一種域名遞歸服務(wù)的預(yù)判干預(yù)方法
【專利摘要】本發(fā)明公開了一種域名遞歸服務(wù)的預(yù)判干預(yù)方法���。本方法為:1)選取待監(jiān)控的域名��,預(yù)判系統(tǒng)將遞歸服務(wù)器中待監(jiān)控域名的資源記錄同步到本地�;2)對每個域名的資源記錄進(jìn)行監(jiān)控�;3)如果發(fā)現(xiàn)域名的設(shè)定類型記錄發(fā)生變化,則獲取該域名的特征數(shù)據(jù)并利用分類器進(jìn)行識別�,判斷該域名的資源記錄變化是否為危險變化��;如果危險變化為權(quán)威服務(wù)器發(fā)生變化��,則向該域名的原權(quán)威服務(wù)器請求NS記錄和Glue記錄�,并將其寫入遞歸服務(wù)器緩存中��;如果權(quán)威服務(wù)器未發(fā)生變化�����,則延長該域名在遞歸服務(wù)器緩存中的原資源記錄的生存時間���;如果為否定異?����;騾^(qū)不可達(dá)�,則延長遞歸服務(wù)器緩存里該域名資源記錄集的生存時間��;本發(fā)明可提高遞歸服務(wù)器和用戶的安全�。
【專利說明】一種域名遞歸服務(wù)的預(yù)判干預(yù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種域名遞歸服務(wù)的預(yù)判干預(yù)方法�����,屬于計算機(jī)網(wǎng)絡(luò)【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002]域名系統(tǒng)及其安全狀態(tài):
[0003]作為互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施,域名系統(tǒng)(Domain Name System, DNS)一直為全球互聯(lián)網(wǎng)的運行提供關(guān)鍵性的基礎(chǔ)服務(wù)��。隨著互聯(lián)網(wǎng)規(guī)模爆炸式增長��,DNS相關(guān)的各種新技術(shù)相繼出現(xiàn)�����,如IPv6�、多語種域名和DNS安全擴(kuò)展協(xié)議(DNS Security Extension, DNSSEC)等,DNS系統(tǒng)也由此變得越來越龐雜����。由于在設(shè)計之初對安全性和擴(kuò)展性考慮欠缺,域名系統(tǒng)在協(xié)議���、實現(xiàn)和操作上存在著固有的不足與脆弱�����,進(jìn)而使其面臨著很多安全威脅�。其中����,數(shù)據(jù)損壞中的部分威脅(如權(quán)威服務(wù)器信息的未經(jīng)授權(quán)更改��、域名劫持���、遞歸服務(wù)器緩存中毒和人為配置錯誤等)和拒絕服務(wù)造成遞歸服務(wù)器的解析狀態(tài)從安全變得相對危險,使其緩存了域名的錯誤解析數(shù)據(jù)或者向客戶端返回否定應(yīng)答�����。
[0004]域名任何類型(如A記錄��、CNAME記錄或NS記錄等)的資源記錄(集)都可能發(fā)生變化���,這些變化可能是危險變化�����,也可能是安全變化�����。比如域名所有者更換域名應(yīng)用的網(wǎng)絡(luò)運營商時��,通常會改變A記錄中的數(shù)據(jù)部分里的IP地址����,就是一種安全變化�����;假定我們知道一黑客通過域名劫持修改了域名的A記錄數(shù)據(jù)部分中的IP地址�����,那么這就是一種危險變化�。當(dāng)域名的某資源記錄發(fā)生變化時,我們稱這個變化為域名記錄變化����。如果通過一定的手段確定該變化是危險變化,那么我們稱之為記錄危險變化�����。特別地����,當(dāng)權(quán)威服務(wù)器無法正常地響應(yīng)遞歸服務(wù)器(解析器)時,我們稱之為否定異常變化�,如名字錯誤應(yīng)答和沒有數(shù)據(jù)應(yīng)答(No Data)等。
[0005]權(quán)威服務(wù)器信息的未經(jīng)授權(quán)更改、域名劫持��、遞歸服務(wù)器緩存中毒和人為配置錯誤都是域名記錄的危險變化�,都會造成遞歸服務(wù)器緩存了錯誤的記錄數(shù)據(jù)。解析數(shù)據(jù)發(fā)生變化或者由原來的肯定應(yīng)答數(shù)據(jù)變成否定應(yīng)答數(shù)據(jù)��,都看作是解析數(shù)據(jù)的變化����。
[0006]權(quán)威服務(wù)器的拒絕服務(wù)和人工錯誤配置會造成域名發(fā)生否定異常變化。拒絕服務(wù)分為針對DNS服務(wù)器的攻擊和針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的服務(wù)器的攻擊����,當(dāng)某域名區(qū)權(quán)威服務(wù)器遭到拒絕服務(wù)攻擊時,如果某遞歸服務(wù)器向該權(quán)威服務(wù)器查詢其管理的區(qū)中的資源記錄�����,那么它將面臨三種可能的權(quán)威服務(wù)器表現(xiàn)形式:一是收到該權(quán)威服務(wù)器發(fā)來的服務(wù)器失敗(Server Failure, Servfail)等類型響應(yīng)�����;二是不可達(dá)(Unreachable),即從某個權(quán)威服務(wù)器收不到任何響應(yīng)��;最后�����,區(qū)不可達(dá)(Zone Unreachable).“區(qū)不可達(dá)”就是當(dāng)所有服務(wù)器出現(xiàn)問題而無法正常應(yīng)答遞歸服務(wù)器請求時的權(quán)威服務(wù)器狀態(tài)。當(dāng)黑客對部分權(quán)威服務(wù)器發(fā)動攻擊而造成其響應(yīng)緩慢�,那么遞歸服務(wù)器會因選擇這些服務(wù)器做查詢請求而延遲獲得應(yīng)答;當(dāng)黑客對所有權(quán)威服務(wù)器進(jìn)行攻擊并使它們都無法應(yīng)答外界請求時�,那么遞歸服務(wù)器可能完全無法獲得區(qū)數(shù)據(jù)���,即該區(qū)因此而不可達(dá)了��?!皡^(qū)不可達(dá)”的結(jié)果是遞歸服務(wù)器無法正常地回應(yīng)客戶端�,并最終導(dǎo)致客戶端無法訪問域名提供的服務(wù)。
[0007]雖然遞歸服務(wù)器的緩存機(jī)制降低了服務(wù)器端的負(fù)載和查詢延遲�,從而提高了遞歸服務(wù)器的性能,但是如果某遞歸服務(wù)器緩存了某個域名��,那么在該域名的緩存數(shù)據(jù)在緩存中處于有效期期間����,當(dāng)該域名的權(quán)威服務(wù)器因為某種原因而無法正常、正確地響應(yīng)外界對該域名的任何請求�����,直到該域名在該緩存中過期也沒有恢復(fù),那么當(dāng)遞歸服務(wù)器再次以遞歸方式解析此域名時����,就可能丟掉了正確數(shù)據(jù),而緩存了錯誤數(shù)據(jù)或否定數(shù)據(jù)�����。其中��,如果域名發(fā)生危險資源記錄變化�,那么緩存了錯誤的數(shù)據(jù);如果域名發(fā)生了否定異常變化�,那么緩存了否定數(shù)據(jù)。
[0008]資源記錄危險變化或者否定異常變化既對用戶有影響���,又對遞歸服務(wù)器有影響���。首先,當(dāng)域名資源記錄發(fā)生危險變化或否定異常變化時����,使用此遞歸服務(wù)器解析服務(wù)的DNS應(yīng)用將被重定向到非目標(biāo)服務(wù)器或根本無法訪問任何服務(wù)器,這會影響使用這些遞歸服務(wù)器服務(wù)用戶的上網(wǎng)安全�,或者使他們無法上網(wǎng)��。其次��,某些域名的請求量巨大�,其所在權(quán)威服務(wù)器一旦發(fā)生問題��,若DNS應(yīng)用有濫用DNS的故障��,那么客戶端將發(fā)送大量請求給遞歸服務(wù)器�����。作為在DNS層次樹的鏈條中的一個重要部分���,遞歸服務(wù)器可能受到?jīng)_擊而影響正常的服務(wù)。
[0009]雖然根據(jù)DNS協(xié)議分散管理的原則�,權(quán)威服務(wù)器對自己管理的區(qū)中的域名負(fù)有主要責(zé)任。但另一方面��,如果用戶的DNS應(yīng)用被重定向到非法網(wǎng)站��,那么遞歸服務(wù)器的用戶可能遭受損失��;如果因為域名權(quán)威服務(wù)器的問題而無法訪問域名應(yīng)用�,那么用戶也將可能有損失�。因此����,本著服務(wù)用戶、對用戶負(fù)責(zé)的原則和保證遞歸服務(wù)器安全�����、穩(wěn)定的考慮�,需要對遞歸服務(wù)器做一些安全防護(hù)工作,以提高其用戶的上網(wǎng)安全和自身的可訪問性��。
[0010]總之����,遞歸服務(wù)器的緩存機(jī)制導(dǎo)致不能及時地發(fā)現(xiàn)權(quán)威服務(wù)器的異常狀態(tài)。問題發(fā)現(xiàn)的滯后性影響到了遞歸服務(wù)器本身的解析質(zhì)量和解析安全����,進(jìn)而降低其解析服務(wù)的可訪問性和客戶端的上網(wǎng)安全。
【發(fā)明內(nèi)容】
[0011]針對現(xiàn)有技術(shù)中存在的問題�����,本發(fā)明的目的在于提供一種域名遞歸服務(wù)的預(yù)判干預(yù)方法�。
[0012]本發(fā)明不僅試圖降低DNS查詢的網(wǎng)絡(luò)延遲��,還試著增強遞歸服務(wù)器的解析安全�����;本發(fā)明不是簡單地預(yù)取資源記錄����,而是在預(yù)取的基礎(chǔ)上����,根據(jù)域名的相關(guān)信息判斷和干預(yù)遞歸服務(wù)器的狀態(tài),進(jìn)而保證遞歸服務(wù)器的解析安全和數(shù)據(jù)安全��。
[0013]本發(fā)明提出了一個適用于遞歸服務(wù)器解析安全狀態(tài)的預(yù)處理方法��。監(jiān)測遞歸服務(wù)器緩存內(nèi)的域名資源記錄集����,在它們過期前的一段時間之前��,通過有針對性的方法判斷它們的解析狀態(tài)�,并在發(fā)現(xiàn)危險時進(jìn)行適當(dāng)?shù)馗深A(yù),避免突發(fā)因素影響遞歸服務(wù)器的解析安全�,從而保證遞歸服務(wù)器處于解析安全狀態(tài)�����,保證遞歸服務(wù)器緩存數(shù)據(jù)的正確性��,進(jìn)而保證其用戶的上網(wǎng)安全�。
[0014]本發(fā)明的技術(shù)方案為:
[0015]一種域名遞歸服務(wù)的預(yù)判干預(yù)方法�����,其步驟為:
[0016]I)選取待監(jiān)控的域名���,預(yù)判系統(tǒng)將遞歸服務(wù)器中待監(jiān)控域名及其設(shè)定類型的資源記錄同步到本地�;
[0017]2)預(yù)判系統(tǒng)對每個域名的資源記錄從T1-T時刻開始進(jìn)行監(jiān)控直至該域名的資源記錄到期��;其中����,Ti為第i個域名的資源記錄到期時刻,T為設(shè)定時間長度�����;[0018]3)如果發(fā)現(xiàn)域名的設(shè)定類型記錄發(fā)生變化,預(yù)判系統(tǒng)則獲取該域名的設(shè)定特征數(shù)據(jù)��,然后利用所訓(xùn)練的分類器對該域名的特征數(shù)據(jù)進(jìn)行識別�,判斷該域名的資源記錄變化是否為危險變化;
[0019]31)如果發(fā)生危險變化��,且權(quán)威服務(wù)器發(fā)生變化�����,則預(yù)判系統(tǒng)向該域名的原權(quán)威服務(wù)器請求NS記錄和Glue記錄�,并將其寫入遞歸服務(wù)器緩存中;
[0020]32)如果發(fā)生危險變化��,但權(quán)威服務(wù)器未發(fā)生變化����,則預(yù)判系統(tǒng)延長該域名在遞歸服務(wù)器緩存中的原資源記錄集、NS記錄和Glue記錄的生存時間�;
[0021]33)如果發(fā)生危險變化為否定異?���;騾^(qū)不可達(dá),則預(yù)判系統(tǒng)延長遞歸服務(wù)器緩存里該域名資源記錄集的生存時間�;并對該域名狀態(tài)進(jìn)行監(jiān)控,當(dāng)發(fā)現(xiàn)恢復(fù)時�,將遞歸服務(wù)器緩存內(nèi)的該域名資源記錄集更新為從恢復(fù)的該域名所在權(quán)威服務(wù)器獲取的記錄集或者刪除����;
[0022]34)如果發(fā)生危險變化為權(quán)威服務(wù)器不響應(yīng)���,則從遞歸服務(wù)器緩存中刪除掉該權(quán)威服務(wù)器的資源記錄���,并對該權(quán)威服務(wù)器進(jìn)行監(jiān)控,該權(quán)威服務(wù)器狀態(tài)恢復(fù)后將與其相關(guān)的NS記錄重新添加到遞歸服務(wù)器的緩存中�。
[0023]進(jìn)一步的,所述特征數(shù)據(jù)包括:域名長度����、域名注冊時長、TTL變化大小�、網(wǎng)絡(luò)延遲變化度、域名過期剩余時長��。
[0024]進(jìn)一步的���,所述設(shè)定類型的資源記錄為A記錄或NS記錄�����;所述預(yù)判系統(tǒng)從遞歸服務(wù)器獲取該域名的A記錄�����、NS記錄����、PTR記錄和MX記錄的資源記錄集,獲取該域名到權(quán)威服務(wù)器、域名應(yīng)用服務(wù)器的網(wǎng)絡(luò)延遲數(shù)據(jù)�,從whois數(shù)據(jù)庫查詢獲取該域名的域名信息;然后從所獲取數(shù)據(jù)中提取該域名的所述特征數(shù)據(jù)�。
[0025]進(jìn)一步的,所述預(yù)判系統(tǒng)通過對域名的資源記錄進(jìn)行標(biāo)記��,標(biāo)記為安全變化還是危險變化��,得到一組樣本數(shù)據(jù)�;然后利用該樣本數(shù)據(jù)和決策樹算法、貝葉斯分類器算法或支持向量機(jī)獲得所述分類器�。
[0026]進(jìn)一步的,所述預(yù)判系統(tǒng)將遞歸服務(wù)器中待監(jiān)控域名及其設(shè)定類型的資源記錄同步到本地的方法為:所述預(yù)判系統(tǒng)通過端口鏡像監(jiān)控遞歸服務(wù)器返回給用戶的應(yīng)答數(shù)據(jù)流��,并從中獲取待監(jiān)控域名的資源記錄�����;或者所述預(yù)判系統(tǒng)向遞歸服務(wù)器做遞歸查詢或非遞歸查詢�,獲取待監(jiān)控域名的資源記錄;或者所述預(yù)判系統(tǒng)向遞歸服務(wù)器發(fā)送控制命令獲取待監(jiān)控域名的資源記錄�����。
[0027]進(jìn)一步的��,確定所述待監(jiān)控域名的方法為:所述預(yù)判系統(tǒng)通過端口鏡像獲取流向設(shè)定遞歸服務(wù)器的請求數(shù)據(jù)包����,經(jīng)過流量統(tǒng)計分析判斷,從中選取請求量或查詢率排名靠前的若干域名作為所述待監(jiān)控域名�;或者從DNS日志中選取請求量或查詢率排名靠前的若干域名作為所述待監(jiān)控域名;或者自定義所述待監(jiān)控域名��。
[0028]進(jìn)一步的�����,所述資源記錄到期時刻Ti設(shè)置為當(dāng)前時間加上一設(shè)定時間長度t����。
[0029]與現(xiàn)有技術(shù)相比,本發(fā)明的積極效果為:
[0030]I)本發(fā)明首次提出通過預(yù)處理的方法判斷遞歸服務(wù)器的解析狀態(tài)���。本發(fā)明一定程度上既能保證遞歸服務(wù)器的解析安全�����,又能保證其用戶的上網(wǎng)安全����。
[0031]2)智能性。本發(fā)明不是通過人為設(shè)定危險判斷的條件�,而是通過機(jī)器學(xué)習(xí)的方法發(fā)現(xiàn)特征與危險變化的聯(lián)系,從而智能地判斷資源記錄(集)的變化是否為危險變化�����。
[0032]3)靈活性����。不管本系統(tǒng)與監(jiān)測的遞歸服務(wù)器之間的關(guān)系是強還是弱,通過不同的遞歸服務(wù)器緩存數(shù)據(jù)同步方式預(yù)判系統(tǒng)都可以實現(xiàn)對遞歸服務(wù)器的監(jiān)測��,從而預(yù)判系統(tǒng)的部署較為靈活�����,既可以與遞歸服務(wù)器位于同一局域網(wǎng)�����,又可以遠(yuǎn)距離部署��。
【專利附圖】
【附圖說明】
[0033]圖1為預(yù)判系統(tǒng)流程圖��;
[0034]圖2為預(yù)判系統(tǒng)拓?fù)鋱D����;
[0035]圖3為預(yù)判系統(tǒng)模塊圖。
【具體實施方式】
[0036]本發(fā)明并不是讓遞歸服務(wù)器完成預(yù)處理的過程和動作�����,而是在遞歸服務(wù)器外完成�。本發(fā)明提出的一個域名的預(yù)處理過程可以分為三個步驟:第一,對象選取:通過一定的域名列表選取方式獲取一定數(shù)量的域名�,同步它們在遞歸服務(wù)器中的某些資源記錄集到預(yù)判系統(tǒng)本地。第二��,預(yù)判:在域名的資源記錄過期前����,遞歸服務(wù)器就向相關(guān)權(quán)威服務(wù)器做遞歸請求,獲取它們的新資源記錄(集)���,并對它們解析狀態(tài)進(jìn)行判斷�����。第三����,干預(yù):當(dāng)發(fā)現(xiàn)某域名處于危險中時,就趕在其資源記錄集過期前適當(dāng)?shù)馗深A(yù)緩存���。
[0037]I)對象選取[0038]為了表述方便���,本文把這些要監(jiān)控的域名稱之為重點域名,那么重點域名的選取方式有:第一��,預(yù)判系統(tǒng)通過端口鏡像獲取流向所監(jiān)控的遞歸服務(wù)器的請求數(shù)據(jù)包����,經(jīng)過流量統(tǒng)計分析判斷,從中選取請求量或查詢率排名靠前的部分域名�;第二,自定義重點域名列表�����;第三,分析DNS日志���,從中選取請求量或查詢率排名靠前的部分域名���。在實際應(yīng)用中��,可以結(jié)合以上方法用以確定重點域名列表�����。不僅如此��,而且域名資源記錄類型也多達(dá)幾十種����,所以可以針對性地選取域名的部分資源記錄類型進(jìn)行監(jiān)控。
[0039]2)預(yù)判
[0040]預(yù)判系統(tǒng)預(yù)判的首個重要工作就是同步遞歸服務(wù)器緩存里的重點域名數(shù)據(jù)〈域名�,設(shè)定的類型 >。這樣就能保證預(yù)判系統(tǒng)里的域名數(shù)據(jù)跟遞歸服務(wù)器中的數(shù)據(jù)是一致的���。同步的方法有--第一��,通過端口鏡像技術(shù)����,監(jiān)控遞歸服務(wù)器返回給用戶的應(yīng)答數(shù)據(jù)流,并從中獲取域名的資源記錄集的信息(通過對交換機(jī)或路由器設(shè)置端口鏡像的方式�����,獲取權(quán)威服務(wù)器返回給遞歸服務(wù)器的DNS應(yīng)答或遞歸服務(wù)器返回給客戶端的DNS應(yīng)答����,從而截獲新資源記錄集);第二�����,向遞歸服務(wù)器做遞歸查詢或非遞歸查詢(必要時需要預(yù)判系統(tǒng)訪問遞歸服務(wù)器的權(quán)限)����;第三,通過遞歸服務(wù)器控制命令(如unbound的unbound-control命令)獲取緩存數(shù)據(jù)����。這三種方式可以任選其一,或者組合使用�����。
[0041]在每個域名的資源記錄在其過期前時間T時,對這些資源記錄(集)進(jìn)行監(jiān)控��,獲取此域名設(shè)定類型的同類型資源記錄集��。如果發(fā)現(xiàn)域名的該類型記錄發(fā)生變化�,預(yù)判系統(tǒng)從遞歸服務(wù)器緩存中獲取其他類型(如A記錄、NS記錄���、PTR記錄�����、MX記錄等)的資源記錄集。除此之外����,預(yù)判系統(tǒng)還探測它到權(quán)威服務(wù)器、域名應(yīng)用服務(wù)器等的網(wǎng)絡(luò)延遲數(shù)據(jù)�,從whois數(shù)據(jù)庫查詢域名信息。預(yù)判系統(tǒng)要對這些數(shù)據(jù)進(jìn)行統(tǒng)計分析���,再從中摘取出一些特征�����,如域名長度��、域名注冊時長����、TTL變化大小、網(wǎng)絡(luò)延遲變化度���、域名過期剩余時長等等���,進(jìn)而形成一個實例或元組〈域名長度、域名注冊時長�����、TTL變化大小��、網(wǎng)絡(luò)延遲變化度��、域名過期剩余時長〉���。最后����,通過機(jī)器學(xué)習(xí)算法獲得的分類器(通過對一些數(shù)據(jù)進(jìn)行標(biāo)記,標(biāo)記為安全變化還是危險變化�����,得到樣本數(shù)據(jù)��,然后利用樣本數(shù)據(jù)和決策樹算法�����、貝葉斯分類器算法或支持向量機(jī)等可獲得分類器)預(yù)測該實例的類別標(biāo)簽(也就是檢測該資源記錄變化是危險變化����,還是安全變化),并最終得出結(jié)論����。如果是危險變化���,就要進(jìn)行干預(yù)���;否則,不對遞歸服務(wù)器進(jìn)行干預(yù)。
[0042]3)干預(yù)
[0043]根據(jù)機(jī)器學(xué)習(xí)算法判斷的結(jié)果����,針對不同的危險干預(yù)方法如下(如圖1所示):
[0044](I)權(quán)威服務(wù)器發(fā)生變化(即域名劫持)的干預(yù)方法是:預(yù)判系統(tǒng)向資源記錄發(fā)生危險變化的域名的原權(quán)威服務(wù)器請求NS記錄和Glue記錄,并將其寫入遞歸服務(wù)器緩存中���,幫助保衛(wèi)這些遞歸服務(wù)器���。
[0045](2)權(quán)威服務(wù)器未發(fā)生變化的干預(yù)方法是:預(yù)判系統(tǒng)延長該域名在遞歸服務(wù)器的緩存中的原資源記錄集、NS記錄和Glue記錄的生存時間(如設(shè)置TTL為其初始值)�����。
[0046](3)普通否定異?;騾^(qū)不可達(dá)的干預(yù)方法是:預(yù)判系統(tǒng)延長遞歸服務(wù)器緩存里該域名資源記錄集的生存時間(如設(shè)置TTL為其初始值)。為了及時發(fā)現(xiàn)域名狀態(tài)恢復(fù)����,預(yù)判系統(tǒng)對域名狀態(tài)進(jìn)行不間斷地監(jiān)控,當(dāng)發(fā)現(xiàn)該域名恢復(fù)時����,就將遞歸服務(wù)器緩存內(nèi)的資源記錄集更新為預(yù)判系統(tǒng)從恢復(fù)的該域名所在權(quán)威服務(wù)器獲取的新記錄集或者直接刪掉它們(記錄從遞歸服務(wù)器緩存中刪除之后,如果遞歸服務(wù)器收到該記錄的請求時����,它會查找緩存并且沒有發(fā)現(xiàn)時�,就會向已經(jīng)回復(fù)服務(wù)的權(quán)威服務(wù)器發(fā)出查詢請求���,并最終獲得了新資源記錄集)����。
[0047](4)部分權(quán)威服務(wù)器不響應(yīng)�。干預(yù)方法:從遞歸服務(wù)器緩存中刪除掉這個(些)不響應(yīng)服務(wù)器的資源記錄(集),并接下來對該服務(wù)器進(jìn)行不間斷地監(jiān)控�����,當(dāng)發(fā)現(xiàn)它恢復(fù)應(yīng)答了�����,就將與其相關(guān)的NS記錄重新添加到緩存中��。
[0048]系統(tǒng)架構(gòu)和工作原理
[0049]根據(jù)上面所講述的方法�,本發(fā)明還設(shè)計了一個預(yù)判系統(tǒng)��,下面講解其系統(tǒng)架構(gòu)和其工作原理�。
[0050]系統(tǒng)架構(gòu)
[0051]預(yù)判系統(tǒng)的系統(tǒng)架構(gòu)如圖2所示����。如圖所示����,系統(tǒng)分為兩部分,采集統(tǒng)計子系統(tǒng)和預(yù)判核心子系統(tǒng)�����。其中�,采集統(tǒng)計子系統(tǒng)是可選的,當(dāng)重點域名的選取方式是自定義�,預(yù)判子系統(tǒng)獲取新資源記錄集不通過采集統(tǒng)計子系統(tǒng)獲取的時候,不需要采集統(tǒng)計子系統(tǒng)��。正如預(yù)判核心子系統(tǒng)名字�,它是預(yù)判系統(tǒng)的核心子系統(tǒng)。注意�����,采集統(tǒng)計子系統(tǒng)可以和預(yù)判核心子系統(tǒng)在一個系統(tǒng)中實現(xiàn)�����,使預(yù)判系統(tǒng)成為一個具有采集統(tǒng)計功能的單系統(tǒng)。
[0052]采集統(tǒng)計子系統(tǒng)負(fù)責(zé)獲取重點域名和重點域名的應(yīng)答信息���。預(yù)判系統(tǒng)和遞歸服務(wù)器共用同一交換機(jī)���,且位于交換機(jī)的后面。對交換機(jī)設(shè)置端口鏡像���,將遞歸服務(wù)器收到的DNS流量和返回的DNS應(yīng)答信息復(fù)制給采集統(tǒng)計子系統(tǒng)�����。采集統(tǒng)計子系統(tǒng)從該流量中不斷地獲取域名及每秒查詢率(queries per second�,QPS)和域名的應(yīng)答信息���。按照查詢率對域名進(jìn)行排名��,把排名靠前的域名歸為重點域名�。
[0053]預(yù)判核心子系統(tǒng)通過預(yù)判的方法判斷遞歸服務(wù)器的狀態(tài)����。當(dāng)發(fā)現(xiàn)遞歸服務(wù)器因為某個域名而處于危險中時,就向遞歸服務(wù)器發(fā)送更新命令�����,更新緩存中與該域名相關(guān)的數(shù)據(jù)�����。適時地���,子系統(tǒng)可以同步重點域名在遞歸服務(wù)器緩存中的數(shù)據(jù)�����。實際上����,預(yù)判系統(tǒng)需要一個數(shù)據(jù)庫����,該數(shù)據(jù)庫可以放在此兩個子系統(tǒng)的任一個當(dāng)中,也可以放置于其他服務(wù)器中�����。注意��,可以將統(tǒng)計系統(tǒng)具有的功能添加到預(yù)判系統(tǒng)里,使其成為具有采集統(tǒng)計功能的預(yù)判系統(tǒng)���。
[0054]系統(tǒng)工作原理
[0055]本小節(jié)將分別詳細(xì)地講解兩個子系統(tǒng)的各個模塊的功能����。采集統(tǒng)計子系統(tǒng)包括采集模塊��、統(tǒng)計模塊和包存模塊����;預(yù)判核心子系統(tǒng)包括驗證模塊、同步模塊和控制模塊��。預(yù)判系統(tǒng)的功能模塊圖如圖3所示��。從圖中可見�����,系統(tǒng)具有采集統(tǒng)計功能的預(yù)判系統(tǒng)包括采集模塊�����、統(tǒng)計模塊、保存模塊和驗證模塊�。正如上節(jié)所說,采集統(tǒng)計子系統(tǒng)是可選的����。預(yù)判系統(tǒng)的模塊功能介紹如下:
[0056](I)采集模塊
[0057]通過交換機(jī)的端口鏡像發(fā)向采集統(tǒng)計子系統(tǒng)的數(shù)據(jù)流分為兩種�,一是用戶發(fā)向遞歸服務(wù)器的DNS請求數(shù)據(jù),二是遞歸服務(wù)器返回給用戶的DNS應(yīng)答數(shù)據(jù)��。采集模塊捕獲經(jīng)過網(wǎng)卡的DNS數(shù)據(jù)包�,將DNS請求包交給統(tǒng)計模塊處理,將DNS應(yīng)答數(shù)據(jù)包給保存模塊處理���?��?梢姡杉K是給統(tǒng)計模塊和保存模塊提供數(shù)據(jù)支持的���,當(dāng)統(tǒng)計模塊和保存模塊不啟動的時候����,采集模塊是也不需要啟動的��。具體地,可以通過Iibpcap庫來實現(xiàn)��。
[0058](2)統(tǒng)計模塊
[0059]統(tǒng)計模塊接收到來自采集模塊的DNS請求數(shù)據(jù)�,統(tǒng)計域名的每秒查詢率,存入到數(shù)據(jù)庫中����,并對所有域名按照查詢率的大小從高到低進(jìn)行排序,排名在前面的域名有可能成為重點域名��。假如指定前N個域名為重點域名�����,那么統(tǒng)計模塊就會把排名表中前N個域名存入到重點域名信息表中����。但由于排名是動態(tài)變化的,統(tǒng)計模塊還是實時的維護(hù)重點域名表中的域名�����,把排名不再在前N的域名用新加入的域名代替���。當(dāng)重點域名的選擇方式是自定義時�,統(tǒng)計模塊是不需要啟動的。具體地�,可以通過Idns庫抽取DNS數(shù)據(jù)包中的字段來實現(xiàn)。
[0060](3)保存模塊
[0061]保存模塊檢查接收到的采集模塊發(fā)來的DNS應(yīng)答數(shù)據(jù)���,如果發(fā)現(xiàn)是重點域名的應(yīng)答數(shù)據(jù)����,就將其保存到數(shù)據(jù)庫當(dāng)中��。保存模塊完成了遞歸服務(wù)器和預(yù)判系統(tǒng)之間緩存數(shù)據(jù)的同步工作�,而同步方式不只一種��,只有在指定同步方式為使用保存模塊時�,保存模塊才工作。
[0062](4)同步模塊
[0063]同步模塊可以要求保存模塊保存重點域名的應(yīng)答數(shù)據(jù)流到數(shù)據(jù)庫當(dāng)中����,或向遞歸服務(wù)器做遞歸查詢或非遞歸查詢或發(fā)送控制命令獲取緩存數(shù)據(jù)并保存到數(shù)據(jù)庫。保存的數(shù)據(jù)提供給驗證模塊以驗證域名的狀態(tài)�����。在保存時�,把每個資源記錄集的到期時間計算并保存到表中,如果因為無法獲知域名的資源記錄集而無法知道TTL時,將TTL設(shè)置為某一個固定值T�����。同步模塊只有兩個情況才同步���,一是啟動的時候��,獲取所有重點域名在遞歸服務(wù)器中的緩存數(shù)據(jù)�����;二是周期性地同步遞歸服務(wù)器與預(yù)判系統(tǒng)的數(shù)據(jù)��,使它們之間保持?jǐn)?shù)據(jù)一致��。
[0064](5)驗證模塊
[0065]驗證模塊按照重點域名的到期時間由近到遠(yuǎn)的順序依次循環(huán)對它們進(jìn)行預(yù)判��,預(yù)判時按照一定的時機(jī)選擇方式確定預(yù)判的時機(jī)�����,如果發(fā)現(xiàn)危險���,那么通知控制模塊�����;否則�,將域名的新資源記錄集和其他信息處理之后保存到表中�。[0066]有時候,當(dāng)臨到此域名預(yù)判的時候���,很可能會發(fā)現(xiàn)已經(jīng)錯過檢測時機(jī)��,也就是說如果域名不但出現(xiàn)危險變化�,而且遞歸服務(wù)器如果緩沖了有危險的數(shù)據(jù)并返回給用戶��,那么用戶和服務(wù)器已經(jīng)處于危險當(dāng)中一段時間��,所以應(yīng)該極力避免這種情況的發(fā)生���,提高預(yù)判系統(tǒng)快速檢測的能力。有的資源記錄集的TTL可能因為兩個原因時間會很短���,這兩個原因是:一����,域名本身設(shè)置的TTL就很小��;二�,它在遞歸服務(wù)器里面已經(jīng)呆過較長的時間而導(dǎo)致同步的TTL值較小,不能及時檢測的概率會比較大����,所以說這個問題是很難避免的。針對這個問題�,本文建議把域名的到期時間設(shè)成當(dāng)前時間加上時間t,而t的大小可以根據(jù)經(jīng)驗來設(shè)置����,并根據(jù)實際情況進(jìn)行合理調(diào)整。
[0067](6)控制模塊
[0068]如果接到驗證模塊的更新某域名資源記錄集的命令����,那么將按照之前提到的解決方法,更新遞歸服務(wù)器的緩存數(shù)據(jù)����。同時,還要更新域名的相關(guān)資源記錄�����,以保持遞歸服務(wù)器和預(yù)判系統(tǒng)數(shù)據(jù)的一致性。
[0069]重點域名的獲取方式需要人為指定��,可以從外部導(dǎo)入域名列表到重點域名列表中�;也可以開啟統(tǒng)計模塊,指定查詢率排名多少的域名為重點域名��,這樣統(tǒng)計模塊就可以把相應(yīng)數(shù)量的域名存入到數(shù)據(jù)庫中并實時進(jìn)行維護(hù)�。同樣地,同步方式也需要人為指定�,可以指定為同步方式中的任何一種。從模塊介紹中可以看出��,數(shù)據(jù)庫保存可能有兩種數(shù)據(jù)(以表的形式存在):域名查詢率表和重點域名信息表����。域名查詢率表的每個實例是一個域名和QPS對,當(dāng)采集模塊傳送來一個域名的查詢記錄時����,重新計算并更新該域名的QPS值���。重點域名信息表記錄了上一章中預(yù)判需要的域名信息�����,如Whois信息�����、權(quán)威服務(wù)器列表�、Glue記錄等,這些記錄是驗證模塊下一次預(yù)判的基礎(chǔ)��。
【權(quán)利要求】
1.一種域名遞歸服務(wù)的預(yù)判干預(yù)方法���,其步驟為: 1)選取待監(jiān)控的域名�����,預(yù)判系統(tǒng)將遞歸服務(wù)器中待監(jiān)控域名及其設(shè)定類型的資源記錄同步到本地�����; 2)預(yù)判系統(tǒng)對每個域名的資源記錄從T1-T時刻開始進(jìn)行監(jiān)控直至該域名的資源記錄到期�����;其中��,Ti為第i個域名的資源記錄到期時刻����,T為設(shè)定時間長度; 3)如果發(fā)現(xiàn)域名的設(shè)定類型記錄發(fā)生變化�,預(yù)判系統(tǒng)則獲取該域名的設(shè)定特征數(shù)據(jù),然后利用所訓(xùn)練的分類器對該域名的特征數(shù)據(jù)進(jìn)行識別����,判斷該域名的資源記錄變化是否為危險變化; 31)如果發(fā)生危險變化�,且權(quán)威服務(wù)器發(fā)生變化,則預(yù)判系統(tǒng)向該域名的原權(quán)威服務(wù)器請求NS記錄和Glue記錄���,并將其寫入遞歸服務(wù)器緩存中����; 32)如果發(fā)生危險變化�����,但權(quán)威服務(wù)器未發(fā)生變化���,則預(yù)判系統(tǒng)延長該域名在遞歸服務(wù)器緩存中的原資源記錄集、NS記錄和Glue記錄的生存時間�; 33)如果發(fā)生危險變化為否定異?����;騾^(qū)不可達(dá)����,則預(yù)判系統(tǒng)延長遞歸服務(wù)器緩存里該域名資源記錄集的生存時間���;并對該域名狀態(tài)進(jìn)行監(jiān)控����,當(dāng)發(fā)現(xiàn)恢復(fù)時�,將遞歸服務(wù)器緩存內(nèi)的該域名資源記錄集更新為從該域名所在權(quán)威服務(wù)器獲取的記錄集或者刪除; 34)如果發(fā)生危險變化為權(quán)威服務(wù)器不響應(yīng)�����,則從遞歸服務(wù)器緩存中刪除掉該權(quán)威服務(wù)器的資源記錄�,并對該權(quán)威服務(wù)器進(jìn)行監(jiān)控,該權(quán)威服務(wù)器狀態(tài)恢復(fù)后將與其相關(guān)的NS記錄重新添加到遞歸服務(wù)器的緩存中��。
2.如權(quán)利要求1所述的方法����,其特征在于所述特征數(shù)據(jù)包括:域名長度���、域名注冊時長、TTL變化大小�、網(wǎng)絡(luò)延遲變化度、域名過期剩余時長�����。
3.如權(quán)利要求2所述的方法���,其特征在于所述設(shè)定類型的資源記錄為A記錄或NS記錄�;所述預(yù)判系統(tǒng)從遞歸服務(wù)器獲取該域名的A記錄�、NS記錄、PTR記錄和MX記錄的資源記錄集����,獲取該域名到權(quán)威服務(wù)器、域名應(yīng)用服務(wù)器的網(wǎng)絡(luò)延遲數(shù)據(jù)�,從whois數(shù)據(jù)庫查詢獲取該域名的域名信息;然后從所獲取數(shù)據(jù)中提取該域名的所述特征數(shù)據(jù)�����。
4.如權(quán)利要求1或2或3所述的方法,其特征在于所述預(yù)判系統(tǒng)通過對域名的資源記錄進(jìn)行標(biāo)記�,標(biāo)記為安全變化還是危險變化�,得到一組樣本數(shù)據(jù);然后利用該樣本數(shù)據(jù)和決策樹算法����、貝葉斯分類器算法或支持向量機(jī)獲得所述分類器。
5.如權(quán)利要求1或2或3所述的方法�����,其特征在于所述預(yù)判系統(tǒng)將遞歸服務(wù)器中待監(jiān)控域名及其設(shè)定類型的資源記錄同步到本地的方法為:所述預(yù)判系統(tǒng)通過端口鏡像監(jiān)控遞歸服務(wù)器返回給用戶的應(yīng)答數(shù)據(jù)流��,并從中獲取待監(jiān)控域名的資源記錄���;或者所述預(yù)判系統(tǒng)向遞歸服務(wù)器做遞歸查詢或非遞歸查詢�,獲取待監(jiān)控域名的資源記錄���;或者所述預(yù)判系統(tǒng)向遞歸服務(wù)器發(fā)送控制命令獲取待監(jiān)控域名的資源記錄����。
6.如權(quán)利要求5所述的方法�����,其特征在于確定所述待監(jiān)控域名的方法為:所述預(yù)判系統(tǒng)通過端口鏡像獲取流向設(shè)定遞歸服務(wù)器的請求數(shù)據(jù)包,經(jīng)過流量統(tǒng)計分析判斷�����,從中選取請求量或查詢率排名靠前的若干域名作為所述待監(jiān)控域名����;或者從DNS日志中選取請求量或查詢率排名靠前的若干域名作為所述待監(jiān)控域名;或者自定義所述待監(jiān)控域名����。
7.如權(quán)利要求1所述的方法,其特征在于所述資源記錄到期時刻Ti設(shè)置為當(dāng)前時間加上一設(shè)定時間長度t�。
【文檔編號】H04L12/26GK103685599SQ201310659756
【公開日】2014年3月26日 申請日期:2013年12月9日 優(yōu)先權(quán)日:2013年12月9日
【發(fā)明者】劉明星, 金鍵, 李曉東 申請人:中國科學(xué)院計算機(jī)網(wǎng)絡(luò)信息中心