防止与域名系统相关联的攻击的方法和系统技术方案

对互联网的域名系统(DNS)的某些拒绝服务网络攻击的攻击途径是通过错误、虚假或未注册的域名DNS请求以解析未在DNS中注册的域名。其他一些网络攻击通过将数据编码在虚假域名或以其他方式未在DNS中注册的域名中来窃取敏感数据，这些域名在虚假DNS请求中在网络上传输。DNS网守可以过滤包含DNS请求的传输中的分组，并且可以有效地确定请求的域名是否在DNS中注册。当域名未在DNS中注册时，DNS网守可以采取多种防护动作之一。DNS网守将被确定为不合法的请求丢弃，从而可以阻止攻击。从而可以阻止攻击。从而可以阻止攻击。

【技术实现步骤摘要】
【国外来华专利技术】防止与域名系统相关联的攻击的方法和系统


[0001]本文描述的各方面总体涉及计算机硬件和软件以及网络安全性。具体地，本公开的一个或更多个方面总体涉及用于根据分组(packet)过滤规则对传输中的分组(in
‑
transit packet)进行高效过滤的计算机硬件和软件。
[0002]背景
[0003]随着信息时代的不断发展，网络安全正变得越来越重要。网络威胁/攻击可能采取多种形式(例如，未经授权的请求或数据传输、病毒、恶意软件、旨在淹没资源的大量流量等)。
[0004]为了应对这些类型的威胁和攻击，已经开发和部署了各种网络防御方法和系统。一种网络防御系统使用分组网关(诸如威胁情报网关(TIG))来保护网络。分组网关可以包括具有将分组过滤规则集合应用于传输中的TCP/IP(传输控制协议/互联网协议)分组的能力的(内联(inline))网络分组过滤设备。TIG可充当已受网络威胁情报(CTI)防护或保护的网络(例如，私有网络)与未受到类似保护/防护的网络(例如，互联网)之间的网关或接口。
[0005]分组过滤规则可以本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：通过网守接收多个分组；基于分组信息确定所述多个分组中的每个相应分组是否包括域名系统(DNS)查询请求；基于确定所述多个分组中的第一分组包括DNS查询请求，测试概率数据结构以确定所述第一分组的第一DNS查询请求的第一域名是否在所述概率数据结构中表示；基于确定所述第一DNS查询请求的所述第一域名未在所述概率数据结构中表示，根据至少一个标准确定所述第一DNS查询请求是否指示合法的DNS查询请求；以及基于确定所述多个分组中的所述第一分组不指示合法的DNS查询请求，丢弃所述第一DNS查询请求。2.根据权利要求1所述的方法，还包括：基于确定所述多个分组中的所述第一分组不指示合法的DNS查询请求，将关于所述第一DNS查询请求的数据传输给管理服务器。3.根据权利要求1所述的方法，还包括：基于确定所述多个分组中的第二分组不包括DNS查询请求，将所述第二分组传输到其预期目的地。4.根据权利要求1所述的方法，还包括：基于确定所述多个分组中的第二分组包括第二DNS查询请求，测试所述概率数据结构以确定所述第二分组的所述第二DNS查询请求的第二域名是否在所述概率数据结构中表示；基于确定所述第二DNS查询请求的所述第二域名未在所述概率数据结构中表示，确定所述第二DNS查询请求是否指示合法的DNS查询请求；以及基于确定所述第二分组的所述第二DNS查询请求指示合法的DNS查询请求，将所述第二分组传输到其预期目的地。5.根据权利要求4所述的方法，还包括：监控网络流量中对所述第二DNS查询请求的响应；基于确定对所述第二DNS查询请求的所述响应指示所述第二DNS查询请求已成功完成，将所述第二DNS查询请求的所述第二域名插入到所述概率数据结构中；以及将所述第二DNS查询请求的所述第二域名传输给管理服务器。6.根据权利要求1所述的方法，其中所述确定所述第一DNS查询请求是否指示合法的DNS查询请求包括：确定接收的无效DNS查询请求的速率；确定所述接收的无效DNS查询请求的速率是否满足阈值；以及基于确定所述接收的无效DNS查询请求的速率满足阈值，确定所述多个分组中的所述第一分组不指示合法的DNS查询请求。7.根据权利要求1所述的方法，其中所述确定所述第一DNS查询请求是否指示合法的DNS查询请求包括：确定国家代码是否与所述第一DNS查询请求相关联；确定与所述第一DNS查询请求相关联的所述国家代码是否指示注册滞后；以及
基于确定与所述第一DNS查询请求相关联的所述国家代码不指示注册滞后，确定所述多个分组中的所述第一分组不指示合法的DNS查询请求。8.根据权利要求1所述的方法，其中所述概率数据结构是布隆过滤器。9.根据权利要求1所述的方法，其中所述至少一个标准包括以下中的一项或更多项：错误、虚假或未注册域名DNS请求的速率；所述第一DNS查询请求的一个或更多个部分是否与人类语言单词相关；与所述第一DNS查询请求相关联的一个或更多个标签长度；与所述第一DNS查询请求相关联的国家代码；针对所述概率数据结构接收的更新的定时；或者与所述第一DNS查询请求相关联的域名的句法特征。10.一种计算设备，包括：至少一个处理器；和包括指令的存储器，所述指令在由所述至少一个处理器执行时使所述计算设备：接收多个分组；基于分组信息，确定所述多个分组中的每个相应分组是否包括域名系统(DNS)查询请求；基于确定所述多个分组中的第一分组包括DNS查询请求，测试概率数据结构以确定所述第一分组的第一DNS查询请求的第一域名是否在所述概率数据结构中表示；基于确定所述第一DNS查询请求的所述第一域名未在所述概率数据结构中表示，根据至少一个标准确定所述第一DNS查询请求是否指示合法的DNS查询请求；以及基于确定所述多个分组中的所述第...

【专利技术属性】
技术研发人员：肖恩，
申请(专利权)人：向心网络公司，
类型：发明
国别省市：