CN102882881A - 针对dns服务的拒绝服务攻击的数据过滤方法 - Google Patents

Abstract

本发明公开了一种针对DNS服务的拒绝服务攻击的数据过滤方法，其包括以下步骤：步骤一，捕获DNS服务器的网络数据样本；步骤二，对捕获的网络数据样本提取特征属性；步骤三，确定时间函数，时间函数是一个时间分段函数；步骤四，根据捕获的网络数据样本构建正常流和攻击流的训练数据矩阵；步骤五，继续实时捕获DNS服务器上的流量数据包，通过贝叶斯分类器对其进行分类检测；步骤六，对分类结果进行过滤；若判断该数据流是攻击流，则全部丢弃；若判断数据流是正常流，则根据DNS服务器的拥塞情况采取基于分类概率的过滤方法；步骤七，转向步骤五。本发明检测出拒绝服务攻击流后进行过滤处理，消除拒绝服务攻击对DNS服务器的影响。

Description

针对DNS服务的拒绝服务攻击的数据过滤方法

技术领域

本发明属于网络安全技术领域，特别是涉及一种针对DNS服务的拒绝服务攻击的数据过滤方法。

背景技术

DNS(domain name system，域名系统)是互联网关键基础设施也是互联网安全的薄弱环节。由于DNS协议设计之初存在着缺陷以及DNS服务器自身存在查询能力有限的缺点，DNS服务器成为黑客发动拒绝服务攻击的主要目标之一。拒绝服务攻击通过主控机控制网络上的傀儡机同时向攻击目标发动攻击，耗尽服务器资源。这种攻击的实质是使服务器处理超过其正常限度的数据量，因此实施监控和分析这些数据量的变化，区分正常和异常的数据，是拒绝服务攻击检测和防护的有效途径。

目前，针对DNS的拒绝服务攻击还没有有效的解决方法，现有的拒绝服务攻击检测和防御方法不能满足DNS服务保护的要求，例如对单个IP攻击检测和过滤，其在IPv6中严重失效；仅根据最近几个时间片的访问情况来检测和防御攻击，其精度不高；采用高性能的网络设备或保证充足的网络带宽，其经济成本太高；增强操作系统的TCP/IP协议栈，其效果较差。在现有的针对DNS的拒绝服务攻击的防御方法中，大多是以被动防御的方式防范拒绝服务攻击，存在不能有效地对拒绝服务攻击进行主动检测和过滤的问题，使得拒绝服务攻击的防御成本较高且防御性差。

为了解决上述问题，在针对DNS中对拒绝服务攻击的防御方法中引入贝叶斯方法，可以很好地实现拒绝服务攻击的检测和过滤问题，在很大程度上缓解上述问题导致的负面影响。贝叶斯方法基于统计学，它的特点是使用概率去表示所有形式的不确定性，学习或其它形式的推理都用概率规则来实现。根据贝叶斯方法所构建的分类器在处理大规模数据方面已有许多成功应用，它的优点是分类结果明了，时间复杂度仅为线性，空间复杂度低。

发明内容

本发明所要解决的技术问题是提供一种针对DNS服务的拒绝服务攻击的数据过滤方法，其主动检测出拒绝服务攻击流后进行过滤处理，消除拒绝服务攻击对DNS服务器的影响，并根据正常流的分类概率实现对DNS服务器的拥塞控制。

本发明是通过下述技术方案来解决上述技术问题的：一种针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，其包括以下步骤：

步骤一，捕获DNS服务器的网络数据样本；

步骤二，对捕获的网络数据样本提取特征属性；

步骤三，确定时间函数，时间函数是一个时间分段函数，表示步骤二中特征属性的特征值在某个时间段上的约束阈值条件；

步骤四，根据捕获的网络数据样本构建正常流和攻击流的训练数据矩阵；

步骤五，继续实时捕获DNS服务器上的流量数据包，通过贝叶斯分类器对其进行分类检测；

步骤六，对分类结果进行过滤；若判断该数据流是攻击流，则全部丢弃；若判断数据流是正常流，则根据DNS服务器的拥塞情况采取基于分类概率的过滤方法；

步骤七，转向步骤五。

优选地，所述步骤二中提取的特征属性包括单位时间内平均查询量、源IP地址的熵值、域名长度的熵值、递归查询的比例、IP地址总数、有效应答包比例、源端口53的查询数量。

优选地，所述步骤四中的训练数据矩阵每一行表示一个状态实例，每一列表示一个状态实例的属性参数，矩阵的每一个元素表示一个状态实例中某个属性上的值。

优选地，所述步骤五的贝叶斯分类器的分类方法包括以下步骤：

步骤五十一，计算概率p(x_n|C_i)和类的先验概率p(C_i)的值

类的先验概率p(C_i)采用经过Laplace修正过的概率公式如下式：

其中，N_lc是类标属性值为C_i的样本个数，N_c是类的个数，N_l是训练集的总样本个数；

概率p(x_n|C_i)也采用经过Laplace修正过的概率公式如下式：

$p\left(x_n\right|C_i)=\frac{N_{\mathrm{ic}}+1/n_i}{N_{\mathrm{lc}}+1}$

N_ic是类C_i中属性A_i的值为x_t的样本个数，N_lc是类标属性值为C_i的样本个数，n_i是离散属性A_i的属性个数；

其中，N_lc、N_c、N_l和N_ic的值使用步骤三得到的数据矩阵来计算而得；

步骤五十二，计算概率p(X|C_i)的值

假设在属性间不存在依赖关系，p(X|C_i)＝p(x₁|C_i)p(x₂|C_i)…p(x_n|C_i)；

步骤五十三，实现分类并打上分类标签

设C1为正常流，C2是攻击流；若p(X|C₁)p(C₁)hc₁(t)＞p(X|C₂)p(C₂)hc₂(t)，则判断该数据流是正常流；否则，判断该数据流是攻击流。

优选地，所述步骤六中的基于分类概率的过滤方法包括以下步骤：

若当前正常流的总数据量小于或等于DNS服务器每秒最大处理数据量，则把正常流都发送至服务器；

若当前正常流的总数据量大于DNS服务器每秒最大处理数据量，则根据步骤五计算得到的分类概率为每个正常流设置发送概率，并每个正常流按照发送概率发送至服务器。

本发明的积极进步效果在于：一、本发明采用贝叶斯方法的学习功能，能发现大量变量之间的关系，对数据进行预测、分类，建立起贝叶斯分类器，然后通过分类器来分析网络异常。该方法具有方法灵活、智能程度高、判断准确的优点。二、本发明能根据计算的分类概率进行数据的过滤，有效分离了攻击数据，并对正常数据按照一定的概率过滤，实现了对DNS服务器的拥塞控制，计算量和部署成本低，控制效果好。

附图说明

图1为本发明针对DNS服务的拒绝服务攻击的数据过滤方法的流程图。

图2为本发明中时间函数hc_i(t)的示意图。

图3为本发明中数据矩阵的格式示意图。

具体实施方式

下面结合附图给出本发明较佳实施例，以详细说明本发明的技术方案。

图1示出了本发明提出的针对DNS服务的拒绝服务攻击的数据过滤方法的流程图，具体的实施步骤是：

步骤一，捕获DNS服务器的网络数据样本。

从DNS服务器端交换机的镜像端口获取服务器的网络数据流，并存入到数据文件中。

步骤二，对捕获的网络数据样本提取特征属性。

（1）提取特征属性

步骤一捕获的网络数据包信息包括各类数据包的数量、源IP地址和目的IP地址的统计信息、数据包类型(请求或应答)统计信息等。根据所述DNS服务器的流量信息，提取反映拒绝服务攻击特征的属性。本发明提取的特征属性有七个，包括：

1.1单位时间内平均查询量，通过一秒内的查询量进行平均计算来获得。

1.2源IP地址的熵值。通过查询报文中出现不同IP地址的总数计算其熵值，计算公式为式（1）：

$H\left(X\right)=-\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{p}_i{\log }_2{p}_i...\left(1\right)$

其中特征值X为源IP地址的状态空间(x₁,x₂,…,x_n)，n为一个时间窗内不同IP地址的总数，IP地址xi出现的概率为p_i，而且

1.3域名长度的熵值。通过域名的长度计算其熵值，计算公式为式（2）：

$H\left(Y\right)=-\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{q}_i{\log }_2{q}_i...\left(2\right)$

其中y为域名长度的状态空间(y₁,y₂,…,y_n)，n为一个时间窗内不同域名长度的总数，域名长度y_i出现的概率为q_i，而且

1.4递归查询的比例。通过计算DNS服务器收到的递归应答报文和发送的递归查询报文的比例来获得。

1.5IP地址总数。通过计算一秒内发出DNS查询请求的IP地址的总数来获得。

1.6有效应答包比例。通过计算DNS服务器发出的有效应答记录和收到的查询记录的比例来获得。

1.7源端口53的查询数量。通过计算将源端口号设置为53的查询的报文总数来获得。

（2）特征属性离散化处理，方法如下：对于其中记录的数据流量及变化率的连续属性，按照划分等宽区间的方法进行离散化，划分区间的标准为类别属性取值的个数。如类属性C有m个取值，连续属性Ai的离散化方法为，计算最大值max(A_i)和最小值min(A_i)，区间宽度(max(A_i)-min(A_i))/m。这样，每个网络数据样本用一个n维特征值X=(x₁,x₂,…,x_n)表示，分别描述对n个属性A₁,A₂,…,A_n的度量。一般控制每一属性数据值在100个左右。

步骤三，确定时间函数h_ci(t)。h_ci(t)是一个时间分段函数，它表示步骤二中特征属性的特征值X在某个时间段上的约束阈值条件。

如图2所示，在某些时间段内（如网络空闲时），h_c1(t)的值小于h_c2(t)的值，即弱化了正常情况下分类概率，使攻击情况不易被大量正常数据包所淹没；在某些时间段内（如网络繁忙时），h_c1(t)的值大于h_c2(t)的值，即加强了正常情况下分类概率，不至于将正常数据包淹没在攻击数据包中。h_ci(t)函数根据DNS服务器在不同时间段的访问情况而设定，用于调节不同时间段的后验概率p(C_i|X)的大小。

步骤四，根据捕获的网络数据样本构建正常流和攻击流的训练数据矩阵。

如图3所示，按照特征属性项分解归类形成一个训练数据矩阵，其中每一行表示一个状态实例，图中用T_i表示；每一列表示一个状态实例的属性参数，图中用A_i表示；矩阵的每一个元素表示一个状态实例中某个属性上的值，图中用S_ij表示。正常流数据矩阵中每一行表示一个正常状态的实例；攻击流矩阵中每一行表示一个攻击状态的实例，并将数据矩阵按照时间函数进行分组。

步骤五，继续实时捕获DNS服务器上的流量数据包，通过贝叶斯分类器对其进行分类检测。

贝叶斯分类器的分类方法如下：

（1）计算概率p(x_n|C_i)和类的先验概率p(C_i)的值

类的先验概率p(C_i)采用经过Laplace修正过的概率公式如下式（3）：

$p\left(C_i\right)=\frac{N_{\mathrm{lc}}+1/N_c}{N_l+1}...\left(3\right)$

其中，N_lc是类标属性值为C_i的样本个数，N_c是类的个数，N_l是训练集的总样本个数。概率p(x_n|C_i)也采用经Laplace修正过的概率公式如下式（4）：

$p\left(x_n\right|C_i)=\frac{N_{\mathrm{ic}}+1/n_i}{N_{\mathrm{lc}}+1}...\left(4\right)$

N_ic是类C_i中属性A_i的值为x_t的样本个数，N_lc是类标属性值为C_i的样本个数，n_i是离散属性A_i的属性个数。其中，N_lc、N_c、N_l和N_ic的值使用步骤三得到的数据矩阵来计算而得。

（2）计算概率p(X|C_i)的值

假设在属性间不存在依赖关系，p(X|C_i)＝p(x₁|C_i)p(x₂|C_i)…p(x_n|C_i)。

（3）实现分类并打上分类标签

设C1为正常流，C2是攻击流。若p(X|C₁)p(C₁)hc₁(t)＞p(X|C₂)p(C₂)hc₂(t)，则判断该数据流是正常流；否则，判断该数据流是攻击流。

对于不同类型的数据流中的数据包打上各自类别的标签。如果是正常流，在类别标签中加入计算得到的概率值，即p(X|C₁)p(C₁)hc₁(t)的值。给数据包加标签可通过使用软件或硬件来实现，也可以通过自定义的包标记方法来实现。

步骤六，对分类结果进行过滤。

若判断该数据流是攻击流，则全部丢弃；若判断数据流是正常流，则根据DNS服务器的拥塞情况采取基于分类概率的过滤方法。

基于分类概率的过滤方法具体的步骤包括：

设当前DNS服务器每秒最大处理数据量是A；当前正常流的总数据量是r(t)；根据p(X|C₁)p(C₁)hc₁(t)的值为每个正常流设置发送概率w_i，公式如下式（5）：

$w_i=\left\{\begin{array}{cc}1& \frac{A*w_i}{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{w}_i}>1\\ \frac{A*w_i}{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{w}_i}& \frac{A*w_i}{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{w}_i}<=1\end{array}\right....\left(5\right)$

若r(t)≤A，则把正常流都发送给DNS服务器。

若r(t)>A，则根据步骤五计算得到的分类概率为每个正常流设置发送概率，并每个正常流按照概率w_i发送至服务器。

步骤七，转向步骤五。步骤一至步骤四完成后可长期使用，即建立一种模型，步骤五、步骤六进行实时检测。

综上所述，本发明通过使用基于时间函数的贝叶斯方法来进行数据流的分类，贝叶斯分类器将计算代表网络数据样本的特征值X属于每个类别C_i的概率，样本X被划分为C_i类当且仅当p(C_i|X)＞p(C_j|X)，i≠j。当主动检测出拒绝服务攻击流后进行过滤处理，消除拒绝服务攻击对DNS服务器的影响，并根据正常流的分类概率实现对DNS服务器的拥塞控制。

以上所述的仅是本发明的优选实施方式，本发明不限于以上实施例。可以理解，本领域技术人员在不脱离本发明的精神和构思的前提下直接导出或联想到的其他改进和变化，均应认为包含在本发明的保护范围之内。

Claims (5)

1.一种针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，其包括以下步骤：

步骤一，捕获DNS服务器的网络数据样本；

步骤二，对捕获的网络数据样本提取特征属性；

步骤三，确定时间函数，时间函数是一个时间分段函数，表示步骤二中特征属性的特征值在某个时间段上的约束阈值条件；

步骤四，根据捕获的网络数据样本构建正常流和攻击流的训练数据矩阵；

步骤五，继续实时捕获DNS服务器上的流量数据包，通过贝叶斯分类器对其进行分类检测；

步骤六，对分类结果进行过滤；若判断该数据流是攻击流，则全部丢弃；若判断数据流是正常流，则根据DNS服务器的拥塞情况采取基于分类概率的过滤方法；

步骤七，转向步骤五。

2.如权利要求1所述的针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，所述步骤二中提取的特征属性包括单位时间内平均查询量、源IP地址的熵值、域名长度的熵值、递归查询的比例、IP地址总数、有效应答包比例、源端口53的查询数量。

3.如权利要求1所述的针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，所述步骤四中的训练数据矩阵每一行表示一个状态实例，每一列表示一个状态实例的属性参数，矩阵的每一个元素表示一个状态实例中某个属性上的值。

4.如权利要求1所述的针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，所述步骤五的贝叶斯分类器的分类方法包括以下步骤：

步骤五十一，计算概率p(x_n|C_i)和类的先验概率p(C_i)的值

类的先验概率p(C_i)采用经过Laplace修正过的概率公式如下式：

其中，N_lc是类标属性值为C_i的样本个数，N_c是类的个数，N_l是训练集的总样本个数；

概率p(x_n|C_i)也采用经过Laplace修正过的概率公式如下式：

$p\left(x_n\right|C_i)=\frac{N_{\mathrm{ic}}+1/n_i}{N_{\mathrm{lc}}+1}$

N_ic是类C_i中属性A_i的值为x_t的样本个数，N_lc是类标属性值为C_i的样本个数，n_i是离散属性A_i的属性个数；

其中，N_lc、N_c、N_l和N_ic的值使用步骤三得到的数据矩阵来计算而得；

步骤五十二，计算概率p(X|C_i)的值

假设在属性间不存在依赖关系，p(X|C_i)＝p(x₁|C_i)p(x₂|C_i)…p(x_n|C_i)；

步骤五十三，实现分类并打上分类标签

设C1为正常流，C2是攻击流；若p(X|C₁)p(C₁)hc₁(t)＞p(X|C₂)p(C₂)hc₂(t)，则判断该数据流是正常流；否则，判断该数据流是攻击流。

5.如权利要求1所述的针对DNS服务的拒绝服务攻击的数据过滤方法，其特征在于，所述步骤六中的基于分类概率的过滤方法包括以下步骤：

若当前正常流的总数据量小于或等于DNS服务器每秒最大处理数据量，则把正常流都发送至服务器；

若当前正常流的总数据量大于DNS服务器每秒最大处理数据量，则根据步骤五计算得到的分类概率为每个正常流设置发送概率，并每个正常流按照发送概率发送至服务器。

Images