[发明专利]DNS流量异常检测方法、装置、电子设备及存储介质

说明书

本发明提供了一种DNS流量异常检测方法、装置、电子设备及存储介质，所述方法包括：获取DNS流量的历史数据和当前数据；根据DNS流量的历史数据和当前数据，获取残差数据，所述残差数据包括历史数据的残差数据和当前数据的残差数据；根据历史数据的残差数据和当前数据的残差数据，检测当前DNS流量是否存在异常。本发明提供的DNS流量异常检测方法，能够及时发现DNS业务的异常，使DNS服务运维人员能及时调整DNS服务器的对外服务，从而消除DNS异常流量的影响。

技术领域

本发明涉及计算机技术领域，具体涉及一种DNS流量异常检测方法、装置、电子设备及存储介质。

背景技术

计算机网络通信中，主机之间需要知道通信对端的IP地址才能够通过IP网络与对方进行通信。然而32位的IPv4地址(IPv6地址为128位)对于通信参与者来说是不容易记忆的。因此，更为直观的域名(如www.google.com.hk)被广泛采用以解决IP地址难以记忆的问题。然而网络通信是基于IP协议来运转的，通过域名并不能直接找到要访问的主机。因此主机需要将用户输入的域名转换为IP地址，这个过程被称为域名解析。

为了完成域名解析，需要域名系统(Domain Name System，DNS)来配合，其是一种用于TCP/IP应用程序的分布式数据库，提供域名与IP地址之间的转换。通过域名系统，用户进行某些应用时，可以直接使用便于记忆的且有意义的域名，而由网络中的DNS服务器将域名解析为正确的IP地址然后返回给用户的主机。域名服务器，是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。域名解析过程是指当某一个应用进程需要将主机名解析为IP地址时，该应用进程就成为域名系DNS的一个客户，并把待解析的域名放在DNS请求报文中发给域名服务器，域名服务器在查找域名后将对应的IP地址放在回答报文中返回给客户机应用进程。DNS递归服务器是DNS解析系统中的重要设备，DNS递归服务器根据缓存中的域名地址信息，对终端用户发起的DNS查询进行响应。

目前，对DNS系统的攻击方式主要有以下几种方式：

第一种攻击方式是流量型拒绝服务攻击。例如基于用户数据包协议(UDP，UserDatagram Protocol)流(flood)、基于传输控制协议(TCP，Transmission ControlProtocol)flood、DNS请求flood，或拼(PING)flood等。该种方式下的攻击的典型特征是消耗掉DNS服务器的资源，使其不能及时响应正常的DNS解析请求。其中，资源的消耗包括对服务器CPU、网络资源等的消耗。

第二种攻击方式是异常请求访问攻击。例如超长域名请求、异常域名请求等。该种方式下的攻击的特点是通过发掘DNS服务器的漏洞，通过伪造特定的请求报文，导致DNS服务器软件工作异常而退出或崩溃而无法启动，达到影响DNS服务器正常工作的目的。

第三种攻击方式是DNS劫持攻击。例如DNS缓存“投毒”、篡改授权域内容、ARP欺骗劫持授权域等。该种方式下的攻击的特点是通过直接篡改解析记录或在解析记录传递过程中篡改其内容或抢先应答，从而达到影响解析结果的目的。

第四种攻击方式是攻击者利用DNS进行攻击。例如攻击者控制僵尸机群采用被攻击主机的IP地址伪装成被攻击主机发送域名解析请求，大量的域名解析请求被DNS服务器递归查询解析后，DNS服务器发送响应给被攻击者，大量的响应数据包从不同的DNS服务器传回构成了分布式拒绝服务(DDoS，Distributed Denial of Service)攻击。

当上述四种攻击的行为发生时，通常表现为DNS流量异常。通过对DNS流量异常的检测，能够及时发现DNS攻击行为的发生，从而可以采取有效措施，使损失降到最小。

发明内容

针对现有技术中的问题，本发明提供一种DNS流量异常检测方法、装置、电子设备及存储介质。

具体地，本发明提供以下技术方案：