CN114866342A - 流量特征识别方法、装置、计算机设备及存储介质 - Google Patents
流量特征识别方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114866342A CN114866342A CN202210754618.1A CN202210754618A CN114866342A CN 114866342 A CN114866342 A CN 114866342A CN 202210754618 A CN202210754618 A CN 202210754618A CN 114866342 A CN114866342 A CN 114866342A
- Authority
- CN
- China
- Prior art keywords
- dns
- domain name
- score
- flow
- modeling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请属于DNS泛洪攻击领域,涉及一种流量特征识别方法、装置、计算机设备及存储介质,所述方法包括在出口镜像分析流入流出的流量,建模DNS数据库;根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数;根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过。本申请通过根据域名的合法性梳理处理的特征形成规范,记录数据库,让流量异常清洗设备调用,大大阻止了DNS UDP泛洪攻击的发生。
Description
技术领域
本申请涉及DNS泛洪攻击技术领域,尤其涉及流量特征识别方法、装置、计算机设备及存储介质。
背景技术
域名系统 ( DNS ) 服务器是 Internet 的“电话簿”;它们是 Internet 设备能够查找特定 Web 服务器以访问 Internet 内容的路径。DNS 泛洪是一种分布式拒绝服务攻击 (DDoS),攻击者可以泛洪特定域的 DNS 服务器,试图破坏该域的DNS 解析。如果用户无法找到电话簿,则无法通过查找地址来调用特定资源。通过中断 DNS 解析,DNS 洪水攻击将危及网站、API 或 Web 应用程序对合法流量的响应能力。DNS 洪水攻击可能难以与正常的大量流量区分开来,因为大量流量通常来自多个独特的位置,查询域上的真实记录,模仿合法流量。互联网发展,IDC机房出口通常会部署异常流量清洗设备,以保证机房出口整体稳定性,但是近年来的UDP flood或者UDP反射攻击是一种高效的攻击手段。流量大,攻击构造快,所以很多人都会使用UDP攻击。DNS是以UDP协议为主,所以很多人利用DNS的设计漏洞进行攻击,故导致正常的DNS服务,经常会被清洗掉,最终导致正常的服务丢失,最终影响正常的业务服务。
发明内容
本申请实施例的目的在于提出一种流量特征识别方法、装置、计算机设备及存储介质,以解决现有技术中很多人利用DNS的设计漏洞进行攻击,故导致正常的DNS服务,经常会被清洗掉,最终导致正常的服务丢失,最终影响正常的业务服务的问题。
为了解决上述技术问题,本申请提供一种流量特征识别方法,采用了如下所述的技术方案,包括下述步骤:
在出口镜像分析流入流出的流量,建模DNS数据库;
根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数;
根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过。
进一步的,所述在出口镜像分析流入流出的流量,建模数据库的步骤具体包括:
对出口流量进行镜像;
抓取DNS的数据包,根据DNS的数据包获取域名内容;
判断目标IP地址是否处于公认的DNS列表之中,如果是,生成DNS列表可信模型;
根据域名内容分析域名可信度,向管局平台接口查询域名是否完成ICP备案,如果是,生成域名可信的建模。
进一步的,在所述在出口镜像分析流入流出的流量,建模数据库步骤之前,还包括:
在防护出口部署抓包分析器,由抓包分析器抓取数据包;
获取数据包中的DNS请求包和数据包。
进一步的,所述根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数的步骤具体包括:
根据建模DNS数据库自定义 DNS列表;
获取对外DNS请求后,对外部DNS进行分析,分析DNS服务器返回解析后,根据DNS解析的规则进行计分。
进一步的,所述判断目标IP地址是否处于公认的DNS列表之中,如果是,生成DNS列表可信模型的步骤具体包括:
建立公立的DNS列表;
获取目标IP地址,在公立的DNS列表中以目标IP地址作为关键字进行查询;
获取查询结果,如果目标IP地址处于公立的DNS列表中,则生成DNS列表可信模型。
进一步的,所述根据域名内容分析域名可信度,向管局平台接口查询域名是否完成ICP备案,如果是,生成域名可信建模的步骤具体包括:
捉包获取到域名记录后,调用管局API接口进行查询域名备案情况;
获取管局API调用查询返回的结果,如果结果有备案号,则判断域名为可信域名,如果结果没有备案号,则判断域名为不可信域名;
分别给可信域名和不可信域名计分。
进一步的,所述根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过的步骤具体包括:
将域名通过管局的备案且IP地址处于公认的DNS列表中的流量,计为第一分值,将域名通过管局的备案且IP地址未处于公认的DNS列表中的流量,计为第二分值,将域名未通过管局的备案且IP地址未处于公认的DNS列表中的流量,计为第三分值;
让流量为第一分值的数据通过,禁止流量为第三分值的通行,限制流量为第二分值的秒数量数据通行。
为了解决上述技术问题,本申请还提供一种流量特征识别装置,采用了如下所述的技术方案,包括:
建模模块,用于在出口镜像分析流入流出的流量,建模数据库;
等级模块,用于根据对外部DNS进行分析的结果,计算等级分数;
控制模块,用于根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过。
为了解决上述技术问题,本申请还提供一种计算机设备,采用了如下所述的技术方案,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现上述的流量特征识别方法的步骤
为了解决上述技术问题,本申请还提供一种计算机可读存储介质,采用了如下所述的技术方案,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现上述的流量特征识别方法的步骤。
与现有技术相比,本申请主要有以下有益效果:本申请通过在出口镜像分析流入流出的流量,建模DNS数据库;根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数;根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过,根据域名的合法性梳理处理的特征形成规范,记录数据库,让流量异常清洗设备调用,大大阻止了DNS UDP泛洪攻击的发生。
附图说明
为了更清楚地说明本申请中的方案,下面将对本申请实施例描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请可以应用于其中的示例性系统架构图;
图2是本申请的流量特征识别方法的一个实施例的流程图;
图3是本申请的流量特征识别装置的一个实施例的结构示意图;
图4是本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本申请方案,下面将结合附图,对本申请实施例中的技术方案进行清楚、完整地描述。
如图1所示,系统架构100可以包括第一终端设备101、第二终端设备102、第三终端设备103,网络104和服务器105。网络104用以在第一终端设备101、第二终端设备102、第三终端设备103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用第一终端设备101、第二终端设备102、第三终端设备103通过网络104与服务器105交互,以接收或发送消息等。第一终端设备101、第二终端设备102、第三终端设备103上可以安装有各种通讯客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
第一终端设备101、第二终端设备102、第三终端设备103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4( Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对第一终端设备101、第二终端设备102、第三终端设备103上显示的页面提供支持的后台服务器。
需要说明的是,本申请实施例所提供的流量特征识别方法一般由服务器/终端设备执行,相应地,流量特征识别装置一般设置于服务器/终端设备中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
实施例一
继续参考图2,示出了本申请的流量特征识别方法的一个实施例的流程图。所述的流量特征识别方法,包括以下步骤:
步骤S201,在出口镜像分析流入流出的流量,建模数据库。
镜像(Mirroring)是一种文件存储形式,是冗余的一种类型,一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像。可以把许多文件做成一个镜像文件,与GHOST等程序放在一个盘里用GHOST等软件打开后,又恢复成许多文件,RAID 1和RAID 10使用的就是镜像。常见的镜像文件格式有ISO、BIN、IMG、TAO、DAO、CIF、FCD。本实施例中,进行出口镜像的目的是为了获取数据包。
分析本机房对外DNS请求的解析,目的是为了形成特征库。
DNS流量特征包括:源目标IP地址、目标端口UDP 53、数据包内容等。DNS数据包内容包括DNS记录类型和请求内容,如A记录,type A 域名为www.eflycloud.com。
具体实施时,步骤S201还可以包括:
对出口流量进行镜像;
抓取DNS的数据包,根据DNS的数据包获取域名内容;
判断目标IP地址是否处于公认的DNS列表之中,如果是,生成DNS列表可信模型;
根据域名内容分析域名可信度,向管局平台接口查询域名是否完成ICP备案,如果是,生成域名可信的建模。
例如可以通过Tcpdump 提取数据包 A记录类型,这样可以根据DNS的数据包获取域名内容。 DNS列表为:8.8.8.8;223.5.5.5 ISP供应商提供DNS解析的公开服务器地址。用户可以通过人工收集定义DNS列表,也可以通过电子设备收集DNS列表。ICP是管局号,管局反馈该域名有号,就说明域名可信。
判断目标IP地址是否处于公认的DNS列表之中,如果是,生成DNS列表可信模型的步骤具体还可以包括:建立公立的DNS列表;获取目标IP地址,在公立的DNS列表中以目标IP地址作为关键字进行查询;获取查询结果,如果目标IP地址处于公立的DNS列表中,则生成DNS列表可信模型。
根据域名内容分析域名可信度,向管局平台接口查询域名是否完成ICP备案,如果是,生成域名可信建模的步骤具体包括:捉包获取到域名记录后,调用管局API接口进行查询域名备案情况;获取管局API调用查询返回的结果,如果结果有备案号,则判断域名为可信域名,如果结果没有备案号,则判断域名为不可信域名;分别给可信域名和不可信域名计分。
在步骤S201之前,还可以在防护出口部署抓包分析器,由抓包分析器抓取数据包;获取数据包中的DNS请求包和数据包。防护出口指的是IDC(互联网数据中心,InternetData Center)机房出口,IDC机房为服务器上联口。可以采用Tcpdump,wireshark等作为抓包分析器。目标端口是udp port 53的数据包为请求包。
在本实施例中,流量特征识别方法运行于其上的电子设备(例如图1所示的服务器/终端设备)可以通过有线连接方式或者无线连接方式接收流量特征识别请求。需要指出的是,上述无线连接方式可以包括但不限于3G/4G/5G连接、WiFi连接、蓝牙连接、WiMAXX连接、Zigbee连接、UWB( ultra wideband )连接、以及其他现在已知或将来开发的无线连接方式。
步骤S202,根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数。
具体实施时,步骤S202还可以包括步骤:
根据建模DNS数据库自定义 DNS列表;
获取对外DNS请求后,对外部DNS进行分析,分析DNS服务器返回解析后,根据DNS解析的规则进行计分。
可以根据机房设备,对外部DNS进行分析,判断记录到数据。
是否DNS公开的列表,‘在’标记可信等级1;‘不在’记可信等级2;
分析对外请求的记录类型,内容,获取到域名名称。DNS记录类型通常包括 A记录,PTR,MX记录类型等。
获取域名名称后,流入 eflycloud.com 确认是否有ICP号或归属者(合规经营号):“有”可信等级1,“没有”标记可行等级2。对外请求指的是数据包目标端口为UDP PORT53的域名请求数据包。请求内容就是询问域名(如:www.eflycloud.com)对应IP地址是多少。
步骤S203,根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过。
在本实施例中,步骤S203具体还可以包括步骤:
将域名通过管局的备案且IP地址处于公认的DNS列表中的流量,计为第一分值,将域名通过管局的备案且IP地址未处于公认的DNS列表中的流量,计为第二分值,将域名未通过管局的备案且IP地址未处于公认的DNS列表中的流量,计为第三分值;
让流量为第一分值的数据通过,禁止流量为第三分值的数据通行,限制流量为第二分值的秒数量数据通行。
可以设置第一分值为1分,第二分值为2分,第三分值为3分,根据:2,3,4等级分数,分数为2的数据不限制,分数为3的数据限制每秒多少次请求;分数为4的数据禁止请求。
分析外部设备,对机房DNS服务请求。机房内主动对外请求域名解析,机房对外请求域名资源解析。这里指的是反方向的请求,即互联网外部的用户,对机房内部的IP地址和域名资源进行访问。机房中的设备可以对外用域名访问其他资源;也有可能外部的设备对机房内服务器资源通过域名进行访问,这两种情况下放行的流量 DNS请求。
把域名主体,对接管局备案查询内容,对应IP地址备案,域名备案一致性,记录到数据库。
本申请通过在出口镜像分析流入流出的流量,建模DNS数据库;根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数;根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过,根据域名的合法性梳理处理的特征形成规范,记录数据库,让流量异常清洗设备调用,大大阻止了DNS UDP泛洪攻击的发生。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机可读指令来指令相关的硬件来完成,该计算机可读指令可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
实施例二
进一步参考图3,作为对上述图2所示方法的实现,本申请提供了一种流量特征识别装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图3所示,本实施例所述的流量特征识别装置400包括:建模模块401、等级模块402以及控制模块403。其中:
建模模块401,用于在出口镜像分析流入流出的流量,建模数据库;
等级模块402,用于根据对外部DNS进行分析的结果,计算等级分数;
控制模块403,用于根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过。
本申请通过在出口镜像分析流入流出的流量,建模DNS数据库;根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数;根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过,根据域名的合法性梳理处理的特征形成规范,记录数据库,让流量异常清洗设备调用,大大阻止了DNS UDP泛洪攻击的发生。
实施例三
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
所述计算机设备6包括通过系统总线相互通信连接存储器61、处理器62、网络接口63。需要指出的是,图中仅示出了具有组件存储器61、处理器62和网络接口63的计算机设备6,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器 (Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器61至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器61可以是所述计算机设备6的内部存储单元,例如该计算机设备6的硬盘或内存。在另一些实施例中,所述存储器61也可以是所述计算机设备6的外部存储设备,例如该计算机设备6上配备的插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital, SD)卡,闪存卡(FlashCard)等。当然,所述存储器61还可以既包括所述计算机设备6的内部存储单元也包括其外部存储设备。本实施例中,所述存储器61通常用于存储安装于所述计算机设备6的操作系统和各类应用软件,例如流量特征识别方法的计算机可读指令等。此外,所述存储器61还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器62在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器62通常用于控制所述计算机设备6的总体操作。本实施例中,所述处理器62用于运行所述存储器61中存储的计算机可读指令或者处理数据,例如运行所述流量特征识别方法的计算机可读指令。
所述网络接口63可包括无线网络接口或有线网络接口,该网络接口63通常用于在所述计算机设备6与其他电子设备之间建立通信连接。
本申请通过在出口镜像分析流入流出的流量,建模DNS数据库;根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数;根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过,根据域名的合法性梳理处理的特征形成规范,记录数据库,让流量异常清洗设备调用,大大阻止了DNS UDP泛洪攻击的发生。
实施例四
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,所述计算机可读指令可被至少一个处理器执行,以使所述至少一个处理器执行如上述的流量特征识别方法的步骤。
本申请通过在出口镜像分析流入流出的流量,建模DNS数据库;根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数;根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过,根据域名的合法性梳理处理的特征形成规范,记录数据库,让流量异常清洗设备调用,大大阻止了DNS UDP泛洪攻击的发生。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。
Claims (10)
1.一种流量特征识别方法,用于优化DNS泛洪攻击,其特征在于,包括下述步骤:
在出口镜像分析流入流出的流量,建模DNS数据库;
根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数;
根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过。
2.根据权利要求1所述的流量特征识别方法,其特征在于,所述在出口镜像分析流入流出的流量,建模数据库的步骤具体包括:
对出口流量进行镜像;
抓取DNS的数据包,根据DNS的数据包获取域名内容;
判断目标IP地址是否处于公认的DNS列表之中,如果是,生成DNS列表可信模型;
根据域名内容分析域名可信度,向管局平台接口查询域名是否完成ICP备案,如果是,生成域名可信的建模。
3.根据权利要求1所述的流量特征识别方法,其特征在于,在所述在出口镜像分析流入流出的流量,建模数据库步骤之前,还包括:
在防护出口部署抓包分析器,由抓包分析器抓取数据包;
获取数据包中的DNS请求包和数据包。
4.根据权利要求1所述的流量特征识别方法,其特征在于,所述根据建模DNS数据库,对外部DNS进行分析,根据DNS分析结果,计算等级分数的步骤具体包括:
根据建模DNS数据库自定义 DNS列表;
获取对外DNS请求后,对外部DNS进行分析,分析DNS服务器返回解析后,根据DNS解析的规则进行计分。
5.根据权利要求2所述的流量特征识别方法,其特征在于,所述判断目标IP地址是否处于公认的DNS列表之中,如果是,生成DNS列表可信模型的步骤具体包括:
建立公立的DNS列表;
获取目标IP地址,在公立的DNS列表中以目标IP地址作为关键字进行查询;
获取查询结果,如果目标IP地址处于公立的DNS列表中,则生成DNS列表可信模型。
6.根据权利要求2所述的流量特征识别方法,其特征在于,所述根据域名内容分析域名可信度,向管局平台接口查询域名是否完成ICP备案,如果是,生成域名可信建模的步骤具体包括:
捉包获取到域名记录后,调用管局API接口进行查询域名备案情况;
获取管局API调用查询返回的结果,如果结果有备案号,则判断域名为可信域名,如果结果没有备案号,则判断域名为不可信域名;
分别给可信域名和不可信域名计分。
7.根据权利要求1至6任意一项所述的流量特征识别方法,其特征在于,所述根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过的步骤具体包括:
将域名通过管局的备案且IP地址处于公认的DNS列表中的流量,计为第一分值,将域名通过管局的备案且IP地址未处于公认的DNS列表中的流量,计为第二分值,将域名未通过管局的备案且IP地址未处于公认的DNS列表中的流量,计为第三分值;
让流量为第一分值的数据通过,禁止流量为第三分值的数据通行,限制流量为第二分值的秒数量数据通行。
8.一种流量特征识别装置,其特征在于,包括:
建模模块,用于在出口镜像分析流入流出的流量,建模数据库;
等级模块,用于根据对外部DNS进行分析的结果,计算等级分数;
控制模块,用于根据等级分数,设定分值通过原则,让符合分值通过原则的流量通过。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现如权利要求1至7中任一项所述的流量特征识别方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如权利要求1至7中任一项所述的流量特征识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210754618.1A CN114866342B (zh) | 2022-06-30 | 2022-06-30 | 流量特征识别方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210754618.1A CN114866342B (zh) | 2022-06-30 | 2022-06-30 | 流量特征识别方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866342A true CN114866342A (zh) | 2022-08-05 |
| CN114866342B CN114866342B (zh) | 2023-01-17 |
Family
ID=82626286
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210754618.1A Active CN114866342B (zh) | 2022-06-30 | 2022-06-30 | 流量特征识别方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866342B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011076188A (ja) * | 2009-09-29 | 2011-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム |
| US20120159623A1 (en) * | 2010-12-17 | 2012-06-21 | Electronics And Telecommunications Research Institute | Method and apparatus for monitoring and processing dns query traffic |
| KR20130014226A (ko) * | 2011-07-29 | 2013-02-07 | 한국전자통신연구원 | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 |
| CN106911536A (zh) * | 2017-04-14 | 2017-06-30 | 四川大学 | 一种基于模糊综合评价模型的dns健康度评估方法 |
| CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
| CN108040053A (zh) * | 2017-12-13 | 2018-05-15 | 北京明朝万达科技股份有限公司 | 一种基于dns日志数据的网络安全威胁分析方法及系统 |
| US20200045070A1 (en) * | 2017-04-01 | 2020-02-06 | NSFOCUS Information Technology Co., Ltd. | Dns evaluation method and apparatus |
| CN111654487A (zh) * | 2020-05-26 | 2020-09-11 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量与行为特征dga域名识别方法 |
| CN112272175A (zh) * | 2020-10-22 | 2021-01-26 | 江苏今浪信息技术有限公司 | 一种基于dns的木马病毒检测方法 |
| CN112866023A (zh) * | 2021-01-13 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 网络检测、模型训练方法、装置、设备及存储介质 |
-
2022
- 2022-06-30 CN CN202210754618.1A patent/CN114866342B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011076188A (ja) * | 2009-09-29 | 2011-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム |
| US20120159623A1 (en) * | 2010-12-17 | 2012-06-21 | Electronics And Telecommunications Research Institute | Method and apparatus for monitoring and processing dns query traffic |
| KR20130014226A (ko) * | 2011-07-29 | 2013-02-07 | 한국전자통신연구원 | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 |
| US20200045070A1 (en) * | 2017-04-01 | 2020-02-06 | NSFOCUS Information Technology Co., Ltd. | Dns evaluation method and apparatus |
| CN106911536A (zh) * | 2017-04-14 | 2017-06-30 | 四川大学 | 一种基于模糊综合评价模型的dns健康度评估方法 |
| CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
| CN108040053A (zh) * | 2017-12-13 | 2018-05-15 | 北京明朝万达科技股份有限公司 | 一种基于dns日志数据的网络安全威胁分析方法及系统 |
| CN111654487A (zh) * | 2020-05-26 | 2020-09-11 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量与行为特征dga域名识别方法 |
| CN112272175A (zh) * | 2020-10-22 | 2021-01-26 | 江苏今浪信息技术有限公司 | 一种基于dns的木马病毒检测方法 |
| CN112866023A (zh) * | 2021-01-13 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 网络检测、模型训练方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866342B (zh) | 2023-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11005779B2 (en) | Method of and server for detecting associated web resources | |
| CN107888616B (zh) | 基于URI的分类模型的构建方法和Webshell攻击网站的检测方法 | |
| CN110213212B (zh) | 一种设备的分类方法和装置 | |
| US20180219907A1 (en) | Method and apparatus for detecting website security | |
| ES2866723T3 (es) | Métodos y sistemas de agregación de puntuaciones dinámicas de detección de fraude en línea | |
| WO2018120722A1 (zh) | 异步接口测试方法、终端、设备、系统及存储介质 | |
| US9485274B2 (en) | Traffic segmentation in prevention of DDOS attacks | |
| CN106992981B (zh) | 一种网站后门检测方法、装置和计算设备 | |
| WO2020228038A1 (zh) | 域名处理方法、装置、电子设备以及存储介质 | |
| WO2014154095A1 (zh) | 网站认证信息的显示方法及浏览器 | |
| CN112769775B (zh) | 一种威胁情报关联分析方法、系统、设备及计算机介质 | |
| KR20180074774A (ko) | 악의 웹 사이트 식별 방법, 장치 및 컴퓨터 기억매체 | |
| CN112468409A (zh) | 访问控制方法、装置、计算机设备及存储介质 | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| CN103412913A (zh) | 一种关联搜索方法和系统 | |
| US8364776B1 (en) | Method and system for employing user input for website classification | |
| CN110677506A (zh) | 网络访问方法、装置、计算机设备及存储介质 | |
| US11190589B1 (en) | System and method for efficient fingerprinting in cloud multitenant data loss prevention | |
| CN113746849A (zh) | 一种网络中的设备识别方法、装置、设备及存储介质 | |
| CN114866342B (zh) | 流量特征识别方法、装置、计算机设备及存储介质 | |
| CN112019377A (zh) | 网络用户角色识别的方法、系统、电子装置和存储介质 | |
| WO2023066258A1 (zh) | 隐私数据的数据处理方法、装置、计算机设备及介质 | |
| CN115203672A (zh) | 信息访问的管控方法、装置、计算机设备及介质 | |
| CN113283759A (zh) | 账户风险画像更新方法、装置、设备及存储介质 | |
| CN110557465A (zh) | 一种用户端ip地址的获取方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |