一种域名系统防护的方法和系统技术方案
【技术实现步骤摘要】
一种域名系统防护的方法和系统
本专利技术涉及传输与IP
,尤其涉及一种域名系统防护的方法和系统。
技术介绍
目前规范中的DNS解析流程如下(以WWW.sina.com.cn解析为例): (I)用户主机将域名查询请求发给本地DNS服务器; (2)本地DNS服务器收到请求后在本地域名数据库及缓存中查找,如果查找到相关记录,就将该域名对应的IP地址发给用户主机; (3)若DNS服务器在本地域名数据库及缓存中未查询到相关记录,本地DNS服务器向自己的根域服务器发出解析请求; (4)根域DNS服务器返回cn域的DNS服务器的IP地址; (5)本地DNS服务器再将请求交给管理cn域的DNS服务器; (6) cn域DNS服务器返回com.cn域的DNS服务器的地址; (7 )本地DNS服务器再次把请求交给管理com.cn域的DNS服务器,管理com.cn域的DNS服务器再返回sina.com.cn域名服务器的地址; (8)最终,本地DNS服务器从sina.com.cn域名服务器获得www.sina.com.cn网站服务器的IP地址结果,并将结果返回给接入用户。 由上述流程可以发现,DNS流程是访问互联网的访问,如果DNS不可用,将导致整个互联网不可访问。然而,由于DNS却是互联网中的一个安全薄弱环节,针对DNS系统的网络攻击能够轻易将整个互联网攻瘫。 在众多DNS的网络攻击中,基于DNS应用层的DDOS攻击又是最常见、危害最大的攻击类型,在现有技术中,规避DNS DDOS攻击的方法为BGP牵引的方式,其原理如下: ...
【技术保护点】
一种域名系统防护的方法,其特征在于,包括以下步骤:构建IP地址组和域名组的二维矩阵A(i,j),分别统计每一个IP地址组对应每一个域名组A(i,j)在之前第一时长T1内的每秒查询率QPS均值A(i,j).QPS、QPS峰值A(i,j).QPS_max、平均解析时延A(i,j).Delay和解析成功率A(i,j).SuccessRate;将第一时长T1均分成不少于2个第二时长T2,每隔第二时长T2,更新第一时长T1内的QPS均值A(i,j).QPS、QPS峰值A(i,j).QPS_max、平均解析时延A(i,j).Delay和解析成功率A(i,j).SuccessRate,并计算最近第二时长T2内的QPS均值A(i,j).QPS、平均解析时延A(i,j).Delay和解析成功率A(i,j).SuccessRate;针对每一个IP地址组对应每一个域名组A(i,j),分别设置处理阈值,包括QPS阈值A(i,j).Threshold_QPS、解析时延阈值A(i,j).Threshold_Delay和解析成功率阈值A(i,j).Threshold_SuccessRate;在第二时长T2时间后,更...
【技术特征摘要】
1.一种域名系统防护的方法,其特征在于,包括以下步骤: 构建IP地址组和域名组的二维矩阵A (i, j),分别统计每一个IP地址组对应每一个域名组A (i,j)在之前第一时长Tl内的每秒查询率QPS均值A (i,j).QPS、QPS峰值A(i, j).QPS_max、平均解析时延 A (i, j).Delay 和解析成功率 A (i, j).SuccessRate ;将第一时长Tl均分成不少于2个第二时长T2,每隔第二时长T2,更新第一时长Tl内的 QPS 均值 A (i,j ).QPS、QPS 峰值 A (i, j).QPS_max、平均解析时延 A (i, j).Delay 和解析成功率A (i,j).SuccessRate,并计算最近第二时长T2内的QPS均值A (i,j).QPS、平均解析时延A (i, j).Delay和解析成功率A (i, j).SuccessRate ; 针对每一个IP地址组对应每一个域名组A (i, j),分别设置处理阈值,包括QPS阈值A (i, j ).Threshold_QPS、解析时延阈值 A (i, j ).Threshold_Delay 和解析成功率阈值 A(i, j ).Threshold_SuccessRate ; 在第二时长T2时间后,更新最新第一时长Tl内的QPS均值A (i, j).QPS、QPS峰值A(i, j).QPS_max、平均解析时延 A (i, j).Delay 和解析成功率 A (i, j).SuccessRate,计算QPS 阈值 A (i, j ).ThreshoId_QPS、解析时延阈值 A (i, j ).Threshold_Delay 和解析成功率阈值 A (i, j).Threshold_SuccessRate,并计算第二时长 T2 内的 QPS 均值 A (i, j).QPS、平均解析时延A (i, j).Delay和解析成功率A (i, j).SuccessRate ; 将第二时长T2内的QPS均值A (i,j).QPS与第一时长Tl内的QPS阈值A (i, j).Threshold_QPS进行比较,判断二维矩阵A (i,j)中DNS流量异常的元素以及DNS流量异常的域名和IP地址;将第二时长T2内的解析成功率A (i, j).SuccessRate和平均解析时延A (i, j).Delay与第一时长Tl内的解析成功率阈值A (i, j).Threshold_SuccessRate和解析时延阈值A(i, j).Threshold_Delay进行比较,判断异常流量的种类,并进行对应的处理。2.根据权利要求1所述的一种域名系统防护的方法,其特征在于,所述针对每一个IP地址组对应每一个域名组A (i,j ),分别设置处理阈值,包括QPS阈值A (i,j ).Threshold,QPS、解析时延阈值 A (i, j).Threshold_Delay 和解析成功率阈值 A (i, j).ThreshoId_SuccessRate,进一步包括以下步骤: QPS阈值为在之前第一时长Tl时间内,A (i,j)的QPS均值的NI倍与A (i,j)的QPS峰值的 N2 倍之和,即 A (i, j).Threshold_QPS=NlXA (i, j).QPS+N2XA (i, j).QPS_max,解析时延阈值为在之前第一时长Tl时间内,A(i,j)平均解析时延的N3倍,即A(i,j).Threshold_Delay=N3 XA (i, j ).Delay, 解析成功率阈值为在之前第一时长Tl时间内,A(i,j)解析成功率的N4倍,即A(i,j).Threshold_SuccessRate=N4XA (i, j).SuccessRate, 其中N1、N2、N3和N4为预设值。3.根据权利要求1所述的一种域名系统防护的方法,其特征在于,所述将第一时长Tl均分成不少于2个第二时长T2是T1=N*T2,其中N是预设值。4.根据权利要求1所述的一种域名系统防护的方法,其特征在于,所述将第二时长T2内的QPS均值A (i,j).QPS与第一时长Tl内的QPS阈值A (i,j).Threshold_QPS进行比较,判断二维矩阵A (i,j)中DNS流量异常的元素以及DNS流量异常的域名和IP地址,进一步包括以下步骤:将第二时长T2内的QPS均值A (i,j).QPS与第一时长Tl内的QPS阈值A (i, j).ThreshoId_QPS 对比, 如果A(i,j).QPS=<A(i, j).Threshold_QPS,则不做任何处理,流量正常,如果A(i,j).QPS>A (i, j).Threshold_QPS,则流量异常; 汇集所有流量异常的A (i, j)元素; 对IP地址组和域名组的二维矩阵A (i, j)异常流量元素进行分析,如果一个域名组的列中流量异常的元素多于第一预设值Kl个,则认定所述域名收到网络攻击,如果一个IP地址组的行中流量异常的元素多于第二预设值LI个,则认定所述IP地址组是一个网络攻击源,如果是离散的元素流量异常,则认定是特定域名收到了特定IP源的网络攻击。5.根据权利要求4所述的一种域名系统防护的方法,其特征在于,所述将第二时长T2内的解析成功率A (i, j).SuccessRate和平均解析时延A (i, j).Delay与第一时长Tl内的解析成功率阈值A (i, j).Threshold_SuccessRate和解析时延阈值A (i, j).ThreshoId_Delay进行比较,判断异常流量的种类,并进行对应的处理,进一步包括以下步骤: 针对标示出的异常流量元素,将第二时长T2内解析成功率A (i, j).SuccessRate与第一时长Tl内解析成功率阈值A (i, j).Threshold_SuccessRate进行对比:如果 A (i, j ).SuccessRate&g...
【专利技术属性】
技术研发人员:姜欣,杜建凤,郭志刚,吴茜,李旬,李鹏,李可,
申请(专利权)人:中国移动通信集团北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。