公开/公告号CN105991557A
专利类型发明专利
公开/公告日2016-10-05
原文格式PDF
申请/专利权人 精硕世纪科技(北京)有限公司;
申请/专利号CN201510059605.2
发明设计人 洪倍;
申请日2015-02-05
分类号H04L29/06(20060101);H04L29/12(20060101);
代理机构
代理人
地址 100107 北京市朝阳区北苑路13号院领地OfficeA座16层
入库时间 2023-06-19 00:39:52
法律状态公告日
法律状态信息
法律状态
2020-07-03
专利权的转移 IPC(主分类):H04L29/06 登记生效日:20200612 变更前: 变更后: 申请日:20150205
专利申请权、专利权的转移
2019-05-10
授权
授权
2017-06-27
著录事项变更 IPC(主分类):H04L29/06 变更前: 变更后: 申请日:20150205
著录事项变更
2016-11-09
实质审查的生效 IPC(主分类):H04L29/06 申请日:20150205
实质审查的生效
2016-10-05
公开
公开
技术领域
本发明涉及网络攻击防御方法,具体涉及一种基于DNS智能解析系统的网络攻击防御方法。
背景技术
随着计算机网络技术的发展,计算机网络的普及程度迅速提高,但在提高资源共享的同时,也带来了网络的安全问题。随着网络攻击技术的发展,计算机网络安全也面临着极大的威胁。针对目前主要存在的Dos拒绝服务攻击、程序攻击、电子欺骗攻击及对网络协议弱点的攻击等类型,已有较为成熟的网络攻击防御方法。但目前存在的防御方式存在比较大的弊端:
1.不同的服务往往使用同一域名甚至设备端口;
2.网络攻击防御设备,检测到攻击时已经消耗了接入带宽,如遇到洪水、DOS攻击时,带宽量将猛增,严重的直接堵塞上层物理交换机;
3.必须利用昂贵的第七层设备,对数据包进行深度解析后,才能区分攻击请求和正常请求,增加了数据清洗的成本;
4.攻击请求和正常请求的差异特征往往需要人工分析,部署防御的生效时间较慢。
发明内容
本发明针对现有技术存在的上述问题,提供了一种基于DNS智能解析系统的网络攻击防御方法。
本发明提供的基于DNS智能解析系统的网络攻击防御方法,包括以下步骤:
采集网络服务请求,并通过服务子域名自动配置模块为不同的网络服务请求分别分配对应的子域名;
判断该子域名是否存在于攻击子域名黑名单数据库,若存在,则拒绝该网络服务请求;否则,通过DNS IP地域解析模块对网络服务请求进行IP地域解析得到相应的IP地域;
判断该IP地域是否存在于攻击IP子域名黑名单数据库,若存在,则拒绝该网络服务请求;否则通过DNS解析配置模块对网络服务请求过滤得到请求信息;
判断该请求信息是否存在于攻击模式数据库,若存在,则确定该请求信息为攻击请求,并拒绝该网络服务请求,否则允许该网络服务请求正常运行。
进一步优选地,所述方法还包括:
当该子域名存在于攻击子域名黑名单数据库时,通过攻击侦测预警模块发送预警信号。
进一步优选地,所述方法还包括:
当该IP地域存在于攻击IP子域名黑名单数据库,通过攻击侦测预警模块发送预警信号。
进一步优选地,所述方法还包括:
所述DNS解析配置模块利用分布式高可用DNS端得到请求信息。
进一步优选地,所述方法还包括:
当确定该请求信息为攻击请求时,将该请求信息相应的子域名存入攻击子域名黑名单数据库,将该请求信息相应的IP地域存入攻击IP子域名黑名单数据库,并通过攻击侦测预警模块发送预警信号。
本发明的基于DNS智能解析系统的网络攻击防御方法,通过服务子域名自动配置模块为网络服务请求分别分配对应的子域名,这样便实现了服务隔离;并利用DNS解析得到的子域名,直接利用分布式高可用DNS端过滤攻击,攻击请求将不再进入服务器集群占用带宽;仅需进行DNS IP分地域的解析,在未发生攻击的省市,仍可以提供正常服务,将设置生效时间缩短到秒级,无需使用第七层交换;在完成了攻击和正常请求的快速分流后,可单独分析攻击请求,减少了请求模式识别的资源耗费。
附图说明
图1为本发明基于DNS智能解析系统的网络攻击防御方法提供的一实施例的方法流程图;
图2为本发明基于DNS智能解析系统的网络攻击防御方法提供的优选实施例的方法流程图。
具体实施方式
下面结合附图1和附图2对本发明的基于DNS智能解析系统的网络攻击防御方法进行详细阐述。
如1所示,基于DNS智能解析系统的网络攻击防御方法,包括以下步骤:
步骤11:采集网络服务请求;
步骤12:通过服务子域名自动配置模块,为不同的网络服务请求分别分配对应的子域名;
步骤13:判断该子域名是否存在于攻击子域名黑名单数据库,若存在,则执行步骤20;否则,继续执行下一步骤;
步骤14:通过DNS IP地域解析模块对网络服务请求进行IP地域解析得到相应的IP地域;
步骤15:判断该IP地域是否存在于攻击IP子域名黑名单数据库,若存在,则执行步骤20;否则执行下一步骤;
步骤16:通过DNS解析配置模块对网络服务请求过滤得到请求信息;
步骤17:判断该请求信息是否存在于攻击模式数据库,若存在,则执行步骤19,否则继续执行下一步骤;
步骤18:允许该网络服务请求正常运行,结束流程;
步骤19:确定该请求信息为攻击请求;
步骤20:拒绝该网络服务请求。
本实施例的基于DNS智能解析系统的网络攻击防御方法,通过服务子域名自动配置模块为网络服务请求分别分配对应的子域名,这样便实现了服务隔离;并利用DNS解析得到的子域名,直接利用分布式高可用DNS端过滤攻击,攻击请求将不再进入服务器集群占用带宽;仅需进行DNS IP分地域的解析,在未发生攻击的省市,仍可以提供正常服务,将设置生效时间缩短到秒级,无需使用第七层交换;在完成了攻击和正常请求的快速分流后,可单独分析攻击请求,减少了请求模式识别的资源耗费。
图2为本发明基于DNS智能解析系统的网络攻击防御方法提供的优选实施例的方法流程图,如图2所示,所述方法包括以下步骤:
步骤21:采集网络服务请求;
步骤22:通过服务子域名自动配置模块,为不同的网络服务请求分别分配对应的子域名;
步骤23:判断该子域名是否存在于攻击子域名黑名单数据库,若存在,则执行步骤31;否则,继续执行下一步骤;
步骤24:通过DNS IP地域解析模块对网络服务请求进行IP地域解析得到相应的IP地域;
步骤25:判断该IP地域是否存在于攻击IP子域名黑名单数据库,若存在,则执行步骤31;否则执行下一步骤;
步骤26:通过DNS解析配置模块对网络服务请求过滤得到请求信息;
具体实施中,所述DNS解析配置模块利用分布式高可用DNS端得到请求信息。
步骤27:判断该请求信息是否存在于攻击模式数据库,若存在,则执行步骤29,否则继续执行下一步骤;
步骤28:允许该网络服务请求正常运行,结束流程;
步骤29:确定该请求信息为攻击请求,并执行下一步骤;
步骤30:将该请求信息相应的子域名存入攻击子域名黑名单数据库,将该请求信息相应的IP地域存入攻击IP子域名黑名单数据库;
步骤31:过攻击侦测预警模块发送预警信号;
步骤32:拒绝该网络服务请求,结束流程。
由上述实施例可知,实施例二与实施例一的方案基本相同,实施例二除了具备实施例一的作用外,还具有以下作用:
(1)当该子域名存在于攻击子域名黑名单数据库时,当该IP地域存在于攻击IP子域名黑名单数据库时,以及当确定该请求信息为攻击请求时,通过攻击侦测预警模块发送预警信号,目的是可以及时提醒用户或设计人员注意。
(1)当确定该请求信息为攻击请求时,将该请求信息相应的子域名存入攻击子域名黑名单数据库,将该请求信息相应的IP地域存入攻击IP子域名黑名单数据库,这样可以将确定攻击请求对应的子域名存入攻击子域名黑名单数据库,对应的IP地域存入攻击IP子域名黑名单数据库,从而达到不断更新攻击子域名黑名单数据库和攻击IP子域名黑名单数据库的作用。
在此需说明的是,本发明的基于DNS智能解析系统的网络攻击防御方法可用于复杂的企业级服务,这样当在单个服务恶意攻击时,仍旧接纳正常请求的服务;而且对于不同省市有不同服务要求的场景,可以根据服务请求者所在的省市智能调度服务。
由技术常识可知,本发明可以通过其它的不脱离其精神实质或必要特征的实施方案来实现。因此,上述公开的实施方案,就各方面而言,都只是举例说明,并不是仅有的。所有在本发明范围内或在等同于本发明的范围内的改变均被本发明包含。
机译: 解析DNS解析请求的方法,系统,智能DNS,计算机程序和存储介质
机译: 防御域名系统的技术(DNS)网络攻击
机译: 防御域名系统(DNS)网络攻击的技术
