一种域名权威服务来源ip识别方法和系统的制作方法
【技术领域】
[0001] 本发明设及一种域名权威服务来源IP识别方法和系统,属于计算机网络技术领 域。
【背景技术】
[0002] 域名权威服务作为DNS服务的关键环节,负责对外提供域名与IP地址之间映射RR 记录,是绝大互联网业务正常运行的基础。域名权威的高效运转是保证域名服务乃至互联 网基础业务稳定运行的一个关键因素。
[0003] 域名权威服务来源IP可能有多种类型。例如来自运营商递归服务器、互联网开放 递归服务器、捜索引擎业务、电子邮箱业务、云服务、网络探测服务等等。在权威服务器遭受 拒绝服务攻击时,不加区分的针对来源IP进行验证可能会造成误判,影响防御策略的效果。 因此,有必要对来源IP进行专口的类型发现和识别,W便于权威域名服务提供商采取相关 风险应对措施。本发明旨在提供一种针对域名权威服务来源IP的识别方法和系统。
[0004] 业内相关的来源IP识别技术主要存在两种。一种是针对来源IP查询的日志统计识 别技术,另一种是主动探测来源递归服务来源IP的识别技术。由于顶极域名权威服务对象 包含多种类型,特性各不相同,故上述两种来源IP识别技术均不能实现对权威服务来源IP 的精细分类。
【发明内容】
[0005] 本发明提供了一种域名权威服务来源IP识别方法和系统。本发明是一种专口针对 域名权威服务来源IP识别技术,现有的来源IP识别技术均不能实现对来源IP的精细分类; 本发明所提供的域名权威服务来源IP识别技术,通过利用权威服务查询日志数据来进行特 征抽取,不影响域名权威服务自身的正常运行;本发明所提供的来源IP特征定义,能够有效 区分不同类型的查询源IP。
[0006] 本发明的技术方案为:
[0007] -种域名权威服务来源IP识别方法,其步骤为:
[000引1)查询记录特征统计模块从权威服务器的权威查询日志中抽取设定源IP的查询 记录特征特征;
[0009] 2)递归结构特征统计模块根据读取的全球递归服务探测数据构建一递归结构映 射关系表,然后根据该递归结构映射关系表进行递归结构特征抽取;
[0010] 3)来源IP聚类识别模块根据已抽取的查询记录特征和递归结构特征对设定来源 IP进行聚类,将设定来源IP划分成多个不同的子集,并为每一子集设定一响应策略;
[0011] 4)当权威服务器收到一查询时,判断该查询对应IP所属的子集,然后根据该子集 对应的响应策略对该查询对应的IP进行处理。
[0012] 进一步的,所述查询记录特征为:来源IP每日查询量、来源IP在设定域名的每日查 询量、来源IP针对设定重点域名的查询量占该来源IP总查询量的比例、来源IP每日查询的 域名个数、来源IP每日查询的设定重点域名个数占该权威服务器总体重点域名个数的比例 或来源IP查询的各个域名的赌的均值。
[0013] 进一步的,根据公式
计算来源IP查询的各个域名的赌 的均值E(S);其中,域名Dj的赌值H ( D.I)二-ZP(S,,D,)4 log(p(S,,D,)),P(Si,Dj)为来源IPSi 1=1 针对域名化的查询量占该域名化总查询量的比例,n为对域名化的查询IP总数,q(Dj,S)表示 来源IP S针对域名化查询量占 S总查询量的比例,m为来源IP S查询的域名总数。
[0014] 进一步的,根据全球递归服务探测数据生成<递归IP,来源IP〉记录,构建所述递归 结构映射关系表。
[0015] 进一步的,构建所述递归结构映射关系表的方法为:
[0016] 1)注册一二级域名,搭建该二级域名对应的权威服务器,配置泛域名A记录;
[0017] 2)向全球IP地址空间发送该二级域名的=级随机测试域名的A记录查询,每个IP 地址对应的测试域名各不相同,并记录返回应答的A记录,然后将成功返回DNS应答的IP称 为递归IP,登记为<递归IP,测试域名,应答A记录〉,其中应答的A记录与步骤1)中配置的A记 录相符;
[001引3)从该二级域名权威服务器日志抽取测试域名、来源IP记录,登记为<测试域名, 来源IP〉;
[0019] 4) W测试域名为关键字,连接合并步骤2)、3)得到的数据集,得到 < 递归IP,来源IP 〉的映射关系表。
[0020] 进一步的,所述递归结构特征为:来源IP对应的递归IP个数、来源IP对应的设定重 点递归IP的个数、来源IP对应的递归IP服务的用户总数、来源IP相同IPv4 CIDR/24地址块 的所有来源IP对应的递归IP个数、来源IP相同IPv4 CIDR/24地址块的所有来源IP对应的重 点递归IP个数或来源IP相同IPv4 CIDR/24地址块的所有来源IP对应的递归IP服务的用户 总数。
[0021] -种域名权威服务来源IP识别系统,其特征在于,包括查询记录特征统计模块、递 归结构特征统计模块、来源IP聚类识别模块;其中,
[0022] 查询记录特征统计模块,用于从权威服务器的权威查询日志中抽取设定源IP的查 询记录特征特征;
[0023] 递归结构特征统计模块,用于根据读取的全球递归服务探测数据构建一递归结构 映射关系表,然后根据该递归结构映射关系表进行递归结构特征抽取;
[0024] 来源IP聚类识别模块,用于根据已抽取的查询记录特征和递归结构特征对设定来 源IP进行聚类,将设定来源IP划分成多个不同的子集,并为每一子集设定一响应策略;W及 当权威服务器收到一查询时,判断该查询对应IP所属的子集,然后根据该子集对应的响应 策略对该查询对应的IP进行处理。
[0025] 如图所示,本发明的域名权威服务来源IP识别系统主要包含3个模块:查询记录特 征统计模块、递归结构特征统计模块、来源IP聚类识别模块。
[0026] 查询记录特征统计模块负责读取域名权威查询日志,每一行查询日志都包含来源 IP,模块统计抽取每一个来源IP的多个特征,其中重点域名的定义可W根据权威服务的业 务特性灵活调整。系统最后综合使用多个特征识别来源IP,特征抽取规则包括但不限于:
[0027] (1)该来源IP每日查询量;
[00%] (2)该来源IP在某些特定域名的每日查询量;
[0029] (3)该来源IP针对重点域名的查询量占该源IP总查询量的比例;重点域名可W灵 活定义,例如权威服务器中"源IP个数超过N的域名";
[0030] (4)该来源IP每日查询的域名个数;
[0031] (5)该来源IP每日查询的重点域名个数占该查询日志总体重点域名个数的比例;
[0032] (6)该来源IP查询的各个域名的赌的均值,每个域名的赌根据该域名对应的来源 IP分布计算(【具体实施方式】见后文)。
[0033] 递归结构特征统计模块负责探测全球递归服务数据,根据探测数据得到< 递归IP, 来源IP〉组成本发明定义的递归结构映射关系表(【具体实施方式】见后文),基于该关系表数 据进行特征抽取计算。全球递归服务探测数据记录了向递归IP发起DNS查询后,最终负责向 权威服务迭代查询的来源1?。由< 递归IP,来源IP〉组成递归结构映射关系表,该关系标识了 递归服务器的汇聚程度,结合已知的递归IP重要程度、递归IP服务的用户数等相关信息,模 块W来源IP为关键字进行统计特征抽取,其中重点递归的定义可W根据权威服务的业务特 性灵活调整。系统最后综合使用多个特征识别来源IP,特征抽取规则包括但不限于:
[0034] (1)来源IP对应的递归IP个数;
[0035] (2)来源IP对应的重点递归IP的个数;重点递归可W灵活定义预先设定,例如电信 联通等运营商提供的递归服务器、Google等大型公司提供的公共递归服务器等等;
[0036] (3)来源IP对应的递归IP服务的用户总数;
[0037] (4)来源IP相同IPv4 CIDR/24地址块的所有来源IP对应的递归IP个数;CIDR/24表 示公知的IP无类别域间路由选择前24位掩码地址块。
[0038] (5)来源IP相同IPv4 CIDR/24地址块的所有来源IP对应的重点递归IP个数;
[0039] (6)来源IP相同IPv4 CIDR/24地址块的所有来源IP对应的递归IP服务的用户总 数。
[0040] 查询记录特征W及递归结构特征抽取完毕后,来源IP聚类识别模块负责根据已抽 取的特征对来源IP进行聚类。其中,所使用的聚类算法可W是K-MEANS、K-MEDOIDS等常用无 监督聚类算法,或者结合部分已知的来源IP类型信息调用决策树、SVM等算法进行有监督聚 类识别。
[0041] 聚类识别完毕后,来源IP集合中的来源IP将被划分成多个不同的类型,例如运营 商递归服务器、互联网开放递归服务器、捜索引擎业务、电子邮箱业务、云服务、网络探测服 务等等不同用途的来源IP集合列表。在权威服务器收到查询时,根据已识别的来源IP所属 的类型,可W针对查询来源IP灵活采用不同的应答策略。例如拒绝服务攻击查询流量防御 时无需针对已知的运营商递归服务器来源IP进行重复验证,针对捜索引擎的大批量域名查 询流量进行单独分流服务等等。
[0042] 与现有技术相比,本发明的积极效果为:
[0043] (1)能够精细化识别不同类型的来源IP,评估递归IP重要等级并对其进行相应处 理;
[0044] (2)整个识别过程独立于域名权威服务,不会对线上服务造成影响;
[0045] (3)特征抽取规则简单可用,聚类算法亦可W灵活选择。
【附图说明】
[0046] 附图为本发明的识别系统结构图。
【具体实施方式】
[0047] 本发明的域名权威服务来源IP识别系统需要构建3个模块:查询记录特征统计模 块、递归结构特征统计模块、来源IP聚类识别模块。具体实施方法示例如下:
[004引查询记录特征统计模块
[0049] WCN国家权威域名服务为例,查询记录特征统计模块抽取一天的查询日志进行统 计分析。其中,查询量、域名个数、查询比例等特征均可通过简单分组统计获取,只有来源IP 的赌值特征需要进行二次统计提取,具体计算方法如下:
[0050] (1