[发明专利]一种DNS域名异常访问检测方法及装置

说明书

本发明提供一种DNS域名异常访问检测方法，步骤包括：获取DNS服务器与DNS客户端的镜像DNS报文；对所述DNS报文的DNS数据进行KL散度计算；如果KL散度大于一散度阈值，则对当前周期内的各域名进行KL散度贡献度计算；将KL散度贡献度超出一贡献度阈值的域名判定为异常域名，发送DNS域名异常访问告警信息并写入数据库；如果所述KL散度不大于所述散度阈值，则判断当前周期与正常周期相比是否有TopN新增域名，如果有TopN新增域名，则发送DNS域名异常访问告警信息并写入数据库；如果没有TopN新增域名，则判断TopN域名访问次数变化率是否超出一变化阈值，如果超出，则发送DNS域名异常访问告警信息并写入数据库。本发明还提供一种DNS域名异常访问检测装置。

技术领域

本发明属于计算机网络通信领域，具体涉及一种DNS域名异常访问检测方法及装置。

背景技术

在计算机网络通信中，主机之间需要知道通信对端的IP地址才能够通过IP网络与对方进行通信。然而32位的IPv4地址(IPv6地址为128位)对于通信参与者来说是不容易记忆的。因此，更为直观的域名(如www.google.com.hk)被广泛采用以解决IP地址难以记忆的问题。然而网络通信是基于IP协议来运转的，通过域名并不能直接找到要访问的主机。因此主机需要将用户输入的域名转换为IP地址，这个过程被称为域名解析。

为了完成域名解析，需要域名系统(Domain Name System，DNS)来配合，其是一种用于TCP/IP应用程序的分布式数据库，提供域名与IP地址之间的转换。通过域名系统，用户进行某些应用时，可以直接使用便于记忆的且有意义的域名，而由网络中的DNS服务器将域名解析为正确的IP地址然后返回给用户的主机。域名服务器，是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。域名解析过程是指当某一个应用进程需要将主机名解析为IP地址时，该应用进程就成为域名系DNS的一个客户，并把待解析的域名放在DNS请求报文中发给域名服务器，域名服务器在查找域名后将对应的IP地址放在回答报文中返回给客户机应用进程。DNS递归服务器是DNS解析系统中的重要设备，DNS递归服务器根据缓存中的域名地址信息，对终端用户发起的DNS查询进行响应。

目前，对DNS系统的攻击方式主要有以下几种方式：

第一种攻击方式是流量型拒绝服务攻击。例如基于用户数据包协议(UDP，UserDatagram Protocol)流(flood)、基于传输控制协议(TCP，Transmission ControlProtocol)flood、DNS请求flood，或拼(PING)flood等。该种方式下的攻击的典型特征是消耗掉DNS服务器的资源，使其不能及时响应正常的DNS解析请求。其中，资源的消耗包括对服务器CPU、网络资源等的消耗。

第二种攻击方式是异常请求访问攻击。例如超长域名请求、异常域名请求等。该种方式下的攻击的特点是通过发掘DNS服务器的漏洞，通过伪造特定的请求报文，导致DNS服务器软件工作异常而退出或崩溃而无法启动，达到影响DNS服务器正常工作的目的。

第三种攻击方式是DNS劫持攻击。例如DNS缓存“投毒”、篡改授权域内容、ARP欺骗劫持授权域等。该种方式下的攻击的特点是通过直接篡改解析记录或在解析记录传递过程中篡改其内容或抢先应答，从而达到影响解析结果的目的。

第四种攻击方式是攻击者利用DNS进行攻击。例如攻击者控制僵尸机群采用被攻击主机的IP地址伪装成被攻击主机发送域名解析请求，大量的域名解析请求被DNS服务器递归查询解析后，DNS服务器发送响应给被攻击者，大量的响应数据包从不同的DNS服务器传回构成了分布式拒绝服务(DDoS，Distributed Denial of Service)攻击。

从上述四种攻击的描述中可以看到，当DNS服务器遭受到DNS攻击时，在DNS服务器端多数表现为DNS域名异常访问。通过对DNS域名异常访问的探测，能够及时发现DNS攻击行为的发生，从而可以采取有效措施，使损失降到最小。