域名解析服務(wù)dns系統(tǒng)中監(jiān)控報文的方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報文的方法��、裝置及系統(tǒng)��,能夠?qū)ΜF(xiàn)有針對DNS的專項(xiàng)攻擊提供全面的監(jiān)測和防護(hù)能力���,提高監(jiān)控的準(zhǔn)確性���。該方法包括:以第一預(yù)設(shè)時長作為采樣周期,獲得域名解析服務(wù)器DNS和任一用戶終端之間傳輸?shù)膱笪?;針對在?dāng)前采樣周期內(nèi),任一獲得的報文����,確定所述報文的報文類型;根據(jù)確定出的報文類型���,確定所述報文的報文長度值��、訪問次數(shù)以及生存周期中的至少兩個參數(shù)�����;根據(jù)確定出的包含報文長度值��、訪問次數(shù)以及生存周期中的至少兩個參數(shù)��,確定所述報文在當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值���;根據(jù)確定出的監(jiān)控評估值���,對所述DNS和任一用戶終端之間傳輸?shù)膱笪倪M(jìn)行監(jiān)控。
【專利說明】域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報文的方法�����、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�,尤其是涉及一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報 文的方法、裝置及系統(tǒng)�。
【背景技術(shù)】
[0002] 作為互聯(lián)網(wǎng)的早期協(xié)議,考慮到當(dāng)時主機(jī)的分布情況��,在設(shè)計之初基于域名服務(wù) (DNS,Domain Name Service)協(xié)議的DNS系統(tǒng)�,是建立在互信基礎(chǔ)之上,是一個完全開放的 協(xié)作體系���,該系統(tǒng)中傳輸?shù)母黝悢?shù)據(jù)沒有進(jìn)行加密,沒有提供適當(dāng)?shù)男畔⒈Wo(hù)和認(rèn)證機(jī)制���, 也沒有對各種查詢進(jìn)行準(zhǔn)確的識別�����,同時對網(wǎng)絡(luò)基礎(chǔ)設(shè)施和核心骨干設(shè)備的保護(hù)沒有受到 足夠重視�,因此導(dǎo)致了后期DNS系統(tǒng)很容易遭受攻擊����,安全性較差。
[0003] 其中��,對DNS系統(tǒng)的攻擊方式主要有以下幾種方式:
[0004] 第一種攻擊方式是流量型拒絕服務(wù)攻擊���。例如基于用戶數(shù)據(jù)包協(xié)議(UDP�, User Datagram Protocol)流(flood)��、基于傳輸控制協(xié)議(TCP,Transmission Control Protocol) flood���、DNS請求flood,或拼(PING) flood等��。該種方式下的攻擊的典型特征是 消耗掉DNS服務(wù)器的資源�����,使其不能及時響應(yīng)正常的DNS解析請求��。其中���,資源的消耗包括 對服務(wù)器CPU、網(wǎng)絡(luò)資源等的消耗�����。
[0005] 第二種攻擊方式是異常請求訪問攻擊�。例如超長域名請求、異常域名請求等���。該 種方式下的攻擊的特點(diǎn)是通過發(fā)掘DNS服務(wù)器的漏洞�,通過偽造特定的請求報文���,導(dǎo)致DNS 服務(wù)器軟件工作異常而退出或崩潰而無法啟動�����,達(dá)到影響DNS服務(wù)器正常工作的目的���。
[0006] 第三種攻擊方式是DNS劫持攻擊��。例如DNS緩存"投毒"、篡改授權(quán)域內(nèi)容����、ARP欺 騙劫持授權(quán)域等。該種方式下的攻擊的特點(diǎn)是通過直接篡改解析記錄或在解析記錄傳遞過 程中篡改其內(nèi)容或搶先應(yīng)答��,從而達(dá)到影響解析結(jié)果的目的�。
[0007] 第四種攻擊方式是攻擊者利用DNS進(jìn)行攻擊。例如攻擊者控制僵尸機(jī)群采用被攻 擊主機(jī)的IP地址偽裝成被攻擊主機(jī)發(fā)送域名解析請求����,大量的域名解析請求被DNS服務(wù)器 遞歸查詢解析后,DNS服務(wù)器發(fā)送響應(yīng)給被攻擊者�,大量的響應(yīng)數(shù)據(jù)包從不同的DNS服務(wù)器 傳回構(gòu)成了分布式拒絕服務(wù)(DDoS,Distributed Denial of Service)攻擊�。
[0008] 除上述四種攻擊方式外��,DNS操作安全問題還包括域名注冊攻擊��、配置安全問題等 等���。
[0009] 為提高DNS的安全性,通常情況下采用下述技術(shù)方式來對DNS的安全進(jìn)行監(jiān)控和 防護(hù):
[0010] 第一種防護(hù)方式:通過通用的防火墻防護(hù)�����。例如在防火墻上添加一些針對DNS攻 擊的過濾規(guī)則���,從而阻斷DNS攻擊�。該種防護(hù)方式的缺陷在于:通過設(shè)置防火墻上DNS服務(wù) 的規(guī)則可以防范部分攻擊���,如DDoS攻擊���、中間人攻擊,但是對于大部分針對DNS的專項(xiàng)攻擊 無能為力����。
[0011] 第二種方式:通過設(shè)置流量清洗系統(tǒng)進(jìn)行安全防護(hù)。在骨干傳輸鏈路和DNS服務(wù) 器所在的傳輸鏈路上進(jìn)行流量清洗���,區(qū)分出正常業(yè)務(wù)流量和攻擊流量���,保障業(yè)務(wù)正常運(yùn)行�。 該種方式的缺陷在于:流量清洗系統(tǒng)能較好的區(qū)分DoS/DDoS流量和正常業(yè)務(wù)流量��,保證 DNS正常服務(wù)�����,但是不能區(qū)分對DNS的專項(xiàng)攻擊�,如DNS緩存投毒攻擊����。
[0012] 第三種方式:通過設(shè)置專用的DNS監(jiān)控系統(tǒng)進(jìn)行安全防護(hù)。例如用戶側(cè)將DNS請 求發(fā)送給代理服務(wù)器���,由代理服務(wù)器向位于內(nèi)部網(wǎng)絡(luò)中的DNS服務(wù)器請求處理所述DNS請 求���,并將所述DNS服務(wù)器提供的DNS應(yīng)答轉(zhuǎn)發(fā)給用戶側(cè)。該種方式的缺陷在于一般只能針 對某些特定攻擊進(jìn)行檢測����,并且防護(hù)能力有限����。
[0013] 綜上所述��,上述提出的DNS安全監(jiān)控的實(shí)施方式�,不能對現(xiàn)有針對DNS的專項(xiàng)攻擊 提供全面的監(jiān)測和防護(hù)能力,局限性較強(qiáng)�,準(zhǔn)確性較低。
【發(fā)明內(nèi)容】
[0014] 本發(fā)明實(shí)施例提供了一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報文的方法�、裝置及系 統(tǒng),能夠?qū)ΜF(xiàn)有針對DNS的專項(xiàng)攻擊提供全面的監(jiān)測和防護(hù)能力�����,提高監(jiān)控的準(zhǔn)確性��。
[0015] 一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報文的方法�����,包括:以第一預(yù)設(shè)時長作為采樣 周期,獲得域名解析服務(wù)器DNS和任一用戶終端之間傳輸?shù)膱笪模会槍υ诋?dāng)前采樣周期內(nèi)�, 任一獲得的報文����,確定所述報文的報文類型;根據(jù)確定出的報文類型�����,確定所述報文的報文 長度值����、訪問次數(shù)以及生存周期中的至少兩個參數(shù);根據(jù)確定出的包含報文長度值�����、訪問次 數(shù)以及生存周期中的至少兩個參數(shù)��,確定所述報文在當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值�, 其中所述監(jiān)控評估值是用于確定所述報文是否異常的數(shù)值����;根據(jù)確定出的監(jiān)控評估值,對 所述DNS和任一用戶終端之間傳輸?shù)膱笪倪M(jìn)行監(jiān)控�����。
[0016] 一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報文的裝置���,包括:數(shù)據(jù)采集模塊����,用于以第 一預(yù)設(shè)時長作為采樣周期,獲得域名解析服務(wù)器DNS和任一用戶終端之間傳輸?shù)膱笪?����;?shù) 據(jù)緩存和分析模塊�,用于針對在當(dāng)前采樣周期內(nèi),任一獲得的報文�����,確定所述報文的報文類 型���;根據(jù)確定出的報文類型�,確定所述報文的報文長度值����、訪問次數(shù)以及生存周期中的至少 兩個參數(shù);根據(jù)確定出的包含報文長度值�、訪問次數(shù)以及生存周期中的至少兩個參數(shù),確定 所述報文在當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值,其中所述監(jiān)控評估值是用于確定所述報文 是否異常的數(shù)值�;監(jiān)控模塊,用于根據(jù)確定出的監(jiān)控評估值���,對所述DNS和任一用戶終端之 間傳輸?shù)膱笪倪M(jìn)行監(jiān)控���。
[0017] 一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報文的系統(tǒng),包括域名解析服務(wù)器DNS和DNS 監(jiān)控裝置���,其中:所述DNS�����,用于和任一用戶終端之間傳輸報文���;所述DNS監(jiān)控裝置,用于以 第一預(yù)設(shè)時長作為采樣周期���,獲得域名解析服務(wù)器DNS和任一用戶終端之間傳輸?shù)膱笪模?針對任一獲得的報文��,確定所述報文的報文類型;根據(jù)確定出的報文類型�,確定在當(dāng)前采樣 周期內(nèi),所述報文的報文長度值、訪問次數(shù)以及生存周期中的至少兩個參數(shù)�����;根據(jù)確定出的 包含報文長度值���、訪問次數(shù)以及生存周期中的至少兩個參數(shù)�����,確定所述報文在當(dāng)前采樣周 期內(nèi)對應(yīng)的監(jiān)控評估值���,其中所述監(jiān)控評估值是用于確定所述報文是否異常的數(shù)值;根據(jù) 確定出的監(jiān)控評估值����,對所述DNS和任一用戶終端之間傳輸?shù)膱笪倪M(jìn)行監(jiān)控。
[0018] 采用上述技術(shù)方案��,在采樣周期內(nèi)��,針對獲得的DNS和任一用戶終端之間傳輸?shù)?報文�,根據(jù)報文類型,確定不同報文類型在當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值���,最后根據(jù)確 定出的監(jiān)控評估值�,對所述DNS和任一用戶終端之間傳輸?shù)膱笪倪M(jìn)行監(jiān)控,相比現(xiàn)有技術(shù)��, 上述技術(shù)方案在每一采樣周期內(nèi)對每一條報文進(jìn)行分析��,得到每個監(jiān)控報文的評估值���,然 后對傳輸?shù)膱笪倪M(jìn)行監(jiān)控��,能夠?qū)ΜF(xiàn)有針對DNS的專項(xiàng)攻擊提供全面的監(jiān)測和防護(hù)能力�, 提高監(jiān)控的準(zhǔn)確性�����。
【專利附圖】
【附圖說明】
[0019] 圖1為本發(fā)明實(shí)施例中����,提出的DNS系統(tǒng)中監(jiān)控報文的監(jiān)控系統(tǒng)結(jié)構(gòu)組成示意 圖;
[0020] 圖2為本發(fā)明實(shí)施例中��,提出的一種DNS系統(tǒng)中監(jiān)控報文的方法流程圖�;
[0021] 圖3為本發(fā)明實(shí)施例中,提出的一種DNS系統(tǒng)中監(jiān)控報文的裝置結(jié)構(gòu)組成示意 圖���;
[0022] 圖4為本發(fā)明實(shí)施例中�����,提出的攻擊檢測����、防護(hù)流程示意圖�����。
【具體實(shí)施方式】
[0023] 針對現(xiàn)有技術(shù)中存在的不能對現(xiàn)有針對DNS的專項(xiàng)攻擊提供全面的監(jiān)測和防護(hù) 能力���,局限性較強(qiáng)����,準(zhǔn)確性較低的問題��,本發(fā)明實(shí)施例這里提出的技術(shù)方案中�����,在采樣周期 內(nèi)���,針對獲得的DNS和任一用戶終端之間傳輸?shù)膱笪?��,根?jù)報文類型����,確定不同報文類型在 當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值��,最后根據(jù)確定出的監(jiān)控評估值���,對所述DNS和任一用 戶終端之間傳輸?shù)膱笪倪M(jìn)行監(jiān)控��,相比現(xiàn)有技術(shù)���,上述技術(shù)方案在每一采樣周期內(nèi)對每一 條報文進(jìn)行分析,得到每個報文的監(jiān)控評估值���,然后對傳輸?shù)膱笪倪M(jìn)行監(jiān)控���,能夠?qū)ΜF(xiàn)有針 對DNS的專項(xiàng)攻擊提供全面的監(jiān)測和防護(hù)能力,提高監(jiān)控的準(zhǔn)確性����。
[0024] 下面將結(jié)合各個附圖對本發(fā)明實(shí)施例技術(shù)方案的主要實(shí)現(xiàn)原理�����、【具體實(shí)施方式】及 其對應(yīng)能夠達(dá)到的有益效果進(jìn)行詳細(xì)地闡述����。
[0025] 實(shí)施例一
[0026] 本發(fā)明實(shí)施例一提出一種DNS系統(tǒng)中監(jiān)控報文的系統(tǒng)�����,用于DNS系統(tǒng)中����,包括至少 一個DNS和至少一個DNS監(jiān)控裝置��,以及至少一個和DNS進(jìn)行報文傳輸?shù)挠脩艚K端�����。
[0027] 其中���,DNS監(jiān)控裝置可以和DNS串聯(lián)在傳輸鏈路中����,也可以和DNS并聯(lián)在傳輸鏈路 中,較佳地����,本發(fā)明實(shí)施例一這里提出的技術(shù)方案中,以DNS監(jiān)控裝置和DNS串聯(lián)在傳輸鏈 路中為例來進(jìn)行詳細(xì)闡述��。將DNS監(jiān)控裝置和DNS串聯(lián)在傳輸鏈路中���,當(dāng)監(jiān)控到傳輸鏈路 中存在對DNS攻擊的數(shù)據(jù)流時���,可以禁止報文傳輸?shù)紻NS中,提高DNS的安全性�����。
[0028] 較佳地�,DNS監(jiān)控裝置、DNS�����、用戶終端以及傳輸鏈路之間���,構(gòu)成DNS監(jiān)控子系統(tǒng)�。其 中:
[0029] DNS,用于和任意用戶終端之間傳輸報文���。
[0030] DNS監(jiān)控裝置��,用于以第一預(yù)設(shè)時長作為采樣周期�,獲得域名解析服務(wù)器DNS和任 一用戶終端之間傳輸?shù)膱笪?���;針對在?dāng)前采樣周期內(nèi)����,任一獲得的報文,確定報文的報文類 型����;根據(jù)確定出的報文類型,確定該報文的報文長度值����、訪問次數(shù)以及生存周期中的至少兩 個參數(shù);根據(jù)確定出的包含報文長度值�、訪問次數(shù)以及生存周期中的至少兩個參數(shù),確定該 報文在當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值,其中監(jiān)控評估值是用于確定所述報文是否異常 的數(shù)值�����;根據(jù)確定出的監(jiān)控評估值�,對DNS和任一用戶終端之間傳輸?shù)膱笪倪M(jìn)行監(jiān)控。���。
[0031] 如圖1所示���,DNS監(jiān)控裝置設(shè)置在DNS前端,也就是說��,DNS監(jiān)控裝置和DNS串聯(lián)在 DNS系統(tǒng)中���,用于對DNS進(jìn)行全面監(jiān)控���。DNS監(jiān)控裝置對傳輸鏈路進(jìn)行監(jiān)聽,獲得DNS和用 戶終端之間傳輸所有報文�。
[0032] 獲得的報文中,報文類型可以包含DNS查詢請求報文和DNS查詢應(yīng)答報文�。即監(jiān) 聽裝置獲得報文傳輸?shù)哪繕?biāo)端口號為53的UDP數(shù)據(jù)包,以及報文傳輸?shù)脑炊丝谔枮?3的 TCP數(shù)據(jù)包�����。DNS監(jiān)控裝置對獲得的不同類型的報文進(jìn)行統(tǒng)計分析,并將分析結(jié)果存儲到安 全監(jiān)控數(shù)據(jù)庫中��。具體地���,分析結(jié)果在安全監(jiān)控數(shù)據(jù)庫中存儲形式可以參見下述表1所示:
[0033] 表 1
[0034]
【權(quán)利要求】
1. 一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報文的方法���,其特征在于,包括: 以第一預(yù)設(shè)時長作為采樣周期���,獲得域名解析服務(wù)器DNS和任一用戶終端之間傳輸?shù)?報文�����; 針對在當(dāng)前采樣周期內(nèi),任一獲得的報文�,確定所述報文的報文類型; 根據(jù)確定出的報文類型����,確定所述報文的報文長度值、訪問次數(shù)以及生存周期中的至 少兩個參數(shù)��; 根據(jù)確定出的包含報文長度值、訪問次數(shù)以及生存周期中的至少兩個參數(shù)�,確定所述 報文在當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值,其中所述監(jiān)控評估值是用于確定所述報文是否 異常的數(shù)值����; 根據(jù)確定出的監(jiān)控評估值,對所述DNS和任一用戶終端之間傳輸?shù)膱笪倪M(jìn)行監(jiān)控����。
2. 如權(quán)利要求1所述的方法,其特征在于���,所述報文類型包含DNS查詢請求報文���; 根據(jù)確定出的包含報文長度值、訪問次數(shù)以及生存周期中的至少兩個參數(shù)��,確定所述 報文在當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值�����,包括: 在確定出獲得的報文是DNS查詢請求報文時�,確定發(fā)送所述DNS查詢請求報文的用戶 終端的源地址; 在預(yù)先維護(hù)的安全監(jiān)控數(shù)據(jù)庫中��,判斷是否存儲有所述源地址; 如果判斷結(jié)果為否�����,在所述安全監(jiān)控數(shù)據(jù)庫中添加所述源地址���,以及將所述DNS查詢 請求報文對應(yīng)的監(jiān)控評估值設(shè)定為第一預(yù)設(shè)數(shù)值�����、將所述源地址對應(yīng)的訪問DNS的訪問次 數(shù)設(shè)定為第二預(yù)設(shè)數(shù)值����、將所述源地址對應(yīng)的訪問DNS的DNS查詢請求報文的報文長度值 設(shè)定為第三預(yù)設(shè)數(shù)值�����; 如果判斷結(jié)果為是���,更新所述安全監(jiān)控數(shù)據(jù)庫中所述源地址對應(yīng)的監(jiān)控評估值、訪問 次數(shù)����、報文長度值�。
3. 如權(quán)利要求2所述的方法����,其特征在于,更新所述安全監(jiān)控數(shù)據(jù)庫中所述源地址對 應(yīng)的監(jiān)控評估值�����,包括: 確定更新前安全監(jiān)控數(shù)據(jù)庫中所述源地址對應(yīng)的監(jiān)控評估值和當(dāng)前采樣周期確定出 的監(jiān)控評估值的和值�; 將得到的和值和第四預(yù)設(shè)數(shù)值相除得到的商值作為更新后的所述安全監(jiān)控數(shù)據(jù)庫中 所述源地址對應(yīng)的監(jiān)控評估值。
4. 如權(quán)利要求3所述的方法�,其特征在于,采用下述方式獲得所述當(dāng)前采樣周期確定 出的監(jiān)控評估值: 獲得包含當(dāng)前采樣周期的所述DNS查詢請求報文對應(yīng)的報文長度向量值���,以及所述 DNS查詢請求報文對應(yīng)的訪問次數(shù)向量值�; 確定由所述報文長度向量值和所述訪問次數(shù)向量值組成的第一矩陣����; 將所述第一矩陣和第一預(yù)設(shè)矩陣相乘得到的結(jié)果作為當(dāng)前采樣周期確定出的監(jiān)控評 估值。
5. 如權(quán)利要求4所述的方法�,其特征在于,采用下述方式���,確定當(dāng)前采樣周期的所述 DNS查詢請求報文對應(yīng)的報文長度向量值: 獲得當(dāng)前采樣周期的所述DNS查詢請求報文的報文長度值和預(yù)設(shè)平均請求報文長度 閾值的差值�����; 所述差值和最大報文長度值相除得到的商值作為當(dāng)前采樣周期的所述DNS查詢請求 報文的報文長度向量值�����,其中最大報文長度值是在當(dāng)前采樣周期內(nèi)采樣得到的全部報文 中����,報文長度最大的報文對應(yīng)的報文長度值; 采用下述方式�,確定當(dāng)前采樣周期的所述DNS查詢請求報文對應(yīng)的訪問次數(shù)向量值: 獲得當(dāng)前采樣周期的訪問次數(shù)值和預(yù)設(shè)平均訪問次數(shù)閾值的差值; 所述差值和最大訪問次數(shù)值相除得到的商值作為當(dāng)前采樣周期的訪問次數(shù)向量值��,其 中所述最大訪問次數(shù)值是DNS在第二預(yù)設(shè)時長內(nèi)提供正常DNS解析服務(wù)所能支持的最大訪 問次數(shù)����。
6. 如權(quán)利要求5所述的方法,其特征在于�����,按照下述方式確定當(dāng)前采樣周期內(nèi)的訪問 次數(shù): 獲得安全監(jiān)控數(shù)據(jù)庫中存儲的上一采樣周期內(nèi)的所述DNS查詢請求報文的訪問次數(shù) 和第五預(yù)設(shè)數(shù)值的和值���; 所述和值作為當(dāng)前采樣周期內(nèi)的所述DNS查詢請求報文的訪問次數(shù)��; 按照下述方式確定當(dāng)前采樣周期內(nèi)的所述DNS查詢請求報文的報文長度值: 獲得安全監(jiān)控數(shù)據(jù)庫中存儲的上一采樣周期內(nèi)的報文長度值和當(dāng)前采樣周期內(nèi)獲得 的DNS查詢請求報文的報文長度值的和值�; 所述和值和第六預(yù)設(shè)數(shù)值的商值作為當(dāng)前采樣周期內(nèi)的所述DNS查詢請求報文的報 文長度值�。
7. 如權(quán)利要求1所述的方法,其特征在于��,所述報文類型包含DNS查詢應(yīng)答報文���; 根據(jù)確定出的包含報文長度值���、訪問次數(shù)以及生存周期中的至少兩個參數(shù),包括: 在確定出獲得的報文是DNS查詢應(yīng)答報文時�����,確定發(fā)送所述DNS查詢應(yīng)答報文的DNS 的標(biāo)識��; 在預(yù)先維護(hù)的安全監(jiān)控數(shù)據(jù)庫中����,當(dāng)確定出未存儲所述DNS的標(biāo)識時,判斷是否存儲 有所述DNS查詢應(yīng)答報文所響應(yīng)的發(fā)送DNS查詢請求報文的源地址和所述DNS查詢請求報 文請求查詢的域名�����; 如果判斷結(jié)果為是,確定安全監(jiān)控數(shù)據(jù)庫中存儲的所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控 評估值�����,在所述監(jiān)控評估值小于第二預(yù)設(shè)閾值時���,更新所述安全監(jiān)控數(shù)據(jù)庫中所述DNS查 詢應(yīng)答報文對應(yīng)的監(jiān)控評估值�����、訪問次數(shù)�、報文生存周期值�����; 如果判斷結(jié)果為否����,在所述安全監(jiān)控數(shù)據(jù)庫中添加發(fā)送所述DNS查詢應(yīng)答報文的DNS 的標(biāo)識,以及將所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值設(shè)定為第一默認(rèn)數(shù)值����、將所述DNS 查詢應(yīng)答報文對應(yīng)的訪問次數(shù)設(shè)定為第二默認(rèn)數(shù)值、將所述DNS查詢應(yīng)答報文對應(yīng)的報文 生存周期設(shè)定為第三默認(rèn)數(shù)值。
8. 如權(quán)利要求7所述的方法��,其特征在于��,更新所述安全監(jiān)控數(shù)據(jù)庫中所述DNS查詢應(yīng) 答報文對應(yīng)的監(jiān)控評估值����,包括: 確定更新前安全監(jiān)控數(shù)據(jù)庫中所述DNS的標(biāo)識對應(yīng)的監(jiān)控評估值和當(dāng)前采樣周期確 定出的監(jiān)控評估值的和值�����; 將得到的和值和第四默認(rèn)數(shù)值相除得到的商值作為更新后的所述安全監(jiān)控數(shù)據(jù)庫中 所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值���。
9. 如權(quán)利要求8所述的方法����,其特征在于����,采用下述方式獲得所述當(dāng)前采樣周期的所 述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值: 獲得包含當(dāng)前采樣周期的所述DNS查詢應(yīng)答報文對應(yīng)的報文長度向量值、所述DNS查 詢應(yīng)答報文對應(yīng)的生存周期向量值和所述DNS查詢應(yīng)答報文對應(yīng)的訪問次數(shù)向量值���; 確定由所述報文長度向量值�、生存周期向量值和訪問次數(shù)向量值組成的第二矩陣; 將所述第二矩陣和第二預(yù)設(shè)矩陣相乘得到的結(jié)果作為當(dāng)前采樣周期確定出的所述DNS 查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值�����。
10. 如權(quán)利要求9所述的方法���,其特征在于�,采用下述方式����,確定當(dāng)前采樣周期的所述 DNS查詢應(yīng)答報文對應(yīng)的報文長度向量值: 獲得當(dāng)前采樣周期的所述DNS查詢應(yīng)答報文的報文長度值和預(yù)設(shè)平均應(yīng)答報文長度 閾值的差值; 所述差值和最大報文長度值相除得到的商值作為當(dāng)前采樣周期的所述DNS查詢應(yīng)答 報文的報文長度向量值��,其中最大報文長度值是當(dāng)在當(dāng)前采樣周期內(nèi)采樣得到的全部報文 中�,報文長度最大的報文對應(yīng)的報文長度值; 采用下述方式�,確定當(dāng)前采樣周期的所述DNS查詢應(yīng)答報文對應(yīng)的訪問次數(shù)向量值: 獲得當(dāng)前采樣周期的所述DNS查詢應(yīng)答報文的訪問次數(shù)值和預(yù)設(shè)平均訪問次數(shù)閾值 的差值; 所述差值和最大訪問次數(shù)值相除得到的商值作為當(dāng)前采樣周期的所述DNS查詢應(yīng)答 報文的訪問次數(shù)向量值���,其中所述最大訪問次數(shù)值是DNS在第二預(yù)設(shè)時長內(nèi)提供正常DNS 解析服務(wù)所能支持的最大訪問次數(shù)��; 采用下述方式����,確定當(dāng)前采樣周期的所述DNS查詢應(yīng)答報文對應(yīng)的生存周期向量值: 獲得當(dāng)前采樣周期的生存周期數(shù)值和預(yù)設(shè)平均生存周期閾值的差值; 所述差值和最大生存周期數(shù)值相除得到的商值作為當(dāng)前采樣周期的所述DNS查詢應(yīng) 答報文的生存周期向量值���,其中最大生存周期是在當(dāng)前采樣周期內(nèi)�����,采樣得到的全部DNS 查詢應(yīng)答報文中,生存周期最大的DNS查詢應(yīng)答報文對應(yīng)的生存周期���。
11. 如權(quán)利要求10所述的方法�����,其特征在于�����,按照下述方式確定當(dāng)前采樣周期內(nèi)的所 述DNS查詢應(yīng)答報文的訪問次數(shù): 獲得安全監(jiān)控數(shù)據(jù)庫中存儲的上一采樣周期內(nèi)的訪問次數(shù)和第五默認(rèn)數(shù)值的和值����; 所述和值作為當(dāng)前采樣周期內(nèi)的所述DNS查詢應(yīng)答報文的訪問次數(shù)�; 按照下述方式確定當(dāng)前采樣周期內(nèi)的訪問次數(shù)報文長度值: 獲得安全監(jiān)控數(shù)據(jù)庫中存儲的上一采樣周期內(nèi)的報文長度值和當(dāng)前采樣周期內(nèi)獲得 的DNS查詢應(yīng)答報文的報文長度值的和值; 所述和值和第六默認(rèn)數(shù)值的商值作為當(dāng)前采樣周期內(nèi)的所述DNS查詢應(yīng)答報文的報 文長度值��; 按照下述方式確定當(dāng)前采樣周期內(nèi)的所述DNS查詢應(yīng)答報文的生存周期值: 獲得安全監(jiān)控數(shù)據(jù)庫中存儲的上一采樣周期內(nèi)的所述DNS查詢應(yīng)答報文的生存周期 值和當(dāng)前采樣周期內(nèi)獲得的DNS查詢應(yīng)答報文的生存周期值的和值; 所述和值和第七默認(rèn)數(shù)值的商值作為當(dāng)前采樣周期內(nèi)的所述DNS查詢應(yīng)答報文的生 存周期值���。
12. 如權(quán)利要求1所述的方法��,其特征在于��,根據(jù)確定出的監(jiān)控評估值����,對所述DNS和任 一用戶終端之間傳輸?shù)膱笪倪M(jìn)行監(jiān)控�����,包括: 若確定出的監(jiān)控評估值大于或等于預(yù)設(shè)門限值�,禁止該報文在所述DNS和任一用戶終 端之間傳輸;以及 若確定出的監(jiān)控評估值小于預(yù)設(shè)門限值���,允許該報文在述DNS和任一用戶終端之間傳 輸���。
13. 如權(quán)利要求12所述的方法,其特征在于���,在禁止該報文在述DNS和任一用戶終端之 間傳輸之后��,還包括: 在預(yù)先維護(hù)的安全監(jiān)控數(shù)據(jù)庫中�,獲得禁止傳輸?shù)膱笪牡膶傩孕畔ⅲ鰧傩孕畔?含發(fā)送所述禁止傳輸?shù)膱笪牡脑吹刂?��、源端口號以及DNS的標(biāo)識中的至少兩種���; 根據(jù)接收到的屬性信息,確定出符合攻擊DNS的數(shù)據(jù)流的源地址�����、源端口號以及DNS的 標(biāo)識中的至少兩個監(jiān)控參數(shù)���; 基于確定出的至少兩個監(jiān)控參數(shù),在檢測到DNS系統(tǒng)中存在攻擊DNS的數(shù)據(jù)流時���,阻斷 所述攻擊DNS的數(shù)據(jù)流�����。
14. 一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報文的裝置�����,其特征在于��,包括: 數(shù)據(jù)采集模塊�����,用于以第一預(yù)設(shè)時長作為采樣周期�����,獲得域名解析服務(wù)器DNS和任一 用戶終端之間傳輸?shù)膱笪模? 數(shù)據(jù)緩存和分析模塊�,用于針對在當(dāng)前采樣周期內(nèi),任一獲得的報文��,確定所述報文的 報文類型����;根據(jù)確定出的報文類型,確定所述報文的報文長度值����、訪問次數(shù)以及生存周期中 的至少兩個參數(shù);根據(jù)確定出的包含報文長度值�����、訪問次數(shù)以及生存周期中的至少兩個參 數(shù),確定所述報文在當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值�����,其中所述監(jiān)控評估值是用于確定 所述報文是否異常的數(shù)值���; 監(jiān)控模塊��,用于根據(jù)確定出的監(jiān)控評估值���,對所述DNS和任一用戶終端之間傳輸?shù)膱?文進(jìn)行監(jiān)控。
15. 如權(quán)利要求14所述的裝置�,其特征在于,所述報文類型包含DNS查詢請求報文�; 所述數(shù)據(jù)緩存和分析模塊��,具體用于在確定出獲得的報文是DNS查詢請求報文時���,確 定發(fā)送所述DNS查詢請求報文的用戶終端的源地址��;在預(yù)先維護(hù)的安全監(jiān)控數(shù)據(jù)庫中�����,判 斷是否存儲有所述源地址��;如果判斷結(jié)果為否���,在所述安全監(jiān)控數(shù)據(jù)庫中添加所述源地址�����, 以及將所述DNS查詢請求報文對應(yīng)的監(jiān)控評估值設(shè)定為第一預(yù)設(shè)數(shù)值��、將所述源地址對應(yīng) 的訪問DNS的訪問次數(shù)設(shè)定為第二預(yù)設(shè)數(shù)值��、將所述源地址對應(yīng)的訪問DNS的DNS查詢請 求報文的報文長度值設(shè)定為第二預(yù)設(shè)數(shù)值�;如果判斷結(jié)果為是��,更新所述安全監(jiān)控數(shù)據(jù)庫 中所述源地址對應(yīng)的監(jiān)控評估值���、訪問次數(shù)�、報文長度值�����。
16. 如權(quán)利要求15所述的裝置���,其特征在于��,所述數(shù)據(jù)緩存和分析模塊�����,具體用于確定 更新前安全監(jiān)控數(shù)據(jù)庫中所述源地址對應(yīng)的監(jiān)控評估值和當(dāng)前采樣周期確定出的監(jiān)控評 估值的和值����;將得到的和值和第三預(yù)設(shè)數(shù)值相除得到的商值作為更新后的所述安全監(jiān)控數(shù) 據(jù)庫中所述源地址對應(yīng)的監(jiān)控評估值。
17. 如權(quán)利要求16所述的裝置�,其特征在于,所述數(shù)據(jù)緩存和分析模塊���,具體用于采用 下述方式獲得所述當(dāng)前采樣周期確定出的監(jiān)控評估值:獲得包含當(dāng)前采樣周期的所述DNS 查詢請求報文對應(yīng)的報文長度向量值����,以及所述DNS查詢請求報文對應(yīng)的訪問次數(shù)向量 值�����;確定由所述報文長度向量值和所述訪問次數(shù)向量值組成的第一矩陣�����;將所述第一矩陣 和第一預(yù)設(shè)矩陣相乘得到的結(jié)果作為當(dāng)前采樣周期確定出的監(jiān)控評估值�。
18. 如權(quán)利要求17所述的裝置,其特征在于���,所述數(shù)據(jù)緩存和分析模塊�,具體用于采 用下述方式���,確定當(dāng)前采樣周期的所述DNS查詢請求報文對應(yīng)的報文長度向量值:獲得當(dāng) 前采樣周期的所述DNS查詢請求報文的報文長度值和預(yù)設(shè)平均請求報文長度閾值的差值����; 所述差值和最大報文長度值相除得到的商值作為當(dāng)前采樣周期的所述DNS查詢請求報文 的報文長度向量值�����,其中最大報文長度值是在當(dāng)前采樣周期內(nèi)采樣得到的全部報文中��,報 文長度最大的報文對應(yīng)的報文長度值�����;采用下述方式����,確定當(dāng)前采樣周期的所述DNS查詢 請求報文對應(yīng)的訪問次數(shù)向量值:獲得當(dāng)前采樣周期的訪問次數(shù)值和預(yù)設(shè)平均訪問次數(shù)閾 值的差值����;所述差值和最大訪問次數(shù)值相除得到的商值作為當(dāng)前采樣周期的訪問次數(shù)向量 值����,其中所述最大訪問次數(shù)值是DNS在第二預(yù)設(shè)時長內(nèi)提供正常DNS解析服務(wù)所能支持的 最大訪問次數(shù)。
19. 如權(quán)利要求15?18任一所述的裝置���,其特征在于��,所述數(shù)據(jù)緩存和分析模塊����,具體 用于按照下述方式確定當(dāng)前采樣周期內(nèi)的訪問次數(shù):獲得安全監(jiān)控數(shù)據(jù)庫中存儲的上一采 樣周期內(nèi)的所述DNS查詢請求報文的訪問次數(shù)和第四預(yù)設(shè)數(shù)值的和值���;所述和值作為當(dāng)前 采樣周期內(nèi)的所述DNS查詢請求報文的訪問次數(shù)����; 所述數(shù)據(jù)緩存和分析模塊��,具體用于按照下述方式確定當(dāng)前采樣周期內(nèi)的所述DNS查 詢請求報文的報文長度值:獲得安全監(jiān)控數(shù)據(jù)庫中存儲的上一采樣周期內(nèi)的報文長度值和 當(dāng)前采樣周期內(nèi)獲得的DNS查詢請求報文的報文長度值的和值�����;所述和值和第五預(yù)設(shè)數(shù)值 的商值作為當(dāng)前采樣周期內(nèi)的所述DNS查詢請求報文的報文長度值�����。
20. 如權(quán)利要求14所述的裝置����,其特征在于,所述報文類型包含DNS查詢應(yīng)答報文��; 所述數(shù)據(jù)緩存和分析模塊�����,具體用于在確定出獲得的報文是DNS查詢應(yīng)答報文時����,確 定發(fā)送所述DNS查詢應(yīng)答報文的DNS的標(biāo)識;在預(yù)先維護(hù)的安全監(jiān)控數(shù)據(jù)庫中����,當(dāng)確定出未 存儲所述DNS的標(biāo)識時,判斷是否存儲有所述DNS查詢應(yīng)答報文所響應(yīng)的發(fā)送DNS查詢請 求報文的源地址和所述DNS查詢請求報文請求查詢的域名����;如果判斷結(jié)果為是���,確定安全 監(jiān)控數(shù)據(jù)庫中存儲的所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值,在所述監(jiān)控評估值小于第 二預(yù)設(shè)閾值時��,更新所述安全監(jiān)控數(shù)據(jù)庫中所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值���、訪 問次數(shù)��、報文生存周期值����;如果判斷結(jié)果為否����,在所述安全監(jiān)控數(shù)據(jù)庫中添加發(fā)送所述DNS 查詢應(yīng)答報文的DNS的標(biāo)識,以及將所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值設(shè)定為第一 默認(rèn)數(shù)值�、將所述DNS查詢應(yīng)答報文對應(yīng)的訪問次數(shù)設(shè)定為第二默認(rèn)數(shù)值、將所述DNS查詢 應(yīng)答報文對應(yīng)的報文生存周期設(shè)定為第三默認(rèn)數(shù)值��。
21. 如權(quán)利要求20所述的裝置�,其特征在于,所述數(shù)據(jù)緩存和分析模塊�����,具體用于確定 更新前安全監(jiān)控數(shù)據(jù)庫中所述DNS的標(biāo)識對應(yīng)的監(jiān)控評估值和當(dāng)前采樣周期確定出的監(jiān) 控評估值的和值;將得到的和值和第四默認(rèn)數(shù)值相除得到的商值作為更新后的所述安全監(jiān) 控數(shù)據(jù)庫中所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值���。
22. 如權(quán)利要求21所述的裝置,其特征在于�,所述數(shù)據(jù)緩存和分析模塊,具體用于采用 下述方式獲得所述當(dāng)前采樣周期的所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值:獲得包含當(dāng) 前采樣周期的所述DNS查詢應(yīng)答報文對應(yīng)的報文長度向量值��、所述DNS查詢應(yīng)答報文對應(yīng) 的生存周期向量值和所述DNS查詢應(yīng)答報文對應(yīng)的訪問次數(shù)向量值�;確定由所述報文長度 向量值、生存周期向量值和訪問次數(shù)向量值組成的的第二矩陣�;將所述第二矩陣和第二預(yù) 設(shè)矩陣相乘得到的結(jié)果作為當(dāng)前采樣周期確定出的所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評 估值。
23. 如權(quán)利要求22所述的裝置�����,其特征在于��,所述數(shù)據(jù)緩存和分析模塊�,具體用于采用 下述方式,確定當(dāng)前采樣周期的所述DNS查詢應(yīng)答報文對應(yīng)的報文長度向量值:獲得當(dāng)前 采樣周期的所述DNS查詢應(yīng)答報文的報文長度值和預(yù)設(shè)平均應(yīng)答報文長度閾值的差值��;所 述差值和最大報文長度值相除得到的商值作為當(dāng)前采樣周期的所述DNS查詢應(yīng)答報文的 報文長度向量值���,其中最大報文長度值是在當(dāng)前采樣周期內(nèi)采樣得到的全部報文中�,報文 長度最大的報文對應(yīng)的報文長度值; 所述數(shù)據(jù)緩存和分析模塊�����,具體用于采用下述方式���,確定當(dāng)前采樣周期的所述DNS查 詢應(yīng)答報文對應(yīng)的訪問次數(shù)向量值:獲得當(dāng)前采樣周期的所述DNS查詢應(yīng)答報文的訪問次 數(shù)值和預(yù)設(shè)平均訪問次數(shù)閾值的差值�;所述差值和最大訪問次數(shù)值相除得到的商值作為當(dāng) 前采樣周期的所述DNS查詢應(yīng)答報文的訪問次數(shù)向量值�,其中所述最大訪問次數(shù)值是DNS 在第二預(yù)設(shè)時長內(nèi)提供正常DNS解析服務(wù)所能支持的最大訪問次數(shù); 所述數(shù)據(jù)緩存和分析模塊��,具體用于采用下述方式��,確定當(dāng)前采樣周期的所述DNS查 詢應(yīng)答報文對應(yīng)的生存周期向量值:獲得當(dāng)前采樣周期的生存周期數(shù)值和預(yù)設(shè)平均生存 周期閾值的差值�����;所述差值和最大生存周期數(shù)值相除得到的商值作為當(dāng)前采樣周期的所述 DNS查詢應(yīng)答報文的生存周期向量值����,其中最大生存周期是在當(dāng)前采樣周期內(nèi),采樣得到的 全部DNS查詢應(yīng)答報文中�����,生存周期最大的DNS查詢應(yīng)答報文對應(yīng)的生存周期。
24. 如權(quán)利要求23所述的裝置����,其特征在于,所述數(shù)據(jù)緩存和分析模塊�,具體用于按照 下述方式確定當(dāng)前采樣周期內(nèi)的所述DNS查詢應(yīng)答報文的訪問次數(shù):獲得安全監(jiān)控數(shù)據(jù)庫 中存儲的上一采樣周期內(nèi)的訪問次數(shù)和第五默認(rèn)數(shù)值的和值���;所述和值作為當(dāng)前采樣周期 內(nèi)的所述DNS查詢應(yīng)答報文的訪問次數(shù)�����; 所述數(shù)據(jù)緩存和分析模塊�,具體用于按照下述方式確定當(dāng)前采樣周期內(nèi)的訪問次數(shù)報 文長度值:獲得安全監(jiān)控數(shù)據(jù)庫中存儲的上一采樣周期內(nèi)的報文長度值和當(dāng)前采樣周期內(nèi) 獲得的DNS查詢應(yīng)答報文的報文長度值的和值�����;所述和值和第六默認(rèn)數(shù)值的商值作為當(dāng)前 采樣周期內(nèi)的所述DNS查詢應(yīng)答報文的報文長度值�; 所述數(shù)據(jù)緩存和分析模塊,具體用于按照下述方式確定當(dāng)前采樣周期內(nèi)的所述DNS查 詢應(yīng)答報文的生存周期值:獲得安全監(jiān)控數(shù)據(jù)庫中存儲的上一采樣周期內(nèi)的所述DNS查詢 應(yīng)答報文的生存周期值和當(dāng)前采樣周期內(nèi)獲得的DNS查詢應(yīng)答報文的生存周期值的和值���; 所述和值和第七默認(rèn)數(shù)值的商值作為當(dāng)前采樣周期內(nèi)的所述DNS查詢應(yīng)答報文的生存周 期值�����。
25. 如權(quán)利要求14所述的裝置���,其特征在于���,所述監(jiān)控模塊,具體包括: 數(shù)據(jù)轉(zhuǎn)發(fā)子模塊��,用于若確定出的監(jiān)控評估值大于或等于預(yù)設(shè)門限值����,禁止該報文在 述DNS和任一用戶終端之間傳輸;以及若確定出的監(jiān)控評估值小于預(yù)設(shè)門限值���,允許該報 文在述DNS和任一用戶終端之間傳輸����。
26. 如權(quán)利要求25所述的裝置���,其特征在于����,所述監(jiān)控模塊,具體包括: 規(guī)則生成子模塊��,用于在預(yù)先維護(hù)的安全監(jiān)控數(shù)據(jù)庫中����,獲得禁止傳輸?shù)膱笪牡膶傩?信息,所述屬性信息包含發(fā)送所述禁止傳輸?shù)膱笪牡脑吹刂?、源端口號以及DNS的標(biāo)識中 的至少兩種;根據(jù)接收到的屬性信息���,確定出符合攻擊DNS的數(shù)據(jù)流的源地址��、源端口號以 及DNS的標(biāo)識中的至少兩個監(jiān)控參數(shù); 監(jiān)控子模塊��,用于基于確定出的至少兩個監(jiān)控參數(shù)��,在檢測到DNS系統(tǒng)中存在攻擊DNS 的數(shù)據(jù)流時�,阻斷所述攻擊DNS的數(shù)據(jù)流。
27. -種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報文的系統(tǒng)���,其特征在于��,包括域名解析服務(wù)器 DNS和DNS監(jiān)控裝置�,其中: 所述DNS,用于和任一用戶終端之間傳輸報文��; 所述DNS監(jiān)控裝置�,用于以第一預(yù)設(shè)時長作為采樣周期,獲得域名解析服務(wù)器DNS和任 一用戶終端之間傳輸?shù)膱笪?����;針對任一獲得的報文����,確定所述報文的報文類型;根據(jù)確定 出的報文類型��,確定在當(dāng)前采樣周期內(nèi)���,所述報文的報文長度值��、訪問次數(shù)以及生存周期中 的至少兩個參數(shù)���;根據(jù)確定出的包含報文長度值、訪問次數(shù)以及生存周期中的至少兩個參 數(shù)��,確定所述報文在當(dāng)前采樣周期內(nèi)對應(yīng)的監(jiān)控評估值,其中所述監(jiān)控評估值是用于確定 所述報文是否異常的數(shù)值�����;根據(jù)確定出的監(jiān)控評估值�,對所述DNS和任一用戶終端之間傳 輸?shù)膱笪倪M(jìn)行監(jiān)控。
28. 如權(quán)利要求27所述的系統(tǒng)�,其特征在于,所述報文類型包含DNS查詢請求報文����; 所述DNS監(jiān)控裝置,具體用于在確定出獲得的報文是DNS查詢請求報文時�����,確定發(fā)送 所述DNS查詢請求報文的用戶終端的源地址�����;在預(yù)先維護(hù)的安全監(jiān)控數(shù)據(jù)庫中�����,判斷是否 存儲有所述源地址��;如果判斷結(jié)果為否���,在所述安全監(jiān)控數(shù)據(jù)庫中添加所述源地址��,以及將 所述DNS查詢請求報文對應(yīng)的監(jiān)控評估值設(shè)定為第一預(yù)設(shè)數(shù)值����、將所述源地址對應(yīng)的訪問 DNS的訪問次數(shù)設(shè)定為第二預(yù)設(shè)數(shù)值����、將所述源地址對應(yīng)的訪問DNS的DNS查詢請求報文的 報文長度值設(shè)定為第二預(yù)設(shè)數(shù)值;如果判斷結(jié)果為是���,更新所述安全監(jiān)控數(shù)據(jù)庫中所述源 地址對應(yīng)的監(jiān)控評估值�����、訪問次數(shù)����、報文長度值�。
29. 如權(quán)利要求27所述的系統(tǒng),其特征在于����,所述報文類型包含DNS查詢應(yīng)答報文���; 所述DNS監(jiān)控裝置,具體用于在確定出獲得的報文是DNS查詢應(yīng)答報文時�����,確定發(fā)送所 述DNS查詢應(yīng)答報文的DNS的標(biāo)識��;在預(yù)先維護(hù)的安全監(jiān)控數(shù)據(jù)庫中�����,當(dāng)確定出未存儲所述 DNS的標(biāo)識時���,判斷是否存儲有所述DNS查詢應(yīng)答報文所響應(yīng)的發(fā)送DNS查詢請求報文的源 地址和所述DNS查詢請求報文請求查詢的域名�����;如果判斷結(jié)果為是�,確定安全監(jiān)控數(shù)據(jù)庫 中存儲的所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值�,在所述監(jiān)控評估值小于第二預(yù)設(shè)閾值 時��,更新所述安全監(jiān)控數(shù)據(jù)庫中所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值、訪問次數(shù)��、報文 生存周期值�����;如果判斷結(jié)果為否��,在所述安全監(jiān)控數(shù)據(jù)庫中添加發(fā)送所述DNS查詢應(yīng)答報 文的DNS的標(biāo)識�,以及將所述DNS查詢應(yīng)答報文對應(yīng)的監(jiān)控評估值設(shè)定為第一默認(rèn)數(shù)值、將 所述DNS查詢應(yīng)答報文對應(yīng)的訪問次數(shù)設(shè)定為第二默認(rèn)數(shù)值��、將所述DNS查詢應(yīng)答報文對 應(yīng)的報文生存周期設(shè)定為第三默認(rèn)數(shù)值�����。
30. 如權(quán)利要求27所述的系統(tǒng)��,其特征在于�����,所述DNS監(jiān)控裝置��,具體用于若確定出的 監(jiān)控評估值大于或等于預(yù)設(shè)門限值����,禁止該報文在述DNS和任一用戶終端之間傳輸��;以及 若確定出的監(jiān)控評估值小于預(yù)設(shè)門限值���,允許該報文在述DNS和任一用戶終端之間傳輸。
31. 如權(quán)利要求30所述的系統(tǒng)���,其特征在于��,所述系統(tǒng)還包括入侵檢測裝置和防火墻���; 所述DNS監(jiān)控裝置,具體用于在預(yù)先維護(hù)的安全監(jiān)控數(shù)據(jù)庫中�,獲得禁止傳輸?shù)膱笪?的屬性信息,所述屬性信息包含發(fā)送所述禁止傳輸?shù)膱笪牡脑吹刂?、源端口號以及DNS的 標(biāo)識;并將獲得的屬性信息發(fā)送給入侵檢測裝置�����; 所述入侵檢測裝置����,用于根據(jù)接收到的屬性信息生成用于檢測攻擊DNS的數(shù)據(jù)流的監(jiān) 控評估模型���; 所述防火墻���,用于通過監(jiān)控評估模型在檢測到存在攻擊DNS的數(shù)據(jù)流時���,阻斷所述攻 擊DNS的數(shù)據(jù)流。
【文檔編號】H04L29/12GK104243408SQ201310235051
【公開日】2014年12月24日 申請日期:2013年6月14日 優(yōu)先權(quán)日:2013年6月14日
【發(fā)明者】盧楠, 張峰, 付俊, 楊光華 申請人:中國移動通信集團(tuán)公司