(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111356283.X (22)申请日 2021.11.16 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 闵波　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 蒋姗 (51)Int.Cl. H04L 61/4511(2022.01) H04L 9/40(2022.01) (54)发明名称 一种DNS缓存投毒的检测方法及装置 (57)摘要 本申请实施例提供一种DNS缓存投毒的检测 方法及装置， 涉及信息安全领域， 该DNS缓存投毒 的检测方法包括： 当接收到响应报文时， 对响应 报文包括的五元组和域名进行哈希计算， 得到哈 希值； 判断预设数据库中是否包括哈希值； 当预 设数据库包括哈希值时， 在预设数据库中获取与 哈希值相对应的事务ID集合； 判断事务ID集合中 事务ID变化频率是否大于 预设频率阈值； 当事务 ID变化频率大于预设频率阈值时， 输出投毒疑似 警报。 可见， 实施这种实施方式， 能够在旁路部署 的模式下准确检测出DNS缓存投毒攻击， 节约系 统资源， 保障准确率。 权利要求书2页 说明书7页 附图4页 CN 114024937 A 2022.02.08 CN 114024937 A 1.一种DNS缓存投毒的检测方法， 其特 征在于， 所述方法包括： 当接收到响应报文时， 对所述所述响应报文包括的五元组和域名进行哈希计算， 得到 哈希值； 判断预设数据库中是否包括所述哈希值； 当所述预设数据库包括所述哈希值 时， 在所述预设数据库中获取与 所述哈希值相对应 的事务ID集合； 判断所述事务 ID集合中事务 ID变化频率是否大于预设频率阈值； 当所述事务 ID变化频率大于所述预设频率阈值时， 输出投毒疑似警报。 2.根据权利要求1所述的DNS缓存投毒的检测方法， 其特征在于， 所述接收到响应报文 的步骤之前， 所述方法还 包括： 当接收到请求报文时， 判断定时器是否 到期； 当所述定时器未到期时， 将所述请求报文包括的域名插 入域名信息集 合。 3.根据权利要求2所述的DNS缓存投毒的检测方法， 其特征在于， 所述输出投毒疑似警 报的步骤之后， 所述方法还 包括： 判断所述 域名信息集 合中是否包括所述响应报文包括的域名； 当所述域名信息集 合中包括所述响应报文包括的域名时， 输出投毒攻击警报。 4.根据权利要求3所述的DNS缓存投毒的检测方法， 其特征在于， 所述输出投毒攻击警 报的步骤之后， 所述方法还 包括： 当所述事务ID集合中包括所述响应报文对应的事务ID时， 获取现有报文； 所述事务ID 与所述现有报文和所述响应报文两者相对应； 获取所述现有报文的第一TTL值、 所述响应报文的第二TTL值以及所述事务ID结合中其 他事务ID的其他TTL值； 判断所述第一T TL值是否比所述第二T TL值更接近所述其他TTL值； 当所述第一T TL值比所述第二T TL值更接近所述其他TTL值时， 输出投毒成功警报。 5.根据权利要求1～4任一项所述的DNS缓存投毒的检测方法， 其特征在于， 所述预设数 据库为map结构， 所述事务 ID集合为set结构。 6.一种DNS缓存投毒的检测装置， 其特 征在于， 所述检测装置包括： 计算单元， 用于当接收到响应报文时， 对所述所述响应报文包括的五元组和域名进行 哈希计算， 得到哈希值； 第一判断单 元， 用于判断预设数据库中是否包括所述哈希值； 获取单元， 用于当所述预设数据库包括所述哈希值时， 在所述预设数据库中获取与所 述哈希值相对应的事务 ID集合； 第二判断单 元， 用于判断所述事务 ID集合中事务 ID变化频率是否大于预设频率阈值； 输出单元， 用于当所述事务 ID变化频率大于所述预设频率阈值时， 输出投毒疑似警报。 7.根据权利要求6所述的DNS缓存投毒的检测装置， 其特 征在于， 所述检测装置还 包括： 第三判断单 元， 用于当接收到请求报文时， 判断定时器是否 到期； 插入单元， 用于当所述定时器未到期时， 将所述请求报文包括的域名插入域名信息集 合。 8.根据权利要求6所述的DNS缓存投毒的检测装置， 其特 征在于， 所述检测装置还 包括：权　利　要　求　书 1/2 页 2 CN 114024937 A 2第四判断单 元， 用于判断所述 域名信息集 合中是否包括所述响应报文包括的域名； 所述输出单元， 还用于当所述域名信息集合中包括所述响应报文包括的域名时， 输出 投毒攻击警报。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至5中 任一项所述的DNS缓存投毒的检测方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指令被一处理器读取并运行时， 执行权利要求1至5任一项所述的DNS缓存投 毒的检测方法。权　利　要　求　书 2/2 页 3 CN 114024937 A 3