CN107124434A - 一种dns恶意攻击流量的发现方法及系统 - Google Patents
一种dns恶意攻击流量的发现方法及系统 Download PDFInfo
- Publication number
- CN107124434A CN107124434A CN201710546304.1A CN201710546304A CN107124434A CN 107124434 A CN107124434 A CN 107124434A CN 201710546304 A CN201710546304 A CN 201710546304A CN 107124434 A CN107124434 A CN 107124434A
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- malicious
- address
- malice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种DNS恶意攻击流量的发现方法,通过对已知规模的DNS流量进行检测,依次分析其数据报流量及所含的DNS请求域名是否合法,更进一步提取并分析各DNS流量指标,能够快速准确地判断是否为恶意域名和恶意IP地址;通过分析DNS流量的IP地址和域名的关联关系,递归发现更多的恶意域名和恶意IP地址,从而对攻击DNS服务器的恶意流量实现更加精确的定位。本发明还公开一种DNS恶意攻击流量的发现系统,包括数据报流量获取模块、危险发现模块、流量指标计算模块以及恶意分析模块。
Description
技术领域
本发明涉及计算机领域,具体为一种DNS恶意攻击流量的发现方法及系统。
背景技术
作为互联网的重要基础设施,域名系统(DomainNameSystem,DNS)一直为全球互联网的运行提供关键性的基础服务,它的安全和稳定对于互联网是很重要的。
由于DNS请求和响应主要基于不可靠传输层协议UDP,而UDP很容易遭受DDOS攻击、反射攻击。黑客利用掌握的肉鸡向域名服务器发送大流量的DNS包,导致DNS服务器不能正常提供服务,不能正常响应合法用户的正常请求,如导致它们的丢包或时延变大。对于DDOS攻击,需要及时发现其攻击行为和尽快分析出其攻击的目的域名和来源地址等攻击模式,才能为下一步的抵制举措采取及时的响应。
现阶段,有的人专注于全局流量的分析和研究,虽然能够及时发现DNS服务器流量情况发生变化,但是不能确定是否是恶意变化,即使有的方法能够确定是恶意变化,也不能及时发现攻击域名和攻击的来源地址等攻击模式。有的人就是对DNS服务器的总体流量、总体请求率或者为每个来源IP地址设置静态的或者动态的阈值。DNS请求流量是一个动态变化的过程,静态的阀值方法不灵活,易错报。虽然有的发明采用了动态阀值方法,但是因为孤立地分析和研究域名和来源地址的请求情况,所以即使一定程度上能够分析出攻击源地址、攻击目标域名和域名服务器,也不能全面清晰地分析出攻击源地址和攻击目标。
发明内容
为克服上述不足,本发明提供一种DNS恶意攻击流量的发现方法及系统,通过实时分析DNS服务器的流量或者请求日志,从域名和IP地址两个维度来分析以判断DDOS攻击发生。
为解决上述技术问题,本发明所采用的技术方案是:
一种DNS恶意攻击流量的发现方法,适用于对已知规模的DNS流量进行检测,从中找出恶意流量,步骤包括:
1)找出首批恶意流量
1-1)判断发送给DNS服务器的数据报流量对于所述DNS服务器是非法还是合法,如果非法,则所述数据报流量为非法流量,提取恶意域名和恶意IP地址;
1-2)如果所述数据报流量合法,则判断所述数据报流量包含的DNS请求域名是非法还是合法,如果非法,则判定所述数据报流量的IP地址为恶意IP地址,所述DNS请求域名为恶意域名;
1-3)如果所述DNS请求域名合法,从所述数据报流量中提取DNS流量指标,当所述DNS流量指标中的一项或几项异常时,所述DNS请求域名判定为恶意域名,所述数据报流量的IP地址判定为恶意IP地址;
2)递归查找恶意流量
2-1)查找访问所述恶意域名的IP地址和所述恶意IP地址访问的域名,并判断是否为恶意IP地址和恶意域名,如果是,继续查找所述判定的恶意IP地址访问的域名和访问所述判定的恶意域名的IP地址并做出判断,直到满足退出条件时停止。
进一步地,所述发送给DNS服务器的数据报对于所述DNS服务器非法是指,所述数据报使用的协议不是基于TCP或UDP运输层协议报文;或者使用的端口不是TCP53端口或UDP53端口;或者运输层包体部分不符合DNS协议,包括没有合适的DNS包头或DNS包体;或者DNS请求包里设置有qr字段。
进一步地,所述DNS请求域名非法是指所述DNS请求域名不属于所述DNS服务器的服务范围或不符合DNS国际标准;合法是指所述DNS请求域名属于所述DNS服务器的服务范围且符合DNS国际标准。
进一步地,所述DNS流量指标包括DNS请求率、DNS服务器响应时间、DNS响应包大小。
进一步地,所述DNS流量指标异常包括:
所述DNS请求率超过平时平均值的至少2倍,或者比其他域名或者IP地址的请求率大至少10倍;
所述DNS服务器响应时间超过平时平均值的至少2倍,或者比其他域名请求的响应时间大至少一个数量级;
所述DNS响应包大小超过平时平均值的至少3倍,或者比其他域名请求响应包大至少1倍。
进一步地,所述退出条件包括:找不到更多的恶意域名、恶意IP地址,或者查找时间超过平均查找时间的3倍,或者查找到的恶意域名、恶意IP地址的被查询次数、查询次数小于平时平均值的1/2。
进一步地,所述步骤2-1)中恶意域名的判断方法包括:
历史访问量,在过去一定时间内,如果域名的请求率因太大而属于小概率事件,或者超过平时平均请求率的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名;
历史域名空间,在当前所有域名的请求中,如果所述域名的请求率因太大而属于小概率事件,或者超过平时平均请求率的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名;
子域名数量,在所有域名中,如果所述域名的子域名数量因太大而属于小概率事件,或者超过平时平均值的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名;
请求域名的否定应答情况,如果所述域名的否定应答的子域名数量占子域名总数的比例因太大而属于小概率事件,或超过平时平均值的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名;如果所述域名的所有否定应答子域名的总访问次数占总访问数的比例因太大而属于小概率事件,或者超过平时平均值的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名。
进一步地,所述步骤2-1)中恶意IP地址的判断方法包括:
地址真实性验证,通过第三方收集的BGP路由数据查看某IP地址所属AS号和运营商信息,如果所述BGP路由数据足够全而从中没有查找到对应的AS号和运营商信息,可判定所述IP地址为恶意IP地址;通过第三方IP地址地理位置定位服务商提供的服务获取所述IP地址的地理位置,如果没有查找到所述IP地址的地理位置,可判定所述IP地址为恶意IP地址;
IP地址新鲜度,如果所述IP地址在过去的某一长度时间段内没有访问记录,当这段时间长度超过6个月时,可判定所述IP地址为恶意IP地址;
历史访问量,在过去的一段时间里,如果IP地址访问某一域名的次数因太多而属于小概率事件,可判定所述IP地址为恶意IP地址;
一种DNS恶意攻击流量的发现系统,包括:
数据报流量获取模块,用于获取发送给DNS服务器的数据报流量;
危险发现模块,用于判断数据报以及所述判断数据报所包含的DNS请求域名是否合法;
流量指标计算模块,从数据报流量中提取DNS流量指标;
恶意分析模块,从所述数据报流量获取模块、所述流量指标计算模块及所述危险发现模块获取全部DNS流量数据、DNS流量指标及数据报并判断是否异常,如果是,则递归查找出全部的恶意域名和恶意IP地址。
进一步地,还包括流量指标存储模块和DNS流量存储模块,所述流量指标存储模块用于存储所述流量指标计算模块提取的DNS流量指标,所述DNS流量存储模块用于储存从数据报流量中提取来的全部DNS流量数据。
进一步地,所述DNS流量指标包括DNS请求率、DNS服务器响应时间、DNS响应包大小。
本发明方法通过对已知规模的DNS流量进行检测,依次分析其数据报流量及所含的DNS请求域名是否合法,更进一步提取并分析各DNS流量指标,能够快速准确地判断是否为恶意域名和恶意IP地址;通过分析DNS流量的IP地址和域名的关联关系,递归发现更多的恶意域名和恶意IP地址,从而对攻击DNS服务器的恶意流量实现更加精确的定位。
附图说明
图1为实施例的一种DNS恶意攻击流量的发现方法流程图。
图2为递归查找恶意流量的过程示意图。
图3为实施例一种DNS恶意攻击流量的发现系统的模块图。
具体实施方式
为使本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图作详细说明如下。
对于DNS恶意攻击而言,黑客即使掌握了再多的肉鸡,也不太会将目标太过于分散,他们会集中攻击流量攻击少量的域名和域名服务器,也就是说被攻击域名的请求率会猛增,而单个肉鸡的攻击率却可能并不大。如果域名管理者实时分析和关注域名请求率排名表和IP地址请求率排名表,那么被攻击域名可能在域名请求率排名表里已经很扎眼,而在IP地址请求率排名表却不显眼。因此,通过分别关注域名请求率排名表和IP地址请求率排名表容易发现被攻击域名,但不容易发现攻击源。现阶段的发明之所以不能全面清晰地发现攻击源和攻击域名,就是因为没有充分考虑域名和来源地址之间的关系。
如果只考虑排名靠前的域名或者IP地址,那么就不能发现全部(尽可能的)被攻击域名和攻击源。攻击源可能不仅仅攻击排名靠前的域名,同时还在攻击其他域名,只是攻击量相对较小,如果只看排名靠前的域名,那么这样的攻击域名是注意不到而已。被攻击域名可能不仅仅由排名靠前的IP地址攻击,还同时被其他地址攻击,只是攻击量相对较小,如果只看排名靠前的IP地址,那么这样的攻击源(地址)是注意不到而已。这些被攻击域名除了遭受到这些IP地址攻击外,还可能遭受其他IP地址的攻击,通过这些被攻击域名还可以找到另外的攻击IP地址。攻击源除了遭受到这些域名外,还可能攻击其他域名,通过这些被攻击域名还可以找到另外的攻击IP地址。这个过程可以不断的进行下去,直到找不到更多的攻击源和被攻击域名。由上可见,通过攻击源和被攻击域名的(多对多关系上)交替发现方法能够发现尽可能多的攻击源和被攻击域名。
注意,恶意域名(或恶意IP地址)不是说访问它的IP地址(或访问的域名)的所有流量都是恶意的,而是说被访问(或访问)的部分流量是恶意的。
为此,本实施例提供一种DNS恶意攻击流量的发现方法,适用于对已知规模的DNS流量进行检测,从中找出恶意流量,如图1所示,包括:
(1)找出首批恶意流量:
1)判断发送给DNS服务器的数据报流量对于所述DNS服务器是非法还是合法,如果非法,则所述数据报流量为非法流量,提取恶意域名和恶意IP地址;
2)如果所述数据报流量合法,则判断所述数据报流量包含的DNS请求域名是非法还是合法,如果非法,则发送所述数据报流量的IP地址为恶意IP地址,所述DNS请求域名为恶意域名;
3)如果所述DNS请求域名合法,从所述数据报流量中提取DNS流量指标,所述DNS流量指标包括DNS请求率、DNS服务器响应时间、DNS响应包大小,当所述DNS流量指标中的一项或几项异常时,所述DNS请求域名判定为恶意域名,所述数据报流量的IP地址判定为恶意IP地址。
以上3步依次进行,只要上一步判定为非法就无需进行下一步。
(2)递归查找恶意流量,如图2所示:
4)查找访问所述恶意域名的IP地址和所述恶意IP地址访问的域名,并判断是否为恶意IP地址和恶意域名,如果是,继续查找所述判定的恶意IP地址访问的域名和访问所述判定的恶意域名的IP地址并判断,直到满足退出条件时停止。
所述发送给DNS服务器的数据报对于所述DNS服务器非法是指,所述数据报使用的协议不是基于TCP或UDP运输层协议报文;即使使用的是基于TCP或UDP运输层协议报文,但使用的端口不是53端口,即TCP53端口或UDP53端口;即使端口是53端口,运输层包体部分不符合DNS协议,如没有合适的DNS包头或DNS包体;即使运输层有合适的包头或DNS包体,但里面的字段是不合适的,如DNS请求包里设置有qr字段(是应答包)。以上几种情况,只要有一种情况发生就可判定所述数据报为非法。
所述DNS请求域名非法是指所述DNS请求域名不属于所述DNS服务器的服务范围,或不符合DNS国际标准;合法是指所述DNS请求域名属于所述DNS服务器的服务范围,且符合DNS国际标准。
所述DNS流量指标异常包括:
所述DNS请求率(即对某个域名或者来自某个IP地址的请求率)超过一定的经验数值,如DNS请求率超过平时平均值的2倍,或者相对于其他域名或者IP地址的请求率大得明显,如10倍;
所述DNS服务器响应时间超过一定的经验数值,如平时平均值的2倍,或者相对于其他域名请求的响应时间大得明显,如高一个数量级;
所述DNS响应包大小超过一定的经验数值,如平时平均值的3倍,或者相对于其他域名请求响应包的大小大得明显,如大1倍。
所述退出条件包括:找不到更多的恶意域名、恶意IP地址,或者查找时间超过一定的时间阈值,如平时平均值的3倍,或者找到的恶意域名数量或者恶意IP地址数量超过一定的阈值,如平时平均值的3倍,或者查找到的恶意域名、恶意IP地址的被查询次数、查询次数小于一定的阈值,如平时平均值的1/2,这些阈值可根据需要人为设定,只要有一个条件满足,就可退出。
1递归查找恶意流量中的判断方法
1.1恶意域名的判断方法
多种因素可以作为衡量域名被攻击可能性,作为恶意域名的判断标准,包括:
(1)历史访问量
一般来说,如果所述域名在过去一定时间内被请求了足够多的次数,那么被请求率服从正态分布,如果请求率足够大,以至于落到了3%或5%以内的都是小概率事件,那么所述域名正遭受恶意攻击的可能性要大很多。因此,分别判断排名表中各个域名的请求率在过去一定的历史时间内是否是小概率事件,或者超过一个指定的阈值,如果某个(些)域名如此,那么这(些)域名被攻击的可能性急剧上升,可判定为恶意域名。
(2)历史域名空间
当前所有域名的请求服从正态分布,在当前所有域名的请求中,如果所述域名的请求率因太大而属于小概率事件(3%或5%以内),或者超过一个指定的阈值,如平时平均请求率的3倍,那么所述域名正遭受恶意攻击,可判定为恶意域名。
(3)子域名数量
在历史统计中,统计所有域名的子域名数量,数据量符合正态分布,并估算出均值和标准差。统计所述域名的子域名个数,如果在所有域名中所述域名的子域名个数超过设定的阈值,如平时平均值的3倍,或者由于太大而相对于分布是一个小概率事件,那么就认为所述域名正遭受恶意攻击,可判定为恶意域名。
(4)请求域名的否定应答情况
否定应答是说域名没有指定类型的域名数据,在历史统计中,统计所有域名的否定应答子域名数量,数据量符合正态分布,并估算出均值和标准差。分别统计否定应答的子域名数量,并计算它占子域名总数的比例,如果比例超过设定的阈值,如平时平均值的3倍,或者太大而是一个小概率事件,那么就认为所述域名可能遭受恶意攻击,可判定为恶意域名。分别统计所述域名的所有否定应答子域名的总访问次数,并计算它占总访问数的比例,如果前者超过设定的阈值,如平时平均值的3倍,或者太大而是一个小概率事件,那么就认为所述域名正遭受恶意攻击,可判定为恶意域名。
总之,以上只要有一项或者几项判断域名有恶意性,那么就认为它是恶意域名。
1.2恶意IP地址的判断方法
多种因素可以作为衡量域名被攻击可能性,作为恶意IP地址的判断标准,包括:
(1)地址真实性验证
由于ISP对IP包的IP地址过滤不严格,有些恶意攻击(如DDOS)是发送大量IP地址伪造的IP包,验证地址的真实性是必要的,验证所述IP地址是否为伪造的来IP地址。
可以通过第三方收集的BGP路由数据,查看所述IP地址所属AS号和运营商信息,如果所述BGP路由数据足够全而从中没有查找到对应的AS号和运营商信息,那么所述IP地址是伪造的可能性就较大,可判定为恶意IP地址。
可以通过第三方IP地址地理位置定位服务商提供的服务,获取所述IP地址的地理位置,如果没有查找到所述IP地址的地理位置,那么是DDOS攻击的可能性就很大,可判定为恶意IP地址。
(2)IP地址新鲜度
如果所述IP地址在过去较长的一时间段内都有稳定的访问记录,那么所述IP地址发动恶意攻击的可能性小;如果在过去的某一长度时间段内没有访问记录,当这段时间长度超过一设定阈值时,如6个月,可判定所述IP地址为恶意IP地址。如果是递归服务器,有可能被黑客利用。
(3)历史访问量
过去一段时间里所述IP地址访问某一域名的访问次数作为一个变量,这个变量符合正态分布,如果访问次数太大,是一个小概率事件,就认为是恶意攻击的可能性就越大,可判定所述IP地址为恶意IP地址。
总之,以上只要有一项或者几项判断IP地址有恶意性,那么就认为它是恶意IP地址。
3系统实现
如图3所示,一种DNS恶意流量攻击的发现系统,包括:数据报流量获取模块、危险发现模块、恶意分析模块、流量指标计算模块以及DNS流量存储模块和流量指标存储模块。
(1)数据报流量获取模块
所述数据报流量获取模块实时获取发送给所述DNS服务器的数据报,获取的方式有:通过在所述DNS服务器前端的中间路由器或者防火墙上抓取或截留发送给所述DNS服务器的数据报,或者在所述DNS服务器上抓取数据报,或者实时读取所述DNS服务器程序的日志文件,并将获取的数据报发送给危险发现模块。
(2)危险发现模块
所述危险发现模块用于判断发送给所述DNS服务器的数据报对于所述DNS服务器是否合法,并判断包含的DNS请求域名是否合法,如果合法,则通知恶意分析模块做进一步分析判断;如非法,则提取恶意域名和恶意IP地址。
(3)流量指标计算模块
所述流量指标计算模块从数据报流量中计算、提取DNS流量指标,包括DNS请求率、DNS服务器响应时间、DNS响应包大小。
(4)DNS流量存储模块
所述DNS流量存储模块保存了过去一段时间和当前的全部DNS流量数据,所述DNS流量数据由数据报流量获取模块获取的数据报流量中提取而来,以供恶意分析模块使用。
(5)流量指标存储模块
所述流量指标存储模块保存了所述流量指标计算模块提取的各DNS流量指标。
(6)恶意分析模块
所述恶意分析模块根据所述DNS流量存储模块、所述流量指标存储模块以及所述危险发现模块里的全部流量数据、DNS流量指标以及合法数据报并判断是否异常,如果发现有异常情况,如数据报对于DNS服务器不合法,或者DNS请求域名不合法,或者请求率突增超过一定阈值(如2倍),或者DNS服务器的响应时间徒增超过一定阈值(如2倍),或者DNS响应消息的大小徒增超过一定阈值(如3倍)等,就判断为恶意流量,进而递归找出全部的恶意流量,即全部的恶意域名和恶意IP地址。
本发明方法通过对已知规模的DNS流量进行检测,依次分析其数据报流量及所含的DNS请求域名是否合法,更进一步提取并分析各DNS流量指标,能够快速准确地判断是否为恶意域名和恶意IP地址;通过分析DNS流量的IP地址和域名的关联关系,递归发现更多的恶意域名和恶意IP地址,从而对攻击DNS服务器的恶意流量实现更加精确的定位。
Claims (10)
1.一种DNS恶意攻击流量的发现方法,适用于对已知规模的DNS流量进行检测,步骤包括:
检测发送给DNS服务器的数据报流量;
如果所述数据报流量相对于所述DNS服务器非法,则提取恶意域名和恶意IP地址;
如果所述数据报流量相对于所述DNS服务器合法,则检测所述数据报流量包含的DNS请求域名,如果所述DNS请求域名非法,则判定所述数据报流量的IP地址为恶意IP地址,所述DNS请求域名为恶意域名;
如果所述DNS请求域名合法,则从所述数据报流量中提取DNS流量指标,当所述DNS流量指标中的一项或几项异常时,所述DNS请求域名判定为恶意域名,所述数据报流量的IP地址判定为恶意IP地址;
查找访问所述恶意域名的IP地址和所述恶意IP地址访问的域名,并判断是否为恶意IP地址和恶意域名,如果是,则继续查找所述判定的恶意IP地址访问的域名和访问所述判定的恶意域名的IP地址并做出判断,直至满足退出条件。
2.根据权利要求1所述的方法,其特征在于,所述数据报相对于DNS服务器非法是指,所述数据报使用的协议不是基于TCP或UDP运输层协议报文;或者使用的端口不是TCP53端口或UDP53端口;或者运输层包体部分不符合DNS协议,包括没有合适的DNS包头或DNS包体;或者DNS请求包里设置有qr字段。
3.根据权利要求1所述的方法,其特征在于,所述DNS请求域名非法是指所述DNS请求域名不属于所述DNS服务器的服务范围或不符合DNS国际标准;合法是指所述DNS请求域名属于所述DNS服务器的服务范围且符合DNS国际标准。
4.根据权利要求1所述的方法,其特征在于,所述DNS流量指标包括DNS请求率、DNS服务器响应时间、DNS响应包大小。
5.根据权利要求4所述的方法,其特征在于,所述DNS流量指标异常包括:
所述DNS请求率超过平时平均值的至少2倍,或者比其他域名或者IP地址的请求率大至少10倍;
所述DNS服务器响应时间超过平时平均值的至少2倍,或者比其他域名请求的响应时间大至少一个数量级;
所述DNS响应包大小超过平时平均值的至少3倍,或者比其他域名请求响应包大至少1倍。
6.根据权利要求1所述的方法,其特征在于,所述退出条件包括:找不到更多的恶意域名、恶意IP地址,或者查找时间超过平均查找时间的3倍,或者查找到的恶意域名、恶意IP地址的被查询次数、查询次数小于平时平均值的1/2。
7.根据权利要求1所述的方法,其特征在于,所述判断查找到的所述恶意IP地址访问的域名为恶意域名的方法包括:
历史访问量,在过去一定时间内,如果所述域名的请求率因太大而属于小概率事件,或者超过平时平均请求率的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名;
历史域名空间,在当前所有域名的请求中,如果所述域名的请求率因太大而属于小概率事件,或者超过平时平均请求率的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名;
子域名数量,在所有域名中,如果所述域名的子域名数量因太大而属于小概率事件,或者超过平时平均值的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名;
请求域名的否定应答情况,如果所述域名的否定应答的子域名数量占子域名总数的比例因太大而属于小概率事件,或超过平时平均值的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名;如果所述域名的所有否定应答子域名的总访问次数占总访问数的比例因太大而属于小概率事件,或者超过平时平均值的3倍,则认为所述域名正遭受恶意攻击,可判定所述域名为恶意域名。
8.根据权利要求1所述的方法,其特征在于,所述判断查找到的访问所述恶意域名的IP地址为恶意IP地址的方法包括:
地址真实性验证,通过第三方收集的BGP路由数据查看某IP地址所属AS号和运营商信息,如果所述BGP路由数据足够全而从中没有查找到对应的AS号和运营商信息,则可判定所述IP地址为恶意IP地址;通过第三方IP地址地理位置定位服务商提供的服务获取所述IP地址的地理位置,如果没有查找到所述IP地址的地理位置,则可判定所述IP地址为恶意IP地址;
IP地址新鲜度,如果所述IP地址在过去的某一长度时间段内没有访问记录,则当这段时间长度超过6个月时,可判定所述IP地址为恶意IP地址;
历史访问量,在过去的一段时间里,如果所述IP地址访问某一域名的次数因太多而属于小概率事件,则可判定所述IP地址为恶意IP地址。
9.一种DNS恶意攻击流量的发现系统,包括:
数据报流量获取模块,用于获取发送给DNS服务器的数据报流量;
危险发现模块,用于判断数据报以及所述判断数据报所包含的DNS请求域名是否合法;
流量指标计算模块,从数据报流量中提取DNS流量指标;
恶意分析模块,从所述数据报流量获取模块、所述流量指标计算模块及所述危险发现模块获取全部DNS流量数据、DNS流量指标及数据报并判断是否异常,如果是,则递归查找出全部的恶意域名和恶意IP地址。
10.根据权利要求9所述的系统,其特征在于,还包括流量指标存储模块和DNS流量存储模块,所述流量指标存储模块用于存储所述流量指标计算模块提取的DNS流量指标,所述DNS流量存储模块用于储存从数据报流量中提取来的全部DNS流量数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710546304.1A CN107124434B (zh) | 2017-07-06 | 2017-07-06 | 一种dns恶意攻击流量的发现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710546304.1A CN107124434B (zh) | 2017-07-06 | 2017-07-06 | 一种dns恶意攻击流量的发现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107124434A true CN107124434A (zh) | 2017-09-01 |
| CN107124434B CN107124434B (zh) | 2019-12-31 |
Family
ID=59730777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710546304.1A Active CN107124434B (zh) | 2017-07-06 | 2017-07-06 | 一种dns恶意攻击流量的发现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107124434B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107484173A (zh) * | 2017-09-30 | 2017-12-15 | 北京奇虎科技有限公司 | 无线网络入侵检测方法及装置 |
| CN107707569A (zh) * | 2017-11-10 | 2018-02-16 | 北京知道创宇信息技术有限公司 | Dns请求处理方法及dns系统 |
| CN108848201A (zh) * | 2018-06-14 | 2018-11-20 | 深信服科技股份有限公司 | 检测利用dns隧道传输隐秘数据的方法、系统及装置 |
| CN108965277A (zh) * | 2018-07-02 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种基于dns的感染主机分布监测方法与系统 |
| CN109005181A (zh) * | 2018-08-10 | 2018-12-14 | 深信服科技股份有限公司 | 一种dns放大攻击的检测方法、系统及相关组件 |
| CN109714323A (zh) * | 2018-12-17 | 2019-05-03 | 清创网御(合肥)科技有限公司 | 一种全网危险感知平台及其工作方法 |
| CN109729098A (zh) * | 2019-03-01 | 2019-05-07 | 国网新疆电力有限公司信息通信公司 | Dns服务器中自动阻断恶意端口扫描的方法 |
| CN112671747A (zh) * | 2020-12-17 | 2021-04-16 | 赛尔网络有限公司 | 境外恶意url的统计方法、装置、电子设备和存储介质 |
| CN113660256A (zh) * | 2021-08-13 | 2021-11-16 | 全球能源互联网研究院有限公司 | 一种dns水刑攻击检测模型构建方法及流量清洗方法 |
| CN113938314A (zh) * | 2021-11-17 | 2022-01-14 | 北京天融信网络安全技术有限公司 | 一种加密流量的检测方法及装置、存储介质 |
| CN114760216A (zh) * | 2022-04-12 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
| CN103179100A (zh) * | 2011-12-26 | 2013-06-26 | 中国移动通信集团广西有限公司 | 一种防止域名系统隧道攻击的方法及设备 |
| CN104079421A (zh) * | 2013-03-27 | 2014-10-01 | 中国移动通信集团北京有限公司 | 一种域名系统防护的方法和系统 |
| CN106850647A (zh) * | 2017-02-21 | 2017-06-13 | 上海交通大学 | 基于dns请求周期的恶意域名检测算法 |
-
2017
- 2017-07-06 CN CN201710546304.1A patent/CN107124434B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN103179100A (zh) * | 2011-12-26 | 2013-06-26 | 中国移动通信集团广西有限公司 | 一种防止域名系统隧道攻击的方法及设备 |
| CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
| CN104079421A (zh) * | 2013-03-27 | 2014-10-01 | 中国移动通信集团北京有限公司 | 一种域名系统防护的方法和系统 |
| CN106850647A (zh) * | 2017-02-21 | 2017-06-13 | 上海交通大学 | 基于dns请求周期的恶意域名检测算法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107484173A (zh) * | 2017-09-30 | 2017-12-15 | 北京奇虎科技有限公司 | 无线网络入侵检测方法及装置 |
| CN107707569A (zh) * | 2017-11-10 | 2018-02-16 | 北京知道创宇信息技术有限公司 | Dns请求处理方法及dns系统 |
| CN108848201A (zh) * | 2018-06-14 | 2018-11-20 | 深信服科技股份有限公司 | 检测利用dns隧道传输隐秘数据的方法、系统及装置 |
| CN108965277B (zh) * | 2018-07-02 | 2022-01-25 | 杭州安恒信息技术股份有限公司 | 一种基于dns的感染主机分布监测方法与系统 |
| CN108965277A (zh) * | 2018-07-02 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种基于dns的感染主机分布监测方法与系统 |
| CN109005181A (zh) * | 2018-08-10 | 2018-12-14 | 深信服科技股份有限公司 | 一种dns放大攻击的检测方法、系统及相关组件 |
| CN109005181B (zh) * | 2018-08-10 | 2021-07-02 | 深信服科技股份有限公司 | 一种dns放大攻击的检测方法、系统及相关组件 |
| CN109714323B (zh) * | 2018-12-17 | 2021-02-02 | 清创网御(合肥)科技有限公司 | 一种全网危险感知平台及其工作方法 |
| CN109714323A (zh) * | 2018-12-17 | 2019-05-03 | 清创网御(合肥)科技有限公司 | 一种全网危险感知平台及其工作方法 |
| CN109729098A (zh) * | 2019-03-01 | 2019-05-07 | 国网新疆电力有限公司信息通信公司 | Dns服务器中自动阻断恶意端口扫描的方法 |
| CN112671747A (zh) * | 2020-12-17 | 2021-04-16 | 赛尔网络有限公司 | 境外恶意url的统计方法、装置、电子设备和存储介质 |
| CN112671747B (zh) * | 2020-12-17 | 2022-08-30 | 赛尔网络有限公司 | 境外恶意url的统计方法、装置、电子设备和存储介质 |
| CN113660256A (zh) * | 2021-08-13 | 2021-11-16 | 全球能源互联网研究院有限公司 | 一种dns水刑攻击检测模型构建方法及流量清洗方法 |
| CN113938314A (zh) * | 2021-11-17 | 2022-01-14 | 北京天融信网络安全技术有限公司 | 一种加密流量的检测方法及装置、存储介质 |
| CN113938314B (zh) * | 2021-11-17 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 一种加密流量的检测方法及装置、存储介质 |
| CN114760216A (zh) * | 2022-04-12 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
| CN114760216B (zh) * | 2022-04-12 | 2023-12-05 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107124434B (zh) | 2019-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107124434A (zh) | 一种dns恶意攻击流量的发现方法及系统 | |
| CN107666490B (zh) | 一种可疑域名检测方法及装置 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN104113519B (zh) | 网络攻击检测方法及其装置 | |
| CN104579823B (zh) | 一种基于大数据流的网络流量异常检测系统及方法 | |
| CN103428189B (zh) | 一种识别恶意网络设备的方法、装置和系统 | |
| CN101741847B (zh) | 一种ddos攻击检测方法 | |
| US9083730B2 (en) | Methods and apparatus to identify an internet protocol address blacklist boundary | |
| CN107623685B (zh) | 快速检测SYN Flood攻击的方法及装置 | |
| CN107070930A (zh) | 一种面向主机的可疑网络连接识别方法 | |
| CN103530336B (zh) | 统一资源定位符url中无效参数的识别设备及方法 | |
| CN105681133A (zh) | 一种检测dns服务器是否防网络攻击的方法 | |
| CN105471835A (zh) | 提升防火墙处理性能的方法及系统 | |
| CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN110417747A (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN106685899A (zh) | 用于识别恶意访问的方法和设备 | |
| CN106790062A (zh) | 一种基于反向dns查询属性聚合的异常检测方法及系统 | |
| JP2006115432A (ja) | 不正情報検知システム及び不正攻撃元探索システム | |
| CN107864155A (zh) | 一种高准确率的ddos攻击检测方法 | |
| CN106534068A (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| CN104935601A (zh) | 基于云的网站日志安全分析方法、装置及系统 | |
| CN105282152A (zh) | 一种异常流量检测的方法 | |
| JP2006115432A5 (zh) | ||
| CN107770113A (zh) | 一种精确确定攻击特征的洪水攻击检测方法 | |
| CN109413022B (zh) | 一种基于用户行为检测http flood攻击的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |