本發(fā)明涉及互聯(lián)網(wǎng)技術，尤其涉及一種域名系統(tǒng)的防御方法及裝置。

背景技術：

域名系統(tǒng)(Domain Name System，DNS)，是互聯(lián)網(wǎng)(Internet)一項核心服務，它作為可以將域名和互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)地址相互映射的一個分布式數(shù)據(jù)庫，能夠使用戶更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP數(shù)串。DNS是具有層次的樹狀結構基于“域(domain)”的命名系統(tǒng)，又可以稱為域名空間。這個域名空間的最上層即第一層，就是根域名服務器，被稱為根節(jié)點，負責管理世界各國的域名信息，在根服務器下面是頂級域名服務器，被稱為一級節(jié)點，負責管理相關國家的域名信息，依此類推。一旦域名系統(tǒng)中的任一節(jié)點受到攻擊，該節(jié)點就無法進行對應的域名解析，使得一些互聯(lián)網(wǎng)服務則無法被用戶訪問，從而導致了互聯(lián)網(wǎng)服務的可靠性的降低。

因此，亟需提供一種域名系統(tǒng)的防御方法及裝置，以防御惡意攻擊。

技術實現(xiàn)要素：

本發(fā)明實施例所要解決的一個技術問題是：提供一種域名系統(tǒng)的防御方法及裝置，用以防御惡意攻擊。

本發(fā)明實施例提供的一種域名系統(tǒng)的防御方法，包括：

獲取指定區(qū)域之內(nèi)的網(wǎng)絡數(shù)據(jù)包；

根據(jù)所述網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)；

根據(jù)所述特征數(shù)據(jù)，識別所述網(wǎng)絡數(shù)據(jù)包是否攜帶域名系統(tǒng)攻擊行為；

若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，進行防御處理。

在基于本發(fā)明上述方法的另一個實施例中，所述指定區(qū)域包括下列區(qū)域中的至少一項：

指定IP地址所對應的區(qū)域；

指定IP地址段所對應的區(qū)域；

指定域所對應的區(qū)域；以及

指定域名所對應的區(qū)域。

在基于本發(fā)明上述方法的另一個實施例中，所述根據(jù)所述特征數(shù)據(jù)，識別所述網(wǎng)絡數(shù)據(jù)包是否攜帶域名系統(tǒng)攻擊行為，包括：

根據(jù)所述特征數(shù)據(jù)在攻擊行為數(shù)據(jù)庫中進行特征匹配處理，所述攻擊行為數(shù)據(jù)庫用于存儲至少一個域名系統(tǒng)攻擊行為的特征碼；

若匹配到所述至少一個域名系統(tǒng)攻擊行為的特征碼中的任意一個域名系統(tǒng)攻擊行為的特征碼，識別所述網(wǎng)絡數(shù)據(jù)攜帶所述域名系統(tǒng)攻擊行為。

在基于本發(fā)明上述方法的另一個實施例中，所述若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，進行防御處理，包括：

對所述網(wǎng)絡數(shù)據(jù)包進行過濾處理，以清除所述網(wǎng)絡數(shù)據(jù)包中所攜帶的域名系統(tǒng)攻擊行為；以及對所述過濾處理之后的網(wǎng)絡數(shù)據(jù)包，進行域名解析處理；或者

對所述網(wǎng)絡數(shù)據(jù)包，進行丟棄處理。

在基于本發(fā)明上述方法的另一個實施例中，所述若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，進行防御處理，還包括：

根據(jù)所述網(wǎng)絡數(shù)據(jù)包的IP地址信息，執(zhí)行IP地址限速處理；和/或

根據(jù)所述網(wǎng)絡數(shù)據(jù)包的域名信息，執(zhí)行域名限速處理。

本發(fā)明實施例提供的一種域名系統(tǒng)的防御裝置，包括：

獲取單元，用于獲取指定區(qū)域之內(nèi)的網(wǎng)絡數(shù)據(jù)包；

特征單元，用于根據(jù)所述網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)；

識別單元，用于根據(jù)所述特征數(shù)據(jù)，識別所述網(wǎng)絡數(shù)據(jù)包是否攜帶域名系統(tǒng)攻擊行為；

防御單元，用于若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，進行防御處理。

在基于本發(fā)明上述方法的另一個實施例中，所述指定區(qū)域包括下列區(qū)域中的至少一項：

指定IP地址所對應的區(qū)域；

指定IP地址段所對應的區(qū)域；

指定域所對應的區(qū)域；以及

指定域名所對應的區(qū)域。

在基于本發(fā)明上述方法的另一個實施例中，所述特征單元，具體用于

根據(jù)所述特征數(shù)據(jù)在攻擊行為數(shù)據(jù)庫中進行特征匹配處理，所述攻擊行為數(shù)據(jù)庫用于存儲至少一個域名系統(tǒng)攻擊行為的特征碼；

若匹配到所述至少一個域名系統(tǒng)攻擊行為的特征碼中的任意一個域名系統(tǒng)攻擊行為的特征碼，識別所述網(wǎng)絡數(shù)據(jù)攜帶所述域名系統(tǒng)攻擊行為。

在基于本發(fā)明上述方法的另一個實施例中，所述防御單元，具體用于

對所述網(wǎng)絡數(shù)據(jù)包進行過濾處理，以清除所述網(wǎng)絡數(shù)據(jù)包中所攜帶的域名系統(tǒng)攻擊行為；以及對所述過濾處理之后的網(wǎng)絡數(shù)據(jù)包，進行域名解析處 理；或者

對所述網(wǎng)絡數(shù)據(jù)包，進行丟棄處理。

在基于本發(fā)明上述方法的另一個實施例中，所述防御單元，還用于

根據(jù)所述網(wǎng)絡數(shù)據(jù)包的IP地址信息，執(zhí)行IP地址限速處理；和/或

根據(jù)所述網(wǎng)絡數(shù)據(jù)包的域名信息，執(zhí)行域名限速處理。

基于本發(fā)明上述實施例提供的域名系統(tǒng)的防御方法，通過獲取指定區(qū)域之內(nèi)的網(wǎng)絡數(shù)據(jù)包，進而根據(jù)所述網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)，并根據(jù)所述特征數(shù)據(jù)，識別所述網(wǎng)絡數(shù)據(jù)包是否攜帶域名系統(tǒng)攻擊行為，若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，使得能夠及時進行防御處理，從而提高了域名系統(tǒng)的安全性。

基于本發(fā)明上述實施例提供的域名系統(tǒng)的防御裝置，通過獲取單元獲取指定區(qū)域之內(nèi)的網(wǎng)絡數(shù)據(jù)包，進而由特征單元根據(jù)所述網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)，并由識別單元根據(jù)所述特征數(shù)據(jù)，識別所述網(wǎng)絡數(shù)據(jù)包是否攜帶域名系統(tǒng)攻擊行為，若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，使得防御單元能夠及時進行防御處理，從而提高了域名系統(tǒng)的安全性。

下面通過附圖和實施例，對本發(fā)明的技術方案做進一步的詳細描述。

附圖說明

構成說明書的一部分的附圖描述了本發(fā)明的實施例，并且連同描述一起用于解釋本發(fā)明的原理。

參照附圖，根據(jù)下面的詳細描述，可以更加清楚地理解本發(fā)明，其中：

圖1為本發(fā)明域名系統(tǒng)的防御方法一個實施例的流程圖；

圖2為本發(fā)明域名系統(tǒng)的防御裝置一個實施例的結構示意圖。

具體實施方式

現(xiàn)在將參照附圖來詳細描述本發(fā)明的各種示例性實施例。應注意到：除 非另外具體說明，否則在這些實施例中闡述的部件和步驟的相對布置、數(shù)字表達式和數(shù)值不限制本發(fā)明的范圍。

同時，應當明白，為了便于描述，附圖中所示出的各個部分的尺寸并不是按照實際的比例關系繪制的。

以下對至少一個示例性實施例的描述實際上僅僅是說明性的，決不作為對本發(fā)明及其應用或使用的任何限制。

對于相關領域普通技術人員已知的技術、方法和設備可能不作詳細討論，但在適當情況下，所述技術、方法和設備應當被視為說明書的一部分。

應注意到：相似的標號和字母在下面的附圖中表示類似項，因此，一旦某一項在一個附圖中被定義，則在隨后的附圖中不需要對其進行進一步討論。

圖1為本發(fā)明域名系統(tǒng)的防御方法一個實施例的流程圖，所述域名系統(tǒng)可以包括根節(jié)點和具有層次結構關系的其他節(jié)點。具體來說，域名系統(tǒng)的最上層即第一層，就是根域名服務器，被稱為根節(jié)點，負責管理世界各國的域名信息，在根服務器下面是頂級域名服務器，被稱為一級節(jié)點，負責管理相關國家的域名信息，依此類推。如圖1所示，該實施例方法包括：

101、獲取指定區(qū)域之內(nèi)的網(wǎng)絡數(shù)據(jù)包。

可選地，在本實施例的一個可能的實現(xiàn)方式中，所謂的指定區(qū)域，是指需要重點關注的重要區(qū)域，具體可以包括但不限于下列區(qū)域中的至少一項：

指定IP地址所對應的區(qū)域；

指定IP地址段所對應的區(qū)域；

指定域所對應的區(qū)域；以及

指定域名所對應的區(qū)域。

102、根據(jù)所述網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)。

103、根據(jù)所述特征數(shù)據(jù)，識別所述網(wǎng)絡數(shù)據(jù)包是否攜帶域名系統(tǒng)攻擊行為。

104、若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，進行防御處理。

本發(fā)明中，若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，則無需進行防御處理，直接對所述網(wǎng)絡數(shù)據(jù)包，進行域名解析處理，以獲取域名對應的地址信息，從而獲得相關數(shù)據(jù)返回給請求方。

本發(fā)明中，每個網(wǎng)絡數(shù)據(jù)包都具備一個特征數(shù)據(jù)，且每個特征數(shù)據(jù)是獨一無二的，因此，可以根據(jù)特征數(shù)據(jù)判斷網(wǎng)絡數(shù)據(jù)包的域名解析請求的屬性，識破偽裝成正常的網(wǎng)絡數(shù)據(jù)包的域名解析的攻擊操作。因此，可以對這些重點關注的重要區(qū)域即指定區(qū)域之內(nèi)的網(wǎng)絡數(shù)據(jù)包，進行實時監(jiān)控，這樣，能有效提高域名系統(tǒng)的安全性。

可選地，在本實施例的一個可能的實現(xiàn)方式中，在102中，具體可以根據(jù)所述網(wǎng)絡數(shù)據(jù)包的IP地址信息和所述網(wǎng)絡數(shù)據(jù)包的域名信息中的至少一項，獲得所述特征數(shù)據(jù)。

例如，計算在指定時間之內(nèi)所接收到的來自同一IP地址或同一IP地址段的網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)。具體地，可以對這些網(wǎng)絡數(shù)據(jù)包進行哈希操作，以獲得所述網(wǎng)絡數(shù)據(jù)包的哈希值，則可以將哈希值作為所述特征數(shù)據(jù)。例如，可以采用信息摘要算法5(Message-Digest Algorithm 5，MD5)或安全散列算法(Secure Hash Algorithm，SHA)等哈希算法，對網(wǎng)絡數(shù)據(jù)包進行處理，本實施例對此不進行特別限定。

或者，再例如，計算在指定時間之內(nèi)所接收到的來自同一域或同一域名的網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)。具體地，可以對這些網(wǎng)絡數(shù)據(jù)包進行哈希操作，以獲得所述網(wǎng)絡數(shù)據(jù)包的哈希值，則可以將哈希值作為所述特征數(shù)據(jù)。例如，可以采用信息摘要算法5(Message-Digest Algorithm 5，MD5)或安全散列算法(Secure Hash Algorithm，SHA)等哈希算法，對網(wǎng)絡數(shù)據(jù)包進行處理，本實施例對此不進行特別限定。

可選地，在本實施例的一個可能的實現(xiàn)方式中，在103中，具體可以根據(jù)所述特征數(shù)據(jù)在攻擊行為數(shù)據(jù)庫中進行特征匹配處理，所述攻擊行為數(shù)據(jù) 庫用于存儲至少一個域名系統(tǒng)攻擊行為的特征碼。若匹配到所述至少一個域名系統(tǒng)攻擊行為的特征碼中的任意一個域名系統(tǒng)攻擊行為的特征碼，識別所述網(wǎng)絡數(shù)據(jù)攜帶所述域名系統(tǒng)攻擊行為。

其中，所述攻擊行為數(shù)據(jù)庫中所存儲的至少一個域名系統(tǒng)攻擊行為的特征碼，可以利用現(xiàn)有技術中的特征碼提取方法，提取域名系統(tǒng)攻擊行為的特征碼。

可選地，在本實施例的一個可能的實現(xiàn)方式中，在104中，若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，具體可以對所述網(wǎng)絡數(shù)據(jù)包進行過濾處理，以清除所述網(wǎng)絡數(shù)據(jù)包中所攜帶的域名系統(tǒng)攻擊行為；以及對所述過濾處理之后的網(wǎng)絡數(shù)據(jù)包，進行域名解析處理。

可選地，在本實施例的一個可能的實現(xiàn)方式中，在104中，若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，如果無法清除所述網(wǎng)絡數(shù)據(jù)包中所攜帶的域名系統(tǒng)攻擊行為，則可以直接對所述網(wǎng)絡數(shù)據(jù)包，進行丟棄處理。

可選地，在本實施例的一個可能的實現(xiàn)方式中，在104之后，還可以進一步執(zhí)行防御策略。

在一個具體的實現(xiàn)過程中，具體可以根據(jù)所述網(wǎng)絡數(shù)據(jù)包的IP地址信息，執(zhí)行IP地址限速處理；和/或

在另一個具體的實現(xiàn)過程中，具體可以根據(jù)所述網(wǎng)絡數(shù)據(jù)包的域名信息，執(zhí)行域名限速處理。

在另一個具體的實現(xiàn)過程中，具體還可以執(zhí)行上述兩個實現(xiàn)過程中的技術方案，具體可以不限定執(zhí)行的先后順序。

本實施例中，通過獲取指定區(qū)域之內(nèi)的網(wǎng)絡數(shù)據(jù)包，進而根據(jù)所述網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)，并根據(jù)所述特征數(shù)據(jù)，識別所述網(wǎng)絡數(shù)據(jù)包是否攜帶域名系統(tǒng)攻擊行為，若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，使得能夠及時進行防御處理，從而提高了域名系統(tǒng)的安全性。

本領域普通技術人員可以理解：實現(xiàn)上述方法實施例的全部或部分步驟 可以通過程序指令相關的硬件來完成，前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中，該程序在執(zhí)行時，執(zhí)行包括上述方法實施例的步驟；而前述的存儲介質(zhì)包括：ROM、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

圖2為本發(fā)明域名系統(tǒng)的防御裝置一個實施例的結構示意圖，所述域名系統(tǒng)可以包括根節(jié)點和具有層次結構關系的其他節(jié)點。具體來說，域名系統(tǒng)的最上層即第一層，就是根域名服務器，被稱為根節(jié)點，負責管理世界各國的域名信息，在根服務器下面是頂級域名服務器，被稱為一級節(jié)點，負責管理相關國家的域名信息，依此類推。該實施例的域名系統(tǒng)的防御可用于實現(xiàn)本發(fā)明上述各方法實施例。如圖2所示，該實施例的域名系統(tǒng)的防御裝置包括獲取單元21、特征單元22、識別單元23和防御單元24。其中，獲取單元21，用于獲取指定區(qū)域之內(nèi)的網(wǎng)絡數(shù)據(jù)包；特征單元22，用于根據(jù)所述網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)；識別單元23，用于根據(jù)所述特征數(shù)據(jù)，識別所述網(wǎng)絡數(shù)據(jù)包是否攜帶域名系統(tǒng)攻擊行為；防御單元24，用于若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，進行防御處理。

可選地，在本實施例的一個可能的實現(xiàn)方式中，所謂的指定區(qū)域，是指需要重點關注的重要區(qū)域，具體可以包括但不限于下列區(qū)域中的至少一項：

指定IP地址所對應的區(qū)域；

指定IP地址段所對應的區(qū)域；

指定域所對應的區(qū)域；以及

指定域名所對應的區(qū)域。

可選地，在本實施例的一個可能的實現(xiàn)方式中，所述特征單元22，具體可以用于根據(jù)所述特征數(shù)據(jù)在攻擊行為數(shù)據(jù)庫中進行特征匹配處理，所述攻擊行為數(shù)據(jù)庫用于存儲至少一個域名系統(tǒng)攻擊行為的特征碼；若匹配到所述至少一個域名系統(tǒng)攻擊行為的特征碼中的任意一個域名系統(tǒng)攻擊行為的特征碼，識別所述網(wǎng)絡數(shù)據(jù)攜帶所述域名系統(tǒng)攻擊行為。

可選地，在本實施例的一個可能的實現(xiàn)方式中，所述防御單元24，具體可以用于對所述網(wǎng)絡數(shù)據(jù)包進行過濾處理，以清除所述網(wǎng)絡數(shù)據(jù)包中所攜帶的域名系統(tǒng)攻擊行為；以及對所述過濾處理之后的網(wǎng)絡數(shù)據(jù)包，進行域名解析處理。

可選地，在本實施例的一個可能的實現(xiàn)方式中，所述防御單元24，具體可以用于對所述網(wǎng)絡數(shù)據(jù)包，進行丟棄處理。

可選地，在本實施例的一個可能的實現(xiàn)方式中，所述防御單元24，還可以用于根據(jù)所述網(wǎng)絡數(shù)據(jù)包的IP地址信息，執(zhí)行IP地址限速處理；和/或根據(jù)所述網(wǎng)絡數(shù)據(jù)包的域名信息，執(zhí)行域名限速處理，本實施例對此不進行特別限定。

本實施例中，通過獲取單元獲取指定區(qū)域之內(nèi)的網(wǎng)絡數(shù)據(jù)包，進而由特征單元根據(jù)所述網(wǎng)絡數(shù)據(jù)包，獲得特征數(shù)據(jù)，并由識別單元根據(jù)所述特征數(shù)據(jù)，識別所述網(wǎng)絡數(shù)據(jù)包是否攜帶域名系統(tǒng)攻擊行為，若所述網(wǎng)絡數(shù)據(jù)包攜帶域名系統(tǒng)攻擊行為，使得防御單元能夠及時進行防御處理，從而提高了域名系統(tǒng)的安全性。

本說明書中各個實施例均采用遞進的方式描述，每個實施例重點說明的都是與其它實施例的不同之處，各個實施例之間相同或相似的部分相互參見即可。對于系統(tǒng)實施例而言，由于其與方法實施例基本對應，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。

可能以許多方式來實現(xiàn)本發(fā)明的方法和裝置。例如，可通過軟件、硬件、固件或者軟件、硬件、固件的任何組合來實現(xiàn)本發(fā)明的方法和裝置。用于所述方法的步驟的上述順序僅是為了進行說明，本發(fā)明的方法的步驟不限于以上具體描述的順序，除非以其它方式特別說明。此外，在一些實施例中，還可將本發(fā)明實施為記錄在記錄介質(zhì)中的程序，這些程序包括用于實現(xiàn)根據(jù)本發(fā)明的方法的機器可讀指令。因而，本發(fā)明還覆蓋存儲用于執(zhí)行根據(jù)本發(fā)明的方法的程序的記錄介質(zhì)。

本發(fā)明的描述是為了示例和描述起見而給出的，而并不是無遺漏的或者將本發(fā)明限于所公開的形式。很多修改和變化對于本領域的普通技術人員而言是顯然的。選擇和描述實施例是為了更好說明本發(fā)明的原理和實際應用，并且使本領域的普通技術人員能夠理解本發(fā)明從而設計適于特定用途的帶有各種修改的各種實施例。