[發(fā)明專利]一種DNS域名異常訪問檢測(cè)方法及裝置有效
| 申請(qǐng)?zhí)枺?/td> | 201711473667.3 | 申請(qǐng)日: | 2017-12-29 |
| 公開(公告)號(hào): | CN108270778B | 公開(公告)日: | 2020-11-20 |
| 發(fā)明(設(shè)計(jì))人: | 張恒;姜濤;張鵬;孫才;楊鞠華 | 申請(qǐng)(專利權(quán))人: | 中國互聯(lián)網(wǎng)絡(luò)信息中心 |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06;H04L29/12 |
| 代理公司: | 北京君尚知識(shí)產(chǎn)權(quán)代理有限公司 11200 | 代理人: | 余長(zhǎng)江 |
| 地址: | 100190 北京*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 dns 域名 異常 訪問 檢測(cè) 方法 裝置 | ||
1.一種DNS域名異常訪問檢測(cè)方法,步驟包括:
獲取DNS服務(wù)器與DNS客戶端的鏡像DNS報(bào)文;
根據(jù)當(dāng)前周期內(nèi)的域名訪問次數(shù)概率分布和正常周期內(nèi)的域名訪問次數(shù)概率分布,對(duì)所述DNS報(bào)文的DNS數(shù)據(jù)進(jìn)行KL散度計(jì)算;
如果KL散度大于一散度閾值,則對(duì)當(dāng)前周期內(nèi)的各域名進(jìn)行KL散度貢獻(xiàn)度計(jì)算,KL散度貢獻(xiàn)度計(jì)算公式為C(k)=P(k)[logP(k)-logQ(k)],其中P(k)為當(dāng)前周期內(nèi)按查詢次數(shù)排名為K的域名在當(dāng)前統(tǒng)計(jì)周期內(nèi)的查詢概率,Q(k)為正常周期內(nèi)按查詢次數(shù)排名為K的域名在正常周期內(nèi)的查詢概率;
將KL散度貢獻(xiàn)度超出一貢獻(xiàn)度閾值的域名判定為異常域名,發(fā)送DNS域名異常訪問告警信息并寫入數(shù)據(jù)庫;
如果所述KL散度不大于所述散度閾值,則判斷當(dāng)前周期與正常周期相比是否有TopN新增域名,TopN為按照訪問次數(shù)統(tǒng)計(jì)的排名,N根據(jù)需要設(shè)定;如果有TopN新增域名,則發(fā)送DNS域名異常訪問告警信息并寫入數(shù)據(jù)庫;
如果沒有TopN新增域名,則判斷TopN域名訪問次數(shù)變化率是否超出一變化閾值,如果超出,則發(fā)送DNS域名異常訪問告警信息并寫入數(shù)據(jù)庫。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述DNS數(shù)據(jù)包括當(dāng)前周期和正常周期內(nèi)的域名訪問次數(shù)。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述KL散度計(jì)算公式為D(p||q)=E[log(p)-log(q)],其中p為當(dāng)前周期內(nèi)的域名訪問次數(shù)概率分布,q為正常周期內(nèi)的域名訪問次數(shù)概率分布。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述DNS域名異常訪問告警信息包括告警時(shí)間、異常域名、域名異常訪問次數(shù)。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,如果所述KL散度貢獻(xiàn)度超過貢獻(xiàn)度閾值,則在發(fā)送DNS域名異常訪問告警信息并寫入數(shù)據(jù)庫后結(jié)束當(dāng)前周期異常訪問檢測(cè),否則直接結(jié)束當(dāng)前周期異常訪問檢測(cè)。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,如果有TopN新增域名,則在發(fā)送DNS域名異常訪問告警信息并寫入數(shù)據(jù)庫后結(jié)束當(dāng)前周期異常訪問檢測(cè)。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,如果TopN域名訪問次數(shù)變化率超過變化閾值,則在發(fā)送DNS域名異常訪問告警信息并寫入數(shù)據(jù)庫后結(jié)束當(dāng)前周期異常訪問檢測(cè)。
8.一種DNS域名異常訪問檢測(cè)裝置,包括DNS域名分析器,所述DNS域名分析器連接路由器,包括存儲(chǔ)器和處理器,所述存儲(chǔ)器存儲(chǔ)計(jì)算機(jī)程序,所述程序被配置為由所述處理器執(zhí)行,所述程序包括上述權(quán)利要求1-7任一所述方法的各步驟指令。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國互聯(lián)網(wǎng)絡(luò)信息中心,未經(jīng)中國互聯(lián)網(wǎng)絡(luò)信息中心許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711473667.3/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 實(shí)現(xiàn)DNS區(qū)創(chuàng)建同步的方法、服務(wù)器以及域名系統(tǒng)
- 一種實(shí)現(xiàn)可離線化DNS服務(wù)的方法及裝置
- DNS查詢流量控制方法、設(shè)備和系統(tǒng)
- 一種避免DNS污染的方法
- 用于集成內(nèi)部和云域名系統(tǒng)的方法和系統(tǒng)
- 一種DNS數(shù)據(jù)包轉(zhuǎn)發(fā)方法、系統(tǒng)及路由器
- 一種VPN客戶端代理DNS的方法及裝置
- 區(qū)塊鏈域名系統(tǒng)DNS系統(tǒng)的數(shù)據(jù)更新方法及網(wǎng)絡(luò)節(jié)點(diǎn)
- 一種DNS域名獲取系統(tǒng)及方法
- 域名劫持防御方法及裝置、計(jì)算機(jī)裝置及存儲(chǔ)介質(zhì)
- 異常檢測(cè)裝置、異常檢測(cè)方法
- 異常檢測(cè)方法、異常檢測(cè)裝置及異常檢測(cè)系統(tǒng)
- 異常檢測(cè)裝置、異常檢測(cè)方法以及異常檢測(cè)系統(tǒng)
- 異常檢測(cè)裝置、異常檢測(cè)方法以及異常檢測(cè)系統(tǒng)
- 異常檢測(cè)裝置、異常檢測(cè)方法及異常檢測(cè)系統(tǒng)
- 異常探測(cè)裝置、異常探測(cè)方法以及計(jì)算機(jī)可讀取的存儲(chǔ)介質(zhì)
- 異常檢測(cè)裝置、異常檢測(cè)方法及記錄介質(zhì)
- 異常檢測(cè)裝置、異常檢測(cè)系統(tǒng)以及異常檢測(cè)方法
- 異常檢測(cè)系統(tǒng)、異常檢測(cè)裝置和異常檢測(cè)方法
- 異常檢測(cè)方法、異常檢測(cè)裝置及異常檢測(cè)系統(tǒng)
- 存儲(chǔ)器訪問調(diào)度裝置、調(diào)度方法與存儲(chǔ)器訪問控制系統(tǒng)
- 一種限制用戶訪問的方法和裝置
- 一種訪問信息提供方法及系統(tǒng)
- 數(shù)據(jù)訪問權(quán)限的控制方法及裝置
- 基于智能家居系統(tǒng)的訪問授權(quán)方法、裝置及設(shè)備
- 網(wǎng)站訪問請(qǐng)求的動(dòng)態(tài)調(diào)度方法及裝置
- 基于訪問頻率的監(jiān)測(cè)方法、裝置、設(shè)備和計(jì)算機(jī)存儲(chǔ)介質(zhì)
- 訪問憑證驗(yàn)證方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)
- 一種應(yīng)用訪問控制方法、系統(tǒng)和介質(zhì)
- 異常訪問行為的檢測(cè)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)
