[发明专利]针对DNS服务的DDoS攻击的检测方法和系统

说明书

技术领域

本发明涉及网络安全技术领域，特别是涉及一种针对DNS服务的DDoS攻击的检测方法和系统。

背景技术

DNS(domain name system，域名系统)是Internet上最为关键的基础设施之一，其主要作用是提供主机名称和IP地址之间的转换，从而保障其它网络应用(如网页浏览、电子邮件)的顺利执行。由于DNS协议设计之初存在着缺陷以及DNS服务器自身存在查询能力有限的缺点，近年来DNS频频成为黑客发动分布式拒绝攻击的目标，其中既包括互联网的关键基础设施，也包括各大网站、公司的授权域名服务器。根据国家计算机网络应急技术处理协调中心的网络安全年度报告，DDoS（Distributed Denial of Service，分布式拒绝服务）攻击已经成为DNS所面临的最大安全威胁之一。

基于DNS的DDoS攻击有两种方式，一是查询式攻击（又称欺骗式攻击），另一种是反弹式攻击。

基于DNS的查询DDoS攻击的原理和特征是：首先攻击者通过一个或者多个控制台向网络上众多傀儡主机发出攻击指令，众多的傀儡主机在接收到控制台攻击指令以后按照攻击的要求构造大量的虚假源IP地址的DNS请求包并向目标DNS服务器发送，当许多的域名都映射到目标DNS服务器时，目标DNS服务器会收到大量的网页连接报文，导致其资源耗尽甚至系统崩溃而无法响应正常的请求。这些伪造源IP地址在目标DNS服务器前汇聚就形成DDoS攻击流。当服务器遭受到攻击时，这些随机伪造的攻击数据包经过DNS服务器解析以后的结果绝大多数都为“解析失败”。而在正常查询情况下，大多数查询域名来自用户在浏览器地址栏的输入或者相应网页上的点击访问产生，其为错误域名的比例很小。

基于DNS的反弹DDoS攻击的原理和特征是：首先攻击者通过一个或者多个控制台向网络上众多傀儡主机发出攻击指令，傀儡主机在接收到命令后，伪造受害DNS的IP地址向互联网上大量开放递归DNS服务器（或者开放递归DNS解析器）发送DNS查询请求包。由于开放递归DNS服务器并不对请求包进行地址真实性验证，因此都会进行应答。这样所有的应答包会在受攻击DNS服务器处形成汇聚，形成DNS反弹拒绝服务流，堵塞受害DNS服务器的网络，最终形成DDoS攻击。由于DNS协议请求包和应答包有成对出现的规律，因此当DNS反弹DDoS攻击发生时，应答包的数目会明显多于请求包。

目前，针对DNS服务的DDoS攻击还没有有效的解决方法。现有的DDoS攻击检测和防御不能满足DNS服务保护的要求，例如，H.Tsunoda等人提出通过对向外网发送的数据包进行信息提取，并根据该信息对返回包进行验证的方法实现对一般反弹DDoS攻击的检测。该方法简单且有效，但具体应用到防御DNS反弹DDoS攻击时应该选取什么特征作为信息，没有进一步阐述。Fanglu Guo等人提出了在DNS服务器前面布置一个DNS代理，通过使用cookie技术和源端进行通信的方法来识别伪造地址攻击包的方法。该方法在检验伪造地址包上具有较高的正确率，但缺点也很明显，由于其对收到的每个包都要进行cookie计算，容易遭受基于cookie验证的DDoS攻击。

发明内容

本发明所要解决的技术问题是提供一种针对DNS服务的DDoS攻击的检测方法和系统，其通过DNS服务端数据的采集和分析，使用非参数自适应CUSUM方法进行检测，能快速高效地检测出当前是否发生查询DDoS攻击或反弹DDoS攻击，并及时发出警报。

本发明是通过下述技术方案来解决上述技术问题的：一种针对DNS服务的DDoS攻击的检测方法，其特征在于，其包括以下步骤：

步骤一，采集受保护DNS服务器上的网络数据；

步骤二，对采集的网络数据，计算从外网返回的应答包总数和向外网发送的请求包总数，并转向步骤三；同时计算从DNS服务器流出的解析后的发往外网的应答数据流中域名解析成功数据包的总数和解析失败数据包的总数，并转向步骤四；

步骤三，使用非参数自适应CUSUM方法对步骤二的计算结果进行反弹DDOS攻击检测，若检测到反弹DDOS攻击，则转向步骤五；

步骤四，使用非参数自适应CUSUM方法对步骤二的计算结果进行查询DDOS攻击检测，若检测到查询DDOS攻击，则转向步骤五；

步骤五，若检测到反弹DDOS攻击或查询DDoS攻击，则生成报警信息并发出警报，报警信息中包含DDoS攻击的发生时间以及攻击的类型信息。

优选地，所述步骤三包括以下步骤：