【技术实现步骤摘要】
本专利技术涉及信息安全,特别涉及一种基于哈希表的dns无规律前缀攻击检测方法及装置。
技术介绍
1、针对dns系统,存在一类基于变化前缀的攻击行为,如单纯的随机前缀域名攻击,通常是为了穿透dns递归服务器的缓存,并产生递归来消耗服务器性能的。另一种典型的此类攻击是dns隧道攻击,它的攻击方式是使用dns通信流量(通常使用dns消息中的question段中的域名部分)作为载荷,向外或向内传输数据,来达到穿透网络防火墙的目的。
2、其中隧道攻击通常会编码要传输的数据,所以在使用域名作为载荷的场景下,它的表现也是产生大量不同前缀的域名请求。
3、对于此类攻击,如果全量记录涉及递归的单个区下所有的不同域名,并计算区下总共出现的不同域名数量,以此来进行判定的话,资源的消耗可能会很大。并且对单纯数量的统计也可能无法反映具体域名是否存在一些特别之处,缺少对相关请求的性质的判断依据,无法更精准地判定此类攻击行为。
技术实现思路
1、基于此,本申请实施例提供了一种基于哈希表的dns无规律前缀攻击检测方法及装置,可以实现相对准确的判定攻击行为,并降低内存资源的消耗。
2、第一方面,提供了一种基于哈希表的dns无规律前缀攻击检测方法,该方法包括:
3、为dns的每个区设置一个哈希表,并根据需求设置哈希表的大小,初始化每个表项,并初始化区的总请求计数;
4、当有新的域名请求到达时,基于域名所在的区层级进行哈希计算,得到一个整数哈希值;使用哈希值与
5、当区的总请求计数达到预设数量后,开始扫描哈希表,并计算样本的标准差;
6、将计算出的标准差与预设的阈值进行对比;如果标准差低于阈值,则判定存在攻击行为。
7、可选地,基于域名所在的区层级进行哈希计算,包括:
8、获取域名所在的区层级,去除区后缀,得到域名前缀;
9、对域名前缀进行哈希计算。
10、可选地,当区的总请求计数达到预设数量后,开始扫描哈希表,包括:
11、每递增预设数量的样本时,会对所有表项进行一次扫描。
12、可选地,当区的总请求计数达到预设数量后,开始扫描哈希表,包括:使用异步扫描或批处理方式进行哈希表扫描。
13、可选地,计算样本的标准差具体包括:
14、计算所有表项中数值的平均值;
15、计算所有表项中的数值与平均值之间的差的平方值,并将平方值累加起来;计算所有平方值的均值,得到方差;
16、根据方差求其平方根,得到哈希表中所有数值的标准差。
17、可选地,在判定存在攻击行为之后,所述方法还包括:
18、对于被判定为存在攻击行为的区域,记录详细的日志信息,包括攻击发生的时间、源ip地址、攻击类型;
19、根据攻击检测的结果,动态调整dns的防御策略;包括增加防火墙规则、调整负载均衡策略。
20、可选地,所述方法还包括:
21、将攻击检测的结果通知相关的人员或系统,并设置告警机制,以便及时响应和处理安全事件;
22、定期监控系统的运行状态和攻击负载;根据监控结果,优化算法参数、调整哈希表大小。
23、第二方面,提供了一种基于哈希表的dns无规律前缀攻击检测装置,该装置包括:
24、设置模块,用于为dns的每个区设置一个哈希表,并根据需求设置哈希表的大小,初始化每个表项,并初始化区的总请求计数;
25、计算模块,用于当有新的域名请求到达时,基于域名所在的区层级进行哈希计算,得到一个整数哈希值;使用哈希值与哈希表大小进行取模运算,得到对应的表项索引号;将表项中数值加1,并增加区的总请求计数;
26、扫描模块,用于当区的总请求计数达到预设数量后,开始扫描哈希表,并计算样本的标准差;
27、判断模块,用于将计算出的标准差与预设的阈值进行对比;如果标准差低于阈值,则判定存在攻击行为。
28、第三方面,提供了一种电子设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述第一方面任一所述的基于哈希表的dns无规律前缀攻击检测方法。
29、第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面任一所述的基于哈希表的dns无规律前缀攻击检测方法。
30、本申请实施例提供的技术方案中,首先为dns的每个区设置一个哈希表,并根据需求设置哈希表的大小,初始化每个表项,并初始化区的总请求计数;然后当有新的域名请求到达时,基于域名所在的区层级进行哈希计算,得到一个整数哈希值;使用哈希值与哈希表大小进行取模运算,得到对应的表项索引号;在该表项中,将表项中数值加1,并增加区的总请求计数;最后当区的总请求计数达到预设数量后,开始扫描哈希表,并计算样本的标准差;将计算出的标准差与预设的阈值进行对比;如果标准差低于阈值,则判定该区存在攻击行为。
31、本申请实施例提供的技术方案带来的有益效果至少包括:
32、(1)通过使用哈希表和统计方法,可以快速地检测出基于域名前缀的随机性或隧道攻击,提高攻击检测的准确性和实时性。
33、(2)由于攻击检测基于哈希表中的数值分布,而不是简单地基于单个请求或短时间内的流量异常,因此可以减少误报的可能性。
34、(3)一旦检测到攻击行为,可以迅速采取相应的防御措施,如调整防火墙规则、增加负载均衡等,以应对不断变化的攻击模式。
35、(4)通过定期监控和优化攻击检测算法,可以增强dns系统的安全性,降低潜在的攻击风险。
本文档来自技高网...【技术保护点】
1.一种基于哈希表的DNS无规律前缀攻击检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的DNS无规律前缀攻击检测方法,其特征在于,基于域名所在的区层级进行哈希计算,包括:
3.根据权利要求1所述的DNS无规律前缀攻击检测方法,其特征在于,当区的总请求计数达到预设数量后,开始扫描哈希表,包括:
4.根据权利要求1所述的DNS无规律前缀攻击检测方法,其特征在于,当区的总请求计数达到预设数量后,开始扫描哈希表,包括:使用异步扫描或批处理方式进行哈希表扫描。
5.根据权利要求1所述的DNS无规律前缀攻击检测方法,其特征在于,计算样本的标准差具体包括:
6.根据权利要求1所述的DNS无规律前缀攻击检测方法,其特征在于,在判定存在攻击行为之后,所述方法还包括:
7.根据权利要求1所述的DNS无规律前缀攻击检测方法,其特征在于,所述方法还包括:
8.一种基于哈希表的DNS无规律前缀攻击检测装置,其特征在于,所述装置包括:
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器存储
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一所述的基于哈希表的DNS无规律前缀攻击检测方法。
...【技术特征摘要】
1.一种基于哈希表的dns无规律前缀攻击检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的dns无规律前缀攻击检测方法,其特征在于,基于域名所在的区层级进行哈希计算,包括:
3.根据权利要求1所述的dns无规律前缀攻击检测方法,其特征在于,当区的总请求计数达到预设数量后,开始扫描哈希表,包括:
4.根据权利要求1所述的dns无规律前缀攻击检测方法,其特征在于,当区的总请求计数达到预设数量后,开始扫描哈希表,包括:使用异步扫描或批处理方式进行哈希表扫描。
5.根据权利要求1所述的dns无规律前缀攻击检测方法,其特征在于,计算样本的标准差具体包括:
6.根据权利要求1所述...
【专利技术属性】
技术研发人员:陈超,蒋超,朱睿爽,邢志杰,毛伟,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。