[发明专利]一种定位被DDOS攻击的域名的方法和系统

说明书

本发明公开了一种定位被DDOS攻击的域名的方法和系统。该方法包括：获取被攻击服务器集群信息以及DNS服务器日志；基于所述被攻击服务器集群信息和所述DNS服务器日志，确定所述DNS服务器日志中被访问域名的风险评分，并筛选第一设定数量的风险评分最高的域名。本发明的方法和系统可以快速、准确地对被攻击的域名进行定位，并减少企业因DDOS攻击带来的资源占用过大的问题，同时提高企业的服务品质。

技术领域

本发明涉及互联网技术领域，尤其涉及一种定位被DDOS攻击的域名的方法和系统方法及系统。

背景技术

随着互联网的发展，分布式拒绝服务(Distributed Denial of Service，简称DDoS)越来越普遍，并且随时都有被攻击的可能。此外，由于云厂商与CDN厂商在自己的服务器上会存放多个域名，因为攻击都是匿名的，每当其中一个域名被攻击的时候，很难从众多域名中快速定位出被攻击的域名，从而，需要长时间进行分析查找处理。

目前，定位被攻击的域名通常使用二分法，将众多的域名切分在不同的服务器上，然后确定哪台服务器设备受攻击，此过程需要占用大量的服务器资源。并且，因为排查出来需要很长一段时间，最终定位出被攻击的域名过慢。

因此，需要能够快速、准确地定位被DDOS攻击的域名。

发明内容

为了解决现有技术中定位被DDOS攻击的域名的问题，提出了一种定位被DDOS攻击的域名的方法和系统。

根据本发明的一个方面，提供了一种定位被DDOS攻击的域名的方法，所述方法包括：

获取被攻击服务器集群信息以及DNS服务器日志；

基于所述被攻击服务器集群信息和所述DNS服务器日志，确定所述DNS服务器日志中被访问域名的风险评分，并筛选第一设定数量的风险评分最高的域名。

其中，确定所述被攻击服务器日志中被访问域名的风险评分包括：

基于所述被访问域名是否由所述被攻击服务器集群中的服务器解析，确定所述被访问域名的风险评分。

其中，确定所述被攻击服务器日志中被访问域名的风险评分还包括：

针对第二设定数量的风险评分最高的被访问域名，判断各被访问域名在所述被攻击时间段内的流量变化是否超过第一阈值和/或被访问次数变化是否超过第二阈值，若超过，则增加该被访问域名的风险评分。

其中，确定所述被攻击服务器日志中被访问域名的风险评分还包括：

针对第三设定数量的风险评分最高的被访问域名，判断与各被访问域名相关的网站内容是否属于危险内容，若是，则增加该被访问域名的风险评分。

其中，所述方法还包括：

在筛选第一设定数量的风险评分最高的域名后，将所述风险评分最高的域名确定为被攻击的域名。

根据本发明的另一方面，还提供了一种定位被DDOS攻击的域名的系统，所述系统包括：

获取模块，用于获取被攻击服务器集群信息以及DNS服务器日志；

确定模块，用于基于所述被攻击服务器集群信息和所述DNS服务器日志，确定所述DNS服务器日志中被访问域名的风险评分；

筛选模块，用于筛选第一设定数量的风险评分最高的域名。

其中，所述确定模块还用于基于所述被访问域名是否由所述被攻击服务器集群中的服务器解析，确定所述被访问域名的风险评分。