【技术实现步骤摘要】
DNS域名异常访问监控方法及装置
本专利技术涉及网络安全
,尤其涉及一种DNS域名异常访问监控方法及装置。
技术介绍
在计算机网络通信中,主机之间需要知道通信对端的IP地址才能够通过IP网络与对方进行通信。然而32位的IPv4地址(IPv6地址为128位)对于通信参与者来说是不容易记忆的。因此,更为直观的域名(如www.google.com.hk)被广泛采用以解决IP地址难以记忆的问题。然而网络通信是基于IP协议来运转的,通过域名并不能直接找到要访问的主机。因此主机需要将用户输入的域名转换为IP地址,这个过程被称为域名解析。为了完成域名解析,需要域名系统(DomainNameSystem,DNS)来配合,其是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。通过域名系统,用户进行某些应用时,可以直接使用便于记忆的且有意义的域名,而由网络中的DNS服务器将域名解析为正确的IP地址然后返回给用户的主机。域名服务器,是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能...
【技术保护点】
1.一种DNS域名异常访问监控方法,其特征在于,包括:/n统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;/n对所述第一域名集中所包含的域名,将对应域名的访问次数与该域名根据标准幂律分布计算得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常;其中,/n所述标准幂律分布描述了基于历史统计数据所得到的域名的访问次数与该域名的访问次数降序排名之间的关系。/n
【技术特征摘要】
1.一种DNS域名异常访问监控方法,其特征在于,包括:
统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;
对所述第一域名集中所包含的域名,将对应域名的访问次数与该域名根据标准幂律分布计算得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常;其中,
所述标准幂律分布描述了基于历史统计数据所得到的域名的访问次数与该域名的访问次数降序排名之间的关系。
2.根据权利要求1所述的DNS域名异常访问监控方法,其特征在于,所述标准幂律分布的表达式为:其中,x表示访问次数降序排名,y表示访问次数,均为标准幂律分布的幂律指数;该方法还包括:
统计DNS查询报文中的DNS域名,得到多个第二域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第二域名集为一个统计周期内访问次数降序排名在前的多个域名的集合;
根据所述多个第二域名集中所包含域名的访问次数和访问次数降序排名,计算每个第二域名集的幂律指数;根据每个第二域名集的幂律指数,计算所述多个第二域名集的幂律指数均值,将所述幂律指数均值作为标准幂律分布的幂律指数,从而得到标准幂律分布。
3.根据权利要求2所述的DNS域名异常访问监控方法,其特征在于,还包括:
对所述多个第二域名集中所包含域名,为对应域名的访问次数与该域名根据所述标准幂律分布计算得到的访问次数求差,得到多个差值,计算所述多个差值的均值与标准差,根据所述多个差值的均值与标准差确定所述阈值。
4.根据权利要求3所述的DNS域名异常访问监控方法,其特征在于,所述阈值为μ+3σ,其中,μ为所述多个差值的均值、σ为所述多个差值的标准差。
5.一种DNS域名异常访问监控装置,其特征在于,包括:
第一统计模块,用于统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多...
【专利技术属性】
技术研发人员:张恒,张鹏,孙才,刘永祥,
申请(专利权)人:中国互联网络信息中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。