定模块还用于基于所述被访问域名是否由所述被攻击服务器集群中的服务器解析,确定所述被访问域名的风险评分。其中,所述确定模块还用于针对第二设定数量的风险评分最高的被访问域名,判断各被访问域名在所述被攻击时间段内的流量变化是否超过第一阈值和/或被访问次数变化是否超过第二阈值,若超过,则增加该被访问域名的风险评分。其中,所述确定模块还用于针对第三设定数量的风险评分最高的被访问域名,判断与各被访问域名相关的网站内容是否属于危险内容,若是,则增加该被访问域名的风险评分。其中,所述筛选模块还用于在筛选第一设定数量的风险评分最高的域名后,将所述风险评分最高的域名确定为被攻击的域名。本专利技术中的定位被DDOS攻击的域名的方法和系统,通过对被访问域名进行风险评分的方式,快速从众多的域名中排查出被攻击的域名。通过本专利技术的方案,可以快速、准确地对被攻击的域名进行定位,并减少企业因DDOS攻击带来的资源占用过大的问题,同时提高企业的服务品质。附图说明构成本专利技术的一部分的附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术的定位被DDOS攻击的域名的方法的流程图;图2是根据本专利技术的具体实施例中的机房被攻击的示意图;图3是根据本专利技术的定位被DDOS攻击的域名的系统的模块图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。本专利技术提供了一种定位被DDOS攻击的域名的方法,其特征在于,所述方法包括:步骤101,获取被攻击服务器集群信息以及DNS服务器日志;步骤102,基于所述被攻击服务器集群信息和所述DNS服务器日志,确定所述DNS服务器日志中被访问域名的风险评分,并筛选第一设定数量的风险评分最高的域名。这里,被攻击服务器集群可以是机房等,DNS服务器日志可以是所有的DNS服务器日志,也可以是通过一些方法选择的与该次攻击关联较大的DNS服务器日志,例如通过日志中的服务器地址等方式。DNS服务器日志中记载有被访问域名的相关信息。在确定被访问域名的风险评分后,可以从里面筛选出风险评分最高的一个或多个域名,这里的第一设定数量可以根据实际需要设定。其中,步骤101中,获取被攻击服务器集群信息以及DNS服务器日志还包括:基于所述被攻击服务器集群信息中的被攻击时间段,筛选与所述被攻击时间段相应的DNS服务器日志作为所述DNS服务器日志。其中,可以通过例如,判断某服务器的流量突然上升的时间点或者无法正常服务的时间点,来获得被攻击时间段。这样,可以缩减日志分析的工作量,同时增加判断的成功率。其中,步骤102中,确定所述被攻击服务器日志中被访问域名的风险评分包括:基于所述被访问域名是否由所述被攻击服务器集群中的服务器解析,确定所述被访问域名的风险评分。当被访问域名全部由被攻击服务器集群中的服务器解析时,该域名的风险评分最高;当被访问域名部分由被攻击服务器集群中的服务器解析、部分由非被攻击的服务器集群中的服务器解析时,该域名的风险评分较高;当被访问域名未由被攻击服务器集群中的服务器解析时,该域名的风险评分较低。例如,对于未由被攻击服务器集群中的服务器解析的域名,其风险评分可设置为0;对于全部由被攻击服务器集群中的服务器解析的域名,其风险评分可设置为100;对于部分由被攻击服务器集群中的服务器解析的域名,其风险评分可设置为0至100之间的数值。其中,步骤102中,确定所述被攻击服务器日志中被访问域名的风险评分还包括:针对第二设定数量的风险评分最高的被访问域名,判断各被访问域名在所述被攻击时间段内的流量变化是否超过第一阈值和/或被访问次数变化是否超过第二阈值,若超过,则增加该被访问域名的风险评分。这里设定第一阈值为平时或被攻击时间段外平均流量的倍数,如5倍,设定第二阈值为平时或被攻击时间段外平均访问次数的倍数,如5倍。增加风险评分时,可以采用流量或被访问次数增加几倍,则增加几分的方式。另外,第二设定数量可以是一个或多个,根据需要设定。其中,确定所述被攻击服务器日志中被访问域名的风险评分还包括:针对第三设定数量的风险评分最高的被访问域名,判断与各被访问域名相关的网站内容是否属于危险内容,若是,则增加该被访问域名的风险评分。这里,危险内容是违法的或者容易被攻击的内容,例如,游戏本文档来自技高网...
【技术保护点】
一种定位被DDOS攻击的域名的方法,其特征在于,所述方法包括:获取被攻击服务器集群信息以及DNS服务器日志;基于所述被攻击服务器集群信息和所述DNS服务器日志,确定所述DNS服务器日志中被访问域名的风险评分,并筛选第一设定数量的风险评分最高的域名。
【技术特征摘要】
1.一种定位被DDOS攻击的域名的方法,其特征在于,所述方法包括:获取被攻击服务器集群信息以及DNS服务器日志;基于所述被攻击服务器集群信息和所述DNS服务器日志,确定所述DNS服务器日志中被访问域名的风险评分,并筛选第一设定数量的风险评分最高的域名。2.如权利要求1所述的方法,其特征在于,确定所述被攻击服务器日志中被访问域名的风险评分包括:基于所述被访问域名是否由所述被攻击服务器集群中的服务器解析,确定所述被访问域名的风险评分。3.如权利要求2所述的方法,其特征在于,确定所述被攻击服务器日志中被访问域名的风险评分还包括:针对第二设定数量的风险评分最高的被访问域名,判断各被访问域名在所述被攻击时间段内的流量变化是否超过第一阈值和/或被访问次数变化是否超过第二阈值,若超过,则增加该被访问域名的风险评分。4.如权利要求3所述的方法,其特征在于,确定所述被攻击服务器日志中被访问域名的风险评分还包括:针对第三设定数量的风险评分最高的被访问域名,判断与各被访问域名相关的网站内容是否属于危险内容,若是,则增加该被访问域名的风险评分。5.如权利要求1所述的方法,其特征在于,所述方法还包括:在筛选第一设定数量的风险评分最高的域名后,将所述风险评...
【专利技术属性】
技术研发人员:林小波,蔡少君,苗辉,
申请(专利权)人:厦门白山耘科技有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。