[发明专利]分布式拒绝服务攻击检测方法和装置

权利要求书

1.一种分布式拒绝服务攻击检测方法，其特征在于，包括：

获取DNS服务器上记录的查询日志信息；

根据获得的所述查询日志信息，检测是否存在针对所述DNS服务器的DDoS攻击行为。

2.根据权利要求1所述的分布式拒绝服务攻击检测方法，其特征在于，所述根据获得的所述查询日志信息，检测是否存在针对所述DNS服务器的DDoS攻击行为包括：

基于多层感知神经网络和所述DNS服务器上记录的当前查询日志信息，检测是否存在针对所述DNS服务器的DDoS攻击行为。

3.根据权利要求2所述的分布式拒绝服务攻击检测方法，其特征在于，所述基于多层感知神经网络和所述DNS服务器上记录的当前查询日志信息，检测是否存在针对所述DNS服务器的DDoS攻击行为之前还包括：

根据所述DNS服务器上记录的所有查询日志信息，提取反映DDoS攻击特征的特征向量；

基于提取的所述反映DDoS攻击特征的特征向量，训练并获得所述多层感知神经网络。

4.根据权利要求3所述的分布式拒绝服务攻击检测方法，其特征在于，所述提取反映DDoS攻击特征的特征向量包括：

按预设时间粒度提取所述反映DDoS攻击特征的特征向量。

5.根据权利要求3所述的分布式拒绝服务攻击检测方法，其特征在于，所述多层感知神经网络包括：输入层、隐藏层和输出层，其中，输入层的输入信息即所述反映DDoS攻击特征的特征向量。

6.根据权利要求3所述的分布式拒绝服务攻击检测方法，其特征在于，所述反映DDoS攻击特征的特征向量包括：

DNS查询量、查询率的标准差、IP空间大小、域名空间大小、源端口设置为53的查询数量、查询记录类型的熵的变化情况、设置递归查询的比例和域名的平均长度的至少一种。

7.一种分布式拒绝服务攻击检测装置，其特征在于，包括：

信息获取模块，用于获取DNS服务器上记录的查询日志信息；

检测模块，根据获得的所述查询日志信息，检测是否存在针对所述DNS服务器的DDoS攻击行为。

8.根据权利要求7所述的分布式拒绝服务攻击检测装置，其特征在于，所述检测模块，具体用于基于多层感知神经网络和所述DNS服务器上记录的当前查询日志信息，检测是否存在针对所述DNS服务器的DDoS攻击行为。

9.根据权利要求8所述的分布式拒绝服务攻击检测装置，其特征在于，还包括：

特征向量提取模块，用于根据所述DNS服务器上记录的所有查询日志信息，提取反映DDoS攻击特征的特征向量；

神经网络训练模块，用于基于提取的所述反映DDoS攻击特征的特征向量，训练并获得所述多层感知神经网络。

10.根据权利要求9所述的分布式拒绝服务攻击检测装置，其特征在于，所述特征向量提取模块，具体用于根据所述DNS服务器上记录的所有查询日志信息，按预设时间粒度提取所述反映DDoS攻击特征的特征向量。