[发明专利]针对DNS服务的DDoS攻击的检测方法和系统

权利要求书

1.一种针对DNS服务的DDoS攻击的检测方法，其特征在于，其包括以下步骤：

步骤一，采集受保护DNS服务器上的网络数据；

步骤二，对采集的网络数据，计算从外网返回的应答包总数和向外网发送的请求包总数，并转向步骤三；同时计算从DNS服务器流出的解析后的发往外网的应答数据流中域名解析成功数据包的总数和解析失败数据包的总数，并转向步骤四；

步骤三，使用非参数自适应CUSUM方法对步骤二的计算结果进行反弹DDOS攻击检测，若检测到反弹DDOS攻击，则转向步骤五；

步骤四，使用非参数自适应CUSUM方法对步骤二的计算结果进行查询DDOS攻击检测，若检测到查询DDOS攻击，则转向步骤五；

步骤五，若检测到反弹DDOS攻击或查询DDoS攻击，则生成报警信息并发出警报，报警信息中包含DDoS攻击的发生时间以及攻击的类型信息。

2.如权利要求1所述的针对DNS服务的DDoS攻击的检测方法，其特征在于，所述步骤三包括以下步骤：

步骤三十一：反弹DDOS攻击数据流特征的选取，即为步骤二中得到的从外网返回的应答包总数和向外网发送的请求包的总数；

步骤三十二：非参数自适应CUSUM方法序列模型的建立；

步骤三十三：阈值的自适应调整；

步骤三十四：进行反弹DDOS攻击的检测。

3.如权利要求1所述的针对DNS服务的DDoS攻击的检测方法，其特征在于，所述步骤四包括以下步骤：

步骤四十一：查询DDOS攻击数据流特征的选取，即为步骤二中得到的应答包中域名解析成功和失败情况下数据包的总数；

步骤四十二：非参数自适应CUSUM方法序列模型的建立；

步骤四十三：阈值的自适应调整；

步骤四十四：进行查询DDOS攻击的检测。

4.如权利要求1所述的针对DNS服务的DDoS攻击的检测方法，其特征在于，所述步骤五中DDoS攻击的发生时间通过设置时间间隔阈值的方法进行分析获取。

5.一种针对DNS服务的DDoS攻击的检测系统，其特征在于，其包括数据处理模块、攻击检测模块和报警模块，其中：

所述数据处理模块与一个交换机端口连接，负责DNS服务器上数据的采集和处理，统计出一个时间片内的数据流量信息；

所述攻击检测模块连接所述数据处理模块，检测DNS服务器当前是否受到反弹DDOS攻击或查询DDOS攻击；

所述报警模块连接所述攻击检测模块，若检测到反弹DDOS攻击或查询DDOS攻击，则发出报警，并报告攻击的发生时间以及攻击的类型信息。

6.如权利要求5所述的针对DNS服务的DDoS攻击的检测系统，其特征在于，所述数据处理模块包括数据采集模块和数据分析模块，数据采集模块用于采集并获取DNS服务器上的数据信息；数据分析模块用于统计一个时间片内DNS服务器上的总体访问流量，计算出从外网返回的应答包总数和向外网发送的请求包总数，以及发往外网的应答包的流量情况，计算这部分应答包中域名解析成功数据包的总数和解析失败数据包的总数。

7.如权利要求5所述的针对DNS服务的DDoS攻击的检测系统，其特征在于，所述攻击检测模块包括第一检测模块和第二检测模块，第一检测模块测试DNS服务器当前是否受到反弹DDOS攻击，第二检测模块测试DNS服务器当前是否受到查询DDOS攻击；第一检测模块和第二检测模块都使用非参数自适应CUSUM方法进行检测。