CN112839005A - Dns域名异常访问监控方法及装置 - Google Patents

Dns域名异常访问监控方法及装置 Download PDF

Info

Publication number
CN112839005A
CN112839005A CN201911156502.2A CN201911156502A CN112839005A CN 112839005 A CN112839005 A CN 112839005A CN 201911156502 A CN201911156502 A CN 201911156502A CN 112839005 A CN112839005 A CN 112839005A
Authority
CN
China
Prior art keywords
domain name
dns
access
access times
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911156502.2A
Other languages
English (en)
Other versions
CN112839005B (zh
Inventor
张恒
张鹏
孙才
刘永祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Internet Network Information Center
Original Assignee
China Internet Network Information Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Internet Network Information Center filed Critical China Internet Network Information Center
Priority to CN201911156502.2A priority Critical patent/CN112839005B/zh
Publication of CN112839005A publication Critical patent/CN112839005A/zh
Application granted granted Critical
Publication of CN112839005B publication Critical patent/CN112839005B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种DNS域名异常访问监控方法及装置,方法包括:统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;对第一域名集中所包含的域名,将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常。本发明实施例提供的DNS域名异常访问监控方法及装置通过将域名统计得到的访问次数与标准幂律分布下的访问次数的比较,能及时发现DNS攻击行为,从而为网络安全防护争取时间、减少网络攻击造成的损失。

Description

DNS域名异常访问监控方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种DNS域名异常访问监控方法及装置。
背景技术
在计算机网络通信中,主机之间需要知道通信对端的IP地址才能够通过IP网络与对方进行通信。然而32位的IPv4地址(IPv6地址为128位)对于通信参与者来说是不容易记忆的。因此,更为直观的域名(如www.google.com.hk)被广泛采用以解决IP地址难以记忆的问题。然而网络通信是基于IP协议来运转的,通过域名并不能直接找到要访问的主机。因此主机需要将用户输入的域名转换为IP地址,这个过程被称为域名解析。
为了完成域名解析,需要域名系统(Domain Name System,DNS)来配合,其是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。通过域名系统,用户进行某些应用时,可以直接使用便于记忆的且有意义的域名,而由网络中的DNS服务器将域名解析为正确的IP地址然后返回给用户的主机。域名服务器,是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。域名解析过程是指当某一个应用进程需要将主机名解析为IP地址时,该应用进程就成为域名系统DNS的一个客户,并把待解析的域名放在DNS查询报文中发给域名服务器,域名服务器在查找域名后将对应的IP地址放在回答报文中返回给客户机应用进程。DNS递归服务器是DNS解析系统中的重要设备,DNS递归服务器根据缓存中的域名地址信息,对终端用户发起的DNS查询进行响应。
目前,对DNS系统的攻击方式主要有以下几种方式:
第一种攻击方式是流量型拒绝服务攻击。例如基于用户数据包协议(UDP,UserDatagram Protocol)流(flood)、基于传输控制协议(TCP,Transmission ControlProtocol)flood、DNS请求flood,或拼(PING)flood等。该种方式下的攻击的典型特征是消耗掉DNS服务器的资源,使其不能及时响应正常的DNS解析请求。其中,资源的消耗包括对服务器CPU、网络资源等的消耗。
第二种攻击方式是异常请求访问攻击。例如超长域名请求、异常域名请求等。该种方式下的攻击的特点是通过发掘DNS服务器的漏洞,通过伪造特定的查询报文,导致DNS服务器软件工作异常而退出或崩溃而无法启动,达到影响DNS服务器正常工作的目的。
第三种攻击方式是DNS劫持攻击。例如DNS缓存“投毒”、篡改授权域内容、ARP欺骗劫持授权域等。该种方式下的攻击的特点是通过直接篡改解析记录或在解析记录传递过程中篡改其内容或抢先应答,从而达到影响解析结果的目的。
第四种攻击方式是攻击者利用DNS进行攻击。例如攻击者控制僵尸机群采用被攻击主机的IP地址伪装成被攻击主机发送域名解析请求,大量的域名解析请求被DNS服务器递归查询解析后,DNS服务器发送响应给被攻击者,大量的响应数据包从不同的DNS服务器传回构成了分布式拒绝服务(DDoS,Distributed Denial of Service)攻击。
从上述四种攻击的描述中可以看到:当DNS服务器遭受到DNS攻击时,在DNS服务器端多数表现为DNS域名访问异常。若能监控DNS域名访问异常,有助于及时发现DNS攻击行为的发生,从而可以采取有效措施,使损失降到最小。
发明内容
本发明实施例提供一种DNS域名异常访问监控方法及装置,用以解决现有技术中无法及时发现DNS攻击行为的缺陷,从而实现对DNS攻击行为的快速发现。
本发明第一方面实施例提供一种DNS域名异常访问监控方法,包括:
统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;
对所述第一域名集中所包含的域名,将对应域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常;其中,
所述标准幂律分布描述了基于历史统计数据所得到的域名的访问次数与该域名的访问次数降序排名之间的关系。
上述技术方案中,所述标准幂律分布的表达式为:
Figure BDA0002284947310000031
其中,x表示访问次数降序排名,y表示访问次数,
Figure BDA0002284947310000032
均为标准幂律分布的幂律指数;该方法还包括:
统计DNS查询报文中的DNS域名,得到多个第二域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第二域名集为一个统计周期内访问次数降序排名在前的多个域名的集合;
根据所述多个第二域名集中所包含域名的访问次数和访问次数降序排名,计算每个第二域名集的幂律指数;根据每个第二域名集的幂律指数,计算所述多个第二域名集的幂律指数均值,将所述幂律指数均值作为标准幂律分布的幂律指数,从而得到标准幂律分布。
上述技术方案中,还包括:
对所述多个第二域名集中所包含域名,为对应域名的访问次数与该域名根据所述标准幂律分布计算得到的访问次数求差,得到多个差值,计算所述多个差值的均值与标准差,根据所述多个差值的均值与标准差确定阈值。
上述技术方案中,所述阈值为μ+3σ,其中,μ为所述多个差值的均值、σ为所述多个差值的标准差。
本发明第二方面实施例还提供一种DNS域名异常访问监控装置,包括:
第一统计模块,用于统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;
异常认定模块,用于对所述第一域名集中所包含的域名,将对应域名的访问次数与该域名根据标准幂律分布计算得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常;其中,
所述标准幂律分布描述了基于历史统计数据所得到的域名的访问次数与该域名的访问次数降序排名之间的关系。
上述技术方案中,所述标准幂律分布的表达式为:
Figure BDA0002284947310000041
其中,x表示访问次数降序排名,y表示访问次数,
Figure BDA0002284947310000042
均为标准幂律分布的幂律指数;该装置还包括:
第二统计模块,用于统计DNS查询报文中的DNS域名,得到多个第二域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第二域名集为一个统计周期内访问次数降序排名在前的多个域名的集合;
标准幂律分布生成模块,用于根据所述多个第二域名集中所包含域名的访问次数和访问次数降序排名,计算每个第二域名集的幂律指数;根据每个第二域名集的幂律指数,计算所述多个第二域名集的幂律指数均值,将所述幂律指数均值作为标准幂律分布的幂律指数,从而得到标准幂律分布。
上述技术方案中,还包括:
阈值设置模块,用于对所述多个第二域名集中所包含域名,为该域名的访问次数与该域名根据所述标准幂律分布计算得到的访问次数求差,得到多个差值,计算所述多个差值的均值与标准差,根据所述多个差值的均值与标准差确定阈值。
上述技术方案中,所述阈值为μ+3σ,其中,μ为所述多个差值的均值、σ为所述多个差值的标准差。
本发明第三方面实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本发明第一方面实施例所述DNS域名异常访问监控方法的步骤。
本发明第四方面实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如本发明第一方面实施例所述DNS域名异常访问监控方法的步骤。
本发明实施例提供的DNS域名异常访问监控方法及装置通过将域名统计得到的访问次数与标准幂律分布下的访问次数的比较,能及时发现DNS攻击行为,从而为网络安全防护争取时间、减少网络攻击造成的损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为DNS查询的示意图;
图2为本发明实施例提供的DNS域名异常访问监控方法的流程图;
图3为本发明另一实施例提供的DNS域名异常访问监控方法的流程图;
图4为本发明又一实施例提供的DNS域名异常访问监控方法的流程图;
图5为本发明实施例提供的DNS域名异常访问监控装置的结构图;
图6为本发明另一实施例提供的DNS域名异常访问监控装置的结构图;
图7为本发明又一实施例提供的DNS域名异常访问监控装置的结构图;
图8示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为DNS查询的示意图,如图1所示,用户通过终端设备经路由器向DNS服务器发送DNS查询请求。在路由器附近部署DNS域名分析器,通过配置路由器的流量镜像功能,DNS域名分析器可以获得通过该路由器的DNS查询报文。基于这些DNS查询报文可实现对DNS域名异常访问情况的监控。
图2为本发明实施例提供的DNS域名异常访问监控方法的流程图,如图2所示,本发明实施例提供的DNS域名异常访问监控方法包括:
步骤201、统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合。
DNS查询报文中包含了所要查询的DNS域名,在一个统计周期内对所采集的DNS查询报文进行统计,可得到用户在这一统计周期内所请求的所有DNS域名。
所述统计周期是指一次数据统计的延续时间段,如要对1秒内DNS服务器所要接收的DNS查询报文中的DNS域名进行统计,则统计周期的时间长度为1秒。统计周期的时间长度可根据实际情况确定,当一DNS服务器在单位时间内所要接收的DNS查询报文数量庞大,则统计周期的时间长度可适当缩小,反之,当一DNS服务器在单位时间内所要接收的DNS查询报文数量稀少,则统计周期的时间长度可适当扩大。需要说明的是,在同一实施例中,不同统计周期的时间长度是相等的,否则不同统计周期内所统计的数据将失去比较的基础。
当前统计周期是当前时刻所处的统计周期。
统计当前统计周期内所接收到的DNS查询报文中的DNS域名,在通常情况下能够得到成百上千个DNS域名。从对现有攻击方式的分析可以知道:DNS服务器遭受到DNS攻击时,在DNS服务器端多数表现为DNS域名访问异常,即某些DNS域名的访问量会变得非常多。因此,在统计得到的成百上千个DNS域名中,我们只需获取其中访问次数降序排名在前的多个域名的信息,即获取当前统计周期内的访问次数Top N个域名的信息。其中,N的数值大小可根据实际情况确定,在本发明实施例中,可选取N的大小为100,在本发明其他实施例中,可选取N的大小为1000、500、800、50等其他数值。将所得到的当前统计周期内的访问次数TopN个域名形成第一域名集。
在本发明实施例中,所要获取的域名的信息包括名称、访问次数和访问次数降序排名。其中,所述的访问次数降序排名是指按照访问次数从多到少的顺序所处的排名。
步骤202、对第一域名集中所包含的域名,将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常。
标准幂律分布描述了基于历史统计数据所得到的域名的访问次数与该域名的访问次数降序排名之间的关系。在本发明实施例中,标准幂律分布的表达式为:
Figure BDA0002284947310000071
其中,x表示访问次数降序排名,y表示访问次数;
Figure BDA0002284947310000072
均为标准幂律分布的幂律指数,这两个幂律指数的值由多个统计周期中每一个统计周期内访问次数降序排名在前的多个域名的访问次数和访问次数降序排名得到。在本发明的另一个实施例中,将对这两个幂律指数的值是如何获取的做详细说明。
将第一域名集中的域名的访问次数与该域名在标准幂律分布下的访问次数进行比较具体包括:由统计数据可直接得到第一域名集中任意一个域名的访问次数以及访问次数降序排名;将该域名的访问次数降序排名代入标准幂律分布的表达式
Figure BDA0002284947310000073
可得到标准幂律分布下的访问次数的对数;为该域名统计得到的访问次数的对数与该域名标准幂律分布下的访问次数的对数求差值,所得到的差值就是比较结果。
阈值的大小取决于均值μ和标准差σ,而所述的均值μ和标准差σ由多个统计周期中每一个统计周期内访问次数降序排名在前的多个域名的访问次数和访问次数降序排名以及标准幂律分布得到。在本发明的另一个实施例中,将阈值是如何获取的做详细说明。
在本发明实施例中,阈值的大小为μ+3σ。阈值的大小可根据实际需要进行调整,如可通过调节阈值的大小来调整对域名访问异常的监控力度。
将第一域名集中域名的访问次数与该域名在标准幂律分布下的访问次数进行比较,若该域名的比较结果大于阈值,则对该域名的访问会被认为是异常访问。
对某一DNS域名的访问被认定为异常后,可发出如下的告警信息:告警时间,异常域名,域名异常访问次数等。
本发明实施例提供的DNS域名异常访问监控方法通过将域名统计得到的访问次数与标准幂律分布下的访问次数的比较,能及时发现DNS攻击行为,从而为网络安全防护争取时间、减少网络攻击造成的损失。
基于上述任一实施例,图3为本发明另一实施例提供的DNS域名异常访问监控方法的流程图,如图3所示,本发明另一实施例提供的DNS域名异常访问监控方法包括:
步骤301、统计DNS查询报文中的DNS域名,得到多个第二域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第二域名集为一个统计周期内访问次数降序排名在前的多个域名的集合。
在本步骤中,多个第二域名集对应了多个统计周期,多个统计周期是指具有历史统计数据的统计周期。若当前统计周期的统计数据已经获取,则多个统计周期还包括当前统计周期。
步骤302、根据多个第二域名集中所包含域名的访问次数和访问次数降序排名,计算每个第二域名集的幂律指数;根据每个第二域名集的幂律指数,计算多个第二域名集的幂律指数均值,将幂律指数均值作为标准幂律分布的幂律指数,从而得到标准幂律分布。
幂律分布的表达式为y=cx-r;其中,x表示访问次数降序排名,y表示访问次数。幂律分布做对数变换后的形式为:lny=lnc–rlnx。设a=lnc、b=-r,将a、b作为幂律指数。
统计DNS查询报文中的DNS域名,可得到多个第二域名集中所包含域名的访问次数和访问次数降序排名,即得到多个访问次数降序排名x、访问次数y的值。将这些值代入幂律分布的变换式,也就能得到每个第二域名集对应的幂律指数a、b的值。
在得到多个第二域名集所对应的幂律指数a、b的值后,求幂律指数a、b在多个第二域名集的均值,将幂律指数a、b的均值作为标准幂律分布的幂律指数
Figure BDA0002284947310000091
由此可得到标准幂律分布的表达式为:
Figure BDA0002284947310000092
步骤303、统计DNS查询报文中的DNS域名,第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合。
步骤304、对所述第一域名集中所包含的域名,将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常。
本发明实施例提供的DNS域名异常访问监控方法根据对已有多个统计周期数据的统计结果计算出标准幂律分布,通过将域名的统计访问次数与该域名在标准幂律分布下的访问次数的比较,能及时发现DNS攻击行为,从而为网络安全防护争取时间、减少网络攻击造成的损失。
基于上述任一实施例,图4为本发明又一实施例提供的DNS域名异常访问监控方法的流程图,如图4所示,本发明又一实施例提供的DNS域名异常访问监控方法包括:
步骤401、统计DNS查询报文中的DNS域名,得到多个第二域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第二域名集为一个统计周期内访问次数降序排名在前的多个域名的集合。
步骤402、根据多个第二域名集中所包含域名的访问次数和访问次数降序排名,计算每个第二域名集的幂律指数;根据每个第二域名集的幂律指数,计算多个第二域名集的幂律指数均值,将幂律指数均值作为标准幂律分布的幂律指数,从而得到标准幂律分布。
步骤403、对所述多个第二域名集中所包含域名,为该域名的访问次数与该域名根据所述标准幂律分布得到的访问次数求差,得到多个差值,计算所述多个差值的均值与标准差,根据所述多个差值的均值与标准差确定阈值。
在发明实施例中,对所述多个第二域名集中所包含域名,为该域名的访问次数与该域名根据所述标准幂律分布得到的访问次数求差,得到多个差值包括:
对多个第二域名集的任意一个域名,为该域名统计得到的访问次数求对数;
为域名统计得到的访问次数的对数与该域名在标准幂律分布下的访问次数的对数求差值;其中,该域名在标准幂律分布下的访问次数的对数由访问次数降序排名、标准幂律分布表达式计算得到;
对多个第二域名集的所有域名均做上述操作,可得到多个差值。
在计算所述多个差值的均值μ与标准差σ后,根据均值μ与标准差σ确定阈值。在本发明实施例中,阈值的大小为μ+3σ。阈值的大小可根据实际需要进行调整,如可通过调节阈值的大小来调整对域名访问异常的监控力度。
步骤404、统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合。
步骤405、对所述第一域名集中所包含的域名,将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常。
本发明实施例提供的DNS域名异常访问监控方法可根据历史统计数据自动生成阈值,且该值能够随着流量的变化自动调整,使得对DNS攻击的检测更为及时、有效。
基于上述任一实施例,图5为本发明实施例提供的DNS域名异常访问监控装置的结构图,如图5所示,本发明实施例提供的DNS域名异常访问监控装置包括:
第一统计模块501,用于统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;
异常认定模块502,用于对所述第一域名集中所包含的域名,将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常。
本发明实施例提供的DNS域名异常访问监控装置通过将域名统计得到的访问次数与标准幂律分布下的访问次数的比较,能及时发现DNS攻击行为,从而为网络安全防护争取时间、减少网络攻击造成的损失。
基于上述任一实施例,图6为本发明另一实施例提供的DNS域名异常访问监控装置的结构图,如图6所示,本发明另一实施例提供的DNS域名异常访问监控装置包括:
第二统计模块601,用于统计DNS查询报文中的DNS域名,得到多个第二域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第二域名集为一个统计周期内访问次数降序排名在前的多个域名的集合;
标准幂律分布生成模块602,用于根据所述多个第二域名集中所包含域名的访问次数和访问次数降序排名,计算每个第二域名集的幂律指数;根据每个第二域名集的幂律指数,计算所述多个第二域名集的幂律指数均值,将所述幂律指数均值作为标准幂律分布的幂律指数,从而得到标准幂律分布。
第一统计模块603,用于统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;
异常认定模块604,用于对所述第一域名集中所包含的域名,将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常。
本发明实施例提供的DNS域名异常访问监控装置根据对已有多个统计周期数据的统计结果计算出标准幂律分布,通过将域名的统计访问次数与该域名在标准幂律分布下的访问次数的比较,能及时发现DNS攻击行为,从而为网络安全防护争取时间、减少网络攻击造成的损失。
基于上述任一实施例,图7为本发明又一实施例提供的DNS域名异常访问监控装置的结构图,如图7所示,本发明又一实施例提供的DNS域名异常访问监控装置包括:
第二统计模块701,用于统计DNS查询报文中的DNS域名,得到多个第二域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第二域名集为一个统计周期内访问次数降序排名在前的多个域名的集合;
标准幂律分布生成模块702,用于根据所述多个第二域名集中所包含域名的访问次数和访问次数降序排名,计算每个第二域名集的幂律指数;根据每个第二域名集的幂律指数,计算所述多个第二域名集的幂律指数均值,将所述幂律指数均值作为标准幂律分布的幂律指数,从而得到标准幂律分布。
阈值设置模块703,用于对所述多个第二域名集中所包含域名,为该域名的访问次数与该域名根据所述标准幂律分布得到的访问次数求差,得到多个差值,计算所述多个差值的均值与标准差,根据所述多个差值的均值与标准差确定阈值。
第一统计模块704,用于统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合。
异常认定模块705,用于对所述第一域名集中所包含的域名,将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常。
本发明实施例提供的DNS域名异常访问监控装置可根据历史统计数据自动生成阈值,且该值能够随着流量的变化自动调整,使得对DNS攻击的检测更为及时、有效。
为了便于理解,下面再结合一个具体的实例,对本发明实施例提供的DNS域名异常访问监控方法做进一步说明。
已知幂律分布公式为:y=cx-r.幂律分布对数变换后形式为:lny=lnc–rlnx。设a=lnc,b=-r,设2019-03-12 14:40:00为当前统计周期。
步骤1、通过线上DNS流量域名统计得到域名TopN统计结果(统计周期为一分钟),取域名访问次数大于等于600的域名TopN统计结果。域名统计数据如下:
2019-03-12 14:40:00,5659
2019-03-12 14:40:00,2593
2019-03-12 14:40:00,2588
2019-03-12 14:40:00,1966
2019-03-12 14:40:00,1893
2019-03-12 14:40:00,1886
2019-03-12 14:40:00,1718
2019-03-12 14:40:00,1581
2019-03-12 14:40:00,1044
2019-03-12 14:40:00,1026
2019-03-12 14:40:00,952
2019-03-12 14:40:00,951
2019-03-12 14:40:00,943
2019-03-12 14:40:00,842
…….
2019-03-12 00:00:00,860
2019-03-12 00:00:00,854
2019-03-12 00:00:00,832
2019-03-12 00:00:00,821
2019-03-12 00:00:00,694
2019-03-12 00:00:00,687
2019-03-12 00:00:00,657
2019-03-12 00:00:00,653
2019-03-12 00:00:00,635
步骤2、通过线性回归计算各个统计周期的幂律分布系数a、b。
b:
[-0.6166052553182706,-0.3706341436255711,-0.38328688807318334,……,-0.42732040907181407,-0.40769759051921434,-0.4728166946656427]
a:
[8.489648210558718,7.741103923031169,7.704924251547571,……,7.7875112056741855,7.793384084050852,7.874142377942714]
步骤3、计算标准幂律指数
Figure BDA0002284947310000131
Figure BDA0002284947310000132
Figure BDA0002284947310000133
步骤4、计算标准幂律分布下的lny
x为域名访问次数在该统计周期内由多到少的排名:1,2,3,4….。
带入公式lny=a+blnx得(计算了50个点的值,排名50以后的域名不再监测异常):
[7.652262578405563,7.381345912755994,7.222869822530585,7.110429247106425,7.023213561060623,6.951953156881016,6.891703343626811,6.839512581456856,6.793477066655607,6.752296895411054,6.715044899241655,6.681036491231447,6.649751788529548,6.620786677977242,6.593820805185644,6.568595915807287,6.544900774487507,6.522560401006038,6.501428220542362,6.481380229761485,6.462310587751833,6.444128233592086,6.426754256411355,6.410119825581878,6.394164543715683,6.378835122879979,6.364084310780629,6.349870012327673,6.336154565416626,6.322904139536075,6.310088233022154,6.297679250157718,6.285652143366677,6.273984108837938,6.262654326281871,6.251643735356469,6.240934842732443,6.230511554892793,6.220359032654569,6.210463564111916,6.2008124532702675,6.1913939221022645,6.182197024129895,6.173211567942517,6.164428049310667,6.155837590761786,6.14743188765479,6.139203159932309,6.13114410884806,6.123247878066114]
步骤5、计算历史M个统计周期(包含当期周期)的域名访问次数对数变换后与标准幂律分布下的lny值之差,并对所有差值的集合求均值和标准差。
计算得到均值为μ=0.052459767236506354,标准差为σ=0.19098633370780035。
步骤6、对当前统计周期2019-03-12 14:40:00的域名TopN访问次数做对数变换,并计算与标准幂律分布lny值的差:
域名TopN访问次数做对数变换后的值:
[8.641002477142523,7.860570785538664,7.858640655620791,7.583756300707112,7.545918151209323,7.542213463193403,7.4489161025442,7.365812837209472,6.950814768442584,6.933423025730715,6.858565034791365,6.85751406254539,6.849066282633458,6.7357800142423265,6.726233402358747,6.725033642166843,6.703188113240863,6.70196036600254,6.70073110954781,6.692083742506628,6.679599185844383,6.674561391814426,6.659293919683638,6.570882962339584,6.54534966033442,6.493753839851686,6.45833828334479,6.455198563340122,6.444131256700441]。
与标准幂律分布lny的差为:
[0.9887398987369602,0.47922487278267045,0.6357708330902057,0.47332705360068683,0.5227045901486997,0.5902603063123868,0.5572127589173892,0.5263002557526164,0.15733770178697704,0.18112613031966074,0.14352013554970977,0.17647757131394304,0.19931449410391,0.11499333626508434,0.1324125971731025,0.156437726359556,0.15828733875335566,0.17939996499650235,0.19930288900544824,0.21070351274514287,0.21728859809254963,0.23043315822233978,0.23253966327228248,0.16076313675770582,0.1511851166187368,0.11491871697170719,0.0942539725641609,0.10532855101244909,0.10797669128381493]。
步骤7、发现异常域名。
在上述域名中,第一个域名和第三个域名访问次数做对数变换后与标准幂律分布lny的差值大于第5步计算得到的阈值(μ+3*σ)。判定域名TopN中排名第一和第三的域名访问异常。发送异常告警。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行如下方法:统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;对所述第一域名集中所包含的域名,将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;对所述第一域名集中所包含的域名,将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种DNS域名异常访问监控方法,其特征在于,包括:
统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;
对所述第一域名集中所包含的域名,将对应域名的访问次数与该域名根据标准幂律分布计算得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常;其中,
所述标准幂律分布描述了基于历史统计数据所得到的域名的访问次数与该域名的访问次数降序排名之间的关系。
2.根据权利要求1所述的DNS域名异常访问监控方法,其特征在于,所述标准幂律分布的表达式为:
Figure FDA0002284947300000011
其中,x表示访问次数降序排名,y表示访问次数,
Figure FDA0002284947300000012
均为标准幂律分布的幂律指数;该方法还包括:
统计DNS查询报文中的DNS域名,得到多个第二域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第二域名集为一个统计周期内访问次数降序排名在前的多个域名的集合;
根据所述多个第二域名集中所包含域名的访问次数和访问次数降序排名,计算每个第二域名集的幂律指数;根据每个第二域名集的幂律指数,计算所述多个第二域名集的幂律指数均值,将所述幂律指数均值作为标准幂律分布的幂律指数,从而得到标准幂律分布。
3.根据权利要求2所述的DNS域名异常访问监控方法,其特征在于,还包括:
对所述多个第二域名集中所包含域名,为对应域名的访问次数与该域名根据所述标准幂律分布计算得到的访问次数求差,得到多个差值,计算所述多个差值的均值与标准差,根据所述多个差值的均值与标准差确定所述阈值。
4.根据权利要求3所述的DNS域名异常访问监控方法,其特征在于,所述阈值为μ+3σ,其中,μ为所述多个差值的均值、σ为所述多个差值的标准差。
5.一种DNS域名异常访问监控装置,其特征在于,包括:
第一统计模块,用于统计DNS查询报文中的DNS域名,得到第一域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合;
异常认定模块,用于对所述第一域名集中所包含的域名,将对应域名的访问次数与该域名根据标准幂律分布计算得到的访问次数进行比较,确定比较结果大于阈值的域名,将在当前统计周期内对所确定域名的访问认定为异常;其中,
所述标准幂律分布描述了基于历史统计数据所得到的域名的访问次数与该域名的访问次数降序排名之间的关系。
6.根据权利要求5所述的DNS域名异常访问监控装置,其特征在于,所述标准幂律分布的表达式为:
Figure FDA0002284947300000021
其中,x表示访问次数降序排名,y表示访问次数,
Figure FDA0002284947300000022
均为标准幂律分布的幂律指数;该装置还包括:
第二统计模块,用于统计DNS查询报文中的DNS域名,得到多个第二域名集中所包含域名的访问次数和访问次数降序排名;其中,所述第二域名集为一个统计周期内访问次数降序排名在前的多个域名的集合;
标准幂律分布生成模块,用于根据所述多个第二域名集中所包含域名的访问次数和访问次数降序排名,计算每个第二域名集的幂律指数;根据每个第二域名集的幂律指数,计算所述多个第二域名集的幂律指数均值,将所述幂律指数均值作为标准幂律分布的幂律指数,从而得到标准幂律分布。
7.根据权利要求6所述的DNS域名异常访问监控装置,其特征在于,还包括:
阈值设置模块,用于对所述多个第二域名集中所包含域名,为对应域名的访问次数与该域名根据所述标准幂律分布计算得到的访问次数求差,得到多个差值,计算所述多个差值的均值与标准差,根据所述多个差值的均值与标准差确定阈值。
8.根据权利要求7所述的DNS域名异常访问监控装置,其特征在于,所述阈值为μ+3σ,其中,μ为所述多个差值的均值、σ为所述多个差值的标准差。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述DNS域名异常访问监控方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述DNS域名异常访问监控方法的步骤。
CN201911156502.2A 2019-11-22 2019-11-22 Dns域名异常访问监控方法及装置 Active CN112839005B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911156502.2A CN112839005B (zh) 2019-11-22 2019-11-22 Dns域名异常访问监控方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911156502.2A CN112839005B (zh) 2019-11-22 2019-11-22 Dns域名异常访问监控方法及装置

Publications (2)

Publication Number Publication Date
CN112839005A true CN112839005A (zh) 2021-05-25
CN112839005B CN112839005B (zh) 2022-11-04

Family

ID=75922097

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911156502.2A Active CN112839005B (zh) 2019-11-22 2019-11-22 Dns域名异常访问监控方法及装置

Country Status (1)

Country Link
CN (1) CN112839005B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363062A (zh) * 2021-12-31 2022-04-15 深信服科技股份有限公司 一种域名检测方法、系统、设备及计算机可读存储介质
CN114397875A (zh) * 2022-01-12 2022-04-26 浙江大学 基于随机控制的自动化生产线欺骗攻击检测方法及系统
CN114363062B (zh) * 2021-12-31 2024-07-09 深信服科技股份有限公司 一种域名检测方法、系统、设备及计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101729288A (zh) * 2008-10-31 2010-06-09 中国科学院计算机网络信息中心 一种统计互联网用户网络访问行为的方法和装置
CN101902505A (zh) * 2009-05-31 2010-12-01 中国科学院计算机网络信息中心 一种分布式dns查询日志的实时统计装置及方法
CN104967629A (zh) * 2015-07-16 2015-10-07 网宿科技股份有限公司 网络攻击检测方法及装置
US20160315789A1 (en) * 2014-01-06 2016-10-27 Fujitsu Limited Communication management system, communication management method, and management apparatus
CN108270778A (zh) * 2017-12-29 2018-07-10 中国互联网络信息中心 一种dns域名异常访问检测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101729288A (zh) * 2008-10-31 2010-06-09 中国科学院计算机网络信息中心 一种统计互联网用户网络访问行为的方法和装置
CN101902505A (zh) * 2009-05-31 2010-12-01 中国科学院计算机网络信息中心 一种分布式dns查询日志的实时统计装置及方法
US20160315789A1 (en) * 2014-01-06 2016-10-27 Fujitsu Limited Communication management system, communication management method, and management apparatus
CN104967629A (zh) * 2015-07-16 2015-10-07 网宿科技股份有限公司 网络攻击检测方法及装置
CN108270778A (zh) * 2017-12-29 2018-07-10 中国互联网络信息中心 一种dns域名异常访问检测方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363062A (zh) * 2021-12-31 2022-04-15 深信服科技股份有限公司 一种域名检测方法、系统、设备及计算机可读存储介质
CN114363062B (zh) * 2021-12-31 2024-07-09 深信服科技股份有限公司 一种域名检测方法、系统、设备及计算机可读存储介质
CN114397875A (zh) * 2022-01-12 2022-04-26 浙江大学 基于随机控制的自动化生产线欺骗攻击检测方法及系统
CN114397875B (zh) * 2022-01-12 2022-08-05 浙江大学 基于随机控制的自动化生产线欺骗攻击检测方法及系统

Also Published As

Publication number Publication date
CN112839005B (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
CN108270778B (zh) 一种dns域名异常访问检测方法及装置
US11797671B2 (en) Cyberanalysis workflow acceleration
US10356106B2 (en) Detecting anomaly action within a computer network
WO2018176874A1 (zh) 一种dns的评价方法和装置
CN109474575B (zh) 一种dns隧道的检测方法及装置
CN110071941B (zh) 一种网络攻击检测方法、设备、存储介质及计算机设备
EP3223495B1 (en) Detecting an anomalous activity within a computer network
TW201824047A (zh) 攻擊請求的確定方法、裝置及伺服器
US9300684B2 (en) Methods and systems for statistical aberrant behavior detection of time-series data
CN103152357A (zh) 一种针对dns服务的防御方法、装置和系统
CN105827599A (zh) 一种基于dns报文深度解析的缓存中毒检测方法及装置
CN114640504B (zh) Cc攻击防护方法、装置、设备和存储介质
CN112839005B (zh) Dns域名异常访问监控方法及装置
CN117375978A (zh) 域名系统缓存攻击的检测方法、系统和域名系统服务器
CN106888192A (zh) 一种抵抗dns攻击的方法及装置
CN104184585B (zh) 一种防范dns洪水攻击的装置和方法
CN114172707B (zh) Fast-Flux僵尸网络检测方法、装置、设备及存储介质
CN113726775B (zh) 一种攻击检测方法、装置、设备及存储介质
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN112165466B (zh) 一种误报识别的方法、装置、电子装置和存储介质
CN112261004B (zh) 一种Domain Flux数据流的检测方法及装置
CN109889619B (zh) 基于区块链的异常域名监测方法及装置
CN115102727A (zh) 基于动态ip黑名单的网络入侵主动防御系统及方法
US10462180B1 (en) System and method for mitigating phishing attacks against a secured computing device
US9077639B2 (en) Managing data traffic on a cellular network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant