[发明专利]一种DNS放大攻击的检测与过滤方法

说明书

技术领域

本发明涉及互联网攻击检测与过滤领域，特别涉及一种DNS放大攻击的检测与过滤方法。

背景技术

DNS放大攻击是一种利用DNS服务器缓存功能的反射攻击。其攻击流程为：攻击者入侵具有Internet漏洞的权威域名服务器，并注册大型文件；攻击者控制僵尸电脑伪造源IP地址(受害者IP地址)并向缓存域名服务器发送查询请求；缓存域名服务器向权威域名服务器发送请求并获取上述大型文件；缓存域名服务器向受害者发送大型记录信息。以这种方式，达到攻击受害者的目的。

目前，针对DNS放大攻击的研究主要有：Paul等介绍了一种通过响应速率(请求与响应之间的对应关系)来限制DNS放大攻击的方法。当响应频率超过一定阈值时，将停止接受查询；如果该值低于阈值，则DNS服务器将再次恢复工作；由于这种操作，响应的频率将会降低。即，这种机制确保每个查询的频率不超过阈值，因此可以减少DNS放大攻击的效果，但是需要确定每个DNS服务器的阈值，且容易影响正常用户的使用；倪等人提出了一种基于时间序列的方法来检测DNS放大攻击，但是此方法仅仅以递归应答报文和发送的请求报文之间的比例关系作为判断依据，当存在正常用户请求大型文件导致比例增加时，会大大增加误报率；Vernon提出基于IP-域名的多层级限速的方法来限制DNS放大攻击，此方法能够有效实现对域名服务系统的防护，但是需要设立多个层级来过滤数据包，不能够快速有效的检测出攻击，实时性较差。上述研究均提出了对DNS放大攻击的检测方法，但在检测出攻击的基础上并没有做出后续的处理，并未实质性地消除受害者受到的危害。

发明内容

本发明所要解决的技术问题是针对背景技术的缺陷，提出一种DNS放大攻击的检测与过滤方法，实现如何实质性地减小受害者的受损程度。

本发明的上述技术问题是通过以下技术方案得以实现的：

一种DNS放大攻击的检测与过滤方法，其特征是：包括以下步骤：

检测：选取并分析发生DNS放大攻击时的特征，以单位时间内的数据量作为计算项，通过k-means++算法进行聚类分析，判断是否发生攻击；

过滤：如果检测步骤中判断发生攻击，通过HOP-count信息，过滤流向受害者的攻击流量。

进一步的，在检测步骤中，选取的特征包括：请求速率、信息增益比和源IP熵。

进一步的，分析发生DNS放大攻击时的特征包括以下步骤：

步骤1：设置时间间隔t；

步骤2：计算t时间间隔内的请求速率F；

步骤2.1：定义request_all为t时间间隔内的总请求数；

步骤2.2：求出t时间间隔内的请求速率为：

步骤3：计算t时间间隔内的信息增益比G；

步骤3.1：定义response_tra为t时间间隔内的响应流量的总大小；

步骤3.2：定义request_tra为t时间间隔内的请求流量的总大小；

步骤3.3：求出t时间间隔内的信息增益比：

步骤4：计算t时间间隔内的源IP熵值；

步骤4.1：对源IP序列引入滑动窗口机制，取窗口大小为m；

步骤4.2：计算窗口内每个源IP概率，记为P＝{Pi，i＝1，2，…，l}；利用公式1计算窗口中源IP的熵值；

步骤4.3：取出当前窗口第一个源IP出现的次数以及概率P1；

步骤4.4：滑动窗口后移一项，即：将原窗口第一项移除，将原第m+1项移入窗口,重新计算P1；同时计算新移入的源IP的概率；

步骤4.5：根据以上步骤，对每个滑动窗口均可计算当前窗口内的源IP熵值,以得到一系列熵值，记为：{Hi,i＝1,2,…,t},t表示滑动窗口总数。

进一步的，在检测步骤中，通过k-means++算法进行聚类分析包括以下步骤：

步骤1：基于求得的特征，对于每一个新数据，利用k-means++算法进行聚类分析，判断其属于正常类还是攻击类，从而判断是否发生DDoS放大攻击；

步骤1.1：提取上述特征作为样本，用于训练；

步骤1.2：利用k-means++算法对上述样本进行聚类；

步骤1.3：获取待检测样本点Yi；

步骤1.4：计算此样本点与k个聚类中心的距离，求得最小距离min_dis，则此样本暂属于该簇；