1.一种随机子域名DDoS攻击检测方法,其特征在于,包括以下步骤:
(1)根据原始DNS日志进行处理数据预处理,将原始DNS日志中切片后,每一条记录过滤后转化为DNS请求失败的关键数据帧,格式为<解析域名的二级域名,源IP,随机子域名>的元组;
(2)数据聚合,对步骤(1)中的关键数据帧进行数据聚合与统计,以“解析域名的二级域名”为数据键,以对拥有相同数据键的关键数据帧中的<源IP,随机子域名>数据聚合为集合,对所有的解析域名的二级域名进行如上处理后得到:以<解析域名的二级域名:源IP集合,随机子域名集合>结构为基本单元的键值对列表;
(3)攻击检测,根据步骤(2)得到的每个解析域名的二级域名对应的关键数据集合进行统计学计算,得到统计画像和当前阈值向量,针对统计画像和当前阈值向量建立攻击检测分类器,对检测分类器中为负类的域名进行DDoS攻击告警,将正类数据的统计画像以在线学习的方式更新至阈值向量。
2.根据权利要求1所述的随机子域名DDoS攻击检测方法,其特征在于:所述数据预处理具体实现如下:
(1)以滑动长度为T的时间窗的方式对原始数据进行切片处理,当前切片作为一个时间片批处理数据向后传递以达到准实时监测模型;
(2)对得到的时间片批处理数据进行域名解析处理,具体描述如下:从时间片批处理的每一条记录中抽取出解析域名并根据顶级域名列表处理为解析域名的二级域名,将解析域名中除去解析域名的二级域名的剩余部分作为随机子域名,然后从时间片批处理数据中简单的保留原始源IP字段,得到格式为<解析域名的二级域名,源IP,随机子域名>的关键数据帧;
(3)对得到的关键数据帧进行过滤,对所有的关键数据帧如下过滤,过滤掉以in-addr.arpa结尾的DNS反向查询、源IP为DNS递归服务器IP地址的DNS递归查询和返回IP字段不为空的正常DNS查询,剩余内容是DNS处理失败的日志记录,最后输出DNS请求失败的关键数据帧。
3.根据权利要求1所述的随机子域名DDoS攻击检测方法,其特征在于:所述数据聚合具体实现如下:
(1)对得到的DNS请求失败的关键数据帧进行分组聚合操作,分组聚合操作的数据键为提取出的关键数据帧中的解析域名的二级域名字段,进行分组聚合操作的数据值是源IP字段,将所有拥有相同的解析域名的二级域名字段的关键数据帧中的源IP字段组合成集合,聚合结果为:以<解析域名的二级域名:源IP集合>结构为基本单元的的键值对列表;
(2)对得到的DNS请求失败的关键数据帧进行分组聚合操作,分组聚合操作的数据键是提取出的关键数据帧中的解析域名的二级域名字段,进行分组聚合操作的数据值是随机子域名字段,将所有拥有相同的“解析域名的二级域名”字段的关键数据帧中的随机子域名字段组合成集合,聚合结果为:以<解析域名的二级域名:随机子域名集合>结构为基本单元的的键值对列表;
(3)对得到的两个键值对列表进行分组聚合,依然以解析域名的二级域名为键,对拥有相同解析域名的二级域名的源IP集合和随机子域名集合进行聚合,得到结果:以<解析域名的二级域名:源IP集合,随机子域名集合>结构为基本单元的键值对列表。
4.根据权利要求1所述的随机子域名DDoS攻击检测方法,其特征在于:所述攻击检测具体实现如下:
(1)对得到的以<解析域名的二级域名:源IP集合,随机子域名集合>结构为基本单元的键值对列表进行统计学处理,具体处理方法是,分别对于解析域名的二级域名的对应的源IP列表和随机子域名列表计算各自的熵和长度,得到四个特征值,构成的特征向量作为解析域名的二级域名当前的统计画像,将初始阈值向量设置为解析域名的二级域名的统计画像的k倍;
(2)对得到的统计画像和阈值进行简单的比较,即使用简单的向量运算作为这里使用的分类器,有效地提高分类效率而不会显著地降低分类正确率;若统计画像中的任意一个特征值大于阈值向量中对应的阈值,则认为发生了对当前解析域名的二级域名的随机子域名DDoS攻击;
(3)如果检测结果为真,即存在统计画像中的任意一个特征值大于阈值向量中对应的阈值的情况,则系统给出告警,否则,认为当前时间片内的流量正常,则在当前时间窗片检测结束更新阈值,更新后的阈值用于下一个时间片的阈值判别,阈值向量更新的方法采用动态自适应调节法,动态自适应调节法使用指数加权移动平均法EWMA的改进形式自适应调整阈值,阈值更新后,针对下一个时间片的批处理数据,进行处理。