CN107124434-CN201710546304-一种DNS恶意攻击流量的发现方法及系统.pdfVIP

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 107124434 A (43)申请公布日 2017.09.01 (21)申请号 201710546304.1 (22)申请日 2017.07.06 (71)申请人 中国互联网络信息中心 地址 100190 北京市海淀区中关村南四街 四号1号楼 (72)发明人 刘明星　张跃冬　黄永厚　冷峰　 覃宇　 (74)专利代理机构 北京君尚知识产权代理事务 所(普通合伙) 11200 代理人 余长江 (51)Int.Cl. H04L 29/06(2006.01) H04L 29/12(2006.01) 权利要求书2页 说明书7页 附图2页 (54)发明名称 一种DNS恶意攻击流量的发现方法及系统 (57)摘要 本发明公开一种DNS恶意攻击流量的发现方 法，通过对已知规模的DNS流量进行检测，依次分 析其数据报流量及所含的DNS请求域名是否合 法，更进一步提取并分析各DNS流量指标，能够快 速准确地判断是否为恶意域名和恶意IP地址；通 过分析DNS流量的IP地址和域名的关联关系，递 归发现更多的恶意域名和恶意IP地址，从而对攻 击DNS服务器的恶意流量实现更加精确的定位。 本发明还公开一种DNS恶意攻击流量的发现系 统，包括数据报流量获取模块、危险发现模块、流 量指标计算模块以及恶意分析模块。 A 4 3 4 4 2 1 7 0 1 N C CN 107124434 A 权　利　要　求　书 1/2页 1.一种DNS恶意攻击流量的发现方法，适用于对已知规模的DNS流量进行检测，步骤包 括： 检测发送给DNS服务器的数据报流量； 如果所述数据报流量相对于所述DNS服务器非法，则提取恶意域名和恶意IP地址； 如果所述数据报流量相对于所述DNS服务器合法，则检测所述数据报流量包含的DNS请 求域名，如果所述DNS请求域名非法，则判定所述数据报流量的IP地址为恶意IP地址，所述 DNS请求域名为恶意域名； 如果所述DNS请求域名合法，则从所述数据报流量中提取DNS流量指标，当所述DNS流量 指标中的一项或几项异常时，所述DNS请求域名判定为恶意域名，所述数据报流量的IP地址 判定为恶意IP地址； 查找访问所述恶意域名的IP地址和所述恶意IP地址访问的域名，并判断是否为恶意IP 地址和恶意域名，如果是，则继续查找所述判定的恶意IP地址访问的域名和访问所述判定 的恶意域名的IP地址并做出判断，直至满足退出条件。 2.根据权利要求1所述的方法，其特征在于，所述数据报相对于DNS服务器非法是指，所 述数据报使用的协议不是基于TCP或UDP运输层协议报文；或者使用的端口不是TCP53端口 或UDP53端口；或者运输层包体部分不符合DNS协议，包括没有合适的DNS包头或DNS包体；或 者DNS请求包里设置有qr字段。 3.根据权利要求1所述的方法，其特征在于，所述DNS请求域名非法是指所述DNS请求域 名不属于所述DNS服务器的服务范围或不符合DNS国际标准；合法是指所述DNS请求域名属 于所述DNS服务器的服务范围且符合DNS国际标准。 4.根据权利要求1所述的方法，其特征在于，所述DNS流量指标包括DNS请求率、DNS服务 器响应时间、DNS响应包大小。 5.根据权利要求4所述的方法，其特征在于，所述DNS流量指标异常包括： 所述DNS请求率超过平时平均值的至少2倍，或者比其他域名或者IP地址的请求率大至 少10倍；