本發(fā)明公開(kāi)了一種域名權(quán)威服務(wù)來(lái)源IP識(shí)別方法和系統(tǒng)。本方法為：1)查詢記錄特征統(tǒng)計(jì)模塊從權(quán)威服務(wù)器的權(quán)威查詢?nèi)罩局谐槿≡O(shè)定源IP的查詢記錄特征特征；2)遞歸結(jié)構(gòu)特征統(tǒng)計(jì)模塊根據(jù)讀取的全球遞歸服務(wù)探測(cè)數(shù)據(jù)構(gòu)建一遞歸結(jié)構(gòu)映射關(guān)系表，然后根據(jù)遞歸結(jié)構(gòu)映射關(guān)系表進(jìn)行遞歸結(jié)構(gòu)特征抽取；3)來(lái)源IP聚類(lèi)識(shí)別模塊根據(jù)已抽取的查詢記錄特征和遞歸結(jié)構(gòu)特征對(duì)設(shè)定來(lái)源IP進(jìn)行聚類(lèi)，將來(lái)源IP劃分成多個(gè)不同的子集，并為每一子集設(shè)定一響應(yīng)策略；4)當(dāng)權(quán)威服務(wù)器收到一查詢時(shí)，判斷該查詢對(duì)應(yīng)IP所屬的子集，然后根據(jù)該子集對(duì)應(yīng)的響應(yīng)策略對(duì)該查詢對(duì)應(yīng)的IP進(jìn)行處理。本發(fā)明能夠精細(xì)化識(shí)別不同類(lèi)型的來(lái)源IP，并對(duì)其進(jìn)行相應(yīng)處理。

技術(shù)領(lǐng)域

本發(fā)明涉及一種域名權(quán)威服務(wù)來(lái)源IP識(shí)別方法和系統(tǒng)，屬于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域。

背景技術(shù)

域名權(quán)威服務(wù)作為DNS服務(wù)的關(guān)鍵環(huán)節(jié)，負(fù)責(zé)對(duì)外提供域名與IP地址之間映射RR記錄，是絕大互聯(lián)網(wǎng)業(yè)務(wù)正常運(yùn)行的基礎(chǔ)。域名權(quán)威的高效運(yùn)轉(zhuǎn)是保證域名服務(wù)乃至互聯(lián)網(wǎng)基礎(chǔ)業(yè)務(wù)穩(wěn)定運(yùn)行的一個(gè)關(guān)鍵因素。

域名權(quán)威服務(wù)來(lái)源IP可能有多種類(lèi)型。例如來(lái)自運(yùn)營(yíng)商遞歸服務(wù)器、互聯(lián)網(wǎng)開(kāi)放遞歸服務(wù)器、搜索引擎業(yè)務(wù)、電子郵箱業(yè)務(wù)、云服務(wù)、網(wǎng)絡(luò)探測(cè)服務(wù)等等。在權(quán)威服務(wù)器遭受拒絕服務(wù)攻擊時(shí)，不加區(qū)分的針對(duì)來(lái)源IP進(jìn)行驗(yàn)證可能會(huì)造成誤判，影響防御策略的效果。因此，有必要對(duì)來(lái)源IP進(jìn)行專門(mén)的類(lèi)型發(fā)現(xiàn)和識(shí)別，以便于權(quán)威域名服務(wù)提供商采取相關(guān)風(fēng)險(xiǎn)應(yīng)對(duì)措施。本發(fā)明旨在提供一種針對(duì)域名權(quán)威服務(wù)來(lái)源IP的識(shí)別方法和系統(tǒng)。

業(yè)內(nèi)相關(guān)的來(lái)源IP識(shí)別技術(shù)主要存在兩種。一種是針對(duì)來(lái)源IP查詢的日志統(tǒng)計(jì)識(shí)別技術(shù)，另一種是主動(dòng)探測(cè)來(lái)源遞歸服務(wù)來(lái)源IP的識(shí)別技術(shù)。由于頂極域名權(quán)威服務(wù)對(duì)象包含多種類(lèi)型，特性各不相同，故上述兩種來(lái)源IP識(shí)別技術(shù)均不能實(shí)現(xiàn)對(duì)權(quán)威服務(wù)來(lái)源IP的精細(xì)分類(lèi)。

發(fā)明內(nèi)容

本發(fā)明提供了一種域名權(quán)威服務(wù)來(lái)源IP識(shí)別方法和系統(tǒng)。本發(fā)明是一種專門(mén)針對(duì)域名權(quán)威服務(wù)來(lái)源IP識(shí)別技術(shù)，現(xiàn)有的來(lái)源IP識(shí)別技術(shù)均不能實(shí)現(xiàn)對(duì)來(lái)源IP的精細(xì)分類(lèi)；本發(fā)明所提供的域名權(quán)威服務(wù)來(lái)源IP識(shí)別技術(shù)，通過(guò)利用權(quán)威服務(wù)查詢?nèi)罩緮?shù)據(jù)來(lái)進(jìn)行特征抽取，不影響域名權(quán)威服務(wù)自身的正常運(yùn)行；本發(fā)明所提供的來(lái)源IP特征定義，能夠有效區(qū)分不同類(lèi)型的查詢?cè)碔P。

本發(fā)明的技術(shù)方案為：

一種域名權(quán)威服務(wù)來(lái)源IP識(shí)別方法，其步驟為：

1)查詢記錄特征統(tǒng)計(jì)模塊從權(quán)威服務(wù)器的權(quán)威查詢?nèi)罩局谐槿≡O(shè)定源IP的查詢記錄特征特征；

2)遞歸結(jié)構(gòu)特征統(tǒng)計(jì)模塊根據(jù)讀取的全球遞歸服務(wù)探測(cè)數(shù)據(jù)構(gòu)建一遞歸結(jié)構(gòu)映射關(guān)系表，然后根據(jù)該遞歸結(jié)構(gòu)映射關(guān)系表進(jìn)行遞歸結(jié)構(gòu)特征抽取；

3)來(lái)源IP聚類(lèi)識(shí)別模塊根據(jù)已抽取的查詢記錄特征和遞歸結(jié)構(gòu)特征對(duì)設(shè)定來(lái)源IP進(jìn)行聚類(lèi)，將設(shè)定來(lái)源IP劃分成多個(gè)不同的子集，并為每一子集設(shè)定一響應(yīng)策略；

4)當(dāng)權(quán)威服務(wù)器收到一查詢時(shí)，判斷該查詢對(duì)應(yīng)IP所屬的子集，然后根據(jù)該子集對(duì)應(yīng)的響應(yīng)策略對(duì)該查詢對(duì)應(yīng)的IP進(jìn)行處理。

進(jìn)一步的，所述查詢記錄特征為：來(lái)源IP每日查詢量、來(lái)源IP在設(shè)定域名的每日查詢量、來(lái)源IP針對(duì)設(shè)定重點(diǎn)域名的查詢量占該來(lái)源IP總查詢量的比例、來(lái)源IP每日查詢的域名個(gè)數(shù)、來(lái)源IP每日查詢的設(shè)定重點(diǎn)域名個(gè)數(shù)占該權(quán)威服務(wù)器總體重點(diǎn)域名個(gè)數(shù)的比例或來(lái)源IP查詢的各個(gè)域名的熵的均值。