一种dns防御攻击的方法及系统的制作方法

一种dns防御攻击的方法及系统的制作方法
【专利摘要】本发明提供一种DNS防御攻击的方法及系统，属于通信技术领域，其可至少部分解决现有的DNS防御攻击的方法不能准确无误地判定DNS是否遭受攻击的问题。本发明的DNS防御攻击的方法根据统计IP地址发送域名解析请求的实际数量N和端口发送的实际数量Np，计算出IP地址发送域名解析请求的预测数量Nf和端口发送域名解析请求的预测数量Npf；然后，根据Nf、Npf以及攻击判定阀值，判定IP地址以及端口是否向主域名服务器发出攻击，相比现有技术中只根据统计的实际数量和预设阀值来判断主域名服务器是否遭受攻击，能够更加准确地判定主域名服务器是否遭受攻击，避免将正常用户误判为发起攻击的用户、导致其无法正常使用互联网。
【专利说明】
一种DNS防御攻击的方法及系统
技术领域
[0001]本发明属于通信技术领域，具体涉及一种DNS防御攻击的方法及系统。
【背景技术】
[0002]DNS是域名系统(Domain Name System)的缩写，它是由解析器和域名服务器组成。域名服务器(DNS Server)是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。DNS解析域名的流程大体如下:首先由用户发起域名解析请求，本地DNS服务器收到该请求后，会在本地缓存中查找，如果没有找到，则会向上一级DNS服务器发起请求，上一级DNS服务器会将解析结果通过回应报文返回给本地DNS服务器，本地DNS服务器将解析结果返回给本次请求解析该域名的用户。
[0003]近年来DNS攻击事件屡屡发生，DNS遭受攻击的常见形式是:攻击方向DNS服务器发送大量域名解析请求报文，致使DNS服务器严重超载，无法继续响应正常用户的DNS请求，从而达到攻击的目的。
[0004]现有技术中，DNS防御攻击的方法主要是通过统计周期内请求次数，正常的域名请求次数一般是不超过一定阀值的，如果超过此阀值，就认为发出该请求的IP地址为攻击源，便将此IP地址过滤。
[0005]发明人发现现有技术中至少存在如下问题:
[0006]1.正常的域名请求次数的阀值不易设定，因此，不能准确无误地判定DNS是否遭受攻击；
[0007]2.DNS遭受攻击到解除攻击的过程中，DNS性能极大降低，将影响DNS为正常用户提供域名解析服务，导致正常用户不能正常使用互联网。
[0008]因此，设计一种DNS防御攻击的方法及系统，能够较为准确地判定DNS是否遭受攻击，以及能够在解除攻击的过程中使DNS保持良好的性能，这是目前亟待解决的技术问题。

【发明内容】

[0009]本发明为至少部分地解决现有的上述的问题，提供一种DNS防御攻击的方法及系统，该DNS防御攻击的方法及系统能够较为准确地判定DNS是否遭受攻击，以及能够在解除攻击的过程中使DNS保持良好的性能。
[0010]解决本发明技术问题所采用的技术方案是:一种DNS防御攻击的方法，包括:
[0011]统计每个IP地址每天发送至主域名服务器的域名解析请求的实际数量N，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的实际数量Np;
[0012]根据实际数量N和实际数量Np，计算每个IP地址每天发送至主域名服务器的域名解析请求的预测数量Nf，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的预测数量NPf ；
[0013]预设攻击判定阀值，根据预测数量Nf判断该IP地址是否向主域名服务器发出攻击;以及，在该IP地址向主域名服务器发出攻击的情况下，根据该IP地址的每个端口的Npf判断该端口是否向主域名服务器发出攻击；
[0014]过滤向主域名服务器发出攻击的端口，以降低主域名服务器的使用状态值。
[0015]优选的是，预设的攻击判定阀值包括第一数量阀值t和第二数量阀值U，
[0016]判断该IP地址是否向主域名服务器发出攻击包括:计算每个IP地址的N-Nf，若N-Nf>t，则判定该IP地址向主域名服务器发出攻击；
[0017]以及，判断该端口是否向主域名服务器发出攻击包括:计算该IP地址的每个端口的Np-Npf，若Np-Npf > u，则判定该端口向主域名服务器发出攻击。
[0018]优选的是，IP地址第c+1天发送至主域名服务器的域名解析请求的预测数量Nf(c+1)的计算公式为:
[0019]Nf (c+i) =Mi*Ni+M2*N2+...+Mc*Nc
[0020]式中，N。为IP地址第c天发送至主域名服务器的域名解析请求的实际数量，Μ。为N。的权重参数，Μι+Μ2+..-+Mc = I ο
[0021]优选的是，端口第c+1天发送至主域名服务器的域名解析请求的预测数量Npf(c+1)的计算公式为:
[0022]Npf (c+i) =ffi*NPi+ff2*NP2+..-+Wc^Npc
[0023]式中，Npc为端口第c天发送至主域名服务器的域名解析请求的实际数量，Wc为Npc的权重参数，Wi+W2+."+Wc = I。
[0024]优选的是，还包括:
[0025]实时监测主域名服务器的使用状态值，当主域名服务器的使用状态值大于使用阀值时，则相继启动辅助域名服务器，使主域名服务器和辅助域名服务器共同为用户提供域名解析服务；
[0026]当过滤向主域名服务器发出攻击的端口后、且主域名服务器的使用状态值小于或等于使用阀值，则相继关闭辅助域名服务器;其中，主域名服务器的使用状态值的计算公式为:
[0027]r = qi*pi+q2*p2+q3*p3
[0028]式中，r为主域名服务器的使用状态值，qi为主域名服务器的CPU的使用比例参数，pACPU的使用比例参数所占的比重，q2为主域名服务器的内存的使用比例参数，p2为内存的使用比例参数所占的比重，q3为主域名服务器的带宽的使用比例参数，P3为带宽的使用比例参数所占的比重。
[0029]本发明提供的另一技术方案:一种DNS防御攻击的系统，包括攻击源探测单元，所述攻击源探测单元包括实际数量统计模块、预测数量计算模块、攻击源锁定模块和攻击源过滤模块，其中:
[0030]所述实际数量统计模块，用于统计每个IP地址每天发送至主域名服务器的域名解析请求的实际数量N，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的实际数量Np;
[0031]所述预测数量计算模块，用于根据实际数量N和实际数量Np，计算每个IP地址每天发送至主域名服务器的域名解析请求的预测数量Nf，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的预测数量Npf;
[0032]所述攻击源锁定模块，用于预设攻击判定阀值，根据预测数量Nf判断该IP地址是否向主域名服务器发出攻击；以及，在该IP地址向主域名服务器发出攻击的情况下，根据该IP地址的每个端口的Npf判断该端口是否向主域名服务器发出攻击；
[0033]所述攻击源过滤模块，用于过滤向主域名服务器发出攻击的端口，以降低主域名服务器的使用状态值。
[0034]优选的是，所述攻击源锁定模块预设的攻击判定阀值包括第一数量阀值t和第二数量阀值U，
[0035]判断该IP地址是否向主域名服务器发出攻击包括:计算每个IP地址的N-Nf，若N-Nf>t，则判定该IP地址向主域名服务器发出攻击；
[0036]以及，判断该端口是否向主域名服务器发出攻击包括:计算该IP地址的每个端口的Np-Npf，若Np-Npf > u，则判定该端口向主域名服务器发出攻击。
[0037]优选的是，所述预测数量计算模块计算IP地址第c+1天发送至主域名服务器的域名解析请求的预测数量Nfk+υ所采用的公式为:
[0038]Nf (c+i) =Mi*Ni+M2*N2+...+Mc*Nc
[0039]式中，N。为IP地址第c天发送至主域名服务器的域名解析请求的实际数量，M。为Nc的权重参数，Μι+Μ2+..-+Mc = I ο
[0040]优选的是，所述预测数量计算模块计算端口第c+1天发送至主域名服务器的域名解析请求的预测数量ΝΡ&+υ所采用的公式为:
[0041 ] Npf (c+l) =ffl*NPl+ff2*NP2+..-+ffc^Npc
[0042]式中，Npc为端口第c天发送至主域名服务器的域名解析请求的实际数量，Wc为Npc的权重参数，Wi+W2+."+Wc = I。
[0043]优选的是，还包括使用状态监控单元和开关控制单元，其中:
[0044]所述使用状态监控单元，与主域名服务器连接，用于实时监测主域名服务器的使用状态值；
[0045]所述开关控制单元，与辅助域名服务器和所述使用状态监控单元连接，用于当主域名服务器的使用状态值大于使用阀值时，则相继启动辅助域名服务器，使主域名服务器和辅助域名服务器共同为用户提供域名解析服务；
[0046]当过滤向主域名服务器发出攻击的端口后、且主域名服务器的使用状态值小于或等于使用阀值，则相继关闭辅助域名服务器;其中，主域名服务器的使用状态值的计算公式为:
[0047]r = qi*pi+q2*p2+q3*p3
[0048]式中，r为主域名服务器的使用状态值，qi为主域名服务器的CPU的使用比例参数，pACPU的使用比例参数所占的比重，q2为主域名服务器的内存的使用比例参数，p2为内存的使用比例参数所占的比重，q3为主域名服务器的带宽的使用比例参数，P3为带宽的使用比例参数所占的比重。
[0049]本发明提供的DNS防御攻击的方法及系统，首先，根据统计IP地址发送域名解析请求的实际数量N和端口发送的实际数量Np，计算出IP地址发送域名解析请求的预测数量Nf和端口发送域名解析请求的预测数量Npf;然后，根据Nf、Npf以及攻击判定阀值，判定IP地址以及端口是否向主域名服务器发出攻击，相比现有技术中只根据统计的实际数量和预设阀值来判断主域名服务器是否遭受攻击，能够更加准确地判定主域名服务器是否遭受攻击，避免将正常用户误判为发起攻击的用户、导致其无法正常使用互联网。
[0050]其次，在主域名服务器遭受攻击，使其使用状态值小于或等于使用阀值时，相继启动辅助域名服务器，使主域名服务器和辅助域名服务器共同为用户提供域名解析服务，能够保证用户在主域名服务器遭受攻击到解除攻击的过程中，依然能正常使用互联网。
【附图说明】
[0051 ]图1为本发明的实施例1的DNS防御攻击的方法的流程示意图；
[0052]图2为本发明的实施例2的DNS防御攻击的系统的组成示意框图；
[0053]其中，附图标记为:
[0054]10、攻击源探测单元;11、实际数量统计模块；12、预测数量计算模块;13、攻击源锁定模块；14、攻击源过滤模块;20、使用状态监控单元;30、开关控制单元;40、主域名服务器；50、辅助域名服务器。
【具体实施方式】
[0055]为使本领域技术人员更好地理解本发明的技术方案，下面结合附图和【具体实施方式】对本发明作进一步详细描述。
[0056]实施例1:
[0057]本实施例提供一种DNS防御攻击的方法，该方法能够准确锁定发起攻击的IP地址及其端口，并过滤该端口。
[0058]图1为本实施例的DNS防御攻击的方法流程示意图，如图1所示，该方法包括以下步骤:
[0059]步骤S1:统计每个IP地址每天发送至主域名服务器的域名解析请求的实际数量N，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的实际数量NP。
[0060]一个主域名服务器管辖多个用户，这些用户都是私网IP地址，私网IP地址必须通过公网IP地址才能访问主域名服务器进行域名解析。在该步骤中，统计每个IP地址每天发送至主域名服务器的域名解析请求的实际数量N，例如，第C天第d个公网IP地址发送至主域名服务器的域名解析请求的实际数量可记为Nm每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的实际数量Np，例如，第c天第d个公网IP地址的第P个端口发送至主域名服务器的域名解析请求的实际数量可记为nm。
[0061]这样，即可清楚地统计记录每个IP地址及其各个端口每天发送至主域名服务器的域名解析请求的实际数量。
[0062]步骤S2:根据实际数量N和实际数量Np，计算每个IP地址每天发送至主域名服务器的域名解析请求的预测数量Nf，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的预测数量Npf。
[0063]根据每天统计记录的IP地址发送域名解析请求的实际数量N，计算出该IP地址第二天发送域名解析请求的预测数量Nf，相应的，IP地址第c+1天发送至主域名服务器的域名解析请求的预测数量Nf (。+1)的计算公式为:
[0064]Nf(c+i)=Mi*Ni+M2*N2+H.+Mc*Nc (I)
[0065]式中，N。为IP地址第c天发送至主域名服务器的域名解析请求的实际数量，Μ。为N。的权重参数，Ml+M2 +..-+Mc= I O
[0066]具体的，第c+1天第d个公网IP地址发送域名解析请求的预测数量可记为Nf(c+1)d，其计算公式为:
[0067]Nf(c+i)d=Mi*Nid+M2*N2d+...+Mc*Ncd (2)
[0068]式中，Nd为第d个IP地址第c天发送至主域名服务器的域名解析请求的实际数量。
[0069]按照公式(I)和(2)，即可计算出每个IP地址每天发送域名解析请求的预测数量
Nf0
[0070]根据每天统计记录的端口发送域名解析请求的实际数量NP，计算出该端口第二天发送域名解析请求的预测数量Npf，相应的，端口第c+1天发送至主域名服务器的域名解析请求的预测数量Npf (c+1)的计算公式为:
[0071]Npf (c+i) =ffi*NPi+ff2*NP2+..-+Wc^Npc (3)
[0072]式中，Npc为端口第c天发送至主域名服务器的域名解析请求的实际数量，W。为Npc的权重参数，Wi+W2+."+Wc = I。
[0073]具体的，第c+1天第d个公网IP地址的第P个端口发送域名解析请求的预测数量可记为NPf (c+i)d，其计算公式为:
[0074]Npf (c+i)d=ffi*Npid+ff2*Np2d+..-+ffc^Npcd (4)
[0075]式中，Npcd为第d个公网IP地址的第P个端口第c天发送至主域名服务器的域名解析请求的实际数量。
[0076]按照公式(3)和(4)，即可计算出每个端口每天发送域名解析请求的预测数量Npf。
[0077]此外，为了使第c+1天第d个公网IP地址的预测数量Nf(c+1)d尽可能地接近第c+1天第d个公网IP地址的实际数量N(c；+1)d，优选，C越大，W。随之越大，以提高预测数量的精准度。
[0078]同理，为了使第c+1天第d个公网IP地址的第P个端口的预测数量Npf(c+1)d尽可能地接近第c+1天第d个公网IP地址的的第P个端口的实际数量NP(c；+1)d，优选，c越大，W。随之越大，以提高预测数量的精准度。
[0079]步骤S3:预设攻击判定阀值，根据预测数量Nf判断该IP地址是否向主域名服务器发出攻击；以及，在该IP地址向主域名服务器发出攻击的情况下，根据该IP地址的每个端口的Npf判断该端口是否向主域名服务器发出攻击。
[0080]具体的，预设的攻击判定阀值包括第一数量阀值t和第二数量阀值iut和u的具体大小可根据本方法运用的场景灵活设定。
[0081 ]判断该IP地址是否向主域名服务器发出攻击包括:计算每个IP地址的N-Nf，若N-Nf>t，则判定该IP地址向主域名服务器发出攻击。
[0082]判断该端口是否向主域名服务器发出攻击包括:计算该IP地址的每个端口的Np-Npf，若Np-Npf > u，则判定该端口向主域名服务器发出攻击。
[0083]按照上述步骤，能够首先找出发起攻击的IP地址，然后，进一步锁定该IP地址中发起攻击的端口，从而精确地锁定攻击源。
[0084]步骤S4:过滤向主域名服务器发出攻击的端口，以降低主域名服务器的使用状态值。
[0085]在步骤S3的基础上，本步骤将向主域名服务器发出攻击的端口过滤，能够降低主域名服务器的使用状态值，即恢复主域名服务器的性能。
[0086]为了保证主域名服务器管辖下的用户能够一直正常接受域名解析服务，对主域名服务器并联连接至少一个辅助域名服务器，并且，实时监测主域名服务器的使用状态值，当主域名服务器的使用状态值大于使用阀值时，则相继启动辅助域名服务器，使主域名服务器和辅助域名服务器共同为用户提供域名解析服务；
[0087]当过滤向主域名服务器发出攻击的端口后、且主域名服务器的使用状态值小于或等于使用阀值，则相继关闭辅助域名服务器;其中，主域名服务器的使用状态值的计算公式为:
[0088]r = qi*pi+q2*p2+q3*p3
[0089]式中，r为主域名服务器的使用状态值，qi为主域名服务器的CPU的使用比例参数，pACPU的使用比例参数所占的比重，q2为主域名服务器的内存的使用比例参数，p2为内存的使用比例参数所占的比重，q3为主域名服务器的带宽的使用比例参数，P3为带宽的使用比例参数所占的比重。
[0090]设定使用阀值为S，其具体大小值根据运用环境具体确定。当r>s时，表示主域名服务器的性能已降低，则相继启动辅助域名服务器，相应的增加带宽；当s时，表示主域名服务器的性能已恢复，则相继关闭辅助域名服务器，相应的减小带宽。
[0091]此外，在主域名服务器未遭受攻击的情况下，由于该主域名服务器管辖下的用户增加或者用户访问互联网的频率增加，也可能导致主域名服务器的使用状态值大于使用阀值，此时，则先启动第一台辅助域名服务器，增加相应的带宽，如果主域名服务器的使用状态值仍然大于使用阀值，则相继启动第二台辅助域名服务器，增加相应的带宽，以保证所有用户正常使用互联网。在主域名服务器的使用状态值逐渐减小时，则相继关闭第二台辅助域名服务器和第一台辅助域名服务器。
[0092 ]本实施例的DNS防御攻击的方法，根据Nf、Npf以及攻击判定阀值，判定IP地址以及端口是否向主域名服务器发出攻击，相比现有技术中只根据统计的实际数量和预设阀值来判断主域名服务器是否遭受攻击，能够更加准确地判定主域名服务器是否遭受攻击，避免将正常用户误判为发起攻击的用户、导致其无法正常使用互联网。其次，在主域名服务器遭受攻击，使其使用状态值小于或等于使用阀值时，相继启动辅助域名服务器，使主域名服务器和辅助域名服务器共同为用户提供域名解析服务，能够保证用户在主域名服务器遭受攻击到解除攻击的过程中，依然能正常使用互联网。
[0093]实施例2:
[0094]本实施例提供一种DNS防御攻击的系统，该系统为实现实施例1的方法的设备。图2为本实施例的DNS防御攻击的系统的组成示意框图，如图2所示，该系统包括与主域名服务器40相连的攻击源探测单元10，攻击源探测单元10包括实际数量统计模块11、预测数量计算模块12、攻击源锁定模块13和攻击源过滤模块14，其中:
[0095]实际数量统计模块11用于统计每个IP地址每天发送至主域名服务器40的域名解析请求的实际数量N，以及每个IP地址的每个端口每天发送至主域名服务器40的域名解析请求的实际数量Np。
[0096]例如，第c天第d个公网IP地址的第P个端口发送至主域名服务器的域名解析请求的实际数量可记为Npcd。实际数量统计模块即可清楚地统计记录每个IP地址及其各个端口每天发送至主域名服务器的域名解析请求的实际数量。
[0097]预测数量计算模块12用于根据实际数量N和实际数量Np，计算每个IP地址每天发送至主域名服务器的域名解析请求的预测数量Nf，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的预测数量Npf。
[0098]预测数量计算模块12计算IP地址第c+1天发送至主域名服务器的域名解析请求的预测数量Nf(c+1)所采用的公式为:
[0099]Nf (c+i) =Mi*Ni+M2*N2+..-+Mc^Nc
[0100]式中，N。为IP地址第c天发送至主域名服务器的域名解析请求的实际数量，Μ。为N。的权重参数，Μι+Μ2+..-+Mc = I ο
[0101]预测数量计算模块12计算端口第c+1天发送至主域名服务器的域名解析请求的预测数量Npf(M)所采用的公式为:
[0102]Npf (c+i) =ffi*NPi+ff2*NP2+..-+Wc^Npc
[0103]式中，Npc为端口第c天发送至主域名服务器的域名解析请求的实际数量，W。为Npc的权重参数，Wi+W2+."+Wc = I。
[0104]按照上述公式，即可计算出每个IP地址每天发送域名解析请求的预测数量Nf以及每个端口每天发送域名解析请求的预测数量Npf。
[0105]攻击源锁定模块13用于预设攻击判定阀值，根据预测数量Nf判断该IP地址是否向主域名服务器发出攻击；以及，在该IP地址向主域名服务器发出攻击的情况下，根据该IP地址的每个端口的Npf判断该端口是否向主域名服务器发出攻击。
[0106]攻击源锁定模块13预设的攻击判定阀值包括第一数量阀值t和第二数量阀值uο t和u的具体大小可根据本方法运用的场景灵活设定。
[0107]判断该IP地址是否向主域名服务器发出攻击包括:计算每个IP地址的N-Nf，若N-Nf>t，则判定该IP地址向主域名服务器发出攻击。
[0108]判断该端口是否向主域名服务器发出攻击包括:计算该IP地址的每个端口的Np-Npf，若Np-Npf > u，则判定该端口向主域名服务器发出攻击。
[0109]按照上述判断方式，攻击源锁定模块13能够首先找出发起攻击的IP地址，然后，进一步锁定该IP地址中发起攻击的端口，从而精确地锁定攻击源。
[0110]攻击源过滤模块14用于过滤向主域名服务器发出攻击的端口，以降低主域名服务器的使用状态值。
[0111]在攻击源锁定模块13锁定发起攻击的IP地址及其端口之后，攻击源过滤模块14将向主域名服务器发出攻击的端口过滤，能够降低主域名服务器的使用状态值，即恢复主域名服务器的性能。
[0112]为了保证主域名服务器管辖下的用户能够一直正常接受域名解析服务，对主域名服务器并联连接至少一个辅助域名服务器50，相应的，该系统还包括使用状态监控单元20和开关控制单元30，其中:
[0113]使用状态监控单元20与主域名服务器40连接，用于实时监测主域名服务器的使用状态值；
[0114]开关控制单元30与辅助域名服务器50和使用状态监控单元20连接，用于当主域名服务器40的使用状态值大于使用阀值时，则相继启动辅助域名服务器50，使主域名服务器40和辅助域名服务器50共同为用户提供域名解析服务；
[0115]当过滤向主域名服务器发出攻击的端口后、且主域名服务器的使用状态值小于或等于使用阀值，则相继关闭辅助域名服务器50;其中，主域名服务器40的使用状态值的计算公式为:
[0116]r = qi*pi+q2*p2+q3*p3
[0117]式中，r为主域名服务器的使用状态值，qi为主域名服务器的CPU的使用比例参数，pACPU的使用比例参数所占的比重，q2为主域名服务器的内存的使用比例参数，p2为内存的使用比例参数所占的比重，q3为主域名服务器的带宽的使用比例参数，P3为带宽的使用比例参数所占的比重。
[0118]设定使用阀值为S，其具体大小值根据运用环境具体确定。当r>s时，表示主域名服务器的性能已降低，则开关控制单元30相继启动辅助域名服务器，相应的增加带宽；当r< s时，表示主域名服务器的性能已恢复，则开关控制单元30相继关闭辅助域名服务器，相应的减小带宽。
[0119]本实施例的DNS防御攻击的系统，首先能够更加准确地判定主域名服务器是否遭受攻击，避免将正常用户误判为发起攻击的用户、导致其无法正常使用互联网；其次，在主域名服务器遭受攻击，使其使用状态值小于或等于使用阀值时，相继启动辅助域名服务器，使主域名服务器和辅助域名服务器共同为用户提供域名解析服务，保证用户在主域名服务器遭受攻击到解除攻击的过程中，依然能正常使用互联网。
[0120]可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。
【主权项】
1.一种DNS防御攻击的方法，其特征在于，包括: 统计每个IP地址每天发送至主域名服务器的域名解析请求的实际数量N，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的实际数量Np; 根据实际数量N和实际数量Np，计算每个IP地址每天发送至主域名服务器的域名解析请求的预测数量Nf，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的预测数量Npf; 预设攻击判定阀值，根据预测数量Nf判断该IP地址是否向主域名服务器发出攻击；以及，在该IP地址向主域名服务器发出攻击的情况下，根据该IP地址的每个端口的Npf判断该端口是否向主域名服务器发出攻击； 过滤向主域名服务器发出攻击的端口，以降低主域名服务器的使用状态值。2.根据权利要求1所述的DNS防御攻击的方法，其特征在于，预设的攻击判定阀值包括第一数量阀值t和第二数量阀值u， 判断该IP地址是否向主域名服务器发出攻击包括:计算每个IP地址的N-Nf，若N-Nf > t，则判定该IP地址向主域名服务器发出攻击； 以及，判断该端口是否向主域名服务器发出攻击包括:计算该IP地址的每个端口的Np-Npf，若Np-Npf > u，则判定该端口向主域名服务器发出攻击。3.根据权利要求1所述的DNS防御攻击的方法，其特征在于，IP地址第c+1天发送至主域名服务器的域名解析请求的预测数量Nf (。+1)的计算公式为:Nf(c+1) =Ml*Nl+M2*N2 +.*.+Mc^Nc 式中，N。为IP地址第C天发送至主域名服务器的域名解析请求的实际数量，Μ。为N。的权重参数，Μι+Μ2+...+Μ。= I。4.根据权利要求1所述的DNS防御攻击的方法，其特征在于，端口第C+1天发送至主域名服务器的域名解析请求的预测数量ΝΡ&+υ的计算公式为: Npf (c+1) =Wl*Npl+ff2*Np2 +..-+Wc^Npc 式中，Npc为端口第C天发送至主域名服务器的域名解析请求的实际数量，W。为Npc的权重参数，Wl+ff2+...+Wc = I。5.根据权利要求1所述的DNS防御攻击的方法，其特征在于，还包括: 实时监测主域名服务器的使用状态值，当主域名服务器的使用状态值大于使用阀值时，则相继启动辅助域名服务器，使主域名服务器和辅助域名服务器共同为用户提供域名解析服务； 当过滤向主域名服务器发出攻击的端口后、且主域名服务器的使用状态值小于或等于使用阀值，则相继关闭辅助域名服务器;其中，主域名服务器的使用状态值的计算公式为:r = qi*pi+q2*p2+q3*p3 式中，r为主域名服务器的使用状态值，qi为主域名服务器的CPU的使用比例参数，？1为CHJ的使用比例参数所占的比重，q2为主域名服务器的内存的使用比例参数，p2为内存的使用比例参数所占的比重，q3为主域名服务器的带宽的使用比例参数，P3为带宽的使用比例参数所占的比重。6.一种DNS防御攻击的系统，其特征在于，包括攻击源探测单元，所述攻击源探测单元包括实际数量统计模块、预测数量计算模块、攻击源锁定模块和攻击源过滤模块，其中: 所述实际数量统计模块，用于统计每个IP地址每天发送至主域名服务器的域名解析请求的实际数量N，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的实际数量Np; 所述预测数量计算模块，用于根据实际数量N和实际数量Np，计算每个IP地址每天发送至主域名服务器的域名解析请求的预测数量Nf，以及每个IP地址的每个端口每天发送至主域名服务器的域名解析请求的预测数量Npf; 所述攻击源锁定模块，用于预设攻击判定阀值，根据预测数量Nf判断该IP地址是否向主域名服务器发出攻击；以及，在该IP地址向主域名服务器发出攻击的情况下，根据该IP地址的每个端口的Npf判断该端口是否向主域名服务器发出攻击； 所述攻击源过滤模块，用于过滤向主域名服务器发出攻击的端口，以降低主域名服务器的使用状态值。7.根据权利要求6所述的DNS防御攻击的系统，其特征在于，所述攻击源锁定模块预设的攻击判定阀值包括第一数量阀值t和第二数量阀值U， 判断该IP地址是否向主域名服务器发出攻击包括:计算每个IP地址的N-Nf，若N-Nf > t，则判定该IP地址向主域名服务器发出攻击； 以及，判断该端口是否向主域名服务器发出攻击包括:计算该IP地址的每个端口的Np-Npf，若Np-Npf > u，则判定该端口向主域名服务器发出攻击。8.根据权利要求6所述的DNS防御攻击的系统，其特征在于，所述预测数量计算模块计算IP地址第c+1天发送至主域名服务器的域名解析请求的预测数量Nf^1)所采用的公式为:Nf(c+1) =Ml*Nl+M2*N2 +.*.+Mc^Nc 式中，N。为IP地址第C天发送至主域名服务器的域名解析请求的实际数量，Μ。为N。的权重参数，Μι+Μ2+...+Μ。= I。9.根据权利要求6所述的DNS防御攻击的系统，其特征在于，所述预测数量计算模块计算端口第c+1天发送至主域名服务器的域名解析请求的预测数量ΝΡ&+1)所采用的公式为: Npf (c+1) =Wl*Npl+ff2*Np2 +.--+Wc^Npc 式中，Npc为端口第C天发送至主域名服务器的域名解析请求的实际数量，W。为Npc的权重参数，Wl+ff2+...+Wc = I。10.根据权利要求6所述的DNS防御攻击的系统，其特征在于，还包括使用状态监控单元和开关控制单元，其中: 所述使用状态监控单元，与主域名服务器连接，用于实时监测主域名服务器的使用状态值； 所述开关控制单元，与辅助域名服务器和所述使用状态监控单元连接，用于当主域名服务器的使用状态值大于使用阀值时，则相继启动辅助域名服务器，使主域名服务器和辅助域名服务器共同为用户提供域名解析服务； 当过滤向主域名服务器发出攻击的端口后、且主域名服务器的使用状态值小于或等于使用阀值，则相继关闭辅助域名服务器;其中，主域名服务器的使用状态值的计算公式为:r = qi*pi+q2*p2+q3*p3 式中，r为主域名服务器的使用状态值，qi为主域名服务器的CPU的使用比例参数，？1为CHJ的使用比例参数所占的比重，q2为主域名服务器的内存的使用比例参数，p2为内存的使用比例参数所占的比重，q3为主域名服务器的带宽的使用比例参数，P3为带宽的使用比例参数所占的比重。
【文档编号】H04L29/12GK105847281SQ201610317345
【公开日】2016年8月10日
【申请日】2016年5月12日
【发明人】张余
【申请人】中国联合网络通信集团有限公司