[发明专利]可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质

权利要求书

1.一种可用于DDoS攻击的DNS反射器检测方法，其特征在于，包括以下步骤：

S1，采集可用于反射攻击的DNS递归服务器的IP地址集合；

S2，计算已知IP地址集合的DNS递归服务器攻击潜能函数，对获取的攻击潜能函数进行排序，取前N个DNS反射器作为潜在可用于DDoS攻击反射器，并对已知位置的攻击目标进行DDoS攻击；

对IP地址集合中所有IP地址进行DNS扫描得到各IP地址的DNS信息向量，形成DNS信息向量集合；

DNS信息向量I_X为：

I_X＝{IP，SEC，ANY，RT，Country，City，Lat，Long，Time}

其中IP是被扫描的DNS服务器的IP地址，SEC是DNS服务器是否支持DNSSEC协议标记，0表示不支持，1表示支持；ANY是DNS服务器是否支持Any类型的DNS解析请求标记，0表示不支持，1表示支持；RT是DNS服务器响应的DNS请求数量在所有发送的DNS请求数量中所占的比例；Country是DNS服务器的IP所在的国家名称；City是DNS服务器的IP所在的城市名称；Lat是DNS服务器的IP所在的纬度；Long是DNS服务器的IP所在的经度；Time是本次扫描的时间；

获取已知位置的攻击目标的位置特征向量L_V：

L_V＝{IP，Country，City，Lat，Long}

其中，IP是DDoS攻击目标的IP地址，Country是DDoS攻击目标的IP所在的国家名称，City是DDoS攻击目标的IP所在的城市名称，Lat是DDoS攻击目标的IP所在的纬度，Long是DDoS攻击目标的IP所在的经度；

对DNS信息向量集合中的DNS信息向量和攻击目标的位置特征向量使用攻击潜能函数计算攻击潜能Q_XV：

Q_XV＝AR_X+W_XV

其中，AR_X为DNS信息向量中IP对应的DNS反射器的放大潜力的一个函数；W_XV为DNS信息向量中IP对应的DNS反射器和DDoS攻击目标IP的位置特征向量中IP对应的受害者主机之间位置关系的一个函数；

AR_X为：

AR_X＝α₁*I_X[SEC]+α₂*I_X[ANY]+(1+I_X[RT])

其中，I_X[SEC]表示DNS信息向量I_X中SEC元素的值，I_X[ANY]表示DNS信息向量I_X中ANY元素的值，I_X[RT]表示DNS信息向量I_X中RT元素的值，α₁和α₂为常数；

W_XV为：

W_XV＝β₁*SP(I_X[IP]，L_V[IP])+β₂*S(I_X[Country]，L_V[Country])+β₃*S(I_X[City]，L_V[City])+β₄*Dis(I_X，L_V)

其中，β₁、β₂、β₃、β₄为常数，SP(IP₁，IP₂)表示IP地址IP₁和IP地址IP₂的网段相似度，若两个IP地址的前R位相同，则它们的网段相似度为R，S(S₁，S₂)表示字符串S₁和字符串S₂的完全匹配距离，Dis(I_X，L_V)表示I_X中的经纬度和L_V中的经纬度之间的地理距离等级；S(S₁，S₂)的定义如下：

Dis(I_X，L_V)的定义如下：

S3，使用攻击效果函数对DDoS攻击的攻击效果进行评估，若攻击效果大于等于设定阈值Y，则该DNS反射器潜在可用于DDoS攻击，否则不可用，即可实现可用于DDoS攻击的DNS反射器的快速检测；其中攻击效果函数为：

G_XV＝Bind₁-Bind₂

其中，Bind₁表示正常情况下DDoS攻击目标的出口带宽，Bind₂表示攻击情况下DDoS攻击目标的出口带宽。