CN111314379B - 被攻击域名识别方法、装置、计算机设备和存储介质 - Google Patents
被攻击域名识别方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN111314379B CN111314379B CN202010200514.7A CN202010200514A CN111314379B CN 111314379 B CN111314379 B CN 111314379B CN 202010200514 A CN202010200514 A CN 202010200514A CN 111314379 B CN111314379 B CN 111314379B
- Authority
- CN
- China
- Prior art keywords
- address
- domain name
- attacked
- preset
- character
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种被攻击域名识别方法、装置、计算机设备和存储介质。所述方法包括:获取被攻击IP地址;确定所述被攻击IP地址所属的IP地址分组;基于所述IP地址分组中,IP地址与预设域名字符之间的映射关系,获取所述被攻击IP地址对应的被攻击域名字符;根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名。采用本方法,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率,进而实现对被攻击域名的精准防护、确保系统业务运作平稳。
Description
技术领域
本申请涉及互联网技术领域,特别是涉及一种被攻击域名识别方法、装置、计算机设备和存储介质。
背景技术
随着互联网技术的快速发展,作为互联网重要设施之一的CDN(Content DeliveryNetwork)内容分发系统,因其具有能够加速网络访问、提升站点响应速度等特点,在游戏、视频、电子商务以及门户站点等场景中均已得到广泛应用,随之而来的分布式拒绝服务(Distributed Denial of Service,DDoS)对CDN系统的攻击同样也不可避免的成为了严重影响其安全的威胁之一。
传统技术中,为了能够快速识别出CDN平台被DDoS攻击的对象,进而确保其业务运作平稳,通常采用将被攻击IP域名调度至无攻击新IP上的方式,避免域名受到被攻击IP的影响而导致其无法正常进行业务访问。然而该技术虽可改善DDoS攻击带来的影响,但由于无法准确识别出被攻击域名,盲目地进行域名调度仍有可能将攻击流量引入至新IP,从而导致新IP上未被攻击的业务面临被波及的风险。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高被攻击域名识别准确率的被攻击域名识别方法、装置、计算机设备和存储介质。
一种被攻击域名识别方法,所述方法包括:
获取被攻击IP地址;
确定所述被攻击IP地址所属的IP地址分组;
基于所述IP地址分组中,IP地址与预设域名字符之间的映射关系,获取所述被攻击IP地址对应的被攻击域名字符;
根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名。
一种被攻击域名识别装置,所述装置包括:
地址获取模块,用于获取被攻击IP地址;
分组确定模块,用于确定所述被攻击IP地址所属的IP地址分组;
字符获取模块,用于基于所述IP地址分组中,IP地址与预设域名字符之间的映射关系,获取所述被攻击IP地址对应的被攻击域名字符;
域名确定模块,用于根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取被攻击IP地址;
确定所述被攻击IP地址所属的IP地址分组;
基于所述IP地址分组中,IP地址与预设域名字符之间的映射关系,获取所述被攻击IP地址对应的被攻击域名字符;
根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取被攻击IP地址;
确定所述被攻击IP地址所属的IP地址分组;
基于所述IP地址分组中,IP地址与预设域名字符之间的映射关系,获取所述被攻击IP地址对应的被攻击域名字符;
根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名。
上述被攻击域名识别方法、装置、计算机设备和存储介质,通过获取被攻击IP地址,并确定被攻击IP地址所属的IP地址分组,可进一步基于该IP地址分组中IP地址与预设域名字符之间的映射关系,获取到被攻击IP地址对应的被攻击域名字符,进而根据多个预存的域名中与被攻击域名字符对应的域名,获取被攻击IP地址的被攻击域名。采用本方法,利用IP地址与预设域名字符之间的分组映射关系,能够快速识别出与被攻击IP地址关联的被攻击域名,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率。
附图说明
图1为一个实施例中被攻击域名的识别方法的应用环境图;
图2为一个实施例中被攻击域名的识别方法的流程示意图;
图3为一个实施例中IP地址分组确定步骤的流程示意图;
图4为另一个实施例中IP地址分组确定步骤的流程示意图;
图5为一个实施例中被攻击域名字符获取步骤的流程示意图;
图6为一个实施例中被攻击域名获取步骤的流程示意图;
图7为一个实施例中映射关系建立步骤的流程示意图;
图8为一个实施例中IP地址获取步骤的流程示意图;
图9为另一个实施例中IP地址获取步骤的流程示意图;
图10为一个实施例中有序IP地址获取步骤的流程示意图;
图11为另一个实施例中映射关系建立步骤的流程示意图;
图12为一个实施例中域名防护步骤的流程示意图;
图13为一个实施例中被攻击域名识别装置的结构框图;
图14为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
首先需要说明的是,本发明实施例所涉及的术语“第一\第二”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二”区分的对象在适当情况下可以互换,以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
其次需要说明的是,本申请所提供的被攻击域名识别方法,主要涉及云安全(Cloud Security)领域。云安全,是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称,融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。其主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。对此,本申请提出在云安全领域中,可针对内容分发系统(Content DeliveryNetwork,CDN)进行被攻击域名的准确识别。
进一步地,CDN系统是通过在网络各处放置节点服务器所构成的智能虚拟网络,它能够实时地根据网络流量、各节点的联系、负载情况以及到用户的距离和响应时间等综合信息,将用户的请求重新导向离用户最近的服务节点上。目的在于,使用户可就近取得所需内容,解决网络拥挤的情况,同时提高用户访问网站的响应速度。而需使用CDN系统加速网络访问、提升站点响应速度,使用户就近获取所需内容的相关业务,均可称为CDN业务。
最后需要说明的是,本申请所提供的被攻击域名识别方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信,服务器104侧的管控人员可通过终端102建立域名(CDN服务域名)与解析域名所用IP地址之间的关联关系,当CDN业务遭受DDoS攻击时,服务器104可识别出被攻击IP地址,进而利用被攻击IP地址快速准确地识别出被攻击域名,该被攻击IP地址和被攻击域名可通过终端102展示给用户查看,便于用户实时获取监控信息。其中,服务器104可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端102可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
在一个实施例中,如图2所示,提供了一种被攻击域名的识别方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤:
步骤202,获取被攻击IP地址。
其中,IP是Internet Protocol(网际互连协议)的缩写,IP地址是由4个字节、32位二进制数所组成的网络标识,被攻击IP地址是指受到网络攻击的IP,例如,受到DDoS攻击的IP地址,表示为111.111.111.1、111.111.111.32等。
具体地,由于CDN业务中的公网IP往往是多个域名之间共用,若攻击者(黑客等)采用流量型的DDoS攻击(SYN Flood、UDP Flood等带宽拥塞型攻击)CDN网络时,不仅会造成网络堵塞,还会降低多用户通过域名访问的响应速度和命中率,因此对DDoS攻击目标对象的准确识别,是确保CDN平台稳定性的关键。然而,实际应用中,通常只能识别出攻击者所攻击目标域名的关联IP地址,无法识别出具体的被攻击域名,若仅通过对被攻击IP地址的网络防护来实现对被攻击域名的防护,并不能有效确保CDN平台的稳定性,反而会因防护措施精确性差,而导致正常IP或正常域名被波及的风险。
因此,本申请提出利用基本的域名调度规则,在IP地址与域名之间预先做分组映射处理,使得CDN业务中的服务域名在遭受DDoS攻击时,能够根据对被攻击IP地址的获取,快速反向识别出与被攻击IP地址关联的被攻击域名,进而实现对被攻击域名的精准防护、确保CDN业务运作平稳。
更具体地,服务器104可通过对业务IP网络速度或流量的异常监控来分析获取被攻击IP地址,例如在分析之前预设异常网速或异常流量的临界阈值,当CDN业务遭受DDoS攻击后,其部分业务IP的网速或流量将会达到相应预设阈值,则服务器104可通过该方式获取到被攻击IP地址,进而对被攻击IP地址进行分析,即可得到与当前被攻击IP地址关联的被攻击域名。
当然,本领域技术人员还可通过其他方式获取被攻击IP地址,如通过对IP进行常规画像、行为模式数据分析等方式获取被攻击IP地址。因此,本申请所涉及的被攻击IP地址,其获取方式不作具体限制。
步骤204,确定所述被攻击IP地址所属的IP地址分组。
其中,IP地址分组是指预先针对服务器104中所存储的IP地址,按着特定模式进行分组后形成的分组结果,例如,包括至少两个的IP地址分组,每个IP地址分组中包括至少两个的IP地址,该IP地址是用于针对CDN业务中所有服务域名进行域名解析所用的。
具体地,由于IP地址与域名之间的关系可以是一对多的关系,当服务器104获取到被攻击IP地址时,可能存在与之关联有多个域名的情况,此时无法确定具体是哪个关联域名受到了DDoS攻击,也即无法准确对其进行防护。因此,本申请提出在通过被攻击IP地址识别出被攻击域名之前,首先将用于域名解析的IP地址按照特定模式进行分组,得到至少两个的IP地址分组。由此,IP地址与IP地址分组之间的关系必然是一对一的所属关系,而后续在获取到被攻击IP地址时,即可快速准确的识别出其所属的IP地址分组,进而在不同的IP地址分组中,基于各个IP地址与预设域名字符之间的关联关系,准确获取被攻击IP地址所指向的域名字符,最后利用该域名字符进一步在服务器104的数据库中分析识别出被攻击域名。
更具体地,确定被攻击IP地址所属的IP地址分组,可以是基于对IP地址进行分组的逆处理方式来确定。例如,在预先对IP地址进行分组的过程中,将分组依据设定为IP地址中的某指定位字节值,按照该指定位字节值对IP地址进行排序分组,即可得到以该指定位字节值作为分组标记的IP地址分组,进而在后续确定被攻击IP地址所属的IP地址分组时,即可通过分析被攻击IP地址中的相同指定位字节值,来确定其所属IP地址分组。
步骤206,基于所述IP地址分组中,IP地址与预设域名字符之间的映射关系,获取所述被攻击IP地址对应的被攻击域名字符。
其中,预设域名字符是指注册域名的合法字符以及本申请所设定的占位字符,例如,合法字符包括字母“a-z”、数字“0-9”和连接符“-”,占位字符“空字符”,合计为38位的预设域名字符。
其中,被攻击域名字符是指与被攻击IP地址关联映射的预设域名字符,例如,分析被攻击IP地址“111.111.111.1”关联映射的预设域名字符为“a”,则被攻击IP地址对应的被攻击域名字符即为“a”。
具体地,服务器104获取到被攻击IP地址,并确定出其所属的IP地址分组后,可通过读取该IP地址分组中,IP地址与预设域名字符之间预先建立的映射关系(映射表),来查询获取被攻击IP地址对应的被攻击域名字符。
例如,基于不同IP地址分组中的字符映射关系,查询可知:“111.111.111.20”与预设域名字符“t”对应;“111.111.111.61”与预设域名字符“w”对应;“111.111.111.87”与预设域名字符“k”对应、“148”与预设域名字符“7”对应,则可获取到当前被攻击IP地址对应的被攻击域名字符为“t、w、k、7”。
步骤208,根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名。
具体地,由于域名是由两个以上的字段构成,每个字段之间用小数点分隔符“.”隔开,通过分析被攻击IP地址得到其对应的被攻击域名字符之后,可能存在所得被攻击域名字符不是被攻击域名中完整字符的情况,仍无法准确识别出被攻击域名。因此,可预先在每个有可能被攻击的域名中,指定至少两个的预设字段位字符,以便后续得到被攻击域名字符之后,基于所有域名中预先指定的预设字段位字符,识别出被攻击域名。可以理解的是,若只有一个预设字段位字符,必然无法在多个预存域名中准确识别出的被攻击域名。
更具体地,预先指定的预设字段位字符,既可以是域名中特定字段的至少两个字符,也可以是域名中非特定字段的至少两个字符。
例如,预先指定的预设字段位字符是域名中一级字段(如,1234.abc.com中的末位字段)的全部字符(com),则可将被攻击IP地址对应的被攻击域名字符与所有域名中一级字段的全部字符进行匹配,利用相同字段位上的字符匹配结果,获取被攻击域名。
又例如,若当前获取到的被攻击域名字符为“t、w、k、7”,而服务器104通过读取预设指令,得知该被攻击域名字符应为所有预存域名中一级字段的全部字符,则针对所有域名中一级字段的字符进行检索后,得到某个域名中一级字段的字符为“twk7”,与被攻击域名字符匹配一致,而该域名的完整形式是“twk7.net”,因此可将域名“twk7.net”作为被攻击域名,以触发对被攻击域名的网络防护。
上述被攻击域名的识别方法中,通过获取被攻击IP地址,并确定被攻击IP地址所属的IP地址分组,可进一步基于该IP地址分组中IP地址与预设域名字符之间的映射关系,获取到被攻击IP地址对应的被攻击域名字符,进而根据多个预存的域名中与被攻击域名字符对应的域名,获取被攻击IP地址的被攻击域名。采用本方法,利用IP地址与预设域名字符之间的分组映射关系,能够快速识别出与被攻击IP地址关联的被攻击域名,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率。
在一个实施例中,如图3所示,步骤204包括:
步骤302,获取所述被攻击IP地址的目标字节值;所述目标字节值为所述被攻击IP地址中,预设字节位上的字节值;
步骤304,根据所述目标字节值,确定所述被攻击IP地址所属的IP地址分组。
其中,目标字节值是指被攻击IP地址所包括的4字节中,在预设字节位上的字节值,例如,被攻击IP地址“111.111.111.5”中在第4字节位上的字节值“5”。
具体地,由于IP地址包括4字节的8位二进制数,各个字节之间用小数点“.”隔开,若是利用完整的IP地址进行分组,不仅会增加分组计算量,还会占用内存空间。因此,为了提升被攻击IP地址所属IP地址分组的识别效率,本申请提出在确定被攻击IP地址所属分组之前,首先由服务器104侧的管控人员通过终端102预设所有IP地址的重点位字节,利用该重点位字节对IP地址的唯一性标记,划分IP地址并建立其与预设域名字符之间的映射关系,不仅可节省对存储空间的占用,还有利于后续对被攻击IP地址的所属分组确定。也即是说,若IP地址分组的分组依据为某个预设位字节值,则可通过获取被攻击IP地址中,在相同预设位字节上的目标字节值,确定其所属的IP地址分组。
更具体地,本申请所提供的被攻击域名识别方法,实际可应用于网络流量型攻击防护系统,该系统通过网状的大量客户端对网络中软件行为的异常监测,可获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,可为相关业务和用户提供一套集DDoS攻击检测防御于一身的网络层DDoS攻击防御解决方案。
本实施例中,通过获取被攻击IP地址中预设字节位上的目标字节值,来确定被攻击IP地址所属的IP地址分组,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率。
在一个实施例中,如图4所示,步骤304包括:
步骤402,获取多个预存的IP地址分组中,IP地址的末位字节值;
步骤404,将所述目标字节值与所述末位字节值进行匹配;
步骤406,确定与所述目标字节值相匹配的所述末位字节值所属的IP地址分组,作为所述被攻击IP地址所属的IP地址分组。
其中,末位字节值是指IP地址中的顺序第四位字节,例如IP地址“111.111.111.3”中的末位字节值为“3”。
具体地,在上述实施例的基础上,可将IP地址中的末位字节设置为用于IP地址分组、字符映射关系建立的预设位字节,由此,IP地址分组的分组依据为某个末位字节值,则可通过获取被攻击IP地址中,末位字节上的目标字节值,确定其所属的IP地址分组。
例如,当前有4组IP地址,包括:第一组IP地址(111.111.111.[1~38])、第二组IP地址(111.111.111.[39~76])、第三组IP地址(111.111.111.[77~114])、第四组IP地址(111.111.111.[115~152]),可以看出,所有IP地址的分组依据为末位字节上的字节值,因此,若被攻击IP地址为“111.111.111.5”,则可根据其作为目标字节值的末位字节值,确定被攻击IP地址的所属分组为第一组IP地址。
本实施例中,通过获取被攻击IP地址的末未字节,来确定被攻击IP地址所属的IP地址分组,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率。
在一个实施例中,如图5所示,步骤206包括:
步骤502,获取所述IP地址分组中,与所述被攻击IP地址相匹配的目标IP地址;
步骤504,确定与所述目标IP地址存在映射关系的预设域名字符,作为所述被攻击IP地址对应的被攻击域名字符。
其中,目标IP地址是指在被攻击IP地址所属的IP地址分组中,与被攻击IP地址匹配一致的IP地址,例如,被攻击IP地址为“111.111.111.5”,其所属的IP地址分组中,包括“111.111.111.[1~38]”等38个IP地址,其中包括的“111.111.111.5”即为该分组中与被攻击IP地址相匹配的目标IP地址。
具体地,在上述实施例的基础上,服务器104在分析被攻击IP地址所属的IP地址分组时,不排除存在有两个甚至更多的IP地址分组均为其疑似所属分组的情况,因此不仅需针对各个IP地址中在预设字节位上的字节值,锁定其疑似的所属分组,还需在疑似分组出现多个时,在各个疑似分组中获取与被攻击IP地址相匹配的IP地址,作为目标IP地址,以便获取该目标IP地址在其所属分组中对应映射的预设域名字符,进而得到被攻击IP地址对应的被攻击域名字符。
本实施例中,通过获取IP地址分组中与被攻击IP地址相匹配的目标IP地址,确定被攻击IP地址对应的被攻击域名字符,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率。
在一个实施例中,如图6所示,步骤208包括:
步骤602,获取所述多个预存的域名中,预设字段位字符与所述被攻击域名字符相匹配的域名,得到所述被攻击IP地址的被攻击域名。
其中,预设字段位字符是指服务器104侧的管控人员通过终端102所预设的,域名中指定字段位的字符,可以理解的是,该指定字段位在所有域名中被同时指定标记,有利于后续在识别被攻击域名时,可对应于该指定字段位,对所有域名进行字符识别,以确定被攻击域名。
具体地,根据多个预存的域名中,与被攻击域名字符对应的域名,获取被攻击域名的方式,可以是基于多个预存域名中的预设字段位,将被攻击域名字符与该预设字段位上的字符进行匹配,确定匹配结果为一致的预存域名,作为被攻击IP地址的被攻击域名。可以理解的是,多个预存的域名可以是以列表的形式存储于服务器104的数据库中,识别被攻击域名时,服务器104可利用被攻击域名字符,遍历域名列表中所有域名的预设字段位字符来确定。
本实施例中,通过获取多个预存的域名中预设字段位字符与被攻击域名字符相匹配的域名,来获取被攻击IP地址的被攻击域名,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率,进而实现对被攻击域名的精准防护、确保CDN业务运作平稳。
在一个实施例中,所述预设字段位字符包括一级字段、二级字段以及三级字段中的至少两个域名字符。
其中,一级字段可以是指域名中的顶级域名部分、二级字段可以是指域名中的二级域名部分、三级字段可以是指域名中的三级域名部分,例如,某个域名表示为“1234.abc.com”,其一级字段为“com”、二级字段为“abc”、三级字段为“1234”。
具体地,可以在预存的域名中,指定一级字段、二级字段或三级字段中单个字段的至少两个字符作为预设字段位字符;又或者是指定任意字段组合的至少两个字符作为预设字段位字符。实际应用中,可根据业务需求确定预设字段位,以便基于预设字段位上的字符与被攻击域名字符匹配,识别出被攻击域名字符指向的被攻击域名。
例如,某个域名表示为“1234.abc.com”,预设字段位字符可以是三级字段上的字符“1234”,也可以是二、三级字段各自靠近字段隔离符号“.”上的字符“4、c”,还可以是字符“4、c”与一级字段中所有字符的组合“4、c、com”。
本实施例中,可根据实际应用中的业务需求,确定域名中的预设字段位,进而利用预设字段位的字符获取被攻击域名,不仅能提高被攻击域名的识别准确率以及识别效率,还能满足不同应用场景中对被攻击域名的深度识别需求。
在一个实施例中,如图7所示,步骤202之前还包括:
步骤702,在所述多个预存的域名中,获取所述域名的预设字段位字符;
步骤704,根据所述预设字段位字符,获取所述域名对应的IP地址;
步骤706,将所述IP地址进行排序分组,得到多于一组的有序IP地址;
步骤708,按照所述有序IP地址的组序,分别建立所述IP地址与所述预设域名字符之间的映射关系。
其中,预设字段位字符是指服务器104侧的管控人员通过终端102所预设的,域名中指定字段位的字符,例如,域名“1234.abc.com”中的三级字段字符“1234”。
具体地,在获取被攻击IP地址之前,首先要将服务器104存储的IP地址和域名进行分析处理,在IP地址和域名之间建立某种关联关系,以便后续在获取到被攻击IP地址时,能够基于预先建立的关联关系,查找识别出该被攻击IP地址关联的被攻击域名。
更具体地,在IP地址和域名之间建立某种关联关系的方式,可以是首先获取管控人员通过终端102发起的预设字段位指定指令,即可得到所有域名中被指定的预设字段位,然后读取该预设字段位上的字符,得到所有域名的预设字段位字符,进而根据预设字段位字符,确定当前所需IP地址的数量,以便将按量获取到的IP地址进行排序分组,得到多组有序IP地址,最后按照有序IP地址的组序,分别建立各组有序IP地址与预设域名字符之间的一对一映射关系,即可得到各个IP地址分组中,IP地址与预设域名字符之间的映射关系。
本实施例中,通过对IP地址与预设域名字符之间分组映射关系的预先建立,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率,进而实现对被攻击域名的精准防护、确保CDN业务运作平稳。
在一个实施例中,如图8所示,步骤704包括:
步骤802,根据所述预设字段位字符的第一字符数量,获取所述域名对应的IP地址。
其中,第一字符数量是指预设字段位字符的字符数量,例如,预设字段位字符包括“t、w、k、7”,其第一字符数量为4;预设字段位字符包括“k、7”,则其第一字符数量为2。
具体地,获取域名对应的IP地址,实际是获取CDN节点上用于域名解析的IP地址。在Internet上,域名与IP地址之间是一对一(或多对一)的关系,域名虽然便于人们记忆,但是计机器之间只能互相识别出IP地址,而它们之间的转换工作即可称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS(Domain Name System,域名系统)就是进行域名解析的服务器,也即是说,用户可通过域名更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。域名的最终指向是IP地址。
更具体地,要获取域名对应的IP地址,包括确定域名解析所需的IP地址数量,需根据域名中预设字段位字符的第一字符数量确定,也即是说,IP地址的数量,与域名中预设字段位字符的第一字符数量存在关联关系。
本实施例中,根据预设字段位字符的第一字符数量,获取域名识别所需的IP地址,可在提高被攻击域名识别准确率的基础上,有效节省IP,降低IP管理成本。
在一个实施例中,如图9所示,步骤802包括:
步骤902,获取所述预设字段位字符的第一字符数量,以及,获取所述预设域名字符的第二字符数量;
步骤904,根据所述第一字符数量与所述第二字符数量之间的乘积,获取所述域名对应的IP地址。
其中,第二字符数量是指预设域名字符的合计数量,例如,预设域名字符包括字母“a-z”、数字“0-9”、连接符“-”以及占位字符“空字符”等38位字符,则预设域名字符的第二字符数量实际为“38”。
具体地,在上述实施例中已提到,IP地址的数量与域名中预设字段位字符的第一字符数量存在关联关系,本实施例中,则定义该关联关系可以是乘积关系,如将预设字段位字符的第一字符数量设为“k”,而预设域名字符的第二字符数量为“38”,则在CDN节点上,需要k*38个IP地址用于域名解析,多个预存域名对应的IP地址为“k*38”个IP地址。
本实施例中,根据预设字段位字符的第一字符数量以及预设域名字符的第二字符数量,确定IP地址的所需IP数量,可在提高被攻击域名识别准确率的基础上,有效节省IP,降低IP管理成本。
在一个实施例中,如图10所示,步骤706包括:
步骤1002,获取所述IP地址的目标字节值;所述目标字节值为所述IP地址中,预设字节位上的字节值;
步骤1004,根据所述目标字节值,将所述IP地址进行排序,得到有序IP地址;
步骤1006,将所述有序IP地址按照所述预设域名字符的第二字符数量进行分组,得到多于一组的有序IP地址。
具体地,要实现对域名的IP映射分配,首先需要对IP地址进行排序分组,以便于后续与预设域名字符之间建立映射关系,而对IP地址进行排序分组,可通过IP地址的目标字节值,首先将IP地址进行有序排列,包括升序或降序排列,进而将排列后得到的有序IP地址,按照预设域名字符的第二字符数量进行分组,即可得到多于一组的有序IP地址。可以理解的是,过IP地址的目标字节值对IP地址进行排序分组,不仅能控制分析量、节省计算量,还有利于在后续分析被攻击IP地址时,仅通过目标字节值提升分析速度。
更具体地,根据预设域名字符的第二字符数量,对IP地址进行分组,便于将各个IP地址与预设域名字符做到一对一映射,即一个IP地址对应一个预设域名字符,而多组IP地址存在地址数量大于第二字符数量的情况,因此,可在多组IP地址中,分别使得一个IP地址对应一个预设域名字符,即可得到所有IP地址分别对应的预设域名字符,进而在分析被攻击IP地址的被攻击域名字符时,可分别在多组IP地址中查询其对应的域名字符。
例如,当前存在152个有序IP地址(111.111.111.1~111.111.111.152),预设域名字符的第二字符数量为“38”,则将该152个有序IP地址按数量“38”进行分组,可得到4组有序IP地址,包括:第一组IP地址(111.111.111.[1~38])、第二组IP地址(111.111.111.[39~76])、第三组IP地址(111.111.111.[77~114])、第四组IP地址(111.111.111.[115~152])。
本实施例中,通过获取IP地址的目标字节值来获取有序IP地址,并基于预设域名字符的第二字符数量对有序IP地址进行排序分组,可有效提高被攻击域名的识别准确率。
在一个实施例中,如图11所示,步骤708包括:
步骤1102,按照所述有序IP地址的组序,分别建立所述IP地址的目标字节值与所述预设域名字符之间的映射关系,得到所述IP地址与所述预设域名字符之间的映射关系。
具体地,若当前存在152个IP地址(111.111.111.1~111.111.111.152),其分组后形成4组有序IP地址:第一组(111.111.111.[1~38])、第二组(111.111.111.[39~76])、第三组(111.111.111.[77~114])、第四组(111.111.111.[115~152]),且所有IP地址的末位字节值顺序为“1-152”,则可按照预设域名字符的预设排列顺序,将每一组有序IP地址中的目标字节值(本实施例中使用末位字节值举例,在其他实施例中,目标字节值可以是其他预设字节位上的字节值)与预设域名字符建立一对一映射关系,即可在后续识别被攻击域名的过程中,通过被攻击IP地址的目标字节值识别到对应的被攻击域名字符,进而针对被攻击域名字符在预存域名中的遍历检索,查询出被攻击域名。
更具体地,IP地址(或IP地址中的目标字节值)与预设域名字符之间的字符映射关系如下表1所示:
表1字符映射表
本实施例中,通过对目标字节值与预设域名字符之间映射关系的建立,来获取IP地址与预设域名字符之间的映射关系,便于在被攻击域名的识别过程中,利用预先建立的映射关系识别出被攻击域名,提高被攻击域名的识别准确率。
在一个实施例中,如图12所示,步骤208之后还包括:
步骤1202,确定预设的高防IP地址;
步骤1204,建立所述被攻击域名与所述高防IP地址之间的网络连接,以触发对所述被攻击域名的网络防护。
具体地,网络攻击者想要对目标进行攻击,必须要有攻击目标的IP地址,并使用大量的无效流量数据对该IP的服务器提交请求,导致服务器资源耗尽无法对正确的请求及时响应。同时,这些大量的无效数据还会占用该IP所在服务器的带宽资源,导致业务卡顿甚至瘫痪。因此,通过配置DDoS高防IP,将攻击流量引流到DDoS高防IP,可确保CDN源站的稳定正常运行。
本实施例中,将被攻击域名调度至预设的高防IP,可有效防护被攻击域名不受网络攻击影响,进而确保被攻击域名的业务访问平稳。
应该理解的是,虽然图2-12的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-12中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
本申请还提供一种应用场景,该应用场景可应用上述的被攻击域名识别方法。具体地,该被攻击域识别方法在该应用场景的应用包括三个阶段:(1)域名IP的映射分配阶段;(2)CDN业务被DDoS攻击时的识别阶段;(3)CDN业务被DDoS攻击时的识精确匹配阶段,具体应用如下:
首先,第一阶段是:假设CDN业务上所有域名中,在预设字段位上的字符最大长度为k,则CDN节点上需要k*38个IP地址用于解析域名,如k=4,则需152个IP地址用于解析域名,其原因在于域名的合法字符是37个,但若本申请所提出的算法,不仅需支持预设字段位字符长度为k的域名,还需支持预设字段位字符长度小于k的域名,则必须要处理对应位置为空字符的情况。由此,在得到152个用于域名解析的IP地址后,可将该152个IP地址基于预设域名字符的第二字符数量(38)进行分组,可得到4组有序IP地址(第一组:111.111.111.[1~38];第二组:111.111.111.[39~76];第三组:111.111.111.[77~114];第四组:111.111.111.[115~152]);进一步地,按照有序IP地址的组序(1~4),分别建立各组中IP地址与预设域名字符之间的映射关系,如此,CDN业务上的每个域名,均在4组IP地址中各有1个IP地址与之对应。
其中,建立好的映射关系可参阅表1。需要说明的是,表1中与预设域名字符建立映射关系的是IP地址中预设字节位上的末位字节值,其目的在于提高被攻击域名的识别效率,在其他应用场景中,与预设域名字符建立映射关系的还可以是IP地址中其他预设字节位上的字节值。
其次,第二阶段是:基于上述预先建立好的映射关系,在出现域名被攻击的情况时,首先获取被攻击IP地址,然后分别确定各个被攻击IP地址所属的IP地址分组,进而在IP地址分组中利用预先建立好的字符映射关系,获取被攻击IP地址对应的被攻击域名字符,该被攻击域名字符即为CDN业务中某个域名所包含的部分字符,而该域名即为疑似的被攻击域名。例如,当前获取到被攻击IP地址为“111.111.111.20、111.111.111.61、111.111.111.87、111.111.111.148”,查询表1所示的字符映射关系,可得到各个被攻击IP地址对应的被攻击域名字符为“t、w、k、7”。
最后,第三阶段是:根据被攻击域名字符确定被攻击域名,该最终阶段的域名识别过程,需借助预先对CDN业务中所有域名的预设字段位确定,根据所有域名中预设字段位字符与被攻击域名字符的匹配结果,确定被攻击IP地址的被攻击域名。例如,被攻击域名字符为“t、w、k、7”,而在所有域名中,预设字段位字符能够与之匹配的是域名“twk7.net”,因此,可确定被攻击IP地址“111.111.111.20、111.111.111.61、111.111.111.87、111.111.111.148”的被攻击域名为“twk7.net”。
本实施例中,利用IP地址与预设域名字符之间的分组映射关系,能够快速识别出与被攻击IP地址关联的被攻击域名,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率,进而实现对被攻击域名的精准防护、确保系统业务运作平稳。
在一个实施例中,如图13所示,提供了一种被攻击域名识别装置1300,该装置可以采用软件模块或硬件模块,或者是二者的结合成为计算机设备的一部分,该装置具体包括:地址获取模块1302、分组确定模块1304、字符获取模块1306和域名确定模块1308,其中:
地址获取模块1302,用于获取被攻击IP地址;
分组确定模块1304,用于确定所述被攻击IP地址所属的IP地址分组;
字符获取模块1306,用于基于所述IP地址分组中,IP地址与预设域名字符之间的映射关系,获取所述被攻击IP地址对应的被攻击域名字符;
域名确定模块1308,用于根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名。
在一个实施例中,分组确定模块1304还用于获取所述被攻击IP地址的目标字节值;所述目标字节值为所述被攻击IP地址中,预设字节位上的字节值;根据所述目标字节值,确定所述被攻击IP地址所属的IP地址分组。
在一个实施例中,分组确定模块1304还用于获取多个预存的IP地址分组中,IP地址的末位字节值;将所述目标字节值与所述末位字节值进行匹配;确定与所述目标字节值相匹配的所述末位字节值所属的IP地址分组,作为所述被攻击IP地址所属的IP地址分组。
在一个实施例中,字符获取模块1306还用于获取所述IP地址分组中,与所述被攻击IP地址相匹配的目标IP地址;确定与所述目标IP地址存在映射关系的预设域名字符,作为所述被攻击IP地址对应的被攻击域名字符。
在一个实施例中,域名确定模块1308还用于获取所述多个预存的域名中,预设字段位字符与所述被攻击域名字符相匹配的域名,得到所述被攻击IP地址的被攻击域名。
在一个实施例中,所述预设字段位字符包括一级字段、二级字段以及三级字段中的至少两个域名字符。
在一个实施例中,被攻击域名识别装置1300还包括映射关系获取模块,用于在所述多个预存的域名中,获取所述域名的预设字段位字符;根据所述预设字段位字符,获取所述域名对应的IP地址;将所述IP地址进行排序分组,得到多于一组的有序IP地址;按照所述有序IP地址的组序,分别建立所述IP地址与所述预设域名字符之间的映射关系。
在一个实施例中,映射关系获取模块还用于根据所述预设字段位字符的第一字符数量,获取所述域名对应的IP地址。
在一个实施例中,映射关系获取模块还用于获取所述预设字段位字符的第一字符数量,以及,获取所述预设域名字符的第二字符数量;根据所述第一字符数量与所述第二字符数量之间的乘积,获取所述域名对应的IP地址。
在一个实施例中,映射关系获取模块还用于获取所述IP地址的目标字节值;所述目标字节值为所述IP地址中,预设字节位上的字节值;根据所述目标字节值,将所述IP地址进行排序,得到有序IP地址;将所述有序IP地址按照所述预设域名字符的第二字符数量进行分组,得到多于一组的有序IP地址。
在一个实施例中,映射关系获取模块还用于按照所述有序IP地址的组序,分别建立所述IP地址的目标字节值与所述预设域名字符之间的映射关系,得到所述IP地址与所述预设域名字符之间的映射关系。
在一个实施例中,被攻击域名识别装置1300还包括域名防护模块,用于确定预设的高防IP地址;建立所述被攻击域名与所述高防IP地址之间的网络连接,以触发对所述被攻击域名的网络防护。
本实施例中,利用IP地址与预设域名字符之间的分组映射关系,能够快速识别出与被攻击IP地址关联的被攻击域名,不仅能提高被攻击域名的识别准确率,还能提高被攻击域名的识别效率,进而实现对被攻击域名的精准防护、确保系统业务运作平稳。
关于被攻击域名识别装置的具体限定可以参见上文中对于被攻击域名识别方法的限定,在此不再赘述。上述被攻击域名识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图14所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储IP地址和域名等。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种被攻击域名识别方法。
本领域技术人员可以理解,图14中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (24)
1.一种被攻击域名识别方法,所述方法包括:
获取被攻击IP地址;
确定所述被攻击IP地址所属的IP地址分组;
获取所述IP地址分组中,与所述被攻击IP地址相匹配的目标IP地址;确定与所述目标IP地址存在映射关系的预设域名字符,作为所述被攻击IP地址对应的被攻击域名字符;
根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名。
2.根据权利要求1所述的方法,其特征在于,所述确定所述被攻击IP地址所属的IP地址分组,包括:
获取所述被攻击IP地址的目标字节值;所述目标字节值为所述被攻击IP地址中,预设字节位上的字节值;
根据所述目标字节值,确定所述被攻击IP地址所属的IP地址分组。
3.根据权利要求2所述的方法,其特征在于,所述根据所述目标字节值,确定所述被攻击IP地址所属的IP地址分组,包括:
获取多个预存的IP地址分组中,IP地址的末位字节值;
将所述目标字节值与所述末位字节值进行匹配;
确定与所述目标字节值相匹配的所述末位字节值所属的IP地址分组,作为所述被攻击IP地址所属的IP地址分组。
4.根据权利要求1所述的方法,其特征在于,所述根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名,包括:
获取所述多个预存的域名中,预设字段位字符与所述被攻击域名字符相匹配的域名,得到所述被攻击IP地址的被攻击域名。
5.根据权利要求4所述的方法,其特征在于,所述预设字段位字符包括一级字段、二级字段以及三级字段中的至少两个域名字符。
6.根据权利要求1所述的方法,其特征在于,在所述获取被攻击IP地址之前,所述方法还包括:
在所述多个预存的域名中,获取所述域名的预设字段位字符;
根据所述预设字段位字符,获取所述域名对应的IP地址;
将所述IP地址进行排序分组,得到多于一组的有序IP地址;
按照所述有序IP地址的组序,分别建立所述IP地址与所述预设域名字符之间的映射关系。
7.根据权利要求6所述的方法,其特征在于,所述根据所述预设字段位字符,获取所述域名对应的IP地址,包括:
根据所述预设字段位字符的第一字符数量,获取所述域名对应的IP地址。
8.根据权利要求7所述的方法,其特征在于,所述根据所述预设字段位字符的第一字符数量,获取所述域名对应的IP地址,包括:
获取所述预设字段位字符的第一字符数量,以及,获取所述预设域名字符的第二字符数量;
根据所述第一字符数量与所述第二字符数量之间的乘积,获取所述域名对应的IP地址。
9.根据权利要求6所述的方法,其特征在于,所述将所述IP地址进行排序分组,得到多于一组的有序IP地址,包括:
获取所述IP地址的目标字节值;所述目标字节值为所述IP地址中,预设字节位上的字节值;
根据所述目标字节值,将所述IP地址进行排序,得到有序IP地址;
将所述有序IP地址按照所述预设域名字符的第二字符数量进行分组,得到多于一组的有序IP地址。
10.根据权利要求6所述的方法,其特征在于,所述按照所述有序IP地址的组序,分别建立所述IP地址与所述预设域名字符之间的映射关系,包括:
按照所述有序IP地址的组序,分别建立所述IP地址的目标字节值与所述预设域名字符之间的映射关系,得到所述IP地址与所述预设域名字符之间的映射关系。
11.根据权利要求1所述的方法,其特征在于,在所述根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名之后,所述方法还包括:
确定预设的高防IP地址;
建立所述被攻击域名与所述高防IP地址之间的网络连接,以触发对所述被攻击域名的网络防护。
12.一种被攻击域名识别装置,其特征在于,所述装置包括:
地址获取模块,用于获取被攻击IP地址;
分组确定模块,用于确定所述被攻击IP地址所属的IP地址分组;
字符获取模块,用于获取所述IP地址分组中,与所述被攻击IP地址相匹配的目标IP地址;确定与所述目标IP地址存在映射关系的预设域名字符,作为所述被攻击IP地址对应的被攻击域名字符;
域名确定模块,用于根据多个预存的域名中,与所述被攻击域名字符对应的域名,得到所述被攻击IP地址的被攻击域名。
13.根据权利要求12所述的装置,其特征在于,所述分组确定模块,用于获取所述被攻击IP地址的目标字节值;所述目标字节值为所述被攻击IP地址中,预设字节位上的字节值;根据所述目标字节值,确定所述被攻击IP地址所属的IP地址分组。
14.根据权利要求13所述的装置,其特征在于,所述分组确定模块,用于获取多个预存的IP地址分组中,IP地址的末位字节值;将所述目标字节值与所述末位字节值进行匹配;确定与所述目标字节值相匹配的所述末位字节值所属的IP地址分组,作为所述被攻击IP地址所属的IP地址分组。
15.根据权利要求12所述的装置,其特征在于,所述域名确定模块,用于获取所述多个预存的域名中,预设字段位字符与所述被攻击域名字符相匹配的域名,得到所述被攻击IP地址的被攻击域名。
16.根据权利要求15所述的装置,其特征在于,所述预设字段位字符包括一级字段、二级字段以及三级字段中的至少两个域名字符。
17.根据权利要求12所述的装置,其特征在于,所述装置还包括:映射关系获取模块,用于在所述多个预存的域名中,获取所述域名的预设字段位字符;根据所述预设字段位字符,获取所述域名对应的IP地址;将所述IP地址进行排序分组,得到多于一组的有序IP地址;按照所述有序IP地址的组序,分别建立所述IP地址与所述预设域名字符之间的映射关系。
18.根据权利要求17所述的装置,其特征在于,所述映射关系获取模块,用于根据所述预设字段位字符的第一字符数量,获取所述域名对应的IP地址。
19.根据权利要求18所述的装置,其特征在于,所述映射关系获取模块,用于获取所述预设字段位字符的第一字符数量,以及,获取所述预设域名字符的第二字符数量;根据所述第一字符数量与所述第二字符数量之间的乘积,获取所述域名对应的IP地址。
20.根据权利要求17所述的装置,其特征在于,所述映射关系获取模块,用于获取所述IP地址的目标字节值;所述目标字节值为所述IP地址中,预设字节位上的字节值;根据所述目标字节值,将所述IP地址进行排序,得到有序IP地址;将所述有序IP地址按照所述预设域名字符的第二字符数量进行分组,得到多于一组的有序IP地址。
21.根据权利要求17所述的装置,其特征在于,所述映射关系获取模块,用于按照所述有序IP地址的组序,分别建立所述IP地址的目标字节值与所述预设域名字符之间的映射关系,得到所述IP地址与所述预设域名字符之间的映射关系。
22.根据权利要求12所述的装置,其特征在于,所述装置还包括:域名防护模块,用于确定预设的高防IP地址;建立所述被攻击域名与所述高防IP地址之间的网络连接,以触发对所述被攻击域名的网络防护。
23.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至11中任一项所述方法的步骤。
24.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至11中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010200514.7A CN111314379B (zh) | 2020-03-20 | 2020-03-20 | 被攻击域名识别方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010200514.7A CN111314379B (zh) | 2020-03-20 | 2020-03-20 | 被攻击域名识别方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111314379A CN111314379A (zh) | 2020-06-19 |
| CN111314379B true CN111314379B (zh) | 2022-07-08 |
Family
ID=71162365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010200514.7A Active CN111314379B (zh) | 2020-03-20 | 2020-03-20 | 被攻击域名识别方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111314379B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112383565B (zh) * | 2020-12-07 | 2022-05-10 | 珠海市鸿瑞信息技术股份有限公司 | 一种ipsec通信用抗dos攻击系统 |
| CN115361358B (zh) * | 2022-08-19 | 2024-02-06 | 山石网科通信技术股份有限公司 | Ip的提取方法、装置、存储介质及电子装置 |
| CN117201201B (zh) * | 2023-11-07 | 2024-01-02 | 北京金睛云华科技有限公司 | 基于全流量存储回溯系统的syn flood攻击存储方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102629923A (zh) * | 2012-03-23 | 2012-08-08 | 北龙中网(北京)科技有限责任公司 | 基于域名系统技术的网站可信标识安装及识别方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4999787B2 (ja) * | 2007-11-05 | 2012-08-15 | 株式会社Kddi研究所 | トレースバック装置、トレースバックシステム、dnsサーバ、プログラム、および記録媒体 |
| JP4876092B2 (ja) * | 2008-03-04 | 2012-02-15 | 株式会社Kddi研究所 | トレースバック装置、プログラム、記録媒体、およびトレースバックシステム |
| CN107454037B (zh) * | 2016-05-30 | 2020-12-01 | 深信服科技股份有限公司 | 网络攻击的识别方法和系统 |
| CN107517195B (zh) * | 2016-06-17 | 2021-01-29 | 阿里巴巴集团控股有限公司 | 一种内容分发网络定位攻击域名的方法和装置 |
| CN105978890B (zh) * | 2016-06-23 | 2019-03-29 | 贵州白山云科技股份有限公司 | Syn攻击域名定位方法和装置 |
| PL3588897T3 (pl) * | 2018-06-30 | 2020-07-27 | Ovh | Sposób i system obrony infrastruktury przed rozproszonym atakiem odmowy usługi |
| CN109462612B (zh) * | 2018-12-27 | 2021-06-11 | 绿盟科技集团股份有限公司 | 一种僵尸网络中的攻击域名的确定方法及装置 |
-
2020
- 2020-03-20 CN CN202010200514.7A patent/CN111314379B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102629923A (zh) * | 2012-03-23 | 2012-08-08 | 北龙中网(北京)科技有限责任公司 | 基于域名系统技术的网站可信标识安装及识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111314379A (zh) | 2020-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
| Xu et al. | Am I eclipsed? A smart detector of eclipse attacks for Ethereum | |
| Choi et al. | A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment | |
| CN111079104B (zh) | 一种权限控制方法、装置、设备及存储介质 | |
| CN111314379B (zh) | 被攻击域名识别方法、装置、计算机设备和存储介质 | |
| US10560471B2 (en) | Detecting web exploit kits by tree-based structural similarity search | |
| CN104052734B (zh) | 使用全球设备指纹识别的攻击检测和防止 | |
| JP3448254B2 (ja) | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 | |
| Yang et al. | RIHT: a novel hybrid IP traceback scheme | |
| US20230092522A1 (en) | Data packet processing method, apparatus, and electronic device, computer-readable storage medium, and computer program product | |
| US11196670B2 (en) | System and method for identifying devices behind network address translators | |
| CN110855576B (zh) | 应用识别方法及装置 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN112954089B (zh) | 一种解析数据的方法、装置、设备以及存储介质 | |
| WO2020037781A1 (zh) | 一种实现服务器防攻击方法及装置 | |
| CN110493253B (zh) | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 | |
| CN110225009B (zh) | 一种基于通信行为画像的代理使用者检测方法 | |
| CN112583827B (zh) | 一种数据泄露检测方法及装置 | |
| CN108667782B (zh) | 一种用于DNS服务的DDoS攻击防御方法及系统 | |
| US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN114039796B (zh) | 网络攻击的确定方法、装置、计算机设备及存储介质 | |
| Castiglione et al. | Device tracking in private networks via napt log analysis | |
| KR20230019664A (ko) | 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 | |
| US10958580B2 (en) | System and method of performing load balancing over an overlay network | |
| CN106254375A (zh) | 一种无线热点设备的识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40024069 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |