申请/专利权人：中国科学院信息工程研究所

申请日：2021-11-30

公开（公告）日：2024-06-04

公开（公告）号：CN114430382B

主分类号：H04L43/04

分类号：H04L43/04;H04L43/08;H04L43/50;H04L61/10;H04L61/4511

优先权：

专利状态码：有效-授权

法律状态：2024.06.04#授权;2022.05.20#实质审查的生效;2022.05.03#公开

摘要：本发明公开了一种基于被动DNS流量的权威域名服务器冗余度缩减检测方法及装置，包括：基于捕获的DNS流量，生成数据包日志文件；根据DNS流量的时间戳与标识符ID，保存依据日志文件生成的授权依赖三元组、别名依赖三元组、访问依赖三元组、父域依赖三元组与辅助地址依赖三元组，生成若干三元组日志文件；解析所述三元组日志文件，生成动态解析依赖图；基于动态解析依赖图进行权威服务器冗余度分析，得到检测结果。本发明可以系统、全面的测量分析区域在主机名、IP地址、子网前缀、自治域号、组织机构、地理位置各维度上的静态动态、局部全局的冗余度，分析权威域名服务器之间、权威域名服务器和解析器之间存在的动态解析依赖和权重变化。

主权项：1.一种基于被动DNS流量的权威域名服务器冗余度缩减检测方法，其步骤包括：1）基于捕获的DNS流量，生成数据包日志文件；其中，所述基于捕获的DNS流量，生成数据包日志文件，包括：解析DNS流量的字段，其中所述字段包括：时间戳、标识符ID、源IP、目的IP、包类型、请求域名、请求类型、响应码、资源记录和响应类型，资源记录的类型包括：代表域名授权的资源记录、代表服务器对应IP地址的资源记录和代表服务器别名的资源记录；代表域名授权的资源记录包括：SOA类型资源记录和NS类型资源记录；代表服务器对应IP地址的资源记录包括：A类型资源记录和AAAA类型资源记录；代表服务器别名的资源记录包括：CNAME类型资源记录和DNAME类型资源记录；基于设定过滤条件，对时间戳、标识符ID、源IP、目的IP、请求域名及资源记录进行过滤，其中所述设定过滤条件包括：DNS流量为响应包、响应码表示响应包正常、请求类型与响应类型在资源记录类型中和源IP、目的IP、请求域名、资源记录的格式与值范围满足请求意见稿规定；根据过滤后的时间戳、标识符ID、源IP、目的IP、请求域名及资源记录，生成数据包日志文件；2）根据DNS流量的时间戳与标识符ID，保存依据数据包日志文件生成的授权依赖三元组、别名依赖三元组、访问依赖三元组、父域依赖三元组与辅助地址依赖三元组，以生成若干三元组日志文件；其中，生成授权依赖三元组的过程包括：基于代表域名授权的资源记录生成；生成别名依赖三元组的过程包括：基于代表服务器别名的资源记录生成；生成访问依赖三元组的过程包括：基于源IP、目的IP和请求域名生成；生成辅助地址依赖三元组的过程包括：基于代表服务器对应IP地址的资源记录生成；生成父域依赖三元组的过程包括：切分请求域名的字段，生成多个子域名；利用数据包日志文件对子域名进行过滤；基于请求域名与过滤后的子域名，生成父域依赖三元组；3）解析所述三元组日志文件，生成动态解析依赖图；其中，所述解析所述三元组日志文件，生成动态解析依赖图，包括：把授权依赖三元组中的起点类型设置为域名节点zname、边类型设置为边NS、终点类型设置为域名节点sname；把别名依赖三元组中的起点类型设置为域名节点oname、边类型设置为边CNAME、终点类型设置为域名节点cname；把辅助地址依赖三元组中的起点类型设置为域名节点hname、边类型设置为边A、终点类型设置为域名节点aip；将访问依赖三元组拆分成请求侧三元组及响应侧三元组，并把请求侧三元组中的起点类型设置为域名节点sip、边类型设置为边QF、终点类型设置为域名节点qname，把响应侧三元组中的起点类型设置为域名节点qname、边类型设置为边QT、终点类型设置为域名节点dip；把父域依赖三元组中的边类型设置为边LEVEL；综合各三元组的域名节点及边，构建动态解析依赖图，其中每一域名节点或边包括一或多种类型；将每一域名节点或边作为不同类型时，在各数据包中的出现次数，作为域名节点或边的类型权重，并对每一域名节点或边计算包含的所有类型的出现次数进行处理，得到该域名节点或边的总权重；4）基于动态解析依赖图进行权威服务器冗余度分析，得到检测结果；其中，所述基于动态解析依赖图进行权威服务器冗余度分析，得到检测结果，包括：基于动态解析依赖图，计算静态局部冗余度、静态全局冗余度、动态局部冗余度及动态全局冗余度；其中，通过以下步骤获取静态局部冗余度或动态局部冗余度：遍历动态解析依赖图，获取zname类型节点列表，统计zname类型节点总个数，并判断计算目标；若计算目标为动态局部冗余度，则删除动态解析依赖图中所有非NS类型边与孤立节点，将动态解析依赖图切分为若干个连通分量，统计每个连通分量中的sname集合个数及zname集合的访问次数权重，过滤sname集合个数小于阈值T1且zname集合访问次数权重小于阈值T2的连通分量及其zname集合，过滤访问次数权重小于阈值T3的sname节点，其中T1、T2、T3的取值分别根据每个连通分量的sname集合个数列表、每个连通分量的zname集合访问次数列表、每个sname节点的访问次数列表进行处理得到；若计算目标为静态局部冗余度，获取每个zname节点指向的sname类型节点列表，统计每个zname节点包含的sname节点个数；获取每个zname节点间接指向的aip节点列表，并根据网络协议版本，分别进行IP个数的统计，生成不同网络协议版本节点列表；基于每个zname节点包含的不同网络协议版本节点列表，统计主机名维度、IP地址维度、子网前缀维度、自治域号维度、管理机构维度及地理位置维度上权威域名服务器的个数，得到静态局部冗余度或动态局部冗余度；通过以下步骤获取静态全局冗余度或动态全局冗余度：遍历动态解析依赖图的每个zname节点，提取该zname节点单独关联的所有点边组成的解析子图；针对每个zname节点的解析子图，以sname节点为标识，计算所有关键域名服务器集合并统计最小集合的sname节点个数，并判断计算目标；若计算目标为动态全局冗余度，则统计每个sname节点访问次数权重，在每个zname节点的所有关键域名服务器集合中删除访问权重次数小于阈值T4的节点后，统计最小集合sname节点个数，其中T4的取值可根据每个zname节点的所有关键域名服务器集合中sname节点的访问权重次数列表进行处理得到；若计算目标为静态全局冗余度，则替换每个zname节点关键域名服务器集合的sname节点为对应的aip节点，并根据网络协议版本，统计各自最小集合的IP个数；基于每个zname节点包含的不同网络协议版本节点列表，统计主机名维度、IP地址维度、子网前缀维度、自治域号维度、管理机构维度及地理位置维度上权威域名服务器的个数，得到动态局部冗余度或静态局部冗余度；分别将静态全局冗余度与静态局部冗余度、动态局部冗余度与静态局部冗余度、动态全局冗余度与静态全局冗余度进行对比，得到所述检测结果。

全文数据：

权利要求：

百度查询： 中国科学院信息工程研究所 基于被动DNS流量的权威域名服务器冗余度缩减检测方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD