基于Counting Bloom Filter的DNS异常检测

计算机工程与应用 ›› 2014, Vol. 50 ›› Issue (15): 82-86.

基于Counting Bloom Filter的DNS异常检测

胡蓓蓓1，彭艳兵2，程光3

1.武汉邮电科学研究院，武汉 430074
2.烽火通信科技股份有限公司，南京 210019
3.东南大学计算机科学与工程系，南京 211189

出版日期:2014-08-01 发布日期:2014-08-04

DNS anomaly detection based on Counting Bloom Filter

HU Beibei1, PENG Yanbing2, CHENG Guang3

1.Wuhan Research Institute of Posts and Telecommunications, Wuhan 430074, China
2.Fiberhome Communication Technologies Co. Ltd, Nanjing 210019, China
3.Department of Computer Science and Engineering, Southeast University, Nanjing 211189, China

Online:2014-08-01 Published:2014-08-04

摘要/Abstract

摘要： 鉴于失败的DNS查询（failed DNS query）能提供恶意网络活动的证据，以DNS查询失败的数据为切入口，提出一种轻量级的基于Counting Bloom Filter的DNS异常检测方法。该方法使用带语义特征的可逆哈希函数对被查询的域名及发起查询的IP进行快速的聚类和还原。实验结果证明该方法能以较少的空间占用和较快的计算速度有效识别出DNS流量中的异常，适用于僵尸网络、分布式拒绝服务（DDoS）攻击等异常检测的前期筛选和后期验证。

关键词: 域名系统（DNS）查询失败, 计数型布隆过滤器, 异常检测

Abstract: Considering that DNS query failure can serve as communication evidence for activities of malware, this paper provides a DNS anomaly detection method based on Counting Bloom Filter with failure data as its entry point. This method conducts clustering towards domain names queried and IP which initiates the query, using revertible hash function with semantic features. After the clustering, the few Top N hash strings will be worked backwards to get the dominating shorting strings, which will be spliced according to the results of homology judgment. Experimental results prove that this method can effectively identify the anomaly in DNS flow, thus can be applied to early screening and later validation of anomaly detections, such as botnet and DDoS attack.

Key words: Domain Name System（DNS） query failure, Counting Bloom Filter, anomaly detection

胡蓓蓓1，彭艳兵2，程光3. 基于Counting Bloom Filter的DNS异常检测[J]. 计算机工程与应用, 2014, 50(15): 82-86.

HU Beibei1, PENG Yanbing2, CHENG Guang3. DNS anomaly detection based on Counting Bloom Filter[J]. Computer Engineering and Applications, 2014, 50(15): 82-86.

[1]	张博文，刘智，桑国明. 基于核密度波动的异常检测算法[J]. 计算机工程与应用, 2021, 57(12): 132-136.
[2]	麻琛彬，张政波，王晶. 基于深度学习的生理异常检测研究综述[J]. 计算机工程与应用, 2021, 57(10): 10-25.
[3]	刘杰，房俊，雷峰津. 电能质量异常数据在线检测方法[J]. 计算机工程与应用, 2020, 56(9): 240-247.
[4]	吴楚田，陈永乐，陈俊杰. 多协议交叉的HMM协议异常检测算法[J]. 计算机工程与应用, 2020, 56(8): 81-86.
[5]	黎佳玥，赵波，李想，刘会，刘一凡，邹建文. 基于深度学习的网络流量异常预测方法[J]. 计算机工程与应用, 2020, 56(6): 39-50.
[6]	贺寰烨，林果园，顾浩，方梦华. 云虚拟机异常检测场景下改进的LOF算法[J]. 计算机工程与应用, 2020, 56(23): 80-86.
[7]	展鹏，陈琳，曹鲁慧，许浩然，李学庆. 核转折点裁剪表示的时间序列异常检测算法[J]. 计算机工程与应用, 2020, 56(23): 130-138.
[8]	刘文芬，穆晓东，黄月华. 基于多分辨率网格的异常检测方法[J]. 计算机工程与应用, 2020, 56(17): 78-85.
[9]	张常华，周雄图，张永爱，姚剑敏，郭太良，严群. 深度自编码器在数据异常检测中的应用研究[J]. 计算机工程与应用, 2020, 56(17): 93-99.
[10]	熊逸，梁意文，谭成予，周雯. 基于反向选择的地震前兆观测数据异常检测[J]. 计算机工程与应用, 2020, 56(10): 226-230.
[11]	崔芳怡1，荆晓远2，董西伟2，3，吴飞2，孙莹2. 自适应蝙蝠算法优化的模糊聚类及其应用[J]. 计算机工程与应用, 2019, 55(7): 16-22.
[12]	杨飞跃，陶洋. 时空协作的WSNs节点异常检测算法[J]. 计算机工程与应用, 2019, 55(7): 127-131.
[13]	王凯，陈丹伟. 基于LSTM的动态图模型异常检测算法研究[J]. 计算机工程与应用, 2019, 55(5): 76-82.
[14]	贺亮1，王永程1，李赟1，褚衍杰1，沈超2. 基于Lindeberg-Feller定理的网络异常检测算法[J]. 计算机工程与应用, 2019, 55(4): 41-47.
[15]	吴镜锋，金炜东，唐鹏. 结合SVDD和CNN的接触网支柱号牌图像异常检测[J]. 计算机工程与应用, 2019, 55(10): 193-198.