專利名稱:針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是涉及一種針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法和系統(tǒng)。
背景技術(shù):
DNS (domain name system,域名系統(tǒng))是Internet上最為關(guān)鍵的基礎(chǔ)設(shè)施之一,其主要作用是提供主機(jī)名稱和IP地址之間的轉(zhuǎn)換,從而保障其它網(wǎng)絡(luò)應(yīng)用(如網(wǎng)頁(yè)瀏覽、電子郵件)的順利執(zhí)行。由于DNS協(xié)議設(shè)計(jì)之初存在著缺陷以及DNS服務(wù)器自身存在查詢能力有限的缺點(diǎn),近年來DNS頻頻成為黑客發(fā)動(dòng)分布式拒絕攻擊的目標(biāo),其中既包括互聯(lián)網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施,也包括各大網(wǎng)站、公司的授權(quán)域名服務(wù)器。根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的網(wǎng)絡(luò)安全年度報(bào)告,DDoS (Distributed Denial of Service,分布式拒 絕服務(wù))攻擊已經(jīng)成為DNS所面臨的最大安全威脅之一?;贒NS的DDoS攻擊有兩種方式,一是查詢式攻擊(又稱欺騙式攻擊),另一種是反彈式攻擊?;贒NS的查詢DDoS攻擊的原理和特征是首先攻擊者通過一個(gè)或者多個(gè)控制臺(tái)向網(wǎng)絡(luò)上眾多傀儡主機(jī)發(fā)出攻擊指令,眾多的傀儡主機(jī)在接收到控制臺(tái)攻擊指令以后按照攻擊的要求構(gòu)造大量的虛假源IP地址的DNS請(qǐng)求包并向目標(biāo)DNS服務(wù)器發(fā)送,當(dāng)許多的域名都映射到目標(biāo)DNS服務(wù)器時(shí),目標(biāo)DNS服務(wù)器會(huì)收到大量的網(wǎng)頁(yè)連接報(bào)文,導(dǎo)致其資源耗盡甚至系統(tǒng)崩潰而無法響應(yīng)正常的請(qǐng)求。這些偽造源IP地址在目標(biāo)DNS服務(wù)器前匯聚就形成DDoS攻擊流。當(dāng)服務(wù)器遭受到攻擊時(shí),這些隨機(jī)偽造的攻擊數(shù)據(jù)包經(jīng)過DNS服務(wù)器解析以后的結(jié)果絕大多數(shù)都為“解析失敗”。而在正常查詢情況下,大多數(shù)查詢域名來自用戶在瀏覽器地址欄的輸入或者相應(yīng)網(wǎng)頁(yè)上的點(diǎn)擊訪問產(chǎn)生,其為錯(cuò)誤域名的比例很小?;贒NS的反彈DDoS攻擊的原理和特征是首先攻擊者通過一個(gè)或者多個(gè)控制臺(tái)向網(wǎng)絡(luò)上眾多傀儡主機(jī)發(fā)出攻擊指令,傀儡主機(jī)在接收到命令后,偽造受害DNS的IP地址向互聯(lián)網(wǎng)上大量開放遞歸DNS服務(wù)器(或者開放遞歸DNS解析器)發(fā)送DNS查詢請(qǐng)求包。由于開放遞歸DNS服務(wù)器并不對(duì)請(qǐng)求包進(jìn)行地址真實(shí)性驗(yàn)證,因此都會(huì)進(jìn)行應(yīng)答。這樣所有的應(yīng)答包會(huì)在受攻擊DNS服務(wù)器處形成匯聚,形成DNS反彈拒絕服務(wù)流,堵塞受害DNS服務(wù)器的網(wǎng)絡(luò),最終形成DDoS攻擊。由于DNS協(xié)議請(qǐng)求包和應(yīng)答包有成對(duì)出現(xiàn)的規(guī)律,因此當(dāng)DNS反彈DDoS攻擊發(fā)生時(shí),應(yīng)答包的數(shù)目會(huì)明顯多于請(qǐng)求包。目前,針對(duì)DNS服務(wù)的DDoS攻擊還沒有有效的解決方法?,F(xiàn)有的DDoS攻擊檢測(cè)和防御不能滿足DNS服務(wù)保護(hù)的要求,例如,H. Tsunoda等人提出通過對(duì)向外網(wǎng)發(fā)送的數(shù)據(jù)包進(jìn)行信息提取,并根據(jù)該信息對(duì)返回包進(jìn)行驗(yàn)證的方法實(shí)現(xiàn)對(duì)一般反彈DDoS攻擊的檢測(cè)。該方法簡(jiǎn)單且有效,但具體應(yīng)用到防御DNS反彈DDoS攻擊時(shí)應(yīng)該選取什么特征作為信息,沒有進(jìn)一步闡述。Fanglu Guo等人提出了在DNS服務(wù)器前面布置一個(gè)DNS代理,通過使用cookie技術(shù)和源端進(jìn)行通信的方法來識(shí)別偽造地址攻擊包的方法。該方法在檢驗(yàn)偽造地址包上具有較高的正確率,但缺點(diǎn)也很明顯,由于其對(duì)收到的每個(gè)包都要進(jìn)行cookie計(jì)算,容易遭受基于cookie驗(yàn)證的DDoS攻擊。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法和系統(tǒng),其通過DNS服務(wù)端數(shù)據(jù)的采集和分析,使用非參數(shù)自適應(yīng)CUSUM方法進(jìn)行檢測(cè),能快速高效地檢測(cè)出當(dāng)前是否發(fā)生查詢DDoS攻擊或反彈DDoS攻擊,并及時(shí)發(fā)出警報(bào)。本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的一種針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法,其特征在于,其包括以下步 驟步驟一,采集受保護(hù)DNS服務(wù)器上的網(wǎng)絡(luò)數(shù)據(jù);步驟二,對(duì)采集的網(wǎng)絡(luò)數(shù)據(jù),計(jì)算從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請(qǐng)求包總數(shù),并轉(zhuǎn)向步驟三;同時(shí)計(jì)算從DNS服務(wù)器流出的解析后的發(fā)往外網(wǎng)的應(yīng)答數(shù)據(jù)流中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù),并轉(zhuǎn)向步驟四;步驟三,使用非參數(shù)自適應(yīng)CUSUM方法對(duì)步驟二的計(jì)算結(jié)果進(jìn)行反彈DDOS攻擊檢測(cè),若檢測(cè)到反彈DDOS攻擊,則轉(zhuǎn)向步驟五;步驟四,使用非參數(shù)自適應(yīng)CUSUM方法對(duì)步驟二的計(jì)算結(jié)果進(jìn)行查詢DDOS攻擊檢測(cè),若檢測(cè)到查詢DDOS攻擊,則轉(zhuǎn)向步驟五;步驟五,若檢測(cè)到反彈DDOS攻擊或查詢DDoS攻擊,則生成報(bào)警信息并發(fā)出警報(bào),報(bào)警信息中包含DDoS攻擊的發(fā)生時(shí)間以及攻擊的類型信息。優(yōu)選地,所述步驟三包括以下步驟步驟三i^一 反彈DDOS攻擊數(shù)據(jù)流特征的選取,即為步驟二中得到的從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請(qǐng)求包的總數(shù);步驟三十二 非參數(shù)自適應(yīng)⑶SUM方法序列模型的建立;步驟三十三閾值的自適應(yīng)調(diào)整;步驟三十四進(jìn)行反彈DDOS攻擊的檢測(cè)。優(yōu)選地,所述步驟四包括以下步驟步驟四i^一 查詢DDOS攻擊數(shù)據(jù)流特征的選取,即為步驟二中得到的應(yīng)答包中域名解析成功和失敗情況下數(shù)據(jù)包的總數(shù);步驟四十二 非參數(shù)自適應(yīng)⑶SUM方法序列模型的建立;步驟四十三閾值的自適應(yīng)調(diào)整;步驟四十四進(jìn)行查詢DDOS攻擊的檢測(cè)。優(yōu)選地,所述步驟五中DDoS攻擊的發(fā)生時(shí)間通過設(shè)置時(shí)間間隔閾值的方法進(jìn)行分析獲取。本發(fā)明還提供一種針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)系統(tǒng),其特征在于,其包括數(shù)據(jù)處理模塊、攻擊檢測(cè)模塊和報(bào)警模塊,其中所述數(shù)據(jù)處理模塊與一個(gè)交換機(jī)端口連接,負(fù)責(zé)DNS服務(wù)器上數(shù)據(jù)的采集和處理,統(tǒng)計(jì)出一個(gè)時(shí)間片內(nèi)的數(shù)據(jù)流量信息;所述攻擊檢測(cè)模塊連接所述數(shù)據(jù)處理模塊,檢測(cè)DNS服務(wù)器當(dāng)前是否受到反彈DDOS攻擊或查詢DDOS攻擊;所述報(bào)警模塊連接所述攻擊檢測(cè)模塊,若檢測(cè)到反彈DDOS攻擊或查詢DDOS攻擊,則發(fā)出報(bào)警,并報(bào)告攻擊的發(fā)生時(shí)間以及攻擊的類型信息。優(yōu)選地,所述數(shù)據(jù)處理模塊包括數(shù)據(jù)采集模塊和數(shù)據(jù)分析模塊,數(shù)據(jù)采集模塊用于采集并獲取DNS服務(wù)器上的數(shù)據(jù)信息;數(shù)據(jù)分析模塊用于統(tǒng)計(jì)一個(gè)時(shí)間片內(nèi)DNS服務(wù)器上的總體訪問流量,計(jì)算出從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請(qǐng)求包總數(shù),以及發(fā)往外網(wǎng)的應(yīng)答包的流量情況,計(jì)算這部分應(yīng)答包中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù)。優(yōu)選地,所述攻擊檢測(cè)模塊包括第一檢測(cè)模塊和第二檢測(cè)模塊,第一檢測(cè)模塊測(cè)試DNS服務(wù)器當(dāng)前是否受到反彈DDOS攻擊,第二檢測(cè)模塊測(cè)試DNS服務(wù)器當(dāng)前是否受到查詢DDOS攻擊;第一檢測(cè)模塊和第二檢測(cè)模塊都使用非參數(shù)自適應(yīng)CUSUM方法進(jìn)行檢測(cè)。本發(fā)明的積極進(jìn)步效果在于一、本發(fā)明提取的網(wǎng)絡(luò)數(shù)據(jù)流特征信息簡(jiǎn)單,數(shù)據(jù)處理開銷小。二、本發(fā)明采用非參數(shù)自適應(yīng)CUSUM方法進(jìn)行攻擊的檢測(cè)取得較好的效果,實(shí)現(xiàn)了較高的檢測(cè)準(zhǔn)確率,可在DDOS攻擊時(shí)及時(shí)報(bào)警,系統(tǒng)的誤報(bào)率和漏報(bào)率較低;并可檢測(cè)出具體的DDOS攻擊的類型,為采取有效防御措施提供技術(shù)支持。三、本發(fā)明采用自適應(yīng)的 閾值調(diào)整措施,本發(fā)明能夠適應(yīng)更復(fù)雜的網(wǎng)絡(luò)檢測(cè)環(huán)境。
圖I為本發(fā)明針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法的流程圖。圖2為本發(fā)明針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)系統(tǒng)的原理框圖。
具體實(shí)施例方式下面結(jié)合附圖給出本發(fā)明較佳實(shí)施例,以詳細(xì)說明本發(fā)明的技術(shù)方案。非參數(shù)自適應(yīng)⑶SUM (Cumulative Sum,累積和)方法是一種序貫分析法,由劍橋大學(xué)的E. S. Page首先提出,它可以檢測(cè)到一個(gè)統(tǒng)計(jì)過程均值的變化。非參數(shù)自適應(yīng)⑶SUM方法基于這一事實(shí)如果有變化發(fā)生,參數(shù)隨機(jī)序列的概率分布將會(huì)發(fā)生變化。通常CUSUM法需要一個(gè)隨機(jī)序列的參數(shù)模型,以便可以用概率密度函數(shù)來監(jiān)測(cè)序列。但網(wǎng)絡(luò)是一個(gè)動(dòng)態(tài)而復(fù)雜的實(shí)體,模擬隨機(jī)序列比較困難。而非參數(shù)自適應(yīng)CUSUM方法不是具體的模型,它的主要思想是累積比正常運(yùn)行情況下的平均水平高的值。這一方法更加適合分析因特網(wǎng)的數(shù)據(jù)流量,它能以連續(xù)方式監(jiān)測(cè)隨機(jī)變量,從而達(dá)到實(shí)時(shí)檢測(cè)的目的。如圖I所示,本發(fā)明針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法包括以下步驟步驟一,采集受保護(hù)DNS服務(wù)器上的網(wǎng)絡(luò)數(shù)據(jù)。從DNS服務(wù)器端交換機(jī)的鏡像端口采集服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)流,并存入到數(shù)據(jù)文件中。步驟二,以時(shí)間片為單位來處理捕獲的數(shù)據(jù)包信息,分析每個(gè)時(shí)間片內(nèi)的數(shù)據(jù)包流量信息,這些流量信息包括查詢數(shù)據(jù)包的數(shù)量,源IP地址和目的IP地址的統(tǒng)計(jì)信息,數(shù)據(jù)包類型(請(qǐng)求或應(yīng)答)統(tǒng)計(jì)信息等。檢測(cè)一個(gè)時(shí)間片內(nèi)應(yīng)答響應(yīng)包和請(qǐng)求包的流量信息;并檢測(cè)從DNS服務(wù)器流出的解析后的由內(nèi)部DNS服務(wù)器發(fā)往外網(wǎng)的應(yīng)答數(shù)據(jù)流信息,對(duì)于這部分向外應(yīng)答包,檢查其DNS報(bào)頭的標(biāo)志字段里的后四個(gè)bit (rcode)的值,如果其值為0,說明域名解析失??;如果其值為3,則說明域名解析成功。根據(jù)檢測(cè)完成相關(guān)的計(jì)算對(duì)采集的網(wǎng)絡(luò)數(shù)據(jù),計(jì)算從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請(qǐng)求包總數(shù),并轉(zhuǎn)向步驟三;同時(shí)計(jì)算從DNS服務(wù)器流出的解析后的發(fā)往外網(wǎng)的應(yīng)答數(shù)據(jù)流中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù),并轉(zhuǎn)向步驟四。具體地,本實(shí)施例中預(yù)設(shè)一個(gè)時(shí)間片為20秒,以20秒為單位處理網(wǎng)絡(luò)數(shù)據(jù)。步驟三,使用非參數(shù)自適應(yīng)CUSUM方法對(duì)步驟二的計(jì)算結(jié)果進(jìn)行反彈DDOS攻擊檢測(cè),若檢測(cè)到反彈DDOS攻擊,則轉(zhuǎn)向步驟五。(I)反彈DDOS攻擊數(shù)據(jù)流特征的選取,即為步驟二中得到的從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請(qǐng)求包的總數(shù)。設(shè)ans是DNS服務(wù)器上統(tǒng)計(jì)的從外網(wǎng)返回的應(yīng)答包總數(shù);ask是DNS服務(wù)器上統(tǒng)計(jì)的向外網(wǎng)發(fā)送的請(qǐng)求包總數(shù)。序列{sk[n], η = 0,1,2,···}是一個(gè)時(shí)間片內(nèi)ans與ask的比值,則 sk [n] =ans [η] /ask [η], (η = O, I, 2,…)。(2)非參數(shù)自適應(yīng)⑶SUM方法序列模型的建立。首先,建立基本的序列模型。當(dāng)反彈DDOS攻擊發(fā)生時(shí),除sk[n]值增大外,進(jìn)出DNS服務(wù)器的數(shù)據(jù)量也會(huì)激增,而非攻擊情況引起的sk[n]比例值增加并不會(huì)伴隨數(shù)據(jù)量的激增。使用對(duì)sk[n]進(jìn)行加權(quán)處理如下ws[n] = sk [η] * (ans [n] +ask [η]), ws [n]表示在一個(gè)時(shí)間片內(nèi)得到的響應(yīng)和請(qǐng)求數(shù)據(jù)包數(shù)加權(quán)比例。加權(quán)計(jì)算,放大了攻擊發(fā)生時(shí)sk[n]值得變化與正常情況下sk[n]變化的差異,可以盡量減少或避免誤報(bào)。其次,消除網(wǎng)絡(luò)規(guī)模相關(guān)性。由于序列ws[n]與網(wǎng)絡(luò)的規(guī)模、主機(jī)數(shù)量以及取樣的時(shí)間區(qū)間有密切的關(guān)系。為減少上述因素的影響,進(jìn)行下面的變換如下式(I)
IF[n]= (I- ) * F[n-1] + o' * ws[n]- 」.................................式(I)
IE[n] = ws[n]/F[n]初始化F
= 0 ;其中參數(shù)α是(0,I)區(qū)間的自定義變量,在應(yīng)用中,參數(shù)α應(yīng)該根據(jù)實(shí)際網(wǎng)絡(luò)情況定義,例如根據(jù)長(zhǎng)期的網(wǎng)絡(luò)流量采集數(shù)據(jù)規(guī)定。這樣,序列Ε[η]只與當(dāng)前的數(shù)據(jù)包的傳輸狀態(tài)有關(guān),是一組穩(wěn)定的獨(dú)立的隨機(jī)過程。在正常情況下,ws[n]與F[η]差值不會(huì)太大,E[η]的期望值大于O且接近I ;當(dāng)發(fā)生攻擊時(shí),因?yàn)橛写罅抗舭⑷?,ws[n]會(huì)急劇增大,會(huì)導(dǎo)致ws [η]與F[n]差值很大,從而E[n]值將持續(xù)增加。然后,變換模型,使之適用于非參數(shù)自適應(yīng)⑶SUM方法。非參數(shù)自適應(yīng)⑶SUM方法的一個(gè)假設(shè)條件是正常情況下隨機(jī)序列期望值小于0,當(dāng)有異常發(fā)生時(shí)變成正數(shù)。因此需要再次變換,設(shè)MAX是正常情況下E [η]期望的最大值,變換后得到E2[n] =E[n]-MAX0這樣{E2[n],n = O, I, 2,···}是一個(gè)平均值為負(fù)數(shù)的隨機(jī)序列{E2[n]},在發(fā)生攻擊的情況下,{E2[n],n = O, 1,2, ···}驟增并變?yōu)檎?。最后,完成序列|旲型的建立。為判斷是否發(fā)生DNS反彈DDOS攻擊,定義遞歸函數(shù)如下式(2)
i νΓη]= (y[n-11 + E2[n]),、r L」」 L」.....................................式(2)
[>'
= ο其中當(dāng)y>0時(shí)y+ = y,當(dāng)yi^O時(shí)取y+=0。y[n]就是檢測(cè)反彈DDOS攻擊的檢測(cè)序列。( 3 )閾值的自適應(yīng)取值。
設(shè)第η個(gè)檢測(cè)序列Y[n],對(duì)應(yīng)的判定閾值是Nn, Νη=( β+1) μ n_lt)其中β是自定義參數(shù),在
之間。是前η-l個(gè)檢測(cè)序列y[i] (i = O, I,…,n_l)使用指數(shù)加權(quán)平均計(jì)算得到的均值,μ , =(1-/) μ ,. ! +廣i["J,其中Y是自定義參數(shù),在[O, I]之間。在應(yīng)用中,參數(shù)β和Y也應(yīng)該根據(jù)實(shí)際網(wǎng)絡(luò)情況定義。(4)進(jìn)行反彈DDOS攻擊的檢測(cè)。將{y[n]}與預(yù)先設(shè)定的閾值Nn比較,得到定義DNS服務(wù)器流量異常的判斷函數(shù)如下式(3)
權(quán)利要求
1.一種針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法,其特征在于,其包括以下步驟 步驟一,采集受保護(hù)DNS服務(wù)器上的網(wǎng)絡(luò)數(shù)據(jù); 步驟二,對(duì)采集的網(wǎng)絡(luò)數(shù)據(jù),計(jì)算從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請(qǐng)求包總數(shù),并轉(zhuǎn)向步驟三;同時(shí)計(jì)算從DNS服務(wù)器流出的解析后的發(fā)往外網(wǎng)的應(yīng)答數(shù)據(jù)流中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù),并轉(zhuǎn)向步驟四; 步驟三,使用非參數(shù)自適應(yīng)CUSUM方法對(duì)步驟二的計(jì)算結(jié)果進(jìn)行反彈DDOS攻擊檢測(cè),若檢測(cè)到反彈DDOS攻擊,則轉(zhuǎn)向步驟五; 步驟四,使用非參數(shù)自適應(yīng)CUSUM方法對(duì)步驟二的計(jì)算結(jié)果進(jìn)行查詢DDOS攻擊檢測(cè),若檢測(cè)到查詢DDOS攻擊,則轉(zhuǎn)向步驟五; 步驟五,若檢測(cè)到反彈DDOS攻擊或查詢DDoS攻擊,則生成報(bào)警信息并發(fā)出警報(bào),報(bào)警 信息中包含DDoS攻擊的發(fā)生時(shí)間以及攻擊的類型信息。
2.如權(quán)利要求I所述的針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法,其特征在于,所述步驟三包括以下步驟 步驟三十一反彈DDOS攻擊數(shù)據(jù)流特征的選取,即為步驟二中得到的從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請(qǐng)求包的總數(shù); 步驟三十二 非參數(shù)自適應(yīng)⑶SUM方法序列模型的建立; 步驟三十三閾值的自適應(yīng)調(diào)整; 步驟三十四進(jìn)行反彈DDOS攻擊的檢測(cè)。
3.如權(quán)利要求I所述的針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法,其特征在于,所述步驟四包括以下步驟 步驟四十一查詢DDOS攻擊數(shù)據(jù)流特征的選取,即為步驟二中得到的應(yīng)答包中域名解析成功和失敗情況下數(shù)據(jù)包的總數(shù); 步驟四十二 非參數(shù)自適應(yīng)CUSUM方法序列模型的建立; 步驟四十三閾值的自適應(yīng)調(diào)整; 步驟四十四進(jìn)行查詢DDOS攻擊的檢測(cè)。
4.如權(quán)利要求I所述的針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法,其特征在于,所述步驟五中DDoS攻擊的發(fā)生時(shí)間通過設(shè)置時(shí)間間隔閾值的方法進(jìn)行分析獲取。
5.—種針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)系統(tǒng),其特征在于,其包括數(shù)據(jù)處理模塊、攻擊檢測(cè)模塊和報(bào)警模塊,其中 所述數(shù)據(jù)處理模塊與一個(gè)交換機(jī)端口連接,負(fù)責(zé)DNS服務(wù)器上數(shù)據(jù)的采集和處理,統(tǒng)計(jì)出一個(gè)時(shí)間片內(nèi)的數(shù)據(jù)流量信息; 所述攻擊檢測(cè)模塊連接所述數(shù)據(jù)處理模塊,檢測(cè)DNS服務(wù)器當(dāng)前是否受到反彈DDOS攻擊或查詢DDOS攻擊; 所述報(bào)警模塊連接所述攻擊檢測(cè)模塊,若檢測(cè)到反彈DDOS攻擊或查詢DDOS攻擊,則發(fā)出報(bào)警,并報(bào)告攻擊的發(fā)生時(shí)間以及攻擊的類型信息。
6.如權(quán)利要求5所述的針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)系統(tǒng),其特征在于,所述數(shù)據(jù)處理模塊包括數(shù)據(jù)采集模塊和數(shù)據(jù)分析模塊,數(shù)據(jù)采集模塊用于采集并獲取DNS服務(wù)器上的數(shù)據(jù)信息;數(shù)據(jù)分析模塊用于統(tǒng)計(jì)一個(gè)時(shí)間片內(nèi)DNS服務(wù)器上的總體訪問流量,計(jì)算出從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請(qǐng)求包總數(shù),以及發(fā)往外網(wǎng)的應(yīng)答包的流量情況,計(jì)算這部分應(yīng)答包中域名解析成功數(shù)據(jù)包的總數(shù)和解析失敗數(shù)據(jù)包的總數(shù)。
7.如權(quán)利要求5所述的針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)系統(tǒng),其 特征在于,所述攻擊檢測(cè)模塊包括第一檢測(cè)模塊和第二檢測(cè)模塊,第一檢測(cè)模塊測(cè)試DNS服務(wù)器當(dāng)前是否受到反彈DDOS攻擊,第二檢測(cè)模塊測(cè)試DNS服務(wù)器當(dāng)前是否受到查詢DDOS攻擊;第一檢測(cè)模塊和第二檢測(cè)模塊都使用非參數(shù)自適應(yīng)CUSUM方法進(jìn)行檢測(cè)。
全文摘要
本發(fā)明公開了一種針對(duì)DNS服務(wù)的DDoS攻擊的檢測(cè)方法和系統(tǒng),該檢測(cè)方法以下步驟步驟一,采集受保護(hù)DNS服務(wù)器上的網(wǎng)絡(luò)數(shù)據(jù);步驟二,計(jì)算從外網(wǎng)返回的應(yīng)答包總數(shù)和向外網(wǎng)發(fā)送的請(qǐng)求包總數(shù),并轉(zhuǎn)向步驟三;步驟三,使用非參數(shù)自適應(yīng)CUSUM方法檢測(cè)反彈DDOS攻擊,若檢測(cè)到反彈DDOS攻擊,則轉(zhuǎn)向步驟五;步驟四,使用非參數(shù)自適應(yīng)CUSUM方法檢測(cè)查詢DDOS攻擊,若檢測(cè)到查詢DDOS攻擊,則轉(zhuǎn)向步驟五;步驟五,若檢測(cè)到反彈DDOS攻擊或查詢DDoS攻擊,則生成報(bào)警信息并發(fā)出警報(bào)。本發(fā)明能快速高效地檢測(cè)出當(dāng)前是否發(fā)生查詢DDoS攻擊或反彈DDoS攻擊。
文檔編號(hào)H04L29/06GK102882880SQ201210381010
公開日2013年1月16日 申請(qǐng)日期2012年10月10日 優(yōu)先權(quán)日2012年10月10日
發(fā)明者顧曉清, 倪彤光, 李玉 申請(qǐng)人:常州大學(xué)