基于dns智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法
【專利摘要】一種基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法����,包括:采集網(wǎng)絡(luò)服務(wù)請求,并為不同網(wǎng)絡(luò)服務(wù)請求分別分配對應(yīng)子域名����;判斷該子域名是否存在于攻擊子域名黑名單數(shù)據(jù)庫,若存在,則拒絕網(wǎng)絡(luò)服務(wù)請求�����;否則��,對網(wǎng)絡(luò)服務(wù)請求進行IP地域解析得到相應(yīng)的IP地域�����;判斷該IP地域是否存在于攻擊IP子域名黑名單數(shù)據(jù)庫���,若存在�,則拒絕網(wǎng)絡(luò)服務(wù)請求�����;否則對網(wǎng)絡(luò)服務(wù)請求過濾得到請求信息��;判斷該請求信息是否存在于攻擊模式數(shù)據(jù)庫��,若存在����,則確定該請求信息為攻擊請求,并拒絕網(wǎng)絡(luò)服務(wù)請求�����,否則允許該網(wǎng)絡(luò)服務(wù)請求正常運行��。本發(fā)明的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法在完成攻擊和正常請求的快速分流后����,可單獨分析攻擊請求,減少了請求模式識別的資源耗費�。
【專利說明】
基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)攻擊防御方法,具體涉及一種基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法����。
【背景技術(shù)】
[0002]隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展,計算機網(wǎng)絡(luò)的普及程度迅速提高�,但在提高資源共享的同時,也帶來了網(wǎng)絡(luò)的安全問題�。隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展,計算機網(wǎng)絡(luò)安全也面臨著極大的威脅��。針對目前主要存在的Dos拒絕服務(wù)攻擊��、程序攻擊�����、電子欺騙攻擊及對網(wǎng)絡(luò)協(xié)議弱點的攻擊等類型,已有較為成熟的網(wǎng)絡(luò)攻擊防御方法��。但目前存在的防御方式存在比較大的弊端:
[0003]1.不同的服務(wù)往往使用同一域名甚至設(shè)備端口 ����;
[0004]2.網(wǎng)絡(luò)攻擊防御設(shè)備,檢測到攻擊時已經(jīng)消耗了接入帶寬��,如遇到洪水�����、DOS攻擊時���,帶寬量將猛增�����,嚴(yán)重的直接堵塞上層物理交換機�����;
[0005]3.必須利用昂貴的第七層設(shè)備�����,對數(shù)據(jù)包進行深度解析后����,才能區(qū)分攻擊請求和正常請求���,增加了數(shù)據(jù)清洗的成本��;
[0006]4.攻擊請求和正常請求的差異特征往往需要人工分析����,部署防御的生效時間較慢����。
【發(fā)明內(nèi)容】
[0007]本發(fā)明針對現(xiàn)有技術(shù)存在的上述問題,提供了一種基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法�。
[0008]本發(fā)明提供的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法,包括以下步驟:
[0009]采集網(wǎng)絡(luò)服務(wù)請求���,并通過服務(wù)子域名自動配置模塊為不同的網(wǎng)絡(luò)服務(wù)請求分別分配對應(yīng)的子域名�;
[0010]判斷該子域名是否存在于攻擊子域名黑名單數(shù)據(jù)庫�����,若存在,則拒絕該網(wǎng)絡(luò)服務(wù)請求���;否則�����,通過DNS IP地域解析模塊對網(wǎng)絡(luò)服務(wù)請求進行IP地域解析得到相應(yīng)的IP地域���;
[0011]判斷該IP地域是否存在于攻擊IP子域名黑名單數(shù)據(jù)庫,若存在����,則拒絕該網(wǎng)絡(luò)服務(wù)請求;否則通過DNS解析配置模塊對網(wǎng)絡(luò)服務(wù)請求過濾得到請求信息���;
[0012]判斷該請求信息是否存在于攻擊模式數(shù)據(jù)庫��,若存在��,則確定該請求信息為攻擊請求��,并拒絕該網(wǎng)絡(luò)服務(wù)請求�,否則允許該網(wǎng)絡(luò)服務(wù)請求正常運行。
[0013]進一步優(yōu)選地���,所述方法還包括:
[0014]當(dāng)該子域名存在于攻擊子域名黑名單數(shù)據(jù)庫時��,通過攻擊偵測預(yù)警模塊發(fā)送預(yù)警信號�����。
[0015]進一步優(yōu)選地,所述方法還包括:
[0016]當(dāng)該IP地域存在于攻擊IP子域名黑名單數(shù)據(jù)庫��,通過攻擊偵測預(yù)警模塊發(fā)送預(yù)警信號�����。
[0017]進一步優(yōu)選地�����,所述方法還包括:
[0018]所述DNS解析配置模塊利用分布式高可用DNS端得到請求信息����。
[0019]進一步優(yōu)選地,所述方法還包括:
[0020]當(dāng)確定該請求信息為攻擊請求時�,將該請求信息相應(yīng)的子域名存入攻擊子域名黑名單數(shù)據(jù)庫��,將該請求信息相應(yīng)的IP地域存入攻擊IP子域名黑名單數(shù)據(jù)庫���,并通過攻擊偵測預(yù)警模塊發(fā)送預(yù)警信號。
[0021]本發(fā)明的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法��,通過服務(wù)子域名自動配置模塊為網(wǎng)絡(luò)服務(wù)請求分別分配對應(yīng)的子域名���,這樣便實現(xiàn)了服務(wù)隔離�����;并利用DNS解析得到的子域名�,直接利用分布式高可用DNS端過濾攻擊����,攻擊請求將不再進入服務(wù)器集群占用帶寬;僅需進行DNS IP分地域的解析�,在未發(fā)生攻擊的省市,仍可以提供正常服務(wù)����,將設(shè)置生效時間縮短到秒級,無需使用第七層交換;在完成了攻擊和正常請求的快速分流后�,可單獨分析攻擊請求,減少了請求模式識別的資源耗費���。
【附圖說明】
[0022]圖1為本發(fā)明基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法提供的一實施例的方法流程圖���;
[0023]圖2為本發(fā)明基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法提供的優(yōu)選實施例的方法流程圖。
【具體實施方式】
[0024]下面結(jié)合附圖1和附圖2對本發(fā)明的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法進行詳細(xì)闡述��。
[0025]如I所示���,基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法��,包括以下步驟:
[0026]步驟11:采集網(wǎng)絡(luò)服務(wù)請求;
[0027]步驟12:通過服務(wù)子域名自動配置模塊��,為不同的網(wǎng)絡(luò)服務(wù)請求分別分配對應(yīng)的子域名����;
[0028]步驟13:判斷該子域名是否存在于攻擊子域名黑名單數(shù)據(jù)庫,若存在�����,則執(zhí)行步驟20 ;否則,繼續(xù)執(zhí)行下一步驟�����;
[0029]步驟14:通過DNS IP地域解析模塊對網(wǎng)絡(luò)服務(wù)請求進行IP地域解析得到相應(yīng)的IP地域�;
[0030]步驟15:判斷該IP地域是否存在于攻擊IP子域名黑名單數(shù)據(jù)庫,若存在���,則執(zhí)行步驟20;否則執(zhí)行下一步驟�;
[0031]步驟16:通過DNS解析配置模塊對網(wǎng)絡(luò)服務(wù)請求過濾得到請求信息���;
[0032]步驟17:判斷該請求信息是否存在于攻擊模式數(shù)據(jù)庫�,若存在�,則執(zhí)行步驟19,否則繼續(xù)執(zhí)行下一步驟�;
[0033]步驟18:允許該網(wǎng)絡(luò)服務(wù)請求正常運行,結(jié)束流程�����;
[0034]步驟19:確定該請求信息為攻擊請求����;
[0035]步驟20:拒絕該網(wǎng)絡(luò)服務(wù)請求����。
[0036]本實施例的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法�,通過服務(wù)子域名自動配置模塊為網(wǎng)絡(luò)服務(wù)請求分別分配對應(yīng)的子域名,這樣便實現(xiàn)了服務(wù)隔離����;并利用DNS解析得到的子域名,直接利用分布式高可用DNS端過濾攻擊�����,攻擊請求將不再進入服務(wù)器集群占用帶寬����;僅需進行DNS IP分地域的解析,在未發(fā)生攻擊的省市����,仍可以提供正常服務(wù)�����,將設(shè)置生效時間縮短到秒級��,無需使用第七層交換;在完成了攻擊和正常請求的快速分流后���,可單獨分析攻擊請求�,減少了請求模式識別的資源耗費���。
[0037]圖2為本發(fā)明基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法提供的優(yōu)選實施例的方法流程圖����,如圖2所示����,所述方法包括以下步驟:
[0038]步驟21:采集網(wǎng)絡(luò)服務(wù)請求;
[0039]步驟22:通過服務(wù)子域名自動配置模塊��,為不同的網(wǎng)絡(luò)服務(wù)請求分別分配對應(yīng)的子域名��;
[0040]步驟23:判斷該子域名是否存在于攻擊子域名黑名單數(shù)據(jù)庫����,若存在,則執(zhí)行步驟31 ;否則��,繼續(xù)執(zhí)行下一步驟�����;
[0041 ] 步驟24:通過DNS IP地域解析模塊對網(wǎng)絡(luò)服務(wù)請求進行IP地域解析得到相應(yīng)的IP地域;
[0042]步驟25:判斷該IP地域是否存在于攻擊IP子域名黑名單數(shù)據(jù)庫�,若存在,則執(zhí)行步驟31 ;否則執(zhí)行下一步驟��;
[0043]步驟26:通過DNS解析配置模塊對網(wǎng)絡(luò)服務(wù)請求過濾得到請求信息�;
[0044]具體實施中,所述DNS解析配置模塊利用分布式高可用DNS端得到請求信息��。
[0045]步驟27:判斷該請求信息是否存在于攻擊模式數(shù)據(jù)庫���,若存在���,則執(zhí)行步驟29,否則繼續(xù)執(zhí)行下一步驟����;
[0046]步驟28:允許該網(wǎng)絡(luò)服務(wù)請求正常運行,結(jié)束流程��;
[0047]步驟29:確定該請求信息為攻擊請求����,并執(zhí)行下一步驟;
[0048]步驟30:將該請求信息相應(yīng)的子域名存入攻擊子域名黑名單數(shù)據(jù)庫��,將該請求信息相應(yīng)的IP地域存入攻擊IP子域名黑名單數(shù)據(jù)庫�;
[0049]步驟31:過攻擊偵測預(yù)警模塊發(fā)送預(yù)警信號;
[0050]步驟32:拒絕該網(wǎng)絡(luò)服務(wù)請求����,結(jié)束流程。
[0051]由上述實施例可知�,實施例二與實施例一的方案基本相同,實施例二除了具備實施例一的作用外��,還具有以下作用:
[0052](I)當(dāng)該子域名存在于攻擊子域名黑名單數(shù)據(jù)庫時����,當(dāng)該IP地域存在于攻擊IP子域名黑名單數(shù)據(jù)庫時,以及當(dāng)確定該請求信息為攻擊請求時���,通過攻擊偵測預(yù)警模塊發(fā)送預(yù)警信號�,目的是可以及時提醒用戶或設(shè)計人員注意��。
[0053](I)當(dāng)確定該請求信息為攻擊請求時�,將該請求信息相應(yīng)的子域名存入攻擊子域名黑名單數(shù)據(jù)庫,將該請求信息相應(yīng)的IP地域存入攻擊IP子域名黑名單數(shù)據(jù)庫��,這樣可以將確定攻擊請求對應(yīng)的子域名存入攻擊子域名黑名單數(shù)據(jù)庫,對應(yīng)的IP地域存入攻擊IP子域名黑名單數(shù)據(jù)庫�����,從而達到不斷更新攻擊子域名黑名單數(shù)據(jù)庫和攻擊IP子域名黑名單數(shù)據(jù)庫的作用���。
[0054]在此需說明的是�,本發(fā)明的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法可用于復(fù)雜的企業(yè)級服務(wù)��,這樣當(dāng)在單個服務(wù)惡意攻擊時�����,仍舊接納正常請求的服務(wù)��;而且對于不同省市有不同服務(wù)要求的場景��,可以根據(jù)服務(wù)請求者所在的省市智能調(diào)度服務(wù)�。
[0055]由技術(shù)常識可知,本發(fā)明可以通過其它的不脫離其精神實質(zhì)或必要特征的實施方案來實現(xiàn)��。因此�,上述公開的實施方案,就各方面而言,都只是舉例說明�,并不是僅有的�����。所有在本發(fā)明范圍內(nèi)或在等同于本發(fā)明的范圍內(nèi)的改變均被本發(fā)明包含����。
【主權(quán)項】
1.一種基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法,包括以下步驟: 采集網(wǎng)絡(luò)服務(wù)請求���,并通過服務(wù)子域名自動配置模塊為不同的網(wǎng)絡(luò)服務(wù)請求分別分配對應(yīng)的子域名��; 判斷該子域名是否存在于攻擊子域名黑名單數(shù)據(jù)庫�,若存在�,則拒絕該網(wǎng)絡(luò)服務(wù)請求;否則���,通過DNS IP地域解析模塊對網(wǎng)絡(luò)服務(wù)請求進行IP地域解析得到相應(yīng)的IP地域�����;判斷該IP地域是否存在于攻擊IP子域名黑名單數(shù)據(jù)庫��,若存在���,則拒絕該網(wǎng)絡(luò)服務(wù)請求����;否則通過DNS解析配置模塊對網(wǎng)絡(luò)服務(wù)請求過濾得到請求信息��; 判斷該請求信息是否存在于攻擊模式數(shù)據(jù)庫��,若存在����,則確定該請求信息為攻擊請求,并拒絕該網(wǎng)絡(luò)服務(wù)請求�,否則允許該網(wǎng)絡(luò)服務(wù)請求正常運行。2.如權(quán)利要求1所述的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法�,其特征在于,所述方法還包括: 當(dāng)該子域名存在于攻擊子域名黑名單數(shù)據(jù)庫時����,通過攻擊偵測預(yù)警模塊發(fā)送預(yù)警信號。3.如權(quán)利要求2所述的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法����,其特征在于,所述方法還包括: 當(dāng)該IP地域存在于攻擊IP子域名黑名單數(shù)據(jù)庫,通過攻擊偵測預(yù)警模塊發(fā)送預(yù)警信號����。4.如權(quán)利要求1所述的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法,其特征在于���,所述方法還包括: 所述DNS解析配置模塊利用分布式高可用DNS端得到請求信息。5.如權(quán)利要求4所述的基于DNS智能解析系統(tǒng)的網(wǎng)絡(luò)攻擊防御方法����,其特征在于,所述方法還包括: 當(dāng)確定該請求信息為攻擊請求時����,將該請求信息相應(yīng)的子域名存入攻擊子域名黑名單數(shù)據(jù)庫,將該請求信息相應(yīng)的IP地域存入攻擊IP子域名黑名單數(shù)據(jù)庫�,并通過攻擊偵測預(yù)警模塊發(fā)送預(yù)警信號。
【文檔編號】H04L29/12GK105991557SQ201510059605
【公開日】2016年10月5日
【申請日】2015年2月5日
【發(fā)明人】洪倍
【申請人】精碩世紀(jì)科技(北京)有限公司