CN105939321A - 一种dns攻击检测方法及装置 - Google Patents

一种dns攻击检测方法及装置 Download PDF

Info

Publication number
CN105939321A
CN105939321A CN201510898142.9A CN201510898142A CN105939321A CN 105939321 A CN105939321 A CN 105939321A CN 201510898142 A CN201510898142 A CN 201510898142A CN 105939321 A CN105939321 A CN 105939321A
Authority
CN
China
Prior art keywords
dns
domain name
request message
dns request
current detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510898142.9A
Other languages
English (en)
Other versions
CN105939321B (zh
Inventor
李征
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201510898142.9A priority Critical patent/CN105939321B/zh
Publication of CN105939321A publication Critical patent/CN105939321A/zh
Application granted granted Critical
Publication of CN105939321B publication Critical patent/CN105939321B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种DNS攻击检测方法及装置,应用在检测设备上,所述方法包括:接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度;当所述离散度大于告警阈值时,确认检测到DNS攻击。应用本申请实施例,可以利用DNS域名请求的离散程度来判断DNS服务器是否受到离散域名的DNS攻击,从而提高了DNS攻击检测的准确性。

Description

一种DNS攻击检测方法及装置
技术领域
本发明涉及网络通信技术领域,尤其涉及一种DNS攻击检测方法及装置。
背景技术
DNS(Domain Name System,域名系统)攻击是一种典型的网络攻击,通过伪造IP地址向DNS服务器发送大量的DNS请求报文,使DNS服务器在极短的时间内需要处理大量的域名解析工作,从而导致DNS服务器严重超载甚至瘫痪,无法响应正常用户的DNS请求报文。
现有技术中可以通过设置固定的防护域名和防护阈值对DNS攻击行为进行检测,比如:统计检测周期内与防护域名匹配的域名数量,并将该数量与防护阈值进行比较,当超过防护阈值时可以确定发生DNS攻击。然而,当攻击者采用随机变化的域名进行DNS攻击时,由于预设的防护域名是固定的,因此检测到的DNS请求报文的数量可能无法触发设置的防护阈值,从而无法检测到DNS攻击行为,导致DNS服务器超载甚至瘫痪。
发明内容
有鉴于此,本申请提供一种DNS攻击检测方法及装置,以解决现有技术中DNS攻击检测的准确性低下这一问题。
具体的,本申请是通过如下技术方案实现的:
本申请提供一种DNS攻击检测方法,所述方法应用于检测设备上,包括:
接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;
根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;
根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度;
当所述离散度大于告警阈值时,确认检测到DNS攻击。
可选的,所述根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度之前,还包括:
根据所述DNS请求报文数量计算当前检测周期内的域名请求速率;
确定所述域名请求速率大于速率阈值时,执行计算离散度的步骤。
可选的,所述根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量,包括:
解析出所述DNS请求报文中携带的域名;
根据预设算法计算所述域名的特征值;
根据所述特征值更新当前检测周期内的域名种类数量。
可选的,利用下列公式计算当前检测周期内DNS请求报文的离散度:
离散度=域名种类数量/DNS请求报文数量。
可选的,所述方法还包括:
在当前检测周期结束时,清空当前检测周期内的DNS请求报文数量以及域名种类数量。
本申请还提供一种DNS攻击检测装置,所述方法应用于检测设备上,包括:
接收单元,用于接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;
更新单元,用于根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;
离散计算单元,用于根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度;
判断单元,用于当所述离散度大于告警阈值时,确认检测到DNS攻击。
可选的,所述装置还包括:
速率计算单元,用于根据所述DNS请求报文数量计算当前检测周期内的域名请求速率;
确定执行单元,用于在确定所述域名请求速率大于速率阈值时,通知所述离散计算单元计算离散度。
可选的,所述更新单元,包括:
解析子单元,用于解析出所述DNS请求报文中携带的域名;
计算子单元,用于根据预设算法计算所述域名的特征值;
执行子单元,用于根据所述特征值更新当前检测周期内的域名种类数量。
可选的,所述离散计算单元利用下列公式计算当前检测周期内DNS请求报文的离散度:
离散度=域名种类数量/DNS请求报文数量。
可选的,所述装置还包括:
清空单元,用于在当前检测周期结束时,清空当前检测周期内的DNS请求报文数量以及域名种类数量。
应用本申请实施例,检测设备可以根据当前检测周期内DNS请求报文数量以及域名种类数量计算接收到的DNS请求报文的离散度,并在所述离散度大于告警阈值时,确定DNS服务器受到离散域名的DNS攻击,检测设备通过检测DNS请求报文的离散程度来判断当前检测周期内是否受到离散域名DNS攻击,提高了离散域名DNS攻击的识别率,进而大大提高了DNS攻击检测的准确性。
附图说明
图1是本申请一种DNS攻击检测实施例的应用场景示意图;
图2是本申请一种DNS攻击检测方法的一个实施例流程图;
图3是本申请一种DNS攻击检测装置所在设备的一个硬件结构图;
图4是本申请一种DNS攻击检测装置的一个实施例框图;
图5是本申请一种DNS攻击检测装置的另一个实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,为应用本申请一种DNS攻击检测实施例的应用场景示意图。
图1中,客户端设备和DNS服务器之间设置有检测设备,其中,除了作为客户端设备示例的PC(Personal Computer,个人计算机)外,客户端设备还可以包括手机、平板电脑等具有网络访问功能的终端设备。所述检测设备可以是交换机、路由器等等具有DNS攻击检测功能的网络设备,可以对网络中的DNS请求报文实时进行检测。当然,在实际应用中,所述检测设备也可以为DNS服务器,比如:将该DNS攻击检测功能集成在DNS服务器中,本申请对此不作特殊限制。
在一个例子中,可以在检测设备中配置固定的防护域名。在设定的检测周期内,检测设备对接收到的DNS请求报文中的域名进行域名解析,若匹配到某防护域名的DNS请求报文数量达到预先设定的防护阈值,则可以判定受到DNS攻击。
然而,目前网络中出现了使用离散域名攻击DNS服务器的攻击方式,通过使用不同的域名,发送大量的DNS请求报文到同一个DNS服务器。通过使用离散域名对该DNS服务器发起DNS攻击,由于域名的离散化程度较高,针对某防护域名的DNS请求报文数量可能无法触及到所述防护阈值,进而无法检测到离散域名的DNS攻击,大大降低了DNS攻击检测的准确性。
为解决现有技术问题,本申请提供一种DNS攻击检测方法以及对应的装置。参照图1所示,该方法可以应用在检测设备上。通过解析DNS请求报文中携带的域名,更新当前检测周期内的域名种类数量,并根据当前检测周期内接收到的DNS请求报文数量和所述域名种类数量计算当前检测周期内的DNS请求报文的离散度,当所述离散度大于预先设置的告警阈值时,确定检测到DNS攻击,从而提高了DNS攻击检测的准确性,同时也有效防止了DNS攻击误判。
其中,所述告警阈值可以由检测设备在预先设置的时间段内,统计所述时间段内所有检测周期内DNS请求报文的离散度,在所述时间段结束时,判断当前告警阈值的设置方式是否为智能设置模式,若是,则取所述时间段内所有检测周期内DNS请求报文的离散度的最大值作为告警阈值;若不是,则可以发送所述时间段内获取到的所有离散度到管理设备,由管理员根据这些离散度,设置告警阈值,同样的,也可以通过管理设备上的相关计算机软件得到告警阈值,本申请对此不做特殊限制。
下面结合附图对本申请提供的一种DNS攻击检测方法及装置进行说明。
参见图2,为本申请一种DNS攻击检测方法的一个实施例流程图,该实施例从检测设备侧进行描述,包括以下步骤:
步骤201:接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量。
具体的,当客户端设备访问一个互联网中的Web页面时,可以在浏览器中输入该Web页面的域名,比如:www.baidu.com,由于在互联网体系中,设备与设备之间通过IP地址进行路由寻址以及通信,因此,客户端设备通常会先发起针对该域名的DNS请求报文到DNS服务器,以请求该域名所对应的IP地址,然后通过该IP地址访问相关的服务器,以获取该Web页面的内容。在这个过程中,检测设备会对所述DNS请求报文进行检测。具体的,所述检测设备在接收到DNS请求报文时,更新当前检测周期内接收到的DNS请求报文数量。
步骤202:解析出接收到的DNS请求报文中的域名。
具体的,检测设备可以从接收到的DNS请求报文中的域名字段,解析出对应Web页面的域名。
步骤203:根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量。
具体的,检测设备解析出对应Web页面的域名后,可以利用预设算法计算所述域名的特征值,然后根据当前检测周期内已计算得到的特征值,统计当前检测周期内接收到的所有DNS请求报文对应的域名种类数量。其中,所述预设算法可以由管理人员进行设置,比如:哈希算法等,本申请对此不作特殊限制。
在一个例子中,检测设备可以设置第一统计值m表示当前检测周期内接收到的DNS请求报文数量,第二统计值n表示当前检测周期内接收到的DNS请求报文对应的域名种类数量。具体的,所述第一统计值m和所述第二统计值n的初始值可以为0,当检测设备接收到一个DNS请求报文时,可以将第一统计值m加一,即m更新为m+1,随后解析出该DNS请求报文中的域名并计算出该域名的特征值后,查看当前检测周期内是否保存有与之相同的特征值,若没有,则可以将第二统计值n加一,即n更新为n+1,并保存该域名的特征值;若有,则无需更新所述第二统计值n,其中检测设备可以采用在特征值后置位的方式,表示所述特征值已保存,反之,特征值后没有置位则表示所述特征值未保存,从而在检测设备得到特征值后,查看当前检测周期内是否保存有与所述特征值相同的特征值。在当前检测周期结束时,当前第一统计值m的数值即为所述当前检测周期内的DNS请求报文数量;当前第二统计值n的数值即为所述当前检测周期内的域名种类数量。
在另一个例子中,还可以采用不同的预设算法计算每个域名的多个特征值,从而确保不同域名计算得到的特征值不同,以防止攻击误判。例如,检测设备解析得到的域名为:www.baidu.com,经过三种预设算法的计算得出,该域名的特征值分别为:A1、A2、A3,当该域名的这三个特征值与当前检测周期内保存的其他域名的三个特征值完全相同时,可以确定所述域名在当前检测周期内已经存在,因此无需更新所述第二统计值n,当不完全相同时,则可以说明在当前检测周期内,还没有接收过针对该域名的DNS请求报文,从而保存所述域名的三个特征值,并将所述第二统计值n更新为n+1。
步骤204:根据所述DNS请求报文数量计算当前检测周期内的域名请求速率。
具体的,检测设备可以在当前检测周期结束时,先判断当前检测周期内的域名请求速率是否在正常范围内,当所述域名请求速率不在正常范围内时,再对所述当前检测周期内DNS请求报文的离散程度进行计算,以防止攻击误判。其中,可以根据获取到的当前检测周期内的DNS请求报文数量,以及当前检测周期的时长,计算出当前检测周期内的域名请求速率,其具体的计算过程如下:
域名请求速率=DNS请求报文数量/当前检测周期时长。
步骤205:判断当前检测周期内的域名请求速率是否大于速率阈值,若大于所述速率阈值,则执行步骤206;若小于等于所述速率阈值,则执行步骤209。
具体的,当该域名请求速率小于等于所述速率阈值时,说明DNS服务器在当前检测周期内接收到的DNS请求报文数量在正常范围内,为防止攻击误判,可以结束当前检测周期对DNS攻击的判断流程,执行步骤209;当该域名请求速率大于所述速率阈值时,表示当前检测周期内的域名请求流量已经超过正常范围,执行步骤206。
步骤206:根据所述DNS请求报文数量和所述域名种类数量计算当前检测周期内DNS请求报文的离散度。
一般来说,采用离散域名的方式进行DNS攻击,特点是受到攻击的DNS服务器,单位时间内不仅收到的DNS请求报文数量过大,并且DNS请求报文对应的域名种类繁多,因此利用DNS域名请求的离散程度对使用离散域名的DNS攻击进行检测,其具体的计算过程如下:
离散度=域名种类数量/DNS请求报文数量,
其中,域名种类数量小于等于DNS请求报文数量,因此离散度是个小于等于1的数值,并且离散度的数值越大,受到DNS攻击的可能性越大。
步骤207:判断当前检测周期内DNS请求报文的离散度是否大于告警阈值,若大于所述告警阈值,则执行步骤208;若小于等于所述告警阈值,则执行步骤209。
具体的,当该离散度小于等于所述告警阈值时,可以说明当前检测周期内DNS服务器没有受到DNS攻击,执行步骤209;当该离散度大于所述告警阈值时,表示当前检测周期内DNS请求报文中的域名请求流量过大且离散程度超过正常范围,执行步骤208。
步骤208:确定检测到DNS攻击。
具体的,当检测设备确定发生DNS攻击时,可以对DNS攻击进行防护,比如:对DNS请求报文进行过滤等,检测设备也可以向管理设备发送一份告警日志,以使管理设备通过相关计算机软件对DNS攻击进行防护,以保证DNS服务器的正常通信,同样的,也可以通知管理员,由管理员手动对DNS服务器进行防护。
步骤209:清空当前检测周期内的DNS请求报文数量以及域名种类数量。
具体的,在当前检测周期结束时,检测设备会清空保存的特征值,并将第一统计值和第二统计值都归零,即使m=0,n=0。
由上述实施例可见,检测设备通过预设算法计算DNS请求报文携带的域名的特征值,根据所述特征值更新当前检测周期内的域名种类数量,在当前检测周期结束时,为防止攻击误判,可以先计算出当前检测周期内的域名请求速率,当确定所述域名请求速率大于速率阈值后,再根据接收到的DNS请求报文数量和所述域名种类数量,计算出当前检测周期内接收到的DNS请求报文的离散度,并在所述离散度大于告警阈值时,确认检测到DNS攻击,检测设备通过检测DNS请求报文的离散程度来判断当前检测周期内是否受到离散域名DNS攻击,提高了离散域名DNS攻击的识别率,进而大大提高了DNS攻击检测的准确性。
与上述一种DNS攻击检测方法实施例相对应,本申请还提供了一种DNS攻击检测装置的实施例。
本申请一种DNS攻击检测装置的实施例可以应用在检测设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请一种DNS攻击检测装置所在设备的一种硬件结构图,除了图3所示的处理器、网络接口、内存以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等;从硬件结构上来讲该设备还可能是分布式的设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
参见图4,是本申请一种DNS攻击检测装置的一个实施例框图,所述装置应用在用于DNS攻击检测的检测设备上,所述DNS攻击检测装置400可以包括:接收单元410、更新单元420、离散计算单元430、判断单元440、速率计算单元450、确定执行单元460和清空单元470。参见图5,所述更新单元420还可以包括:解析子单元4201、计算子单元4202以及执行子单元4203。
其中,接收单元410,用于接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内DNS请求报文数量;
更新单元420,用于根据所述DNS请求报文中携带的域名更新当前检测周期内的域名种类数量;离散计算单元430,用于根据所述DNS请求报文数量以及对应的域名种类数量计算当前检测周期内DNS请求报文的离散度;
判断单元440,用于当所述离散度大于告警阈值时,确认检测到DNS攻击。
速率计算单元450,用于根据所述DNS请求报文数量计算当前检测周期内的域名请求速率;
确定执行单元460,用于在确定所述域名请求速率大于速率阈值时,通知所述离散计算单元430计算离散度。
解析子单元4201,用于解析出所述DNS请求报文中携带的域名;
计算子单元4202,用于根据预设算法计算所述域名的特征值;
执行子单元4203,用于根据所述特征值更新当前检测周期内的域名种类数量。
可选的,所述离散计算单元430,利用下列公式计算当前检测周期内DNS请求报文的离散度:
离散度=域名种类数量/DNS请求报文数量。
清空单元470,用于在当前检测周期结束时,清空当前检测周期内的DNS请求报文数量以及对应的域名种类数量。
有上述实施例可见,检测设备通过统计当前检测周期内接收到的DNS请求报文数量,并根据DNS请求报文中域名的特征值,统计当前检测周期内的域名种类数量,为防止了攻击误判,在确定所述域名请求速率大于速率阈值后,再根据所述DNS请求报文数量和所述域名种类数量,计算出当前检测周期内接收到的DNS请求报文的离散度,并在所述离散度大于告警阈值时,确定DNS服务器受到DNS攻击,通过提高离散域名DNS攻击的识别率,从而大大提高了DNS攻击检测的准确性。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种DNS攻击检测方法,其特征在于,所述方法应用于检测设备上,包括:
接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;
根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;
根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度;
当所述离散度大于告警阈值时,确认检测到DNS攻击。
2.根据权利要求1所述的方法,其特征在于,所述根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度之前,还包括:
根据所述DNS请求报文数量计算当前检测周期内的域名请求速率;
确定所述域名请求速率大于速率阈值时,执行计算离散度的步骤。
3.根据权利要求1所述的方法,其特征在于,所述根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量,包括:
解析出所述DNS请求报文中携带的域名;
根据预设算法计算所述域名的特征值;
根据所述特征值更新当前检测周期内的域名种类数量。
4.根据权利要求1-3任一所述的方法,其特征在于,利用下列公式计算当前检测周期内DNS请求报文的离散度:
离散度=域名种类数量/DNS请求报文数量。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在当前检测周期结束时,清空当前检测周期内的DNS请求报文数量以及域名种类数量。
6.一种DNS攻击检测装置,其特征在于,所述装置应用于检测设备上,包括:
接收单元,用于接收客户端设备向DNS服务器发送的DNS请求报文,并更新当前检测周期内接收到的DNS请求报文数量;
更新单元,用于根据所述DNS请求报文中携带的域名更新当前检测周期内接收到的DNS请求报文对应的域名种类数量;
离散计算单元,用于根据所述DNS请求报文数量以及所述域名种类数量计算当前检测周期内DNS请求报文的离散度;
判断单元,用于当所述离散度大于告警阈值时,确认检测到DNS攻击。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
速率计算单元,用于根据所述DNS请求报文数量计算当前检测周期内的域名请求速率;
确定执行单元,用于在确定所述域名请求速率大于速率阈值时,通知所述离散计算单元计算离散度。
8.根据权利要求6所述的装置,其特征在于,所述更新单元,包括:
解析子单元,用于解析出所述DNS请求报文中携带的域名;
计算子单元,用于根据预设算法计算所述域名的特征值;
执行子单元,用于根据所述特征值更新当前检测周期内的域名种类数量。
9.根据权利要求6-8任一所述的装置,其特征在于,所述离散计算单元利用下列公式计算当前检测周期内DNS请求报文的离散度:
离散度=域名种类数量/DNS请求报文数量。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
清空单元,用于在当前检测周期结束时,清空当前检测周期内的DNS请求报文数量以及域名种类数量。
CN201510898142.9A 2015-12-07 2015-12-07 一种dns攻击检测方法及装置 Active CN105939321B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510898142.9A CN105939321B (zh) 2015-12-07 2015-12-07 一种dns攻击检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510898142.9A CN105939321B (zh) 2015-12-07 2015-12-07 一种dns攻击检测方法及装置

Publications (2)

Publication Number Publication Date
CN105939321A true CN105939321A (zh) 2016-09-14
CN105939321B CN105939321B (zh) 2019-08-06

Family

ID=57152818

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510898142.9A Active CN105939321B (zh) 2015-12-07 2015-12-07 一种dns攻击检测方法及装置

Country Status (1)

Country Link
CN (1) CN105939321B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107248996A (zh) * 2017-06-29 2017-10-13 南京邮电大学 一种dns放大攻击的检测与过滤方法
CN111049784A (zh) * 2018-10-12 2020-04-21 北京奇虎科技有限公司 一种网络攻击的检测方法、装置、设备及存储介质
CN112966713A (zh) * 2021-02-02 2021-06-15 杭州安恒信息技术股份有限公司 基于深度学习的dga域名检测方法、装置及计算机设备
CN114024937A (zh) * 2021-11-16 2022-02-08 北京天融信网络安全技术有限公司 一种dns缓存投毒的检测方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267313A (zh) * 2008-04-23 2008-09-17 华为技术有限公司 泛洪攻击检测方法及检测装置
CN101321055A (zh) * 2008-06-28 2008-12-10 华为技术有限公司 一种攻击防范方法和装置
CN101789940A (zh) * 2010-01-28 2010-07-28 联想网御科技(北京)有限公司 一种防范dns请求报文洪泛攻击的方法及装置
CN101826996A (zh) * 2010-03-19 2010-09-08 中国科学院计算机网络信息中心 域名系统流量检测方法与域名服务器
CN102984178A (zh) * 2012-12-31 2013-03-20 山石网科通信技术(北京)有限公司 数据报文的检测方法及装置
CN103152222A (zh) * 2013-01-05 2013-06-12 中国科学院信息工程研究所 一种基于主机群特征检测速变攻击域名的方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267313A (zh) * 2008-04-23 2008-09-17 华为技术有限公司 泛洪攻击检测方法及检测装置
CN101321055A (zh) * 2008-06-28 2008-12-10 华为技术有限公司 一种攻击防范方法和装置
CN101789940A (zh) * 2010-01-28 2010-07-28 联想网御科技(北京)有限公司 一种防范dns请求报文洪泛攻击的方法及装置
CN101826996A (zh) * 2010-03-19 2010-09-08 中国科学院计算机网络信息中心 域名系统流量检测方法与域名服务器
CN102984178A (zh) * 2012-12-31 2013-03-20 山石网科通信技术(北京)有限公司 数据报文的检测方法及装置
CN103152222A (zh) * 2013-01-05 2013-06-12 中国科学院信息工程研究所 一种基于主机群特征检测速变攻击域名的方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107248996A (zh) * 2017-06-29 2017-10-13 南京邮电大学 一种dns放大攻击的检测与过滤方法
CN111049784A (zh) * 2018-10-12 2020-04-21 北京奇虎科技有限公司 一种网络攻击的检测方法、装置、设备及存储介质
CN112966713A (zh) * 2021-02-02 2021-06-15 杭州安恒信息技术股份有限公司 基于深度学习的dga域名检测方法、装置及计算机设备
CN112966713B (zh) * 2021-02-02 2024-03-19 杭州安恒信息技术股份有限公司 基于深度学习的dga域名检测方法、装置及计算机设备
CN114024937A (zh) * 2021-11-16 2022-02-08 北京天融信网络安全技术有限公司 一种dns缓存投毒的检测方法及装置
CN114024937B (zh) * 2021-11-16 2023-11-10 北京天融信网络安全技术有限公司 一种dns缓存投毒的检测方法及装置

Also Published As

Publication number Publication date
CN105939321B (zh) 2019-08-06

Similar Documents

Publication Publication Date Title
CN105430011B (zh) 一种检测分布式拒绝服务攻击的方法和装置
US20130312081A1 (en) Malicious code blocking system
CN107454037B (zh) 网络攻击的识别方法和系统
CN102137111A (zh) 一种防御cc攻击的方法、装置和内容分发网络服务器
CN108353083B (zh) 用于检测域产生算法(dga)恶意软件的系统及方法
CN108259425A (zh) 攻击请求的确定方法、装置及服务器
US8522336B2 (en) Gateway device and method for using the same to prevent phishing attacks
CN105429953B (zh) 一种用于访问网站的方法、装置和系统
CN105915532A (zh) 一种失陷主机的识别方法及装置
CN106790189B (zh) 一种基于响应报文的入侵检测方法和装置
CN106685899B (zh) 用于识别恶意访问的方法和设备
CN105939321A (zh) 一种dns攻击检测方法及装置
CN105959290A (zh) 攻击报文的检测方法及装置
CN112748987B (zh) 一种基于虚拟主机的行为安全处理方法及设备
CN106209907B (zh) 一种检测恶意攻击的方法及装置
CN104935551A (zh) 一种网页篡改防护装置及方法
CN107426136B (zh) 一种网络攻击的识别方法和装置
CN110858831B (zh) 安全防护方法、装置以及安全防护设备
CN105939342A (zh) Http攻击检测方法及装置
CN107135199B (zh) 网页后门的检测方法和装置
CN106663176A (zh) 检测装置、检测方法以及检测程序
CN105939328A (zh) 网络攻击特征库的更新方法及装置
CN111314370B (zh) 一种业务漏洞攻击行为的检测方法及装置
CN108712367A (zh) 一种报文处理方法、装置及设备
Waziri Website forgery: Understanding phishing attacks and nontechnical Countermeasures

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant after: Hangzhou Dipu Polytron Technologies Inc

Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant before: Hangzhou Dipu Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant