CN102694696B - Dns服务器异常检测的方法及装置 - Google Patents

Dns服务器异常检测的方法及装置 Download PDF

Info

Publication number
CN102694696B
CN102694696B CN201210149372.1A CN201210149372A CN102694696B CN 102694696 B CN102694696 B CN 102694696B CN 201210149372 A CN201210149372 A CN 201210149372A CN 102694696 B CN102694696 B CN 102694696B
Authority
CN
China
Prior art keywords
group
value
access frequency
chi
dns server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210149372.1A
Other languages
English (en)
Other versions
CN102694696A (zh
Inventor
阳任科
李文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Internet Network Information Center
Original Assignee
Computer Network Information Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Network Information Center of CAS filed Critical Computer Network Information Center of CAS
Priority to CN201210149372.1A priority Critical patent/CN102694696B/zh
Publication of CN102694696A publication Critical patent/CN102694696A/zh
Application granted granted Critical
Publication of CN102694696B publication Critical patent/CN102694696B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种DNS服务器异常检测的方法及装置,方法包括:获取预设时间段内访问DNS服务器的各检测参数的访问时间和各所述检测参数的访问频率,所述检测参数为IP地址或域名;根据各访问时间和各访问频率获取卡方统计值,并根据所述卡方统计值和历史卡方值判断所述DNS服务器是否出现异常。根据本发明的DNS服务器异常检测的方法及装置,能够及时检测出DNS服务器的异常。

Description

DNS服务器异常检测的方法及装置
技术领域
本发明涉及一种通信技术,尤其涉及DNS服务器异常检测的方法及装置。
背景技术
域名系统(Domain Name System,DNS服务器)是互联网基础设置提供的一种核心服务,该DNS服务器是将域名和IP地址相互映射成一个分布式数据库,以及实现域名和网络可以识别的IP地址转换功能的软件系统。DNS服务器在运行过程中存在许多潜在的缺陷和漏洞,这些缺陷和漏洞可能会影响DNS服务器的正常运行,降低服务质量。例如可能存在多种因素造成DNS服务器系统的查询数据、使用数据、应答数据等功能的使用异常。这些因素包括:(1)DNS服务器攻击,例如拒绝服务攻击、DNS服务器反射攻击、缓存污染以及域名劫持等等;(2)配置错误,例如系统管理员对防火墙或DNS服务器的配置错误,会产生大量的垃圾查询,如A-for-A(一对一)查询、RFC(Request For Comments,一系列以编号排定的文件)1918PTR(反向查询)查询、未知TLD(Top Level Domain,顶级域名)查询等;(3)网络舆情,由于互联网具有虚拟性、隐蔽性、发散性、渗透性和随意性等特点,越来越多的网民愿意通过网络渠道来表达观点和传播思想。为了保证DNS服务器的正常服务,对DNS服务器进行异常检测就十分必要。
现有技术中的DNS服务器异常检测方法主要是基于流量的方式。正常情况下,流经DNS服务器的流量在用户的行为模式影响下会有规律地波动,但都维持在一个稳定的范围内,当超出了这个范围,通常是超出预设阈值时,就会被认为是DNS服务器异常,进而会进行相应的操作,例如增加服务器数量或者对具有某些特征的流量进行过滤,从而消除异常对DNS服务器的影响,保证服务器质量。
但是在流量超出阈值之前,其实异常就已经发生,只不过异常的特征还没有体现在流量上。当流量超过预设阈值以后,其实异常已经到了一个十分严重的地步,已经大大影响了DNS服务器的正常运行。因此,如何及时检测出DNS服务器异常,成为亟需解决的问题。
发明内容
本发明提供一种DNS服务器异常检测的方法及装置,用于及时检测出DNS服务器的异常。
本发明的第一个方面是提供一种DNS服务器异常检测的方法,包括:
获取预设时间段内访问DNS服务器的各检测参数的访问时间和各所述检测参数的访问频率,所述检测参数为IP地址或域名;
根据各访问时间和各访问频率获取卡方统计值,并根据所述卡方统计值和历史卡方值判断所述DNS服务器是否出现异常。
如上所述的DNS服务器异常检测的方法,优选地,所述根据所述卡方统计值和历史卡方值判断所述DNS服务器是否出现异常包括:
当所述卡方统计值与所述历史卡方值的差值超过预设阈值时,判断所述DNS服务器出现异常并发出报警信息。
如上所述的DNS服务器异常检测的方法,优选地,获取预设时间段内访问DNS服务器的各检测参数的访问时间和各所述检测参数的访问频率包括:
在预设时间段内,当检测参数出现时,获取该检测参数对应记录的访问时间和访问频率;
将访问频率与公式exp[age1·ln(0.5)/halflife2]相乘,并将最终结果加1后更新为访问频率;
其中,age1为同一检测参数本次出现距离上一次出现的时间间隔,halflife1为第一半衰期。
如上所述的DNS服务器异常检测的方法,优选地,在所述获取访问DNS服务器的各检测参数和各检测参数的访问频率之后还包括:
根据所述访问频率对所述检测参数进行分组处理。
如上所述的DNS服务器异常检测的方法,优选地,根据所述访问频率对所述检测参数进行分组处理包括:
将所述访问频率最高的检测参数划分为第一组;
将所述访问频率位于第2位至第5位的检测参数划分为第二组;
将所述访问频率位于第6位至21位的检测参数划分为第三组;
将所述访问频率位于第22位至第227位的检测参数划分为第四组;
将剩余的检测参数划分为第五组。
如上所述的DNS服务器异常检测的方法,优选地,所述根据所述访问时间和所述访问频率获取卡方统计值包括:
根据所述各所述访问频率获取各组的访问频率总和;
根据所述各组的访问频率总和以及所述上一预设时间段内各组的已知期望值获取本预设时间段内各组的期望值;
根据所述各组的期望值和所述各组访问频率总和获取所述卡方统计值。
如上所述的DNS服务器异常检测的方法,优选地,根据所述各所述访问频率获取各组的访问频率总和包括:
将每组中的各检测参数对应的访问频率相加分别得到每组的访问频率总和;
根据所述各组的访问频率总和以及上一预设时间段内各组的已知期望值获取本预设时间段内各组的期望值包括:
根据上一预设时间段内各组对应的已知期望值分别与公式exp[age2·ln(0.5)/halflife2]相乘获取各组的第一相乘值,并根据所述各组的访问频率总和分别与公式1-exp[age2·ln(0.5)/halflife2]相乘获取各组的第二相乘值,根据各组第一相乘值与第二相乘值相加获取各组的卡方期望值,其中,halflife2为第二半衰期且所述第二半衰期大于所述第一半衰期,所述age2为预设时间段;
所述根据所述各组的期望值和所述各组访问频率总和获取所述卡方统计值包括:
根据公式获取所述卡方统计值,其中χ代表卡方统计值,B代表组数,Ni代表第i组的访问频率总和,ni代表第i组的期望值。
本发明的另一个方面是提供一种DNS服务器异常检测的装置,包括:
获取模块,用于获取预设时间段内访问DNS服务器的各检测参数的访问时间和各所述检测参数的访问频率,所述检测参数为IP地址或域名;
统计模块,用于根据各访问时间和各访问频率获取卡方统计值,并根据所述卡方统计值和历史卡方值判断所述DNS服务器是否出现异常。
如上所述的DNS服务器异常检测的装置,优选地,所述统计模块包括:
获取卡方统计值子模块,用于根据各所述访问时间和所述访问频率获取卡方统计值;
判断子模块,用于当所述卡方统计值与所述历史卡方值的差值超过预设阈值时,判断所述DNS服务器出现异常。
如上所述的DNS服务器异常检测的装置,优选地,还包括:
分组模块,用于根据所述访问频率对所述检测参数进行分组处理;
所述获取模块包括:
获取访问频率子模块,用于在预设时间段内,当检测参数出现时,获取该检测参数对应记录的访问时间和访问频率;
更新子模块,用于将访问频率与公式exp[age1·ln(0.5)/halflife2]相乘,并将最终结果加1后更新为访问频率,其中,age1为同一检测参数本次出现距离上一次出现的时间间隔,halflife1为第一半衰期;
所述获取卡方统计值子模块包括:
获取总和子单元,用于将每组中的各检测参数对应的访问频率相加分别得到每组的访问频率总和;
获取期望值子单元,用于根据上一预设时间段内各组对应的已知期望值分别与公式exp[age2·ln(0.5)/halflife2]相乘获取各组的第一相乘值,并根据所述各组的访问频率总和分别与公式1-exp[age2·ln(0.5)/halflife2]相乘获取各组的第二相乘值,根据各组第一相乘值与第二相乘值相加获取各组的卡方期望值,其中,halflife2为第二半衰期且所述第二半衰期大于所述第一半衰期,所述age2为预设时间段;
计算卡方统计值子单元,用于根据公式获取所述卡方统计值,其中χ代表卡方统计值,B代表组数,Ni代表第i组的访问频率总和,ni代表第i组的期望值。
本发明提供的DNS服务器异常检测的方法及装置,通过获取检测参数的卡方统计值并与历史卡方值进行比较,能够及时检测出DNS服务器的异常。
附图说明
图1为根据本发明一实施例的DNS服务器异常检测的方法的流程示意图;
图2为根据本发明另一实施例的DNS服务器异常检测的方法的流程示意图;
图3为根据本发明再一实施例的DNS服务器异常检测的装置的结构示意图;
图4为根据本发明又一实施例的DNS服务器异常检测的装置的结构示意图。
具体实施方式
卡方检验是一种假设检验方法,其可以精确地反映某个参数是否符合某种特定分布。下面各实施例中将对DNS服务器中的检测参数做卡方检验,以及时反映DNS服务器是否出现异常。
实施例一
本发明提供一种DNS服务器异常检测的方法,其适用于DNS服务器异常检测的装置,该DNS服务器异常检测的装置通过获取各检测参数以及各检测参数对应的访问频率,将各检测参数以及各检测参数对应的访问频率进行卡方检验来判断DNS服务器是否出现异常。
如图1所示,为根据本实施例的DNS服务器异常检测的方法的流程示意图。
步骤101,获取预设时间段内访问DNS服务器的各检测参数的访问时间和各检测参数的访问频率,该检测参数为IP地址或域名。
可以通过读取DNS服务器的日志的方式来获取访问该DNS服务器的各检测参数、各检测参数对应的访问时间以及各检测参数的访问频率。
当检测参数为IP地址时,访问时间为该IP地址访问该DSN服务器的时间,访问频率为IP地址在预设时间段内访问该DNS服务器的次数,该访问频率可以是同一IP地址出现的次数,也可以是将同一IP地址出现的次数做指数衰减处理后获取的值。例如,在预设时间段内,某一检测参数出现的次数为10次,则该检测参数所对应的访问频率可以为10次;也可以是将每次出现的访问频率做指数衰减并加1之后作为访问频率,当该预设时间段达到终点时,该检测参数对应的访问频率即为最终的访问频率。现有技术中已经有很多指数衰减的方法,在此不再赘述。
当检测参数为域名时,访问时间为该域名被访问的时间,访问频率为各域名被访问的频率,同样,该访问频率可以是同一域名被访问的次数,也可以是同一域名被访问的次数做指数衰减处理后获取的值。能够想到的是,由于域名属于该DNS服务器,即DNS服务器包含各种域名,访问某域名即访问了该DNS服务器。
预设时间段可以根据实际需要进行设定,例如为5秒钟、1分钟、2分钟或者10分钟。
步骤102,根据各访问时间和各访问频率获取卡方统计值,并根据卡方统计值和历史卡方值判断DNS服务器是否出现异常。
历史卡方值即为在DNS服务器未出现异常时获取的卡方统计值。
本实施例根据卡方统计值和历史卡方值判断DNS服务器是否出现异常具体包括:当卡方统计值与历史卡方值的差值超过预设阈值时,判断DNS服务器出现异常并发出报警信息。例如,当卡方统计值比历史卡方值突然增大很多时,可以简单理解为该DNS服务器遭到了DOS(Denial of Service,拒绝服务)攻击。这里的预设阈值可以根据实际需要自行设定。报警信息可以是采用预设的报警铃音和/或在DNS服务器的显示屏上显示报警文字,现有技术中已经有很多报警方法,在此不再赘述。
本实施例中所采用的方法是对访问DNS服务器的检测参数进行卡方检验,由于卡方统计值能够精确反映出DNS服务器的异常,即在DNS服务器出现较小异常时就能够及时发现并发出报警信息,灵敏度较高,这样能够使工作人员及时消除异常对DNS服务器的影响,保证DNS服务器质量。
需要指出的是,对于步骤101和步骤102可以重复操作,即可以有多个预设时间段,并在这多个时间段内分别进行上述操作。在当前预设时间段内之前的多个预设时间段内所获取的多个相近的卡方统计值中的某一个,可以作为历史卡方值,或者是将这多个相近的卡方统计值的平均值作为历史卡方值。能够想象到的是,历史卡方值一定是已知的DNS服务器未出现异常时的卡方统计值。当当前时间段内的卡方统计值与之前预设时间段内的历史卡方值的差值没有超过预设阈值时,可以判断出当前时间段内的DNS服务器没有出现异常。
实施例二
本实施例提供一种DNS服务器异常检测的方法。
如图2所示,为根据本实施例的DNS服务器异常检测的方法的流程示意图。
步骤201,在预设时间段内,当检测参数出现时,获取该检测参数对应记录的访问时间和访问频率。
在预设时间段内,每一次出现检测参数时,就获取预先记录的该检测参数对应的访问时间和访问频率,然后进行步骤202的操作,直至到达预设时间段的终止点。需要指出的是,当检测参数为IP地址时,各IP地址均有其自身对应的访问频率;同样,当检测参数为域名时,各域名均有其自身对应的访问时间和访问频率。
步骤202,将访问频率与公式exp[age1·ln(0.5)/halflife1]相乘,并将最终结果加1后更新为访问频率。其中,age1为同一检测参数本次出现距离上一次出现的时间间隔,halflife1为第一半衰期,该第一半衰期类似于物理学上的半衰期,即与放射性元素的半衰期的意义一样,就是当前访问频率值衰减到一半所用的时间。本实施例中的第一半衰期可以根据实际需要自行设定。
该步骤的目的是将访问频率作指数衰减,经过指数衰减的访问频率可以使最终的卡方统计值更加精确。需要指出的是,当访问频率与公式exp[age1·ln(0.5)/halflife]相乘的结果不是整数时,可以采用四舍五入的方法使访问频率保持一个整数。
步骤203,根据访问频率对检测参数进行分组处理。该步骤的目的是为了减少卡方检验中各检测参数之间访问频率的差距,即将访问频率比较相近的检测参数划分到一组内,这样能够使卡方统计值的结果精确。
该步骤中根据访问频率将检测参数分为M组,其中M为大于或等于5的整数。
例如,M为5时,可以将检测参数按照访问频率分为以下几组:
将访问频率最高的检测参数划分为第一组;
将访问频率位于第2位至第5位的检测参数划分为第二组;
将访问频率位于第6位至21位的检测参数划分为第三组;
将访问频率位于第22位至第227位的检测参数划分为第四组;
将剩余的检测参数划分为第五组。
步骤204,根据各访问频率获取各组的访问频率总和。
将每组中的各检测参数对应的访问频率相加分别得到每组的访问频率总和。如步骤203所述,如果将检测参数分为5组,则应该得到5个访问频率总和。
步骤205,根据各组的访问频率总和以及上一预设时间段内各组的已知期望值获取本预设时间段内各组的期望值。
该步骤205具体包括:
步骤b1:根据上一预设时间段内各组对应的已知期望值与公式exp[age2·ln(0.5)/halflife2]相乘获取各组的第一相乘值,并根据各组的访问频率总和分别与公式1-exp[age2·ln(0.5)/halflife2]相乘获取各组的第二相乘值,根据各组的第一相乘值与第二相乘值相加获取各组的卡方期望值,其中,halflife2为第二半衰期且第二半衰期大于第一半衰期,age2为预设时间段的值。本实施例中的第二半衰期可以根据实际需要自行设定,该第二半衰期类似于物理学上的半衰期,即与放射性元素的半衰期的意义一样,就是当前期望值衰减到一半所用的时间。
步骤206,根据各组的期望值和各组访问频率总和获取卡方统计值。
该步骤206具体包括:其中χ代表卡方统计值,B代表组数,Ni代表第i组的访问频率总和,ni代表第i组的期望值。
步骤207,根据卡方统计值和历史卡方值判断DNS服务器是否出现异常。即当卡方统计值超过历史卡方值预设阈值时,可以判断出该DNS服务器出现异常。
根据本实施例的DNS服务器异常检测的方法,通过统计预设时间段内的检测参数以及各检测参数对应的访问频率,并对相应的访问频率做指数衰减操作,最终得到卡方统计值,然后通过比较卡方统计值和历史卡方值判断DNS服务器是否出现异常,能够在DNS服务器异常出现早期就及时发现该异常,以保证DNS服务器的质量。
实施例三
本实施例提供一种DNS服务器异常检测方法的具体实例,本实施例具体以IP地址为检测参数进行说明。
步骤301,在预设时间段内,当IP地址出现时,获取该IP地址对应记录的访问时间和访问频率。
本实施例中的预设时间段为5秒钟。当进入预设时间段内,每出现一个IP地址即获取其对应的访问时间和访问频率。能够想象的到,也许在预设时间段内统一IP地址多次出现,每一次出现时,都要获取其对应的访问时间和访问频率,并进行步骤302的操作。需要指出的是,这里的访问频率指的是本次IP地址出现之前的访问频率。
步骤302,将访问频率与公式exp[age1·ln(0.5)/halflife1]相乘,并将最终结果加1后更新为访问频率,其中,age1为同一检测参数本次出现距离上一次出现的时间间隔,halflife1为第一半衰期。本实施例中的halflife1可以为1000。
对于每一次出现的IP地址,都要如步骤302中的进行操作。能够想象的到,当某个IP地址是第一次出现时,即该IP地址是第一次访问该DNS服务器,在本预设时间段之前该IP地址也从未出现过,步骤301中所获取的IP地址对应记录的访问频率为0,并且由于之前并未有过更新访问频率的操作,age1值应该是0,当历史访问频率与公式exp[age1·ln(0.5)/halflife1]相乘结果应该为0,此时将0与1相加得到1作为最终结果,并将最终结果1更新记录为访问频率,那么当下一次该IP地址再次出现时,其所对应的访问频率就为1。假设,当在预设时间段的第1秒时,某一IP地址出现并更新过访问频率之后,此时该age1的值为0,在预设时间段的第4秒时,该IP又再次出现了,此时age1值即为4秒-1秒=3秒。
经统计,本实施例中的预设时间段内的所有IP地址的数量为500,用以下集合进行表示{C1,C2,C3,…,C500},本实施例中按照访问频率从高到低对IP地址进行排序,相应地,每个IP地址在经过步骤301和步骤302的处理之后,在预设时间段的终止点各IP地址当前对应的访问频率用Vq来表示,其中,1≤q≤500。
步骤303,按照访问频率从高到低,将IP地址分为5组。
将访问频率最高的IP地址划分为第一组,即{C1};
将访问频率位于第2位至第5位的IP地址划分为第二组,即{C2,C3,C4,C5};
将访问频率位于第6位至第21位的IP地址划分为第三组,即{C6,C7,C8,…,C21};
将访问频率位于第22位至277位的IP地址划分为第四组,即{C22,C23,C24,…,C227};
将其余的检测参数划分为第五组即{C228,C229,C230,…,C500}。
步骤304,将每组中各IP地址对应的访问频率相加得到相应组的访问频率的总和,分别为N1、N2、N3、N4和N5,具体地如下所示:
N1=V1
N2=V2+V3+V4+V5
N3=V6+V7+V8+…+V21;
N4=V22+V23+V24+…+V227;
N5=V228+V229+V230+…+VX。
步骤305,获取上一预设时间段内各组对应的已知期望值P1、P2、P3、P4和P5,并将相应组的已知期望值分别与公式exp[age2·ln(0.5)/halflife2]相乘,得到各组的第一相乘值,即Q1、Q2、Q3、Q4和Q5。能够想象得到的是,当没有上一预设时间段时,P1、P2、P3、P4和P5均为0。具体地,如下所示:
Q1=P1×exp[age2·ln(0.5)/halflife2];
Q2=P2×exp[age2·ln(0.5)/halflife2];
Q3=P3×exp[age2·ln(0.5)/halflife2];
Q4=P4×exp[age2·ln(0.5)/halflife2];
Q5=P5×exp[age2·ln(0.5)/halflife2];。
这里的age2值即为预设时间段的值,本实施例中为5秒。
将N1、N2、N3、N4和N5分别与1-exp[age2·ln(0.5)/halflife2]相乘得到第二相乘值T1、T2、T3、T4和T5,具体地如下所示:
T1=N1×{1-exp exp[age2·ln(0.5)/halflife2]};
T2=N2×{1-exp exp[age2·ln(0.5)/halflife2]};
T3=N3×{1-exp exp[age2·ln(0.5)/halflife2]};
T4=N4×{1-exp exp[age2·ln(0.5)/halflife2]};
T5=N5×{1-exp exp[age2·ln(0.5)/halflife2]}。
各组的期望值分别如下所示:
n1=Q1+T1;n2=Q2+T2;n3=Q3+T3;n4=Q4+T4;n5=Q5+T5。具体举例来说,假设上一预设时间段内某一组的已知期望值为100,本预设时间段内相应组的访问频率总和为200,则卡方期望值为200×{1-expexp[age2·ln(0.5)/halflife2]}+100×exp[age2·ln(0.5)/halflife2]。
本实施例中第二半衰期halflife2可以设置为10000。
步骤306,根据公式获取卡方统计值,该实施例中B值为5,Ni代表第i组的访问频率总和,ni代表第i组的期望值。
步骤308,,根据卡方统计值和历史卡方值判断DNS服务器是否出现异常。
根据上述检测方法,通过对IP地址进行卡方检验以检测DNS服务器是否异常,能够在DNS服务器异常出现早期时就检测出来,并发出警报,以使工作人员及时消除DNS服务器的异常。
实施例四
本实施例提供一种DNS服务器异常检测的装置,用于执行实施例一的DNS服务器异常检测的方法。
如图3所示,本实施例的DNS服务器异常检测的装置包括获取模块401和统计模块402。
其中,获取模块401用于获取预设时间段内访问DNS服务器的各检测参数的访问时间和各检测参数的访问频率,检测参数为IP地址或域名;统计模块402用于根据各访问时间和访问频率获取卡方统计值,并根据卡方统计值和历史卡方值判断DNS服务器是否出现异常。
本实施例的DNS服务器异常检测的装置的操作方法与实施例一一致,在此不再赘述。
根据本实施例的DNS服务器异常检测的装置,由于卡方检验能够准确反映出出现较小异常的DNS服务器,即在DNS服务器刚发生异常时就能够检测出来,从而可以使工作人员及时消除异常对DNS服务器的影响,保证DNS服务器质量。
实施例五
本实施例对实施例四的DNS服务器异常检测的装置做进一步补充说明。
如图4所示,本实施例的DNS服务器异常检测的装置还包括分组模块501,该分组模块501用于根据访问频率对检测参数进行分组处理。
具体地,获取模块401包括获取访问频率子模块502和更新子模块503。其中,获取访问频率子模块502用于在预设时间段内,当检测参数出现时,获取该检测参数对应记录的访问时间和访问频率;更新子模块503分别与获取访问频率子模块502和分组模块501连接,用于将访问频率与公式exp[age1·ln(0.5)/halflife1]相乘,并将最终结果加1后更新为访问频率,其中,age1为同一检测参数本次出现距离上一次出现的时间间隔,halflife1为第一半衰期。
优选地,本实施例的统计模块402具体包括获取卡方统计值子模块504和判断子模块505。其中,获取卡方统计值子模块504与分组模块501连接,用于根据各所述访问时间和所述访问频率获取卡方统计值;判断子模块505与获取卡方统计值子模块504连接,用于当所述卡方统计值与所述历史卡方值的差值超过预设阈值时,判断所述DNS服务器出现异常。
其中,更为具体地,获取卡方统计值子模块504包括获取总和子单元506、获取期望值子单元507和计算卡方统计值子单元508。其中,获取总和子单元506分别与分组模块501、获取期望值子单元507以及计算卡方统计值子单元508连接,用于将每组中的各检测参数对应的访问频率相加分别得到每组的访问频率总和;获取期望值子单元507分别与获取总和子单元506和计算卡方统计值子单元508连接,用于根据上一预设时间段内各组对应的已知期望值分别与公式exp[age2·ln(0.5)/halflife2]相乘获取各组的第一相乘值,并将各组的访问频率总和分别与公式1-exp[age2·ln(0.5)/halflife2]相乘获取各组的第二相乘值,根据各组第一相乘值与第二相乘值相加获取各组的卡方期望值,其中,halflife2为第二半衰期且第二半衰期大于第一半衰期,age2为预设时间段;计算卡方统计值子单元508与判断子模块505连接,用于根据公式获取卡方统计值,其中χ代表卡方统计值,B代表组数,Ni代表第i组的访问频率总和,ni代表第i组的期望值。
本实施例中的第一半衰期和第二半衰期均可以根据实际需要自行设定。
本实施例的DNS服务器异常检测的装置的操作方法与实施例二和实施例三一致,在此不再赘述。
根据本实施例的DNS服务器异常检测的装置,能够在DNS服务器刚发生异常时就能够检测出来,从而可以使工作人员及时消除异常对DNS服务器的影响,保证DNS服务器质量。尤其是对检测参数进行了分组处理,使得卡方统计值更加精确,能够进一步保证及时检测出DNS服务器的异常。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (7)

1.一种DNS服务器异常检测的方法,其特征在于,包括:
获取预设时间段内访问DNS服务器的各检测参数的访问时间和各所述检测参数的访问频率,所述检测参数为IP地址或域名;
根据各访问时间和各访问频率获取卡方统计值,并根据所述卡方统计值和历史卡方值判断所述DNS服务器是否出现异常,所述历史卡方值是DNS服务器未出现异常时的卡方统计值;
其中,所述根据各访问时间和各访问频率获取卡方统计值,具体包括:
根据所述访问频率对所述检测参数进行分组处理;
根据所述各访问频率获取各组的访问频率总和;
根据所述各组的访问频率总和以及上一预设时间段内各组的已知期望值获取所述预设时间段内各组的期望值;
根据所述各组的期望值和所述各组的访问频率总和获取所述卡方统计值。
2.根据权利要求1所述的DNS服务器异常检测的方法,其特征在于,所述根据所述卡方统计值和历史卡方值判断所述DNS服务器是否出现异常包括:
当所述卡方统计值与所述历史卡方值的差值超过预设阈值时,判断所述DNS服务器出现异常并发出报警信息。
3.根据权利要求1所述的DNS服务器异常检测方法,其特征在于,获取预设时间段内访问DNS服务器的各检测参数的访问时间和各所述检测参数的访问频率包括:
在预设时间段内,当检测参数出现时,获取该检测参数对应记录的访问时间和访问频率;
将访问频率与公式exp[age1·ln(0.5)/halflife1]相乘,并将最终结果加1后更新为访问频率;
其中,age1为同一检测参数本次出现距离上一次出现的时间间隔,halflife1为第一半衰期。
4.根据权利要求1所述的DNS服务器异常检测的方法,其特征在于,根据所述访问频率对所述检测参数进行分组处理包括:
将所述访问频率最高的检测参数划分为第一组;
将所述访问频率位于第2位至第5位的检测参数划分为第二组;
将所述访问频率位于第6位至21位的检测参数划分为第三组;
将所述访问频率位于第22位至第227位的检测参数划分为第四组;
将剩余的检测参数划分为第五组。
5.根据权利要求4所述的DNS服务器异常检测的方法,其特征在于,根据所述各所述访问频率获取各组的访问频率总和包括:
将每组中的各检测参数对应的访问频率相加分别得到每组的访问频率总和;
根据所述各组的访问频率总和以及上一预设时间段内各组的已知期望值获取本预设时间段内各组的期望值包括:
根据上一预设时间段内各组对应的已知期望值分别与公式exp[age2·ln(0.5)/halflife2]相乘获取各组的第一相乘值,并根据所述各组的访问频率总和分别与公式1-exp[age2·ln(0.5)/halflife2]相乘获取各组的第二相乘值,根据各组第一相乘值与第二相乘值相加获取各组的卡方期望值,其中,halflife2为第二半衰期且所述第二半衰期大于所述第一半衰期,所述age2为预设时间段;
所述根据所述各组的期望值和所述各组访问频率总和获取所述卡方统计值包括:
根据公式获取所述卡方统计值,其中χ代表卡方统计值,B代表组数,Ni代表第i组的访问频率总和,ni代表第i组的期望值。
6.一种DNS服务器异常检测的装置,其特征在于,包括:
获取模块,用于获取预设时间段内访问DNS服务器的各检测参数的访问时间和各所述检测参数的访问频率,所述检测参数为IP地址或域名;
统计模块,用于根据各访问时间和各访问频率获取卡方统计值,并根据所述卡方统计值和历史卡方值判断所述DNS服务器是否出现异常,所述历史卡方值是DNS服务器未出现异常时的卡方统计值;
所述统计模块包括:
获取卡方统计值子模块,用于根据各所述访问时间和所述访问频率获取卡方统计值;
判断子模块,用于当所述卡方统计值与所述历史卡方值的差值超过预设阈值时,判断所述DNS服务器出现异常;
其中,所述获取卡方统计值子模块,包括:
分组模块,用于根据所述访问频率对所述检测参数进行分组处理;
获取总和子单元,用于根据所述各访问频率获取各组的访问频率总和;
获取期望值子单元,用于根据所述各组的访问频率总和以及上一预设时间段内各组的已知期望值获取所述预设时间段内各组的期望值;
计算卡方统计值子单元,用于根据所述各组的期望值和所述各组的访问频率总和获取所述卡方统计值。
7.根据权利要求6所述的DNS服务器异常检测的装置,其特征在于,
所述获取模块包括:
获取访问频率子模块,用于在预设时间段内,当检测参数出现时,获取该检测参数对应记录的访问时间和访问频率;
更新子模块,用于将访问频率与公式exp[age1·ln(0.5)/halflife1]相乘,并将最终结果加1后更新为访问频率,其中,age1为同一检测参数本次出现距离上一次出现的时间间隔,halflife1为第一半衰期;
所述获取卡方统计值子模块包括:
获取总和子单元,用于将每组中的各检测参数对应的访问频率相加分别得到每组的访问频率总和;
获取期望值子单元,用于根据上一预设时间段内各组对应的已知期望值分别与公式exp[age2·ln(0.5)/halflife2]相乘获取各组的第一相乘值,并根据所述各组的访问频率总和分别与公式1-exp[age2·ln(0.5)/halflife2]相乘获取各组的第二相乘值,根据各组第一相乘值与第二相乘值相加获取各组的卡方期望值,其中,halflife2为第二半衰期且所述第二半衰期大于所述第一半衰期,所述age2为预设时间段;
计算卡方统计值子单元,用于根据公式获取所述卡方统计值,其中χ代表卡方统计值,B代表组数,Ni代表第i组的访问频率总和,ni代表第i组的期望值。
CN201210149372.1A 2012-05-14 2012-05-14 Dns服务器异常检测的方法及装置 Active CN102694696B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210149372.1A CN102694696B (zh) 2012-05-14 2012-05-14 Dns服务器异常检测的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210149372.1A CN102694696B (zh) 2012-05-14 2012-05-14 Dns服务器异常检测的方法及装置

Publications (2)

Publication Number Publication Date
CN102694696A CN102694696A (zh) 2012-09-26
CN102694696B true CN102694696B (zh) 2015-09-09

Family

ID=46859988

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210149372.1A Active CN102694696B (zh) 2012-05-14 2012-05-14 Dns服务器异常检测的方法及装置

Country Status (1)

Country Link
CN (1) CN102694696B (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104079421B (zh) * 2013-03-27 2017-09-15 中国移动通信集团北京有限公司 一种域名系统防护的方法和系统
CN104219103B (zh) * 2013-05-30 2018-12-07 腾讯科技(深圳)有限公司 一种根据实际请求量调节监控样本量的方法和装置
CN104580539A (zh) * 2013-09-16 2015-04-29 中兴通讯股份有限公司 一种域名系统服务器的管理方法及系统
CN103617038B (zh) * 2013-11-28 2018-10-02 北京京东尚科信息技术有限公司 一种分布式应用系统的服务监控方法及装置
US9210183B2 (en) * 2013-12-19 2015-12-08 Microsoft Technology Licensing, Llc Detecting anomalous activity from accounts of an online service
CN104486098A (zh) * 2014-11-26 2015-04-01 中国建设银行股份有限公司 一种访问故障监控方法及装置
CN106294529A (zh) * 2015-06-29 2017-01-04 阿里巴巴集团控股有限公司 一种识别用户异常操作方法和设备
CN106998317B (zh) * 2016-01-22 2019-08-20 高德信息技术有限公司 异常访问请求识别方法及装置
CN106407097A (zh) * 2016-11-30 2017-02-15 努比亚技术有限公司 服务器故障预警装置和方法
CN106789422B (zh) * 2016-12-16 2020-05-12 杭州迪普科技股份有限公司 一种dns服务器的监测方法及装置
CN107046489B (zh) * 2017-04-07 2020-07-28 上海熙菱信息技术有限公司 一种频次类实时统计模型系统及方法
CN107659566B (zh) * 2017-09-20 2021-01-19 深圳市创梦天地科技股份有限公司 对服务器异常访问的识别频率确定方法、装置及服务器
CN110198476B (zh) * 2018-02-27 2021-09-07 武汉斗鱼网络科技有限公司 弹幕行为异常检测方法、存储介质、电子设备及系统
CN108848201A (zh) * 2018-06-14 2018-11-20 深信服科技股份有限公司 检测利用dns隧道传输隐秘数据的方法、系统及装置
CN109088877A (zh) * 2018-09-03 2018-12-25 中新网络信息安全股份有限公司 一种适用于攻击监测环境下的溯源排序算法
CN109862129A (zh) * 2018-12-26 2019-06-07 中国互联网络信息中心 Dns流量异常检测方法、装置、电子设备及存储介质
CN111880986A (zh) * 2020-07-03 2020-11-03 亚信科技(成都)有限公司 一种数据检测方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN102291411A (zh) * 2011-08-18 2011-12-21 网宿科技股份有限公司 针对dns服务的防ddos攻击方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005250626A (ja) * 2004-03-02 2005-09-15 Hitachi Ltd コンピュータシステム及びそのプログラム。

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN102291411A (zh) * 2011-08-18 2011-12-21 网宿科技股份有限公司 针对dns服务的防ddos攻击方法和系统

Also Published As

Publication number Publication date
CN102694696A (zh) 2012-09-26

Similar Documents

Publication Publication Date Title
CN102694696B (zh) Dns服务器异常检测的方法及装置
US10530799B1 (en) Non-harmful insertion of data mimicking computer network attacks
CN110505232A (zh) 网络攻击的检测方法及装置、电子设备、存储介质
CN103561120A (zh) 检测可疑dns的方法、装置和可疑dns的处理方法、系统
CN107682345B (zh) Ip地址的检测方法、检测装置及电子设备
CN105024969A (zh) 一种实现恶意域名识别的方法及装置
CN107172064B (zh) 数据访问控制方法、装置及服务器
CN106778260A (zh) 攻击检测方法和装置
US10180867B2 (en) System and method for bruteforce intrusion detection
CN103136255A (zh) 信息管理的方法和装置
CN103345439A (zh) 一种信息系统全链路健康状态监控方法及装置
CN112671767A (zh) 一种基于告警数据分析的安全事件预警方法及装置
CN102546205B (zh) 一种故障关系生成及故障确定方法及装置
CN102413197A (zh) 访问统计处理方法及装置
CN104104666B (zh) 一种探测云端服务异常的方法和装置
CN112667660A (zh) 一种基于复杂事件识别的企业内部信息系统数据泄露识别方法
CN111125066A (zh) 检测数据库审计设备功能的方法及装置
CN110727636A (zh) 片上系统及片上系统的设备隔离方法
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN108712442B (zh) 配电柜数据采集端接入方法及终端设备
CN111800409A (zh) 接口攻击检测方法及装置
US10742484B1 (en) Generating action suggestions based on anonymized data from multiple information technology environments
CN106649458A (zh) 一种文件更新量检测方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210209

Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing

Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER

Address before: 100190 No. four, four South Street, Haidian District, Beijing, Zhongguancun

Patentee before: Computer Network Information Center, Chinese Academy of Sciences

TR01 Transfer of patent right