Cuando mi computadora portátil está conectada a Internet, muestra que el servidor DNS es anormal. ¿Es esto un problema con el proveedor de servicios de red o hay algún problema con mi configuración?

Antecedentes

El Sistema de Nombres de Dominio (DNS) es una de las infraestructuras importantes de Internet. Es responsable de proporcionar mapeo y resolución entre nombres de dominio y direcciones IP, y es un sistema. parte importante de la navegación web, el correo electrónico y otros enlaces clave en casi todas las aplicaciones de Internet. Por lo tanto, el funcionamiento estable del sistema de nombres de dominio es un requisito previo para la prestación de servicios normales de Internet. En los últimos años, los ciberataques contra el sistema de nombres de dominio se han vuelto cada vez más rampantes y el abuso del DNS ha surgido en una corriente interminable. Junto con las limitaciones inherentes del propio protocolo DNS, la seguridad del sistema de nombres de dominio se enfrenta a una dura prueba. Cómo detectar rápida y eficazmente anomalías de comportamiento en el sistema de nombres de dominio y evitar eventos catastróficos es una cuestión importante que enfrenta el sistema de nombres de dominio actual e incluso toda Internet.

El servidor DNS implementa servicios externos de resolución de nombres de dominio respondiendo a las solicitudes de consulta DNS que recibe. Por lo tanto, el flujo de datos de la consulta DNS refleja directamente todo el proceso de los servicios externos del servidor DNS. La detección puede evaluar eficazmente el estado del servicio del servidor DNS. Hay muchas razones para el tráfico DNS anormal. Algunas son causadas por ataques de red a servidores DNS y otras por defectos de software o errores de configuración en el sistema de servicio DNS. Las anomalías del tráfico DNS causadas por diferentes motivos también tienen características diferentes, lo que genera muchas dificultades para la detección de anomalías del tráfico DNS.

En la actualidad, en términos de detección de tráfico anormal de DNS, el método más tradicional es detectar uno o más indicadores de medición en el flujo de datos de solicitud de consulta de DNS enviado al servidor DNS en tiempo real una vez que se establece un determinado indicador. en un momento determinado, si se excede el umbral especificado, se emitirá una alarma de anomalía de tráfico. Aunque este método es simple de implementar, es demasiado unilateral para determinar si el tráfico es anormal mediante la medición independiente de estos indicadores. La tasa de falsas alarmas suele ser muy alta y no puede detectar de manera efectiva el tráfico anormal.

En los últimos años, con el desarrollo de la tecnología de reconocimiento de patrones y minería de datos, se han introducido cada vez más modelos de datos en el campo de la detección de tráfico anormal de DNS. Por ejemplo, en [Seguimiento], los investigadores utilizaron un. Un método de detección basado en el análisis de características de correlación para identificar y localizar servidores DNS anormales [Contexto] introduce además un método de agrupación relacionado con el contexto para clasificar diferentes categorías de flujos de datos DNS, como los métodos Bei, como la clasificación bayesiana [bayesiana] y el tiempo; El análisis de la serie [Similitud] también se ha introducido en la detección de tráfico anormal de DNS.

No es difícil descubrir que existen muchos métodos disponibles como referencia para detectar tráfico DNS anormal. Sin embargo, los escenarios de aplicación correspondientes a cada método suelen ser diferentes y suelen estar orientados a la detección de una actividad de ataque a la red específica. Además, el modelo de datos utilizado por cada método suele ser relativamente complejo, lo que tiene las desventajas de un alto costo computacional y un alto costo de implementación. Según el estado técnico actual de la detección de tráfico de anomalías de DNS, este artículo proporciona dos nuevos métodos de detección de anomalías de tráfico de DNS. Estos dos métodos pueden superar eficazmente las deficiencias de la tecnología actual de detección de tráfico anormal de DNS. Se ha verificado que pueden detectar anomalías del tráfico de DNS de forma eficaz.

2. Soluciones técnicas específicas

1) Utilice la Ley de Heap para detectar anomalías en el tráfico DNS.

El primer método es utilizar la Ley de Heap para detectar anomalías en el tráfico DNS. detección. Este método analiza de manera innovadora múltiples indicadores de medición del flujo de datos DNS, descubre las características de la ley de acumulación que exhiben en condiciones normales de red y luego predice las características del tráfico futuro en función de esta característica a través del valor de predicción. Compárelo con los valores observados reales. para lograr el propósito de detectar en tiempo real el tráfico anormal de la red. Este método evita las deficiencias de unilateralidad y alta tasa de falsas alarmas causadas por el uso de algunos indicadores de medición independientes para la detección. Al mismo tiempo, este método tiene las características de una pequeña cantidad de cálculo y un bajo costo de implementación, y es especialmente adecuado para la implementación. Grandes servidores DNS.

La Ley de Heap [Heap's] se originó en la lingüística computacional y se utiliza para describir la relación entre el número total de palabras contenidas en una colección de documentos y el número de palabras diferentes: es decir, analizando una gran cantidad de Las estadísticas de documentos en inglés encontraron que para un corpus determinado, el número de palabras independientes (tamaño del vocabulario) V es aproximadamente una función exponencial del tamaño del corpus N. A medida que aumenta el número de textos, la proporción de palabras independientes (vocabulario) involucradas en el tamaño del corpus primero aumenta repentinamente y luego disminuye pero sigue mejorando. Es decir, a medida que se observan más y más textos, siguen apareciendo nuevas palabras, pero la probabilidad. de descubrir el diccionario completo disminuye.

El servidor DNS implementa servicios externos de resolución de nombres de dominio respondiendo a las solicitudes de consulta DNS que recibe. Un paquete típico de solicitud de consulta DNS consta de campos como marca de tiempo, dirección IP de origen, número de puerto, nombre de dominio de consulta, tipo de recurso, etc. Descubrimos que en condiciones normales de red, la cantidad de solicitudes de consulta DNS recibidas por el servidor DNS dentro de un cierto período de tiempo y el tamaño del conjunto de nombres de dominio de consulta siguen las características de una ley de acumulación. De manera similar, la cantidad de solicitudes de consulta DNS. y el conjunto de direcciones IP de origen siguen las características de una ley de acumulación. Esta característica también existe entre el tamaño de las dos. Por lo tanto, si esta relación de crecimiento cambia en un momento determinado, la probabilidad de que se produzca un tráfico anormal en la red será relativamente alta. Porque en condiciones normales de red, el tamaño del conjunto de nombres de dominio de consulta recibido por el servidor DNS se puede calcular a partir del número de solicitudes de consulta DNS en función de esta relación de crecimiento. Al comparar el tamaño del conjunto de nombres de dominio de consulta calculado con el tamaño del conjunto de nombres de dominio de consulta realmente observado, si la diferencia entre los dos excede un cierto umbral, se puede considerar que ha ocurrido una anomalía en el tráfico y se puede emitir una alerta temprana. De manera similar, al comparar el tamaño estimado del conjunto de direcciones IP de origen con el tamaño real observado del conjunto de direcciones IP de origen, también se puede lograr el propósito de detectar tráfico anormal.

Cuando se producen anomalías en el tráfico DNS, el número de solicitudes de consulta DNS recibidas por el servidor DNS suele aumentar de forma anormal. Sin embargo, emitir una alarma sobre anomalías en el tráfico basándose simplemente en esto puede generar falsas alarmas. En este momento, puede emitir un juicio basándose en la observación de los cambios correspondientes en el tamaño del espacio del nombre de dominio de consulta. Si la diferencia entre el tamaño del espacio de nombres de dominio observado y el valor previsto está dentro del rango de umbral permitido, se puede determinar que el aumento en las solicitudes de consultas de DNS se debe al crecimiento normal del volumen de negocios de DNS. Por el contrario, si el tamaño del espacio de nombres de dominio observado no aumenta en la proporción correspondiente, o la tasa de crecimiento aumenta de manera anormal, se emitirá una alarma de anomalía de tráfico. Por ejemplo, cuando ocurre un ataque de denegación de servicio, para reducir la tasa de aciertos del caché DNS local y mejorar el efecto del ataque, el nombre de dominio de consulta enviado al objeto del ataque suele ser un nombre de dominio generado aleatoriamente, y estos nombres de dominio normalmente no existen. Por lo tanto, cuando ocurre este tipo de ataque, hará que el tamaño del espacio de nombres de dominio de consulta real actual del servidor DNS atacado aumente anormalmente y habrá una gran brecha con el valor predicho calculado según la ley de acumulación, es decir, la relación de crecimiento original mutará. Si la diferencia entre los dos excede un cierto umbral, se puede emitir una alarma de anomalía de tráfico en consecuencia.

A través de pruebas con datos reales y verificación de simulación de experimentos de ataque a la red, se sabe que este método puede detectar anomalías de tráfico comunes en tiempo real y de manera eficiente.

2) Utilice el análisis de entropía para detectar ataques DDoS

Al analizar las características de varios paquetes de ataque de red, podemos ver que: no importa cómo se mejoren los medios de los ataques DDoS, generalmente Hablando, los ataques creados por varias herramientas de software DDoS deben cumplir con las siguientes dos reglas básicas:

1. El paquete de datos de ataque creado por el atacante modificará más o menos la información en el paquete;

2. Las características estadísticas del tráfico de ataque generado por métodos de ataque no pueden ser exactamente las mismas que las del tráfico normal.

Por lo tanto, podemos hacer una suposición audaz: los ataques DDoS dirigidos específicamente a servidores DNS se pueden detectar utilizando algunos métodos estadísticos relativamente simples, y este método de detección también puede tener una precisión ideal.

“Entropía” es un término propuesto por el físico alemán Rudolf Clausius (1822-1888) en 1850. Se utiliza para expresar la distribución uniforme de cualquier tipo de energía en el espacio. También se puede utilizar para grados. Expresar el grado de caos y desorden del sistema. Claude Elwood Shannon (1916-2001), fundador de la teoría de la información, introdujo el concepto de entropía en la teoría de la información en 1948 y propuso una medición de la información basada en un modelo probabilístico y estadístico en su libro clásico "Principios matemáticos de la comunicación", que es, "entropía de la información". La definición de entropía en teoría de la información es la siguiente:

Si hay un conjunto de eventos E={E1, E2,...,En} en un sistema S, y la distribución de probabilidad de cada evento P ={P1, P2,...,Pn}, entonces la cantidad de información de cada evento en sí se puede expresar mediante la fórmula (1) de la siguiente manera: ​​

La entropía representa la cantidad de información promedio de todo el evento. sistema S, y su método de cálculo es como se muestra en la fórmula (2) Representa: 　　

En teoría de la información, la entropía representa la incertidumbre de la información. Un sistema con un alto grado de información tiene una entropía de información muy baja y, a la inversa, un sistema de bajo grado de información tiene un alto valor de entropía. Específicamente, cualquier proceso de actividad que conduzca a un aumento o disminución en la certeza, organización, regularidad o orden de un conjunto de eventos aleatorios puede medirse mediante la escala unificada del cambio en la entropía de la información. El valor de entropía representa la estabilidad del sistema. Cuanto menor sea el valor de entropía, más estable será el sistema. Por el contrario, cuando aumente el número de factores inciertos en el sistema, el valor de entropía también aumentará. Si el valor de una determinada variable aleatoria tiene una fuerte correlación con la situación anormal del sistema, entonces la cantidad promedio de información de la variable aleatoria en el momento de la anormalidad del sistema será diferente de la del momento en que el sistema está estable. Si ocurre una gran cantidad de anomalías de este tipo en un momento determinado, el valor de entropía del sistema cambiará significativamente. Esto nos permite detectar si hay anomalías en el sistema a través de cambios en el valor de entropía del sistema, y ​​esta fuerte correlación también permite que el método de detección tenga una precisión relativamente alta.

Aplicar la teoría de la entropía a la detección de ataques DDoS en el sistema DNS consiste en determinar si el sistema está bajo ataque midiendo las características estadísticas (entropía) de ciertos atributos específicos de los paquetes DNS. El valor de entropía aquí proporciona una descripción de las propiedades de los datos de consulta DNS. Estos atributos incluyen la longitud del nombre de dominio de destino, el tipo de consulta, la distribución de varias consultas de error y la distribución de las direcciones IP de origen, etc. Cuanto mayor es el valor de entropía, más aleatoria es la distribución de estos atributos; por el contrario, cuanto menor es el valor de entropía, menor es el rango de distribución de los atributos y la probabilidad de que aparezcan ciertos valores de atributos es alta. En un sistema DNS que funciona de forma normal y estable, si los datos de la consulta se consideran un flujo de información y la aparición de un determinado tipo de consulta en cada solicitud de consulta DNS se utiliza como un evento aleatorio, entonces, dentro de un período de tiempo, la entropía de la variable aleatoria del tipo de consulta debe ser Es un valor relativamente estable. Cuando un atacante utiliza una consulta DNS para lanzar un ataque DDoS, aparecerá una gran cantidad de paquetes de ataque en la red, lo que inevitablemente provocará cambios en las características estadísticas de. atributos relacionados con el tipo de consulta, la dirección de origen de la consulta, etc. Incluso si un pirata informático diseña cuidadosamente el tipo y la cantidad de solicitudes de consulta enviadas al lanzar un ataque, de modo que el valor de entropía en una determinada ruta desde el atacante al servidor de destino pueda mantenerse en un nivel estable, nunca es posible hacer esto. en todos los caminos. Por lo tanto, detectar la aparición de condiciones anormales en el sistema DNS mediante la detección de cambios en los valores de entropía no solo es una solución simple y factible, sino que también tiene un buen efecto de detección.

El sistema DNS registra la información del nombre de dominio y la dirección IP a través de registros de recursos (ResourceRecord, RR). Cada registro de recurso tiene un tipo de registro (QType), que se utiliza para identificar el tipo de información contenida en el recurso. registro, como un registro que indica que el registro de recursos es una asignación del nombre de dominio a la dirección IP, un registro PTR que indica la asignación de una dirección IP al nombre de dominio, un registro NS que indica la información de autorización del nombre de dominio, etc. Al consultar información relacionada con DNS, los usuarios. Es necesario especificar el tipo de consulta correspondiente.

De acuerdo con las ideas antes mencionadas, podemos utilizar la aparición de tipos de consultas en los datos de consultas DNS como eventos aleatorios para calcular los cambios en la entropía, detectando así la existencia de ataques DDoS. El contenido principal del método de detección se muestra en la Figura 1. Se puede ver que al comparar si la diferencia entre H1 y H2 es mayor que un cierto umbral establecido, se puede determinar si el sistema está sufriendo un ataque DDoS. A medida que la ventana del volumen de consultas continúa deslizándose, esta comparación continuará a medida que los datos se actualicen continuamente. Los pasos específicos del algoritmo de detección son los siguientes:

1. Establezca una ventana de volumen de consulta con un tamaño de W, lo que significa que la ventana cubre W registros.

2. Estadísticas de todos los tipos de consultas que aparecen en la ventana y su probabilidad de aparecer en la ventana correspondiente, y calcular la entropía H1 de la ventana según la fórmula (2).

Figura 1 Método de detección y análisis de entropía

3. Obtenga la probabilidad de ocurrencia del tipo de consulta al que pertenece el primer registro de consulta en la ventana actual y encuentre el incremento correspondiente. este tipo

p>

4. Deslice la ventana hacia atrás un registro. En este momento, el primer registro en la nueva ventana es el segundo registro antes de que la ventana se deslice.

5. Obtener la probabilidad de que el tipo de consulta representado por el último registro agregado durante el movimiento de la ventana aparezca en la ventana original y el incremento correspondiente

6. la nueva ventana La probabilidad de que el tipo de consulta correspondiente al registro aparezca en la nueva ventana y el incremento correspondiente

7. Calcule la probabilidad de que el tipo de consulta que pertenece al último registro en la nueva ventana aparezca. la ventana actual y el Incremento correspondiente

8. Calcula la entropía después de mover la ventana en función de los resultados anteriores:

Repite el proceso desde el paso 2 al paso 8 para obtener una serie de Valores de entropía y observe los cambios en la curva del valor de entropía. Cuando la curva del valor de entropía fluctúa violentamente, se puede concluir que hay una anomalía en la consulta DNS en este momento.

La configuración de la ventana es un factor importante que afecta el algoritmo de detección. Cuanto más grande es la ventana, más suave es el cambio en el valor de entropía, lo que puede reducir efectivamente la aparición de detecciones falsas, pero también reduce la. sensibilidad a las anomalías, la tasa de detección perdida aumenta, por el contrario, la sensibilidad de detección se puede aumentar, pero la precisión se reducirá en consecuencia. Por lo tanto, la selección del tamaño de la ventana debe ajustarse de acuerdo con la tasa de consultas real.

El 19 de mayo de 2009, los servidores recursivos en muchas provincias y ciudades fallaron debido a una sobrecarga de consultas de DNS. Se produjo una parálisis de la red a gran escala en Internet en China. Este accidente puede considerarse como una denegación distribuida típica. El ataque de servicio se inicia mediante el uso de consultas DNS. Esta gran cantidad repentina de consultas anormales se mezclan con consultas DNS normales, lo que inevitablemente cambiará la composición de los tipos de consultas en las consultas DNS. Usamos los registros de consultas recopilados del servidor DNS autorizado de un nodo superior entre las 9:00 y las 24:00 del 19 de mayo de 2009 para probar si el algoritmo puede responder a un comportamiento anormal en DNS. Las figuras 2 y 3 son las curvas de cambio de entropía obtenidas cuando el tamaño de la ventana es 1000 y 10 000 respectivamente. La figura 4 es la curva de tasa de consultas de este nodo.

Figura 2 El cambio de entropía cuando el tamaño de la ventana es 1000

Figura 3 El cambio de entropía cuando el tamaño de la ventana es 10000

Figura 4 Curva de tasa de consultas

Se puede encontrar en la Figura 2 y la Figura 3 que a partir de las 16:00 aproximadamente, el valor de entropía aumenta drásticamente. Esto se debe a la gran afluencia de solicitudes de consulta para los tipos de consulta A y NS en el sistema. en este momento, rompiendo la situación estable original del sistema, y ​​después de experimentar grandes fluctuaciones, volvió a un valor estable. A medida que aumenta la cantidad de servidores recursivos con cachés no válidos en el sistema, la cantidad de datos anormales recibidos por el servidor raíz aumenta gradualmente y el valor de entropía alcanza un punto bajo alrededor de las 16:45. Se han mezclado datos de consulta anormales en el sistema.

Debido a la configuración de caché inconsistente de los servidores recursivos en varias provincias, los servidores recursivos continuaron fallando y los servidores recursivos con cachés no válidos continuaron uniéndose. Hasta alrededor de las 21:00, este volumen de consultas anormales alcanzó un pico, que se manifestó como extremadamente bajo. Debido a que una gran cantidad de servidores recursivos se paralizaron bajo una gran presión, la composición de los datos de la consulta volvió a fluctuar violentamente. Luego, con la aparición de cortes de red a gran escala, las consultas anormales no pudieron llegar al servidor raíz. El valor de entropía se reanudó después de experimentar fluctuaciones y volvió a un estado más estable. Los cambios de flujo en la Figura 4 también lo confirman.

La Figura 2 y la Figura 3 establecen la ventana de consulta en 1000 y 10 000 respectivamente. Al comparar las dos figuras, podemos ver que el valor de entropía en la Figura 2 cambia con más frecuencia, lo que refleja que es más sensible a las anomalías de DNS. , pero al mismo tiempo, la probabilidad de detección falsa también es alta. El cambio del valor de entropía en la Figura 3 es relativamente suave, la sensibilidad a condiciones anormales es baja y la tasa de detección falsa también es relativamente baja.

El ejemplo anterior muestra que este método puede detectar rápidamente ataques DDoS contra servidores DNS en consultas DNS. La aplicación de este algoritmo al monitoreo en tiempo real del tráfico de consultas de DNS puede detectar anomalías de DNS en tiempo casi real y tomar contramedidas tempranas. Además, la precisión de la detección de anomalías se puede mejorar aún más utilizando la distribución de otros atributos, como tipos de consultas de error o direcciones IP de origen para calcular la entropía, o utilizando ventanas de tiempo para dividir el tráfico.

3) Utilice un clasificador de redes neuronales artificiales para detectar ataques DDoS

La detección de ataques DDoS, un problema típico de detección de intrusiones, se puede convertir en un problema de clasificación binaria en el reconocimiento de patrones. Los ataques DDoS contra servidores de nombres DNS se pueden detectar eficazmente utilizando clasificadores de redes neuronales artificiales y datos de consultas DNS. Al analizar los datos de consulta de los servidores DNS autoritativos o recursivos, se extraen varios vectores de características en función de las características de los ataques DDoS en los registros. Estos vectores de características se utilizan como vectores de entrada del clasificador. El clasificador elige utilizar un perceptrón multicapa, que es una red neuronal de alimentación directa multicapa en redes neuronales. Las redes neuronales artificiales tienen las siguientes ventajas significativas cuando se utilizan para la detección de ataques DDoS:

1. Capacidad para manejar datos incompletos, distorsionados e incluso no lineales. Dado que muchos atacantes llevan a cabo ataques DDoS, es particularmente importante procesar datos de múltiples fuentes de datos de manera no lineal;

2. Esta ventaja inherente del método de red neuronal permite emitir respuestas de intrusión antes de que se destruya el sistema protegido, e incluso se puede predecir el comportamiento de la intrusión;

3. La mayor ventaja de este clasificador es que puede resumir las características de varios comportamientos de ataque mediante el aprendizaje e identificar varios comportamientos que no coinciden con el patrón de comportamiento normal actual.

Debido a que el perceptrón multicapa tiene las ventajas irremplazables mencionadas anteriormente, se selecciona como clasificador. La salida del clasificador se divide en dos resultados: "servicio normal" y "bajo ataque". Este resultado refleja directamente si el servidor DNS sufrirá o está sufriendo un ataque DDoS. Si el resultado de la detección está "bajo ataque", el personal relevante puede tomar medidas oportunas para evitar un mayor desarrollo del comportamiento de ataque.

Figura 5 Detección de ataques DDoS

Como se muestra en la Figura 5, este método de detección se divide principalmente en tres etapas: extracción de características, entrenamiento de modelos y clasificación en línea. En la etapa de extracción de características, es necesario utilizar la información existente en los datos de la consulta DNS y combinar las características de varios ataques DNSDDoS para extraer características útiles para la clasificación. La fase de entrenamiento del modelo utiliza una gran cantidad de datos de características para simular cientos o incluso miles de secuencias de ataques DDoS para entrenar el perceptrón multicapa. Durante el proceso de entrenamiento, el perceptrón multicapa aprende las características del comportamiento del ataque y mejora el reconocimiento. tasa. La clasificación en línea pertenece a la etapa de aplicación y este método se implementa en el servidor DNS autoritativo o recursivo mediante software. Al leer los datos de la consulta DNS en tiempo real e ingresar las funciones extraídas en el perceptrón multicapa, puede identificar rápidamente si el servidor está a punto de sufrir un ataque DDoS o está sufriendo un ataque DDoS para poder tomar más medidas preventivas.

La precisión de la clasificación del perceptrón multicapa depende en gran medida de si el vector de características utilizado como entrada puede realmente resumir y reflejar las características de los ataques DDoS. Este método analiza cuidadosamente varios ataques DNSDDoS y extrae ocho características que pueden reflejar el ataque individualmente o en conjunto con una granularidad minuciosa:

1. Esta característica se obtiene promediando el número de consultas por minuto;

2. La desviación estándar de la tasa de consultas dentro de la ventana de tiempo de cada minuto. La fórmula es la siguiente:

Donde, n representa el número de segundos registrados en los datos de la consulta por minuto, Xi representa el volumen de consultas en un segundo determinado y m representa el volumen promedio de consultas por segundo en un minuto;

3. tamaño del espacio IP. Indica cuántos hosts han emitido solicitudes de consulta DNS en un minuto;

4. Tamaño del espacio del nombre de dominio. Indica cuántos nombres de dominio se acceden en un minuto;

5. El número de consultas con el puerto de origen establecido en 53. Dado que algunos ataques DDoS contra DNS configuran el puerto de origen en 53, es necesario realizar un seguimiento de esta configuración;

6. La fórmula es la siguiente:

Donde n representa el número de tipos de registros dentro de la ventana de tiempo, Pi representa la probabilidad de que aparezca un determinado tipo de registro y Xi representa un determinado tipo de registro.

7. Establecer la proporción de consultas recursivas. Dado que algunos ataques DDoS aumentarán el efecto del ataque al configurar la consulta como una consulta recursiva, es necesario realizar un seguimiento de esta configuración

8. Dado que los nombres de dominio consultados por algunos ataques DDoS son generados aleatoriamente por programas, esto inevitablemente provocará cambios en la longitud promedio de los nombres de dominio en los datos de la consulta, por lo que también tiene sentido rastrear la longitud promedio de los nombres de dominio.

Figura 6 La estructura del clasificador de redes neuronales artificiales

La estructura general del clasificador de redes neuronales se muestra en la Figura 6. Como se muestra en la figura, este clasificador se divide en tres niveles: una capa de entrada, una capa oculta y una capa de salida. La capa de entrada contiene ocho unidades y la capa oculta contiene 20 unidades. Según la teoría de redes neuronales [3], el número de unidades en la capa oculta y el número de unidades en la capa de entrada deben satisfacer la siguiente relación:

H representa el número de unidades de capa oculta y N representa el número de unidades de capa de entrada. La capa de salida contiene solo una unidad y el valor de salida contiene dos: "1" significa "bajo ataque" y "0" significa "el servicio es normal".

Los puntos técnicos clave de este método de detección incluyen los dos aspectos siguientes:

1. Estas características deben poder reflejar completa y adecuadamente los cambios en el estado de las consultas causados ​​por ataques DDos;

2. Métodos de aprendizaje y clasificación. Se seleccionó el perceptrón multicapa como clasificador, se diseñaron y ajustaron la estructura específica y los parámetros relacionados del clasificador, y se utilizó el algoritmo de retropropagación para entrenar el clasificador. Al transformar el problema de detección de ataques DDoS en un problema de clasificación binaria que incluye dos categorías: "servicio normal" y "bajo ataque", los ataques DNSDDoS se pueden detectar eficazmente en tiempo real.