一种针对随机域名攻击的主动防护方法技术

本发明专利技术涉及计算机网络安全技术领域，公开了一种针对随机域名攻击的主动防护方法，该方法包括：通过统计分析来识别恶意DNS流量；按照时间窗口扫描历史DNS解析数据，全量分析所有解析域名；定义多个指标；按照多个指标对全部查询域名进行分类和聚合，形成域名树结构；发明专利技术威胁得分，并对聚合后的域名树节点进行威胁得分计算；将威胁得分超过阈值且为区中最高的的节点被定义为随机域名攻击所用的域名，并进行告警或拦截。本发明专利技术通过统计分析来识别恶意DNS流量，并主动对恶意流量进行发现/拦截，实现对恶意流量的剥离。本方法的检测不仅覆盖有公共域名后缀的随机域名，而且覆盖没有公共后缀的随机域名，为DNS服务器提供全面的防护。

An active protection method against random domain name attack

【技术实现步骤摘要】
一种针对随机域名攻击的主动防护方法
本专利技术涉及计算机网络安全
，尤其涉及一种针对随机域名攻击的主动防护方法。
技术介绍
如今，随着网络的快速发展，网络攻击的逐渐多样化、复杂化且专业化。随机域名攻击是一种针对域名服务器的新型分布式拒绝服务攻击，它会给递归域名服务器和权威域名服务器造成严重破坏。在随机域名攻击中，攻击者选定一个域作为目标，在目标域内，攻击者操纵僵尸网络产生大量随机域名。这些随机域名的头部都是些诸如asdfghjk、zxcvbnm之类的无意义的字符，然后向递归域名服务器发起大量针对这些无意义域名的查询请求。递归域名服务器转而将请求发送到权威服务器以查询这些域名。权威域名服务器返回‘请求的域名不存在’的响应(NXDOMAIN)，递归服务器中继转发这一响应给原始请求者，并缓存下域名不存在的记录。请求、响应、缓存的动作反反复复无穷尽。如果攻击者发起这种胡乱域名解析请求的速度足够快，聚合查询的速度将使得权威域名服务器应接不暇濒临崩溃。真正的伤害就发生了：僵尸主机继续向递归域名服务器发送无意义域名的查询请求。权威域名服本文档来自技高网...

【技术保护点】
1.一种威胁情报域名防护方法，其特征在于，所述方法包括：/nS1、按照时间窗口顺序扫描历史DNS解析数据，全量分析所有解析过的域名；/nS2、统计最近一个窗口中的各项指标的顶级域名及指标数据；/nS3、按照多个指标数据对全部查询的域名进行分类和聚合形成区；/nS4、域名聚合时，若总域名数量过多，通过域名树结构替换请求总量最低的区/域名统计项，将区总数控制在预设范围内；/nS5、对于含有子域名的区，增加区分散性指标；/nS6、对S2中的各项指标根据对服务器性能影响大小进行权重分配，形成指标权重；/nS7、计算威胁得分；/nS8、设置威胁得分阈值，威胁得分超过阈值且综合得分最高的区被定义为随机域名...

【技术特征摘要】
1.一种威胁情报域名防护方法，其特征在于，所述方法包括：
S1、按照时间窗口顺序扫描历史DNS解析数据，全量分析所有解析过的域名；
S2、统计最近一个窗口中的各项指标的顶级域名及指标数据；
S3、按照多个指标数据对全部查询的域名进行分类和聚合形成区；
S4、域名聚合时，若总域名数量过多，通过域名树结构替换请求总量最低的区/域名统计项，将区总数控制在预设范围内；
S5、对于含有子域名的区，增加区分散性指标；
S6、对S2中的各项指标根据对服务器性能影响大小进行权重分配，形成指标权重；
S7、计算威胁得分；
S8、设置威胁得分阈值，威胁得分超过阈值且综合得分最高的区被定义为随机域名攻击所用的区或域名；
S9、对判定的域名区或域名进行拦截，并添加到限速白名单中，后续统计分析过程中不再重新进行分析；
S10、提供检测白名单，在检测白名单中的域名默认为正常域名，无需对白名单中的域名进行威胁得分计算和拦截。


2.如权利要求1所述的方法，其特征在于，所述指标数据包括：
a、域名解析结果中servfail占比，及servfail结果总量与qps；
b、域名解析结果中其它不可缓存结果的占比，及结果总量与qps；
c、域名解析结果中nxdomain占比，及nxdomain结果总量与qps；
d、正常存在记录的域名查询占比，及其总量与qps。


3.如权利要求2所述的方法，其特征在于，在步骤S1中，按照时间窗口扫描历史DNS解析数据，时间窗口大小为分钟级别，逐个对每个窗口中DNS解析数据进行分析，每个窗口扫描分析结束，得出相应的分析结果。


4.如...

【专利技术属性】
技术研发人员：陈超，袁立志，毛伟，邢志杰，李晓逸，张立超，
申请(专利权)人：互联网域名系统北京市工程研究中心有限公司，
类型：发明
国别省市：北京;11