本發(fā)明實施例提供一種DNS域名異常訪問監(jiān)控方法及裝置，方法包括：統(tǒng)計DNS查詢報文中的DNS域名，得到第一域名集中所包含域名的訪問次數(shù)和訪問次數(shù)降序排名；其中，第一域名集為當(dāng)前統(tǒng)計周期內(nèi)訪問次數(shù)降序排名在前的多個域名的集合；對第一域名集中所包含的域名，將該域名的訪問次數(shù)與該域名根據(jù)標(biāo)準(zhǔn)冪律分布得到的訪問次數(shù)進(jìn)行比較，確定比較結(jié)果大于閾值的域名，將在當(dāng)前統(tǒng)計周期內(nèi)對所確定域名的訪問認(rèn)定為異常。本發(fā)明實施例提供的DNS域名異常訪問監(jiān)控方法及裝置通過將域名統(tǒng)計得到的訪問次數(shù)與標(biāo)準(zhǔn)冪律分布下的訪問次數(shù)的比較，能及時發(fā)現(xiàn)DNS攻擊行為，從而為網(wǎng)絡(luò)安全防護(hù)爭取時間、減少網(wǎng)絡(luò)攻擊造成的損失。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種DNS域名異常訪問監(jiān)控方法及裝置。

背景技術(shù)

在計算機(jī)網(wǎng)絡(luò)通信中，主機(jī)之間需要知道通信對端的IP地址才能夠通過IP網(wǎng)絡(luò)與對方進(jìn)行通信。然而32位的IPv4地址(IPv6地址為128位)對于通信參與者來說是不容易記憶的。因此，更為直觀的域名(如www.google.com.hk)被廣泛采用以解決IP地址難以記憶的問題。然而網(wǎng)絡(luò)通信是基于IP協(xié)議來運(yùn)轉(zhuǎn)的，通過域名并不能直接找到要訪問的主機(jī)。因此主機(jī)需要將用戶輸入的域名轉(zhuǎn)換為IP地址，這個過程被稱為域名解析。

為了完成域名解析，需要域名系統(tǒng)(Domain Name System，DNS)來配合，其是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，提供域名與IP地址之間的轉(zhuǎn)換。通過域名系統(tǒng)，用戶進(jìn)行某些應(yīng)用時，可以直接使用便于記憶的且有意義的域名，而由網(wǎng)絡(luò)中的DNS服務(wù)器將域名解析為正確的IP地址然后返回給用戶的主機(jī)。域名服務(wù)器，是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對應(yīng)IP地址，并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器。域名解析過程是指當(dāng)某一個應(yīng)用進(jìn)程需要將主機(jī)名解析為IP地址時，該應(yīng)用進(jìn)程就成為域名系統(tǒng)DNS的一個客戶，并把待解析的域名放在DNS查詢報文中發(fā)給域名服務(wù)器，域名服務(wù)器在查找域名后將對應(yīng)的IP地址放在回答報文中返回給客戶機(jī)應(yīng)用進(jìn)程。DNS遞歸服務(wù)器是DNS解析系統(tǒng)中的重要設(shè)備，DNS遞歸服務(wù)器根據(jù)緩存中的域名地址信息，對終端用戶發(fā)起的DNS查詢進(jìn)行響應(yīng)。

目前，對DNS系統(tǒng)的攻擊方式主要有以下幾種方式：

第一種攻擊方式是流量型拒絕服務(wù)攻擊。例如基于用戶數(shù)據(jù)包協(xié)議(UDP，UserDatagram Protocol)流(flood)、基于傳輸控制協(xié)議(TCP，Transmission ControlProtocol)flood、DNS請求flood，或拼(PING)flood等。該種方式下的攻擊的典型特征是消耗掉DNS服務(wù)器的資源，使其不能及時響應(yīng)正常的DNS解析請求。其中，資源的消耗包括對服務(wù)器CPU、網(wǎng)絡(luò)資源等的消耗。

第二種攻擊方式是異常請求訪問攻擊。例如超長域名請求、異常域名請求等。該種方式下的攻擊的特點(diǎn)是通過發(fā)掘DNS服務(wù)器的漏洞，通過偽造特定的查詢報文，導(dǎo)致DNS服務(wù)器軟件工作異常而退出或崩潰而無法啟動，達(dá)到影響DNS服務(wù)器正常工作的目的。

第三種攻擊方式是DNS劫持攻擊。例如DNS緩存“投毒”、篡改授權(quán)域內(nèi)容、ARP欺騙劫持授權(quán)域等。該種方式下的攻擊的特點(diǎn)是通過直接篡改解析記錄或在解析記錄傳遞過程中篡改其內(nèi)容或搶先應(yīng)答，從而達(dá)到影響解析結(jié)果的目的。

第四種攻擊方式是攻擊者利用DNS進(jìn)行攻擊。例如攻擊者控制僵尸機(jī)群采用被攻擊主機(jī)的IP地址偽裝成被攻擊主機(jī)發(fā)送域名解析請求，大量的域名解析請求被DNS服務(wù)器遞歸查詢解析后，DNS服務(wù)器發(fā)送響應(yīng)給被攻擊者，大量的響應(yīng)數(shù)據(jù)包從不同的DNS服務(wù)器傳回構(gòu)成了分布式拒絕服務(wù)(DDoS，Distributed Denial of Service)攻擊。

從上述四種攻擊的描述中可以看到：當(dāng)DNS服務(wù)器遭受到DNS攻擊時，在DNS服務(wù)器端多數(shù)表現(xiàn)為DNS域名訪問異常。若能監(jiān)控DNS域名訪問異常，有助于及時發(fā)現(xiàn)DNS攻擊行為的發(fā)生，從而可以采取有效措施，使損失降到最小。

發(fā)明內(nèi)容