【技术实现步骤摘要】
本专利技术涉及网络安全,特别涉及一种基于dns请求脉冲检测的隧道攻击防护方法及装置。
技术介绍
1、随着互联网的快速发展,隧道攻击行为也越来越多。dns隧道攻击是一种借助dns流量作为载荷的攻击手法,通常用于泄漏内网数据或接收外部控制者的指令。一般来说是基于网络环境中开发了dns服务的默认端口,通过模拟dns请求来绕过防火墙对端口的限制来实施攻击。此类型的攻击,由于完全遵循dns协议,从网络流量的角度来说,是完全合法的,因此难以防范。要针对这种攻击进行防护,需要比较精准地找到此类流量于正常dns请求的差异,然后进行拦截。
2、目前常见的隧道攻击特征分析,着重对dns的载荷进行分析,尤其是通常用来承载信息,且在请求和应答中都会存在的请求域名部分。攻击者可以通过将数据编码,填充到请求域名中,并发送出去。编码后的域名在可读性,长度,字符的分布规律等多个层面上,都可以与非恶意请求的存在较为明显的差异,这使得基于这些规律的分析成为可能。然而基于载荷的特征分析及防护,分析角度比较单一,可能被针对性地绕过,安全性较低。
技术实现思路
1、基于此,本申请实施例提供了一种基于dns请求脉冲检测的隧道攻击防护方法及装置,提供一种不同于以上特征识别的角度,通过隧道攻击流量的行为表现上,对判定恶意流量做出补充防护。
2、第一方面,提供了一种基于dns请求脉冲检测的隧道攻击防护方法,该方法包括:
3、s1初始化会话和服务器统计数据:设置会话列表,为会话列表中每个会话分配对
4、s2监测dns请求和计算通信量:实时监测进入的dns请求,记录每个会话的通信量,计算每个会话每秒通信量的滑动平均值,并记录服务器整体每秒通信量的滑动平均值;
5、s3判定和处理脉冲:在服务器整体积累到预设数量样本后,对比服务器整体每秒通信量的递归总量,计算比值并取最大值作为参考倍数阈值t1;根据预设倍数阈值t2和参考倍数阈值t1来判定脉冲,根据判定的脉冲数量确定是否发生隧道攻击行为;
6、s4防护处理和黑名单管理:若检测到隧道攻击行为,将会话相关的客户端地址和dns区添加到黑名单数据库中。
7、可选地,根据预设倍数阈值t2和参考倍数阈值t1来判定脉冲还包括:
8、在脉冲判定产生后,计算脉冲的滑动均值,当该滑动均值低于预设倍数阈值t3时,认为脉冲结束;其中,所述预设倍数阈值t3的数值低于预设倍数阈值t2。
9、可选地,在根据预设倍数阈值t2和参考倍数阈值t1来判定脉冲之后,还包括:
10、获取完整的历史滑动平均值,包括脉冲和非脉冲区域的数据;
11、计算非脉冲部分和脉冲部分覆盖的时间的比例,与预设比例阈值t4进行比较;
12、当非脉冲部分的时间总量小于脉冲部分的预设比例时,则判定之前的脉冲无效,并清空相关数据。
13、可选地,根据判定的脉冲数量确定是否发生隧道攻击行为,包括:
14、设定判定阈值t5,用于判定隧道行为的脉冲数量;
15、当会话已监测到的脉冲数量大于判定阈值t5时,认为会话存在隧道攻击行为。
16、可选地,所述为每个会话初始化统计数据,具体包括:
17、统计每个会话客户端源地址、dns区域以及不同时间点的请求/应答数量和通信量。
18、可选地,记录每个会话的通信量,计算每个会话每秒通信量的滑动平均值,具体包括:
19、记录每个会话的通信量包括以字节为单位的通信载荷;
20、以及使用使用movingaverage算法计算每个会话每秒通信量的滑动平均值。
21、可选地,若检测到隧道攻击行为,将会话相关的客户端地址和dns区添加到黑名单数据库中,还包括:
22、在后续操作中,拦截黑名单中的客户端地址和dns区的请求,清除该会话的相关数据,并结束对该会话的监测。
23、第二方面,提供了一种基于dns请求脉冲检测的隧道攻击防护装置,该装置包括:
24、统计模块,用于设置会话列表,为会话列表中每个会话分配对应标识符,为每个会话初始化统计数据,同时记录dns服务器的每秒所有通信量的滑动平均值;
25、监测模块,用于实时监测进入的dns请求,记录每个会话的通信量,计算每个会话每秒通信量的滑动平均值,并记录服务器整体每秒通信量的滑动平均值;
26、判定模块,用于在服务器整体积累到预设数量样本后,对比服务器整体每秒通信量的递归总量,计算比值并取最大值作为参考倍数阈值t1;根据预设倍数阈值t2和参考倍数阈值t1来判定脉冲,根据判定的脉冲数量确定是否发生隧道攻击行为;
27、防护模块,用于若检测到隧道攻击行为,将会话相关的客户端地址和dns区添加到黑名单数据库中。
28、第三方面,提供了一种电子设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述第一方面任一所述的基于dns请求脉冲检测的隧道攻击防护方法。
29、第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面任一所述的基于dns请求脉冲检测的隧道攻击防护方法。
30、本申请实施例提供的技术方案带来的有益效果至少包括:
31、(1)通过实时监测dns请求和计算通信量,可以及时发现异常情况,这有助于及时发现潜在的隧道攻击行为,并提供预警。
32、(2)通过对比服务器整体通信量和会话通信量的滑动平均值,以及计算非脉冲部分和脉冲部分的时间比例,可以实现准确判定和处理脉冲,避免误判或漏判。
33、(3)有效防护:通过将检测到的隧道攻击行为的会话相关数据添加到黑名单数据库中,可以拦截黑名单中的请求,并清除相关会话数据,从而有效防护隧道攻击行为。
本文档来自技高网...【技术保护点】
1.一种基于DNS请求脉冲检测的隧道攻击防护方法,其特征在于,所述方法包括:
2.根据权利要求1所述的的隧道攻击防护方法,其特征在于,根据预设倍数阈值T2和参考倍数阈值T1来判定脉冲还包括:
3.根据权利要求1所述的的隧道攻击防护方法,其特征在于,在根据预设倍数阈值T2和参考倍数阈值T1来判定脉冲之后,还包括:
4.根据权利要求1所述的的隧道攻击防护方法,其特征在于,根据判定的脉冲数量确定是否发生隧道攻击行为,包括:
5.根据权利要求1所述的的隧道攻击防护方法,其特征在于,所述为每个会话初始化统计数据,具体包括:
6.根据权利要求1所述的的隧道攻击防护方法,其特征在于,记录每个会话的通信量,计算每个会话每秒通信量的滑动平均值,具体包括:
7.根据权利要求1所述的的隧道攻击防护方法,其特征在于,若检测到隧道攻击行为,将会话相关的客户端地址和DNS区添加到黑名单数据库中,还包括:
8.一种基于DNS请求脉冲检测的隧道攻击防护装置,其特征在于,所述装置包括:
9.一种电子设备,其特征在于,包
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一所述的基于DNS请求脉冲检测的隧道攻击防护方法。
...【技术特征摘要】
1.一种基于dns请求脉冲检测的隧道攻击防护方法,其特征在于,所述方法包括:
2.根据权利要求1所述的的隧道攻击防护方法,其特征在于,根据预设倍数阈值t2和参考倍数阈值t1来判定脉冲还包括:
3.根据权利要求1所述的的隧道攻击防护方法,其特征在于,在根据预设倍数阈值t2和参考倍数阈值t1来判定脉冲之后,还包括:
4.根据权利要求1所述的的隧道攻击防护方法,其特征在于,根据判定的脉冲数量确定是否发生隧道攻击行为,包括:
5.根据权利要求1所述的的隧道攻击防护方法,其特征在于,所述为每个会话初始化统计数据,具体包括:
6.根据权利要求1所述的的隧道攻击防护方法,其特征在于,记录每个会话的通信量,计算...
【专利技术属性】
技术研发人员:陈超,蒋超,朱睿爽,邢志杰,毛伟,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。