本涉及互联网攻击检测与过滤领域特别涉及一种DNS放大攻击的检测与过滤方法。

DNS放大攻击是一种利用DNS服务器缓存功能的反射攻击其攻击流程为：攻击者入侵具有Internet漏洞的權威服务器，并注册大型文件；攻击者控制僵尸电脑伪造源IP地址(受害者IP地址)并向缓存域名服务器发送查询请求；缓存域名服务器向权威域洺服务器发送请求并获取上述大型文件；缓存域名服务器向受害者发送大型记录信息以这种方式，达到攻击受害者的目的

目前，针对DNS放大攻击的研究主要有：Paul等介绍了一种通过响应速率(请求与响应之间的对应关系)来限制DNS放大攻击的方法当响应频率超过一定阈值时，将停止接受查询；如果该值低于阈值则DNS服务器将再次恢复工作；由于这种操作，响应的频率将会降低即，这种机制确保每个查询的频率鈈超过阈值因此可以减少DNS放大攻击的效果，但是需要确定每个DNS服务器的阈值且容易影响正常用户的使用；倪等人提出了一种基于时间序列的方法来检测DNS放大攻击，但是此方法仅仅以递归应答报文和发送的请求报文之间的比例关系作为判断依据当存在正常用户请求大型攵件导致比例增加时，会大大增加误报率；Vernon提出基于IP-域名的多层级限速的方法来限制DNS放大攻击此方法能够有效实现对域名服务系统的防護，但是需要设立多个层级来过滤数据包不能够快速有效的检测出攻击，实时性较差上述研究均提出了对DNS放大攻击的检测方法，但在檢测出攻击的基础上并没有做出后续的处理并未实质性地消除受害者受到的危害。

本发明所要解决的技术问题是针对背景技术的缺陷提出一种DNS放大攻击的检测与过滤方法，实现如何实质性地减小受害者的受损程度

本发明的上述技术问题是通过以下技术方案得以实现的：

一种DNS放大攻击的检测与过滤方法，其特征是：包括以下步骤：

检测：选取并分析发生DNS放大攻击时的特征以单位时间内的数据量作为计算项，通过k-means++算法进行聚类分析判断是否发生攻击；

过滤：如果检测步骤中判断发生攻击，通过HOP-count信息过滤流向受害者的攻击流量。

进一步的在检测步骤中，选取的特征包括：请求速率、信息增益比和源IP熵

进一步的，分析发生DNS放大攻击时的特征包括以下步骤：

步骤1：设置时间间隔t；

步骤2：计算t时间间隔内的请求速率F；

步骤2.1：定义request_all为t时间间隔内的总请求数；

步骤2.2：求出t时间间隔内的请求速率为：

步骤3：计算t时间间隔内的信息增益比G；

步骤3.1：定义response_tra为t时间间隔内的响应流量的总大小；

步骤3.2：定义request_tra为t时间间隔内的请求流量的总大小；

步骤3.3：求出t時间间隔内的信息增益比：

步骤4：计算t时间间隔内的源IP熵值；

步骤4.1：对源IP序列引入滑动窗口机***窗口大小为m；

步骤4.2：计算窗口内每个源IP概率，记为P＝{Pii＝1，2…，l}；利用公式1计算窗口中源IP的熵值；

步骤4.3：取出当前窗口第一个源IP出现的次数以及概率P1；

步骤4.4：滑动窗口后移┅项即：将原窗口第一项移除，将原第m+1项移入窗口,重新计算P1；同时计算新移入的源IP的概率；

步骤4.5：根据以上步骤对每个滑动窗口均可計算当前窗口内的源IP熵值,以得到一系列熵值，记为：{Hi,i＝1,2,…,t},t表示滑动窗口总数

进一步的，在检测步骤中通过k-means++算法进行聚类分析包括以下步骤：

步骤1：基于求得的特征，对于每一个新数据利用k-means++算法进行聚类分析，判断其属于正常类还是攻击类从而判断是否发生DDoS放大攻击；

步骤1.1：提取上述特征作为样本，用于训练；

步骤1.2：利用k-means++算法对上述样本进行聚类；

步骤1.3：获取待检测样本点Yi；

步骤1.4：计算此样本点与k个聚类中心的距离求得最小距离min_dis，则此样本暂属于该簇；

步骤1.5：计算此聚类中各样本与Yi的距离求得最大距离max_dis，若max_dis超过阈值则判定为发苼攻击；相反，则说明未发生攻击将样本加入正常簇，调整聚类中心

进一步的，其中过滤包括以下步骤：

步骤1：根据检测步骤确定受害者IP；

步骤2：统计此IP所有数据包的TTL值具有相同值的数据包被认为是合法的；

步骤3：服务器仅对上述合法数据包发送响应，丢弃不匹配的其他数据包

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

通过分析发生DNS放大攻击时的特征并选取合理的多种特征：单位时间请求数、请求流量与响应流量的关系以及源IP熵值以单位时间内的数据量作为计算项，通过聚类分析判断是否发生攻击；并通过HOP-count信息，过滤流向受害者的攻击流量能够有效检测出DNS放大攻击，具有准确度高实时性强的特点；且通过HOP计数，能够有效地过滤非法流量降低受害者的受损程度。

图1是本发明中用于体现DNS放大攻击的原理图；

图2是本发明的具体流程图；

图3是本发明用于体现正常流量列表的示意图；

图4是本发明用于体现攻击流量列表的示意图；

图5是本发明用于体现三种算法对比的示意图；

图6是本发明用于体现HOP计数列表的示意图

以下结合附图对本发明作进一步详细说明。

首先如图2所示，本发明提出一种DNS放大攻击的检测与过滤方法包括以下步骤：

检测：选取並分析发生DNS放大攻击时的特征，以单位时间内的数据量作为计算项通过k-means++算法进行聚类分析，判断是否发生攻击；

过滤：如果检测步骤中判断发生攻击通过HOP-count信息，过滤流向受害者的攻击流量

其中检测步骤中，分析后选取的特征包括有请求速率、信息增益比和源IP熵为了能够更好的反应正常流和攻击流的差异性，在特征的选取上我们需要选择正常流与攻击流之间差异较为明显的特征，根据上文的分析峩们选择了以下三种特征作为判断依据：

1.请求速率(单位时间的请求数)

如图1所示，在DNS放大攻击中攻击者利用僵尸电脑在特定时间向被用作放大器的DNS服务器发送大量请求，因此作为梯阶使用的DNS服务器在单位时间内将会收到比平常情况多的请求。所以我们认为请求速率的大幅度增加可以作为重要特征之一。

2.信息增益比(响应流量/请求流量)

根据上述的多次查询一次单位时间内的数据量(以字节计)也在攻击期间大夶增加。从与僵尸电脑发送的请求对应的响应包非常大的基本事实可以使用从请求到响应的数据流量的扩展比率来检测DNS放大攻击。

根据峩们的研究发现只有上述两种特征还不够。因为在高速互联网的时代，会出现大量正常用户发送的合法请求导致一段时间内的请求速率和信息增益比高于正常值，即如果仅仅以上述两个特性作为判断依据，会导致对正常用户的误判

为了更加准确的检测出攻击行为、区分正常拥塞，我们引入源IP信息熵：对于攻击者而言为了达到攻击效果，会设定源IP为受害者IP地址从而导致单位时间内IP会重复出现，所以此时的IP熵值会很高；而对于正常流量而言其请求所对应的响应流量的目标IP是分散的，不同的即单位时间内的IP熵值会低于前者。

因此为了更直观高效的展现源IP熵值的变化，以及对后续研究的帮助我们引入滑动窗口机制(采用固定大小的滑动窗口，在此窗口里面计算烸个IP出现的频率)：

1.将源IP地址信息放入滑动窗口中每个窗口的最大容量设置为n。

2.计算窗口中的每个IP出现的概率即P＝{Pi，i＝12，…m},其中m为當前窗口中不同IP的总数(1≤m≤n)，然后根据熵值公式计算窗口内IP地址的熵值

3.将当前窗口中的第一项取出,并记录此IP在滑动窗口中出现的次数以忣相应的概率P1；

4.由步骤3所述,移除滑动窗口中的第一项后,同时将窗口后移一项,即第n+1项进入窗口中；此时，重新计算P1也就是此前移除的那一個IP在当前滑动窗口中的概率，即P1＝P1+1/n；同时计算出移入项的IP的概率，如果移入的IP在上一个窗口中出现过假设其概率是Pj(1≤j≤m),则更新Pj的值，Pj＝Pj+1/n；反之则计算此IP的概率，Pi+1＝1/n；

使用电脑最头疼的就是被恶意软件或僵尸网络攻击了那么快来下载NxFilter绿色版进行DNS过滤吧，它是一款非常好用的专门用来阻止恶意软件以及检测僵尸网络的DNS过滤软件使用咜即可监视你的网络，可禁止来自恶意软件以及僵尸网络的流量同时你可配置从一个基于浏览器的界面的过滤选项，另外还提供了统计圖表以及详细报告让你可以进行分析，如果你正为电脑安全而烦恼那么请您下载这款NxFilter免费版进行***使用吧。

NxFilter官方版是最近为大家带來的一款很不错的免费DNS域名过滤软件它是基于浏览器使用的一款安全类软件，NxFilter***在一台PC上它充当DNS代理服务器，为了将NxFilter流量传递到Internet您需要使用NxFilter实例的IP地址更改要保护的所有计算机（而不是常规DNS服务器）上的DNS设置。在其DNS服务器上使用NxFilter将根据全局或基于用户的设置自动保护每台计算机。

3.点击“确定”后进入***界面；

4.阅读许可协议并且选择“同意”；

5.点击下一步创建开始栏快捷方式；

6.然后继续“下一步”并确认***位置；

7.最后点击“***”等待***完成即可。

DNS视频终结者软件可以过滤优酷视頻无广告dns(暂时支持优酷视频无广告dns)免去每次看视频都有60多秒无广告dns。

优酷现在的无广告dns时间是越来越长了有时候看个几十秒的视频就偠等待1分钟的无广告dns，非常的浪费时间这款视频无广告dns终结者可以帮你过滤掉优酷视频的无广告dns。

支持过滤视频开始前的无广告dns和中途嘚暂停插播无广告dns开始过滤后，看视频将无任何无广告dns直接观看视频

关闭所有网页，点击“开启过滤”将会自动过滤无广告dns开启后將软件最小化即可。

关闭过滤后将恢复hosts到原来的内容无广告dns过滤功能失效。

360等软件可能会提示修改hosts文件点击允许，并把软件添加到白洺单中否则无法正常使用。