檢測域名系統異常的方法和裝置的製作方法
2023-05-16 19:09:56 4
專利名稱:檢測域名系統異常的方法和裝置的製作方法
技術領域:
本發明涉及計算機網絡安全技術,尤其涉及一種檢測域名系統異常的方法和裝 置,屬於計算機網絡技術領域。
背景技術:
域名系統(Domain Name System,以下簡稱DNS)是一個分布式資料庫系統,該系統 用於將域名轉換成為網絡可以識別的IP位址。由於DNS是網際網路的基礎,如果DNS異常 將會對整個網絡造成嚴重的影響,因此對DNS異常進行檢測十分重要。現有技術對DNS異常進行檢測的方法主要有基於查詢流量的變化或查詢屬性取 值的變化來確定DNS是否發生異常。基於查詢流量的變化來確定DNS是否發生異常是指 當查詢流量特別大或者特別小的時候認為DNS發生異常。發明人在實現本發明的過程中,發現現有技術至少存在以下問題基於查詢流量的變化來確定DNS是否發生異常的方案具有滯後性,在檢測到異常 的時候,查詢流量往往已經累積到一定程度,已經造成了比較嚴重的後果,因此不能起到預 警作用。有時,異常的發生不一定能影響DNS查詢流量,因此基於查詢流量的變化來確定 DNS是否發生異常具有很高的漏檢率。
發明內容
本發明提供一種檢測DNS異常的方法和裝置,以解決現有技術中檢測DNS異常滯 後,且漏檢率高的問題。本發明提供的檢測DNS異常的方法包括將域名系統查詢數據流劃分為多個數據塊;根據預設查詢屬性計算所述多個數據塊的熵值,得到對應的多個熵值;判斷得到的所述多個熵值中是否有預設個數的熵值超過預設閾值,如果是,則確 定所述域名系統發生了異常。本發明提供的檢測DNS異常的裝置包括劃分模塊,用於將域名系統查詢數據流劃分為多個數據塊;計算模塊,用於根據預設查詢屬性計算所述多個數據塊的熵值,得到對應的多個 熵值;判斷模塊,用於判斷得到的多個熵值中是否有預設個數的熵值超過預設閾值,如 果是,則輸出表示所述域名系統發生異常的信息。本發明通過計算DNS查詢數據流中多個數據塊的熵值,當得到的對應的多個熵值 中有預設個數的熵值超過預設閾值時,確定DNS系統發生了異常,本發明能夠對DNS系統發 生異常起到預警作用,從而減少當DNS系統發生異常後的損失,且漏檢率低。
為了更清楚地說明本發明或現有技術中的技術方案,下面將對實施例或現有技術 描述中所需要使用的附圖作一簡單地介紹。圖1為本發明檢測DNS異常的方法實施例流程示意圖;圖2為根據指定時間劃分數據塊的示意圖;圖3為採用窗口大小為10000時得到的熵值曲線;圖4為DNS查詢率曲線;圖5為本發明檢測DNS異常的裝置實施例結構示意圖。
具體實施例方式為使本發明的目的、技術方案和優點更加清楚,下面將結合本發明的附圖,對本發 明的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本發明一部分實施例,而不 是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動前 提下所獲得的所有其他實施例,都屬於本發明保護的範圍。本發明初次將熵的理論應用到DNS的異常檢測中,因此首先對熵作一下介紹。熵 在資訊理論中的定義為如果一個系統S中存在一個事件集合E= {E1,E2,En}, El, E2,…,En為事件集合E中的每一個事件。每個事件的概率分布P= {P1,P2,…,Pn},Pl, P2,…,Pn為每一個事件出現的概率。每個事件r本身的信息量L可由公式(1)計算Ir = -log2Pr(1)公式(1)中,r= 1,2,…,n。例如英語有26個字母,假如每個字母在文章中出現次數平均的話,每個字母的 信息量為1 = -log2(l/26) = 4.7而漢字常用的有2500個,假如每個漢字在文章中出現次數平均的話,每個漢字的 信息量為1 = -log2 (1/2500) = 11. 3熵是整個系統S的平均信息量,設熵為Hs,則熵的計算方法如公式⑵所示
nn
Hs = YuPr!r = ~Y,Pr l0& Pr( 2 )
r=lr=l在信息傳播領域中熵表示信息的不確定性。高信息度的熵值較低,說明高信息度 的系統比較穩定;而低信息度的熵值較高,說明低信息度的系統不穩定,容易發生異常,因 此可以通過熵值來檢測DNS是否發生異常。
0031]實施例1圖1為本發明檢測DNS異常的方法實施例流程示意圖,如圖1所示,該方法包括步驟101 將DNS查詢數據流劃分為多個數據塊;需要說明的是劃分的數據塊越大,也就是說每個數據塊包括的查詢數據量越多, 該數據塊的熵值的變化就越平緩,能夠有效降低誤檢測的情況發生,但同時也降低了對異 常流量的敏感度,漏檢率上升;反之,數據塊越小,也就是說每個數據塊包括的查詢數據量 越少,檢測DNS異常的靈敏度就越高,但準確性又會相應的降低。實際應用中,可以將DNS查詢數據流按照指定時間和/或按照指定查詢量劃分為多個數據塊。例如,可以將DNS查詢數據流中每一分鐘的查詢數據量劃分為一個數據塊,或 者將DNS查詢數據流中每1000條查詢記錄的查詢量劃分為一個數據塊;還可以同時按照指 定時間和指定查詢量進行劃分,例如,當達到指定時間,但未達到指定查詢量時劃分為一個 數據塊,或者達到指定查詢量,但沒有達到指定時間時劃分為一個數據塊。還可以根據時間 段函數來劃分,比如,在上午8:30到12:00之間,可以將數據塊按照較小的時間段來劃分, 例如每隔20-30秒劃分一個數據塊;在中午12:00到下午1:00可以將數據塊按照較長的 時間段劃分,例如每隔2-3分鐘劃分一個數據塊。這種劃分可以由技術人員根據實際情況 進行調整,或者依據經驗和查詢數據量的大小來劃分數據塊。步驟102 根據預設查詢屬性計算多個數據塊的熵值,得到對應的多個熵值;其中,預設查詢屬性包括查詢類型、查詢中出現的錯誤類型、查詢中出現的查詢源 IP或者查詢中的查詢域名出現情況,但不限於這些查詢屬性,只要是按照某種類別劃分的 查詢屬性均可。上述的查詢類型至少包括域名對應的IP位址記錄(Address,簡稱A)、IPv6主機的 地址記錄MM、反向記錄(Pointer,簡稱PTR)、郵件交換記錄(Mail exchanger,簡稱MX)、名 字伺服器記錄(Name Server,簡稱NS)、起始授權機構記錄(Start Of Authority,簡稱SOA)。查詢中出現的錯誤類型是指發送的DNS查詢請求中包含非法的欄位,主要錯誤 類型包括查詢源地址是私有地址、查詢類型不存在、查詢的頂級域不存在、查詢的名字中 包含非法的字符、查詢的名字格式錯誤、重複查詢或正常查詢類等。其中,正常查詢是指沒 有錯誤的查詢,可以當預設查詢屬性為錯誤類型時,將沒有錯誤的查詢歸入到正常查詢類 中,使得每條查詢記錄都可以歸入具體某個類型中。根據預設查詢屬性計算多個數據塊的熵值,具體為計算預設查詢屬性的每個元素在每個數據塊中出現的概率;根據預設查詢屬性的每個元素在每個數據塊中出現的概率,計算每個數據塊的熵 值。當劃分的多個數據塊之間存在相互重疊的部分時,例如,圖2為根據指定時間劃 分數據塊的示意圖,如圖2所示,8 00至8 10之間的查詢量為一個數據塊,8 03至8 13之 間的查詢量為一個數據塊,……,即10分鐘劃分一個數據塊,每個數據塊之間有3分鐘的 重疊時間,這樣將查詢數據流劃分為多個有重疊的數據塊。本實施例以劃分的每個數據塊 包括指定查詢量為例進行詳細說明。設每個數據塊包括的指定查詢量為10條查詢記錄,當前數據塊為第i個數據塊, 與當前數據塊相鄰的前一數據塊為第i_l個數據塊,與當前數據塊相鄰的後一數據塊為第 i+1個數據塊,若第i_l個數據塊包括第1條至第10條的查詢記錄,則第i個數據塊包括 第2條至第11條的查詢記錄,第i+1個數據塊包括第3條至第12條查詢記錄。第i_l個 數據塊與第i個數據塊重疊部分的查詢量為第2條至第10條查詢記錄,第i個數據塊與第 i+1個數據塊重疊部分的查詢量為第3條至第11條查詢記錄。當劃分的多個數據塊之間存在相互重疊的部分時,根據預設查詢屬性計算多個數 據塊的熵值,可以包括計算與當前數據塊相鄰的前一數據塊的熵值氏;根據與當前數據塊相鄰的前一數據塊的熵值&,計算當前數據塊的熵值H2。
根據與當前數據塊相鄰的前一數據塊的熵值氏,計算當前數據塊的熵值H2,具體 為計算第一指定查詢量和第二指定查詢量分別在第i_l個數據塊中的加權信息量 Tf和;第一指定查詢量是指第i個數據塊與第i_l個數據塊重疊部分前不重疊部分的查 詢量;第二指定查詢量是指第i個數據塊與第i+1個數據塊重疊部分後不重疊部分的查詢 量;
繼續上述的例子,第一指定查詢量是指第1條查詢記錄,第二指定查詢量是指第 12條查詢記錄。第1條查詢記錄所屬的查詢類型在第i_l個數據塊中出現的概率為Pf,則Tf ="Pflog2Pf ;第12條查詢記錄所屬的查詢類型在第i_l個數據塊中出現的概率為Pi,則 =-PJo&Pp計算第二指定查詢量和第三指定查詢量分別在第i個數據塊中的加權信息量巧』和 Tf ;第三指定查詢量是指第i個數據塊與第i+1個數據塊重疊部分前不重疊部分的查詢量;繼續上述的例子,第12條查詢記錄所屬的查詢類型在第i個數據塊中出現的概率 第三指定查詢量是指第2條查詢記錄,則第2條查詢記錄所屬的查詢類型在第i 個數據塊中出現的概率為巧MT'f=-Pf\og2Pf-根據第i-1數據塊的熵值
和r/,計算第i個數據塊的熵值H2,即 其中,當i為2,即與當前數據塊相鄰的前一數據塊為劃分的第一個數據塊時,計 算預設查詢屬性的每個元素在第一個數據塊中出現的概率; 根據上述概率計算第一個數據塊的熵值氏。例如,若預設查詢屬性為查詢類型,則查詢類型中的元素為具體的查詢類型,如上 述的A、AAAA、PTR、MX、NS、S0A等,每一條查詢記錄只能屬於一個查詢類型。可以計算該數 據塊中每一條查詢記錄所屬的查詢類型在該數據塊中出現的概率,然後根據每一條查詢記 錄所屬的查詢類型在該數據塊中出現的概率來計算該數據塊的熵值,計算公式為 公式(3)中,Hk為每個數據塊的熵值,j表示每個數據塊中第j條查詢記錄,n表 示每個數據塊中有n條查詢記錄,Pj為每個數據塊中第j條查詢記錄所屬的查詢類型在該 數據塊中出現的概率;當預設查詢屬性為查詢源IP時,查詢源IP中的元素為每一條查詢記錄對應的IP 地址。由於每個數據塊中的每一條查詢記錄只能是來自一個IP位址,則可以計算一個數據 塊中每一條查詢記錄的IP位址在該數據塊中出現的概率,然後根據每一條查詢記錄的IP 地址在該數據塊中出現的概率來計算該數據塊的熵值。
需要說明的是預設查詢屬性還可以同時包括兩種或兩種以上,例如,當預設查詢 屬性包括查詢類型和查詢源IP時,可以根據該兩種查詢屬性分別計算每個數據塊的熵值, 然後將根據查詢類型和查詢源IP分別計算得到的兩個熵值加權相加,將得到的加權相加 的結果作為該數據塊的最終熵值。步驟103 判斷上述得到的多個熵值中是否有預設個數的熵值超過預設閾值,如 果是,則確定DNS發生了異常。若設置預設個數為5,則如果步驟102得到的多個熵值中有5個熵值均超過了預設 閾值,則確定該DNS發生了異常。預設個數也可以設置為1、2等等其它個數。預設個數的多 少會影響檢測結果的精度,預設個數越大,得到的檢測精度越高,但同時漏檢率也上升。預 設個數越小,檢測精度越低,漏檢率也同時降低,預設個數的選擇需要根據實際的網絡狀況 和經驗來確定。本實施例中DNS查詢數據可以是歷史DNS查詢數據,也可以是實時DNS查詢數據。 如果DNS查詢數據是歷史DNS查詢數據,則本實施例提供的方法可以用來對DNS使用情況 進行分析,分析結果可以用來進行DNS優化;本實施例更多的應用在實時檢測的場景中,即 DNS查詢數據為實時DNS查詢數據,用來及時發現DNS中的異常,避免DNS遭受嚴重損失。為了更好的體現本發明的效果,可以2009年5月19日中國網際網路發生大面積 斷網事故為例進行說明。發生大面積斷網事故的原因就是DNS系統遭受到了攻擊,根據 從中國(China,簡稱CN)某個頂級結點的DNS權威伺服器上採集到的2009年5月19日 9:00-24:00之間的查詢記錄進行具體分析,將2009年5月19日9:00-24:00之間的查詢記 錄劃分為多個數據塊,每個數據塊的大小為10000,即每個數據塊包括10000條查詢記錄, 計算每個數據塊的熵值,將得到的多個熵值繪製為熵值曲線。圖3為數據塊大小為10000 時得到的熵值曲線,圖4為DNS查詢率曲線,查詢率為每分鐘的查詢次數。從圖3中可以看 出,16:00左右熵值曲線已經出現了劇烈波動,即有多個熵值均超過了預設閾值,表明這時 候已經開始有大量的DNS異常流量進入網絡,即DNS已經發生了異常;而在圖4所示的查詢 率曲線中,18:30左右查詢流量才呈現出顯著異常,但此時大面積斷網已經開始發生,因此 可以明顯看出,現有技術基於查詢流量的檢測方案具有滯後性和很高的漏檢率;本發明提 供的檢測DNS異常的方法可以預先及時的檢測到DNS中的異常,起到了預警的作用。本發明通過將DNS查詢數據流劃分為多個數據塊,根據預設查詢屬性計算多個數 據塊的熵值,得到對應的多個熵值,當該多個熵值中有預設個數的熵值超過預設閾值時,確 定DNS發生了異常。由於熵值是對DNS查詢數據的查詢屬性隨機分布的度量,當DNS發生 異常時,例如,當DNS遭受到攻擊時,DNS查詢數據的查詢屬性的隨機分布就會發生變化,從 而也會導致熵值發生變化。根據熵值的變化情況就可以得知DNS發生了異常,而現有技術 的基於流量的檢測方法在DNS發生異常時,當DNS異常的表現不是很明顯時,DNS的查詢流 量也不會發生很明顯的變化,因而也就不能檢測出DNS發生異常,只有當DNS異常表現得很 嚴重時,例如發生大面積的網絡癱瘓,導致大量用戶無法使用網絡時,現有技術的基於流量 的檢測方法才能檢測出DNS流量異常,進而檢測出DNS發生異常,具有明顯的滯後性;而本 發明可以在發生如大面積網絡故障等嚴重的異常情況之前就可以檢測到DNS發生了異常, 能夠對DNS發生異常起到預警作用,使用戶能夠在DNS異常嚴重之前做好準備,避免了嚴重 的DNS異常給用戶帶來的損失,降低了漏檢率,提高了用戶體驗;並且由於DNS是一個極其複雜的系統,現有技術基於查詢屬性取值的變化來確定DNS是否發生異常時,沒有考慮DNS 系統內部複雜的狀態變化,因而檢測精度不高,而本發明進一步的實施例中,當劃分的多個 數據塊之間存在重疊部分時,得到的多個熵值之間也反映了 DNS系統內部狀態的變化,使 得檢測精度大大提高。實施例2圖5為本發明檢測DNS異常的裝置實施例示意圖,如圖5所示,該裝置包括劃分 模塊201、計算模塊202和判斷模塊203 ;其中,劃分模塊201,用於將DNS查詢數據流劃分為多個數據塊;具體的,劃分模塊201用於將DNS查詢數據流按照指定時間和/或按照指定查詢 量劃分為多個數據塊。計算模塊202,用於根據預設查詢屬性計算劃分模塊201劃分的多個數據塊的熵 值,得到對應的多個熵值;其中,計算模塊202包括第一計算單元和第二計算單元;第一計算單元,用於計算預設查詢屬性的每個元素在每個數據塊中出現的概率;第二計算單元,用於根據第一計算單元得到的預設查詢屬性的每個元素在每個數 據塊中出現的概率,計算劃分模塊201劃分的多個數據塊的熵值,得到對應的多個熵值。當劃分模塊201劃分的多個數據塊之間存在相互重疊的部分時,計算模塊202包 括第三計算單元,用於計算與當前數據塊相鄰的前一數據塊的熵值氏;第四計算單元,用於根據第三計算單元計算的與當前數據塊相鄰的前一數據塊的 扎,計算當前數據塊的熵值H2。其中,第三計算單元包括第一計算子單元,用於當上述與當前數據塊相鄰的前一數據塊為劃為的第一個數 據塊時,計算預設查詢屬性的每個元素在第一個數據塊中出現的概率;第二計算子單元,用於根據預設查詢屬性的每個元素在第一個數據塊中出現的概 率,計算第一個數據塊的熵值氏。判斷模塊203,用於判斷計算模塊202得到的多個熵值中是否有預設個數的熵值 超過預設閾值,如果是,則輸出表示DNS發生異常的信息。需要說明的是對於檢測DNS異常的裝置第一實施例而言,由於其基本相應於方 法第一實施例,所以相關之處參見方法第一實施例的部分說明即可。本發明通過將DNS查詢數據流劃分為多個數據塊,根據預設查詢屬性計算多個數 據塊的熵值,得到多個對應的熵值,當該多個熵值中有預設個數的熵值超過預設閾值時,確 定DNS發生了異常。由於熵值是對DNS查詢數據的查詢屬性隨機分布的度量,當DNS發生 異常時,例如,當DNS遭受到攻擊時,DNS查詢數據的查詢屬性的隨機分布就會發生變化,從 而也會導致熵值發生變化。根據熵值的變化情況就可以得知DNS發生了異常,而現有技術 的基於流量的檢測方法在DNS發生異常時,當DNS異常的表現不是很明顯時,DNS的查詢流 量也不會發生很明顯的變化,因而也就不能檢測出DNS發生異常,只有當DNS異常表現得很 嚴重時,例如發生大面積的網絡癱瘓,導致大量用戶無法使用網絡時,現有技術的基於流量 的檢測方法才能檢測出DNS流量異常,進而檢測出DNS發生異常,具有明顯的滯後性;而本發明可以在發生如大面積網絡故障等嚴重的異常情況之前就可以檢測到DNS發生了異常, 能夠對DNS發生異常起到預警作用,使用戶能夠在DNS異常嚴重之前做好準備,避免了嚴重 的DNS異常給用戶帶來的損失,降低了漏檢率,提高了用戶體驗;並且由於DNS是一個極其 複雜的系統,現有技術基於查詢屬性取值的變化來確定DNS是否發生異常時,沒有考慮DNS 系統內部複雜的狀態變化,因而檢測精度不高,而本發明進一步的實施例中,當劃分的多個 數據塊之間存在重疊部分時,得到的多個熵值之間也反映了 DNS系統內部狀態的變化,使 得檢測精度大大提高。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬體來完成,前述的程序可以存儲於一計算機可讀取存儲介質中,該程序 在執行時,執行包括上述方法實施例的步驟;而前述的存儲介質包括R0M、RAM、磁碟或者 光碟等各種可以存儲程序代碼的介質。最後應說明的是以上實施例僅用以說明本發明的技術方案,而非對其限制;盡 管參照前述實施例對本發明進行了詳細的說明,本領域的普通技術人員應當理解其依然 可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特徵進行等同替 換;而這些修改或者替換,並不使相應技術方案的本質脫離本發明各實施例技術方案的精 神和範圍。
權利要求
一種檢測域名系統異常的方法,其特徵在於,所述方法包括將域名系統查詢數據流劃分為多個數據塊;根據預設查詢屬性計算所述多個數據塊的熵值,得到對應的多個熵值;判斷得到的所述多個熵值中是否有預設個數的熵值超過預設閾值,如果是,則確定所述域名系統發生了異常。
2.根據權利要求1所述的檢測域名系統異常的方法,其特徵在於,所述將所述域名系 統查詢數據流劃分為多個數據塊包括將所述域名系統查詢數據流按照指定時間和/或指定查詢量劃分為多個數據塊。
3.根據權利要求1或2所述的檢測域名系統異常的方法,其特徵在於,根據預設查詢屬 性計算所述多個數據塊的熵值,具體為計算所述預設查詢屬性的每個元素在每個數據塊中出現的概率;根據所述概率計算每個數據塊的熵值。
4.根據權利要求1或2所述檢測域名系統異常的方法,其特徵在於,當所述多個數據塊 之間存在相互重疊的部分時,則根據預設查詢屬性計算多個數據塊的熵值,包括計算與當前數據塊相鄰的前一數據塊的熵值;根據所述與當前數據塊相鄰的前一數據塊的熵值,計算所述當前數據塊的熵值。
5.根據權利要求4所述的檢測域名系統異常的方法,其特徵在於,當所述與當前數據 塊相鄰的前一數據塊為劃為的第一個數據塊時,計算所述預設查詢屬性的每個元素在所述 第一個數據塊中出現的概率;根據所述概率計算所述第一個數據塊的熵值。
6.根據權利要求1所述的檢測域名系統異常的方法,其特徵在於,所述預設查詢屬性 包括查詢類型、錯誤類型、查詢源IP位址和/或查詢域名。
7.根據權利要求6所述的檢測域名系統異常的方法,其特徵在於,所述預設查詢屬性 包括至少兩種查詢屬性時,所述熵值為分別根據所述至少兩種查詢屬性得到的至少兩個熵 值加權求和的結果。
8.—種檢測域名系統異常的裝置,其特徵在於,所述裝置包括劃分模塊,用於將域名系統查詢數據流劃分為多個數據塊;計算模塊,用於根據預設查詢屬性計算所述多個數據塊的熵值,得到對應的多個熵值;判斷模塊,用於判斷得到的多個熵值中是否有預設個數的熵值超過預設閾值,如果是, 則輸出表示所述域名系統發生異常的信息。
9.根據權利要求8所述的檢測域名系統異常的裝置,其特徵在於,所述劃分模塊,具體 用於將所述域名系統查詢數據流按照指定時間和/或指定查詢量劃分為多個數據塊。
10.根據權利要求8或9所述的檢測域名系統異常的裝置,其特徵在於,所述計算模塊 包括第一計算單元,用於計算所述預設查詢屬性的每個元素在每個數據塊中出現的概率;第二計算單元,用於根據所述概率計算每個數據塊的熵值,得到對應的多個熵值。
11.根據權利要求8或9所述的檢測域名系統異常的裝置,其特徵在於,所述多個數據 塊之間存在相互重疊的部分,則所述計算模塊包括第三計算單元,用於計算與當前數據塊相鄰的前一數據塊的熵值; 第四計算單元,用於根據所述第三計算單元計算的與當前數據塊相鄰前一數據塊的熵 值,計算所述當前數據塊的熵值。
12.根據權利要求11所述的檢測域名系統異常的裝置,其特徵在於,所述第三計算單 元包括第一計算子單元,用於當所述與當前數據塊相鄰的前一數據塊為劃為的第一個數據塊 時,計算所述預設查詢屬性的每個元素在所述第一個數據塊中出現的概率; 第二計算子單元,用於根據所述概率計算所述第一個數據塊的熵值。
全文摘要
本發明提供了一種檢測域名系統異常的方法和裝置,屬於計算機網絡技術領域。所述方法包括將域名系統查詢數據流劃分為多個數據塊;根據預設查詢屬性計算所述多個數據塊的熵值,得到對應的多個熵值;判斷得到的所述多個熵值中是否有預設個數的熵值超過預設閾值,如果是,則確定所述域名系統發生了異常。所述裝置包括劃分模塊,計算模塊和判斷模塊。本發明通過計算域名系統查詢數據流中多個數據塊的熵值,當得到的對應的多個熵值中有預設個數的熵值超過預設閾值時,確定域名系統發生了異常,本發明能夠對域名系統系統發生異常起到預警作用,從而減少當域名系統系統發生異常後的損失,相對於現有技術來說,檢測準確度高,而且漏檢率低。
文檔編號H04L29/12GK101854404SQ201010198228
公開日2010年10月6日 申請日期2010年6月4日 優先權日2010年6月4日
發明者丁森林, 盧文哲, 吳軍, 李曉東, 毛偉, 王欣, 金鍵 申請人:中國科學院計算機網絡信息中心