申请/专利权人：湖南大学

申请日：2024-02-01

公开（公告）日：2024-05-03

公开（公告）号：CN117978500A

主分类号：H04L9/40

分类号：H04L9/40;H04L61/4511

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.05.21#实质审查的生效;2024.05.03#公开

摘要：本发明公开了一种基于多查询的跳板式DNS泛洪攻击检测与缓解方法，所述方法包括：将待检测攻击转换成计数结构BeauCoup中的查询形式，当某条流抽取的彩票数超过阈值时，交换机发出警报将该可疑流的身份信息上报至控制器；同时交换机开启一段持续数秒的白名单收集期，将符合一定规则的正常DNS会话加入白名单列表；收集期结束后，如果一个可疑流中的报文不属于白名单列表，则需接受包诊断；对于DNS放大攻击，将包长度作为信号序列，使用z‑score算法筛选良性数据包，对于随机子域攻击和NXDomain攻击，分别针对子域和父域展开可读性检查。本发明可在高速流量转发场景下综合防御多种跳板式DNS泛洪攻击，减少良性流量的误杀，以增强对正常用户的保护。

主权项：1.一种基于多查询的跳板式DNS泛洪攻击检测与缓解方法，其特征在于，跳板式DNS泛洪攻击包括DNS放大攻击、随机子域攻击和NXDomain攻击，本方法部署在可编程交换机上，所述方法包括以下几个步骤：步骤1、任务转换：将待检测的各个攻击分别表达成计数结构BeauCoup中的查询形式keyq,attrq,Tq，其中keyq为键，attrq为属性，Tq为报警阈值，表示当某个键的不同属性出现的次数超过阈值时，该查询对应的攻击出现；步骤2、可疑流监控：给定各个查询的阈值Tq和每包内存访问次数限制γq，为每个查询产生最优配置mq,nq,pq，其中mq为总的彩票数，nq为达到阈值需要抽取的彩票数，pq为每张彩票的抽取概率，使得抽取nq张不同的彩票需要的期望次数Eq接近设定的查询报警阈值Tq，Eq的计算公式为： 交换机对进入的每个包提取keyq和attrq相关字段，对attrq进行哈希，并以极小的概率抽取彩票，将具备相同的键的一组数据包定义为一条流，当某条流在某个查询中抽取的彩票数累计超过nq时，表示该查询对应的攻击发生，BeauCoup发出警报，交换机将该可疑流的身份信息通过克隆报文上报至控制器，控制器为交换机安装可疑流表项；步骤3、白名单收集：当步骤2发出警报后，交换机开启一段持续数秒的白名单收集期，将表现正常的DNS会话信息作为白名单上报至控制器，控制器为交换机安装白名单表项，加入白名单的DNS会话需要满足两个条件：一是拥有请求和响应两个方向的报文，二是这两个方向的报文负载不具备明显的反射放大效果；步骤4、逐包过滤：步骤3中的白名单收集期结束后，对于可疑流中的数据包，若其处于白名单列表中，则直接放行；否则需要接受包检查，对于DNS放大攻击，将包长度作为信号序列，使用z-score算法筛选良性数据包，对于随机子域攻击和NXDomain攻击，分别针对子域和父域展开可读性检查；步骤5、转发决策：如果一个可疑流中的数据包通过了相应的包检查，则其被认定为是由于和攻击流的keyq相同而混入其中的良性数据包，匹配转发表进行转发；如果该数据包没有通过包检查，则其被认定为攻击包，可将其转发至一个固定端口或直接丢弃。

全文数据：

权利要求：

百度查询： 湖南大学 一种基于多查询的跳板式DNS泛洪攻击检测与缓解方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD