[发明专利]DNS域名异常访问监控方法及装置

说明书

本发明实施例提供一种DNS域名异常访问监控方法及装置，方法包括：统计DNS查询报文中的DNS域名，得到第一域名集中所包含域名的访问次数和访问次数降序排名；其中，第一域名集为当前统计周期内访问次数降序排名在前的多个域名的集合；对第一域名集中所包含的域名，将该域名的访问次数与该域名根据标准幂律分布得到的访问次数进行比较，确定比较结果大于阈值的域名，将在当前统计周期内对所确定域名的访问认定为异常。本发明实施例提供的DNS域名异常访问监控方法及装置通过将域名统计得到的访问次数与标准幂律分布下的访问次数的比较，能及时发现DNS攻击行为，从而为网络安全防护争取时间、减少网络攻击造成的损失。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种DNS域名异常访问监控方法及装置。

背景技术

在计算机网络通信中，主机之间需要知道通信对端的IP地址才能够通过IP网络与对方进行通信。然而32位的IPv4地址(IPv6地址为128位)对于通信参与者来说是不容易记忆的。因此，更为直观的域名(如www.google.com.hk)被广泛采用以解决IP地址难以记忆的问题。然而网络通信是基于IP协议来运转的，通过域名并不能直接找到要访问的主机。因此主机需要将用户输入的域名转换为IP地址，这个过程被称为域名解析。

为了完成域名解析，需要域名系统(Domain Name System，DNS)来配合，其是一种用于TCP/IP应用程序的分布式数据库，提供域名与IP地址之间的转换。通过域名系统，用户进行某些应用时，可以直接使用便于记忆的且有意义的域名，而由网络中的DNS服务器将域名解析为正确的IP地址然后返回给用户的主机。域名服务器，是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。域名解析过程是指当某一个应用进程需要将主机名解析为IP地址时，该应用进程就成为域名系统DNS的一个客户，并把待解析的域名放在DNS查询报文中发给域名服务器，域名服务器在查找域名后将对应的IP地址放在回答报文中返回给客户机应用进程。DNS递归服务器是DNS解析系统中的重要设备，DNS递归服务器根据缓存中的域名地址信息，对终端用户发起的DNS查询进行响应。

目前，对DNS系统的攻击方式主要有以下几种方式：

第一种攻击方式是流量型拒绝服务攻击。例如基于用户数据包协议(UDP，UserDatagram Protocol)流(flood)、基于传输控制协议(TCP，Transmission ControlProtocol)flood、DNS请求flood，或拼(PING)flood等。该种方式下的攻击的典型特征是消耗掉DNS服务器的资源，使其不能及时响应正常的DNS解析请求。其中，资源的消耗包括对服务器CPU、网络资源等的消耗。

第二种攻击方式是异常请求访问攻击。例如超长域名请求、异常域名请求等。该种方式下的攻击的特点是通过发掘DNS服务器的漏洞，通过伪造特定的查询报文，导致DNS服务器软件工作异常而退出或崩溃而无法启动，达到影响DNS服务器正常工作的目的。

第三种攻击方式是DNS劫持攻击。例如DNS缓存“投毒”、篡改授权域内容、ARP欺骗劫持授权域等。该种方式下的攻击的特点是通过直接篡改解析记录或在解析记录传递过程中篡改其内容或抢先应答，从而达到影响解析结果的目的。

第四种攻击方式是攻击者利用DNS进行攻击。例如攻击者控制僵尸机群采用被攻击主机的IP地址伪装成被攻击主机发送域名解析请求，大量的域名解析请求被DNS服务器递归查询解析后，DNS服务器发送响应给被攻击者，大量的响应数据包从不同的DNS服务器传回构成了分布式拒绝服务(DDoS，Distributed Denial of Service)攻击。

从上述四种攻击的描述中可以看到：当DNS服务器遭受到DNS攻击时，在DNS服务器端多数表现为DNS域名访问异常。若能监控DNS域名访问异常，有助于及时发现DNS攻击行为的发生，从而可以采取有效措施，使损失降到最小。

发明内容