【技术实现步骤摘要】
一种DNS水刑攻击检测模型构建方法及流量清洗方法
[0001]本申请涉及网络安全
,尤其涉及一种DNS水刑攻击检测模型构建方法及流量清洗方法。
技术介绍
[0002]域名系统(Domain Name System,简称:DNS)是将域名和IP地址相互映射的一个分布式数据库,DNS水刑攻击是一种针对DNS服务器的分布式拒绝服务(DDoS)攻击,目的是耗尽目标域名所属权威服务器的资源,导致服务中断等。
[0003]在现有技术中,通常采用白名单机制,过滤掉不在有效子域列表中的前缀,或采用黑名单制,阻止水刑攻击请求进入递归解析阶段,以实现防御DNS水刑攻击。
[0004]但是,现有技术仅适用于检测针对常规域的攻击,难以检测由大量随机子域组成的一次性域的攻击,导致无法全面保障DNS服务器的安全性。
技术实现思路
[0005]本申请提供一种DNS水刑攻击检测模型构建方法及流量清洗方法,以解决现有技术难以检测由大量随机子域组成的一次性域的攻击,导致无法全面保障DNS服务器的安全性等缺陷。
[0...
【技术保护点】
【技术特征摘要】
1.一种DNS水刑攻击检测模型构建方法,其特征在于,包括:监控DNS请求流量,以得到目标二级域名的DNS请求流量集;根据所述目标二级域名的DNS请求流量集的DNS请求分布情况,判断所述目标二级域名是否存在DNS水刑攻击;若是,则将所述目标二级域名的DNS请求流量集中的DNS请求流量确定为异常流量;利用所述异常流量对初始DNS水刑攻击检测模型进行训练,以得到目标DNS水刑攻击检测模型。2.根据权利要求1所述的方法,其特征在于,所述根据所述目标二级域名的DNS请求流量集的DNS请求分布情况,判断所述目标二级域名是否存在DNS水刑攻击,包括:检测所述DNS请求流量集中各DNS请求流量对应的查询子域,以得到所述DNS请求流量集的子域查询多样性指标;当所述DNS请求流量集的子域查询多样性指标达到预设的子域查询多样性指标阈值时,确定所述目标二级域名存在DNS水刑攻击。3.根据权利要求1所述的方法,其特征在于,所述根据所述目标二级域名的DNS请求流量集的DNS请求分布情况,判断所述目标二级域名是否存在DNS水刑攻击,包括:检测所述DNS请求流量集中各DNS请求流量的源IP地址,以得到所述DNS请求流量集的源IP地址多样性指标;当所述DNS请求流量集的源IP地址多样性指标达到预设的源IP地址多样性指标阈值时,确定所述目标二级域名存在DNS水刑攻击。4.根据权利要求1所述的方法,其特征在于,所述利用所述异常流量对初始DNS水刑攻击检测模型进行训练,以得到目标DNS水刑攻击检测模型,包括:获取与所述异常流量等量的正常流量;按照预设的编码规则,分别对所述异常流量和正常流量对应的查询子域的子域名进行编码,以得到所述异常流量对应的异常向量特征和正常流量对应的正常向量特征;将所述异常向量特征和正常流量特征输入到所述初始DNS水刑攻击检测模型,以对所述初始DNS水刑检测模型进行训练。5.根据权利要求1所述的方法,其特征在于,还包括:当根据所述目标二级域名的DNS请求流量集的DNS请求分布情况,确定所述目标二级域名不存在DNS水刑攻击时,将所述目标二...
【专利技术属性】
技术研发人员:钱珂翔,张道娟,武宏斌,房磊,
申请(专利权)人:全球能源互联网研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。