技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)攻擊檢測(cè)與過濾領(lǐng)域，特別涉及一種DNS放大攻擊的檢測(cè)與過濾方法。

背景技術(shù)

DNS放大攻擊是一種利用DNS服務(wù)器緩存功能的反射攻擊。其攻擊流程為：攻擊者入侵具有Internet漏洞的權(quán)威域名服務(wù)器，并注冊(cè)大型文件；攻擊者控制僵尸電腦偽造源IP地址(受害者IP地址)并向緩存域名服務(wù)器發(fā)送查詢請(qǐng)求；緩存域名服務(wù)器向權(quán)威域名服務(wù)器發(fā)送請(qǐng)求并獲取上述大型文件；緩存域名服務(wù)器向受害者發(fā)送大型記錄信息。以這種方式，達(dá)到攻擊受害者的目的。

目前，針對(duì)DNS放大攻擊的研究主要有：Paul等介紹了一種通過響應(yīng)速率(請(qǐng)求與響應(yīng)之間的對(duì)應(yīng)關(guān)系)來限制DNS放大攻擊的方法。當(dāng)響應(yīng)頻率超過一定閾值時(shí)，將停止接受查詢；如果該值低于閾值，則DNS服務(wù)器將再次恢復(fù)工作；由于這種操作，響應(yīng)的頻率將會(huì)降低。即，這種機(jī)制確保每個(gè)查詢的頻率不超過閾值，因此可以減少DNS放大攻擊的效果，但是需要確定每個(gè)DNS服務(wù)器的閾值，且容易影響正常用戶的使用；倪等人提出了一種基于時(shí)間序列的方法來檢測(cè)DNS放大攻擊，但是此方法僅僅以遞歸應(yīng)答報(bào)文和發(fā)送的請(qǐng)求報(bào)文之間的比例關(guān)系作為判斷依據(jù)，當(dāng)存在正常用戶請(qǐng)求大型文件導(dǎo)致比例增加時(shí)，會(huì)大大增加誤報(bào)率；Vernon提出基于IP-域名的多層級(jí)限速的方法來限制DNS放大攻擊，此方法能夠有效實(shí)現(xiàn)對(duì)域名服務(wù)系統(tǒng)的防護(hù)，但是需要設(shè)立多個(gè)層級(jí)來過濾數(shù)據(jù)包，不能夠快速有效的檢測(cè)出攻擊，實(shí)時(shí)性較差。上述研究均提出了對(duì)DNS放大攻擊的檢測(cè)方法，但在檢測(cè)出攻擊的基礎(chǔ)上并沒有做出后續(xù)的處理，并未實(shí)質(zhì)性地消除受害者受到的危害。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是針對(duì)背景技術(shù)的缺陷，提出一種DNS放大攻擊的檢測(cè)與過濾方法，實(shí)現(xiàn)如何實(shí)質(zhì)性地減小受害者的受損程度。

本發(fā)明的上述技術(shù)問題是通過以下技術(shù)方案得以實(shí)現(xiàn)的：

一種DNS放大攻擊的檢測(cè)與過濾方法，其特征是：包括以下步驟：

檢測(cè)：選取并分析發(fā)生DNS放大攻擊時(shí)的特征，以單位時(shí)間內(nèi)的數(shù)據(jù)量作為計(jì)算項(xiàng)，通過k-means++算法進(jìn)行聚類分析，判斷是否發(fā)生攻擊；

過濾：如果檢測(cè)步驟中判斷發(fā)生攻擊，通過HOP-count信息，過濾流向受害者的攻擊流量。

進(jìn)一步的，在檢測(cè)步驟中，選取的特征包括：請(qǐng)求速率、信息增益比和源IP熵。

進(jìn)一步的，分析發(fā)生DNS放大攻擊時(shí)的特征包括以下步驟：

步驟1：設(shè)置時(shí)間間隔t；

步驟2：計(jì)算t時(shí)間間隔內(nèi)的請(qǐng)求速率F；

步驟2.1：定義request_all為t時(shí)間間隔內(nèi)的總請(qǐng)求數(shù)；

步驟2.2：求出t時(shí)間間隔內(nèi)的請(qǐng)求速率為：

步驟3：計(jì)算t時(shí)間間隔內(nèi)的信息增益比G；

步驟3.1：定義response_tra為t時(shí)間間隔內(nèi)的響應(yīng)流量的總大?。?/p>

步驟3.2：定義request_tra為t時(shí)間間隔內(nèi)的請(qǐng)求流量的總大??；

步驟3.3：求出t時(shí)間間隔內(nèi)的信息增益比：

步驟4：計(jì)算t時(shí)間間隔內(nèi)的源IP熵值；

步驟4.1：對(duì)源IP序列引入滑動(dòng)窗口機(jī)制，取窗口大小為m；

步驟4.2：計(jì)算窗口內(nèi)每個(gè)源IP概率，記為P＝{Pi，i＝1，2，…，l}；利用公式1計(jì)算窗口中源IP的熵值；

步驟4.3：取出當(dāng)前窗口第一個(gè)源IP出現(xiàn)的次數(shù)以及概率P1；

步驟4.4：滑動(dòng)窗口后移一項(xiàng)，即：將原窗口第一項(xiàng)移除，將原第m+1項(xiàng)移入窗口,重新計(jì)算P1；同時(shí)計(jì)算新移入的源IP的概率；

步驟4.5：根據(jù)以上步驟，對(duì)每個(gè)滑動(dòng)窗口均可計(jì)算當(dāng)前窗口內(nèi)的源IP熵值,以得到一系列熵值，記為：{Hi,i＝1,2,…,t},t表示滑動(dòng)窗口總數(shù)。

進(jìn)一步的，在檢測(cè)步驟中，通過k-means++算法進(jìn)行聚類分析包括以下步驟：

步驟1：基于求得的特征，對(duì)于每一個(gè)新數(shù)據(jù)，利用k-means++算法進(jìn)行聚類分析，判斷其屬于正常類還是攻擊類，從而判斷是否發(fā)生DDoS放大攻擊；

步驟1.1：提取上述特征作為樣本，用于訓(xùn)練；

步驟1.2：利用k-means++算法對(duì)上述樣本進(jìn)行聚類；

步驟1.3：獲取待檢測(cè)樣本點(diǎn)Yi；

步驟1.4：計(jì)算此樣本點(diǎn)與k個(gè)聚類中心的距離，求得最小距離min_dis，則此樣本暫屬于該簇；