[go: up one dir, main page]

CN101854404B - 检测域名系统异常的方法和装置 - Google Patents

检测域名系统异常的方法和装置 Download PDF

Info

Publication number
CN101854404B
CN101854404B CN201010198228.8A CN201010198228A CN101854404B CN 101854404 B CN101854404 B CN 101854404B CN 201010198228 A CN201010198228 A CN 201010198228A CN 101854404 B CN101854404 B CN 101854404B
Authority
CN
China
Prior art keywords
entropy
domain name
name system
data block
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010198228.8A
Other languages
English (en)
Other versions
CN101854404A (zh
Inventor
毛伟
李晓东
丁森林
王欣
吴军
金键
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Internet Network Information Center
Original Assignee
Computer Network Information Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Network Information Center of CAS filed Critical Computer Network Information Center of CAS
Priority to CN201010198228.8A priority Critical patent/CN101854404B/zh
Priority to PCT/CN2010/074577 priority patent/WO2011150579A1/zh
Publication of CN101854404A publication Critical patent/CN101854404A/zh
Application granted granted Critical
Publication of CN101854404B publication Critical patent/CN101854404B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种检测域名系统异常的方法和装置,属于计算机网络技术领域。所述方法包括:将域名系统查询数据流划分为多个数据块;根据预设查询属性计算所述多个数据块的熵值,得到对应的多个熵值;判断得到的所述多个熵值中是否有预设个数的熵值超过预设阈值,如果是,则确定所述域名系统发生了异常。所述装置包括:划分模块,计算模块和判断模块。本发明通过计算域名系统查询数据流中多个数据块的熵值,当得到的对应的多个熵值中有预设个数的熵值超过预设阈值时,确定域名系统发生了异常,本发明能够对域名系统系统发生异常起到预警作用,从而减少当域名系统系统发生异常后的损失,相对于现有技术来说,检测准确度高,而且漏检率低。

Description

检测域名系统异常的方法和装置
技术领域
本发明涉及计算机网络安全技术,尤其涉及一种检测域名系统异常的方法和装置,属于计算机网络技术领域。
背景技术
域名系统(Domain Name System,以下简称DNS)是一个分布式数据库系统,该系统用于将域名转换成为网络可以识别的IP地址。由于DNS是互联网络的基础,如果DNS异常将会对整个网络造成严重的影响,因此对DNS异常进行检测十分重要。
现有技术对DNS异常进行检测的方法主要有基于查询流量的变化或查询属性取值的变化来确定DNS是否发生异常。基于查询流量的变化来确定DNS是否发生异常是指:当查询流量特别大或者特别小的时候认为DNS发生异常。
发明人在实现本发明的过程中,发现现有技术至少存在以下问题:
基于查询流量的变化来确定DNS是否发生异常的方案具有滞后性,在检测到异常的时候,查询流量往往已经累积到一定程度,已经造成了比较严重的后果,因此不能起到预警作用。有时,异常的发生不一定能影响DNS查询流量,因此基于查询流量的变化来确定DNS是否发生异常具有很高的漏检率。
发明内容
本发明提供一种检测DNS异常的方法和装置,以解决现有技术中检测DNS异常滞后,且漏检率高的问题。
本发明提供的检测DNS异常的方法包括:
将域名系统查询数据流划分为多个数据块;
根据预设查询属性计算所述多个数据块的熵值,得到对应的多个熵值;
判断得到的所述多个熵值中是否有预设个数的熵值超过预设阈值,如果是,则确定所述域名系统发生了异常。
本发明提供的检测DNS异常的装置包括:
划分模块,用于将域名系统查询数据流划分为多个数据块;
计算模块,用于根据预设查询属性计算所述多个数据块的熵值,得到对应的多个熵值;
判断模块,用于判断得到的多个熵值中是否有预设个数的熵值超过预设阈值,如果是,则输出表示所述域名系统发生异常的信息。
本发明通过计算DNS查询数据流中多个数据块的熵值,当得到的对应的多个熵值中有预设个数的熵值超过预设阈值时,确定DNS系统发生了异常,本发明能够对DNS系统发生异常起到预警作用,从而减少当DNS系统发生异常后的损失,且漏检率低。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍。
图1为本发明检测DNS异常的方法实施例流程示意图;
图2为根据指定时间划分数据块的示意图;
图3为采用窗口大小为10000时得到的熵值曲线;
图4为DNS查询率曲线;
图5为本发明检测DNS异常的装置实施例结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明的附图,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明初次将熵的理论应用到DNS的异常检测中,因此首先对熵作一下介绍。熵在信息论中的定义为:如果一个系统S中存在一个事件集合E={E1,E2,…,En},E1,E2,…,En为事件集合E中的每一个事件。每个事件的概率分布P={P1,P2,…,Pn},P1,P2,…,Pn为每一个事件出现的概率。每个事件r本身的信息量Ir可由公式(1)计算:
Ir=-log2Pr                                     (1)
公式(1)中,r=1,2,…,n。
例如:英语有26个字母,假如每个字母在文章中出现次数平均的话,每个字母的信息量为:I=-log2(1/26)=4.7
而汉字常用的有2500个,假如每个汉字在文章中出现次数平均的话,每个汉字的信息量为:I=-log2(1/2500)=11.3
熵是整个系统S的平均信息量,设熵为Hs,则熵的计算方法如公式(2)所示:
H s = Σ r = 1 n p r I r = - Σ r = 1 n p r log 2 p r - - - ( 2 )
在信息传播领域中熵表示信息的不确定性。高信息度的熵值较低,说明高信息度的系统比较稳定;而低信息度的熵值较高,说明低信息度的系统不稳定,容易发生异常,因此可以通过熵值来检测DNS是否发生异常。
实施例1
图1为本发明检测DNS异常的方法实施例流程示意图,如图1所示,该方法包括:
步骤101:将DNS查询数据流划分为多个数据块;
需要说明的是:划分的数据块越大,也就是说每个数据块包括的查询数据量越多,该数据块的熵值的变化就越平缓,能够有效降低误检测的情况发生,但同时也降低了对异常流量的敏感度,漏检率上升;反之,数据块越小,也就是说每个数据块包括的查询数据量越少,检测DNS异常的灵敏度就越高,但准确性又会相应的降低。
实际应用中,可以将DNS查询数据流按照指定时间和/或按照指定查询量划分为多个数据块。例如,可以将DNS查询数据流中每一分钟的查询数据量划分为一个数据块,或者将DNS查询数据流中每1000条查询记录的查询量划分为一个数据块;还可以同时按照指定时间和指定查询量进行划分,例如,当达到指定时间,但未达到指定查询量时划分为一个数据块,或者达到指定查询量,但没有达到指定时间时划分为一个数据块。还可以根据时间段函数来划分,比如,在上午8:30到12:00之间,可以将数据块按照较小的时间段来划分,例如:每隔20-30秒划分一个数据块;在中午12:00到下午1:00可以将数据块按照较长的时间段划分,例如:每隔2-3分钟划分一个数据块。这种划分可以由技术人员根据实际情况进行调整,或者依据经验和查询数据量的大小来划分数据块。
步骤102:根据预设查询属性计算多个数据块的熵值,得到对应的多个熵值;
其中,预设查询属性包括查询类型、查询中出现的错误类型、查询中出现的查询源IP或者查询中的查询域名出现情况,但不限于这些查询属性,只要是按照某种类别划分的查询属性均可。
上述的查询类型至少包括:域名对应的IP地址记录(Address,简称A)、IPv6主机的地址记录AAAA、反向记录(Pointer,简称PTR)、邮件交换记录(Mail exchanger,简称MX)、名字服务器记录(Name Server,简称NS)、起始授权机构记录(Start Of Authority,简称SOA)。
查询中出现的错误类型是指:发送的DNS查询请求中包含非法的字段,主要错误类型包括:查询源地址是私有地址、查询类型不存在、查询的顶级域不存在、查询的名字中包含非法的字符、查询的名字格式错误、重复查询或正常查询类等。其中,正常查询是指没有错误的查询,可以当预设查询属性为错误类型时,将没有错误的查询归入到正常查询类中,使得每条查询记录都可以归入具体某个类型中。
根据预设查询属性计算多个数据块的熵值,具体为:
计算预设查询属性的每个元素在每个数据块中出现的概率;
根据预设查询属性的每个元素在每个数据块中出现的概率,计算每个数据块的熵值。
当划分的多个数据块之间存在相互重叠的部分时,例如,图2为根据指定时间划分数据块的示意图,如图2所示,8:00至8:10之间的查询量为一个数据块,8:03至8:13之间的查询量为一个数据块,……,即10分钟划分一个数据块,每个数据块之间有3分钟的重叠时间,这样将查询数据流划分为多个有重叠的数据块。本实施例以划分的每个数据块包括指定查询量为例进行详细说明。
设每个数据块包括的指定查询量为10条查询记录,当前数据块为第i个数据块,与当前数据块相邻的前一数据块为第i-1个数据块,与当前数据块相邻的后一数据块为第i+1个数据块,若第i-1个数据块包括第1条至第10条的查询记录,则第i个数据块包括第2条至第11条的查询记录,第i+1个数据块包括第3条至第12条查询记录。第i-1个数据块与第i个数据块重叠部分的查询量为第2条至第10条查询记录,第i个数据块与第i+1个数据块重叠部分的查询量为第3条至第11条查询记录。
当划分的多个数据块之间存在相互重叠的部分时,根据预设查询属性计算多个数据块的熵值,可以包括:
计算与当前数据块相邻的前一数据块的熵值H1
根据与当前数据块相邻的前一数据块的熵值H1,计算当前数据块的熵值H2
根据与当前数据块相邻的前一数据块的熵值H1,计算当前数据块的熵值H2,具体为:
计算第一指定查询量和第二指定查询量分别在第i-1个数据块中的加权信息量Tf和Tl;第一指定查询量是指第i个数据块与第i-1个数据块重叠部分前不重叠部分的查询量;第二指定查询量是指第i个数据块与第i+1个数据块重叠部分后不重叠部分的查询量;
继续上述的例子,第一指定查询量是指第1条查询记录,第二指定查询量是指第12条查询记录。
第1条查询记录所属的查询类型在第i-1个数据块中出现的概率为Pf,则Tf=-Pflog2Pf
第12条查询记录所属的查询类型在第i-1个数据块中出现的概率为Pl,则Tl=-Pllog2Pl
计算第二指定查询量和第三指定查询量分别在第i个数据块中的加权信息量
Figure BSA00000148895300061
Figure BSA00000148895300062
第三指定查询量是指第i个数据块与第i+1个数据块重叠部分前不重叠部分的查询量;
继续上述的例子,第12条查询记录所属的查询类型在第i个数据块中出现的概率为
Figure BSA00000148895300064
第三指定查询量是指第2条查询记录,则第2条查询记录所属的查询类型在第i个数据块中出现的概率为
Figure BSA00000148895300065
Figure BSA00000148895300066
根据第i-1数据块的熵值H1、Tf、Tl
Figure BSA00000148895300067
Figure BSA00000148895300068
计算第i个数据块的熵值H2,即
Figure BSA00000148895300071
其中,当i为2,即与当前数据块相邻的前一数据块为划分的第一个数据块时,计算预设查询属性的每个元素在第一个数据块中出现的概率;
根据上述概率计算第一个数据块的熵值H1
例如,若预设查询属性为查询类型,则查询类型中的元素为具体的查询类型,如上述的A、AAAA、PTR、MX、NS、SOA等,每一条查询记录只能属于一个查询类型。可以计算该数据块中每一条查询记录所属的查询类型在该数据块中出现的概率,然后根据每一条查询记录所属的查询类型在该数据块中出现的概率来计算该数据块的熵值,计算公式为
H k = Σ j = 1 n p i I j = - Σ j = 1 n p j log 2 p j - - - ( 3 )
公式(3)中,Hk为每个数据块的熵值,j表示每个数据块中第j条查询记录,n表示每个数据块中有n条查询记录,pj为每个数据块中第j条查询记录所属的查询类型在该数据块中出现的概率;
当预设查询属性为查询源IP时,查询源IP中的元素为每一条查询记录对应的IP地址。由于每个数据块中的每一条查询记录只能是来自一个IP地址,则可以计算一个数据块中每一条查询记录的IP地址在该数据块中出现的概率,然后根据每一条查询记录的IP地址在该数据块中出现的概率来计算该数据块的熵值。
需要说明的是:预设查询属性还可以同时包括两种或两种以上,例如,当预设查询属性包括查询类型和查询源IP时,可以根据该两种查询属性分别计算每个数据块的熵值,然后将根据查询类型和查询源IP分别计算得到的两个熵值加权相加,将得到的加权相加的结果作为该数据块的最终熵值。
步骤103:判断上述得到的多个熵值中是否有预设个数的熵值超过预设阈值,如果是,则确定DNS发生了异常。
若设置预设个数为5,则如果步骤102得到的多个熵值中有5个熵值均超过了预设阈值,则确定该DNS发生了异常。预设个数也可以设置为1、2等等其它个数。预设个数的多少会影响检测结果的精度,预设个数越大,得到的检测精度越高,但同时漏检率也上升。预设个数越小,检测精度越低,漏检率也同时降低,预设个数的选择需要根据实际的网络状况和经验来确定。
本实施例中DNS查询数据可以是历史DNS查询数据,也可以是实时DNS查询数据。如果DNS查询数据是历史DNS查询数据,则本实施例提供的方法可以用来对DNS使用情况进行分析,分析结果可以用来进行DNS优化;本实施例更多的应用在实时检测的场景中,即DNS查询数据为实时DNS查询数据,用来及时发现DNS中的异常,避免DNS遭受严重损失。
为了更好的体现本发明的效果,可以2009年5月19日中国互联网发生大面积断网事故为例进行说明。发生大面积断网事故的原因就是DNS系统遭受到了攻击,根据从中国(China,简称CN)某个顶级结点的DNS权威服务器上采集到的2009年5月19日9:00-24:00之间的查询记录进行具体分析,将2009年5月19日9:00-24:00之间的查询记录划分为多个数据块,每个数据块的大小为10000,即每个数据块包括10000条查询记录,计算每个数据块的熵值,将得到的多个熵值绘制为熵值曲线。图3为数据块大小为10000时得到的熵值曲线,图4为DNS查询率曲线,查询率为每分钟的查询次数。从图3中可以看出,16:00左右熵值曲线已经出现了剧烈波动,即有多个熵值均超过了预设阈值,表明这时候已经开始有大量的DNS异常流量进入网络,即DNS已经发生了异常;而在图4所示的查询率曲线中,18:30左右查询流量才呈现出显著异常,但此时大面积断网已经开始发生,因此可以明显看出,现有技术基于查询流量的检测方案具有滞后性和很高的漏检率;本发明提供的检测DNS异常的方法可以预先及时的检测到DNS中的异常,起到了预警的作用。
本发明通过将DNS查询数据流划分为多个数据块,根据预设查询属性计算多个数据块的熵值,得到对应的多个熵值,当该多个熵值中有预设个数的熵值超过预设阈值时,确定DNS发生了异常。由于熵值是对DNS查询数据的查询属性随机分布的度量,当DNS发生异常时,例如,当DNS遭受到攻击时,DNS查询数据的查询属性的随机分布就会发生变化,从而也会导致熵值发生变化。根据熵值的变化情况就可以得知DNS发生了异常,而现有技术的基于流量的检测方法在DNS发生异常时,当DNS异常的表现不是很明显时,DNS的查询流量也不会发生很明显的变化,因而也就不能检测出DNS发生异常,只有当DNS异常表现得很严重时,例如发生大面积的网络瘫痪,导致大量用户无法使用网络时,现有技术的基于流量的检测方法才能检测出DNS流量异常,进而检测出DNS发生异常,具有明显的滞后性;而本发明可以在发生如大面积网络故障等严重的异常情况之前就可以检测到DNS发生了异常,能够对DNS发生异常起到预警作用,使用户能够在DNS异常严重之前做好准备,避免了严重的DNS异常给用户带来的损失,降低了漏检率,提高了用户体验;并且由于DNS是一个极其复杂的系统,现有技术基于查询属性取值的变化来确定DNS是否发生异常时,没有考虑DNS系统内部复杂的状态变化,因而检测精度不高,而本发明进一步的实施例中,当划分的多个数据块之间存在重叠部分时,得到的多个熵值之间也反映了DNS系统内部状态的变化,使得检测精度大大提高。
实施例2
图5为本发明检测DNS异常的装置实施例示意图,如图5所示,该装置包括:划分模块201、计算模块202和判断模块203;
其中,划分模块201,用于将DNS查询数据流划分为多个数据块;
具体的,划分模块201用于将DNS查询数据流按照指定时间和/或按照指定查询量划分为多个数据块。
计算模块202,用于根据预设查询属性计算划分模块201划分的多个数据块的熵值,得到对应的多个熵值;
其中,计算模块202包括第一计算单元和第二计算单元;
第一计算单元,用于计算预设查询属性的每个元素在每个数据块中出现的概率;
第二计算单元,用于根据第一计算单元得到的预设查询属性的每个元素在每个数据块中出现的概率,计算划分模块201划分的多个数据块的熵值,得到对应的多个熵值。
当划分模块201划分的多个数据块之间存在相互重叠的部分时,计算模块202包括:
第三计算单元,用于计算与当前数据块相邻的前一数据块的熵值H1
第四计算单元,用于根据第三计算单元计算的与当前数据块相邻的前一数据块的H1,计算当前数据块的熵值H2
其中,第三计算单元包括:
第一计算子单元,用于当上述与当前数据块相邻的前一数据块为划为的第一个数据块时,计算预设查询属性的每个元素在第一个数据块中出现的概率;
第二计算子单元,用于根据预设查询属性的每个元素在第一个数据块中出现的概率,计算第一个数据块的熵值H1
判断模块203,用于判断计算模块202得到的多个熵值中是否有预设个数的熵值超过预设阈值,如果是,则输出表示DNS发生异常的信息。
需要说明的是:对于检测DNS异常的装置第一实施例而言,由于其基本相应于方法第一实施例,所以相关之处参见方法第一实施例的部分说明即可。
本发明通过将DNS查询数据流划分为多个数据块,根据预设查询属性计算多个数据块的熵值,得到多个对应的熵值,当该多个熵值中有预设个数的熵值超过预设阈值时,确定DNS发生了异常。由于熵值是对DNS查询数据的查询属性随机分布的度量,当DNS发生异常时,例如,当DNS遭受到攻击时,DNS查询数据的查询属性的随机分布就会发生变化,从而也会导致熵值发生变化。根据熵值的变化情况就可以得知DNS发生了异常,而现有技术的基于流量的检测方法在DNS发生异常时,当DNS异常的表现不是很明显时,DNS的查询流量也不会发生很明显的变化,因而也就不能检测出DNS发生异常,只有当DNS异常表现得很严重时,例如发生大面积的网络瘫痪,导致大量用户无法使用网络时,现有技术的基于流量的检测方法才能检测出DNS流量异常,进而检测出DNS发生异常,具有明显的滞后性;而本发明可以在发生如大面积网络故障等严重的异常情况之前就可以检测到DNS发生了异常,能够对DNS发生异常起到预警作用,使用户能够在DNS异常严重之前做好准备,避免了严重的DNS异常给用户带来的损失,降低了漏检率,提高了用户体验;并且由于DNS是一个极其复杂的系统,现有技术基于查询属性取值的变化来确定DNS是否发生异常时,没有考虑DNS系统内部复杂的状态变化,因而检测精度不高,而本发明进一步的实施例中,当划分的多个数据块之间存在重叠部分时,得到的多个熵值之间也反映了DNS系统内部状态的变化,使得检测精度大大提高。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种检测域名系统异常的方法,其特征在于,所述方法包括:
将域名系统查询数据流划分为多个数据块;
根据预设查询属性计算所述多个数据块的熵值,得到对应的多个熵值;其中,当所述多个数据块之间存在相互重叠的部分时,则根据预设查询属性计算所述多个数据块的熵值,包括:计算与当前数据块相邻的前一数据块的熵值;根据所述与当前数据块相邻的前一数据块的熵值,计算所述当前数据块的熵值;
判断得到的所述多个熵值中是否有预设个数的熵值超过预设阈值,如果是,则确定所述域名系统发生了异常。
2.根据权利要求1所述的检测域名系统异常的方法,其特征在于,所述将所述域名系统查询数据流划分为多个数据块包括:
将所述域名系统查询数据流按照指定时间和/或指定查询量划分为多个数据块。
3.根据权利要求1所述的检测域名系统异常的方法,其特征在于,当所述与当前数据块相邻的前一数据块为划为的第一个数据块时,计算所述预设查询属性的每个元素在所述第一个数据块中出现的概率;
根据所述概率计算所述第一个数据块的熵值。
4.根据权利要求1所述的检测域名系统异常的方法,其特征在于,所述预设查询属性包括:查询类型、错误类型、查询源IP地址和/或查询域名。
5.根据权利要求4所述的检测域名系统异常的方法,其特征在于,所述预设查询属性包括至少两种查询属性时,所述熵值为分别根据所述至少两种查询属性得到的至少两个熵值加权求和的结果。
6.一种检测域名系统异常的装置,其特征在于,所述装置包括:
划分模块,用于将域名系统查询数据流划分为多个数据块;
计算模块,用于根据预设查询属性计算所述多个数据块的熵值,得到对应的多个熵值;其中,在所述多个数据块之间存在相互重叠的部分时,所述计算模块包括:第三计算单元,用于计算与当前数据块相邻的前一数据块的熵值;第四计算单元,用于根据所述第三计算单元计算的与当前数据块相邻前一数据块的熵值,计算所述当前数据块的熵值;
判断模块,用于判断得到的多个熵值中是否有预设个数的熵值超过预设阈值,如果是,则输出表示所述域名系统发生异常的信息。
7.根据权利要求6所述的检测域名系统异常的装置,其特征在于,所述划分模块,具体用于将所述域名系统查询数据流按照指定时间和/或指定查询量划分为多个数据块。
8.根据权利要求6所述的检测域名系统异常的装置,其特征在于,所述第三计算单元包括:
第一计算子单元,用于当所述与当前数据块相邻的前一数据块为划为的第一个数据块时,计算所述预设查询属性的每个元素在所述第一个数据块中出现的概率;
第二计算子单元,用于根据所述概率计算所述第一个数据块的熵值。
CN201010198228.8A 2010-06-04 2010-06-04 检测域名系统异常的方法和装置 Active CN101854404B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201010198228.8A CN101854404B (zh) 2010-06-04 2010-06-04 检测域名系统异常的方法和装置
PCT/CN2010/074577 WO2011150579A1 (zh) 2010-06-04 2010-06-28 检测域名系统异常的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010198228.8A CN101854404B (zh) 2010-06-04 2010-06-04 检测域名系统异常的方法和装置

Publications (2)

Publication Number Publication Date
CN101854404A CN101854404A (zh) 2010-10-06
CN101854404B true CN101854404B (zh) 2013-08-07

Family

ID=42805666

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010198228.8A Active CN101854404B (zh) 2010-06-04 2010-06-04 检测域名系统异常的方法和装置

Country Status (2)

Country Link
CN (1) CN101854404B (zh)
WO (1) WO2011150579A1 (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105745868B (zh) * 2013-11-26 2019-04-26 爱立信(中国)通信有限公司 网络中异常检测的方法和装置
CN104268289B (zh) * 2014-10-21 2017-12-12 中国建设银行股份有限公司 链接url的失效检测方法和装置
CN105471639B (zh) * 2015-11-23 2018-07-27 清华大学 基于中位数的网络流量熵值估算方法及装置
CN106533829B (zh) * 2016-11-04 2019-04-30 东南大学 一种基于比特熵的dns流量识别方法
CN106803824A (zh) * 2016-12-19 2017-06-06 互联网域名系统北京市工程研究中心有限公司 一种针对随机域名查询攻击的防护方法
CN107707375B (zh) * 2017-05-26 2018-07-20 贵州白山云科技有限公司 一种定位解析故障的方法和装置
SG10202002125QA (en) * 2020-03-09 2020-07-29 Flexxon Pte Ltd System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats
CN111818037A (zh) * 2020-07-02 2020-10-23 上海工业控制安全创新科技有限公司 基于信息熵的车载网络流量异常检测防御方法及防御系统
CN113676379B (zh) * 2021-09-01 2022-08-09 上海观安信息技术股份有限公司 一种dns隧道检测方法、装置、系统及计算机存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101051952A (zh) * 2007-04-18 2007-10-10 东南大学 高速多链路逻辑信道环境下的自适应抽样流测量方法
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2005299317A1 (en) * 2004-10-25 2006-05-04 Security First Corp. Secure data parser method and system
CN101378394B (zh) * 2008-09-26 2012-01-18 成都市华为赛门铁克科技有限公司 分布式拒绝服务检测方法及网络设备
CN101645884B (zh) * 2009-08-26 2012-09-05 西安理工大学 基于相对熵理论的多测度网络异常检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101051952A (zh) * 2007-04-18 2007-10-10 东南大学 高速多链路逻辑信道环境下的自适应抽样流测量方法
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王垚.《域名系统安全性研究》.《域名系统安全性研究》.2008, *

Also Published As

Publication number Publication date
CN101854404A (zh) 2010-10-06
WO2011150579A1 (zh) 2011-12-08

Similar Documents

Publication Publication Date Title
CN101854404B (zh) 检测域名系统异常的方法和装置
US20240340304A1 (en) Entity ip mapping
Sun et al. Less is more: Compact matrix decomposition for large sparse graphs
CN101325520B (zh) 基于日志的智能自适应网络故障定位和分析方法
US20080229056A1 (en) Method and apparatus for dual-hashing tables
CN107273267A (zh) 基于elastic组件的日志分析方法
CN103152442B (zh) 一种僵尸网络域名的检测与处理方法及系统
CN101826996A (zh) 域名系统流量检测方法与域名服务器
CN101615186A (zh) 一种基于隐马尔科夫理论的bbs用户异常行为审计方法
CN102722584B (zh) 数据存储系统及方法
Clifford et al. A statistical analysis of probabilistic counting algorithms
EP4012980A1 (en) Application identification method and apparatus, and storage medium
RU2010128169A (ru) Поддержка асинхронной многоуровневой отмены в сетке javascript
CN102142983A (zh) 告警相关性分析方法和装置
CN111581202A (zh) 大数据交换系统
Deng et al. New estimation algorithms for streaming data: Count-min can do more
CN106294468B (zh) 处理业务数据的方法和装置
US11170050B1 (en) Method and device for graph data quality verification
CN107402957A (zh) 用户行为模式库的构建及用户行为异常检测方法、系统
CN110825817A (zh) 一种企业疑似关联关系判定方法及系统
CN110851758B (zh) 一种网页访客数量统计方法及装置
US20150220648A1 (en) Systems and Methods for Performing Machine-Implemented Tasks
Chen et al. Worst-input mutation approach to web services vulnerability testing based on SOAP messages
CN105554181A (zh) 一种dns日志压缩方法和装置
CN102915313A (zh) 网络搜索中的纠错关系生成方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB03 Change of inventor or designer information

Inventor after: Mao Wei

Inventor after: Li Xiaodong

Inventor after: Ding Senlin

Inventor after: Wang Xin

Inventor after: Wu Jun

Inventor after: Jin Jian

Inventor before: Mao Wei

Inventor before: Li Xiaodong

Inventor before: Ding Senlin

Inventor before: Wang Xin

Inventor before: Wu Jun

Inventor before: Jin Jian

Inventor before: Lu Wenzhe

COR Change of bibliographic data

Free format text: CORRECT: INVENTOR; FROM: MAO WEI LI XIAODONG DING SENLIN WANG XIN WU JUN JIN JIAN LU WENZHE TO: MAO WEI LI XIAODONG DING SENLIN WANG XIN WU JUN JIN JIAN

C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210207

Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing

Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER

Address before: 100190 No. four, four South Street, Haidian District, Beijing, Zhongguancun

Patentee before: Computer Network Information Center, Chinese Academy of Sciences

TR01 Transfer of patent right