本發明提供一種DNS域名異常訪問檢測方法，步驟包括：獲取DNS服務器與DNS客戶端的鏡像DNS報文；對所述DNS報文的DNS數據進行KL散度計算；如果KL散度大于一散度閾值，則對當前周期內的各域名進行KL散度貢獻度計算；將KL散度貢獻度超出一貢獻度閾值的域名判定為異常域名，發送DNS域名異常訪問告警信息并寫入數據庫；如果所述KL散度不大于所述散度閾值，則判斷當前周期與正常周期相比是否有TopN新增域名，如果有TopN新增域名，則發送DNS域名異常訪問告警信息并寫入數據庫；如果沒有TopN新增域名，則判斷TopN域名訪問次數變化率是否超出一變化閾值，如果超出，則發送DNS域名異常訪問告警信息并寫入數據庫。本發明還提供一種DNS域名異常訪問檢測裝置。

技術領域

本發明屬于計算機網絡通信領域，具體涉及一種DNS域名異常訪問檢測方法及裝置。

背景技術

在計算機網絡通信中，主機之間需要知道通信對端的IP地址才能夠通過IP網絡與對方進行通信。然而32位的IPv4地址(IPv6地址為128位)對于通信參與者來說是不容易記憶的。因此，更為直觀的域名(如www.google.com.hk)被廣泛采用以解決IP地址難以記憶的問題。然而網絡通信是基于IP協議來運轉的，通過域名并不能直接找到要訪問的主機。因此主機需要將用戶輸入的域名轉換為IP地址，這個過程被稱為域名解析。

為了完成域名解析，需要域名系統(Domain Name System，DNS)來配合，其是一種用于TCP/IP應用程序的分布式數據庫，提供域名與IP地址之間的轉換。通過域名系統，用戶進行某些應用時，可以直接使用便于記憶的且有意義的域名，而由網絡中的DNS服務器將域名解析為正確的IP地址然后返回給用戶的主機。域名服務器，是指保存有該網絡中所有主機的域名和對應IP地址，并具有將域名轉換為IP地址功能的服務器。域名解析過程是指當某一個應用進程需要將主機名解析為IP地址時，該應用進程就成為域名系DNS的一個客戶，并把待解析的域名放在DNS請求報文中發給域名服務器，域名服務器在查找域名后將對應的IP地址放在回答報文中返回給客戶機應用進程。DNS遞歸服務器是DNS解析系統中的重要設備，DNS遞歸服務器根據緩存中的域名地址信息，對終端用戶發起的DNS查詢進行響應。

目前，對DNS系統的攻擊方式主要有以下幾種方式：

第一種攻擊方式是流量型拒絕服務攻擊。例如基于用戶數據包協議(UDP，UserDatagram Protocol)流(flood)、基于傳輸控制協議(TCP，Transmission ControlProtocol)flood、DNS請求flood，或拼(PING)flood等。該種方式下的攻擊的典型特征是消耗掉DNS服務器的資源，使其不能及時響應正常的DNS解析請求。其中，資源的消耗包括對服務器CPU、網絡資源等的消耗。

第二種攻擊方式是異常請求訪問攻擊。例如超長域名請求、異常域名請求等。該種方式下的攻擊的特點是通過發掘DNS服務器的漏洞，通過偽造特定的請求報文，導致DNS服務器軟件工作異常而退出或崩潰而無法啟動，達到影響DNS服務器正常工作的目的。

第三種攻擊方式是DNS劫持攻擊。例如DNS緩存“投毒”、篡改授權域內容、ARP欺騙劫持授權域等。該種方式下的攻擊的特點是通過直接篡改解析記錄或在解析記錄傳遞過程中篡改其內容或搶先應答，從而達到影響解析結果的目的。

第四種攻擊方式是攻擊者利用DNS進行攻擊。例如攻擊者控制僵尸機群采用被攻擊主機的IP地址偽裝成被攻擊主機發送域名解析請求，大量的域名解析請求被DNS服務器遞歸查詢解析后，DNS服務器發送響應給被攻擊者，大量的響應數據包從不同的DNS服務器傳回構成了分布式拒絕服務(DDoS，Distributed Denial of Service)攻擊。

從上述四種攻擊的描述中可以看到，當DNS服務器遭受到DNS攻擊時，在DNS服務器端多數表現為DNS域名異常訪問。通過對DNS域名異常訪問的探測，能夠及時發現DNS攻擊行為的發生，從而可以采取有效措施，使損失降到最小。