域名解析服務dns系統中監控報文的方法、裝置及系統的制作方法
【專利摘要】本發明公開了一種域名解析服務DNS系統中監控報文的方法、裝置及系統,能夠對現有針對DNS的專項攻擊提供全面的監測和防護能力,提高監控的準確性。該方法包括:以第一預設時長作為采樣周期,獲得域名解析服務器DNS和任一用戶終端之間傳輸的報文;針對在當前采樣周期內,任一獲得的報文,確定所述報文的報文類型;根據確定出的報文類型,確定所述報文的報文長度值、訪問次數以及生存周期中的至少兩個參數;根據確定出的包含報文長度值、訪問次數以及生存周期中的至少兩個參數,確定所述報文在當前采樣周期內對應的監控評估值;根據確定出的監控評估值,對所述DNS和任一用戶終端之間傳輸的報文進行監控。
【專利說明】域名解析服務DNS系統中監控報文的方法、裝置及系統
【技術領域】
[0001] 本發明涉及網絡安全【技術領域】,尤其是涉及一種域名解析服務DNS系統中監控報 文的方法、裝置及系統。
【背景技術】
[0002] 作為互聯網的早期協議,考慮到當時主機的分布情況,在設計之初基于域名服務 (DNS,Domain Name Service)協議的DNS系統,是建立在互信基礎之上,是一個完全開放的 協作體系,該系統中傳輸的各類數據沒有進行加密,沒有提供適當的信息保護和認證機制, 也沒有對各種查詢進行準確的識別,同時對網絡基礎設施和核心骨干設備的保護沒有受到 足夠重視,因此導致了后期DNS系統很容易遭受攻擊,安全性較差。
[0003] 其中,對DNS系統的攻擊方式主要有以下幾種方式:
[0004] 第一種攻擊方式是流量型拒絕服務攻擊。例如基于用戶數據包協議(UDP, User Datagram Protocol)流(flood)、基于傳輸控制協議(TCP,Transmission Control Protocol) flood、DNS請求flood,或拼(PING) flood等。該種方式下的攻擊的典型特征是 消耗掉DNS服務器的資源,使其不能及時響應正常的DNS解析請求。其中,資源的消耗包括 對服務器CPU、網絡資源等的消耗。
[0005] 第二種攻擊方式是異常請求訪問攻擊。例如超長域名請求、異常域名請求等。該 種方式下的攻擊的特點是通過發掘DNS服務器的漏洞,通過偽造特定的請求報文,導致DNS 服務器軟件工作異常而退出或崩潰而無法啟動,達到影響DNS服務器正常工作的目的。
[0006] 第三種攻擊方式是DNS劫持攻擊。例如DNS緩存"投毒"、篡改授權域內容、ARP欺 騙劫持授權域等。該種方式下的攻擊的特點是通過直接篡改解析記錄或在解析記錄傳遞過 程中篡改其內容或搶先應答,從而達到影響解析結果的目的。
[0007] 第四種攻擊方式是攻擊者利用DNS進行攻擊。例如攻擊者控制僵尸機群采用被攻 擊主機的IP地址偽裝成被攻擊主機發送域名解析請求,大量的域名解析請求被DNS服務器 遞歸查詢解析后,DNS服務器發送響應給被攻擊者,大量的響應數據包從不同的DNS服務器 傳回構成了分布式拒絕服務(DDoS,Distributed Denial of Service)攻擊。
[0008] 除上述四種攻擊方式外,DNS操作安全問題還包括域名注冊攻擊、配置安全問題等 等。
[0009] 為提高DNS的安全性,通常情況下采用下述技術方式來對DNS的安全進行監控和 防護:
[0010] 第一種防護方式:通過通用的防火墻防護。例如在防火墻上添加一些針對DNS攻 擊的過濾規則,從而阻斷DNS攻擊。該種防護方式的缺陷在于:通過設置防火墻上DNS服務 的規則可以防范部分攻擊,如DDoS攻擊、中間人攻擊,但是對于大部分針對DNS的專項攻擊 無能為力。
[0011] 第二種方式:通過設置流量清洗系統進行安全防護。在骨干傳輸鏈路和DNS服務 器所在的傳輸鏈路上進行流量清洗,區分出正常業務流量和攻擊流量,保障業務正常運行。 該種方式的缺陷在于:流量清洗系統能較好的區分DoS/DDoS流量和正常業務流量,保證 DNS正常服務,但是不能區分對DNS的專項攻擊,如DNS緩存投毒攻擊。
[0012] 第三種方式:通過設置專用的DNS監控系統進行安全防護。例如用戶側將DNS請 求發送給代理服務器,由代理服務器向位于內部網絡中的DNS服務器請求處理所述DNS請 求,并將所述DNS服務器提供的DNS應答轉發給用戶側。該種方式的缺陷在于一般只能針 對某些特定攻擊進行檢測,并且防護能力有限。
[0013] 綜上所述,上述提出的DNS安全監控的實施方式,不能對現有針對DNS的專項攻擊 提供全面的監測和防護能力,局限性較強,準確性較低。
【發明內容】
[0014] 本發明實施例提供了一種域名解析服務DNS系統中監控報文的方法、裝置及系 統,能夠對現有針對DNS的專項攻擊提供全面的監測和防護能力,提高監控的準確性。
[0015] 一種域名解析服務DNS系統中監控報文的方法,包括:以第一預設時長作為采樣 周期,獲得域名解析服務器DNS和任一用戶終端之間傳輸的報文;針對在當前采樣周期內, 任一獲得的報文,確定所述報文的報文類型;根據確定出的報文類型,確定所述報文的報文 長度值、訪問次數以及生存周期中的至少兩個參數;根據確定出的包含報文長度值、訪問次 數以及生存周期中的至少兩個參數,確定所述報文在當前采樣周期內對應的監控評估值, 其中所述監控評估值是用于確定所述報文是否異常的數值;根據確定出的監控評估值,對 所述DNS和任一用戶終端之間傳輸的報文進行監控。
[0016] 一種域名解析服務DNS系統中監控報文的裝置,包括:數據采集模塊,用于以第 一預設時長作為采樣周期,獲得域名解析服務器DNS和任一用戶終端之間傳輸的報文;數 據緩存和分析模塊,用于針對在當前采樣周期內,任一獲得的報文,確定所述報文的報文類 型;根據確定出的報文類型,確定所述報文的報文長度值、訪問次數以及生存周期中的至少 兩個參數;根據確定出的包含報文長度值、訪問次數以及生存周期中的至少兩個參數,確定 所述報文在當前采樣周期內對應的監控評估值,其中所述監控評估值是用于確定所述報文 是否異常的數值;監控模塊,用于根據確定出的監控評估值,對所述DNS和任一用戶終端之 間傳輸的報文進行監控。
[0017] 一種域名解析服務DNS系統中監控報文的系統,包括域名解析服務器DNS和DNS 監控裝置,其中:所述DNS,用于和任一用戶終端之間傳輸報文;所述DNS監控裝置,用于以 第一預設時長作為采樣周期,獲得域名解析服務器DNS和任一用戶終端之間傳輸的報文; 針對任一獲得的報文,確定所述報文的報文類型;根據確定出的報文類型,確定在當前采樣 周期內,所述報文的報文長度值、訪問次數以及生存周期中的至少兩個參數;根據確定出的 包含報文長度值、訪問次數以及生存周期中的至少兩個參數,確定所述報文在當前采樣周 期內對應的監控評估值,其中所述監控評估值是用于確定所述報文是否異常的數值;根據 確定出的監控評估值,對所述DNS和任一用戶終端之間傳輸的報文進行監控。
[0018] 采用上述技術方案,在采樣周期內,針對獲得的DNS和任一用戶終端之間傳輸的 報文,根據報文類型,確定不同報文類型在當前采樣周期內對應的監控評估值,最后根據確 定出的監控評估值,對所述DNS和任一用戶終端之間傳輸的報文進行監控,相比現有技術, 上述技術方案在每一采樣周期內對每一條報文進行分析,得到每個監控報文的評估值,然 后對傳輸的報文進行監控,能夠對現有針對DNS的專項攻擊提供全面的監測和防護能力, 提高監控的準確性。
【專利附圖】
【附圖說明】
[0019] 圖1為本發明實施例中,提出的DNS系統中監控報文的監控系統結構組成示意 圖;
[0020] 圖2為本發明實施例中,提出的一種DNS系統中監控報文的方法流程圖;
[0021] 圖3為本發明實施例中,提出的一種DNS系統中監控報文的裝置結構組成示意 圖;
[0022] 圖4為本發明實施例中,提出的攻擊檢測、防護流程示意圖。
【具體實施方式】
[0023] 針對現有技術中存在的不能對現有針對DNS的專項攻擊提供全面的監測和防護 能力,局限性較強,準確性較低的問題,本發明實施例這里提出的技術方案中,在采樣周期 內,針對獲得的DNS和任一用戶終端之間傳輸的報文,根據報文類型,確定不同報文類型在 當前采樣周期內對應的監控評估值,最后根據確定出的監控評估值,對所述DNS和任一用 戶終端之間傳輸的報文進行監控,相比現有技術,上述技術方案在每一采樣周期內對每一 條報文進行分析,得到每個報文的監控評估值,然后對傳輸的報文進行監控,能夠對現有針 對DNS的專項攻擊提供全面的監測和防護能力,提高監控的準確性。
[0024] 下面將結合各個附圖對本發明實施例技術方案的主要實現原理、【具體實施方式】及 其對應能夠達到的有益效果進行詳細地闡述。
[0025] 實施例一
[0026] 本發明實施例一提出一種DNS系統中監控報文的系統,用于DNS系統中,包括至少 一個DNS和至少一個DNS監控裝置,以及至少一個和DNS進行報文傳輸的用戶終端。
[0027] 其中,DNS監控裝置可以和DNS串聯在傳輸鏈路中,也可以和DNS并聯在傳輸鏈路 中,較佳地,本發明實施例一這里提出的技術方案中,以DNS監控裝置和DNS串聯在傳輸鏈 路中為例來進行詳細闡述。將DNS監控裝置和DNS串聯在傳輸鏈路中,當監控到傳輸鏈路 中存在對DNS攻擊的數據流時,可以禁止報文傳輸到DNS中,提高DNS的安全性。
[0028] 較佳地,DNS監控裝置、DNS、用戶終端以及傳輸鏈路之間,構成DNS監控子系統。其 中:
[0029] DNS,用于和任意用戶終端之間傳輸報文。
[0030] DNS監控裝置,用于以第一預設時長作為采樣周期,獲得域名解析服務器DNS和任 一用戶終端之間傳輸的報文;針對在當前采樣周期內,任一獲得的報文,確定報文的報文類 型;根據確定出的報文類型,確定該報文的報文長度值、訪問次數以及生存周期中的至少兩 個參數;根據確定出的包含報文長度值、訪問次數以及生存周期中的至少兩個參數,確定該 報文在當前采樣周期內對應的監控評估值,其中監控評估值是用于確定所述報文是否異常 的數值;根據確定出的監控評估值,對DNS和任一用戶終端之間傳輸的報文進行監控。。
[0031] 如圖1所示,DNS監控裝置設置在DNS前端,也就是說,DNS監控裝置和DNS串聯在 DNS系統中,用于對DNS進行全面監控。DNS監控裝置對傳輸鏈路進行監聽,獲得DNS和用 戶終端之間傳輸所有報文。
[0032] 獲得的報文中,報文類型可以包含DNS查詢請求報文和DNS查詢應答報文。即監 聽裝置獲得報文傳輸的目標端口號為53的UDP數據包,以及報文傳輸的源端口號為53的 TCP數據包。DNS監控裝置對獲得的不同類型的報文進行統計分析,并將分析結果存儲到安 全監控數據庫中。具體地,分析結果在安全監控數據庫中存儲形式可以參見下述表1所示:
[0033] 表 1
[0034]
【權利要求】
1. 一種域名解析服務DNS系統中監控報文的方法,其特征在于,包括: 以第一預設時長作為采樣周期,獲得域名解析服務器DNS和任一用戶終端之間傳輸的 報文; 針對在當前采樣周期內,任一獲得的報文,確定所述報文的報文類型; 根據確定出的報文類型,確定所述報文的報文長度值、訪問次數以及生存周期中的至 少兩個參數; 根據確定出的包含報文長度值、訪問次數以及生存周期中的至少兩個參數,確定所述 報文在當前采樣周期內對應的監控評估值,其中所述監控評估值是用于確定所述報文是否 異常的數值; 根據確定出的監控評估值,對所述DNS和任一用戶終端之間傳輸的報文進行監控。
2. 如權利要求1所述的方法,其特征在于,所述報文類型包含DNS查詢請求報文; 根據確定出的包含報文長度值、訪問次數以及生存周期中的至少兩個參數,確定所述 報文在當前采樣周期內對應的監控評估值,包括: 在確定出獲得的報文是DNS查詢請求報文時,確定發送所述DNS查詢請求報文的用戶 終端的源地址; 在預先維護的安全監控數據庫中,判斷是否存儲有所述源地址; 如果判斷結果為否,在所述安全監控數據庫中添加所述源地址,以及將所述DNS查詢 請求報文對應的監控評估值設定為第一預設數值、將所述源地址對應的訪問DNS的訪問次 數設定為第二預設數值、將所述源地址對應的訪問DNS的DNS查詢請求報文的報文長度值 設定為第三預設數值; 如果判斷結果為是,更新所述安全監控數據庫中所述源地址對應的監控評估值、訪問 次數、報文長度值。
3. 如權利要求2所述的方法,其特征在于,更新所述安全監控數據庫中所述源地址對 應的監控評估值,包括: 確定更新前安全監控數據庫中所述源地址對應的監控評估值和當前采樣周期確定出 的監控評估值的和值; 將得到的和值和第四預設數值相除得到的商值作為更新后的所述安全監控數據庫中 所述源地址對應的監控評估值。
4. 如權利要求3所述的方法,其特征在于,采用下述方式獲得所述當前采樣周期確定 出的監控評估值: 獲得包含當前采樣周期的所述DNS查詢請求報文對應的報文長度向量值,以及所述 DNS查詢請求報文對應的訪問次數向量值; 確定由所述報文長度向量值和所述訪問次數向量值組成的第一矩陣; 將所述第一矩陣和第一預設矩陣相乘得到的結果作為當前采樣周期確定出的監控評 估值。
5. 如權利要求4所述的方法,其特征在于,采用下述方式,確定當前采樣周期的所述 DNS查詢請求報文對應的報文長度向量值: 獲得當前采樣周期的所述DNS查詢請求報文的報文長度值和預設平均請求報文長度 閾值的差值; 所述差值和最大報文長度值相除得到的商值作為當前采樣周期的所述DNS查詢請求 報文的報文長度向量值,其中最大報文長度值是在當前采樣周期內采樣得到的全部報文 中,報文長度最大的報文對應的報文長度值; 采用下述方式,確定當前采樣周期的所述DNS查詢請求報文對應的訪問次數向量值: 獲得當前采樣周期的訪問次數值和預設平均訪問次數閾值的差值; 所述差值和最大訪問次數值相除得到的商值作為當前采樣周期的訪問次數向量值,其 中所述最大訪問次數值是DNS在第二預設時長內提供正常DNS解析服務所能支持的最大訪 問次數。
6. 如權利要求5所述的方法,其特征在于,按照下述方式確定當前采樣周期內的訪問 次數: 獲得安全監控數據庫中存儲的上一采樣周期內的所述DNS查詢請求報文的訪問次數 和第五預設數值的和值; 所述和值作為當前采樣周期內的所述DNS查詢請求報文的訪問次數; 按照下述方式確定當前采樣周期內的所述DNS查詢請求報文的報文長度值: 獲得安全監控數據庫中存儲的上一采樣周期內的報文長度值和當前采樣周期內獲得 的DNS查詢請求報文的報文長度值的和值; 所述和值和第六預設數值的商值作為當前采樣周期內的所述DNS查詢請求報文的報 文長度值。
7. 如權利要求1所述的方法,其特征在于,所述報文類型包含DNS查詢應答報文; 根據確定出的包含報文長度值、訪問次數以及生存周期中的至少兩個參數,包括: 在確定出獲得的報文是DNS查詢應答報文時,確定發送所述DNS查詢應答報文的DNS 的標識; 在預先維護的安全監控數據庫中,當確定出未存儲所述DNS的標識時,判斷是否存儲 有所述DNS查詢應答報文所響應的發送DNS查詢請求報文的源地址和所述DNS查詢請求報 文請求查詢的域名; 如果判斷結果為是,確定安全監控數據庫中存儲的所述DNS查詢應答報文對應的監控 評估值,在所述監控評估值小于第二預設閾值時,更新所述安全監控數據庫中所述DNS查 詢應答報文對應的監控評估值、訪問次數、報文生存周期值; 如果判斷結果為否,在所述安全監控數據庫中添加發送所述DNS查詢應答報文的DNS 的標識,以及將所述DNS查詢應答報文對應的監控評估值設定為第一默認數值、將所述DNS 查詢應答報文對應的訪問次數設定為第二默認數值、將所述DNS查詢應答報文對應的報文 生存周期設定為第三默認數值。
8. 如權利要求7所述的方法,其特征在于,更新所述安全監控數據庫中所述DNS查詢應 答報文對應的監控評估值,包括: 確定更新前安全監控數據庫中所述DNS的標識對應的監控評估值和當前采樣周期確 定出的監控評估值的和值; 將得到的和值和第四默認數值相除得到的商值作為更新后的所述安全監控數據庫中 所述DNS查詢應答報文對應的監控評估值。
9. 如權利要求8所述的方法,其特征在于,采用下述方式獲得所述當前采樣周期的所 述DNS查詢應答報文對應的監控評估值: 獲得包含當前采樣周期的所述DNS查詢應答報文對應的報文長度向量值、所述DNS查 詢應答報文對應的生存周期向量值和所述DNS查詢應答報文對應的訪問次數向量值; 確定由所述報文長度向量值、生存周期向量值和訪問次數向量值組成的第二矩陣; 將所述第二矩陣和第二預設矩陣相乘得到的結果作為當前采樣周期確定出的所述DNS 查詢應答報文對應的監控評估值。
10. 如權利要求9所述的方法,其特征在于,采用下述方式,確定當前采樣周期的所述 DNS查詢應答報文對應的報文長度向量值: 獲得當前采樣周期的所述DNS查詢應答報文的報文長度值和預設平均應答報文長度 閾值的差值; 所述差值和最大報文長度值相除得到的商值作為當前采樣周期的所述DNS查詢應答 報文的報文長度向量值,其中最大報文長度值是當在當前采樣周期內采樣得到的全部報文 中,報文長度最大的報文對應的報文長度值; 采用下述方式,確定當前采樣周期的所述DNS查詢應答報文對應的訪問次數向量值: 獲得當前采樣周期的所述DNS查詢應答報文的訪問次數值和預設平均訪問次數閾值 的差值; 所述差值和最大訪問次數值相除得到的商值作為當前采樣周期的所述DNS查詢應答 報文的訪問次數向量值,其中所述最大訪問次數值是DNS在第二預設時長內提供正常DNS 解析服務所能支持的最大訪問次數; 采用下述方式,確定當前采樣周期的所述DNS查詢應答報文對應的生存周期向量值: 獲得當前采樣周期的生存周期數值和預設平均生存周期閾值的差值; 所述差值和最大生存周期數值相除得到的商值作為當前采樣周期的所述DNS查詢應 答報文的生存周期向量值,其中最大生存周期是在當前采樣周期內,采樣得到的全部DNS 查詢應答報文中,生存周期最大的DNS查詢應答報文對應的生存周期。
11. 如權利要求10所述的方法,其特征在于,按照下述方式確定當前采樣周期內的所 述DNS查詢應答報文的訪問次數: 獲得安全監控數據庫中存儲的上一采樣周期內的訪問次數和第五默認數值的和值; 所述和值作為當前采樣周期內的所述DNS查詢應答報文的訪問次數; 按照下述方式確定當前采樣周期內的訪問次數報文長度值: 獲得安全監控數據庫中存儲的上一采樣周期內的報文長度值和當前采樣周期內獲得 的DNS查詢應答報文的報文長度值的和值; 所述和值和第六默認數值的商值作為當前采樣周期內的所述DNS查詢應答報文的報 文長度值; 按照下述方式確定當前采樣周期內的所述DNS查詢應答報文的生存周期值: 獲得安全監控數據庫中存儲的上一采樣周期內的所述DNS查詢應答報文的生存周期 值和當前采樣周期內獲得的DNS查詢應答報文的生存周期值的和值; 所述和值和第七默認數值的商值作為當前采樣周期內的所述DNS查詢應答報文的生 存周期值。
12. 如權利要求1所述的方法,其特征在于,根據確定出的監控評估值,對所述DNS和任 一用戶終端之間傳輸的報文進行監控,包括: 若確定出的監控評估值大于或等于預設門限值,禁止該報文在所述DNS和任一用戶終 端之間傳輸;以及 若確定出的監控評估值小于預設門限值,允許該報文在述DNS和任一用戶終端之間傳 輸。
13. 如權利要求12所述的方法,其特征在于,在禁止該報文在述DNS和任一用戶終端之 間傳輸之后,還包括: 在預先維護的安全監控數據庫中,獲得禁止傳輸的報文的屬性信息,所述屬性信息包 含發送所述禁止傳輸的報文的源地址、源端口號以及DNS的標識中的至少兩種; 根據接收到的屬性信息,確定出符合攻擊DNS的數據流的源地址、源端口號以及DNS的 標識中的至少兩個監控參數; 基于確定出的至少兩個監控參數,在檢測到DNS系統中存在攻擊DNS的數據流時,阻斷 所述攻擊DNS的數據流。
14. 一種域名解析服務DNS系統中監控報文的裝置,其特征在于,包括: 數據采集模塊,用于以第一預設時長作為采樣周期,獲得域名解析服務器DNS和任一 用戶終端之間傳輸的報文; 數據緩存和分析模塊,用于針對在當前采樣周期內,任一獲得的報文,確定所述報文的 報文類型;根據確定出的報文類型,確定所述報文的報文長度值、訪問次數以及生存周期中 的至少兩個參數;根據確定出的包含報文長度值、訪問次數以及生存周期中的至少兩個參 數,確定所述報文在當前采樣周期內對應的監控評估值,其中所述監控評估值是用于確定 所述報文是否異常的數值; 監控模塊,用于根據確定出的監控評估值,對所述DNS和任一用戶終端之間傳輸的報 文進行監控。
15. 如權利要求14所述的裝置,其特征在于,所述報文類型包含DNS查詢請求報文; 所述數據緩存和分析模塊,具體用于在確定出獲得的報文是DNS查詢請求報文時,確 定發送所述DNS查詢請求報文的用戶終端的源地址;在預先維護的安全監控數據庫中,判 斷是否存儲有所述源地址;如果判斷結果為否,在所述安全監控數據庫中添加所述源地址, 以及將所述DNS查詢請求報文對應的監控評估值設定為第一預設數值、將所述源地址對應 的訪問DNS的訪問次數設定為第二預設數值、將所述源地址對應的訪問DNS的DNS查詢請 求報文的報文長度值設定為第二預設數值;如果判斷結果為是,更新所述安全監控數據庫 中所述源地址對應的監控評估值、訪問次數、報文長度值。
16. 如權利要求15所述的裝置,其特征在于,所述數據緩存和分析模塊,具體用于確定 更新前安全監控數據庫中所述源地址對應的監控評估值和當前采樣周期確定出的監控評 估值的和值;將得到的和值和第三預設數值相除得到的商值作為更新后的所述安全監控數 據庫中所述源地址對應的監控評估值。
17. 如權利要求16所述的裝置,其特征在于,所述數據緩存和分析模塊,具體用于采用 下述方式獲得所述當前采樣周期確定出的監控評估值:獲得包含當前采樣周期的所述DNS 查詢請求報文對應的報文長度向量值,以及所述DNS查詢請求報文對應的訪問次數向量 值;確定由所述報文長度向量值和所述訪問次數向量值組成的第一矩陣;將所述第一矩陣 和第一預設矩陣相乘得到的結果作為當前采樣周期確定出的監控評估值。
18. 如權利要求17所述的裝置,其特征在于,所述數據緩存和分析模塊,具體用于采 用下述方式,確定當前采樣周期的所述DNS查詢請求報文對應的報文長度向量值:獲得當 前采樣周期的所述DNS查詢請求報文的報文長度值和預設平均請求報文長度閾值的差值; 所述差值和最大報文長度值相除得到的商值作為當前采樣周期的所述DNS查詢請求報文 的報文長度向量值,其中最大報文長度值是在當前采樣周期內采樣得到的全部報文中,報 文長度最大的報文對應的報文長度值;采用下述方式,確定當前采樣周期的所述DNS查詢 請求報文對應的訪問次數向量值:獲得當前采樣周期的訪問次數值和預設平均訪問次數閾 值的差值;所述差值和最大訪問次數值相除得到的商值作為當前采樣周期的訪問次數向量 值,其中所述最大訪問次數值是DNS在第二預設時長內提供正常DNS解析服務所能支持的 最大訪問次數。
19. 如權利要求15?18任一所述的裝置,其特征在于,所述數據緩存和分析模塊,具體 用于按照下述方式確定當前采樣周期內的訪問次數:獲得安全監控數據庫中存儲的上一采 樣周期內的所述DNS查詢請求報文的訪問次數和第四預設數值的和值;所述和值作為當前 采樣周期內的所述DNS查詢請求報文的訪問次數; 所述數據緩存和分析模塊,具體用于按照下述方式確定當前采樣周期內的所述DNS查 詢請求報文的報文長度值:獲得安全監控數據庫中存儲的上一采樣周期內的報文長度值和 當前采樣周期內獲得的DNS查詢請求報文的報文長度值的和值;所述和值和第五預設數值 的商值作為當前采樣周期內的所述DNS查詢請求報文的報文長度值。
20. 如權利要求14所述的裝置,其特征在于,所述報文類型包含DNS查詢應答報文; 所述數據緩存和分析模塊,具體用于在確定出獲得的報文是DNS查詢應答報文時,確 定發送所述DNS查詢應答報文的DNS的標識;在預先維護的安全監控數據庫中,當確定出未 存儲所述DNS的標識時,判斷是否存儲有所述DNS查詢應答報文所響應的發送DNS查詢請 求報文的源地址和所述DNS查詢請求報文請求查詢的域名;如果判斷結果為是,確定安全 監控數據庫中存儲的所述DNS查詢應答報文對應的監控評估值,在所述監控評估值小于第 二預設閾值時,更新所述安全監控數據庫中所述DNS查詢應答報文對應的監控評估值、訪 問次數、報文生存周期值;如果判斷結果為否,在所述安全監控數據庫中添加發送所述DNS 查詢應答報文的DNS的標識,以及將所述DNS查詢應答報文對應的監控評估值設定為第一 默認數值、將所述DNS查詢應答報文對應的訪問次數設定為第二默認數值、將所述DNS查詢 應答報文對應的報文生存周期設定為第三默認數值。
21. 如權利要求20所述的裝置,其特征在于,所述數據緩存和分析模塊,具體用于確定 更新前安全監控數據庫中所述DNS的標識對應的監控評估值和當前采樣周期確定出的監 控評估值的和值;將得到的和值和第四默認數值相除得到的商值作為更新后的所述安全監 控數據庫中所述DNS查詢應答報文對應的監控評估值。
22. 如權利要求21所述的裝置,其特征在于,所述數據緩存和分析模塊,具體用于采用 下述方式獲得所述當前采樣周期的所述DNS查詢應答報文對應的監控評估值:獲得包含當 前采樣周期的所述DNS查詢應答報文對應的報文長度向量值、所述DNS查詢應答報文對應 的生存周期向量值和所述DNS查詢應答報文對應的訪問次數向量值;確定由所述報文長度 向量值、生存周期向量值和訪問次數向量值組成的的第二矩陣;將所述第二矩陣和第二預 設矩陣相乘得到的結果作為當前采樣周期確定出的所述DNS查詢應答報文對應的監控評 估值。
23. 如權利要求22所述的裝置,其特征在于,所述數據緩存和分析模塊,具體用于采用 下述方式,確定當前采樣周期的所述DNS查詢應答報文對應的報文長度向量值:獲得當前 采樣周期的所述DNS查詢應答報文的報文長度值和預設平均應答報文長度閾值的差值;所 述差值和最大報文長度值相除得到的商值作為當前采樣周期的所述DNS查詢應答報文的 報文長度向量值,其中最大報文長度值是在當前采樣周期內采樣得到的全部報文中,報文 長度最大的報文對應的報文長度值; 所述數據緩存和分析模塊,具體用于采用下述方式,確定當前采樣周期的所述DNS查 詢應答報文對應的訪問次數向量值:獲得當前采樣周期的所述DNS查詢應答報文的訪問次 數值和預設平均訪問次數閾值的差值;所述差值和最大訪問次數值相除得到的商值作為當 前采樣周期的所述DNS查詢應答報文的訪問次數向量值,其中所述最大訪問次數值是DNS 在第二預設時長內提供正常DNS解析服務所能支持的最大訪問次數; 所述數據緩存和分析模塊,具體用于采用下述方式,確定當前采樣周期的所述DNS查 詢應答報文對應的生存周期向量值:獲得當前采樣周期的生存周期數值和預設平均生存 周期閾值的差值;所述差值和最大生存周期數值相除得到的商值作為當前采樣周期的所述 DNS查詢應答報文的生存周期向量值,其中最大生存周期是在當前采樣周期內,采樣得到的 全部DNS查詢應答報文中,生存周期最大的DNS查詢應答報文對應的生存周期。
24. 如權利要求23所述的裝置,其特征在于,所述數據緩存和分析模塊,具體用于按照 下述方式確定當前采樣周期內的所述DNS查詢應答報文的訪問次數:獲得安全監控數據庫 中存儲的上一采樣周期內的訪問次數和第五默認數值的和值;所述和值作為當前采樣周期 內的所述DNS查詢應答報文的訪問次數; 所述數據緩存和分析模塊,具體用于按照下述方式確定當前采樣周期內的訪問次數報 文長度值:獲得安全監控數據庫中存儲的上一采樣周期內的報文長度值和當前采樣周期內 獲得的DNS查詢應答報文的報文長度值的和值;所述和值和第六默認數值的商值作為當前 采樣周期內的所述DNS查詢應答報文的報文長度值; 所述數據緩存和分析模塊,具體用于按照下述方式確定當前采樣周期內的所述DNS查 詢應答報文的生存周期值:獲得安全監控數據庫中存儲的上一采樣周期內的所述DNS查詢 應答報文的生存周期值和當前采樣周期內獲得的DNS查詢應答報文的生存周期值的和值; 所述和值和第七默認數值的商值作為當前采樣周期內的所述DNS查詢應答報文的生存周 期值。
25. 如權利要求14所述的裝置,其特征在于,所述監控模塊,具體包括: 數據轉發子模塊,用于若確定出的監控評估值大于或等于預設門限值,禁止該報文在 述DNS和任一用戶終端之間傳輸;以及若確定出的監控評估值小于預設門限值,允許該報 文在述DNS和任一用戶終端之間傳輸。
26. 如權利要求25所述的裝置,其特征在于,所述監控模塊,具體包括: 規則生成子模塊,用于在預先維護的安全監控數據庫中,獲得禁止傳輸的報文的屬性 信息,所述屬性信息包含發送所述禁止傳輸的報文的源地址、源端口號以及DNS的標識中 的至少兩種;根據接收到的屬性信息,確定出符合攻擊DNS的數據流的源地址、源端口號以 及DNS的標識中的至少兩個監控參數; 監控子模塊,用于基于確定出的至少兩個監控參數,在檢測到DNS系統中存在攻擊DNS 的數據流時,阻斷所述攻擊DNS的數據流。
27. -種域名解析服務DNS系統中監控報文的系統,其特征在于,包括域名解析服務器 DNS和DNS監控裝置,其中: 所述DNS,用于和任一用戶終端之間傳輸報文; 所述DNS監控裝置,用于以第一預設時長作為采樣周期,獲得域名解析服務器DNS和任 一用戶終端之間傳輸的報文;針對任一獲得的報文,確定所述報文的報文類型;根據確定 出的報文類型,確定在當前采樣周期內,所述報文的報文長度值、訪問次數以及生存周期中 的至少兩個參數;根據確定出的包含報文長度值、訪問次數以及生存周期中的至少兩個參 數,確定所述報文在當前采樣周期內對應的監控評估值,其中所述監控評估值是用于確定 所述報文是否異常的數值;根據確定出的監控評估值,對所述DNS和任一用戶終端之間傳 輸的報文進行監控。
28. 如權利要求27所述的系統,其特征在于,所述報文類型包含DNS查詢請求報文; 所述DNS監控裝置,具體用于在確定出獲得的報文是DNS查詢請求報文時,確定發送 所述DNS查詢請求報文的用戶終端的源地址;在預先維護的安全監控數據庫中,判斷是否 存儲有所述源地址;如果判斷結果為否,在所述安全監控數據庫中添加所述源地址,以及將 所述DNS查詢請求報文對應的監控評估值設定為第一預設數值、將所述源地址對應的訪問 DNS的訪問次數設定為第二預設數值、將所述源地址對應的訪問DNS的DNS查詢請求報文的 報文長度值設定為第二預設數值;如果判斷結果為是,更新所述安全監控數據庫中所述源 地址對應的監控評估值、訪問次數、報文長度值。
29. 如權利要求27所述的系統,其特征在于,所述報文類型包含DNS查詢應答報文; 所述DNS監控裝置,具體用于在確定出獲得的報文是DNS查詢應答報文時,確定發送所 述DNS查詢應答報文的DNS的標識;在預先維護的安全監控數據庫中,當確定出未存儲所述 DNS的標識時,判斷是否存儲有所述DNS查詢應答報文所響應的發送DNS查詢請求報文的源 地址和所述DNS查詢請求報文請求查詢的域名;如果判斷結果為是,確定安全監控數據庫 中存儲的所述DNS查詢應答報文對應的監控評估值,在所述監控評估值小于第二預設閾值 時,更新所述安全監控數據庫中所述DNS查詢應答報文對應的監控評估值、訪問次數、報文 生存周期值;如果判斷結果為否,在所述安全監控數據庫中添加發送所述DNS查詢應答報 文的DNS的標識,以及將所述DNS查詢應答報文對應的監控評估值設定為第一默認數值、將 所述DNS查詢應答報文對應的訪問次數設定為第二默認數值、將所述DNS查詢應答報文對 應的報文生存周期設定為第三默認數值。
30. 如權利要求27所述的系統,其特征在于,所述DNS監控裝置,具體用于若確定出的 監控評估值大于或等于預設門限值,禁止該報文在述DNS和任一用戶終端之間傳輸;以及 若確定出的監控評估值小于預設門限值,允許該報文在述DNS和任一用戶終端之間傳輸。
31. 如權利要求30所述的系統,其特征在于,所述系統還包括入侵檢測裝置和防火墻; 所述DNS監控裝置,具體用于在預先維護的安全監控數據庫中,獲得禁止傳輸的報文 的屬性信息,所述屬性信息包含發送所述禁止傳輸的報文的源地址、源端口號以及DNS的 標識;并將獲得的屬性信息發送給入侵檢測裝置; 所述入侵檢測裝置,用于根據接收到的屬性信息生成用于檢測攻擊DNS的數據流的監 控評估模型; 所述防火墻,用于通過監控評估模型在檢測到存在攻擊DNS的數據流時,阻斷所述攻 擊DNS的數據流。
【文檔編號】H04L29/12GK104243408SQ201310235051
【公開日】2014年12月24日 申請日期:2013年6月14日 優先權日:2013年6月14日
【發明者】盧楠, 張峰, 付俊, 楊光華 申請人:中國移動通信集團公司