WO2021208570A1 - 一种基于dns缓存探测的物联网终端安全管控方法及装置 - Google Patents

Abstract

本发明公开了一种基于DNS缓存探测的物联网终端安全管控方法及装置，属于电网终端安全技术领域。本发明基于DNS缓存探测的物联网终端安全管控方法，能够对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；当前网络环境中不存在恶意域名解析请求，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。本发明成果凭借DNS缓存探测技术，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

Description

一种基于DNS缓存探测的物联网终端安全管控方法及装置 技术领域

本发明涉及一种基于DNS缓存探测的物联网终端安全管控方法及装置，属于电网终端安全技术领域。

背景技术

传统windows、Linux等系统可以通过安装杀毒软件实现终端管控，但泛在物联网设备种类不同、型号各异、嵌入式系统各异，导致传统的补丁升级、病毒防御、端点保护等技术无法发挥防御效果。

中国专利(专利号CN105681482A)公开了一种DNS缓存探测误差修正方法，在不需要获得服务器的日志或者监听真实网络流量的前提下，给出服务器上用户规模的较准确估计值。

但是上述方法只公开了如何对用户规模进行估计，没有公开如何对物联网的安全管理控制，即如何对电力物联网终端恶意程序通信请求进行监控，如何发现威胁域名相关方案没有被公开。

进一步，上述方法在探测服务器上进行的DNS缓存探测方法在实际应用中会出现运营商DNS缓存劫持，运营商为了节省宽带结算费用，会将探测服务器发送的DNS请求拦截转发到运营商自建的DNS服务器，而后运营商通过修改目标地址的方法将解析请求返回给探测服务器。运营商DNS缓存劫持过程导致无法将探测数据发送到被监控的DNS服务器上，导致缓存探测结果准确性大大降低，无法获取实际需探测DNS服务器上的缓存数据。

发明内容

针对现有技术的缺陷，本发明的目的在于提供一种通过采用不依赖流量分析的轻量级DNS缓存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的威胁域名发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜在网络威胁和隐秘通信的检测能力的基于DNS缓存探测的物联网终端安全管控方法及装置。

本发明的另一目的在于提供一种在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，若缓存检测服务器接收到由探测服务器发送的约定DNS请求数据，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；

若缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过 预设的无运营商DNS缓存劫持链路向被检测DNS服务器发送缓存探测请求的能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据的基于DNS缓存探测的物联网终端安全管控方法及装置。

为实现上述目的一和二，本发明的技术方案为：

一种基于DNS缓存探测的物联网终端安全管控方法，

主要包括以下步骤：

第一步，探测服务器向被检测DNS服务器发送缓存探测请求；

在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据；若缓存检测服务器接收到由探测服务器发送的约定DNS请求数据，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；

若缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS服务器发送缓存探测请求。

第二步，从可信威胁情报库获取待探测域名列表；

第三步，对被检测DNS服务器缓存进行探测，包括：

通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向被检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

如果探测结果为被检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；

否则进行第六步；

第四步，通过一系列缓存更新时间来计算出DNS查询的总发送速率；

通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率；

根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量；

第五步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序，便于客户及时确定影响范围，形成应急处理方案；

第六步，当前网络环境安全，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。

本发明凭借DNS缓存探测技术，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

具体来说：

1、解决泛在电力物联网痛点，弥补泛终端管控短板。

随着物联网终端设备的激增，大量物联网设备产生大量网络流量，而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的恶意程序威胁发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜在网络威胁和隐秘通信的检测能力。

2、支撑护网行动，实现全网安全事件态势感知。

能够加强国网公司所属设备与系统的安全事件分析与处置，协助国网公司开展护网行动、重大活动及会议的网络安全保障，提升网络安全队伍快速响应处置能力，提高安全事件的态势感知。

3、向国家监管机关输出安全预警能力，提升工作亮点。

由于本发明不需要监控流量和日志的特性，部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用，向国家监管机关输出安全预警能力，提升工作亮点。

进一步，深度推断恶意通信的意图及内容，能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类型，本发明适用范围广。

本发明加入检测运营商DNS缓存劫持功能，能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据，进而提高物联网终端的安全性。

作为优选技术措施：

所述第四步中，缓存的更新时间被记录在一个一维数组中，对于数组中所有元素，通过计算数组后一个元素和前一个元素之间的差，并对这些差值求和得到所述缓存更新时间。

作为优选技术措施：

为了测量域名的访问量，需要求出单个主机发送域名S的DNS查询速率；

这能够通过对DNS查询的到达间隔时间进行建模来得到；

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名S的DNS查询的间隔时间是独立同分布的随机变量；

在得到建模数据集之后，使用以下步骤来估测单个主机发送域名S的DNS查询的速率c：所述建模数据集包括各个主机发送域名S的DNS查询的到达间隔时间；

(1)根据建模数据集，计算出每个主机发送域名S的DNS查询间隔时间序列；

(2)绘制出DNS查询间隔时间序列的累积分布函数曲线；

(3)使用指数分布对画出的累积分布函数曲线进行拟合；

(4)曲线拟合完成后，指数分布函数的参数即为单个主机发送域名S的DNS查询的速率。

作为优选技术措施：

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名q的DNS查询的间隔时间是独立同分布的随机变量；单个主机发送域名S的DNS查询的间隔时间符合指数分布。

作为优选技术措施：

n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量；

所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n，λ)；

n表示访问域名的主机数量；因此伽马分布Gamma(n，λ)的总平均速率λ符合以下公式：

λ＝nλ _c

根据公式来估测访问域名的主机数量；通过DNS缓存探测估测出了DNS查询的总发送速率λ，对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λ _c；推导主机数量为：

作为优选技术措施：

每台主机发送域名S的DNS查询的间隔时间是独立同分布的指数随机变量；通过指数随机变量的这个性质，能够推出一个结论：如果X ₁+...+X _n是具有均值1/λ的独立同分布的指数随机变量，则X ₁+...+X _n是具有参数为n和λ的伽马分布；

所述伽马分布的计算公式如下：

伽马分布的随机变量X的概率密度函数为：

其中伽马函数定义为：

指数分布是a＝1的伽马分布，所以当n＝1时即具有密度为：

则由指数随机变量可以推导为：

一种基于DNS缓存探测的物联网终端安全管控装置，

应用上述的一种基于DNS缓存探测的物联网终端安全管控方法；

主要包括：主控模块、DNS劫持检测模块、域名信息获取模块、探测模块和计算总发送速率模块；

主控模块用于处理命令行参数、检测DNS服务器状态，协调其它模块，以及控制程序的并发；

DNS劫持检测模块用于在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，约定的数据为dnsjiance98123dnsjian.xyz。若缓存检测服务器接收到由探测服务器发送的约定DNS请求数据，则判断通信链路中不存在运营商DNS缓存劫持，探测服务器向被检测DNS服务器发送缓存探测请求；若缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式；

域名信息获取模块用于从可信威胁情报库获取待探测域名列表，并将其通过列队的方式加载到主控制模块中；

探测模块用于对被检测DNS服务器的缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

计算总发送速率模块根据探测结果计算域名的DNS查询总发送速率；该模块利用探测模块得到的一系列缓存更新时间来计算出DNS查询的总发送速率。

作为优选技术措施：缓存的更新时间被记录在一个一维数组中；整个物联网终端安全管控装置的工作流程是对数组中所有元素，计算数组后一个元素和前一个元素之间的差，并对 这些差值求和得到所述缓存更新时间。

与现有技术相比，本发明具有以下有益效果：

本发明成果凭借DNS缓存探测技术，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

具体来说：

1、解决泛在电力物联网痛点，弥补泛终端管控短板。

随着物联网终端设备的激增，大量物联网设备产生大量网络流量，而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的恶意程序威胁发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜在网络威胁和隐秘通信的检测能力。

2、支撑护网行动，实现全网安全事件态势感知。

能够加强国网公司所属设备与系统的安全事件分析与处置，协助国网公司开展护网行动、重大活动及会议的网络安全保障，提升网络安全队伍快速响应处置能力，提高安全事件的态势感知。

3、向国家监管机关输出安全预警能力，提升工作亮点。

由于本发明不需要监控流量和日志的特性，部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用，向国家监管机关输出安全预警能力，提升工作亮点。

本发明加入检测运营商DNS缓存劫持功能，能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据，进而提高物联网终端的安全性。

附图说明

图1为本发明工作流程图；

图2为应用本发明的管控示图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

相反，本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步，为了使公众对本发明有更好的了解，在下文对本发明的细节描述 中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。

如图1-2所示，一种基于DNS缓存探测的物联网终端安全管控方法，

主要包括以下步骤：

第一步，探测服务器向被检测DNS服务器发送缓存探测请求；

第二步，从可信威胁情报库获取待探测域名列表；

第三步，对被检测DNS服务器的缓存进行探测，包括：

通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向被检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

如果探测结果为被检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；

否则进行第六步；

第四步，通过一系列缓存更新时间来计算出DNS查询的总发送速率；

通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率；

根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量；

第五步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序，便于客户及时确定影响范围，形成应急处理方案；

第六步，当前网络环境中不存在恶意域名解析请求，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。

本发明成果凭借DNS缓存探测技术，对网络面临的安全威胁和风险进行识别感知，实现无流量镜像条件下泛在终端威胁在线检测，满足泛在电力物联网环境下对跨平台、跨装备的终端威胁检测的需求，提升公司内部网络安全威胁检测能力。

具体来说：

1、解决泛在电力物联网痛点，弥补泛终端管控短板。

随着物联网终端设备的激增，大量物联网设备产生大量网络流量，而传统的基于流量检测等安全技术难以应付大流量高并发下。通过采用不依赖流量分析的轻量级DNS缓存探测技术，对电力物联网终端恶意程序通信请求进行监控，实现不受终端种类限制的恶意程序威胁发现，满足泛在电力物联网环境下对跨平台、跨装备的检测的需求，提升对于潜在网络威胁和隐秘通信的检测能力。

2、支撑护网行动，实现全网安全事件态势感知。

能够加强国网公司所属设备与系统的安全事件分析与处置，协助国网公司开展护网行动、 重大活动及会议的网络安全保障，提升网络安全队伍快速响应处置能力，提高安全事件的态势感知。

3、向国家监管机关输出安全预警能力，提升工作亮点。

由于本发明不需要监控流量和日志的特性，部署在互联网中即可对能源行业、全国乃至全球恶意程序威胁事件进行告警。因此国网公司可以继续发挥央企中网络安全排头兵的作用，向国家监管机关输出安全预警能力，提升工作亮点。

进一步，深度推断恶意通信的意图及内容，能够准确预测和预警泛在威胁重点攻击的网络区域及电力基础设施类型。

本发明增设检测运营商DNS缓存劫持功能的一种具体实施例：

所述第一步，在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，若缓存检测服务器接收到由探测服务器发送的约定DNS请求数据，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；

若缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS服务器发送缓存探测请求。

本发明加入检测运营商DNS缓存劫持功能，能够有效提高缓存探测结果准确性，能够准确获取实际需探测DNS服务器上的缓存数据，进而提高物联网终端的安全性。

本发明数据处理的一种具体实施例：

所述第四步中，缓存的更新时间被记录在一个一维数组中，对于数组中所有元素，通过计算数组后一个元素和前一个元素之间的差，并对这些差值求和得到缓存更新时间。

本发明计算单个主机发送域名S的DNS查询速率的一种具体实施例：

为了测量域名的访问量，需要求出单个主机发送域名S的DNS查询速率；

这能够通过对DNS查询的到达间隔时间进行建模来得到；

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名S的DNS查询的间隔时间是独立同分布的随机变量；

在得到建模数据集之后，使用以下步骤来估测单个主机发送域名S的DNS查询的速率c：

(1)根据建模数据集，计算出每个主机发送域名S的DNS查询间隔时间序列；其中，该建模数据集包括域名信息以及各个主机发送域名的发送时间、返回时间、发送速率、解析状态和解析信息；

(2)绘制出DNS查询间隔时间序列的累积分布函数曲线；

(3)使用指数分布对画出的累积分布函数曲线进行拟合；

(4)曲线拟合完成后，指数分布函数的参数即为单个主机发送域名S的DNS查询的速率。

对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名q的DNS查询的间隔时间是独立同分布的随机变量；单个主机发送域名S的DNS查询的间隔时间符合指数分布。

n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量；

所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n，λ)；

n表示访问域名的主机数量；因此伽马分布Gamma(n，λ)的总平均速率λ符合以下公式：

λ＝nλ _c

根据公式来估测访问域名的主机数量；通过DNS缓存探测估测出了DNS查询的总发送速率λ，对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λ _c；推导主机数量为：

本发明伽马分布的一种具体实施例：

每台主机发送域名S的DNS查询的间隔时间是独立同分布的指数随机变量；通过指数随机变量的这个性质，能够推出一个结论：如果X ₁+...+X _n是具有均值1/λ的独立同分布的指数随机变量，则X ₁+...+X _n是具有参数为n和λ的伽马分布；

所述伽马分布的计算公式如下：

伽马分布的随机变量X的概率密度函数为：

其中伽马函数定义为：

指数分布是a＝1的伽马分布，所以当n＝1时即具有密度为：

则由指数随机变量可以推导为：

本发明一种基于DNS缓存探测的物联网终端安全管控装置的实施例：

应用上述的一种基于DNS缓存探测的物联网终端安全管控方法；

主要包括：主控模块、DNS劫持检测模块、域名信息获取模块、探测模块和计算总发送速率模块；

主控模块用于处理命令行参数、检测DNS服务器状态，协调其它模块，以及控制程序的并发；

DNS劫持检测模块用于在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，约定的数据为dnsjiance98123dnsjian.xyz；

域名信息获取模块用于从可信威胁情报库获取待探测域名列表，并将其通过列队的方式加载到主控制模块中；

探测模块用于对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

计算总发送速率模块根据探测结果计算域名的DNS查询总发送速率；该模块利用探测模块得到的一系列缓存更新时间来计算出DNS查询的总发送速率。

缓存的更新时间被记录在一个一维数组中；整个物联网终端安全管控装置的工作流程是对数组中所有元素，计算数组后一个元素和前一个元素之间的差，并对这些差值求和。

在另一种优选的实施例中，上述实施例提供的基于DNS缓存探测的物联网终端安全管控装置中，主控模块可以为处理器或控制芯片；其中，主控模块用于执行存储在存储器中的以下程序模块：DNS劫持检测模块用于在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，约定的数据为 dnsjiance98123dnsjian.xyz；域名信息获取模块用于从可信威胁情报库获取待探测域名列表，并将其通过列队的方式加载到主控制模块中；探测模块用于对DNS缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；计算总发送速率模块根据探测结果计算域名的DNS查询总发送速率；该模块利用探测模块得到的一系列缓存更新时间来计算出DNS查询的总发送速率。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1. 一种基于DNS缓存探测的物联网终端安全管控方法，其特征在于，

   主要包括以下步骤：

   第一步，探测服务器向被检测DNS服务器发送缓存探测请求，包括：

   在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据；若缓存检测服务器接收到由探测服务器发送的约定DNS请求数据，则判断通信链路中不存在运营商DNS缓存劫持，进而探测服务器向被检测DNS服务器发送缓存探测请求；

   若缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式，通过预设的无运营商DNS缓存劫持链路向被检测DNS服务器发送缓存探测请求；

   第二步，从可信威胁情报库获取待探测域名列表；

   第三步，对被检测DNS服务器的缓存进行探测，包括：

   通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向被检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

   如果探测结果为被检测DNS服务器存在威胁域名以及恶意程序，则进行第四步；

   否则进行第六步；

   第四步，通过一系列缓存更新时间来计算出DNS查询的总发送速率；

   通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速率；

   根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量；

   第五步，进而评估出一段时间内网络中有多少终端访问了某一个威胁域名，或是感染了同类的恶意程序；

   第六步，当前网络环境安全，继续对网络中威胁域名和恶意程序威胁态势进行监控、评估、预警。
2. 如权利要求1所述的一种基于DNS缓存探测的物联网终端安全管控方法，其特征在于，

   所述第四步中，缓存的更新时间被记录在一个一维数组中，通过对数组中所有元素，计算数组后一个元素和前一个元素之间的差，并对这些差值求和得到所述缓存更新时间。
3. 如权利要求1所述的一种基于DNS缓存探测的物联网终端安全管控方法，其特征在于，所述通过对DNS查询的到达间隔时间进行建模得到单个主机发送域名S的DNS查询速 率包括：

   通过对DNS查询的到达间隔时间进行建模，得到单个主机发送域名S的DNS查询速率；

   对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名S的DNS查询的到达间隔时间是独立同分布的随机变量。
4. 如权利要求3所述的一种基于DNS缓存探测的物联网终端安全管控方法，其特征在于，

   在得到建模数据集之后，使用以下步骤来估测单个主机发送域名S的DNS查询的速率c：

   (1)根据建模数据集，计算出每个主机发送域名S的DNS查询间隔时间序列；

   (2)绘制出DNS查询间隔时间序列的累积分布函数曲线；

   (3)使用指数分布对画出的累积分布函数曲线进行拟合；

   (4)曲线拟合完成后，指数分布函数的参数即为单个主机发送域名S的DNS查询的速率。
5. 如权利要求1所述的一种基于DNS缓存探测的物联网终端安全管控方法，其特征在于，所述方法还包括：

   对于一台DNS服务器服务范围内的所有客户主机来说，它们发送域名q的DNS查询的间隔时间是独立同分布的随机变量；单个主机发送域名S的DNS查询的间隔时间符合指数分布。
6. 如权利要求5所述的一种基于DNS缓存探测的物联网终端安全管控方法，其特征在于，所述根据DNS查询的总发送速率和单个主机发送域名S的DNS查询速率来估测访问域名的主机数量，包括：

   n个客户端发送DNS查询的间隔时间是独立同分布的指数随机变量；

   所以这些DNS查询的到达时间在DNS服务器端符合伽马分布Gamma(n，λ)；

   n表示访问域名的主机数量；因此伽马分布Gamma(n，λ)的总平均速率λ符合以下公式：

   λ＝nλ _c

   根据公式来估测访问域名的主机数量；通过DNS缓存探测估测出了DNS查询的总发送速率λ，对DNS查询到达时间间隔进行建模估测出了单个主机发送DNS查询的速率λ _c；推导主机数量为：

   
7. 如权利要求6所述的一种基于DNS缓存探测的物联网终端安全管控方法，其特征在于，

   所述伽马分布的计算公式如下：

   伽马分布的随机变量X的概率密度函数为：

   

   其中伽马函数定义为：

   

   指数分布是a＝1的伽马分布，所以当n＝1时即具有密度为：

   

   则由指数随机变量可以推导为：

   
8. 一种基于DNS缓存探测的物联网终端安全管控装置，其特征在于，

   应用如权利要求1-7任一所述的一种基于DNS缓存探测的物联网终端安全管控方法；

   主要包括：主控模块、DNS劫持检测模块、域名信息获取模块、探测模块和计算总发送速率模块；

   主控模块用于处理命令行参数、检测DNS服务器状态，协调其它模块，以及控制程序的并发；

   DNS劫持检测模块用于在网络中架设缓存检测服务器并进行抓包，探测服务器首先向缓存检测服务器发送约定过的DNS请求数据，约定的数据为dnsjiance98123dnsjian.xyz；若缓存检测服务器接收到由探测服务器发送的约定DNS请求数据后，则判断通信链路中不存在运营商DNS缓存劫持，探测服务器向被检测DNS服务器发送缓存探测请求；若缓存检测服务器在单位时间内未能收到约定的DNS请求数据，缓存检测服务器则通知探测服务器存在 运营商DNS缓存劫持，此时缓存探测服务器将开启全局代理模式；

   域名信息获取模块用于从可信威胁情报库获取待探测域名列表，并将其通过列队的方式加载到主控制模块中；

   探测模块用于对被检测DNS服务器的缓存进行探测，通过在DNS请求数据包中设置关闭递归查询标志位，再从待探测域名列表中获取域名后向待检测DNS服务器发送缓存查询请求，并记录和处理探测结果；

   计算总发送速率模块根据探测结果计算域名的DNS查询总发送速率；该模块利用探测模块得到的一系列缓存更新时间来计算出DNS查询的总发送速率。
9. 如权利要求8所述的一种基于DNS缓存探测的物联网终端安全管控装置，其特征在于，缓存的更新时间被记录在一个一维数组中；整个物联网终端安全管控装置的工作流程是对数组中所有元素，计算数组后一个元素和前一个元素之间的差，并对这些差值求和得到所述缓存更新时间。

Images