專利名稱:Dns服務(wù)器異常檢測(cè)的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及ー種通信技木,尤其涉及DNS服務(wù)器異常檢測(cè)的方法及裝置�����。
背景技術(shù):
域名系統(tǒng)(Domain Name System, DNS服務(wù)器)是互聯(lián)網(wǎng)基礎(chǔ)設(shè)置提供的一種核心服務(wù),該DNS服務(wù)器是將域名和IP地址相互映射成ー個(gè)分布式數(shù)據(jù)庫���,以及實(shí)現(xiàn)域名和網(wǎng)絡(luò)可以識(shí)別的IP地址轉(zhuǎn)換功能的軟件系統(tǒng)��。DNS服務(wù)器在運(yùn)行過程中存在許多潛在的缺陷 和漏洞���,這些缺陷和漏洞可能會(huì)影響DNS服務(wù)器的正常運(yùn)行,降低服務(wù)質(zhì)量�����。例如可能存在多種因素造成DNS服務(wù)器系統(tǒng)的查詢數(shù)據(jù)�����、使用數(shù)據(jù)��、應(yīng)答數(shù)據(jù)等功能的使用異常�����。這些因素包括(I)DNS服務(wù)器攻擊�,例如拒絕服務(wù)攻擊�����、DNS服務(wù)器反射攻擊、緩存污染以及域名劫持等等����;(2)配置錯(cuò)誤,例如系統(tǒng)管理員對(duì)防火墻或DNS服務(wù)器的配置錯(cuò)誤�,會(huì)產(chǎn)生大量的垃圾查詢,如A-for-A (一對(duì)一)查詢���、RFC (Request For Comments,一系列以編號(hào)排定的文件)1918PTR (反向查詢)查詢��、未知TLD (Top Level Domain,頂級(jí)域名)查詢等��;(3)網(wǎng)絡(luò)輿情��,由于互聯(lián)網(wǎng)具有虛擬性���、隱蔽性、發(fā)散性��、滲透性和隨意性等特點(diǎn)��,越來越多的網(wǎng)民愿意通過網(wǎng)絡(luò)渠道來表達(dá)觀點(diǎn)和傳播思想��。為了保證DNS服務(wù)器的正常服務(wù),對(duì)DNS服務(wù)器進(jìn)行異常檢測(cè)就十分必要?��,F(xiàn)有技術(shù)中的DNS服務(wù)器異常檢測(cè)方法主要是基于流量的方式�。正常情況下���,流經(jīng)DNS服務(wù)器的流量在用戶的行為模式影響下會(huì)有規(guī)律地波動(dòng)����,但都維持在ー個(gè)穩(wěn)定的范圍內(nèi)��,當(dāng)超出了這個(gè)范圍����,通常是超出預(yù)設(shè)閾值時(shí),就會(huì)被認(rèn)為是DNS服務(wù)器異常�,進(jìn)而會(huì)進(jìn)行相應(yīng)的操作,例如増加服務(wù)器數(shù)量或者對(duì)具有某些特征的流量進(jìn)行過濾���,從而消除異常對(duì)DNS服務(wù)器的影響,保證服務(wù)器質(zhì)量��。但是在流量超出閾值之前���,其實(shí)異常就已經(jīng)發(fā)生��,只不過異常的特征還沒有體現(xiàn)在流量上��。當(dāng)流量超過預(yù)設(shè)閾值以后����,其實(shí)異常已經(jīng)到了ー個(gè)十分嚴(yán)重的地歩,已經(jīng)大大影響了 DNS服務(wù)器的正常運(yùn)行�����。因此��,如何及時(shí)檢測(cè)出DNS服務(wù)器異常��,成為亟需解決的問題����。
發(fā)明內(nèi)容
本發(fā)明提供ー種DNS服務(wù)器異常檢測(cè)的方法及裝置,用于及時(shí)檢測(cè)出DNS服務(wù)器的異常��。本發(fā)明的第一個(gè)方面是提供ー種DNS服務(wù)器異常檢測(cè)的方法�����,包括獲取預(yù)設(shè)時(shí)間段內(nèi)訪問DNS服務(wù)器的各檢測(cè)參數(shù)的訪問時(shí)間和各所述檢測(cè)參數(shù)的訪問頻率,所述檢測(cè)參數(shù)為IP地址或域名���;根據(jù)各訪問時(shí)間和各訪問頻率獲取卡方統(tǒng)計(jì)值�����,井根據(jù)所述卡方統(tǒng)計(jì)值和歷史卡方值判斷所述DNS服務(wù)器是否出現(xiàn)異常�。如上所述的DNS服務(wù)器異常檢測(cè)的方法��,優(yōu)選地�����,所述根據(jù)所述卡方統(tǒng)計(jì)值和歷史卡方值判斷所述DNS服務(wù)器是否出現(xiàn)異常包括當(dāng)所述卡方統(tǒng)計(jì)值與所述歷史卡方值的差值超過預(yù)設(shè)閾值時(shí)����,判斷所述DNS服務(wù)器出現(xiàn)異常并發(fā)出報(bào)警信息。如上所述的DNS服務(wù)器異常檢測(cè)的方法�����,優(yōu)選地���,獲取預(yù)設(shè)時(shí)間段內(nèi)訪問DNS服務(wù)器的各檢測(cè)參數(shù)的訪問時(shí)間和各所述檢測(cè)參數(shù)的訪問頻率包括在預(yù)設(shè)時(shí)間段內(nèi)�,當(dāng)檢測(cè)參數(shù)出現(xiàn)時(shí)�,獲取該檢測(cè)參數(shù)對(duì)應(yīng)記錄的訪問時(shí)間和訪問頻率;將訪問頻率與公式exp[agel · In (O. 5)/half life2]相乘,并將最終結(jié)果加I后更新為訪問頻率���;其中����,age I為同一檢測(cè)參數(shù)本次出現(xiàn)距離上一次出現(xiàn)的時(shí)間間隔����,halflifel為
第一半衰期。如上所述的DNS服務(wù)器異常檢測(cè)的方法�,優(yōu)選地,在所述獲取訪問DNS服務(wù)器的各 檢測(cè)參數(shù)和各檢測(cè)參數(shù)的訪問頻率之后還包括根據(jù)所述訪問頻率對(duì)所述檢測(cè)參數(shù)進(jìn)行分組處理����。如上所述的DNS服務(wù)器異常檢測(cè)的方法,優(yōu)選地�����,根據(jù)所述訪問頻率對(duì)所述檢測(cè)參數(shù)進(jìn)行分組處理包括將所述訪問頻率最高的檢測(cè)參數(shù)劃分為第一組�����;將所述訪問頻率位于第2位至第5位的檢測(cè)參數(shù)劃分為第二組;將所述訪問頻率位于第6位至21位的檢測(cè)參數(shù)劃分為第三組�;將所述訪問頻率位于第22位至第227位的檢測(cè)參數(shù)劃分為第四組;將剩余的檢測(cè)參數(shù)劃分為第五組�。如上所述的DNS服務(wù)器異常檢測(cè)的方法,優(yōu)選地���,所述根據(jù)所述訪問時(shí)間和所述訪問頻率獲取卡方統(tǒng)計(jì)值包括根據(jù)所述各所述訪問頻率獲取各組的訪問頻率總和��;根據(jù)所述各組的訪問頻率總和以及所述上ー預(yù)設(shè)時(shí)間段內(nèi)各組的已知期望值獲取本預(yù)設(shè)時(shí)間段內(nèi)各組的期望值���;根據(jù)所述各組的期望值和所述各組訪問頻率總和獲取所述卡方統(tǒng)計(jì)值。如上所述的DNS服務(wù)器異常檢測(cè)的方法�����,優(yōu)選地�,根據(jù)所述各所述訪問頻率獲取各組的訪問頻率總和包括將每組中的各檢測(cè)參數(shù)對(duì)應(yīng)的訪問頻率相加分別得到每組的訪問頻率總和;根據(jù)所述各組的訪問頻率總和以及上一預(yù)設(shè)時(shí)間段內(nèi)各組的已知期望值獲取本預(yù)設(shè)時(shí)間段內(nèi)各組的期望值包括根據(jù)上ー預(yù)設(shè)時(shí)間段內(nèi)各組對(duì)應(yīng)的已知期望值分別與公式eXp[age2 · In (O. 5)/halflife2]相乘獲取各組的第一相乘值�����,井根據(jù)所述各組的訪問頻率總和分別與公式1-exp [age2 · In (O. 5)/half life2]相乘獲取各組的第二相乘值,根據(jù)各組第一相乘值與第二相乘值相加獲取各組的卡方期望值�,其中���,halflife2為第二半衰期且所述第二半衰期大于所述第一半衰期,所述age2為預(yù)設(shè)時(shí)間段��;所述根據(jù)所述各組的期望值和所述各組訪問頻率總和獲取所述卡方統(tǒng)計(jì)值包括根據(jù)公式5C獲取所述卡方統(tǒng)計(jì)值��,其中X代表卡方統(tǒng)計(jì)值�����,B代表組數(shù)���,Ni代表第i組的訪問頻率總和,Hi代表第i組的期望值�。本發(fā)明的另ー個(gè)方面是提供一種DNS服務(wù)器異常檢測(cè)的裝置,包括獲取模塊�����,用于獲取預(yù)設(shè)時(shí)間段內(nèi)訪問DNS服務(wù)器的各檢測(cè)參數(shù)的訪問時(shí)間和各所述檢測(cè)參數(shù)的訪問頻率�����,所述檢測(cè)參數(shù)為IP地址或域名�;統(tǒng)計(jì)模塊�,用于根據(jù)各訪問時(shí)間和各訪問頻率獲取卡方統(tǒng)計(jì)值���,井根據(jù)所述卡方統(tǒng)計(jì)值和歷史卡方值判斷所述DNS服務(wù)器是否出現(xiàn)異常���。如上所述的DNS服務(wù)器異常檢測(cè)的裝置,優(yōu)選地��,所述統(tǒng)計(jì)模塊包括獲取卡方統(tǒng)計(jì)值子模塊���,用于根據(jù)各所述訪問時(shí)間和所述訪問頻率獲取卡方統(tǒng)計(jì)值��;判斷子模塊�,用于當(dāng)所述卡方統(tǒng)計(jì)值與所述歷史卡方值的差值超過預(yù)設(shè)閾值時(shí)����, 判斷所述DNS服務(wù)器出現(xiàn)異常。如上所述的DNS服務(wù)器異常檢測(cè)的裝置����,優(yōu)選地,還包括分組模塊����,用于根據(jù)所述訪問頻率對(duì)所述檢測(cè)參數(shù)進(jìn)行分組處理���;所述獲取模塊包括獲取訪問頻率子模塊,用于在預(yù)設(shè)時(shí)間段內(nèi)���,當(dāng)檢測(cè)參數(shù)出現(xiàn)時(shí)����,獲取該檢測(cè)參數(shù)對(duì)應(yīng)記錄的訪問時(shí)間和訪問頻率�;更新子模塊,用于將訪問頻率與公式exp[agel · In (O. 5)/half life2]相乘,并將最終結(jié)果加I后更新為訪問頻率�����,其中����,agel為同一檢測(cè)參數(shù)本次出現(xiàn)距離上一次出現(xiàn)的時(shí)間間隔,halflifel為第一半衰期�����;所述獲取卡方統(tǒng)計(jì)值子模塊包括獲取總和子単元�����,用于將每組中的各檢測(cè)參數(shù)對(duì)應(yīng)的訪問頻率相加分別得到每組的訪問頻率總和;獲取期望值子單元�,用于根據(jù)上一預(yù)設(shè)時(shí)間段內(nèi)各組對(duì)應(yīng)的已知期望值分別與公式exp[age2 In(O. 5)/halfIife2]相乘獲取各組的第一相乘值,并根據(jù)所述各組的訪問頻率總和分別與公式1-exp[age2 In(O. 5)/halflife2]相乘獲取各組的第二相乘值,根據(jù)各組第一相乘值與第二相乘值相加獲取各組的卡方期望值,其中�����,halflife2為第二半衰期且所述第二半衰期大于所述第一半衰期��,所述age2為預(yù)設(shè)時(shí)間段����;計(jì)算卡方統(tǒng)計(jì)值子単元,用于根據(jù)公式
權(quán)利要求
1.ー種DNS服務(wù)器異常檢測(cè)的方法���,其特征在于�,包括 獲取預(yù)設(shè)時(shí)間段內(nèi)訪問DNS服務(wù)器的各檢測(cè)參數(shù)的訪問時(shí)間和各所述檢測(cè)參數(shù)的訪問頻率���,所述檢測(cè)參數(shù)為IP地址或域名�����; 根據(jù)各訪問時(shí)間和各訪問頻率獲取卡方統(tǒng)計(jì)值��,井根據(jù)所述卡方統(tǒng)計(jì)值和歷史卡方值判斷所述DNS服務(wù)器是否出現(xiàn)異常��。
2.根據(jù)權(quán)利要求I所述的DNS服務(wù)器異常檢測(cè)的方法�,其特征在于,所述根據(jù)所述卡方統(tǒng)計(jì)值和歷史卡方值判斷所述DNS服務(wù)器是否出現(xiàn)異常包括 當(dāng)所述卡方統(tǒng)計(jì)值與所述歷史卡方值的差值超過預(yù)設(shè)閾值時(shí)��,判斷所述DNS服務(wù)器出現(xiàn)異常并發(fā)出報(bào)警信息���。
3.根據(jù)權(quán)利要求I所述的DNS服務(wù)器異常檢測(cè)方法�,其特征在干�,獲取預(yù)設(shè)時(shí)間段內(nèi)訪問DNS服務(wù)器的各檢測(cè)參數(shù)的訪問時(shí)間和各所述檢測(cè)參數(shù)的訪問頻率包括 在預(yù)設(shè)時(shí)間段內(nèi),當(dāng)檢測(cè)參數(shù)出現(xiàn)時(shí)�����,獲取該檢測(cè)參數(shù)對(duì)應(yīng)記錄的訪問時(shí)間和訪問頻率���; 將訪問頻率與公式exp[agel In(O. 5)/halflife2]相乘,并將最終結(jié)果加I后更新為訪問頻率; 其中�,agel為同一檢測(cè)參數(shù)本次出現(xiàn)距離上一次出現(xiàn)的時(shí)間間隔,halflifel為第一半衰期�。
4.根據(jù)權(quán)利要求3所述的DNS服務(wù)器異常檢測(cè)的方法,其特征在于�����,在所述獲取訪問DNS服務(wù)器的各檢測(cè)參數(shù)和各檢測(cè)參數(shù)的訪問頻率之后還包括 根據(jù)所述訪問頻率對(duì)所述檢測(cè)參數(shù)進(jìn)行分組處理。
5.根據(jù)權(quán)利要求4所述的DNS服務(wù)器異常檢測(cè)的方法�����,其特征在于���,根據(jù)所述訪問頻率對(duì)所述檢測(cè)參數(shù)進(jìn)行分組處理包括 將所述訪問頻率最高的檢測(cè)參數(shù)劃分為第一組���; 將所述訪問頻率位于第2位至第5位的檢測(cè)參數(shù)劃分為第二組; 將所述訪問頻率位于第6位至21位的檢測(cè)參數(shù)劃分為第三組�����; 將所述訪問頻率位于第22位至第227位的檢測(cè)參數(shù)劃分為第四組�; 將剩余的檢測(cè)參數(shù)劃分為第五組。
6.根據(jù)權(quán)利要求4或5所述的DNS服務(wù)器異常檢測(cè)的方法�����,其特征在于�,所述根據(jù)所述訪問時(shí)間和所述訪問頻率獲取卡方統(tǒng)計(jì)值包括 根據(jù)所述各所述訪問頻率獲取各組的訪問頻率總和; 根據(jù)所述各組的訪問頻率總和以及所述上ー預(yù)設(shè)時(shí)間段內(nèi)各組的已知期望值獲取本預(yù)設(shè)時(shí)間段內(nèi)各組的期望值���; 根據(jù)所述各組的期望值和所述各組訪問頻率總和獲取所述卡方統(tǒng)計(jì)值�����。
7.根據(jù)權(quán)利要求6所述的DNS服務(wù)器異常檢測(cè)的方法��,其特征在于�,根據(jù)所述各所述訪問頻率獲取各組的訪問頻率總和包括 將每組中的各檢測(cè)參數(shù)對(duì)應(yīng)的訪問頻率相加分別得到每組的訪問頻率總和; 根據(jù)所述各組的訪問頻率總和以及上一預(yù)設(shè)時(shí)間段內(nèi)各組的已知期望值獲取本預(yù)設(shè)時(shí)間段內(nèi)各組的期望值包括 根據(jù)上ー預(yù)設(shè)時(shí)間段內(nèi)各組對(duì)應(yīng)的已知期望值分別與公式exp[age2 · In (O. 5)/halflife2]相乘獲取各組的第一相乘值�,井根據(jù)所述各組的訪問頻率總和分別與公式1-exp [age2 · In (O. 5)/half life2]相乘獲取各組的第二相乘值,根據(jù)各組第一相乘值與第二相乘值相加獲取各組的卡方期望值,其中�,halflife2為第二半衰期且所述第二半衰期大于所述第一半衰期,所述age2為預(yù)設(shè)時(shí)間段�����; 所述根據(jù)所述各組的期望值和所述各組訪問頻率總和獲取所述卡方統(tǒng)計(jì)值包括 根據(jù)公式
8.—種DNS服務(wù)器異常檢測(cè)的裝置����,其特征在于��,包括 獲取模塊�,用于獲取預(yù)設(shè)時(shí)間段內(nèi)訪問DNS服務(wù)器的各檢測(cè)參數(shù)的訪問時(shí)間和各所述檢測(cè)參數(shù)的訪問頻率,所述檢測(cè)參數(shù)為IP地址或域名���; 統(tǒng)計(jì)模塊����,用于根據(jù)各訪問時(shí)間和各訪問頻率獲取卡方統(tǒng)計(jì)值,井根據(jù)所述卡方統(tǒng)計(jì)值和歷史卡方值判斷所述DNS服務(wù)器是否出現(xiàn)異常��。
9.根據(jù)權(quán)利要求8所述的DNS服務(wù)器異常檢測(cè)的裝置����,其特征在干,所述統(tǒng)計(jì)模塊包括 獲取卡方統(tǒng)計(jì)值子模塊����,用于根據(jù)各所述訪問時(shí)間和所述訪問頻率獲取卡方統(tǒng)計(jì)值;判斷子模塊���,用于當(dāng)所述卡方統(tǒng)計(jì)值與所述歷史卡方值的差值超過預(yù)設(shè)閾值時(shí)�����,判斷所述DNS服務(wù)器出現(xiàn)異常����。
10.根據(jù)權(quán)利要求8或9所述的DNS服務(wù)器異常檢測(cè)的裝置���,其特征在于��,還包括 分組模塊���,用于根據(jù)所述訪問頻率對(duì)所述檢測(cè)參數(shù)進(jìn)行分組處理���; 所述獲取模塊包括 獲取訪問頻率子模塊,用于在預(yù)設(shè)時(shí)間段內(nèi)����,當(dāng)檢測(cè)參數(shù)出現(xiàn)時(shí),獲取該檢測(cè)參數(shù)對(duì)應(yīng)記錄的訪問時(shí)間和訪問頻率��; 更新子模塊��,用于將訪問頻率與公式exp[agel · In (O. 5)/half life2]相乘,并將最終結(jié)果加I后更新為訪問頻率���,其中���,agel為同一檢測(cè)參數(shù)本次出現(xiàn)距離上一次出現(xiàn)的時(shí)間間隔,halflifel為第一半衰期����; 所述獲取卡方統(tǒng)計(jì)值子模塊包括 獲取總和子単元,用于將每組中的各檢測(cè)參數(shù)對(duì)應(yīng)的訪問頻率相加分別得到每組的訪問頻率總和���; 獲取期望值子單元���,用于根據(jù)上一預(yù)設(shè)時(shí)間段內(nèi)各組對(duì)應(yīng)的已知期望值分別與公式exp[age2 · In (O. 5)/half life2]相乘獲取各組的第一相乘值,并根據(jù)所述各組的訪問頻率總和分別與公式1-exp[age2 In(O. 5)/halfIife2]相乘獲取各組的第二相乘值,根據(jù)各組第一相乘值與第二相乘值相加獲取各組的卡方期望值,其中���,halflife2為第二半衰期且所述第二半衰期大于所述第一半衰期��,所述age2為預(yù)設(shè)時(shí)間段�����; 計(jì)算卡方統(tǒng)計(jì)值子単元�,用于根據(jù)公式
全文摘要
本發(fā)明提供一種DNS服務(wù)器異常檢測(cè)的方法及裝置��,方法包括獲取預(yù)設(shè)時(shí)間段內(nèi)訪問DNS服務(wù)器的各檢測(cè)參數(shù)的訪問時(shí)間和各所述檢測(cè)參數(shù)的訪問頻率���,所述檢測(cè)參數(shù)為IP地址或域名���;根據(jù)各訪問時(shí)間和各訪問頻率獲取卡方統(tǒng)計(jì)值,并根據(jù)所述卡方統(tǒng)計(jì)值和歷史卡方值判斷所述DNS服務(wù)器是否出現(xiàn)異常���。根據(jù)本發(fā)明的DNS服務(wù)器異常檢測(cè)的方法及裝置���,能夠及時(shí)檢測(cè)出DNS服務(wù)器的異常�����。
文檔編號(hào)H04L29/12GK102694696SQ20121014937
公開日2012年9月26日 申請(qǐng)日期2012年5月14日 優(yōu)先權(quán)日2012年5月14日
發(fā)明者李文, 陽任科 申請(qǐng)人:中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心