本發明公開一種DNS惡意攻擊流量的發現方法，通過對已知規模的DNS流量進行檢測，依次分析其數據報流量及所含的DNS請求域名是否合法，更進一步提取并分析各DNS流量指標，能夠快速準確地判斷是否為惡意域名和惡意IP地址；通過分析DNS流量的IP地址和域名的關聯關系，遞歸發現更多的惡意域名和惡意IP地址，從而對攻擊DNS服務器的惡意流量實現更加精確的定位。本發明還公開一種DNS惡意攻擊流量的發現系統，包括數據報流量獲取模塊、危險發現模塊、流量指標計算模塊以及惡意分析模塊。

技術領域

本發明涉及計算機領域，具體為一種DNS惡意攻擊流量的發現方法及系統。

背景技術

作為互聯網的重要基礎設施，域名系統(DomainNameSystem，DNS)一直為全球互聯網的運行提供關鍵性的基礎服務，它的安全和穩定對于互聯網是很重要的。

由于DNS請求和響應主要基于不可靠傳輸層協議UDP，而UDP很容易遭受DDOS攻擊、反射攻擊。黑客利用掌握的肉雞向域名服務器發送大流量的DNS包，導致DNS服務器不能正常提供服務，不能正常響應合法用戶的正常請求，如導致它們的丟包或時延變大。對于DDOS攻擊，需要及時發現其攻擊行為和盡快分析出其攻擊的目的域名和來源地址等攻擊模式，才能為下一步的抵制舉措采取及時的響應。

現階段，有的人專注于全局流量的分析和研究，雖然能夠及時發現DNS服務器流量情況發生變化，但是不能確定是否是惡意變化，即使有的方法能夠確定是惡意變化，也不能及時發現攻擊域名和攻擊的來源地址等攻擊模式。有的人就是對DNS服務器的總體流量、總體請求率或者為每個來源IP地址設置靜態的或者動態的閾值。DNS請求流量是一個動態變化的過程，靜態的閥值方法不靈活，易錯報。雖然有的發明采用了動態閥值方法，但是因為孤立地分析和研究域名和來源地址的請求情況，所以即使一定程度上能夠分析出攻擊源地址、攻擊目標域名和域名服務器，也不能全面清晰地分析出攻擊源地址和攻擊目標。

發明內容

為克服上述不足，本發明提供一種DNS惡意攻擊流量的發現方法及系統，通過實時分析DNS服務器的流量或者請求日志，從域名和IP地址兩個維度來分析以判斷DDOS攻擊發生。

為解決上述技術問題，本發明所采用的技術方案是：

一種DNS惡意攻擊流量的發現方法，適用于對已知規模的DNS流量進行檢測，從中找出惡意流量，步驟包括：

1)找出首批惡意流量

1-1)判斷發送給DNS服務器的數據報流量對于所述DNS服務器是非法還是合法，如果非法，則所述數據報流量為非法流量，提取惡意域名和惡意IP地址；

1-2)如果所述數據報流量合法，則判斷所述數據報流量包含的DNS請求域名是非法還是合法，如果非法，則判定所述數據報流量的IP地址為惡意IP地址，所述DNS請求域名為惡意域名；

1-3)如果所述DNS請求域名合法，從所述數據報流量中提取DNS流量指標，當所述DNS流量指標中的一項或幾項異常時，所述DNS請求域名判定為惡意域名，所述數據報流量的IP地址判定為惡意IP地址；

2)遞歸查找惡意流量

2-1)查找訪問所述惡意域名的IP地址和所述惡意IP地址訪問的域名，并判斷是否為惡意IP地址和惡意域名，如果是，繼續查找所述判定的惡意IP地址訪問的域名和訪問所述判定的惡意域名的IP地址并做出判斷，直到滿足退出條件時停止。

進一步地，所述發送給DNS服務器的數據報對于所述DNS服務器非法是指，所述數據報使用的協議不是基于TCP或UDP運輸層協議報文；或者使用的端口不是TCP53端口或UDP53端口；或者運輸層包體部分不符合DNS協議，包括沒有合適的DNS包頭或DNS包體；或者DNS請求包里設置有qr字段。