技術(shù)領(lǐng)域

本發(fā)明涉及一種通信技術(shù)，尤其涉及DNS服務(wù)器異常檢測(cè)的方法及裝置。

背景技術(shù)

域名系統(tǒng)（Domain?Name?System，DNS服務(wù)器）是互聯(lián)網(wǎng)基礎(chǔ)設(shè)置提供的一種核心服務(wù)，該DNS服務(wù)器是將域名和IP地址相互映射成一個(gè)分布式數(shù)據(jù)庫(kù)，以及實(shí)現(xiàn)域名和網(wǎng)絡(luò)可以識(shí)別的IP地址轉(zhuǎn)換功能的軟件系統(tǒng)。DNS服務(wù)器在運(yùn)行過程中存在許多潛在的缺陷和漏洞，這些缺陷和漏洞可能會(huì)影響DNS服務(wù)器的正常運(yùn)行，降低服務(wù)質(zhì)量。例如可能存在多種因素造成DNS服務(wù)器系統(tǒng)的查詢數(shù)據(jù)、使用數(shù)據(jù)、應(yīng)答數(shù)據(jù)等功能的使用異常。這些因素包括：（1）DNS服務(wù)器攻擊，例如拒絕服務(wù)攻擊、DNS服務(wù)器反射攻擊、緩存污染以及域名劫持等等；（2）配置錯(cuò)誤，例如系統(tǒng)管理員對(duì)防火墻或DNS服務(wù)器的配置錯(cuò)誤，會(huì)產(chǎn)生大量的垃圾查詢，如A-for-A（一對(duì)一）查詢、RFC（Request?For?Comments，一系列以編號(hào)排定的文件）1918PTR（反向查詢）查詢、未知TLD（Top?Level?Domain，頂級(jí)域名）查詢等；（3）網(wǎng)絡(luò)輿情，由于互聯(lián)網(wǎng)具有虛擬性、隱蔽性、發(fā)散性、滲透性和隨意性等特點(diǎn)，越來越多的網(wǎng)民愿意通過網(wǎng)絡(luò)渠道來表達(dá)觀點(diǎn)和傳播思想。為了保證DNS服務(wù)器的正常服務(wù)，對(duì)DNS服務(wù)器進(jìn)行異常檢測(cè)就十分必要。

現(xiàn)有技術(shù)中的DNS服務(wù)器異常檢測(cè)方法主要是基于流量的方式。正常情況下，流經(jīng)DNS服務(wù)器的流量在用戶的行為模式影響下會(huì)有規(guī)律地波動(dòng)，但都維持在一個(gè)穩(wěn)定的范圍內(nèi)，當(dāng)超出了這個(gè)范圍，通常是超出預(yù)設(shè)閾值時(shí)，就會(huì)被認(rèn)為是DNS服務(wù)器異常，進(jìn)而會(huì)進(jìn)行相應(yīng)的操作，例如增加服務(wù)器數(shù)量或者對(duì)具有某些特征的流量進(jìn)行過濾，從而消除異常對(duì)DNS服務(wù)器的影響，保證服務(wù)器質(zhì)量。

但是在流量超出閾值之前，其實(shí)異常就已經(jīng)發(fā)生，只不過異常的特征還沒有體現(xiàn)在流量上。當(dāng)流量超過預(yù)設(shè)閾值以后，其實(shí)異常已經(jīng)到了一個(gè)十分嚴(yán)重的地步，已經(jīng)大大影響了DNS服務(wù)器的正常運(yùn)行。因此，如何及時(shí)檢測(cè)出DNS服務(wù)器異常，成為亟需解決的問題。

發(fā)明內(nèi)容

本發(fā)明提供一種DNS服務(wù)器異常檢測(cè)的方法及裝置，用于及時(shí)檢測(cè)出DNS服務(wù)器的異常。

本發(fā)明的第一個(gè)方面是提供一種DNS服務(wù)器異常檢測(cè)的方法，包括：

獲取預(yù)設(shè)時(shí)間段內(nèi)訪問DNS服務(wù)器的各檢測(cè)參數(shù)的訪問時(shí)間和各所述檢測(cè)參數(shù)的訪問頻率，所述檢測(cè)參數(shù)為IP地址或域名；

根據(jù)各訪問時(shí)間和各訪問頻率獲取卡方統(tǒng)計(jì)值，并根據(jù)所述卡方統(tǒng)計(jì)值和歷史卡方值判斷所述DNS服務(wù)器是否出現(xiàn)異常。

如上所述的DNS服務(wù)器異常檢測(cè)的方法，優(yōu)選地，所述根據(jù)所述卡方統(tǒng)計(jì)值和歷史卡方值判斷所述DNS服務(wù)器是否出現(xiàn)異常包括：

當(dāng)所述卡方統(tǒng)計(jì)值與所述歷史卡方值的差值超過預(yù)設(shè)閾值時(shí)，判斷所述DNS服務(wù)器出現(xiàn)異常并發(fā)出報(bào)警信息。

如上所述的DNS服務(wù)器異常檢測(cè)的方法，優(yōu)選地，獲取預(yù)設(shè)時(shí)間段內(nèi)訪問DNS服務(wù)器的各檢測(cè)參數(shù)的訪問時(shí)間和各所述檢測(cè)參數(shù)的訪問頻率包括：

在預(yù)設(shè)時(shí)間段內(nèi)，當(dāng)檢測(cè)參數(shù)出現(xiàn)時(shí)，獲取該檢測(cè)參數(shù)對(duì)應(yīng)記錄的訪問時(shí)間和訪問頻率；

將訪問頻率與公式exp[age1·ln(0.5)/halflife2]相乘，并將最終結(jié)果加1后更新為訪問頻率；

其中，age1為同一檢測(cè)參數(shù)本次出現(xiàn)距離上一次出現(xiàn)的時(shí)間間隔，halflife1為第一半衰期。

如上所述的DNS服務(wù)器異常檢測(cè)的方法，優(yōu)選地，在所述獲取訪問DNS服務(wù)器的各檢測(cè)參數(shù)和各檢測(cè)參數(shù)的訪問頻率之后還包括：

根據(jù)所述訪問頻率對(duì)所述檢測(cè)參數(shù)進(jìn)行分組處理。

如上所述的DNS服務(wù)器異常檢測(cè)的方法，優(yōu)選地，根據(jù)所述訪問頻率對(duì)所述檢測(cè)參數(shù)進(jìn)行分組處理包括:

將所述訪問頻率最高的檢測(cè)參數(shù)劃分為第一組；

將所述訪問頻率位于第2位至第5位的檢測(cè)參數(shù)劃分為第二組；

將所述訪問頻率位于第6位至21位的檢測(cè)參數(shù)劃分為第三組；

將所述訪問頻率位于第22位至第227位的檢測(cè)參數(shù)劃分為第四組；

將剩余的檢測(cè)參數(shù)劃分為第五組。

如上所述的DNS服務(wù)器異常檢測(cè)的方法，優(yōu)選地，所述根據(jù)所述訪問時(shí)間和所述訪問頻率獲取卡方統(tǒng)計(jì)值包括：

根據(jù)所述各所述訪問頻率獲取各組的訪問頻率總和；

根據(jù)所述各組的訪問頻率總和以及所述上一預(yù)設(shè)時(shí)間段內(nèi)各組的已知期望值獲取本預(yù)設(shè)時(shí)間段內(nèi)各組的期望值；

根據(jù)所述各組的期望值和所述各組訪問頻率總和獲取所述卡方統(tǒng)計(jì)值。