[发明专利]DNS服务器异常检测的方法及装置

说明书

技术领域

本发明涉及一种通信技术，尤其涉及DNS服务器异常检测的方法及装置。

背景技术

域名系统（Domain Name System，DNS服务器）是互联网基础设置提供的一种核心服务，该DNS服务器是将域名和IP地址相互映射成一个分布式数据库，以及实现域名和网络可以识别的IP地址转换功能的软件系统。DNS服务器在运行过程中存在许多潜在的缺陷和漏洞，这些缺陷和漏洞可能会影响DNS服务器的正常运行，降低服务质量。例如可能存在多种因素造成DNS服务器系统的查询数据、使用数据、应答数据等功能的使用异常。这些因素包括：（1）DNS服务器攻击，例如拒绝服务攻击、DNS服务器反射攻击、缓存污染以及域名劫持等等；（2）配置错误，例如系统管理员对防火墙或DNS服务器的配置错误，会产生大量的垃圾查询，如A-for-A（一对一）查询、RFC（Request For Comments，一系列以编号排定的文件）1918PTR（反向查询）查询、未知TLD（Top Level Domain，顶级域名）查询等；（3）网络舆情，由于互联网具有虚拟性、隐蔽性、发散性、渗透性和随意性等特点，越来越多的网民愿意通过网络渠道来表达观点和传播思想。为了保证DNS服务器的正常服务，对DNS服务器进行异常检测就十分必要。

现有技术中的DNS服务器异常检测方法主要是基于流量的方式。正常情况下，流经DNS服务器的流量在用户的行为模式影响下会有规律地波动，但都维持在一个稳定的范围内，当超出了这个范围，通常是超出预设阈值时，就会被认为是DNS服务器异常，进而会进行相应的操作，例如增加服务器数量或者对具有某些特征的流量进行过滤，从而消除异常对DNS服务器的影响，保证服务器质量。

但是在流量超出阈值之前，其实异常就已经发生，只不过异常的特征还没有体现在流量上。当流量超过预设阈值以后，其实异常已经到了一个十分严重的地步，已经大大影响了DNS服务器的正常运行。因此，如何及时检测出DNS服务器异常，成为亟需解决的问题。

发明内容

本发明提供一种DNS服务器异常检测的方法及装置，用于及时检测出DNS服务器的异常。

本发明的第一个方面是提供一种DNS服务器异常检测的方法，包括：

获取预设时间段内访问DNS服务器的各检测参数的访问时间和各所述检测参数的访问频率，所述检测参数为IP地址或域名；

根据各访问时间和各访问频率获取卡方统计值，并根据所述卡方统计值和历史卡方值判断所述DNS服务器是否出现异常。

如上所述的DNS服务器异常检测的方法，优选地，所述根据所述卡方统计值和历史卡方值判断所述DNS服务器是否出现异常包括：

当所述卡方统计值与所述历史卡方值的差值超过预设阈值时，判断所述DNS服务器出现异常并发出报警信息。

如上所述的DNS服务器异常检测的方法，优选地，获取预设时间段内访问DNS服务器的各检测参数的访问时间和各所述检测参数的访问频率包括：

在预设时间段内，当检测参数出现时，获取该检测参数对应记录的访问时间和访问频率；

将访问频率与公式exp[age1·ln(0.5)/halflife2]相乘，并将最终结果加1后更新为访问频率；

其中，age1为同一检测参数本次出现距离上一次出现的时间间隔，halflife1为第一半衰期。

如上所述的DNS服务器异常检测的方法，优选地，在所述获取访问DNS服务器的各检测参数和各检测参数的访问频率之后还包括：

根据所述访问频率对所述检测参数进行分组处理。

如上所述的DNS服务器异常检测的方法，优选地，根据所述访问频率对所述检测参数进行分组处理包括:

将所述访问频率最高的检测参数划分为第一组；

将所述访问频率位于第2位至第5位的检测参数划分为第二组；

将所述访问频率位于第6位至21位的检测参数划分为第三组；

将所述访问频率位于第22位至第227位的检测参数划分为第四组；

将剩余的检测参数划分为第五组。

如上所述的DNS服务器异常检测的方法，优选地，所述根据所述访问时间和所述访问频率获取卡方统计值包括：

根据所述各所述访问频率获取各组的访问频率总和；

根据所述各组的访问频率总和以及所述上一预设时间段内各组的已知期望值获取本预设时间段内各组的期望值；

根据所述各组的期望值和所述各组访问频率总和获取所述卡方统计值。