用于阻止、检测和/或防止恶意流量的方法和设备技术

本公开的实施例涉及用于阻止、检测和/或防止恶意流量的方法和设备。网络设备获得与列入黑名单的域相关联的信息，其包括列入黑名单的域标识符和关联于列入黑名单的域标识符的沉洞服务器标识符。网络设备获得指定关联于列入黑名单的域的匹配标准的一组规则，匹配标准包括用于比较关联于传入分组的分组源网络地址和/或分组目的地网络地址的源网络地址和/或目的地网络地址。该组规则基于匹配标准和传入分组的分组源网络地址和/或分组目的地网络地址的比较结果指定要执行的动作。网络设备接收分组，检查关联于分组的分组源网络地址和/或分组目的地网络地址，比较分组源网络地址和/或分组目的地网络地址与匹配标准，并基于比较的结果来执行动作。比较的结果来执行动作。比较的结果来执行动作。

【技术实现步骤摘要】
用于阻止、检测和/或防止恶意流量的方法和设备
[0001]本申请是国家申请日为2019年6月13日、国家申请号为201910510528.6、专利技术名称为“用于阻止、检测和/或防止恶意流量的方法和设备”的中国专利技术专利申请的分案申请。


[0002]本公开的实施例一般涉及网络流量领域，并且更具体地涉及用于阻止、检测和/或防止恶意流量的方法和设备。

技术介绍

[0003]域名系统(DNS)是被称为互联网协议套件的用于计算机如何在互联网和许多专用网络上交换数据的标准集合内的协议。DNS服务被用来解析与域名相关联的互联网协议(IP)地址。DNS沉洞(DNS sinkholing)可以被用来提供不正确的DNS解析，通过其可以将互联网流量的路径定向到不同的资源(例如，沉洞服务器)而不是允许访问恶意内容或不可访问的内容。DNS沉洞是一种重定向恶意互联网流量使得可以捕获和分析恶意互联网流量的方法。

技术实现思路

[0004]根据一些可能的实现，一种方法可以包括由处理器获得与多个列入黑名单的域相关联的信息，其中信息包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器基于收集与列入黑名单的域标识符相关联的域名系统(DNS)数据来确定托管多个列入黑名单的域的设备的网络地址，以及由处理器在数据结构中存储托管多个列入黑名单的域的设备的网络地址和与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器接收发往与目的地网络地址相关联的目的地设备的一个或多个分组，由处理器比较目的地网络地址和被存储在数据结构中的网络地址，以及由处理器基于比较目的地网络地址和网络地址的结果来执行动作。
[0005]根据一些可能的实现，一种方法可以包括由处理器获得与多个列入黑名单的域相关联的信息，其中信息包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器获得多个源网络地址前缀，其中多个源网络地址前缀中的源网络地址前缀与可能攻击者相关联。方法可以包括由处理器接收域名系统(DNS)请求或查询，其中DNS请求包括访问与目的地域标识符相关联的目的地域的请求，以及与从其中接收DNS请求的设备相对应的源网络地址。方法可以包括由处理器确定目的地域标识符对应于列入黑名单的域标识符中的列入黑名单的域标识符，由处理器获得与列入黑名单的域标识符相关联的威胁级别，并且由处理器确定与列入黑名单的域标识符相关联的威胁级别是否满足阈值。方法可以包括由处理器比较源网络地址的前缀和多个源网络地址前缀，并且由处理器基于与列入黑名单的域标识符相关联的威胁级别是否满足阈值的结果以及比较源网络地址的前缀和多个源网络地址前缀的结果来执行动作。
[0006]根据一些可能的实现，网络设备可以包括一个或多个存储器，以及被可通信地耦合到一个或多个存储器的一个或多个处理器，用以获得与多个列入黑名单的域相关联的信息，其中信息包括列入黑名单的域标识符和与列入黑名单的域标识符相关联的沉洞服务器标识符。一个或多个处理器可以获得一组规则，其中该组规则指定与多个列入黑名单的域相关联的匹配标准，其中匹配标准包括用于与和传入分组相关联的分组源网络地址和/或分组目的地网络地址相比较的多个源网络地址和/或多个目的地网络地址，并且其中该组规则基于比较匹配标准和针对传入分组的分组源网络地址和/或分组目的地网络地址的结果来指定要执行的动作。一个或多个处理器可以接收一个或多个分组，检查与一个或多个分组相关联的分组源网络地址和/或分组目的地网络地址，将分组源网络地址和/或分组目的地网络地址与匹配标准比较，并基于比较分组源网络地址和/或分组目的地网络地址与由该组规则指定的匹配标准的结果来执行动作。
附图说明
[0007]图1A
‑
图1C是本文所描述的示例实现的图。
[0008]图2A
‑
图2D是本文所描述的示例实现的图。
[0009]图3是在其中可以实现本文所描述的系统和/或方法的示例环境的图。
[0010]图4A
‑
图4B是图3的一个或多个设备的示例组件的图。
[0011]图5是用于阻止、检测和/或防止恶意流量的示例过程的流程图。
[0012]图6是用于阻止、检测和/或防止恶意流量的示例过程的流程图。
[0013]图7是用于阻止、检测和/或防止恶意流量的示例过程的流程图。
具体实施方式
[0014]以下对示例实现的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。
[0015]在网络中可能发生不同类型的恶意攻击。例如，在一些情况下，用户可能被定向到攻击者的网站并无意中从网站下载恶意内容。在其他情况下，攻击者可能会轰炸服务提供者的资源并消耗过量的带宽。旨在防止恶意攻击的网络或基于云的防火墙设备可以实现域名系统(DNS)沉洞功能性，其中可以将从可疑资源接收的或发往可疑资源的可疑流量重定向到沉洞服务器以用于进一步分析。然而，智能攻击者已经设计了在执行恶意攻击时绕过由防火墙设备所实现的DNS沉洞功能性的方法。另外，在一些情况下，攻击者可能故意用攻击中的流量轰炸沉洞服务器，其旨在消耗带宽并使得沉洞服务器过载，这会干扰沉洞服务器执行流量分析的能力。
[0016]本文所描述的一些实现包括被配置为阻止、检测和/或防止网络中的恶意流量的安全设备。安全设备可以被实现为网络设备(例如，路由设备等)和/或被附接到网络设备的设备(例如，路由设备的物理接口卡等)。
[0017]在一些实现中，本文所描述的安全设备可以阻止网络中的恶意流量。例如，国家(例如美国、英国等)、组织或客户可以指定国家或客户希望阻止用户访问的列入黑名单的域列表。例如，列入黑名单的域可能与攻击者的设备或攻击者的网站相关联。在一些实现中，本文所描述的安全设备被配置为主动执行DNS挖掘技术以解析针对托管列入黑名单的
域的设备的网络地址。安全设备可以利用被包括在基于匹配的过滤器和/或规则中的匹配标准来阻止发往已解析的网络地址的流量。例如，安全设备可以阻止发往与托管列入黑名单的域的网络服务器相关联的网络地址的流量，并将流量重定向到沉洞服务器。以这种方式，因为更有效地阻止恶意流量和/或对恶意内容的访问，所以可以提高网络安全性。以这种方式，可以阻止、记录和/或防止来自绕过DNS沉洞功能性的攻击者的流量访问预期目的地。
[0018]在一些实现中，本文所描述的安全设备可以检测网络中的恶意流量和/或防止恶意流量到达网络中的后端设备(例如，服务器、沉洞服务器等)。例如，本文所描述的安全设备可以接收DNS请求，确定DNS请求与可能的攻击者相关联，并且用包括被设置为零的生存时间值的DNS响应来响应该DNS请求。在DNS响应中将生存时间值设置为零防止DNS响应被可能的攻击者缓存。以这种方式，可能的攻击者可能被迫发送附加的DNS请求以尝试访问网络中的设备。可以记录和调查从相同源网络地址接收的后续附加DNS请求。在DNS请求的计数满足阈本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，包括：由处理器在数据结构中存储托管多个列入黑名单的域的设备的网络地址和与所述多个列入黑名单的域相对应的列入黑名单的域标识符；由所述处理器接收发往与目的地网络地址相关联的目的地设备的流量；由所述处理器确定所述目的地网络地址对应于被存储在所述数据结构中的所述网络地址中的网络地址；由所述处理器基于确定所述目的地网络地址对应于所述网络地址，来确定所述网络地址对应于所述列入黑名单的域标识符中的列入黑名单的域标识符；由所述处理器从与所述列入黑名单的域标识符相关联的多个沉洞服务器标识符中选择沉洞服务器标识符，其中，所述沉洞服务器标识符基于以下而被选择：与客户端设备的位置的地理邻近度，或者循环调度过程；以及由所述处理器朝向与所述沉洞服务器标识符相关联的沉洞服务器重定向所述流量。2.根据权利要求1所述的方法，其中选择所述沉洞服务器标识符包括：执行地理邻近度算法以选择最接近所述客户端设备的所述位置的所述沉洞服务器。3.根据权利要求1所述的方法，其中选择所述沉洞服务器标识符包括：标识与所述客户端设备相对应的第一地理位置，所述流量从所述客户端设备被接收；标识与所述多个沉洞服务器标识符相对应的多个第二地理位置；并且其中选择所述沉洞服务器标识符包括：选择与地理上最接近所述第一地理位置的所述沉洞服务器相关联的所述沉洞服务器标识符。4.根据权利要求1所述的方法，其中选择所述沉洞服务器标识符包括：当与所述客户端设备的所述位置的所述地理邻近度不能被确定时，经由所述循环调度过程对多个沉洞服务器进行负载平衡。5.根据权利要求1所述的方法，还包括：确定分组源网络地址满足与所述多个列入黑名单的域相关联的匹配标准；生成包括所述沉洞服务器标识符的消息；以及将所述消息发送到与所述分组源网络地址相对应的设备，其中所述消息包括域名系统DNS响应，所述DNS响应具有被设置为零的生存时间值。6.根据权利要求1所述的方法，还包括：生成包括所述列入黑名单的域标识符的DNS请求；将所述DNS请求发送到DNS服务器；从所述DNS服务器接收对所述DNS请求的响应，其中，所述响应包括托管所述多个列入黑名单的域的设备的所述网络地址；以及缓存被包括在对所述DNS请求的所述响应中的所述网络地址。7.根据权利要求1所述的方法，还包括：拦截在DNS解析器设备和DNS服务器设备之间被交换的DNS消息，其中所述DNS消息包括托管所述多个列入黑名单的域的设备的所述网络地址；以及
缓存被包括在所述DNS消息中的所述网络地址。8.一种网络设备，包括：一个或多个存储器；以及一个或多个处理器，被通信地耦合到所述一个或多个存储器，所述一个或多个处理器被配置为：在数据结构中存储托管多个列入黑名单的域的设备的网络地址和与所述多个列入黑名单的域相对应的列入黑名单的域标识符；接收发往与目的地网络地址相关联的目的地设备的流量；确定所述目的地网络地址对应于托管所述多个列入黑名单的域的设备的所述网络地址中的网络地址；从与对应于所述网络地址的列入黑名单的域标识符相关联的多个沉洞服务器标识符中选择沉洞服务器标识符，其中，所述沉洞服务器标识符基于以下而被选择：与客户端设备的位置的地理邻近度，或者循环调度过程；以及朝向与所述沉洞服务器标识符相关联的沉洞服务器重定向所述流量。9.根据权利要求8所述的网络设备，其中所述一个或多个处理器还用以：基于托管所述多个列入黑名单的域的设备的所述网络地址来建立过滤器；以及在与所述网络设备相关联的转发组件上安装所述过滤器。10.根据权利要求8所述的网络设备，其中所述一个或多个处理器还用以：确定所述流量对应于超文本传输协议HTTP流量；解析HTTP流量的报头以确定域标识符；将所述域标识符与被存储在所述数据结构中的所述列入黑名单的域标识符相比较；确定所述域标识符对应于所述列入黑名单的域标识符中的列入黑名单的域标识符；其中所述一个或多个处理器在选择所述沉洞服务器标识符时用以：基于确定所述域标识符对应于所述列...

【专利技术属性】
技术研发人员：D，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：