Confusión en la resolución de nombres de dominio
El Sistema de Nombres de Dominio (DNS) es una de las infraestructuras importantes de Internet. Es responsable de proporcionar mapeo y análisis entre nombres de dominio y direcciones IP. Es un vínculo clave en casi todo Internet. aplicaciones como navegación web y correo electrónico. Por lo tanto, el funcionamiento estable del sistema de nombres de dominio es un requisito previo para la prestación de servicios normales de Internet. En los últimos años, los ciberataques contra el sistema de nombres de dominio se han vuelto cada vez más rampantes y los incidentes de abuso de DNS han surgido uno tras otro. Sumado a las limitaciones inherentes del propio protocolo DNS, la seguridad del sistema de nombres de dominio se enfrenta a duras pruebas. Cómo detectar rápida y eficazmente el comportamiento anormal del sistema de nombres de dominio y evitar eventos catastróficos es una cuestión importante que enfrenta el sistema de nombres de dominio e incluso toda Internet.
El servidor DNS implementa servicios externos de resolución de nombres de dominio respondiendo a las solicitudes de consulta DNS que recibe. Por lo tanto, el flujo de datos de la consulta DNS refleja directamente todo el proceso de los servicios externos del servidor DNS. evaluado eficazmente detectando el estado anormal del servicio DNS. Hay muchas razones para el tráfico DNS anormal. Algunas son causadas por ataques de red al servidor DNS y otras por defectos de software o errores de configuración en el sistema de servicio DNS. Las características de las anomalías del tráfico DNS causadas por diferentes motivos también son diferentes, lo que genera muchas dificultades para la detección de anomalías del tráfico DNS.
En la actualidad, en términos de detección de tráfico anormal de DNS, el método tradicional es detectar uno o más indicadores de medición en el flujo de datos de solicitud de consulta de DNS enviado al servidor DNS en tiempo real una vez que se excede un determinado indicador. Si se alcanza el umbral especificado, se activará una alarma de tráfico anormal. Aunque este método es simple de implementar, es demasiado unilateral para juzgar si el tráfico es anormal midiendo estos indicadores de forma independiente, y la tasa de falsas alarmas suele ser alta, por lo que no puede detectar efectivamente el tráfico anormal.
En los últimos años, con el desarrollo de la tecnología de reconocimiento de patrones y minería de datos, se han introducido cada vez más modelos de datos en el campo de la detección de tráfico anormal de DNS. Por ejemplo, en [Seguimiento], los investigadores utilizan un método de detección basado en el análisis de características de correlación para identificar y localizar servidores DNS anormales; además, [Contexto] introduce un método de agrupación dependiente del contexto para diferentes categorías, [Bayesiano; ] También se han introducido clasificación, análisis de series de tiempo y otros métodos en la detección de tráfico anormal de DNS.
No es difícil descubrir que existen muchos métodos para detectar tráfico DNS anormal. Sin embargo, los escenarios de aplicación correspondientes a cada método suelen ser diferentes, normalmente para la detección de una actividad de ataque de red específica. Además, el modelo de datos utilizado por cada método suele ser complejo, lo que tiene las desventajas de un alto costo computacional y un alto costo de implementación. Según el estado técnico actual en el campo de la detección de tráfico DNS anormal, se proponen dos nuevos métodos de detección de tráfico DNS anormal. Estos dos métodos pueden superar eficazmente las deficiencias de la tecnología actual de detección de tráfico anormal de DNS y han demostrado ser eficaces para detectar tráfico anormal de DNS.
2. Soluciones técnicas específicas
1) Utilice reglas de montón para detectar anomalías en el tráfico DNS
El primer método es utilizar reglas de montón para detectar anomalías en el tráfico DNS. Este método analiza de manera innovadora varios indicadores de medición del flujo de datos DNS, descubre las características regulares acumulativas en condiciones normales de red y luego predice las características futuras del tráfico en función de estas características. Al comparar los valores predichos y los valores observados reales, se logra el propósito de detectar tráfico de red anormal en tiempo real. Este método evita las deficiencias de unilateralidad y alta tasa de falsos positivos causadas por el uso de algunos indicadores de medición independientes. Al mismo tiempo, este método tiene las características de una pequeña cantidad de cálculo y un bajo costo de implementación, y es especialmente adecuado para la implementación en grandes servidores DNS.
La Ley de Heap [Ley de Heap] se originó en la lingüística computacional y se utiliza para describir la relación entre el número total de palabras contenidas en un conjunto de documentos y el número de palabras diferentes: es decir, mediante el descubrimiento estadístico de una gran cantidad de documentos en inglés, para un corpus determinado, el número de palabras independientes (tamaño vocal) V es aproximadamente una función exponencial del tamaño del corpus n. A medida que aumenta el número de textos, el número de palabras independientes es una proporción de. el tamaño del corpus primero aumenta repentinamente y luego se ralentiza, pero sigue aumentando, es decir, a medida que se observan más textos, siguen apareciendo nuevas palabras, pero la posibilidad de encontrar el diccionario completo disminuye.
El servidor DNS implementa servicios de resolución de nombres de dominio extranjeros respondiendo a las solicitudes de consulta DNS recibidas. Un paquete típico de solicitud de consulta DNS consta de campos como marca de tiempo, dirección IP de origen, número de puerto, nombre de dominio de consulta, tipo de recurso, etc.
Descubrimos que en condiciones normales de red, la cantidad de solicitudes de consulta DNS recibidas por el servidor DNS dentro de un cierto período de tiempo y el tamaño del conjunto de nombres de dominio de consulta siguen las características de acumulación. Asimismo, este comportamiento existe entre la cantidad de solicitudes de consulta DNS y el tamaño de la dirección IP de origen establecida. Por lo tanto, si esta relación de crecimiento cambia repentinamente en un momento determinado, la probabilidad de que se produzcan anomalías en el tráfico de la red será mayor. En condiciones normales de red, el tamaño del conjunto de nombres de dominio de consulta recibidos por el servidor DNS se puede calcular a partir del número de solicitudes de consulta DNS en función de esta relación de crecimiento. Al comparar el tamaño del conjunto de nombres de dominio de consulta calculado con el tamaño del conjunto de nombres de dominio de consulta realmente observado, si la diferencia entre los dos excede un cierto umbral, se puede considerar que hay una anomalía en el tráfico y se puede emitir una alerta temprana. De manera similar, la detección de tráfico anormal también se puede lograr comparando el tamaño del conjunto de direcciones IP de origen calculado con el tamaño del conjunto de direcciones IP de origen observado real.
Cuando el tráfico DNS es anormal, la cantidad de solicitudes de consulta DNS recibidas por el servidor DNS generalmente aumenta de manera anormal, pero simplemente generar alarmas de tráfico anormal basadas en esto es probable que genere falsas alarmas. En este momento, podemos emitir un juicio en función de los cambios correspondientes en el tamaño del espacio del nombre de dominio. Si la diferencia entre el tamaño del espacio de nombres de dominio observado y el valor previsto está dentro del umbral permitido, se puede concluir que el aumento en las solicitudes de consulta de DNS se debe a un aumento normal en el tráfico de DNS. Por el contrario, si el tamaño del espacio de nombres de dominio observado no aumenta de acuerdo con la proporción correspondiente, o la tasa de crecimiento aumenta de manera anormal, se emitirá una alarma de tráfico anormal. Por ejemplo, cuando ocurre un ataque de denegación de servicio, para reducir la tasa de aciertos del caché DNS local y mejorar el efecto del ataque, los nombres de dominio de consulta enviados al objetivo a menudo son nombres de dominio generados aleatoriamente, y estos nombres de dominio generalmente no no existe. Por lo tanto, cuando ocurre este tipo de ataque, hará que el tamaño real del espacio de nombres de dominio de consulta del servidor DNS atacado aumente anormalmente, lo que está lejos del valor predicho calculado de acuerdo con la ley de acumulación, es decir, la relación de crecimiento original cambiar de repente. Si la diferencia entre ellos excede un cierto umbral, se pueden generar alertas de tráfico anormal en consecuencia.
A través de pruebas con datos reales y verificación de simulación de experimentos de ataque a la red, se puede ver que este método puede detectar anomalías de tráfico comunes en tiempo real y de manera eficiente.
2) Utilizar análisis de entropía para detectar ataques DDoS.
Al analizar las características de varios paquetes de ataques de red, podemos ver que no importa cómo se mejoren los medios de los ataques DDoS, en términos generales, los ataques realizados por varias herramientas y software DDoS deben cumplir con los dos siguientes requisitos básicos. Reglas:
1. El paquete de datos de ataque producido por el atacante modificará más o menos la información del paquete;
2. Las características estadísticas del tráfico de ataque generado por el ataque. El método no puede ser consistente con el tráfico normal y es exactamente el mismo.
Por lo tanto, podemos hacer una suposición audaz: utilizando algunos métodos estadísticos relativamente simples, se pueden detectar ataques DDoS dirigidos específicamente a servidores DNS, y el método de detección también puede tener una precisión ideal.
Entropía es un término propuesto por el físico alemán Rudolf Clausius (1822 ~ 1888) en 1850. Se utiliza para expresar la uniformidad de cualquier distribución de energía en el espacio y también se puede utilizar para expresar el grado de caos y desorden del sistema. Shannon (1916 ~ 2001), el fundador de la teoría de la información, introdujo el concepto de entropía en la teoría de la información en 1948 y propuso una medida de información basada en un modelo probabilístico y estadístico, a saber, la "entropía de la información", en su obra clásica "Principios matemáticos". de Comunicación". La definición de entropía en teoría de la información es la siguiente:
Si hay un conjunto de eventos E = {E1, E2,..., EN} en un sistema S, la distribución de probabilidad de cada evento es p = {P1, P2,...,PN}, entonces la cantidad de información de cada evento en sí se puede expresar mediante la fórmula (1) de la siguiente manera:
La entropía representa la cantidad de información promedio de todo el sistema S , y su método de cálculo es el siguiente: fórmula (2) Se muestra:
En teoría de la información, la entropía representa la incertidumbre de la información. Un sistema con un alto grado de informatización tiene una entropía de información muy baja, mientras que un sistema con un alto grado de informatización tiene una entropía de información muy baja. Un sistema con un bajo grado de informatización tiene un alto valor de entropía. Específicamente, cualquier proceso activo que resulte en un aumento o disminución en la certeza, organización, regularidad o orden de un conjunto de eventos aleatorios puede medirse mediante una escala unificada de cambios en la entropía de la información. El valor de entropía indica la estabilidad del sistema. Cuanto menor sea el valor de entropía, más estable será el sistema. Por el contrario, cuando aumenta la incertidumbre en el sistema, también aumenta el valor de entropía.
Si el valor de una variable aleatoria tiene una fuerte correlación con la anomalía del sistema, entonces la información promedio de la variable aleatoria cuando el sistema es anormal será diferente de cuando el sistema es estable. Si ocurre una gran cantidad de tales anomalías en un momento determinado, el valor de entropía del sistema cambiará enormemente. Esto nos permite detectar si hay anomalías en el sistema a través de cambios en el valor de entropía del sistema. Esta fuerte correlación también hace que el método de detección sea relativamente altamente preciso.
Aplicar la teoría de la entropía a la detección de ataques DDoS en sistemas DNS consiste en determinar si el sistema está bajo ataque midiendo las características estadísticas (entropía) de ciertos atributos específicos de los paquetes DNS. El valor de entropía aquí proporciona una descripción de las propiedades de los datos de consulta de DNS. Estos atributos incluyen la longitud del nombre de dominio de destino, el tipo de consulta, la distribución de varias consultas de error, la distribución de las direcciones IP de origen, etc. Cuanto mayor sea el valor de entropía, más aleatoria será la distribución de estos atributos. Por el contrario, cuanto menor sea el valor de entropía, menor será el rango de distribución de los atributos y mayor será la probabilidad de que se produzcan ciertos valores de atributos. En un sistema DNS normal y estable, si los datos de la consulta se consideran un flujo de información y la aparición de un determinado tipo de consulta en cada solicitud de consulta DNS se considera un evento aleatorio, entonces la entropía de la variable aleatoria del tipo de consulta debe ser un valor relativamente estable. . Cuando un atacante utiliza consultas DNS para lanzar un ataque DDoS, aparecerá una gran cantidad de paquetes de ataque en la red, lo que inevitablemente provocará cambios en las características estadísticas de los tipos de consultas, las direcciones de origen de las consultas y otros atributos relacionados. Incluso cuando un pirata informático lanza un ataque, el tipo y la cantidad de solicitudes de consulta enviadas se diseñan cuidadosamente para mantener el valor de entropía en un nivel estable en una determinada ruta desde el atacante hasta el servidor de destino, pero es imposible en todas las rutas. este. Por lo tanto, detectar anomalías en el sistema DNS mediante la detección de cambios en los valores de entropía no solo es una solución simple y factible, sino que también tiene buenos efectos de detección.
El sistema DNS registra la información del nombre de dominio y la dirección IP a través de ResourceRecord (RR). Cada registro de recurso tiene un tipo de registro (QType), que se utiliza para identificar el tipo de información contenida en el registro de recurso. Por ejemplo, el registro A indica que el registro de recursos es la asignación del nombre de dominio a la dirección IP, el registro PTR indica la asignación de la dirección IP al nombre de dominio, el registro NS indica la información de autorización del nombre de dominio, etc. Cuando los usuarios consultan información relacionada con DNS, deben especificar el tipo de consulta correspondiente. Con base en las ideas anteriores, podemos utilizar la aparición de tipos de consultas en los datos de consultas DNS como eventos aleatorios para calcular los cambios en la entropía, detectando así la existencia de ataques DDoS. El contenido principal del método de detección se muestra en la Figura 1. Se puede ver que al comparar si la diferencia entre H1 y H2 es mayor que el umbral establecido, se puede determinar si el sistema sufre un ataque DDoS. A medida que la ventana de consulta continúa deslizándose, esta comparación continuará a medida que los datos se actualicen continuamente. Los pasos específicos del algoritmo de detección son los siguientes:
1. Establezca una ventana de consulta con un tamaño de w, lo que significa que la ventana cubre w registros.
2. Cuente todos los tipos de consultas que aparecen en la ventana y su probabilidad de aparecer en la ventana, y calcule la entropía H1 de la ventana de acuerdo con la fórmula (2).
Figura 1 Método de detección y análisis de entropía
3. Obtenga la probabilidad del tipo de consulta del primer registro de consulta en la ventana actual y calcule el incremento correspondiente a este tipo.
4. Deslice la ventana un registro hacia atrás. El primer registro en la nueva ventana es el segundo registro antes de que la ventana se deslice.
5. Obtener la probabilidad y el incremento correspondiente del tipo de consulta representado por el último registro agregado en el proceso de mover la ventana en la ventana original.
6. Calcular la probabilidad de que el tipo de consulta correspondiente al primer registro de la nueva ventana aparezca en la nueva ventana y el incremento correspondiente.
7. Calcular la probabilidad y el incremento correspondiente del tipo de consulta al que pertenece el último registro de la nueva ventana de la ventana actual.
8. Calcula la entropía después de mover la ventana en función de los resultados anteriores:
Repite el proceso desde el paso 2 al paso 8 para obtener una serie de valores de entropía y observa los curva de cambio del valor de entropía. Cuando la curva de entropía fluctúa violentamente, se puede concluir que hay una anomalía en la consulta DNS en este momento.
La configuración de la ventana es un factor importante que afecta al algoritmo de detección. Cuanto mayor es la ventana, más suaves son los cambios del valor de entropía, lo que puede reducir efectivamente la aparición de detecciones falsas, pero al mismo tiempo reduce la sensibilidad a las anomalías y aumenta la tasa de detecciones perdidas. Por el contrario, se puede aumentar la sensibilidad de la detección, pero la precisión disminuirá en consecuencia. Por lo tanto, la elección del tamaño de la ventana debe ajustarse en función de la tasa de consultas real.
El 19 de mayo de 2009, los servidores recursivos en muchas provincias y ciudades fallaron debido a la sobrecarga de recepción de consultas DNS, y se produjo una caída de la red a gran escala en China. Este incidente puede verse como un típico ataque distribuido de denegación de servicio iniciado por consultas DNS. Esta repentina gran cantidad de consultas anormales mezcladas con consultas DNS normales cambiará inevitablemente la composición de los tipos de consultas en las consultas DNS. Usamos registros de consultas recopilados del servidor DNS autorizado de un nodo superior entre las 9:00 y las 24:00 del 19 de mayo de 2009 para probar si el algoritmo puede responder a un comportamiento anormal en DNS. Las Figuras 2 y 3 son las curvas de cambio de entropía obtenidas cuando el tamaño de la ventana es 1000 y 1000 respectivamente. La Figura 4 es la curva de tasa de consultas de este nodo.
Figura 2 El cambio de entropía cuando el tamaño de la ventana es 1.000.
Figura 3 El cambio de entropía cuando el tamaño de la ventana es 10000.
Curva de tasa de consultas de la Figura 4
Se puede encontrar en las Figuras 2 y 3 que el valor de entropía aumenta bruscamente alrededor de las 16:00. Esto se debe a los tipos de consulta en el sistema. en este momento son A y Una gran afluencia de solicitudes de consulta NS rompió la estabilidad original del sistema y volvió a un valor estable después de experimentar grandes fluctuaciones. A medida que más y más servidores recursivos experimentan fallas de caché en el sistema, la cantidad de datos anormales recibidos por el servidor raíz aumenta gradualmente y el valor de entropía alcanza un punto bajo alrededor de las 16:45. En este momento, se ha mezclado en el sistema una gran cantidad de datos de consultas anormales. Debido a configuraciones de caché inconsistentes de los servidores recursivos en varias provincias, los servidores recursivos continuaron fallando y se agregaron servidores recursivos con cachés no válidos. Hasta alrededor de las 21:00, el número de consultas anormales alcanzó un máximo, lo que indica que el valor de entropía alcanzó una posición muy baja. La composición de los datos de consulta volvió a fluctuar enormemente a medida que una gran cantidad de servidores recursivos colapsaron bajo una tremenda presión. Luego, cuando se produjeron cortes de red a gran escala, las consultas anormales no pudieron llegar al servidor raíz, la entropía.
En las Figuras 2 y 3, las ventanas de consulta están configuradas en 1.000 y 10.000 respectivamente. Comparando las dos figuras, podemos ver que el valor de entropía en la Figura 2 cambia con frecuencia, lo que refleja que es más sensible a las anomalías del DNS, pero la probabilidad de detección falsa también es alta. En la Figura 3, el valor de entropía cambia relativamente lentamente, la sensibilidad a condiciones anormales es relativamente baja y la tasa de detección falsa también es relativamente baja.
Los ejemplos anteriores muestran que este método puede detectar rápidamente ataques DDoS contra servidores DNS en consultas DNS. La aplicación de este algoritmo al monitoreo en tiempo real del tráfico de consultas de DNS puede detectar anomalías de DNS en tiempo casi real para que se puedan tomar contramedidas lo antes posible. Además, la precisión de la detección de anomalías se puede mejorar aún más utilizando la distribución de tipos de consultas de error u otros atributos, como direcciones IP de origen, para calcular la entropía, o utilizando ventanas de tiempo para segmentar el tráfico.
3) Utilizar clasificador de redes neuronales artificiales para detectar ataques DDoS.
La detección de ataques DDoS, como problema típico de detección de intrusiones, se puede transformar en un problema de clasificación binaria en el reconocimiento de patrones. Los ataques DDoS contra servidores de nombres de dominio DNS se pueden detectar eficazmente utilizando clasificadores de redes neuronales artificiales y datos de consultas DNS. Al analizar los datos de consulta de los servidores DNS autoritativos o recursivos y en función de las características de los ataques DDoS en los registros, se extraen varios vectores de características como vectores de entrada del clasificador. El clasificador elige utilizar un perceptrón multicapa, que es una red neuronal de alimentación directa multicapa en redes neuronales. Las redes neuronales artificiales tienen las siguientes ventajas obvias para la detección de ataques DDoS:
1. Puede manejar datos incompletos, distorsionados e incluso no lineales. Dado que muchos atacantes llevan a cabo ataques DDoS, es particularmente importante procesar datos de múltiples fuentes de datos de manera no lineal.
2. Velocidad de procesamiento. Esta ventaja inherente del método de red neuronal permite emitir respuestas de intrusión antes de que se destruya el sistema protegido, e incluso se puede predecir el comportamiento de intrusión;
3. La mayor ventaja de este clasificador es que puede resumir las características de varios comportamientos de ataque a través del aprendizaje y puede identificar varios comportamientos que no coinciden con el patrón de comportamiento normal actual.
Debido a que el perceptrón multicapa tiene las ventajas irremplazables mencionadas anteriormente, se selecciona como clasificador. La salida del clasificador se divide en "servicio normal" y "bajo ataque", lo que refleja directamente si el servidor DNS estará o está bajo ataque DDoS. Si el resultado de la detección está "bajo ataque", el personal pertinente puede tomar medidas oportunas para evitar un mayor desarrollo del ataque.
Figura 5 Detección de ataques DDoS
Como se muestra en la Figura 5, este método de detección se divide principalmente en tres etapas: extracción de características, entrenamiento de modelos y clasificación en línea.
En la etapa de extracción de características, es necesario utilizar la información existente en los datos de la consulta DNS y combinar las características de varios ataques DNSDDoS para extraer características útiles para la clasificación. En la fase de entrenamiento del modelo, se simulan cientos o incluso miles de secuencias de ataques DDoS a través de una gran cantidad de datos de características para entrenar el perceptrón multicapa. Durante el proceso de entrenamiento, el perceptrón multicapa aprende las características de los comportamientos de ataque y mejora la tasa de reconocimiento. La clasificación en línea pertenece a la etapa de aplicación. Este método se implementa en la autoridad DNS o en el servidor recursivo a través de software. Al leer los datos de la consulta DNS en tiempo real e ingresar las características extraídas en el perceptrón multicapa, puede identificar rápidamente si el servidor será o está siendo atacado por DDoS, de modo que se puedan tomar más medidas preventivas.
La precisión de la clasificación del perceptrón multicapa depende en gran medida de si el vector de características de entrada puede realmente resumir y reflejar las características de los ataques DDoS. Al analizar cuidadosamente varios ataques DNSDDoS, este método extrae ocho características que pueden reflejar el ataque de forma individual o conjunta en unos minutos:
1. Número de consultas DNS por segundo. Esta característica se obtiene promediando el número de consultas por minuto;
2. La desviación estándar de la tasa de consultas por minuto dentro de la ventana de tiempo. La fórmula es la siguiente:
donde n representa el número de segundos registrados en los datos de la consulta por minuto, Xi representa el volumen de consultas en un segundo determinado y m representa el volumen promedio de consultas por segundo en un minuto. ;
3.Tamaño del espacio IP. Indica cuántos hosts han emitido solicitudes de consulta DNS en un minuto;
4. Tamaño del espacio del nombre de dominio. Indica cuántos nombres de dominio se acceden en un minuto;
5. El número de consultas con el puerto de origen establecido en 53. Debido a que algunos ataques DDoS contra DNS configuran el puerto de origen en 53, es necesario realizar un seguimiento de esta configuración.
6. Cuestionar los cambios en la entropía del tipo de registro. La fórmula es la siguiente:
Donde n representa el número de tipos de registros en la ventana de tiempo, Pi representa la probabilidad de un determinado tipo de registro y Xi representa un determinado tipo de registro.
7. Establecer la proporción de consultas recursivas. Debido a que algunos ataques DDoS aumentarán el efecto del ataque al configurar la consulta como recursiva, es necesario realizar un seguimiento de esta configuración;
8. Dado que el programa genera aleatoriamente algunos nombres de dominio consultados por ataques DDoS, esto inevitablemente provocará cambios en la longitud promedio de los nombres de dominio en los datos de la consulta. Por lo tanto, también es muy significativo rastrear la longitud promedio de los nombres de dominio.
Figura 6 La estructura del clasificador de redes neuronales artificiales
La estructura general del clasificador de redes neuronales se muestra en la Figura 6. Como se muestra en la figura, este clasificador se divide en tres capas, una capa de entrada, una capa oculta y una capa de salida. La capa de entrada contiene 8 unidades y la capa oculta contiene 20 unidades. Según la teoría de redes neuronales [3], el número de unidades de capa oculta y el número de unidades de capa de entrada deben satisfacer la siguiente relación:
h representa el número de unidades de capa oculta y n representa el número de unidades de la capa de entrada. La capa de salida contiene solo una celda y el valor de salida contiene dos: "1" significa "bajo ataque" y "0" significa "servicio normal".
Los puntos técnicos de este método de detección incluyen los dos aspectos siguientes:
1. Estas características deben poder reflejar completamente los cambios en las condiciones de consulta causados por ataques DDos;
2. Métodos de aprendizaje y clasificación. Seleccione el perceptrón multicapa como clasificador, diseñe y ajuste la estructura específica y los parámetros relacionados del clasificador, y utilice el algoritmo de retropropagación para entrenar el clasificador. Al transformar el problema de detección de ataques DDoS en un problema de clasificación binaria que incluye "servicio normal" y "bajo ataque", los ataques DNSDDoS se pueden detectar eficazmente en tiempo real.