专利名称:分布式拒绝服务攻击检测方法和装置的制作方法
技术领域:
本发明实施例涉及分布式拒绝服务攻击检测技术领域,尤其涉及一种分布式拒绝服务攻击检测方法和装置。
背景技术:
随着网络技术的不断发展,利用互联网进行攻击的黑客行为也越来越多,其中,分 布式拒绝服务(Distribution Denial of Service,DDoS)攻击就是一种常见的黑客攻击手 段。DDoS攻击的手段和表现形式很多,但是其共同的攻击策略就是利用协议漏洞,并 通过很多“僵尸主机”向受害主机发送大量看似合法的网络包,从而造成网络阻塞或因服务 器资源耗尽而导致拒绝服务,其中,利用DDoS对域名系统(Domain Name System,DNS)的攻 击即是黑客的一种常见攻击行为。DNS是互联网基础设施提供的一项核心服务,DNS包括将 域名和互联网协议(Internet Protocol, IP)地址相互映射的分布式数据库,以及实现域名 和网络可以识别的IP地址转换的软件系统,DNS在网络中具有非常重要的作用。DNS服务器 一旦遭受DDoS攻击,将会对整个网络造成严重的影响,产生灾难性的后果。目前,针对DNS 中对DDoS攻击进行防范的方法主要包括采用高性能的网络设备,或者保证充足的网络带 宽,或者升级服务器的硬件,或者增强操作系统的TCP/IP协议栈,或者安装专业的抗DDoS 防火墙。发明人在实现本发明的过程中发现现有技术在针对DNS服务器的DDoS攻击中,未 能有效地对DDoS攻击进行主动检测,主要是以被动防御的方式防范DDoS攻击或减少DDoS 攻击的影响,使得DDoS攻击的防御成本较高,且防御效果较差。
发明内容
本发明提供一种分布式拒绝服务攻击检测方法和装置,可基于DNS查询数据实时 和主动地检测DDoS攻击行为,便于及时对DDoS攻击行为进行处理,消除DDoS攻击对DNS 服务器的影响。本发明实施例提供一种分布式拒绝服务攻击检测方法,包括获取DNS服务器上记录的查询日志信息;根据获得的所述查询日志信息,检测是否存在针对所述DNS服务器的DDoS攻击行 为。其中,所述根据获得的所述查询日志信息,检测是否存在针对所述DNS服务器的 DDoS攻击行为包括基于多层感知神经网络和所述DNS服务器上记录的当前查询日志信息,检测是否 存在针对所述DNS服务器的DDoS攻击行为。 所述基于多层感知神经网络和所述DNS服务器上记录的当前查询日志信息,检测 是否存在针对所述DNS服务器的DDoS攻击行为之前还包括
根据所述DNS服务器上记录的所有查询日志信息,提取反映DDoS攻击特征的特征
向量;基于提取的所述反映DDoS攻击特征的特征向量,训练并获得所述多层感知神经网络。所述提取反映DDoS攻击特征的特征向量包括按预设时间粒度提取所述反映DDoS攻击特征的特征向量。所述多层感知神经网络包括输入层、隐藏层和输出层,其中,输入层的输入信息 即所述反映DDoS攻击特征的特征向量。所述反映DDoS攻击特征的特征向量包括DNS查询量、查询率的标准差、IP空间大小、域名空间大小、源端口设置为53的查 询数量、查询记录类型的熵的变化情况、设置递归查询的比例和域名的平均长度的至少一 种。本发明实施例提供一种分布式拒绝服务攻击检测装置,包括信息获取模块,用于获取DNS服务器上记录的查询日志信息;检测模块,根据获得的所述查询日志信息,检测是否存在针对所述DNS服务器的 DDoS攻击行为。其中,所述检测模块,具体用于基于多层感知神经网络和所述DNS服务器上记录 的当前查询日志信息,检测是否存在针对所述DNS服务器的DDoS攻击行为。上述的装置还可包括特征向量提取模块,用于根据所述DNS服务器上记录的所有查询日志信息,提取 反映DDoS攻击特征的特征向量;神经网络训练模块,用于基于提取的所述反映DDoS攻击特征的特征向量,训练并 获得所述多层感知神经网络。所述特征向量提取模块,具体用于根据所述DNS服务器上记录的所有查询日志信 息,按预设时间粒度提取所述反映DDoS攻击特征的特征向量。本发明实施例通过根据DNS查询日志信息存在的针对DNS服务器的DDoS攻击行 为进行检测,可主动地对检测出DDoS攻击行为,且具有较高的DNS检测效率和检测效果,提 高DDoS攻击检测的准确性和可靠性,并可将检测结果通知相关处理装置或管理人员进行 处理,消除DDoS攻击对DNS服务器造成的影响。此外,本发明实施例通过提取反映DDoS攻 击的特征向量,利用多层感知神经网络对DDoS攻击行为进行检测,使得DDoS攻击的检测准 确、可靠,DDoS攻击检测的计算量和部署成本低,检测效率高。
图1为本发明分布式拒绝服务攻击检测方法实施例一的流程示意图;图2为本发明分布式拒绝服务攻击检测方法实施例二的流程示意图;图3为本发明分布式拒绝服务攻击检测方法实施例二中训练多层感知神经网络 的流程示意图;图4为本发明实施例中多层感知神经网络的结构示意图;图5为本发明实施例实际应用中对多层感知神经网络进行训练示意图6为本发明实施例实际应用中DDoS攻击检测率示意图;图7为本发明实施例实际应用中DDoS攻击检测正确率和误报率的变化情况示意图;图8为本发明分布式拒绝服务攻击检测装置实施例一的结构示意图;图9为本发明分布式拒绝服务攻击检测装置实施例二的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。由于DNS是一个分布式数据库,服务器内部模块以及服务器之间可以通过DNS协 议对数据库进行本地控制,同时也允许网络中的用户利用客户端或服务器的方式访问其中 的各个部分的数据,因此,其它主机用户访问DNS服务器时,DNS服务器会记录所有主机用 户的查询行为,每次的查询行为均记录成一条数据,作为查询日志信息保存起来,其中,DNS 服务器记录的查询日志信息主要包括以下字段信息,分别说明如下(1)时间戳,表示查询请求到达DNS服务器的时间,一般可精确到毫秒;(2)源IP 地址,表示发送查询请求的主机的IP地址;(3)源端口号,表示发送查询请求的主机所设置 的端口号;(4)查询内容,表示查询请求的目标域名或者目标IP地址;(5)查询记录类型, 表示查询请求是针对DNS服务器中哪一类记录类型;(6)标志位,表示查询请求的DNS查询 包中各种标志位的设置情况,其主要用来指示DNS服务器作相关的操作。由于上述的DNS服务器记录的查询日志信息是大量DNS查询的相关行为的记载, 这些查询日志信息反映了当前访问DNS服务器的行为,因此,本发明实施例通过基于查询 日志信息,提出了一种主动检测DDoS攻击行为的技术方案,以及时有效地发现针对DNS服 务器的攻击行为,避免DNS服务器免收恶意攻击,提高DNS服务器的安全性和可靠性。下面 将结合实施例对本发明技术方案进行详细的说明。图1为本发明分布式拒绝服务攻击检测方法实施例一的流程示意图。具体地,如 图1所示,本实施例检测方法可包括如下步骤步骤101、获取DNS服务器上记录的查询日志信息;步骤102、根据获得的所述查询日志信息,检测是否存在针对所述DNS服务器的 DDoS攻击行为。本发明实施例可应用于针对DNS服务器的DDoS攻击的检测中,具体地,可根据DNS 服务器上记录的针对DNS服务器的各种查询的查询日志信息,主动检测是否存在针对DNS 服务器的DDoS攻击,并可在检测存在针对DNS服务器的DDoS攻击时,通知相关处理装置或 管理人员进行相应的处理,以避免DDoS攻击对DNS服务器造成的破坏。由于DNS服务器上 记录的查询日志信息可有效反馈出各种DDoS攻击行为,因此,根据DNS服务器上记录的查 询日志信息可准确地检测出存在的DDoS攻击行为。可以看出,本发明实施例中,通过根据DNS查询日志信息存在的针对DNS服务器的 DDoS攻击行为进行检测,可主动地对检测出DDoS攻击行为,且具有较高的DNS检测效率和检测效果,提高DDoS攻击检测的准确性和可靠性,并可将检测结果通知相关处理装置或管 理人员进行处理,消除DDoS攻击对DNS服务器造成的影响。图2为本发明分布式拒绝服务攻击检测方法实施例二的流程示意图。在上述图1 所示实施例技术方案的基础上,本实施例中可通过多层感知神经网络对DNS服务器上记录 的查询日志信息进行处理,以获得DDoS攻击检测结果,具体地,如图2所示,本实施例包括 以下步骤步骤201、获取DNS服务器上记录的查询日志信息;步骤202、基于多层感知神经网络和DNS服务器上记录的当前查询日志信息,检测 是否存在针对DNS服务器的DDoS攻击行为。由于DDoS攻击多是由许多攻击者联手实施的,DDoS攻击中针对DNS服务器的查询 行为较多,DNS服务器记录大量的数据多是非线性数据,因此,本实施例通过多层感知神经 网络对DDoS攻击行为进行检测,并可通过学习总结各种攻击行为的特征,识别出DDoS攻击 行为。具体地,可通过从DNS服务器上记录的查询日志信息训练神经网络,提取反映DDoS攻 击特征的特征向量,训练多层感知神经网络,并根据从当前DNS服务器上提取的反映DDoS 攻击的特征向量和训练的神经网络,获得DDoS攻击检测结果。图3为本发明分布式拒绝服务攻击检测方法实施例二中训练多层感知神经网络 的流程示意图。如图3所示,本实施例中对多层感知神经网络进行训练具体可包括如下步 骤步骤301、根据所述DNS服务器上记录的所有查询日志信息,提取反映DDoS攻击特 征的特征向量;本实施中,可按预设时间粒度提取该反映DDoS攻击特征的特征向量,具体地,本 实施例中预设时间设置为1分钟,即以分钟为单位从记录的查询日志信息中,获取反映 DDoS攻击特征的特征向量。本实施中,所述反映DDoS攻击特征的特征向量具体地可包括DNS查询量、查询率 的标准差、IP空间大小、域名空间大小、源端口设置为53的查询数量、查询记录类型的熵的 变化情况、设置递归查询的比例和域名的平均长度中的至少一种,一般而言,获取的特征向 量的种类越多,则训练后得到的多层感知神经网络对DDoS攻击行为的识别率就越强,检测 到的DDoS攻击行为的准确率将会得到提高。本发明实施例中就是利用上述的8种特征向 量对多层神经网络进行训练,以提DDoS攻击检测的准确性和可靠性。下面对本发明实施例提取的反映DDoS特征的特征向量分别说明如下(I)DNS查询量,该特征向量通过对一分钟的查询量进行平均计算而获得;(2)查询率的标准差,该特征向量是通过对一分钟时间窗口内查询率计算的到,具 体计算公式如下 其中,η表示一分钟内查询数据中记录的秒数,Xi (i = l,2,...,n)表示第i秒钟 的查询量,m表示一分钟内每秒钟查询量的均值;(3) IP空间大小,该特征向量表示一分钟内发出DNS查询请求的主机用户数量;(4)域名空间大小,该特征向量表示一分钟内被访问的域名的数量;
(5)源端口设置为53的查询数量,该特征向量表示针对源端口号设置为53的查询 数量,由于某些针对DNS的DDoS攻击将源端口设置为53,因此对这一设置的查询的特征向 量的提取非常有必要;(6)查询记录类型的熵的变化情况,该特征向量的公式可表示如下 其中,η表示时间窗口内记录类型的种类数,Pi (i = 1,2,... ,η)表示第i种记录 类型出现的概率,Xi (i = 1,2,. . .,η)表示第i种记录类型;(7)设置递归查询的比例,由于某些DDoS攻击会通过将查询设置为递归查询来增 大攻击效果,因此对该特征向量的提取非常有必要;(8)域名的平均长度,由于某些DDoS攻击所查询的域名是由程序随机产生的,这 必然在查询数据上引起域名平均长度的变化,因此对域名的平均长度的特征向量的提取非
常有必要。步骤302、基于提取的所述反映DDoS攻击特征的特征向量,训练并获得所述多层 感知神经网络。根据步骤301获得的8种特征向量即可精确地对多层感知神经网络进行训练,上 述提取的特征向量在很大程度上概括和体现了 DDoS攻击特征,因此,基于上述提取的特征 向量训练出的多层感知神经网络具有更高的识别率,从而使得DDoS攻击检测更加准确和可靠。图4为本发明实施例中多层感知神经网络的结构示意图。本实施例中,所述的多 层感知神经网络可包括输入层、隐藏层和输出层,其中,输入层的输入信息即所述反映DDoS 攻击特征的特征向量。具体地,如图4所示,本实施例输入层包括8个输入单元X1、X2、X3、 X4、X5、X6、X7和X8,分别作为上述的反映DDoS攻击的8个特征向量的输入接口,隐藏层包 括20个单元,输出层包括一个单元,用于输出检测结果,且输出结果为“O”或“1”,根据该输 出值即可确定是否存在针对DNS服务器的DDoS攻击,其中,“1”表示遭受攻击,“O”表示服 务正常。本实施例中,在对多层感知神经网络进行训练时,训练的数据是由从DNS服务器 上记录的查询日志信息提取出来的特征向量组成的输入矩阵,以及预先设置的目标向量, 并利用后向传播训练算法进行训练,使得训练后得到的多层感知神经网络对DDoS攻击的 识别率高,可有效提高DDoS攻击检测的准确性和可靠性。当多层感知神经网络训练后,可 通过实施读取DNS查询日志信息,并从中提取相应的特征向量输入到多层感知神经网络, 并通过多层感知神经网络输出检测结果,若检测结果为1,则说明DNS服务器正在遭受DDoS 攻击,若检测结果为0,则说明DNS服务器工作正常。本发明实施例中,多层感知神经网络能够处理不完整的,畸变的,甚至是非线性的 数据,因此,可有效满足对DDoS攻击中DNS服务器上记录的查询数据的处理;同时,多层 感知神经网络还具有较快的响应时间,可实时地检测出存在的DDoS攻击检测行为,使得在 DNS服务器遭受到毁灭性破坏前发出DDoS攻击信号,从而对DDoS攻击的入侵行为进行预 测,提高DDoS检测的有效性和可靠性;此外,多层感知神经网络可通过学习总结各种DDoS 攻击行为特征,识别出与当前正常行为不匹配的各种攻击行为,提高DDoS攻击检测的准确性和可靠性。本实施例中,通过采用多层感知神经网络进行DDoS攻击,并通过从DNS记录的查询日志信息中提取反映DDoS攻击特征的特征向量对多层神经网络进行训练,输出的检测 结果为DNS服务器遭受DDoS攻击或正常提供服务,因此,可将DNS服务器受到的DDoS攻击 检测转化成二元分类问题,可有效提高整个DDoS攻击检测的快捷性和准确性。同时,本发 明实施例中,只涉及到特征的提取,以及多层感知神经网络的训练,使得DDoS攻击检测的 计算量和部署成本均较低。可以看出,本发明实施例通过多层感知神经网络和DNS服务器上记录的查询日志 信息进行DDoS攻击的检测,可将DNS服务器的DDoS攻击检测转化成二元分类问题,可有效 提高DDoS攻击检测的快速性和便捷性,使得DDoS攻击检测具有更高的准确性和可靠性; 同时,本实施例DDoS攻击检测具有较小的计算量、较低的部署成本、较快的检测速度和较 高的检测准确率,可主动实时地对DNS服务器的DDoS攻击进行检测,避免DNS服务器遭受 DDoS攻击的影响。图5为本发明实施例实际应用中对多层感知神经网络进行训练示意图。根据本 发明实施例技术方案,首先可通过从DNS服务器记录的日志查询信息中提取了反映DDoS 攻击的特征向量,并将获取的8种特征向量组成输入矩阵,作为多层感知神经网络训练的 样本的输入信息,同时设置好目标向量,并利用向后传播训练算法进行训练。实际应用中, 可将神经网络的训练数据分成三个数据集训练集、验证集和测试集,其中,训练集用来训 练神经网络,使得网络能够通过比较输出类别与目标类别之间的误差对链接权重和偏差值 进行调整、修正;验证集用来度量网络的一般性,并能在一般性不再提高的时候及时停止训 练过程,这样可以避免网络出现“过拟合”问题;测试集独立于训练过程,用来在训练过程 结束后单独对网络进行测试,以检验其识别率。图5表示利用本实施例进行神经网络训练 时的总体性能,从图5所示可以看出,随着训练周期的推进,三个数据集的均方误差(Mean SquareError, MSE)都逐渐减小,在第39个周期时,验证集MSE变化曲线出现拐点,该点验 证集MSE达到最小,训练过程停止。也就是说,在对该神经网络训练到第39个周期的时候, 性能达到最优,训练结束。图6为本发明实施例实际应用中DDoS攻击检测率示意图。如图6所示,本实施例 应用于DDoS攻击检测时,具有较高的检测效率,其中,图6中的混淆矩阵的对角线中单元1 和单元2中的数字表示神经网络分类器的输出与目标相一致的样本数,也即识别正确的样 本数,单元1和单元2上的百分数表示它们分别占总样本数的比例;该混淆矩阵的对角线中 单元3中的百分数98. 2%表示识别的总正确率,百分数1. 8%代表错误率或失配率;该混 淆矩阵的对角线左下角的单元4中的百分数86. 4%为正确检测率(True Positive Rate, TPR),其检测理论中重要的衡量标准,越大越好,可用来反映神经网络的灵敏度;该混淆矩 阵中的最下方中间单元5中百分数0.0%表示失败检测率(False Positive Rate, FPR), 其也是检测理论中重要的衡量标准,数值越小越好,用来反映神经网络的误报率,即将正常 流量误报为攻击的比例。从图5中可以看出,利用本实施例进行DDoS攻击检测时,TPR = 86. 4%, FPR = 0.0%,本神经网络具有很高的灵敏度,而且不会发生误报。图7为本发明实施例实际应用中DDoS攻击检测正确率和误报率的变化情况示意 图。图7反映了利用本实施例进行DDoS攻击检测时,检测正确率和误报率的变化情况,其中,ROC曲线(Receiver Operating Curve)表示在神经网络分类过程中TPR和FPR的变化 情况以及相互关系,从图7可以看出,R0C曲线接近左上角,说明本神经网络具有比较理想 的检测效果,其中TPR > 0.8, FPR接近于0。图8为本发明分布式拒绝服务攻击检测装置实施例一的结构示意图。具体地,如 图8所示,本实施例装置包括信息获取模块1和检测模块2,其中信息获取模块1,用于获取DNS服务器上记录的查询日志信息;检测模块2,用于根据获得的所述查询日志信息,检测是否存在针对所述DNS服务 器的DDoS攻击行为。本发明实施例可应用于针对DNS服务器的DDoS攻击的检测中,通过根据DNS服务 器上记录的针对DNS服务器的各种查询的的查询日志信息,主动检测是否存在针对DNS服 务器的DDoS攻击,其具体实现过程可参考上述本发明方法实施例的说明,在此不再赘述。本发明实施例通过根据DNS查询日志信息存在的针对DNS服务器的DDoS攻击行 为进行检测,可主动地对检测出DDoS攻击行为,且具有较高的DNS检测效率和检测效果,提 高DDoS攻击检测的准确性和可靠性,并可将检测结果通知相关处理装置或管理人员进行 处理,消除DDoS攻击对DNS服务器造成的影响。图9为本发明分布式拒绝服务攻击检测装置实施例二的结构示意图。如图9所示, 本实施例包括信息获取模块1、检测模块2、特征向量提取模块3和神经网络训练模块4,其 中信息获取模块1,用于获取DNS服务器上记录的查询日志信息;检测模块2,用于基于多层感知神经网络和所述DNS服务器上记录的当前查询日 志信息,检测是否存在针对所述DNS服务器的DDoS攻击行为;特征向量提取模块3,用于根据所述DNS服务器上记录的所有查询日志信息,提取 反映DDoS攻击特征的特征向量;神经网络训练模块4,用于基于提取的所述反映DDoS攻击特征的特征向量,训练 并获得所述多层感知神经网络。本实施例中,当信息获取模块1获得DNS服务器上记录的查询日志信息后,可首先 通过特征向量提取模块3和神经网络训练模块4对多层感知神经网络进行训练,最后可通 过检测模块2利用训练好多层感知神经网络进行DDoS攻击检测,其具体实现过程可参考上 述本发明方法实施例二的说明,在此不再赘述。本发明实施例通过多层感知神经网络和DNS服务器上记录的查询日志信息进行 DDoS攻击的检测,可将DNS服务器的DDoS攻击检测转化成二元分类问题,可有效提高DDoS 攻击检测的快速性和便捷性,使得DDoS攻击检测具有更高的准确性和可靠性;同时,本实 施例DDoS攻击检测具有较小的计算量、较低的部署成本、较快的检测速度和较高的检测准 确率,可主动实时地对DNS服务器的DDoS攻击进行检测,避免DNS服务器遭受DDoS攻击的 影响。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。
最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种分布式拒绝服务攻击检测方法,其特征在于,包括获取DNS服务器上记录的查询日志信息;根据获得的所述查询日志信息,检测是否存在针对所述DNS服务器的DDoS攻击行为。
2.根据权利要求1所述的分布式拒绝服务攻击检测方法,其特征在于,所述根据获得 的所述查询日志信息,检测是否存在针对所述DNS服务器的DDoS攻击行为包括基于多层感知神经网络和所述DNS服务器上记录的当前查询日志信息,检测是否存在 针对所述DNS服务器的DDoS攻击行为。
3.根据权利要求2所述的分布式拒绝服务攻击检测方法,其特征在于,所述基于多层 感知神经网络和所述DNS服务器上记录的当前查询日志信息,检测是否存在针对所述DNS 服务器的DDoS攻击行为之前还包括根据所述DNS服务器上记录的所有查询日志信息,提取反映DDoS攻击特征的特征向量;基于提取的所述反映DDoS攻击特征的特征向量,训练并获得所述多层感知神经网络。
4.根据权利要求3所述的分布式拒绝服务攻击检测方法,其特征在于,所述提取反映 DDoS攻击特征的特征向量包括按预设时间粒度提取所述反映DDoS攻击特征的特征向量。
5.根据权利要求3所述的分布式拒绝服务攻击检测方法,其特征在于,所述多层感知 神经网络包括输入层、隐藏层和输出层,其中,输入层的输入信息即所述反映DDoS攻击特 征的特征向量。
6.根据权利要求3所述的分布式拒绝服务攻击检测方法,其特征在于,所述反映DDoS 攻击特征的特征向量包括DNS查询量、查询率的标准差、IP空间大小、域名空间大小、源端口设置为53的查询数 量、查询记录类型的熵的变化情况、设置递归查询的比例和域名的平均长度的至少一种。
7.一种分布式拒绝服务攻击检测装置,其特征在于,包括 信息获取模块,用于获取DNS服务器上记录的查询日志信息;检测模块,根据获得的所述查询日志信息,检测是否存在针对所述DNS服务器的DDoS 攻击行为。
8.根据权利要求7所述的分布式拒绝服务攻击检测装置,其特征在于,所述检测模块, 具体用于基于多层感知神经网络和所述DNS服务器上记录的当前查询日志信息,检测是否 存在针对所述DNS服务器的DDoS攻击行为。
9.根据权利要求8所述的分布式拒绝服务攻击检测装置,其特征在于,还包括 特征向量提取模块,用于根据所述DNS服务器上记录的所有查询日志信息,提取反映DDoS攻击特征的特征向量;神经网络训练模块,用于基于提取的所述反映DDoS攻击特征的特征向量,训练并获得 所述多层感知神经网络。
10.根据权利要求9所述的分布式拒绝服务攻击检测装置,其特征在于,所述特征向量 提取模块,具体用于根据所述DNS服务器上记录的所有查询日志信息,按预设时间粒度提 取所述反映DDoS攻击特征的特征向量。
全文摘要
本发明公开了一种分布式拒绝服务攻击检测方法和装置。该方法包括获取DNS服务器上记录的查询日志信息;根据获得的所述查询日志信息,检测是否存在针对所述DNS服务器的DDoS攻击行为。该装置包括信息获取模块和检测模块。本发明技术方案通过根据DNS服务器上的查询日志信息,可有效检测DDoS攻击行为,避免DNS服务遭受DDoS攻击。
文档编号H04L29/12GK101841533SQ20101012930
公开日2010年9月22日 申请日期2010年3月19日 优先权日2010年3月19日
发明者吴军, 李晓东, 毛伟, 王欣, 金键 申请人:中国科学院计算机网络信息中心