[发明专利]基于Spark Streaming的DNS水刑攻击处理方法及系统

说明书

本发明提供了一种基于Spark Streaming的DNS水刑攻击处理方法及系统，包括：在待保护的递归服务器上采集实时解析请求，将采集的实时解析请求转换为第一消息，基于Spark Streaming以预设时间间隔提取出第一消息的特征，将提取出的第一消息的特征输入预先构建的随机森林模型，基于随机森林模型对第一消息的特征进行识别，识别出实时解析请求中的水刑攻击请求，将水刑攻击请求所对应的客户端网络地址添加至系统防火墙黑名单。本发明能够在递归服务器层级过滤水刑攻击请求，阻止水刑攻击请求进入递归解析阶段，对保证权威服务器的安全性与稳定性有重要作用。

技术领域

本发明属于DNS(Domain Name System，域名系统)技术领域，尤其涉及一种基于Spark Streaming的DNS水刑攻击处理方法及系统。

背景技术

域名系统是互联网的基石，负责维护计算机网络中主机的信息，域名系统的安全性和可用性具有十分重要的意义。

水刑攻击是一种针对域名系统的DDoS(Distributed Denial of Service，分布式拒绝服务)攻击。在水刑攻击中，攻击者控制僵尸网络中的主机向目标权威域名服务器发送海量域名查询请求，这些请求经过域名系统解析，经过各级权威服务器，最终到达权威域名服务器，权威域名服务器因无法响应海量的查询请求而服务终止，水刑攻击成功。

以往针对水刑攻击的检测方法主要包括：基于流量波动的检测方法、基于编辑距离的检测方法、基于DNS图挖掘的检测方法以及基于组行为特征的检测方法等。但这些检测方法检测效果不理想，并且不能做到对实时攻击请求的压制。

发明内容

有鉴于此，本发明提供了一种基于Spark Streaming的DNS水刑攻击处理方法，能够在递归服务器层级过滤水刑攻击请求，阻止水刑攻击请求进入递归解析阶段，对保证权威服务器的安全性与稳定性有重要作用。

为了实现上述目的，本发明提供如下技术方案：

一种基于Spark Streaming的DNS水刑攻击处理方法，包括：

在待保护的递归服务器上采集实时解析请求，将采集的所述实时解析请求转换为第一消息；

基于Spark Streaming以预设时间间隔提取出所述第一消息的特征；

将提取出的所述第一消息的特征输入预先构建的随机森林模型；

基于所述随机森林模型对所述第一消息的特征进行识别，识别出所述实时解析请求中的水刑攻击请求；

将所述攻击请求所对应的客户端网络地址添加至系统防火墙黑名单。

优选地，所述方法还包括：

获取历史水刑攻击的攻击日志；

对所述攻击日志进行预处理，提取特征，生成训练数据；

基于所述训练数据训练得到第一随机森林模型；

验证所述第一随机森林模型，根据验证结果，对所述第一随机森林模型的参数进行调整，生成所述预先构建的随机森林模型。

优选地，所述在待保护的递归服务器上采集实时解析请求，将采集的所述实时解析请求转换为第一消息包括：

基于软件Kafka在待保护的递归服务器上采集实时解析请求，将采集的所述实时解析请求转换为第一消息。

优选地，所述验证所述第一随机森林模型，根据验证结果，对所述第一随机森林模型的参数进行调整，生成所述预先构建的随机森林模型包括：

基于5折交叉验证的方式验证所述第一随机森林模型，根据验证结果，对所述第一随机森林模型的参数进行调整，生成所述预先构建的随机森林模型。