一种域名系统防护的方法和系统技术方案

技术编号:10489249 阅读:199 留言:0更新日期:2014-10-03 17:29
本发明专利技术公开了一种域名系统防护的方法和系统,通过自我学习IP地址组和域名组的DNS流量特征,并自动识别哪些二维矩阵元素的DNS流量异常,再通过矩阵内的元素之间的关系判断出异常元素,通过两个函数解析时延阈值、解析成功率阈值对比分析,可以对异常流量进行分类并触发不同处理机制,两种处理机制都规避了现有方案所导致的DNS故障发生后到备份中心DNS服务器启用之间会有一个很长的时间段DNS无法服务的问题。

【技术实现步骤摘要】
一种域名系统防护的方法和系统
本专利技术涉及传输与IP
,尤其涉及一种域名系统防护的方法和系统。
技术介绍
目前规范中的DNS解析流程如下(以WWW.sina.com.cn解析为例): (I)用户主机将域名查询请求发给本地DNS服务器; (2)本地DNS服务器收到请求后在本地域名数据库及缓存中查找,如果查找到相关记录,就将该域名对应的IP地址发给用户主机; (3)若DNS服务器在本地域名数据库及缓存中未查询到相关记录,本地DNS服务器向自己的根域服务器发出解析请求; (4)根域DNS服务器返回cn域的DNS服务器的IP地址; (5)本地DNS服务器再将请求交给管理cn域的DNS服务器; (6) cn域DNS服务器返回com.cn域的DNS服务器的地址; (7 )本地DNS服务器再次把请求交给管理com.cn域的DNS服务器,管理com.cn域的DNS服务器再返回sina.com.cn域名服务器的地址; (8)最终,本地DNS服务器从sina.com.cn域名服务器获得www.sina.com.cn网站服务器的IP地址结果,并将结果返回给接入用户。 由上述流程可以发现,DNS流程是访问互联网的访问,如果DNS不可用,将导致整个互联网不可访问。然而,由于DNS却是互联网中的一个安全薄弱环节,针对DNS系统的网络攻击能够轻易将整个互联网攻瘫。 在众多DNS的网络攻击中,基于DNS应用层的DDOS攻击又是最常见、危害最大的攻击类型,在现有技术中,规避DNS DDOS攻击的方法为BGP牵引的方式,其原理如下: 1、某城域网设置有Local DNS,作为本城域网用户访问互联网的DNS服务器; 2、若该城域网遭受到DDOS类的网络攻击,会接收到大量可成功解析或不能成功解析的域名解析请求,大大消耗DNS系统资源及DNS接入互联网的带宽,最终导致本地的Local DNS服务器不可用; 3、需要在骨干网或本城域网内部设置一台处理能力非常强的DNS备份中心,在基于DNS的DDOS攻击发生时,能够处理大量的域名请求; 4、此时,需要DNS备份中心发布之前城域网Local DNS的服务地址,并将该IGP路由重分发至BGP路由中; 5、BGP协议将该路由从骨干网AS传导至城域网的AS ; 6、城域网的BGP协议需要接受该路由,并将其泛洪至本AS内的所有设备及用户; 7、此时,用户无需调整DNS地址,就可以使用DNS服务,从而恢复访问互联网的能力。 但是在现有技术方案中,缺少DDOS攻击发现的方法和手段,尤其是当只是针对某些域名组或攻击来源于某些IP组的时候,常常会因为部分域名的大量请求或来源于部分IP的攻击,导致整个DNS系统瘫痪,从而使得所有用户无法访问所有域名。 [0021 ] 另外,在现有技术方案中,只有人工发现DNS被攻击后,才能在备份中心上发布被攻击DNS服务器的路由,路由需要经过路由器的数据配置以及在AS之间的传递、收敛后,用户才可以使用,通常在故障发生后到备份中心DNS服务器启用之间会有一个很长的时间段,这部分时间用户是无法访问互联网的,大大降低了用户感知。
技术实现思路
为了解决现有技术中存在的无法发现攻击、故障处理时间长的技术问题,本专利技术提出一种域名系统防护的方法和系统,能够自动识别异常流量,并根据异常流量的不同种类,采取不同处理机制,规避了现有方案所导致的DNS故障发生后到备份中心DNS服务器启用之间会有一个很长的时间段DNS无法服务的问题。 本专利技术一方面提供了一种域名系统防护的方法,包括以下步骤: 构建IP地址组和域名组的二维矩阵A( i,j ),分别统计每一个IP地址组对应每一个域名组A (i,j)在之前第一时长Tl内的每秒查询率QPS均值A (i,j).QPS、QPS峰值A(i, j).QPS_max、平均解析时延 A (i, j).Delay 和解析成功率 A (i, j).SuccessRate ; 将第一时长Tl均分成不少于2个第二时长T2,每隔第二时长T2,更新第一时长Tl内的 QPS 均值 A (i,j ).QPS、QPS 峰值 A (i, j).QPS_max、平均解析时延 A (i, j).Delay 和解析成功率A (i,jhSuccessRate,并计算最近第二时长T2内的QPS均值A (i,j).QPS、平均解析时延A (i, j).Delay和解析成功率A (i, j).SuccessRate ; 针对每一个IP地址组对应每一个域名组A( i,j ),分别设置处理阈值,包括QPS阈值A (i, j).ThreshoId_QPS、解析时延阈值A (i, j).Threshold_Delay和解析成功率阈值A (i, j).Threshold_SuccessRate ; 在第二时长T2时间后,更新最新第一时长Tl内的QPS均值A (i,j ).QPS、QPS峰值 A (i, j).QPS_max、平均解析时延 A (i, j).Delay 和解析成功率 A (i, j).SuccessRate,计算 QPS 阈值 A (i, j).ThreshoId_QPS、解析时延阈值 A (i, j).Threshold_Delay 和解析成功率阈值A (i, j).Threshold_SuccessRate,并计算第二时长T2内的QPS均值A (i, j).QPS、平均解析时延A (i, j).Delay和解析成功率A (i, j).SuccessRate ; 将第二时长T2内的QPS均值A (i,j ).QPS与第一时长Tl内的QPS阈值A (i,j ).ThreshoId_QPS进行比较,判断二维矩阵A (i,j)中DNS流量异常的元素以及DNS流量异常的域名和IP地址; 将第二时长T2内的解析成功率A (i, j).SuccessRate和平均解析时延A (i,j).Delay与第一时长Tl内的解析成功率阈值A (i, j).Threshold_SuccessRate和解析时延阈值A (i, j).Threshold_Delay进行比较,判断异常流量的种类,并进行对应的处理。 本专利技术另一方面提供了一种域名系统防护的系统,包括数据单元、计算单元和处置单元,其中, 数据单元用于存储IP地址组和域名组的二维矩阵A (i,j); 计算单元用于获取每一个IP地址组对应每一个域名组A (i,j)在之前第一时长Tl内的每秒查询率QPS均值A (i, j).QPS、QPS峰值A (i, j).QPS_max、平均解析时延A (i, j).Delay和解析成功率A (i, j).SuccessRate,计算第二时长T2内的QPS均值A(i, j).QPS、平均解析时延A (i, j).Delay和解析成功率A (i, j).SuccessRate,设置第一时长 Tl 内的 QPS 阈值 A (i, j).Threshold_QPS、解析时延阈值 A (i, j).Threshold_Delay和解析成功率阈值 A (i, j ).Threshold_SuccessRate ; 处置单元用于将第二时本文档来自技高网
...
一种域名系统防护的方法和系统

【技术保护点】
一种域名系统防护的方法,其特征在于,包括以下步骤:构建IP地址组和域名组的二维矩阵A(i,j),分别统计每一个IP地址组对应每一个域名组A(i,j)在之前第一时长T1内的每秒查询率QPS均值A(i,j).QPS、QPS峰值A(i,j).QPS_max、平均解析时延A(i,j).Delay和解析成功率A(i,j).SuccessRate;将第一时长T1均分成不少于2个第二时长T2,每隔第二时长T2,更新第一时长T1内的QPS均值A(i,j).QPS、QPS峰值A(i,j).QPS_max、平均解析时延A(i,j).Delay和解析成功率A(i,j).SuccessRate,并计算最近第二时长T2内的QPS均值A(i,j).QPS、平均解析时延A(i,j).Delay和解析成功率A(i,j).SuccessRate;针对每一个IP地址组对应每一个域名组A(i,j),分别设置处理阈值,包括QPS阈值A(i,j).Threshold_QPS、解析时延阈值A(i,j).Threshold_Delay和解析成功率阈值A(i,j).Threshold_SuccessRate;在第二时长T2时间后,更新最新第一时长T1内的QPS均值A(i,j).QPS、QPS峰值A(i,j).QPS_max、平均解析时延A(i,j).Delay和解析成功率A(i,j).SuccessRate,计算QPS阈值A(i,j).Threshold_QPS、解析时延阈值A(i,j).Threshold_Delay和解析成功率阈值A(i,j).Threshold_SuccessRate,并计算第二时长T2内的QPS均值A(i,j).QPS、平均解析时延A(i,j).Delay和解析成功率A(i,j).SuccessRate;将第二时长T2内的QPS均值A(i,j).QPS与第一时长T1内的QPS阈值A(i,j).Threshold_QPS进行比较,判断二维矩阵A(i,j)中DNS流量异常的元素以及DNS流量异常的域名和IP地址;将第二时长T2内的解析成功率A(i,j).SuccessRate和平均解析时延A(i,j).Delay与第一时长T1内的解析成功率阈值A(i,j).Threshold_SuccessRate和解析时延阈值A(i,j).Threshold_Delay进行比较,判断异常流量的种类,并进行对应的处理。...

【技术特征摘要】
1.一种域名系统防护的方法,其特征在于,包括以下步骤: 构建IP地址组和域名组的二维矩阵A (i, j),分别统计每一个IP地址组对应每一个域名组A (i,j)在之前第一时长Tl内的每秒查询率QPS均值A (i,j).QPS、QPS峰值A(i, j).QPS_max、平均解析时延 A (i, j).Delay 和解析成功率 A (i, j).SuccessRate ;将第一时长Tl均分成不少于2个第二时长T2,每隔第二时长T2,更新第一时长Tl内的 QPS 均值 A (i,j ).QPS、QPS 峰值 A (i, j).QPS_max、平均解析时延 A (i, j).Delay 和解析成功率A (i,j).SuccessRate,并计算最近第二时长T2内的QPS均值A (i,j).QPS、平均解析时延A (i, j).Delay和解析成功率A (i, j).SuccessRate ; 针对每一个IP地址组对应每一个域名组A (i, j),分别设置处理阈值,包括QPS阈值A (i, j ).Threshold_QPS、解析时延阈值 A (i, j ).Threshold_Delay 和解析成功率阈值 A(i, j ).Threshold_SuccessRate ; 在第二时长T2时间后,更新最新第一时长Tl内的QPS均值A (i, j).QPS、QPS峰值A(i, j).QPS_max、平均解析时延 A (i, j).Delay 和解析成功率 A (i, j).SuccessRate,计算QPS 阈值 A (i, j ).ThreshoId_QPS、解析时延阈值 A (i, j ).Threshold_Delay 和解析成功率阈值 A (i, j).Threshold_SuccessRate,并计算第二时长 T2 内的 QPS 均值 A (i, j).QPS、平均解析时延A (i, j).Delay和解析成功率A (i, j).SuccessRate ; 将第二时长T2内的QPS均值A (i,j).QPS与第一时长Tl内的QPS阈值A (i, j).Threshold_QPS进行比较,判断二维矩阵A (i,j)中DNS流量异常的元素以及DNS流量异常的域名和IP地址;将第二时长T2内的解析成功率A (i, j).SuccessRate和平均解析时延A (i, j).Delay与第一时长Tl内的解析成功率阈值A (i, j).Threshold_SuccessRate和解析时延阈值A(i, j).Threshold_Delay进行比较,判断异常流量的种类,并进行对应的处理。2.根据权利要求1所述的一种域名系统防护的方法,其特征在于,所述针对每一个IP地址组对应每一个域名组A (i,j ),分别设置处理阈值,包括QPS阈值A (i,j ).Threshold,QPS、解析时延阈值 A (i, j).Threshold_Delay 和解析成功率阈值 A (i, j).ThreshoId_SuccessRate,进一步包括以下步骤: QPS阈值为在之前第一时长Tl时间内,A (i,j)的QPS均值的NI倍与A (i,j)的QPS峰值的 N2 倍之和,即 A (i, j).Threshold_QPS=NlXA (i, j).QPS+N2XA (i, j).QPS_max,解析时延阈值为在之前第一时长Tl时间内,A(i,j)平均解析时延的N3倍,即A(i,j).Threshold_Delay=N3 XA (i, j ).Delay, 解析成功率阈值为在之前第一时长Tl时间内,A(i,j)解析成功率的N4倍,即A(i,j).Threshold_SuccessRate=N4XA (i, j).SuccessRate, 其中N1、N2、N3和N4为预设值。3.根据权利要求1所述的一种域名系统防护的方法,其特征在于,所述将第一时长Tl均分成不少于2个第二时长T2是T1=N*T2,其中N是预设值。4.根据权利要求1所述的一种域名系统防护的方法,其特征在于,所述将第二时长T2内的QPS均值A (i,j).QPS与第一时长Tl内的QPS阈值A (i,j).Threshold_QPS进行比较,判断二维矩阵A (i,j)中DNS流量异常的元素以及DNS流量异常的域名和IP地址,进一步包括以下步骤:将第二时长T2内的QPS均值A (i,j).QPS与第一时长Tl内的QPS阈值A (i, j).ThreshoId_QPS 对比, 如果A(i,j).QPS=<A(i, j).Threshold_QPS,则不做任何处理,流量正常,如果A(i,j).QPS>A (i, j).Threshold_QPS,则流量异常; 汇集所有流量异常的A (i, j)元素; 对IP地址组和域名组的二维矩阵A (i, j)异常流量元素进行分析,如果一个域名组的列中流量异常的元素多于第一预设值Kl个,则认定所述域名收到网络攻击,如果一个IP地址组的行中流量异常的元素多于第二预设值LI个,则认定所述IP地址组是一个网络攻击源,如果是离散的元素流量异常,则认定是特定域名收到了特定IP源的网络攻击。5.根据权利要求4所述的一种域名系统防护的方法,其特征在于,所述将第二时长T2内的解析成功率A (i, j).SuccessRate和平均解析时延A (i, j).Delay与第一时长Tl内的解析成功率阈值A (i, j).Threshold_SuccessRate和解析时延阈值A (i, j).ThreshoId_Delay进行比较,判断异常流量的种类,并进行对应的处理,进一步包括以下步骤: 针对标示出的异常流量元素,将第二时长T2内解析成功率A (i, j).SuccessRate与第一时长Tl内解析成功率阈值A (i, j).Threshold_SuccessRate进行对比:如果 A (i, j ).SuccessRate&g...

【专利技术属性】
技术研发人员:姜欣杜建凤郭志刚吴茜李旬李鹏李可
申请(专利权)人:中国移动通信集团北京有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1