本發(fā)明提供了一種DNS流量異常檢測方法、裝置、電子設備及存儲介質，所述方法包括：獲取DNS流量的歷史數(shù)據(jù)和當前數(shù)據(jù)；根據(jù)DNS流量的歷史數(shù)據(jù)和當前數(shù)據(jù)，獲取殘差數(shù)據(jù)，所述殘差數(shù)據(jù)包括歷史數(shù)據(jù)的殘差數(shù)據(jù)和當前數(shù)據(jù)的殘差數(shù)據(jù)；根據(jù)歷史數(shù)據(jù)的殘差數(shù)據(jù)和當前數(shù)據(jù)的殘差數(shù)據(jù)，檢測當前DNS流量是否存在異常。本發(fā)明提供的DNS流量異常檢測方法，能夠及時發(fā)現(xiàn)DNS業(yè)務的異常，使DNS服務運維人員能及時調整DNS服務器的對外服務，從而消除DNS異常流量的影響。

技術領域

本發(fā)明涉及計算機技術領域，具體涉及一種DNS流量異常檢測方法、裝置、電子設備及存儲介質。

背景技術

計算機網絡通信中，主機之間需要知道通信對端的IP地址才能夠通過IP網絡與對方進行通信。然而32位的IPv4地址(IPv6地址為128位)對于通信參與者來說是不容易記憶的。因此，更為直觀的域名(如www.google.com.hk)被廣泛采用以解決IP地址難以記憶的問題。然而網絡通信是基于IP協(xié)議來運轉的，通過域名并不能直接找到要訪問的主機。因此主機需要將用戶輸入的域名轉換為IP地址，這個過程被稱為域名解析。

為了完成域名解析，需要域名系統(tǒng)(Domain Name System，DNS)來配合，其是一種用于TCP/IP應用程序的分布式數(shù)據(jù)庫，提供域名與IP地址之間的轉換。通過域名系統(tǒng)，用戶進行某些應用時，可以直接使用便于記憶的且有意義的域名，而由網絡中的DNS服務器將域名解析為正確的IP地址然后返回給用戶的主機。域名服務器，是指保存有該網絡中所有主機的域名和對應IP地址，并具有將域名轉換為IP地址功能的服務器。域名解析過程是指當某一個應用進程需要將主機名解析為IP地址時，該應用進程就成為域名系DNS的一個客戶，并把待解析的域名放在DNS請求報文中發(fā)給域名服務器，域名服務器在查找域名后將對應的IP地址放在回答報文中返回給客戶機應用進程。DNS遞歸服務器是DNS解析系統(tǒng)中的重要設備，DNS遞歸服務器根據(jù)緩存中的域名地址信息，對終端用戶發(fā)起的DNS查詢進行響應。

目前，對DNS系統(tǒng)的攻擊方式主要有以下幾種方式：

第一種攻擊方式是流量型拒絕服務攻擊。例如基于用戶數(shù)據(jù)包協(xié)議(UDP，UserDatagram Protocol)流(flood)、基于傳輸控制協(xié)議(TCP，Transmission ControlProtocol)flood、DNS請求flood，或拼(PING)flood等。該種方式下的攻擊的典型特征是消耗掉DNS服務器的資源，使其不能及時響應正常的DNS解析請求。其中，資源的消耗包括對服務器CPU、網絡資源等的消耗。

第二種攻擊方式是異常請求訪問攻擊。例如超長域名請求、異常域名請求等。該種方式下的攻擊的特點是通過發(fā)掘DNS服務器的漏洞，通過偽造特定的請求報文，導致DNS服務器軟件工作異常而退出或崩潰而無法啟動，達到影響DNS服務器正常工作的目的。

第三種攻擊方式是DNS劫持攻擊。例如DNS緩存“投毒”、篡改授權域內容、ARP欺騙劫持授權域等。該種方式下的攻擊的特點是通過直接篡改解析記錄或在解析記錄傳遞過程中篡改其內容或搶先應答，從而達到影響解析結果的目的。

第四種攻擊方式是攻擊者利用DNS進行攻擊。例如攻擊者控制僵尸機群采用被攻擊主機的IP地址偽裝成被攻擊主機發(fā)送域名解析請求，大量的域名解析請求被DNS服務器遞歸查詢解析后，DNS服務器發(fā)送響應給被攻擊者，大量的響應數(shù)據(jù)包從不同的DNS服務器傳回構成了分布式拒絕服務(DDoS，Distributed Denial of Service)攻擊。

當上述四種攻擊的行為發(fā)生時，通常表現(xiàn)為DNS流量異常。通過對DNS流量異常的檢測，能夠及時發(fā)現(xiàn)DNS攻擊行為的發(fā)生，從而可以采取有效措施，使損失降到最小。

發(fā)明內容

針對現(xiàn)有技術中的問題，本發(fā)明提供一種DNS流量異常檢測方法、裝置、電子設備及存儲介質。

具體地，本發(fā)明提供以下技術方案：