技术领域
[0001] 本
发明涉及
防火墙技术领域,特别涉及一种DNS放大攻击的检测方法、系统、一种计算机可读存储介质及一种DNS放大攻击的检测装置。
背景技术
[0002] DNS(Domain Name System,域名系统)外发放大攻击,也称为DNS外发放大攻击或杠杆攻击(DNS Amplification Attack),是拒绝服务攻击的一种,具体来说是一种数据包的大量变体能够产生针对一个目标的大量的虚假的通讯。DNS放大攻击使用针对无辜的第三方的欺骗性的数据包来放大通讯量,其目的是耗尽受害者的全部带宽,严重影响了业务的正常运行。
[0003]
现有技术中,安全厂商主要使用如下加测手段:设置一个
阀值,检测某一个某个时间点外发的数据包
频率是否超过阀值,若超过
阈值则认为存在DNS放大攻击。但是由于不同客户、不同主机、
访问的网络模型不同,因此该现有技术中的阈值很难确定,当对所有用户都使用一个固定的阀值的时候很容易引起误报漏报。
[0004] 因此,如何准确检测不同应用环境的DNS放大攻击,进而降低误报率和漏报率是本领域技术人员目前需要解决的技术问题。
发明内容
[0005] 本
申请的目的是提供一种DNS放大攻击的检测方法、系统、一种计算机可读存储介质及一种DNS放大攻击的检测装置,能够准确检测不同应用环境的DNS放大攻击,进而降低误报率和漏报率。
[0006] 为解决上述技术问题,本申请提供一种DNS放大攻击的检测方法,该检测方法包括:
[0007] 根据历史流量数据确定目标时刻的第一DNS数据包数量和历史时刻的第二DNS数据包数量;其中,历史时刻早于目标时刻预设时长;
[0008] 判断第一DNS数据包数量与第二DNS数据包数量的比值是否大于预设值;
[0009] 若是,则从历史流量数据中获取距离目标时刻预设时间范围内的待检DNS数据包;
[0010] 对待检DNS数据包进行特征分析并根据特征分析结果判断是否存在DNS放大攻击;若是,则输出检测到DNS放大攻击的安全事件。
[0011] 可选的,根据历史流量数据确定目标时刻的第一DNS数据包数量和历史时刻的第二DNS数据包数量包括:
[0012] 根据历史流量数据生成以DNS数据包数量为统计指标的时间序列;
[0013] 分析时间序列确定目标时刻的第一DNS数据包数量和历史时刻的第二DNS数据包数量。
[0014] 可选的,对待检DNS数据包进行特征分析并根据特征分析结果判断是否存在DNS放大攻击包括:
[0015] 对待检DNS数据包进行域名特征分析并判断待检DNS数据包的域名中是否存在非法域名;若是,则存在DNS放大攻击;
[0016] 或,对待检DNS数据包进行源IP特征分析并判断待检DNS数据包的源IP地址是否为预设IP地址;若否,则存在DNS放大攻击;
[0017] 或,对待检DNS数据包进行响应比及失败率分析并判断响应比是否小于预设响应比且失败率大于预设失败率;若是,则存在DNS放大攻击。
[0018] 可选的,非法域名具体为正常域名与随机字符串组成的域名。
[0019] 本申请还提供了一种DNS放大攻击的检测系统,该系统包括:
[0020] 数量确定模
块,用于根据历史流量数据确定目标时刻的第一DNS数据包数量和历史时刻的第二DNS数据包数量;其中,历史时刻早于目标时刻预设时长;
[0021] 异常判断模块,用于判断第一DNS数据包数量与第二DNS数据包数量的比值是否大于预设值;
[0022] 待检数据获取模块,用于当比值大于预设值时,从历史流量数据中获取距离目标时刻预设时间范围内的待检DNS数据包;
[0023] 特征分析模块,用于对待检DNS数据包进行特征分析并根据特征分析结果判断是否存在DNS放大攻击;若是,则输出检测到DNS放大攻击的安全事件。
[0024] 可选的,数量确定模块包括:
[0025] 时间序列生成单元,用于根据历史流量数据生成以DNS数据包数量为统计指标的时间序列;
[0026] 时间序列分析模块,用于分析时间序列确定目标时刻的第一DNS数据包数量和历史时刻的第二DNS数据包数量。
[0027] 可选的,特征分析模块包括:
[0028] 第一分析单元,用于对待检DNS数据包进行域名特征分析并判断DNS数据包的域名中是否存在非法域名;若是,则存在DNS放大攻击;
[0029] 或,第二分析单元,用于对待检DNS数据包进行源IP特征分析并判断待检DNS数据包的源IP地址是否为预设IP地址;若否,则存在DNS放大攻击;
[0030] 或,第三分析单元,用于对待检DNS数据包进行响应比及失败率分析并判断响应比是否小于预设响应比且失败率大于预设失败率;若是,则存在DNS放大攻击。
[0031] 可选的,非法域名具体为正常域名与随机字符串组成的域名。
[0032] 本申请还提供了一种计算机可读存储介质,其上存储有
计算机程序,计算机程序执行时实现上述DNS放大攻击的检测方法执行的步骤。
[0033] 本申请还提供了一种DNS放大攻击的检测装置,包括
存储器和处理器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时实现上述DNS放大攻击的检测方法执行的步骤。
[0034] 本发明提供了一种DNS放大攻击的检测方法,包括根据历史流量数据确定目标时刻的第一DNS数据包数量和历史时刻的第二DNS数据包数量;其中,历史时刻早于目标时刻预设时长;判断第一DNS数据包数量与第二DNS数据包数量的比值是否大于预设值;若是,则从历史流量数据中获取距离目标时刻预设时间范围内的待检DNS数据包;对待检DNS数据包进行特征分析并根据特征分析结果判断是否存在DNS放大攻击;若是,则输出检测到DNS放大攻击的安全事件。
[0035] 由于DNS数据包数量异常增多是所有DNS放大攻击的共有特征,因此本发明先检测目标时刻的第一DNS数据包数量是否存在异常的情况,进一步的,本申请通过判断第一DNS数据包数量与历史时刻的第二DNS数据包数量的比值是否大于预设值来判断是否存在DNS数据包数量异常增多的情况。现有技术中通过设置一个固定的阈值来判断DNS数据包数量是否异常增多,但是由于DNS数据包数量会随时间呈现周期性变化,因此能难通过一个固定的阈值来对所有周期内的DNS数据包数量进行评价,这也就是现有技术很容易引起误报和漏报现象的根本原因。基于此,本申请采用历史流量数据中的历史时刻的第二DNS数据包数量替代现有技术中的“阈值”,对目标时刻的第一数据包数量进行评价,历史时刻和目标时刻相隔预设时长且在在正常情况下历史时刻和目标时刻对应的DNS数据包数量应该基本相同,因此可以通过第一DNS数据包数量与第二DNS数据包数量的比值来判断是否存在DNS数据包数量异常增多的情况。当确定DNS数据报数量存在异常后再对目标时刻前后预设时间内的DNS数据包进行特征分析以便检测是否存在DNS放大攻击。本方案能够准确检测不同应用环境的DNS放大攻击,进而降低误报率和漏报率。本申请同时还提供了一种DNS放大攻击的检测系统、一种计算机可读存储介质和一种DNS放大攻击的检测装置,具有上述有益效果,在此不再赘述。
附图说明
[0036] 为了更清楚地说明本申请
实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0037] 图1为本申请实施例所提供的一种DNS放大攻击的检测方法的
流程图;
[0039] 图3为本申请实施例所提供的一种DNS放大攻击的检测系统的结构示意图。
具体实施方式
[0040] 为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0041] 下面请参见图1,图1为本申请实施例所提供的一种DNS放大攻击的检测方法的流程图。
[0042] 具体步骤可以包括:
[0043] S101:根据历史流量数据确定目标时刻的第一DNS数据包数量和历史时刻的第二DNS数据包数量;其中,历史时刻早于目标时刻预设时长;
[0044] 其中,本步骤的目的在于获取需要检测的目标时刻的DNS数据包数量和作为参照对象的历史时刻的DNS数据包数量。在本步骤之前默认存在获取目标设备的历史流量数据的操作,需要说明的是,历史流量数据是指在某个时间段内所有的流量数据,本步骤提到的目标时刻和历史时刻均属于历史流量数据对应的时间段内。
[0045] 请参见图2,图2为DNS数据包数量波动示意图,图中横轴为时间,纵轴为DNS数据包数量,可以理解的是,正常情况下DNS数据包的数量是随时间周期性变化的,即每个周期之间相应时刻对应的DNS数据包的数量大致相同,每个周期之间DNS数据包数量变化的趋势也相同。该周期是与本方法是应用的实施环境密切相关的,例如,DNS数据包数量变化的周期为一周(7天),那么正常情况下本周周三12点的DNS数据报数量和上周周三12点的数据报数量会保持基本一致,且本周内DNS数据报数量随时间变化的曲线与上一周内DNS数据报数量随时间变化的曲线形状相似。在上面举出的例子中,本步骤中提到的目标时刻就相当于本周周三12点,历史时刻就相当于上周周三12点,历史时刻早于目标时刻一周的时间(即预设时长)。当然,此处并不对预设时长的具体数值进行限定,本领域的技术人员可以根据实际应用情况灵活选择24小时、一周、一个月或其他合适的时长。当然,该预设时长也可以不是只是必须为DNS数据包数量变化的一个周期,也可以是多个周期,但是像个周期越长检测的效果不好,因此,优选的,该预设时长为DNS数据包数量变化的一个周期。
[0046] 需要说明的是,本实施例中默认历史时刻的第二数据包数量是正常的,即不存在异常增多的情况。作为一种优选的实施方案,在本步骤中可以先根据历史流量数据生成以DNS数据包数量为统计指标的时间序列;再分析时间序列确定目标时刻的第一DNS数据包数量和历史时刻的所述第二DNS数据包数量。
[0047] S102:判断第一DNS数据包数量与第二DNS数据包数量的比值是否大于预设值;若是,则进入S103;若否,则结束流程;
[0048] 其中,本步骤的目的在判断目标时刻是否存在DNS数据包异常增多的情况,在S101中得到的第一DNS数据包数量作为需要进行检测的信息,第二DNS数据包数量作为评价第一DNS数据包数量的参考量,计算第一DNS数据包数量与第二DNS数据包数量的比值,当该比值大于预设值时则说明存在DNS数据包数量异常增多的现象,其中该预设值可以根据应用环境灵活设定。进一步需要说明的是,DNS放大攻击最基本的表现就是某一时刻DNS数据包数量的异常增多,改异常增多不仅表现在与相邻时刻相比突然增加,关键在于表现在与早于目标时刻预设时长的历史时刻相比突然增加。由于DNS数据存在波动性变化的现象,因此仅仅根据目标时刻与相邻时刻相比突然增加不能够说明存在DNS放大攻击对应的异常增多的现象,需要与早于目标时刻预设时长的历史时刻进行比较。请参见图2,图2中目标时刻的DNS数据包数量与历史时刻DNS数据包数量相比明显增加了很多,因此图中的目标时刻存在DNS数据包数量异常增多的情况。
[0049] 在本步骤中,若判断第一DNS数据包数量与第二DNS数据包数量的比值不大于预设值,则可以认为目标时刻不存在DNS数据包数量异常增多的现象,可以结束流程。
[0050] S103:从历史流量数据中获取距离目标时刻预设时间范围内的待检DNS数据包;
[0051] 其中,本步骤是建立在判断目标时刻存在DNS数据包数量异常增多的
基础上,需要说明的是,DNS数据包数量异常增多是所有DNS放大攻击的共有的特性,但是并不能根据存在DNS数据包数量异常增多就能够判定一定存在DNS放大攻击,只能认定目标时刻存在DNS放大攻击的嫌疑,需要对相关的DNS数据包进行特征分析。
[0052] 可以理解的是,DNS放大攻击并不是仅存在于某一时刻的攻击行为,而是在某一时间段内都存在DNS放大攻击行为,因此,在S102已经确定目标时刻存在DNS数据包数量异常增多的基础上,可以初步认为目标时刻附件的时间段内都有可能存在DNS放大攻击,因此在本步骤中执行了从历史流量数据中获取距离目标时刻预设时间范围内的待检DNS数据包。例如,当检测到12:00存在DNS数据报异常增多的现象,可以分析12:00前后半个小时内的DNS数据包,即在本步骤中从历史流量数据中获取11:30至12:30内的DNS数据包,以便进行下一步骤的特征分析。
[0053] S104:对待检DNS数据包进行特征分析并根据特征分析结果判断是否存在DNS放大攻击;若是,则进入S105;若否,则结束流程;
[0054] 其中,本步骤的目的在于对DNS数据包数量异常增多的时刻附近的DNS数据包进行特征分析来具体判断是否存在DNS放大攻击的状况,作为一种优选的实施方案,可以通过多维特征分析来确定是否存在DNS放大攻击,具体的方法将在下一实施例中进行描述。
[0055] S105:输出检测到DNS放大攻击的安全事件。
[0056] 其中,在确定存在DNS放大攻击后可以输出相应的安全事件,以便提醒相关工作人员或启动相应的处理预案,以便将损失降至最低。此处的安全事件可以为网络安全事件,用于说明检测到DNS放大攻击。
[0057] 由于DNS数据包数量异常增多是所有DNS放大攻击的共有特征,因此本发明先检测目标时刻的第一DNS数据包数量是否存在异常的情况,进一步的,本实施例通过判断第一DNS数据包数量与历史时刻的第二DNS数据包数量的比值是否大于预设值来判断是否存在DNS数据包数量异常增多的情况。现有技术中通过设置一个固定的阈值来判断DNS数据包数量是否异常增多,但是由于DNS数据包数量会随时间呈现周期性变化,因此能难通过一个固定的阈值来对所有周期内的DNS数据包数量进行评价,这也就是现有技术很容易引起误报和漏报现象的根本原因。基于此,本实施例采用历史流量数据中的历史时刻的第二DNS数据包数量替代现有技术中的“阈值”,对目标时刻的第一数据包数量进行评价,历史时刻和目标时刻相隔预设时长且在在正常情况下历史时刻和目标时刻对应的DNS数据包数量应该基本相同,因此可以通过第一DNS数据包数量与第二DNS数据包数量的比值来判断是否存在DNS数据包数量异常增多的情况。当确定DNS数据报数量存在异常后再对目标时刻前后预设时间内的DNS数据包进行特征分析以便检测是否存在DNS放大攻击。本实施例能够准确检测不同应用环境的DNS放大攻击,进而降低误报率和漏报率。
[0058] 作为一种优选的实施例,下面实施例对第一个实施例中的S104进行了更为具体的说明。
[0059] 进行多维特征分析的方式包括但不限于下述方式:
[0060] 具体步骤可以包括:
[0061] 方式一:对所述待检DNS数据包进行域名特征分析并判断所述待检DNS数据包的域名中是否存在非法域名;若是,则存在所述DNS放大攻击;
[0062] 该方式为域名特征分析,因为要发送大量的DNS
请求,很多恶意
软件会在正常域名的前面加一个随机的字符串,具体的非法域名具体为正常域名与随机字符串组成的域名。
[0063] 方式二:对所述待检DNS数据包进行源IP特征分析并判断所述待检DNS数据包的源IP地址是否为预设IP地址;若否,则存在所述DNS放大攻击;
[0064] 该方式为源IP特征分析,如果源IP不是客户的IP地址,则很可能是
恶意软件主动发起的攻击,恶意软件将被攻击者的IP地址作为源IP发起大量的DNS请求。而这些DNS请求经过解析之后,会全部返回给被攻击的
服务器,对该服务器造成影响。
[0065] 方式三:对所述待检DNS数据包进行响应比及失败率分析并判断所述响应比是否小于预设响应比且所述失败率大于预设失败率;若是,则存在所述DNS放大攻击。
[0066] 正常的网络环境中,解析成功和解析失败的比例应是相对固定的,该方式可以分为两步:首先是否存在大量的DNS请求包没有收到响应包;若是,则此时可能正在对外发起攻击,需要再判断是否存在大量的DNS请求解析失败的情况,若是,则存在所述DNS放大攻击。
[0067] 上面是根据黑客进行DNS放大攻击的手段进行的三种分析特征的检测方式。需要说明的是,只要通过上述三种方式中的任意一种检测出存在DNS当大攻击则可以确定获取距离目标时刻预设时间范围内存在DNS放大攻击。可以存在上述三种步骤的组合,例如:当方法一无法判断存在DNS放大攻击时进入方法二,当方法二无法判断存在DNS放大攻击时进入方法三。即上述这三种方式可以构成逻辑上先后执行的关系,逐个通过上述方法进行判断,直至检测到DNS放大攻击,二具体的判断次序并不限定。当检测到DNS放大攻击后可以执行检测到DNS放大攻击后的相关步骤。
[0068] 请参见图3,图3为本申请实施例所提供的一种DNS放大攻击的检测系统的结构示意图;
[0069] 该系统可以包括:
[0070] 数量确定模块100,用于根据历史流量数据确定目标时刻的第一DNS数据包数量和历史时刻的第二DNS数据包数量;其中,所述历史时刻早于所述目标时刻预设时长;
[0071] 异常判断模块200,用于判断所述第一DNS数据包数量与所述第二DNS数据包数量的比值是否大于预设值;
[0072] 待检数据获取模块300,用于当所述比值大于所述预设值时,从所述历史流量数据中获取距离所述目标时刻预设时间范围内的待检DNS数据包;
[0073] 特征分析模块400,用于对所述待检DNS数据包进行特征分析并根据特征分析结果判断是否存在DNS放大攻击;若是,则输出检测到所述DNS放大攻击的安全事件。
[0074] 进一步的,数量确定模块100包括:
[0075] 时间序列生成单元,用于根据历史流量数据生成以DNS数据包数量为统计指标的时间序列;
[0076] 时间序列分析模块,用于分析所述时间序列,确定所述目标时刻的所述第一DNS数据包数量和所述历史时刻的所述第二DNS数据包数量;
[0077] 进一步的,特征分析模块400包括:
[0078] 第一分析单元,用于对所述待检DNS数据包进行域名特征分析并判断所述DNS数据包的域名中是否存在非法域名;若是,则存在所述DNS放大攻击;
[0079] 或,第二分析单元,用于对所述待检DNS数据包进行源IP特征分析并判断所述待检DNS数据包的源IP地址是否为预设IP地址;若否,则存在所述DNS放大攻击;
[0080] 或,第三分析单元,用于对所述待检DNS数据包进行响应比及失败率分析并判断所述响应比是否小于预设响应比且所述失败率大于预设失败率;若是,则存在所述DNS放大攻击。
[0081] 进一步的,所述非法域名具体为正常域名与随机字符串组成的域名。
[0082] 由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
[0083] 本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动
硬盘、
只读存储器(Read-Only Memory,ROM)、
随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0084] 本申请还提供了一种DNS放大攻击检测装置,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述DNS放大攻击的检测装置还可以包括各种网络
接口,电源等组件。
[0085]
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请
权利要求的保护范围内。
[0086] 还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
