[发明专利]针对DNS服务的拒绝服务攻击的数据过滤方法

权利要求书

1.一种针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，其包括以下步骤：

步骤一，捕获DNS服务器的网络数据样本；

步骤二，对捕获的网络数据样本提取特征属性；

步骤三，确定时间函数，时间函数是一个时间分段函数，表示步骤二中特征属性的特征值在某个时间段上的约束阈值条件；

步骤四，根据捕获的网络数据样本构建正常流和攻击流的训练数据矩阵；

步骤五，继续实时捕获DNS服务器上的流量数据包，通过贝叶斯分类器对其进行分类检测；

步骤六，对分类结果进行过滤；若判断该数据流是攻击流，则全部丢弃；若判断数据流是正常流，则根据DNS服务器的拥塞情况采取基于分类概率的过滤方法；

步骤七，转向步骤五。

2.如权利要求1所述的针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，所述步骤二中提取的特征属性包括单位时间内平均查询量、源IP地址的熵值、域名长度的熵值、递归查询的比例、IP地址总数、有效应答包比例、源端口53的查询数量。

3.如权利要求1所述的针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，所述步骤四中的训练数据矩阵每一行表示一个状态实例，每一列表示一个状态实例的属性参数，矩阵的每一个元素表示一个状态实例中某个属性上的值。

4.如权利要求1所述的针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，所述步骤五的贝叶斯分类器的分类方法包括以下步骤：

步骤五十一，计算概率p(x_n|C_i)和类的先验概率p(C_i)的值

类的先验概率p(C_i)采用经过Laplace修正过的概率公式如下式：

其中，N_lc是类标属性值为C_i的样本个数，N_c是类的个数，N_l是训练集的总样本个数；

概率p(x_n|C_i)也采用经过Laplace修正过的概率公式如下式：

p(xn|Ci)=Nic+1/niNlc+1]]>

N_ic是类C_i中属性A_i的值为x_t的样本个数，N_lc是类标属性值为C_i的样本个数，n_i是离散属性A_i的属性个数；

其中，N_lc、N_c、N_l和N_ic的值使用步骤三得到的数据矩阵来计算而得；

步骤五十二，计算概率p(X|C_i)的值

假设在属性间不存在依赖关系，p(X|C_i)＝p(x₁|C_i)p(x₂|C_i)…p(x_n|C_i)；

步骤五十三，实现分类并打上分类标签

设C1为正常流，C2是攻击流；若p(X|C₁)p(C₁)hc₁(t)＞p(X|C₂)p(C₂)hc₂(t)，则判断该数据流是正常流；否则，判断该数据流是攻击流。

5.如权利要求1所述的针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，所述步骤六中的基于分类概率的过滤方法包括以下步骤：

若当前正常流的总数据量小于或等于DNS服务器每秒最大处理数据量，则把正常流都发送至服务器；

若当前正常流的总数据量大于DNS服务器每秒最大处理数据量，则根据步骤五计算得到的分类概率为每个正常流设置发送概率，并每个正常流按照发送概率发送至服务器。