本申请的实施例公开了一种域名反射攻击检测方法及装置、电子设备、存储介质,该方法包括:获取待检测请求对象在多个时间窗口内发起域名解析请求的请求数量;根据预设时间关系对多个时间窗口的请求数量进行构建,得到至少两个请求序列;计算至少两个请求序列之间的相关系数;根据至少两个请求序列之间的相关系数,确定待检测请求对象是否发起域名反射攻击。本申请实施例的技术方案能够准确、及时检测到待检测请求对象是否发起域名反射攻击。检测请求对象是否发起域名反射攻击。检测请求对象是否发起域名反射攻击。
【技术实现步骤摘要】
域名反射攻击检测方法及装置、电子设备、存储介质
[0001]本申请涉及安全
,具体而言,涉及一种域名反射攻击检测方法及装置、电子设备、计算机可读存储介质。
技术介绍
[0002]DNS(Domain Name System,域名系统)是互联网基础设施,因其隐含的商业价值,逐步被大型企业所重视,各大企业都建立了面向全网的DNS系统。这种面向全网的DNS系统,无法限制查询源IP的范围,客观上成为攻击者可利用的流量反射攻击资源,近年来,因DNS低成本、易躲避检测和溯源、流量放大效应明显等特征,DNS反射攻击屡创攻击流量峰值记录,成为当前互联网基础设施异常流量防护的主要对象。因此,在DNS服务器侧,DNS反射攻击的检测能力,对于应急响应至关重要。
[0003]现有针对DNS反射攻击的检测方法,主要集中在DNS服务器侧或受害者侧,DNS服务器侧或受害者侧依据网络带宽、服务器的可用性进行监测,超过阈值就告警,但是,这种检测方法具有明显的滞后性,当发出告警时,往往为时已晚,同时,DNS服务器侧或受害者侧会存在其他原因导致网络带宽或服务器的可用性降低,进而影响对DNS反射攻击的检测,使得DNS反射攻击检测的准确性较低。一系列的DDoS(Distributed Denial of Service,分布式拒绝服务)案例表明,DNS反射攻击较容易突破异常流量清洗设备的处理能力,使得如何能够及时发现DNS反射攻击成为亟待解决的问题。
技术实现思路
[0004]为解决上述技术问题,本申请的实施例提供了一种域名反射攻击检测方法及装置、电子设备、计算机可读存储介质,旨在解决DNS反射攻击检测的准确性较低的技术问题。
[0005]本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
[0006]根据本申请实施例的一个方面,提供了一种域名反射攻击检测方法,包括:
[0007]获取待检测请求对象在多个时间窗口内发起域名解析请求的请求数量;
[0008]根据预设时间关系对多个时间窗口的请求数量进行构建,得到至少两个请求序列;
[0009]计算至少两个请求序列之间的相关系数;
[0010]根据至少两个请求序列之间的相关系数,确定待检测请求对象是否发起域名反射攻击。
[0011]根据本申请实施例的一个方面,提供了一种域名反射攻击检测装置,包括:
[0012]获取模块,配置为获取待检测请求对象在多个时间窗口内发起域名解析请求的请求数量;
[0013]构建模块,配置为根据预设时间关系对多个时间窗口的请求数量进行构建,得到至少两个请求序列;
[0014]计算模块,配置为计算至少两个请求序列之间的相关系数;
[0015]确定模块,配置为根据至少两个请求序列之间的相关系数,确定待检测请求对象是否发起域名反射攻击。
[0016]根据本申请实施例的一个方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述电子设备实现如前所述的域名反射攻击检测方法。
[0017]根据本申请实施例的一个方面,提供了一种计算机可读存储介质,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行如上所述的域名反射攻击检测方法。
[0018]根据本申请实施例的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实施例中提供的域名反射攻击检测方法。
[0019]在本申请的实施例所提供的技术方案中,在不同的时间窗口中,伪造的域名解析请求行为具有高度自相似性,而正常的域名解析请求行为呈现不可预测性。本申请实施例依据待检测请求对象在多个时间窗口发起域名解析请求的请求次数构建请求序列,请求序列能够表征待检测请求对象在多个时间窗口内的行为特征,根据请求序列计算相关系数,进而依据相关系数能够准确确定待检测请求对象是否发起域名反射攻击,本申请提供的域名发射攻击检测方法能够及时、准确的确定出是否发起域名反射攻击。
[0020]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
[0021]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术者来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
[0022]图1是本申请涉及的一种实施环境的示意图;
[0023]图2是本申请涉及的一种域名反射攻击检测方法的流程图;
[0024]图3是本申请涉及的一个实施例中步骤S210的流程图;
[0025]图4是本申请涉及的一个实施例中步骤S220的流程图;
[0026]图5是本申请涉及的一个实施例中步骤S410的流程图;
[0027]图6是本申请涉及的一个实施例中确定第一时间窗口和第二时间窗口的示意图;
[0028]图7是本申请涉及的另一个实施例中确定第一时间窗口和第二时间窗口的示意图;
[0029]图8是本申请涉及的一个实施例中步骤S230的流程图;
[0030]图9是本申请涉及的一个实施例中步骤S820的流程图;
[0031]图10是本申请涉及的一个实施例中步骤S240的流程图;
[0032]图11是本申请涉及的一种域名反射攻击检测方法的流程图;
[0033]图12是本申请涉及的一种域名反射攻击检测装置的框图;
[0034]图13示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
[0035]这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0036]附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
[0037]附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
[0038]还需要说明的是:在本申请中提及的“多个本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种域名反射攻击检测方法,其特征在于,包括:获取待检测请求对象在多个时间窗口内发起域名解析请求的请求数量;根据预设时间关系对所述多个时间窗口的请求数量进行构建,得到至少两个请求序列;计算所述至少两个请求序列之间的相关系数;根据所述至少两个请求序列之间的相关系数,确定所述待检测请求对象是否发起域名反射攻击。2.如权利要求1所述的方法,其特征在于,所述根据预设时间关系对所述多个时间窗口的请求数量进行构建,得到至少两个请求序列,包括:根据预设时间关系,将所述多个时间窗口划分为多个第一时间窗口和多个第二时间窗口;根据所述多个第一时间窗口的请求数量构建得到第一请求序列,以及根据所述多个第二时间窗口的请求数量构建得到第二请求序列。3.如权利要求2所述的方法,其特征在于,所述多个时间窗口是连续的时间窗口;所述根据预设时间关系,将所述多个时间窗口划分为多个第一时间窗口和多个第二时间窗口,包括:在多个连续的时间窗口中,确定指定数量个连续的时间窗口作为所述多个第一时间窗口;在除所述第一时间窗口之外的其他时间窗口中,确定所述指定数量个时间窗口作为所述多个第二时间窗口;其中,所述多个第一时间窗口中最晚的第一时间窗口早于所述多个第二时间窗口中最早的第二时间窗口。4.如权利要求1所述的方法,其特征在于,所述至少两个请求序列包括第一请求序列和第二请求序列;所述计算所述至少两个请求序列之间的相关系数,包括:对所述第一请求序列中含有的各个请求数量进行求平均值运算,得到第一均值,以及对所述第二请求序列中含有的各个请求数量进行求平均值运算,得到第二均值;根据所述第一均值、所述第二均值、所述第一请求序列,以及所述第二请求序列,计算所述第一请求序列和所述第二请求序列之间的相关系数。5.如权利要求4所述的方法,其特征在于,所述根据所述第一均值、所述第二均值、所述第一请求序列,以及所述第二请求序列,计算所述第一请求序列和所述第二请求序列的相关系数,包括:将所述第一请求序列中含有的各个请求数量分别与所述第一均值进行求差值运算,得...
【专利技术属性】
技术研发人员:刘东鑫,汪来富,史国水,温展鹏,肖宇峰,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。