CN106803824A - 一种针对随机域名查询攻击的防护方法 - Google Patents
一种针对随机域名查询攻击的防护方法 Download PDFInfo
- Publication number
- CN106803824A CN106803824A CN201611184032.7A CN201611184032A CN106803824A CN 106803824 A CN106803824 A CN 106803824A CN 201611184032 A CN201611184032 A CN 201611184032A CN 106803824 A CN106803824 A CN 106803824A
- Authority
- CN
- China
- Prior art keywords
- domain name
- queue
- nslookup
- class
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种针对随机域名查询攻击的防护方法,属于互联网域名技术领域,包括:将域名服务器收到的查询请求按照一定的规则进行分类;为各级请求分类分配处理优先级及CPU时间片;设定丢弃查询请求的策略。本发明提供的技术方案,在遭遇大量随机域名查询请求时,让域名服务器可以对攻击请求降权处理,改善对正常请求的负面影响。
Description
技术领域
本发明涉及互联网域名***领域,具体地说,是一种改善在遭遇随机域名查询攻击时,域名服务器受到负面影响的针对随机域名查询攻击的防护方法。
背景技术
DNS***的名称空间很大,这为其应用提供了便利,但同时也在应对DNS安全问题时带来了一些挑战。足够大的地址空间意味着可以构造足够多的随机域名,用来消耗原本应该用在对真实存在的域名解析的服务器资源。于是,一种称为胡乱域名(Non-senseNames)攻击的DoS攻击开始被使用。
胡乱域名(Non-sense Names)攻击通过向域名服务器发送大量随机生成的域名查询,来消耗服务器的资源,导致正常查询无法被及时处理,甚至不被处理,从而达成了拒绝服务攻击的目的。
当前已经实现的如servfail和IP/域名限速机制仍然会对一部分伪装成正常请求的流量敞开大门,黑名单方式对此类域名攻击并没有帮助,无法有效的实现对胡乱域名的查询的限制。
发明内容
为解决上述技术问题,本发明提供了一种针对随机域名查询攻击的防护方法,其特征在于,所述方法包括:
根据预设的分类策略对查询域名进行分类,得到至少一类域名队列;
根据预设的调度策略调度所述域名队列,并处理所述域名队列中的域名。
优选地,所述根据预设的分类策略对查询域名进行分类包括:
根据预设标准制定至少一条规则并设定对应的信息熵值;
将所述域名与所述规则逐条对比,若满足,则所述域名的熵值累加所述信息熵值;
根据所述域名的熵值确定其分类。
优选地,根据预设标准指定至少一条规则包括:
将所有混乱特征及规则都不满足的一类域名设定为标准,并设定其信息熵值为0;
根据所述标准制定至少一条规则。
优选地,所述根据预设的分类策略对查询域名进行分类还包括:
预设所述查询域名的分类数量;
根据不同的分类设定不同的处理优先级。
优选地,所述得到至少一类域名队列包括:
为每类域名分配单独的队列;
其中,所述队列中按照时间顺序保存所述域名的数据结构。
优选地,所述得到至少一类域名队列还包括:
在每个所述队列中,保存时间更早的域名设定为更高的处理优先级。
优选地,所述根据预设的调度策略调度所述域名队列包括:
为每个所述域名队列分配CPU时间配额的权重;
线程根据该权重选取对应的所述域名队列中的查询域名。
优选地,所述线程根据该权重选取对应的所述域名队列中的查询域名包括:
线程在处理前生成随机数;
根据该随机数选定所述域名队列。
优选地,所述方法还包括:
当选取的所述域名队列为空时,则选取优先级靠后且最接近本类的所述域名队列中的查询域名。
优选地,所述方法还包括:
当遍历至优先级最低的所述域名队列仍未确定查询域名时,线程回到初始状态,重新生成随机数选取所述域名队列。
与现有技术相比,本发明提供一种针对随机域名查询攻击的防护方法,通过利用不断发展的文本分类技术,帮助域名服务器根据域名质量对查询请求优化处理,改善受到的攻击的影响。同时兼顾存在分类过程中出现误判的风险,在服务器负载较高时对丢弃请求设定了条件。
附图说明
图1为本发明一优选实施例中针对随机域名查询攻击的防护方法流程图;
图2为本发明一优选实施例中根据预设的分类策略对查询域名进行分类的方法流程图;
图3为本发明一优选实施例中根据预设的调度策略调度域名队列的方法流程图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明作进一步详细描述。
随机域名的攻击方法是针对一台域名服务器发起大量随机生成的域名查询。通常攻击会有一定的针对性,所以生成的域名可能是在某一个区下的域名,如2dajhbn-xcna8o7wbgesw.1.com和8djeyvzsoe783owxbfj67395.1.com这样在1.com下的域名。
而服务器在完成查询前,几乎无从发现这些域名是否存在。若对这些域名进行了查询,则消耗了服务器的资源去做了并没有价值的事情。而黑名单方式对这种类型的攻击并没有帮助,因为在巨大的名称空间中可以有无穷无尽的随机域名可以被利用。此外,这些域名还可能对正常域名的缓存驻留造成影响。最终,服务器的资源被这些胡乱域名吞噬,正常用户的查询无法得到解析。
本发明实施例提供的对抗随机域名的方法,基于这样一个前提:随机域名与正常有意义的域名之间存在有些特征上的差别(例如字符被使用的概率分布)。基于该特征上的差别即可对所有得到的域名进行分类(classify)。
参照图1所示,本发明一优选实施例提供了一种针对随机域名查询攻击的防护方法,该方法包括:
S110、根据预设的分类策略对查询域名进行分类,得到至少一类域名队列。
该分类策略可以对不同的域名进行不同的分类,并且为分类后的域名设定不同等级的优先级处理顺序,待调用域名查询请求时,可以较为温和的对请求进行调用和丢弃。
具体地,参照图2所示,根据预设的分类策略对查询域名进行分类包括:
S210、根据预设标准制定至少一条规则并设定对应的信息熵值。
具体地,将所有混乱特征及规则都不满足的一类域名设定为标准,并设定其信息熵值为0;
根据标准制定至少一条规则。
其中,信息熵值较低为优先级别较高的,而且该熵值是一个域名的混乱程度的度量,该熵值将会决定域名最终被归到的分类,作为进行抵抗混乱域名攻击的依据。
S220、将域名与规则逐条对比,若满足,则域名的熵值累加信息熵值。
将所有的域名进行扫描,并将域名与设定的至少一条规则进行对比,若满足该规则,则将该规则设定的熵值累加至该域名的熵值上,若不满足该规则,则继续进行下一条规则的对比,直至对比完成,即可得到该域名的总的熵值。
S230、根据域名的熵值确定其分类。
对不同的熵值划分不同的分类,从而根据域名的熵值将其划分到对应的分类中,相应的,对应到不同的优先级处理等级。
基于文本分类技术,对域名进行分类。即可将所有混乱特征及规则都不满足的一类域名作为一个标准,设其信息熵(entropy)为0。
为制定的每条规则设定一个值,当域名满足该规则,就将其熵值累加。
可选的,在域名服务器收到查询请求并扫描域名的同时,会对它的熵值进行计算。
以BIND域名服务器的防护策略的为例,并且基于性能和降低实现复杂性方面的考虑,熵的计算方法是预定义的。
在设定域名的分类策略时,
预设所述查询域名的分类数量;
根据不同的分类设定不同的处理优先级。
具体地,策略将域名分为8类,编号为0到7,其中0类域名的混乱程度被认为是最低的,7类域名最为混乱。根据策略,0类域名拥有最高的处理优先级,7类的优先级最低。
当优先级较高和较低的域名同时大量涌入服务器时,优先级高的会被更快地处理,而优先级较低的则会延后处理甚至被丢弃。当收到的请求中域名的优先级相同时,即使是7类这样的域名也都可以被及时且正常地处理。
下面给出的分类与熵值的一个参考设定:
而熵的计算,会考察域名中:
1)字母与数字的交替出现次数,单次权重为16。出现2次以内的交替不进行计数,超出部分按实际次数计算熵。如aa11bb22.cn的交替次数为4次,最终这一项会使熵增加32(由16*(4-2)得到)。
2)数字与字母数量的比例,权重为16。条件为数字字符数量多于字母字符。
3)连续的元音字母数,权重为32。条件为连续元音字母超过3个。
4)连续的辅音字母数,权重为32。条件为连续辅音字母超过4个。
5)连续的数字字符数量,权重为32。条件为连续元数字字符超过5个。
6)中划线数量是否较多,权重为32。条件为中划线超过3个且占字符总量的一半及以上。
7)域名的label数量是否较多,权重为4。条件为域名label数量超过63个。
8)单个字符实际在本域名中出现的概率,在本域名中所有字符中的排名与标准概率(如网站alexa.com所统计的域名列表中的统计结果)排名表进行对照,得到的逆序数,单个逆序的权重为1。
对于编码过的域名,暂未提供具体分类,需要做实际的统计,来制定一个统一的分类级别。因为实际这样的域名查询出现的频率较低,所以舍弃对它们的级别的细分。
上面提到权重值就是满足条件时为域名累计的熵的值。上面列出的条目1和条目8可多次累计。这样,收到查询请求后,先对整个域名扫描一遍,求得其熵值,然后映射为一个分类并把它交给修改过的BIND任务***按优先级处理。
其中,得到至少一类域名队列包括:
为每类域名分配单独的队列,队列中按照时间顺序保存域名的数据结构。如果该队列中的域名容量达到最大值,则丢弃等待的域名。在优先级上,分类编号较低的具有更高的优先级。在队列内部,队首(时间上更早)域名具有的优先级更高。
S120、根据预设的调度策略调度域名队列,并处理域名队列中的域名。
选择使用一种调度算法,来对不同分类的域名查询请求进行分优先级处理,以增加一些容错。这样的调度算法会优先处理熵值较低的域名查询请求,而也会有一定概率对具有较低优先级分类的域名进行处理。当熵值较低的域名较少时,熵值较高的域名也会有更多的机会被处理。
具体地,参照图3所示,根据预设的调度策略调度域名队列包括:
S310、为每个域名队列分配CPU时间配额的权重。
具体地,给每个分类的队列分配一个CPU时间片配额的权重,用于影响每个队列被调度的频率。
S320、线程根据该权重选取对应的域名队列中的查询域名。
具体地,线程处理一个查询前,先生成随机数,落在特定的区间内,代表选取了该队列中的一个请求。以存在3个队列的情况为例,三个队列的权重分别是3,2和1,那么随机数选取的范围就是0到5这6个整数。0到2对应为队列1的区间,3到4对应队列2,最后的5对应队列3。
可选的,当选取的队列为空(无该类请求)时,选择优先级靠后且最接近本类的队列中的请求。若遍历到编号最高的队列仍未找到请求。线程会回到初始状态,重新生成随机数再次选取。这样就实现了,在认为没有更高品质域名查询时,当前查询可具有高优先级。
在处理域名队列中的域名时,在理想情况下,随机域名请求会有比较低的优先级,不会影响优质域名(熵值较低)的查询请求。并且只有在更优质的域名请求量也很大时,相对品质较低的域名请求才会被丢弃。
本发明实施例提供的一种针对随机域名查询攻击的防护方法,通过对查询域名的分类和调度,可以将一定的随机域名从请求队列中剥离并实现丢弃等处理;通过优先级处理,可以增加处理的容错,使用较为温和的方式对请求进行丢弃,帮助域名服务器根据域名质量对查询请求优化处理,改善受到攻击的影响。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种针对随机域名查询攻击的防护方法,其特征在于,所述方法包括:
根据预设的分类策略对查询域名进行分类,得到至少一类域名队列;
根据预设的调度策略调度所述域名队列,并处理所述域名队列中的域名。
2.根据权利要求1所述的方法,其特征在于,所述根据预设的分类策略对查询域名进行分类包括:
根据预设标准制定至少一条规则并设定对应的信息熵值;
将所述域名与所述规则逐条对比,若满足,则所述域名的熵值累加所述信息熵值;
根据所述域名的熵值确定其分类。
3.根据权利要求2所述的方法,其特征在于,根据预设标准指定至少一条规则包括:
将所有混乱特征及规则都不满足的一类域名设定为标准,并设定其信息熵值为0;
根据所述标准制定至少一条规则。
4.根据权利要求1所述的方法,其特征在于,所述根据预设的分类策略对查询域名进行分类还包括:
预设所述查询域名的分类数量;
根据不同的分类设定不同的处理优先级。
5.根据权利要求1所述的方法,其特征在于,所述得到至少一类域名队列包括:
为每类域名分配单独的队列;
其中,所述队列中按照时间顺序保存所述域名的数据结构。
6.根据权利要求5所述的方法,其特征在于,所述得到至少一类域名队列还包括:
在每个所述队列中,保存时间更早的域名设定为更高的处理优先级。
7.根据权利要求1所述的方法,其特征在于,所述根据预设的调度策略调度所述域名队列包括:
为每个所述域名队列分配CPU时间配额的权重;
线程根据该权重选取对应的所述域名队列中的查询域名。
8.根据权利要求7所述的方法,其特征在于,所述线程根据该权重选取对应的所述域名队列中的查询域名包括:
线程在处理前生成随机数;
根据该随机数选定所述域名队列。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
当选取的所述域名队列为空时,则选取优先级靠后且最接近本类的所述域名队列中的查询域名。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
当遍历至优先级最低的所述域名队列仍未确定查询域名时,线程回到初始状态,重新生成随机数选取所述域名队列。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611184032.7A CN106803824A (zh) | 2016-12-19 | 2016-12-19 | 一种针对随机域名查询攻击的防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611184032.7A CN106803824A (zh) | 2016-12-19 | 2016-12-19 | 一种针对随机域名查询攻击的防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106803824A true CN106803824A (zh) | 2017-06-06 |
Family
ID=58984016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611184032.7A Pending CN106803824A (zh) | 2016-12-19 | 2016-12-19 | 一种针对随机域名查询攻击的防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106803824A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194605A (zh) * | 2018-07-02 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和*** |
| CN114726625A (zh) * | 2022-04-08 | 2022-07-08 | Oppo广东移动通信有限公司 | 检测方法及装置、服务器及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854404A (zh) * | 2010-06-04 | 2010-10-06 | 中国科学院计算机网络信息中心 | 检测域名***异常的方法和装置 |
| US20110185425A1 (en) * | 2010-01-22 | 2011-07-28 | National Taiwan University Of Science & Technology | Network attack detection devices and methods |
| CN102882881A (zh) * | 2012-10-10 | 2013-01-16 | 常州大学 | 针对dns服务的拒绝服务攻击的数据过滤方法 |
| CN103001825A (zh) * | 2012-11-15 | 2013-03-27 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和*** |
| CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
-
2016
- 2016-12-19 CN CN201611184032.7A patent/CN106803824A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110185425A1 (en) * | 2010-01-22 | 2011-07-28 | National Taiwan University Of Science & Technology | Network attack detection devices and methods |
| CN101854404A (zh) * | 2010-06-04 | 2010-10-06 | 中国科学院计算机网络信息中心 | 检测域名***异常的方法和装置 |
| CN102882881A (zh) * | 2012-10-10 | 2013-01-16 | 常州大学 | 针对dns服务的拒绝服务攻击的数据过滤方法 |
| CN103001825A (zh) * | 2012-11-15 | 2013-03-27 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和*** |
| CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 郑黎明 等: "基于多维熵值分类的骨干网流量异常检测研究", 《计算机研究与发展》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194605A (zh) * | 2018-07-02 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和*** |
| CN109194605B (zh) * | 2018-07-02 | 2020-08-25 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和*** |
| CN114726625A (zh) * | 2022-04-08 | 2022-07-08 | Oppo广东移动通信有限公司 | 检测方法及装置、服务器及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8561167B2 (en) | Web reputation scoring | |
| US9544272B2 (en) | Detecting image spam | |
| US8578051B2 (en) | Reputation based load balancing | |
| RU2541123C1 (ru) | Система и способ определения рейтинга электронных сообщений для борьбы со спамом | |
| US9009321B2 (en) | Multi-dimensional reputation scoring | |
| US7949716B2 (en) | Correlation and analysis of entity attributes | |
| US7937480B2 (en) | Aggregation of reputation data | |
| US8959644B2 (en) | Use of popularity information to reduce risk posed by guessing attacks | |
| US20080175226A1 (en) | Reputation Based Connection Throttling | |
| US20200380395A1 (en) | Machine learning and validation of account names, addresses, and/or identifiers | |
| US20090222917A1 (en) | Detecting spam from metafeatures of an email message | |
| US20110191847A1 (en) | Activity filtering based on trust ratings of network entities | |
| JP2017530481A (ja) | 不審なホストネームを識別するシステム及び方法 | |
| CN108259450A (zh) | 基于信誉的应用高速缓存和加入白名单 | |
| WO2010123623A2 (en) | System and method for developing a risk profile for an internet resource | |
| Venkataraman et al. | Exploiting network structure for proactive spam mitigation | |
| AU2008207924A1 (en) | Web reputation scoring | |
| CN106803824A (zh) | 一种针对随机域名查询攻击的防护方法 | |
| Sanchez et al. | Blocking spam by separating end-user machines from legitimate mail server machines | |
| CN105378746B (zh) | 信息提供装置、信息提供方法 | |
| CN106331066B (zh) | 电子设备及信息处理方法 | |
| Mariconti et al. | Why allowing profile name reuse is a bad idea | |
| JP2010191693A (ja) | 電子メール送信ホスト分類システムおよび電子メール送信ホスト分類方法ならびにそのためのプログラム | |
| CN111131285B (zh) | 一种针对随机域名攻击的主动防护方法 | |
| CN109617925B (zh) | 一种针对网络攻击的防护、区间标记的设置方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170606 |