專利名稱:Dns查詢流量異常的檢測方法、裝置和系統的制作方法
技術領域:
本發明涉及互聯網技術領域,特別是涉及一種DNS查詢流量異常的檢測方法、裝 置和系統。
背景技術:
域名系統(Domain Name System,DNS)主要用于完成從域名到IP地址的映射及其 它互聯網資源的解析,是當今互聯網中重要的基礎設施之一。由于網絡流量逐年快速增長 和網絡拓撲的復雜性,在宏觀上直接監測互聯網流量變得越來越困難;而DNS查詢流量作 為整個互聯網流量的重要反映,對其的監測更易實現、更具可行性。在進行DNS查詢流量異常檢測過程中,需要能夠描述DNS服務器所在網絡系統的 正常情況下的行為,以建立正常行為的分布規律,并且要能夠快速準確的發現此網絡系統 中出現的異常行為,如攻擊行為,以便網絡系統有足夠的響應時間。現有技術主要選擇一些檢測特征,以區分DNS查詢流量的正常狀態和異常狀態, 主要包括以下三種1)域名解析失敗率特征虛假域名請求最終會解析失敗,而正常情況下域名解析一般能夠正確執行。隨著 搜索引擎的不斷進步,正常情況下,需要用戶手工輸入域名的情況以及輸入錯誤的情況都 不斷減少,且單臺計算機單位時間內發起的域名請求數也不會太大,而當發生異常,如發生 攻擊時單個IP會有大量沒有成功解析的域名。2)網絡流量特征正常情況下,DNS服務器的查詢流量在同一時間段內比較穩定,浮動在特定范圍之 內。而發生異常,如發生攻擊時查詢流量會迅速增大,例如,在某一時間段內存在大量目標 地址為DNS服務器、端口為53的域名請求,從而引起DNS服務器的查詢流量反常和突變。3)大量請求的域名請求存在規律特征正常情況下,域名請求具有相對穩定性和隨機性的規律特征。穩定性是指存在幾 個訪問比較集中的域名,如大型知名網站的域名;隨機性是指訪問數量較少,如用戶通過搜 索引擎鏈接到的域名地址,這些地址多是用戶用來查詢信息偶然訪問到的域名。發明人在實現本發明實施例過程中發現,現有技術主要針對各區域的總流量特征 進行異常檢測,而在實際發生異常或攻擊中,總流量特征的變化往往不明顯,因而漏檢的幾 率較大。
發明內容
本發明實施例提供一種DNS查詢流量異常的檢測方法、裝置和系統,用以降低域 名系統查詢流量異常的漏檢率。本發明實施例提供了一種DNS查詢流量異常的檢測方法,包括根據預先劃分的地域單位,分別統計各地域的DNS查詢流量;
根據各地域的DNS查詢流量,分別確定多個時間片對應的協方差矩陣,并計算各 協方差矩陣的平均協方差矩陣;分別計算各時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性變化 值;在任一時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性變化值,大 于第一預設閾值時,則輸出瞬時報警信息,所述瞬時報警信息用于提示所述任一時間片DNS 查詢流量異常。本發明實施例還提供了一種DNS查詢流量異常的檢測裝置,包括地域流量統計模塊,用于根據預先劃分的地域單位,分別統計各地域的DNS查詢
流量;
矩陣確定模塊,用于根據各地域的DNS查詢流量,分別確定多個時間片對應的協 方差矩陣,并計算各協方差矩陣的平均協方差矩陣;矩陣相關性計算模塊,用于分別計算各時間片對應的協方差矩陣與所述平均協方 差矩陣的矩陣相關性變化值;瞬時報警模塊,用于在任一時間片對應的協方差矩陣與所述平均協方差矩陣的矩 陣相關性變化值,大于第一預設閾值時,則輸出瞬時報警信息,所述瞬時報警信息用于提示 所述任一時間片DNS查詢流量異常。本發明實施例還提供了一種DNS查詢流量異常的檢測系統,包括上述DNS查詢流 量異常的檢測裝置。本發明實施例基于地域屬性作為異常檢測的特征,如果所有地域的總DNS查詢流 量整體變化不大,但個別地域的DNS查詢流量發生異常,則可在本實施例矩陣相關性變化 值上反映出來,因而有利于降低域名系統查詢流量異常的漏檢率。
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可 以根據這些附圖獲得其他的附圖。圖1為本發明第一實施例提供的DNS查詢流量異常的檢測方法流程圖;圖2為本發明第二實施例提供的DNS分布式系統的結構示意圖;圖3為本發明第三實施例提供的DNS查詢流量異常的檢測方法流程圖;圖4為本發明第四實施例提供的DNS查詢流量異常的檢測裝置結構示意圖。
具體實施例方式下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完 整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于 本發明中的實施例,本領域普通技術人員在沒有付出創造性勞動前提下所獲得的所有其他 實施例,都屬于本發明保護的范圍。圖1為本發明第一實施例提供的DNS查詢流量異常的檢測方法流程圖。如圖1所示,本實施例提供的DNS查詢流量異常的檢測方法包括步驟11 根據預先劃分的地域單位,分別統計各地域的DNS查詢流量。各地域的DNS查詢流量的統計方式不受限制,例如,可以一定時間粒度,如以分鐘 為單位,分別統計各地域的DNS查詢流量;可有某一裝置集中統計;或者,可采用分布式系 統結構,由DNS分節點統計DNS分節點各自對應的地域的DNS查詢流量,再由各DNS分節點 將統計得到的DNS查詢流量匯總到某一 DNS中心節點,由該DNS中心節點進行后續的檢測。步驟12 根據各地域的DNS查詢流量,分別確定多個時間片對應的協方差矩陣,并 計算各協方差矩陣的平均協方差矩陣。本發明實施例不需要限定時間片的數量,不需要限定時間片的長度,也不需要限 定時間片的起始點;在實際應用中,本領域技術人員依據實際需要進行設定即可。可選的, 上述多個時間片的長度相同或不同,相鄰的兩個時間片在時間軸上相連或相互重疊。例如從某一檢測時刻開始,取5個時間片;其中,前三個時間片的長度為1分鐘, 后兩個時間片長度為3分鐘;第一個時間片從當前時間點至前1分鐘、第二個時間片從前1 分鐘至前2分鐘、第三個時間片從前2分鐘至前3分鐘、第四個時間片從前2分鐘到前5分 鐘,第五個時間片從前4分鐘到前6分鐘。本步驟分別計算各時間片對應的協方差矩陣。每個時間片對應的協方差矩陣以基 于地域的屬性信息為元素,如以在該時間片內劃分的各時間間隔內觀察到的各地域的DNS 查詢流量變化方差為元素;各時間片對應的協方差矩陣的維數相同。計算各時間片對應的 各協方差矩陣的平均協方差矩陣。該平均協方差矩陣可經長期學習預先得到,可近似作為 各地域DNS查詢流量處于正常狀態時的協方差矩陣。步驟13 分別計算各時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相 關性變化值。將任一時間片對應的協方差矩陣與平均協方差矩陣進行比較,計算二者的相關性 變化,本發明實施例將該相關性變化稱為矩陣相關性變化值,其值可等于該協方差矩陣與 平均協方差矩陣的距離。步驟14 在任一時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性 變化值,大于第一預設閾值時,則輸出瞬時報警信息,所述瞬時報警信息用于提示所述任一 時間片DNS查詢流量異常。任一時間片對應的協方差矩陣與平均協方差矩陣的矩陣相關性變化值,反映了該 時間片內各地域的DNS查詢流量變化。因此,以矩陣相關性變化值為特征檢測DNS查詢流 量是否異常,相當于以各地域的DNS查詢流量等地域屬性為特征,檢測DNS查詢流量是否異常.第一預設閾值可根據長期學習得到的經驗值預先確定。當矩陣相關性變化值大 于第一預設閾值時,表示該時間片對應的協方差矩陣相對于平均協方差矩陣的相關性變化 大,該時間片內各地域的DNS查詢流量統計特性,相對于平均協方差矩陣反映出的各地域 DNS查詢流量處于正常狀態下的統計特性,存在較大偏差。該情形下,可輸出瞬時報警信息, 用于提示該時間片內各地域的DNS查詢流量異常。本實施例基于地域屬性作為異常檢測的特征,如果所有地域的總DNS查詢流量整 體變化不大,但個別地域的DNS查詢流量發生異常,則可在本實施例矩陣相關性變化值上反映出來,因而有利于降低域名系統查詢流量異常的漏檢率。圖2為本發明第二實施例提供的DNS分布式系統的結構示意圖。如圖2所示的 DNS分布式系統中包括一個DNS中心節點和多個DNS分節點,每個DNS分節點分別與DNS 中心節點以可通信的方式連接,如通過因特網(Internet)通信連接。各DNS分節點將各自 統計到的各地域的DNS查詢流量匯總到DNS中心節點上,由DNS中心節點檢測DNS查詢流
量是否發生異常。圖3為本發明第三實施例提供的DNS查詢流量異常的檢測方法流程圖。本實施例 以圖2所示的分布式系統為例,說明本發明DNS查詢流量異常的檢測方法。如圖2和圖3 所示,本實施例檢測方法包括步驟31 各DNS分節點以一定的時間粒度分別統計各自地域的DNS查詢流量,并 將 統計到的DNS查詢流量上報給DNS中心節點。DNS分節點在接收到DNS查詢數據包時,獲取DNS查詢數據包中的源IP地址,利用 DNS 分節點本地預先建立的地理信息數據庫,將源IP地址映射到一定的地域單位,如將源 IP地址映射到某省級行政單位;以一定的時間粒度,如以1分鐘為周期,統計各地域的DNS 查詢流量。當一個時間粒度終結時,將該時間粒度統計的各地域的DNS查詢流量上傳到DNS 中心節點。例如以省為行政單位,將某國劃分為34個省級行政單位,每個時間粒度需上傳 34個地域屬性,每個地域屬性為1個省級行政單位在該時間粒度內的DNS查詢流量。本領域技術人員可以理解,雖然本實施例是以分布式系統為例進行說明,但在只 應用單個DNS節點的系統中也可實現;區別在于,在應用單個DNS節點的系統中,由該單個 DNS節點,如本步驟由DNS中心節點根據預先劃分的地域單位,分別統計各地域的DNS查詢 流量。步驟32 =DNS中心節點分別確定多個時間片對應的協方差矩陣,并計算各協方差 矩陣的平均協方差矩陣。在實際應用過程中,可基于地域屬性,即根據各地域的DNS查詢流量構造協方差 矩陣。以下對基于地域屬性構造協方差矩陣的具體算法實現舉例說明,但顯然本領域技術 人員還可基于地域屬性采用其他方法構造協方差矩陣,本實施例以下示例不應理解為對本 發明實現方式的具體限制。 假設預先將某國劃分為ρ個地域單位,每個地域在某一時間片內的DNS查詢流量 構成一地域屬性,分別表示為f1; ···,&。某一時間片內的各地域屬性構成一個隨機向量X =(f1 ···,&)'。在同一時間片內觀察多次,如觀察η次,令Xl,…,個觀察向量,
Xj為1個時間片1內的第j個觀察向量。ff表示在1個時間片1內的第j個
觀察的第i個地域的DNS查詢流量,其中,1表示時間片的長度;i表示地域,且1 < i彡ρ ;
j表示觀察向量的序號,且1 < j < η。定義一個新的變量yi 本實施例不妨定義協方差矩陣Myl來描述變量yi Myl是一個ρ行ρ列的矩陣,其中,每一元素對應兩兩地域DNS查詢流量的協方差, 如元素表示第1個時間片內第i個地域的DNS查詢流量與第j個地域的DNS查詢流 量的協方差,且 其中,E^i1)為第1個時間片內第i個地域的DNS查詢流量均值。如果在第1個時間片內對第i個地域的DNS查詢流量共觀察η次,則 依據上述定義可得到多個時間片的協方差矩陣,計算多個協方差矩陣的平均協方 差矩陣,平均協方差矩陣表示為E(Myl)。如果L個時間片中,各個時間片的長度均為1,在時間軸上相連且不重疊,則平均 協方差矩陣E (Myl)可采用下式確定 如果L個時間片中,部分時間片的長度相同,而部分時間片的長度不同,則可對各 個時間片的協方差矩陣進行歸一化和拓展處理,得到最小時間片長度對應的協方差矩陣的 平均協方差矩陣。步驟33 =DNS中心節點分別計算各時間片對應的協方差矩陣,與平均協方差矩陣 的矩陣相關性變化值。任一時間片對應的協方差矩陣,與平均協方差矩陣之間的矩陣相關性變化值可采 用二個矩陣之間的距離Z1表示,Z1為 步驟34 =DNS中心節點判斷是否存在矩陣相關性變化值大于第一預設閾值的協方 差矩陣,如果存在,執行步驟35 ;否則,執行步驟37。步驟35 =DNS中心節點根據所述任一時間片對應的協方差矩陣以及所述平均協方 差矩陣分別包括的各元素,分別計算所述任一時間片內各地域的屬性相關性變化值,任一 元素為任兩個地域的DNS查詢流量的協方差;對所述任一時間片內各地域的屬性相關性變 化值進行聚類分析,得到異常地域屬性,所述異常地域屬性對應所述任一時間片DNS查詢 流量異常所在的地域。
某一時間片對應的協方差矩陣與平均協方差矩陣的矩陣相關性變化值,大于第一 預設閾值,則說明該時間片內統計得到的各地域的DNS查詢流量異常,因而可得到發生DNS 查詢流量異常的時間信息。為了提高異常檢測的準確性,可選的,還可對相應時間片內各地 域的屬性相關性變化值進行聚類分析,以確定該時間片內DNS查詢流量異常的地域信息, 即確定該時間片內,哪個地域的DNS查詢流量發生異常。發明人在實踐本發明實施例過程中發現,當某一時間片內DNS查詢流量異常時, 通常不是所有地域屬性共同導致的,而是部分地域屬性導致的。不妨令任一時間片對應的協方差矩陣,與平均協方差矩陣之間的相對均值的協方 差變化矩陣為Δ Myl,且 其中,ΔσΛ///為協方差變化矩陣AMyl第i行j列的元素,表示第1個時間片內,
第i個地域的DNS查詢流量與第j個地域的DNS查詢流量的協方差,相對于均值協方差的變化。為了有效定位發生異常的地域,可計算某一時間片內,任一地域的DNS查詢流量 相對于該地域的DNS正常查詢流量的相關性變化,該相關性變化即為本發明實施例所述的
屬性相關性變化值,以下表示為 其中,Δσ^γ為協方差變化矩陣Δ Myl第i行j列的元素,表示第1個時間片內,第
i個地域的DNS查詢流量與第j個地域的DNS查詢流量的協方差,相對于均值協方差的變 化;口1表示第1個時間片對應的協方差矩陣中與第i個地域相關的協方差變化,即第1個 時間片內,第i個地域的屬性相關性變化值。可采用聚類分析的方法區分屬性相關性中的正常屬性和異常屬性,如把各地域的 屬性相關度變化值劃分為正常和異常兩類,將屬性相關度變化值大于某一預設閾值的地域 屬性作為異常地域屬性,剩余地域屬性作為正常地域屬性,具體可采用K-Means算法進行 聚類分析,得到異常地域屬性,從而確定在該時間片內發生DNS查詢異常的地域。由于采用本實施例所述的方法不僅可確定發生DNS查詢流量異常的時間信息,還 可確定發生DNS查詢流量異常的地域,因此,提高了 DNS查詢流量檢測的準確性。步驟36 =DNS中心節點對矩陣相關性變化值大于第一預設閾值的協方差矩陣進行 平滑處理,以使該協方差矩陣與平均協方差矩陣的矩陣相關性變化值,小于或等于第一預 設閾值;執行步驟39。平滑處理的具體實現方式不受限制,例如可將該協方差矩陣各地域屬性元素進 行等比例縮小,以使該協方差矩陣與平均協方差矩陣的矩陣相關性變化值,小于或等于第一預設閾值。步驟37 檢測在一預設時間段包括的各時間片對應的協方差矩陣與平均協方差 矩陣的矩陣相關性變化值,大于第二預設閾值且小于或等于第一預設閾值的矩陣數量。本步驟中的預設時間段可由多個時間片組成。在該時間段內,雖然各個時間片內 的矩陣相關性變化值沒有超過第一預設閾值,但有可能臨近第一預設閾值,處于準異常狀 態。為了有效提供預警信息,可根據長期學習得到的經驗值預先確定第二預設閾值,且第二 預設閾值小于第一預設閾值。當某一時間片的矩陣相關性變化值大于第二預設閾值且小于或等于第一預設閾 值時,表示該時間片內雖然未輸出瞬時告警,但發生異常的幾率較高。該情形下,可統計該 時間段內矩陣相關性變化值大于第二預設閾值且小于或等于第一預設閾值的矩陣數量,并 進行時間段DNS查詢流量檢測,確定是否需要進行時間段告警,以進一步提高異常檢測的 漏檢率。步驟38 在所述矩陣數量大于第三預設閾值時,則輸出時間段報警信息,所述時 間段報警信息用于提示所述時間段DNS查詢流量異常;執行步驟39。時間段異常報警是另一種異常報警方式。本實施例可根據長期學習得到的經驗值 預先確定第三預設閾值。在采用步驟37所述的方法確定的矩陣數量大于第三預設閾值時, 說明在該時間段內處于準異常狀態的時間片密度較大,則可輸出時間段報警信息,用于該 時間段DNS查詢流量異常。如果采用步驟37所述的方法確定的矩陣數量小于或等于第三 預設閾值,則說明在該時間段內處于準異常狀態的時間片密度較小,該情形下不需要進行 時間段報警。可選的,在時間段報警過程中,可對步驟37確定的時間片分別對應的、矩陣相關 性變化值大于第二預設閾值且小于或等于第一預設閾值的協方差矩陣的地域屬性元素進 行聚類分析,確定DNS查詢流量準異常的地域,具體實現方式與步驟35相似,這樣,可得到 準異常的時間信息和地域信息。步驟39 待下一檢測周期到來時,執行步驟32。在實際應用中攻擊者很難人為篡改地域特征,本實施例在時間片瞬時異常報警的 基礎上,還可以基于聚類分析的異常屬性,有效定位該時間片內異常的發生地域,提高了異 常檢測的準確性。進一步的,本實施例可將時間片瞬時異常報警和時間段異常報警相結合, 一方面及時提示DNS查詢流量發生異常的時間信息和地域信息,另一方面可對某一時間段 內處于準異常狀態的時間片密度較大時,及時進行時間段報警以提示該時間段DNS查詢流 量異常,因此本實施例明顯降低了異常檢測的漏檢率,有效提高了異常檢測的準確性。可選的,上述對時間段異常檢測的過程中,還可在另一實施例中統計矩陣相關性 變化值大于第二預設閾值的矩陣數量,將該矩陣數量與第三預設閾值進行比較,從而確定 該時間段是否發生DNS查詢流量異常;其實現方式與本實施例相似,在此不再贅述。對矩陣相關性變化值大于第一預設閾值的矩陣進行平滑處理的好處在于如果沒 有對矩陣相關性變化值大于第一預設閾值的協方差矩陣進行平滑處理,則可能造成虛警, 影響后續檢測的準確性。例如在進行異常檢測時,如果存在遠遠大于第一預設閾值的矩陣 相關性變化值,則在進行時間段異常檢測時,可能僅由這些變化值造成其臨近的時間段異 常,而不是由在這些時間段內密集出現的大于第二預設閾值的變化值造成時間段異常,從而在實際應用中造成虛警,影響檢測的準確度。因此本實施例通過本步驟對矩陣相關性變 化值大于第一預設閾值的協方差矩陣進行平滑處理,使得這些協方差矩陣的矩陣相關性變 化值不大于第一預設閾值,既在一定程度上保留了這些變化值信息,又使其不至于對時間 段異常檢測造成過大的影響。DNS查詢流量檢測的目標主要是及時發現異常,以利于告警和采取相應的處置措 施。這種DNS流量異常的來源通常可以分為兩個方面一是DNS系統或網絡本身的異常,如 配置錯誤,攻擊等等;另一方面涉及到網絡輿情,即網絡系統本身是正常的,而網絡用戶群 體性的行為特征發生異常。
本發明實施例由DNS中心節點收集由各個DNS分節點統計的各地域屬性信息,或 者,由DNS中心節點統計各地域屬性信息,然后基于地域屬性作為異常檢測的特征,這種特 征不僅對于DNS系統或網絡本身的異常很敏感,而且可以有效反映網絡輿情的異常,因此 可以大大減少上述兩種異常的漏檢率,尤其后者是現有方法所沒有解決的。其中,網絡輿情定義為通過互聯網傳播的公眾對現實生活中某些熱點、焦點問題 所持的有較強影響力、傾向性的言論和觀點,主要通過BBS論壇、博客、新聞跟帖、轉帖等實 現并加以強化。由于互聯網具有虛擬性、隱蔽性、發散性、滲透性和隨意性等特點,越來越多 的網民愿意通過這種渠道來表達觀點、傳播思想。由于網絡媒體本身的開放、快捷、虛擬、易 復制等特征,網絡輿情也有別于傳統輿情。同時,互聯網涌現性特性使得大量網絡輿情的爆 發,某種程度上成為輿情安全的重要因素。當前,網絡輿情分析的研究對象集中在網絡媒體內容、具體網絡應用的用戶互動 關系以及網絡突發流量方面。域名訪問是信息內容傳播過程中必不可少的環節,域名系統 能夠準確記錄用戶訪問信息通信服務的地址特性、時間特性,而且能夠反映出用戶的行為 特性,具備構建相應輿情態勢分析和預警機制的技術基礎。利用域名訪問行為中蘊藏的豐 富信息,探索和發現信息網絡中的行為模式和異常情況,有利于準確的掌握信息網絡的宏 觀輿情態勢,可視為現有基于網絡媒體內容相關方法的一個重要的補充。利用域名訪問日 志提供的用戶信息,開展針對特定地域和人群的輿情態勢分析技術研究,彌補了現有方法 對網絡用戶主體信息缺乏了解的缺點,加強了網絡輿情分析的主體針對性。本發明上述實施例利用基于地域信息相關性作為異常檢測的特征,不僅對于DNS 系統或網絡本身的異常很敏感,而且可以有效反映網絡輿情的異常,因此可以大大減少上 述兩種異常的漏檢率。圖4為本發明第四實施例提供的DNS查詢流量異常的檢測裝置結構示意圖。如圖 4所示,本實施例DNS查詢流量異常的檢測裝置包括地域流量統計模塊41、矩陣確定模塊 42、矩陣相關性計算模塊43和瞬時報警模塊44。地域流量統計模塊41用于根據預先劃分的地域單位,分別統計各地域的DNS查詢流量。矩陣確定模塊42用于根據各地域的DNS查詢流量,分別確定多個時間片對應的協 方差矩陣,并計算各協方差矩陣的平均協方差矩陣。矩陣相關性計算模塊43用于分別計算各時間片對應的協方差矩陣與所述平均協 方差矩陣的矩陣相關性變化值。瞬時報警模塊44用于在任一時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性變化值,大于第一預設閾值時,則輸出瞬時報警信息,所述瞬時報警信息用于提 示所述任一時間片DNS查詢流量異常。在上述技術方案的基礎上,可選的,檢測裝置還可包括屬性相關性計算模塊45 和異常地域屬性確定模塊46。屬性相關性計算模塊45用于根據所述任一時間片對應的協方差矩陣以及所述平 均協方差矩陣分別包括的各元素,分別計算所述任一時間片內各地域的屬性相關性變化 值,任一元素為任兩個地域的DNS查詢流量的協方差。異常地域屬性確定模塊46用于對所述任一時間片內各地域的屬性相關性變化值 進行聚類分析,得到異常地域屬性,所述異常地域屬性對應所述任一時間片DNS查詢流量 異常所在的地域。可選的,本實施例檢測裝置還可包括平滑處理模塊47。平滑處理模塊47用于對所述任一時間片對應的協方差矩陣進行平滑處理,以使 所述任一時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性變化值,小于或等 于第一預設閾值。可選的,本實施例檢測裝置還可包括時間片確定模塊48。時間片確定模塊48用于確定所述多個時間片,所述多個時間片的長度相同或不 同,且相鄰的兩個時間片在時間軸上相連或相互重疊。在上述技術方案的基礎上,可選的,本實施例檢測裝置還可包括矩陣數量確定模 塊49和時間段報警模塊410。矩陣數量確定模塊49用于檢測在一預設時間段包括的各時間片對應的協方差矩 陣與所述平均協方差矩陣的矩陣相關性變化值,大于第二預設閾值的矩陣數量,或者大于 第二預設閾值且小于或等于第一預設閾值的矩陣數量。時間段報警模塊410用于在所述矩陣數量大于第三預設閾值時,則輸出時間段報 警信息,所述時間段報警信息用于提示所述時間段DNS查詢流量異常。本實施例提供的DNS查詢流量異常的檢測裝置,基于地域屬性作為異常檢測的特 征,如果所有地域的總DNS查詢流量整體變化不大,但個別地域的DNS查詢流量發生異常, 則可在本實施例矩陣相關性變化量上反映出來,因而有利于降低域名系統查詢流量異常的 漏檢率。本實施例可確定DNS查詢流量異常的時間信息和地域信息,有利于提高異常檢測 的精準性。進一步的,本實施例可將時間片瞬時異常報警和時間段異常報警相結合,可明顯 降低了異常檢測的漏檢率,有效提高了異常檢測的準確性。本實施例檢測裝置的具體表現 實體不受限制,如可為DNS服務器、分布式系統中的DNS中心節點等,其實現DNS查詢流量 異常的檢測機理,可參見圖1和圖3對應實施例的記載,在此不再贅述。本發明還提供了一種包括如圖4所示的DNS查詢流量異常的檢測系統。可選的, 該檢測系統可具有分布式結構,如可包括一檢測裝置和多個DNS分節點,該檢測裝置相當 于DNS中心節點,系統結構如圖2所示。每個DNS分節點與檢測裝置以可通信方式連接,用 于DNS分節點,用于統計各地域的DNS查詢流量,并將統計到的DNS查詢流量上報給所述檢 測裝置,由檢測裝置進行DNS查詢流量異常的檢測。本發明提供的檢測系統實現DNS查詢 流量異常的檢測機理,可參見圖1和圖3對應實施例的記載,在此不再贅述。本領域普通技術人員可 以理解附圖只是一個實施例的示意圖,附圖中的模塊或流程并不一定是實施本發明所必須的。本領域普通技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述分 布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中。上 述實施例的模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過 程 序指令相關的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質中,該程序 在執行時,執行包括上述方法實施例的步驟;而前述的存儲介質包括R0M、RAM、磁碟或者 光盤等各種可以存儲程序代碼的介質。最后應說明的是以上實施例僅用以說明本發明的技術方案,而非對其限制;盡 管參照前述實施例對本發明進行了詳細的說明,本領域的普通技術人員應當理解其依然 可以對前述實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換; 而這些修改或者替換,并不使相應技術方案的本質脫離本發明實施例技術方案的精神和范圍。
權利要求
一種DNS查詢流量異常的檢測方法,其特征在于,包括根據預先劃分的地域單位,分別統計各地域的DNS查詢流量;根據各地域的DNS查詢流量,分別確定多個時間片對應的協方差矩陣,并計算各協方差矩陣的平均協方差矩陣;分別計算各時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性變化值;在任一時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性變化值,大于第一預設閾值時,則輸出瞬時報警信息,所述瞬時報警信息用于提示所述任一時間片DNS查詢流量異常。
2.根據權利要求1所述的檢測方法,其特征在于,在任一時間片對應的協方差矩陣與 所述平均協方差矩陣的矩陣相關性變化值,大于第一預設閾值時,還包括根據所述任一時間片對應的協方差矩陣以及所述平均協方差矩陣分別包括的各元素, 分別計算所述任一時間片內各地域的屬性相關性變化值,任一元素為任兩個地域的DNS查 詢流量的協方差;對所述任一時間片內各地域的屬性相關性變化值進行聚類分析,得到異常地域屬性, 所述異常地域屬性對應所述任一時間片DNS查詢流量異常所在的地域。
3.根據權利要求1所述的檢測方法,其特征在于,還包括對所述任一時間片對應的協方差矩陣進行平滑處理,以使所述任一時間片對應的協方 差矩陣與所述平均協方差矩陣的矩陣相關性變化值,小于或等于第一預設閾值。
4.根據權利要求1所述的檢測方法,其特征在于,所述多個時間片的長度相同或不同, 且相鄰的兩個時間片在時間軸上相連或相互重疊。
5.根據權利要求1-4任一所述的檢測方法,其特征在于,還包括檢測在一預設時間段包括的各時間片對應的協方差矩陣與所述平均協方差矩陣的矩 陣相關性變化值,大于第二預設閾值的矩陣數量,或者大于第二預設閾值且小于或等于第 一預設閾值的矩陣數量;在所述矩陣數量大于第三預設閾值時,則輸出時間段報警信息,所述時間段報警信息 用于提示所述時間段DNS查詢流量異常。
6.根據權利要求5所述的檢測方法,其特征在于,任一時間片對應的協方差矩陣與所 述平均協方差矩陣的矩陣相關性變化值,等于所述任一時間片對應的協方差矩陣與所述平 均協方差矩陣的距離。
7.一種DNS查詢流量異常的檢測裝置,其特征在于,包括地域流量統計模塊,用于根據預先劃分的地域單位,分別統計各地域的DNS查詢流量; 矩陣確定模塊,用于根據各地域的DNS查詢流量,分別確定多個時間片對應的協方差 矩陣,并計算各協方差矩陣的平均協方差矩陣;矩陣相關性計算模塊,用于分別計算各時間片對應的協方差矩陣與所述平均協方差矩 陣的矩陣相關性變化值;瞬時報警模塊,用于在任一時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相 關性變化值,大于第一預設閾值時,則輸出瞬時報警信息,所述瞬時報警信息用于提示所述 任一時間片DNS查詢流量異常。
8.根據權利要求7所述的檢測裝置,其特征在于,還包括屬性相關性計算模塊,用于根據所述任一時間片對應的協方差矩陣以及所述平均協方 差矩陣分別包括的各元素,分別計算所述任一時間片內各地域的屬性相關性變化值,任一 元素為任兩個地域的DNS查詢流量的協方差;異常地域屬性確定模塊,用于對所述任一時間片內各地域的屬性相關性變化值進行聚 類分析,得到異常地域屬性,所述異常地域屬性對應所述任一時間片DNS查詢流量異常所 在的地域。
9.根據權利要求7所述的檢測裝置,其特征在于,還包括平滑處理模塊,用于對所述任一時間片對應的協方差矩陣進行平滑處理,以使所述任 一時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性變化值,小于或等于第一 預設閾值。
10.根據權利要求7所述的檢測裝置,其特征在于,還包括 時間片確定模塊,用于確定所述多個時間片,所述多個時間片的長度相同或不同,且相 鄰的兩個時間片在時間軸上相連或相互重疊。
11.根據權利要求7-10任一所述的檢測裝置,其特征在于,還包括矩陣數量確定模塊,用于檢測在一預設時間段包括的各時間片對應的協方差矩陣與所 述平均協方差矩陣的矩陣相關性變化值,大于第二預設閾值的矩陣數量,或者大于第二預 設閾值且小于或等于第一預設閾值的矩陣數量;時間段報警模塊,用于在所述矩陣數量大于第三預設閾值時,則輸出時間段報警信息, 所述時間段報警信息用于提示所述時間段DNS查詢流量異常。
12.—種DNS查詢流量異常的檢測系統,其特征在于,包括如權利要求7-11任一所述的 DNS查詢流量異常的檢測裝置。
13.根據權利要求12所述的檢測系統,其特征在于,還包括分別與所述檢測裝置以可 通信方式連接的多個DNS分節點;任一所述DNS分節點,用于統計各地域的DNS查詢流量,并將統計到的DNS查詢流量上 報給所述檢測裝置。
全文摘要
本發明涉及一種DNS查詢流量異常的檢測方法、裝置和系統,屬于互聯網技術領域;該檢測方法包括根據預先劃分的地域單位,分別統計各地域的DNS查詢流量;根據各地域的DNS查詢流量,分別確定多個時間片對應的協方差矩陣,并計算各協方差矩陣的平均協方差矩陣;分別計算各時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性變化值;在任一時間片對應的協方差矩陣與所述平均協方差矩陣的矩陣相關性變化值,大于第一預設閾值時,則輸出瞬時報警信息,用于提示所述任一時間片DNS查詢流量異常。本發明有利于降低域名系統查詢流量異常的漏檢率。
文檔編號H04L29/12GK101841435SQ20101003425
公開日2010年9月22日 申請日期2010年1月18日 優先權日2010年1月18日
發明者李曉東, 毛偉, 王欣, 王正, 金鍵 申請人:中國科學院計算機網絡信息中心