一种拟态DNS防御系统异常检测处理方法与流程

本发明属于本发明属于网络技术、拟态dns防御系统技术领域，具体涉及一种对异构体模块异常检测及处理机制。

背景技术：

随着互联网行业的蓬勃发展，域名数据库也迎来了爆发式的增长，如今互联网中存在数以亿计的域名，如何保证互联网使用者可以快速、正确的获取域名资源记录值是一个难题，当互联网使用者请求域名记录值时，如返回正确的授权结果我们认为这是一次有效的请求，如返回错误的解析结果则认为这是一次无效的请求。拟态dns防御系统通过自身优选算法的特性，极大的提高了有效请求比率。面对日益频繁的域名请求和愈发复杂的网络环境，需要一种快速、灵活的机制来帮助拟态dns防御系统应对这些问题，提升拟态dns防御系统的性能与稳定性是必不可少的。

现有技术中，拟态dns防御系统通过网管模块操作异构体上线，网管模块从异构体池中手动选取n个异构体放入活跃异构体池中，来完成异构体上线操作，后续dns拟态防御系统接收的dns请求将由选调模块分发到活跃异构体池中的所有异构体，即已上线的异构体，最终优选解析结果返回到客户端。

其中，现有技术存在下面的缺点：

异构体返回的解析结果受网络环境影响极大，尤其在遇到网络故障时，某些异构体可能会出现长时间无法正常解析的情况，例如网络不可达、域名解析结果不正确。这种不可控因素极大的增加了系统的处理压力，处理域名解析时间更长所导致的性能下降对客户端体验影响较大。

技术实现要素：

本发明所要解决的技术问题是提供一种新型的异常检测及处理方法。

本发明解决上述技术问题所采取的技术方案如下：

一种拟态dns防御系统异常检测处理方法，其特征在于，包括：

步骤1)当系统开始接收客户端的dns请求后，记录分发到每个异构体的dns请求与每个异构体返回的解析结果；

步骤2)对记录所有的域名解析请求，按请求次数进行排序；

步骤3)取前n个域名作为探针域名，同时获取每个探针域名各自的授权服务器地址，向授权服务器查询探针域名的正确解析结果并记录a(r1，r2，r3，…，rn)，a表示所有探针域名的正确解析结果集合，元素rn表示第n个探针域名及其正确解析结果；

步骤4)遍历所有探针域名正确解析结果集合a(r1，r2，r3，…，rn)，统计选调模块记录的每个异构体对于请求探针域名rn记录的解析结果b(r1，r2，r3，…，rn)，计算得出每个异构体对探针域名rn的解析成功率k与权重系数p；

步骤5)当所有探针域名正确解析结果集合a(r1，r2，r3…，rn)遍历完成后，得到异构体对所有探针域名的解析成功率集合t(k1，k2，k3，…，kn)与权重系数集合y(p1，p2，p3，…，pn)；

步骤6)根据异构体的解析成功率集合t(k1，k2，k3，…，kn)与权重系数集合y(p1，p2，p3，…，pn)计算当前轮询周期异构体的可运行指标参数z；

步骤7)当可运行指标参数z低于预设阈值时，对异构体进行下线或重启操作。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

下面结合附图对本发明进行详细的描述，以使得本发明的上述优点更加明确。其中，

图1是本发明拟态dns防御系统异常检测处理方法的流程示意图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明的是，只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。

另外，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

如图1所示，一种拟态dns防御系统异常检测处理方法，其特征在于，包括：

步骤1)当系统开始接收客户端的dns请求后，记录分发到每个异构体的dns请求与每个异构体返回的解析结果；

步骤2)对记录所有的域名解析请求，按请求次数进行排序；

步骤3)取前n个域名作为探针域名，同时获取每个探针域名各自的授权服务器地址，向授权服务器查询探针域名的正确解析结果并记录a(r1，r2，r3，…，rn)，a表示所有探针域名的正确解析结果集合，元素rn表示第n个探针域名及其正确解析结果；

步骤4)遍历所有探针域名的正确解析结果集合a(r1，r2，r3，…，rn)，统计选调模块记录的每个异构体对于请求探针域名rn记录的解析结果b(r1，r2，r3，…，rn)，计算得出每个异构体对探针域名rn的解析成功率k与权重系数p；

步骤5)当所有探针域名的正确解析结果集合a(r1，r2，r3，…，rn)遍历完成后，得到异构体对所有探针域名的解析成功率集合t(k1，k2，k3，…，kn)与权重系数集合y(p1，p2，p3，…，pn)；

步骤6)根据异构体的解析成功率集合t(k1，k2，k3，…，kn)与权重系数集合y(p1，p2，p3，…，pn)计算当前轮询周期异构体的可运行指标参数z；

步骤7)当可运行指标参数z低于预设阈值时，对异构体进行下线或重启操作。

步骤3)中，具体包括：

取前n个域名作为探针域名，同时获取每个探针域名各自的授权服务器地址，向授权服务器查询探针域名的正确解析结果并记录a(r1，r2，r3，…，rn)，a表示所有探针域名的正确解析结果集合，元素rn表示第n个探针域名及其正确解析结果。

步骤4)中，具体包括：

遍历所有探针域名的正确解析结果集合a(r1，r2，r3，…，rn)，统计选调模块记录的每个异构体对于请求探针域名rn的解析结果集合b(r1，r2，r3，…，rn)，计算得出每个异构体对探针域名rn的解析成功率k与权重系数p。

步骤5)中，具体包括：

当所有探针域名的正确解析结果集合a(r1，r2，r3，…，rn)遍历完成后，得到异构体对所有探针域名的解析成功率集合t(k1，k2，k3，…，kn)与权重系数集合y(p1，p2，p3，…，pn)。

步骤6)中，具体包括：

根据异构体的解析成功率集合t(k1，k2，k3，…，kn)与权重系数集合y(p1，p2，p3，…，pn)计算当前轮询周期异构体的可运行指标参数z，其中，

z＝k1p1+k2p2+…+knpn，

kn表示异构体对第n个探针域名的解析成功率，pn表示异构体对第n个探针域名的权重系数。

步骤1)还包括：

拟态dns防御系统启动时，将活跃异构体池中的所有异构体的可运行指标参数z进行初始化z＝100％，z是上线异构体的唯一参数，用于体现当前异构体的综合可用性。

步骤4)中，遍历所有探针域名的正确解析结果集合a(r1，r2，r3，…，rn)，统计选调模块记录的每个异构体对于探针域名请求记录的解析结果b(r1，r2，r3，…，rn)，计算得出每个异构体对探针域名rn的解析成功率k与权重系数p，包括：

计算解析成功率k：

x表示空集合，a(ri)表示探针域名ri的正确解析结果，b为异构体对探针域名a(ri)的解析结果集合。c表示异构体对探针域名a(ri)的错误解析结果集合；

b表示异构体对于探针域名ri的所有解析结果集合，j(c，b)表示异构体的错误解析结果集合与解析结果集合的相似系数；

k表示异构体的错误解析结果集合与解析结果集合的杰卡德距离，即解析成功率；

计算权重系数p，统计探针域名rn的请求次数csum在异构体已接收的dns请求总量q中的占比：

csum表示在系统统计期间探针域名a(ri)的请求次数，q表示系统统计期间的总请求次数。

具体来说，在一个实施例中，本发明旨在针对异构体出现异常情况时，系统可以及时有效的发现，通过网管模块定期发送探针，主动检测异构体运行状态变化，当异构体出现疑似异常状态时，对异构体执行预先定义好的操作，拟态dns防御系统对异构体从异常检测到异常处理的过程简称为rdfh机制。

本发明提供的完整解决方案：

1.1.1拟态dns防御系统启动时，首先管理模块将活跃异构体池中的所有异构体的可运行指标参数：z进行初始化z＝100％，z是上线异构体的唯一参数，用于体现当前异构体的综合可用性。

1.1.2当拟态dns防御系统在开始接收客户端的dns请求后，选调模块会记录分发到每个异构体的dns请求与每个异构体返回的解析结果，在系统收到的dns请求数量达到q值后，管理模块对记录所有的dns请求按请求次数进行排序，取前n个域名作为探针域名，同时获取每个探针域名各自的授权服务器地址，向授权服务器查询探针域名的正确解析结果并记录a(r1，r2，r3，…，rn)，a表示所有探针域名的正确解析结果集合，元素rn表示第n个探针域名及其正确解析结果。

1.1.3管理模块遍历所有探针域名的正确解析结果集合a(r1，r2，r3，…，rn)，统计选调模块记录的每个异构体对于请求探针域名rn记录的解析结果b(r1，r2，r3，…，rn)，计算得出每个异构体对探针域名rn的解析成功率k与权重系数p，计算原理如下：

1.1.3.1解析成功率k：

1.1.3.2权重系数p：管理模块统计探针域名rn的请求次数csum在异构体已接收的dns请求总量q中的占比：

当集合a(r1，r2，r3，…，rn)遍历完成后，得到异构体对所有探针域名的解析成功率集合t(k1，k2，k3，…，kn)与权重系数集合y(p1，p2，p3，…，pn)。

1.1.4最终系统根据异构体的解析成功率集合t(k1，k2，k3，…，kn)与权重系数集合y(p1，p2，p3，…，pn)计算当前轮询周期异构体的可运行指标参数z，计算原理如下：

z＝k1p1+k2p2+…+knpn

1.1.5请求数量q决定了网管模块主动检测异构体状态的周期，取前n个域名决定了网管模块对异构体检测的详尽程度。网管模块在每个探测周期获取的异构体的可运行指标参数z，决定了网管模块对异构体的处理方式，每个检测周期开始时都会对异构体的可运行指标参数z进行初始化，当可运行指标参数z低于预设阈值时，对异构体进行下线或重启操作。

本发明技术方案带来的有益效果：

拟态dns防御系统通过rdfh机制，可以快速有效的发现、处理异常异构体，减轻系统负荷，使系统的性能、可用性得到进一步提高。

需要说明的是，对于上述方法实施例而言，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。

而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。