一種基于熵檢測的DNS64分布式拒絕服務攻擊檢測方法

摘要：針對DNS64分布式拒絕服務攻擊的具體場景，提出了一種基于信息熵估計的異常流量檢測技術，該技術采用了統計閾值而非固定閾值的攻擊檢測方式，并結合DNS64協議特點，針對性地引入了多攻擊特征加權判別機制。實驗與分析結果表明，上述方法能夠針對漸增的DDoS攻擊行為給予及時響應，同時在保障DDoS攻擊檢測率的同時，有效地降低其檢測誤報率，從而達到DNS64攻擊識別與服務防護的目的。

關鍵詞：IPv6；DNS64；并存過渡機制；DDoS；熵檢測

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）21-4990-04

鑒于當前IPv4協議的應用普及現狀，從IPv4過渡到IPv6勢必是一個長期演進的過程。而隨著下一代互聯網協議IPv6的快速發展，越來越多的IPv4/v6并存過渡機制正在逐步得到應用，如DNS64、NAT-PT等，而這些過渡機制本身的安全保障則成為當前IPv4/v6安全性研究的關鍵問題之一。

在IPv4/v6互聯網中，DNS是最關鍵的基礎核心服務之一，其服務的開放性及其對網絡服務影響的廣泛性，往往使得其DDoS分布式拒絕服務攻擊的首要焦點，其典型的安全相關事件包括2009年“5.19斷網事件”、2014年“1.21宕機事件”等。而作為銜接IPv4/v6網絡服務橋梁、并正在快速普及的DNS64服務，其安全性保障正在逐漸受到人們的重視與關注。

目前，已涌現出多種基于流量的DNS拒絕服務攻擊檢測技術。秦勇等[1]提出了一種通過對DNS流量摘要記錄進行分析來實現DNS異常檢測的方法；Musashi等[2]實現了一種針對多種類型DNS日志流量報文實施異常檢測的方法；Ren等[3]提出一種DNS流量可視化分析方法以解決DDoS所導致的緩沖中毒等問題。……