[發(fā)明專利]檢測域名系統(tǒng)異常的方法和裝置有效
| 申請?zhí)枺?/td> | 201010198228.8 | 申請日: | 2010-06-04 |
| 公開(公告)號: | CN101854404A | 公開(公告)日: | 2010-10-06 |
| 發(fā)明(設(shè)計)人: | 毛偉;李曉東;丁森林;王欣;吳軍;金鍵;盧文哲 | 申請(專利權(quán))人: | 中國科學(xué)院計算機網(wǎng)絡(luò)信息中心 |
| 主分類號: | H04L29/12 | 分類號: | H04L29/12;G06F17/30 |
| 代理公司: | 北京同立鈞成知識產(chǎn)權(quán)代理有限公司 11205 | 代理人: | 劉芳 |
| 地址: | 100190 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 檢測 域名 系統(tǒng) 異常 方法 裝置 | ||
技術(shù)領(lǐng)域
本發(fā)明涉及計算機網(wǎng)絡(luò)安全技術(shù),尤其涉及一種檢測域名系統(tǒng)異常的方法和裝置,屬于計算機網(wǎng)絡(luò)技術(shù)領(lǐng)域。
背景技術(shù)
域名系統(tǒng)(Domain?Name?System,以下簡稱DNS)是一個分布式數(shù)據(jù)庫系統(tǒng),該系統(tǒng)用于將域名轉(zhuǎn)換成為網(wǎng)絡(luò)可以識別的IP地址。由于DNS是互聯(lián)網(wǎng)絡(luò)的基礎(chǔ),如果DNS異常將會對整個網(wǎng)絡(luò)造成嚴(yán)重的影響,因此對DNS異常進(jìn)行檢測十分重要。
現(xiàn)有技術(shù)對DNS異常進(jìn)行檢測的方法主要有基于查詢流量的變化或查詢屬性取值的變化來確定DNS是否發(fā)生異常。基于查詢流量的變化來確定DNS是否發(fā)生異常是指:當(dāng)查詢流量特別大或者特別小的時候認(rèn)為DNS發(fā)生異常。
發(fā)明人在實現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題:
基于查詢流量的變化來確定DNS是否發(fā)生異常的方案具有滯后性,在檢測到異常的時候,查詢流量往往已經(jīng)累積到一定程度,已經(jīng)造成了比較嚴(yán)重的后果,因此不能起到預(yù)警作用。有時,異常的發(fā)生不一定能影響DNS查詢流量,因此基于查詢流量的變化來確定DNS是否發(fā)生異常具有很高的漏檢率。
發(fā)明內(nèi)容
本發(fā)明提供一種檢測DNS異常的方法和裝置,以解決現(xiàn)有技術(shù)中檢測DNS異常滯后,且漏檢率高的問題。
本發(fā)明提供的檢測DNS異常的方法包括:
將域名系統(tǒng)查詢數(shù)據(jù)流劃分為多個數(shù)據(jù)塊;
根據(jù)預(yù)設(shè)查詢屬性計算所述多個數(shù)據(jù)塊的熵值,得到對應(yīng)的多個熵值;
判斷得到的所述多個熵值中是否有預(yù)設(shè)個數(shù)的熵值超過預(yù)設(shè)閾值,如果是,則確定所述域名系統(tǒng)發(fā)生了異常。
本發(fā)明提供的檢測DNS異常的裝置包括:
劃分模塊,用于將域名系統(tǒng)查詢數(shù)據(jù)流劃分為多個數(shù)據(jù)塊;
計算模塊,用于根據(jù)預(yù)設(shè)查詢屬性計算所述多個數(shù)據(jù)塊的熵值,得到對應(yīng)的多個熵值;
判斷模塊,用于判斷得到的多個熵值中是否有預(yù)設(shè)個數(shù)的熵值超過預(yù)設(shè)閾值,如果是,則輸出表示所述域名系統(tǒng)發(fā)生異常的信息。
本發(fā)明通過計算DNS查詢數(shù)據(jù)流中多個數(shù)據(jù)塊的熵值,當(dāng)?shù)玫降膶?yīng)的多個熵值中有預(yù)設(shè)個數(shù)的熵值超過預(yù)設(shè)閾值時,確定DNS系統(tǒng)發(fā)生了異常,本發(fā)明能夠?qū)NS系統(tǒng)發(fā)生異常起到預(yù)警作用,從而減少當(dāng)DNS系統(tǒng)發(fā)生異常后的損失,且漏檢率低。
附圖說明
為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹。
圖1為本發(fā)明檢測DNS異常的方法實施例流程示意圖;
圖2為根據(jù)指定時間劃分?jǐn)?shù)據(jù)塊的示意圖;
圖3為采用窗口大小為10000時得到的熵值曲線;
圖4為DNS查詢率曲線;
圖5為本發(fā)明檢測DNS異常的裝置實施例結(jié)構(gòu)示意圖。
具體實施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明的附圖,對本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍。
本發(fā)明初次將熵的理論應(yīng)用到DNS的異常檢測中,因此首先對熵作一下介紹。熵在信息論中的定義為:如果一個系統(tǒng)S中存在一個事件集合E={E1,E2,…,En},E1,E2,…,En為事件集合E中的每一個事件。每個事件的概率分布P={P1,P2,…,Pn},P1,P2,…,Pn為每一個事件出現(xiàn)的概率。每個事件r本身的信息量Ir可由公式(1)計算:
Ir=-log2Pr?????????????????????????????????????(1)
公式(1)中,r=1,2,…,n。
例如:英語有26個字母,假如每個字母在文章中出現(xiàn)次數(shù)平均的話,每個字母的信息量為:I=-log2(1/26)=4.7
而漢字常用的有2500個,假如每個漢字在文章中出現(xiàn)次數(shù)平均的話,每個漢字的信息量為:I=-log2(1/2500)=11.3
熵是整個系統(tǒng)S的平均信息量,設(shè)熵為Hs,則熵的計算方法如公式(2)所示:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國科學(xué)院計算機網(wǎng)絡(luò)信息中心,未經(jīng)中國科學(xué)院計算機網(wǎng)絡(luò)信息中心許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201010198228.8/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
