公开(公告)号：CN101854404B

公开(公告)日：2013-08-07

申请号：CN201010198228.8

申请日：2010-06-04

Applicant: 中国科学院计算机网络信息中心

Inventor： 毛伟 ,  李晓东 ,  丁森林 ,  王欣 ,  吴军 ,  金键

IPC: H04L29/12 ,  G06F17/30

CPC classification number: H04L61/1511 ,  H04L29/12066

Abstract: 本发明提供了一种检测域名系统异常的方法和装置，属于计算机网络技术领域。所述方法包括：将域名系统查询数据流划分为多个数据块；根据预设查询属性计算所述多个数据块的熵值，得到对应的多个熵值；判断得到的所述多个熵值中是否有预设个数的熵值超过预设阈值，如果是，则确定所述域名系统发生了异常。所述装置包括：划分模块，计算模块和判断模块。本发明通过计算域名系统查询数据流中多个数据块的熵值，当得到的对应的多个熵值中有预设个数的熵值超过预设阈值时，确定域名系统发生了异常，本发明能够对域名系统系统发生异常起到预警作用，从而减少当域名系统系统发生异常后的损失，相对于现有技术来说，检测准确度高，而且漏检率低。

公开(公告)号：CN101854404A

公开(公告)日：2010-10-06

申请号：CN201010198228.8

申请日：2010-06-04

Applicant: 中国科学院计算机网络信息中心

Inventor： 毛伟 ,  李晓东 ,  丁森林 ,  王欣 ,  吴军 ,  金键 ,  卢文哲

IPC: H04L29/12 ,  G06F17/30

CPC classification number: H04L61/1511 ,  H04L29/12066

Abstract: 本发明提供了一种检测域名系统异常的方法和装置，属于计算机网络技术领域。所述方法包括：将域名系统查询数据流划分为多个数据块；根据预设查询属性计算所述多个数据块的熵值，得到对应的多个熵值；判断得到的所述多个熵值中是否有预设个数的熵值超过预设阈值，如果是，则确定所述域名系统发生了异常。所述装置包括：划分模块，计算模块和判断模块。本发明通过计算域名系统查询数据流中多个数据块的熵值，当得到的对应的多个熵值中有预设个数的熵值超过预设阈值时，确定域名系统发生了异常，本发明能够对域名系统系统发生异常起到预警作用，从而减少当域名系统系统发生异常后的损失，相对于现有技术来说，检测准确度高，而且漏检率低。