減少惡意網(wǎng)絡(luò)流量的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開一種減少惡意網(wǎng)絡(luò)流量的系統(tǒng)和方法��。該系統(tǒng)包括:受保護的服務器��,位于域內(nèi)�����;至少一個權(quán)威域名系統(tǒng)DNS服務器�;至少一個DNS流量分析器和防火墻DTAF��,其中����,網(wǎng)絡(luò)流量在訪問權(quán)威DNS服務器之前必須穿過DTAF防火墻���,且DTAF防火墻分析試圖穿過DTAF防火墻的網(wǎng)絡(luò)流量��;中央主DTAF,其中DTAF防火墻發(fā)送網(wǎng)絡(luò)流量數(shù)據(jù)到中央主DTAF���,且中央主DTAF發(fā)送至少一個訪問控制列表到DTAF防火墻�。通過這種方式���,能夠減少惡意互聯(lián)網(wǎng)流量(例如DDOS攻擊)��。
【專利說明】
減少惡意網(wǎng)絡(luò)流量的方法和系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種網(wǎng)絡(luò)技術(shù)領(lǐng)域��,特別是涉及一種減少惡意網(wǎng)絡(luò)流量的方法和系統(tǒng)���。
【背景技術(shù)】
[0002]一臺計算機的用戶僅知道預期目的地的名稱,而不是目的地的IP地址���,通過使用域名系統(tǒng)(DNS�,Domain Name System),這臺計算機的用戶也可訪問目的地��。在給定特定域名的情況下���,DNS使用被稱為DNS名稱解析的過程來找到具體的IP地址�。權(quán)威DNS服務器是響應于針對特定DNS區(qū)域的詢問給出解答的DNS服務器�����。如果特定的DNS服務器無法解答詢問�����,那么可通過執(zhí)行反向查找�,詢問處于更高位置處的其他DNS服務器。
[0003]現(xiàn)有技術(shù)中�����,已開發(fā)出許多裝置來保護服務器和網(wǎng)絡(luò)免受來自互聯(lián)網(wǎng)的惡意攻擊�。通常,這些裝置歸類為防火墻和專用路由器��。互聯(lián)網(wǎng)流量也可以通過使用白名單�����、黑名單����、和/或灰名單對一組被允許或被拒絕的用戶進行管理來調(diào)控。防火墻和專用路由器通?����?衫迷碔P檢測�����、數(shù)據(jù)包和內(nèi)容分析��、流量模式分析��、和陣列政策和規(guī)則來過濾掉惡意流量和內(nèi)容��。一種基于互聯(lián)網(wǎng)的攻擊是分布式拒絕服務(DDOS��,Distributed Denial ofService)攻擊����。一般來講,DDOS攻擊是嘗試通過阻礙目標計算機或服務器工作而使目標計算機或服務器不能為其預期用戶所使用��?���?赏ㄟ^傳統(tǒng)方法(例如防火墻)來防御某些DDOS攻擊。
[0004]然而�����,近年來�,一些DDOS攻擊已發(fā)展到空前大的規(guī)模且持續(xù)時間長,已經(jīng)超出了最大且最有力的防火墻和防御系統(tǒng)的能力和資源�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明主要解決的技術(shù)問題是提供一種減少惡意網(wǎng)絡(luò)流量的方法和系統(tǒng)�����,能夠減少惡意互聯(lián)網(wǎng)流量(例如DDOS攻擊)�。
[0006]為解決上述技術(shù)問題,本發(fā)明采用的一個技術(shù)方案是:提供一種減少惡意網(wǎng)絡(luò)流量的系統(tǒng)���,所述系統(tǒng)包括:受保護服務器�,位于域內(nèi);至少一個權(quán)威域名系統(tǒng)DNS服務器�����;至少一個DNS流量分析器和防火墻DTAF�����,其中�,網(wǎng)絡(luò)流量在訪問所述權(quán)威DNS服務器之前必須穿過所述DTAF防火墻,且所述DTAF防火墻分析試圖穿過所述DTAF防火墻的網(wǎng)絡(luò)流量�����;中央主DTAF����,其中所述DTAF防火墻發(fā)送網(wǎng)絡(luò)流量數(shù)據(jù)到所述中央主DTAF��,且所述中央主DTAF發(fā)送至少一個訪問控制列表到所述DTAF防火墻�����。
[0007]其中,所述網(wǎng)絡(luò)流量在訪問所述受保護的服務器之前也必須穿過所述DTAF防火
m ο
[0008]其中�,所述網(wǎng)絡(luò)流量在訪問公共DNS服務器之前也必須穿過所述DTAF防火墻。
[0009]其中��,所述網(wǎng)絡(luò)流量數(shù)據(jù)包括歷史數(shù)據(jù)和實時數(shù)據(jù)兩者���。
[0010]其中����,所述受保護的服務器發(fā)送網(wǎng)絡(luò)流量數(shù)據(jù)到所述中央主DTAF����。
[0011]其中,所述權(quán)威DNS服務器發(fā)送網(wǎng)絡(luò)流量數(shù)據(jù)到所述中央主DTAF��。
[0012]其中��,所述訪問控制列表包括與DNS服務器相關(guān)的信息�����,且其中所述DTAF防火墻能夠控制或分析來自所述DNS服務器的流量���。
[0013]其中�,所述系統(tǒng)還包括域轉(zhuǎn)移子系統(tǒng),其中所述域轉(zhuǎn)移子系統(tǒng)形成新的權(quán)威DNS服務器并使至少一些網(wǎng)絡(luò)流量重新路由到所述新的權(quán)威DNS服務器��。
[0014]其中�,所述域轉(zhuǎn)移子系統(tǒng)定期地旋轉(zhuǎn)所述權(quán)威DNS服務器。
[0015]其中����,所述新的權(quán)威DNS服務器處理新的網(wǎng)絡(luò)流量。
[0016]為解決上述技術(shù)問題�,本發(fā)明采用的另一個技術(shù)方案是:提供一種減少惡意網(wǎng)絡(luò)流量的方法,包括:分析針對至少一個權(quán)威域名系統(tǒng)DNS服務器的網(wǎng)絡(luò)流量���;根據(jù)分析結(jié)果產(chǎn)生網(wǎng)絡(luò)流量數(shù)據(jù)��;向中央系統(tǒng)發(fā)送所述網(wǎng)絡(luò)流量數(shù)據(jù)��;接收來自所述中央系統(tǒng)的訪問控制列表���;根據(jù)所接收的所述訪問控制列表更新防火墻參數(shù)。
[0017]其中�����,所述方法還包括:確定被可疑網(wǎng)絡(luò)流量使用的DNS服務器��;將所述被可疑網(wǎng)絡(luò)流量使用的DNS服務器的數(shù)據(jù)包含在所述網(wǎng)絡(luò)流量數(shù)據(jù)中����;將所述被可疑網(wǎng)絡(luò)流量使用的DNS服務器的信息包含在所述訪問控制列表中。
[0018]其中�,所述方法還包括:形成至少一個新的權(quán)威DNS服務器;將所述網(wǎng)絡(luò)流量中的至少一些路由到所述新的權(quán)威DNS服務器�。
[0019]其中,所述方法還包括:定期地旋轉(zhuǎn)所述權(quán)威DNS服務器�����。
[0020]本發(fā)明的有益效果是:區(qū)別于現(xiàn)有技術(shù)的情況�,本發(fā)明系統(tǒng)包括:受保護的服務器,位于域內(nèi)��;至少一個權(quán)威域名系統(tǒng)DNS服務器����;至少一個DNS流量分析器和防火墻DTAF,其中,網(wǎng)絡(luò)流量在訪問權(quán)威DNS服務器之前必須穿過DTAF防火墻����,且DTAF防火墻分析試圖穿過DTAF防火墻的網(wǎng)絡(luò)流量;中央主DTAF,其中DTAF防火墻發(fā)送網(wǎng)絡(luò)流量數(shù)據(jù)到中央主DTAF�,且中央主DTAF發(fā)送至少一個訪問控制列表到DTAF防火墻。由于DTAF防火墻分析試圖穿過DTAF防火墻的網(wǎng)絡(luò)流量��,并將網(wǎng)絡(luò)流量數(shù)據(jù)發(fā)送到中央主DTAF����,然后中央主DTAF發(fā)送至少一個訪問控制列表到DTAF防火墻,從而使得DTAF防火墻通過訪問控制列表攔截惡意流量���,通過這種方式�,能夠減少惡意互聯(lián)網(wǎng)流量(例如DDOS攻擊)���。
【附圖說明】
[0021]圖1是本發(fā)明減少惡意網(wǎng)絡(luò)流量的系統(tǒng)一實施方式的結(jié)構(gòu)示意圖�����;
[0022]圖2是本發(fā)明減少惡意網(wǎng)絡(luò)流量的方法一實施方式的流程圖�����;
[0023]圖3是本發(fā)明減少惡意網(wǎng)絡(luò)流量的方法另一實施方式的流程圖���;
[0024]圖4是本發(fā)明減少惡意網(wǎng)絡(luò)流量的方法又一實施方式的流程圖��。
【具體實施方式】
[0025]下面結(jié)合附圖和實施方式對本發(fā)明進行詳細說明。
[0026]圖1是本發(fā)明減少惡意網(wǎng)絡(luò)流量的系統(tǒng)一實施方式的結(jié)構(gòu)示意圖�。該系統(tǒng)包括:客戶端11 (無論是合法的還是惡意的)、受保護的服務器12���、域的權(quán)威DNS服務器13����、公共DNS 服務器 14�����、DNS 流量分析器和防火墻 DTAF (DNS Traffic Analyzer and Firewall)防火墻15�。
[0027]客戶端11通過網(wǎng)絡(luò)(例如公共互聯(lián)網(wǎng))訪問受保護的服務器12。受保護的服務器12可以是網(wǎng)頁服務器���、郵件服務器�����、應用服務器����、或任何其他類型的可通過公共互聯(lián)網(wǎng)或任何其他網(wǎng)絡(luò)被訪問的服務器。
[0028]在圖1所示的實施方式中�,針對受保護的服務器12、域的權(quán)威DNS服務器13���、或公共DNS服務器14的流量必須首先穿過DTAF防火墻15��?����?稍O(shè)想其中DTAF防火墻15僅位于這些目的地的子集之間的其他實施方式���。
[0029]—般來講,DTAF能夠分析從互聯(lián)網(wǎng)所接收的數(shù)據(jù)�,并基于所述分析來優(yōu)化防火墻。舉例來說����,在一些實施方式中,DTAF防火墻利用DNS及應用日志檔案以及對實時日志的分析����,從而通過IP地址、子網(wǎng)絡(luò)��、和/或訪客的DNS服務器來追蹤并分析所述訪客。
[0030]通過使用歸檔的數(shù)據(jù)及實時的數(shù)據(jù)�����,DTAF可保持經(jīng)過更新的��、實時的訪問控制列表(ACL,Access Control Lists)�����,該ACL實現(xiàn)將流量轉(zhuǎn)移到防火墻或路由器����。實時ACL可使用白名單、黑名單����、和灰名單的組合來動態(tài)地保持被接受和被拒絕的客戶端列表。防火墻和專用路由器防止或減少惡意攻擊的一般應用為本領(lǐng)域技術(shù)人員所熟知����,在此不再贅述。
[0031]在一些實施方式中����,DTAF能夠使用參考資料和DNS查找表來確定訪客的DNS服務器��。因此��,ACL也可保持被允許和被拒絕的DNS服務器的列表(或DNS-ACL)��。然后�,可將所述DNS-ACL反饋到路由器和防火墻來阻擋可疑的DNS源����。
[0032]在一些實施方式中,DTAF防火墻能夠允許�����、阻擋�����、或修改DNS詢問和/或回復數(shù)據(jù)�。因此,通過使用DNS-ACL�����,DTAF可允許或拒絕單獨的IP地址或來自特定DNS服務器的所有地址。還可設(shè)想:灰名單中的地址或DNS服務器可位于候選名單中以供進一步分析�����,特別是在出現(xiàn)異常高的流量期間����,例如在DDOS攻擊期間。
[0033]在圖1所示的實施方式中���,DTAF防火墻15和受保護的服務器12發(fā)送包括關(guān)于IP地址或DNS服務器的實時信息和歷史數(shù)據(jù)在內(nèi)的流量數(shù)據(jù)到中央主DTAF 16。流量數(shù)據(jù)可包括多種信息���,包括但不限于數(shù)據(jù)和時間信息����、源IP地址��、請求頻率�����、請求模式��、和數(shù)據(jù)包內(nèi)容數(shù)據(jù)。
[0034]圖1所示的中央主DTAF 16基于包括可能合法的(非惡意的)一組源IP地址(或DNS服務器)的白名單來分析流量數(shù)據(jù)并導出ACL���。此外���,或作為另外一種選擇,ACL可包含黑名單和/或灰名單�。由于中央主DTAF 16從以下多個源接收數(shù)據(jù):例如,受保護的服務器12�、域的權(quán)威DNS服務器13、公共DNS服務器14�、和它們各自的DTAF防火墻15,因此中央主DTAF 16可更好地執(zhí)行單獨DTAF防火墻15的功能�����。
[0035]中央主DTAF 16發(fā)送DTAF-ACL到DTAF防火墻15���。DTAF-ACL可包括關(guān)于客戶端�����、他們的DNS服務器或所述兩者的信息����。關(guān)于用于DNS服務器的DTAF-ACL,中央主DTAF16可通過例如執(zhí)行反向查找來導出此信息�,以確定客戶端地址的相關(guān)子網(wǎng)絡(luò)和權(quán)威互聯(lián)網(wǎng)服務提供商(ISP,Internet Service Provider)��,�,且最終確定ISP所指定和所發(fā)布的被分配給所述客戶端地址的DNS服務器。一旦被DTAF防火墻15接收��,DNS DTAF-ACL便可用于通過以下方式來減少惡意流量:通過控制DNS DTAF-ACL中所包含的公共DNS服務器對受保護的服務器12的地址的查找來拒絕服務器IP地址查找�����。
[0036]在圖1所示的實施方式中����,中央主DTAF 16可形成新的DNS服務器以用作域的新的權(quán)威DNS服務器(或新的DNS服務器)13b�����。在其他實施方式中��,由除中央主DTAF 16以外的部件來執(zhí)行此種功能和其他功能�����。在圖1所示的實施方式中,中央主DTAF 16為具有給定TTL(存活時間)和TTR(刷新時間)值的受保護的域產(chǎn)生DNS區(qū)域文件�。然后,所述區(qū)域文件被傳播到域的權(quán)威DNS服務器13的原始集合���。
[0037]—般來講���,TTL率和TTR率可大約長達數(shù)小時,但可設(shè)想可利用以下不同的存活率和刷新率在猛烈DDOS攻擊之下優(yōu)化系統(tǒng)的功能:例如�,I小時、45分鐘�、30分鐘、10分鐘�、5分鐘、I分鐘���、30秒���、或30秒以下。
[0038]通過形成新的DNS服務器13b��,中央主DTAF16可利用DNS轉(zhuǎn)移來進一步減少來自惡意客戶端的潛在損害�。這可通過多種方式來執(zhí)行��。舉例來說����,在新的DNS區(qū)域文件的TTL過期之前�����,中央主DTAF可形成新的DNS服務器13b�����,并將域名委派到這些新的DNS服務器13b����。原始權(quán)威DNS服務器13將繼續(xù)為指向其的請求服務(通常直到由TTL所限定的持續(xù)時間)。新的DNS服務器13b將從尋找域名的新刷新的DNS服務器接收DNS請求���。對于近期被服務的DNS服務器,新的DNS服務器13b將繼續(xù)接收請求直到它們的TTL��。
[0039]以上概述的過程可被重復多次����,這將使DNS請求流量分散于新的DNS服務器13b之中��。實際上���,通過以這種方式形成新的DNS服務器13b,便能使DNS請求流量擴散于比互聯(lián)網(wǎng)注冊或根(Internet Registry or Root)處由最大數(shù)量的權(quán)威DNS服務器所規(guī)定者更多的權(quán)威DNS服務器上��。
[0040]可通過DNS旋轉(zhuǎn)和DNS緩存來促進流量分布��。在圖1中�����,這由中央主DTAF 16完成�,中央主DTAF 16通過旋轉(zhuǎn)域的權(quán)威DNS服務器13、13b來更新DNS區(qū)域�����。在一些實施例中�����,中央主DTAF 16在時間周期T之后定期地快速改變權(quán)威DNS��。DNS記錄將得到保持并定期地(T2)改變�����,其中TTL和刷新值小于T。然后���,中央主DTAF將旋轉(zhuǎn)權(quán)威DNS列表和DNS記錄����。
[0041]在各種實施例中�����,DNS轉(zhuǎn)移可使用各種ACL���、白名單��、黑名單和灰名單以多種不同方式運作����。舉例來說��,中央主DTAF 16可向白名單上的客戶端或DNS發(fā)布其新的DNS位置�����。因此�����,可阻擋所有其他客戶端(新客戶端�、灰名單中的客戶端等)訪問服務器。這種方法在DDOS攻擊期間(當與受到全力攻擊相比���,犧牲一些合法客戶端更可取時)尤其有用�����。在一些實施例中����,新的客戶端���、白名單中的客戶端和灰名單中的客戶端(或DNS服務器)可被劃分成使優(yōu)選的流量可正常地行進���,而更多可疑流量則可被分散到多個新的DNS服務器之間,以擴散攻擊并提高防火墻和專用路由器的有效性或?qū)梢煽蛻舳酥剡M行額外分析�。
[0042]本發(fā)明系統(tǒng)包括:受保護服務器,位于域內(nèi)�����;至少一個權(quán)威域名系統(tǒng)DNS服務器;至少一個DNS流量分析器和防火墻DTAF�,其中,網(wǎng)絡(luò)流量在訪問權(quán)威DNS服務器之前必須穿過DTAF防火墻���,且DTAF防火墻分析試圖穿過DTAF防火墻的網(wǎng)絡(luò)流量��;中央主DTAF����,其中DTAF防火墻發(fā)送網(wǎng)絡(luò)流量數(shù)據(jù)到中央主DTAF���,且中央主DTAF發(fā)送至少一個訪問控制列表到DTAF防火墻�。由于DTAF防火墻分析試圖穿過DTAF防火墻的網(wǎng)絡(luò)流量�,并將網(wǎng)絡(luò)流量數(shù)據(jù)發(fā)送到中央主DTAF,然后中央主DTAF發(fā)送至少一個訪問控制列表到DTAF防火墻��,從而使得DTAF防火墻通過訪問控制列表攔截惡意流量��,通過這種方式���,能夠減少惡意互聯(lián)網(wǎng)流量(例如DDOS攻擊)���。
[0043]參閱圖2,圖2是本發(fā)明減少惡意網(wǎng)絡(luò)流量的方法一實施方式的流程圖�����。上述圖1中減少惡意網(wǎng)絡(luò)流量的系統(tǒng)在減少惡意網(wǎng)絡(luò)流量的時候采用的方法即為該方法�����,有關(guān)系統(tǒng)和方法結(jié)合在一起的詳細說明請參見圖1以及對應的文字說明��,在此不再贅敘�����。該方法包括:步驟S101�����、步驟S102��、步驟S103�����、步驟S104以及步驟S105。具體內(nèi)容如下:
[0044]步驟SlOl:分析針對至少一個權(quán)威域名系統(tǒng)DNS服務器的網(wǎng)絡(luò)流量��。
[0045]步驟S102:根據(jù)分析結(jié)果產(chǎn)生網(wǎng)絡(luò)流量數(shù)據(jù)����。
[0046]步驟S103:向中央系統(tǒng)發(fā)送所述網(wǎng)絡(luò)流量數(shù)據(jù)。
[0047]步驟S104:接收來自所述中央系統(tǒng)的訪問控制列表����。
[0048]步驟S105:根據(jù)所接收的所述訪問控制列表更新防火墻參數(shù)。
[0049]參見圖3�,該方法還包括:步驟S201、步驟S202以及步驟S203���。具體內(nèi)容如下:
[0050]步驟S201:確定被可疑網(wǎng)絡(luò)流量使用的DNS服務器���。
[0051]步驟S202:將所述被可疑網(wǎng)絡(luò)流量使用的DNS服務器的數(shù)據(jù)包含在所述網(wǎng)絡(luò)流量數(shù)據(jù)中。
[0052]步驟S203:將所述被可疑網(wǎng)絡(luò)流量使用的DNS服務器的信息包含在所述訪問控制列表中����。
[0053]參閱圖4,該方法還包括:步驟S301�、步驟S302。具體內(nèi)容如下:
[0054]步驟S301:形成至少一個新的權(quán)威DNS服務器。
[0055]步驟S302:將所述網(wǎng)絡(luò)流量中的至少一些路由到所述新的權(quán)威DNS服務器���。
[0056]方法還可以包括:步驟S303�。
[0057]步驟S303:定期地旋轉(zhuǎn)所述權(quán)威DNS服務器�。
[0058]本發(fā)明方法包括:分析針對至少一個權(quán)威域名系統(tǒng)DNS服務器的網(wǎng)絡(luò)流量;根據(jù)分析結(jié)果產(chǎn)生網(wǎng)絡(luò)流量數(shù)據(jù)���;向中央系統(tǒng)發(fā)送所述網(wǎng)絡(luò)流量數(shù)據(jù);接收來自所述中央系統(tǒng)的訪問控制列表����;根據(jù)所接收的所述訪問控制列表更新防火墻參數(shù)。由于分析針對至少一個權(quán)威域名系統(tǒng)DNS服務器的網(wǎng)絡(luò)流量�����,并將網(wǎng)絡(luò)流量數(shù)據(jù)發(fā)送到中央系統(tǒng)����,然后接收中央系統(tǒng)發(fā)送的至少一個訪問控制列表,從而通過訪問控制列表更新防火墻參數(shù)�����,攔截惡意流量,通過這種方式����,能夠減少惡意互聯(lián)網(wǎng)流量(例如DDOS攻擊)。
[0059]以上所述僅為本發(fā)明的實施方式�,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換��,或直接或間接運用在其他相關(guān)的技術(shù)領(lǐng)域��,均同理包括在本發(fā)明的專利保護范圍內(nèi)����。
【主權(quán)項】
1.一種減少惡意網(wǎng)絡(luò)流量的系統(tǒng),其特征在于��,所述系統(tǒng)包括: 受保護的服務器�����,位于域內(nèi)��; 至少一個權(quán)威域名系統(tǒng)DNS服務器��; 至少一個DNS流量分析器和防火墻DTAF防火墻����,其中�,網(wǎng)絡(luò)流量在訪問所述權(quán)威DNS服務器之前必須穿過所述DTAF防火墻�����,且所述DTAF防火墻分析試圖穿過所述DTAF防火墻的網(wǎng)絡(luò)流量��; 中央主DTAF�,其中所述DTAF防火墻發(fā)送網(wǎng)絡(luò)流量數(shù)據(jù)到所述中央主DTAF,且所述中央主DTAF發(fā)送至少一個訪問控制列表到所述DTAF防火墻�。2.如權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述網(wǎng)絡(luò)流量在訪問所述受保護的服務器之前也必須穿過所述DTAF防火墻�。3.如權(quán)利要求1所述的系統(tǒng),其特征在于��,所述網(wǎng)絡(luò)流量在訪問公共DNS服務器之前也必須穿過所述DTAF防火墻�����。4.如權(quán)利要求1所述的系統(tǒng)���,其特征在于����,所述網(wǎng)絡(luò)流量數(shù)據(jù)包括歷史數(shù)據(jù)和實時數(shù)據(jù)。5.如權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述受保護的服務器發(fā)送網(wǎng)絡(luò)流量數(shù)據(jù)到所述中央主DTAF��。6.如權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述權(quán)威DNS服務器發(fā)送網(wǎng)絡(luò)流量數(shù)據(jù)到所述中央主DTAF�。7.如權(quán)利要求1所述的系統(tǒng),其特征在于����,所述訪問控制列表包括與DNS服務器相關(guān)的信息,且其中所述DTAF防火墻能夠控制或分析來自所述DNS服務器的流量��。8.如權(quán)利要求1所述的系統(tǒng)����,其特征在于��,所述系統(tǒng)還包括域轉(zhuǎn)移子系統(tǒng)����,其中所述域轉(zhuǎn)移子系統(tǒng)形成新的權(quán)威DNS服務器并使至少一些網(wǎng)絡(luò)流量重新路由到所述新的權(quán)威DNS服務器�����。9.如權(quán)利要求8所述的系統(tǒng)�����,其特征在于�,所述域轉(zhuǎn)移子系統(tǒng)定期地旋轉(zhuǎn)所述權(quán)威DNS服務器。10.如權(quán)利要求8所述的系統(tǒng)�����,其特征在于����,所述新的權(quán)威DNS服務器處理新的網(wǎng)絡(luò)流量����。11.一種減少惡意網(wǎng)絡(luò)流量的方法��,其特征在于����,所述方法包括: 分析針對至少一個權(quán)威域名系統(tǒng)DNS服務器的網(wǎng)絡(luò)流量���; 根據(jù)分析結(jié)果產(chǎn)生網(wǎng)絡(luò)流量數(shù)據(jù)����; 向中央系統(tǒng)發(fā)送所述網(wǎng)絡(luò)流量數(shù)據(jù)�; 接收來自所述中央系統(tǒng)的訪問控制列表; 根據(jù)所接收的所述訪問控制列表更新防火墻參數(shù)���。12.如權(quán)利要求11所述的方法���,其特征在于,所述方法還包括: 確定被可疑網(wǎng)絡(luò)流量使用的DNS服務器���; 將所述被可疑網(wǎng)絡(luò)流量使用的DNS服務器的數(shù)據(jù)包含在所述網(wǎng)絡(luò)流量數(shù)據(jù)中���; 將所述被可疑網(wǎng)絡(luò)流量使用的DNS服務器的信息包含在所述訪問控制列表中。13.如權(quán)利要求11所述的方法����,其特征在于�,所述方法還包括: 形成至少一個新的權(quán)威DNS服務器�;將所述網(wǎng)絡(luò)流量中的至少一些路由到所述新的權(quán)威DNS服務器。14.如權(quán)利要求13所述的方法���,其特征在于���,所述方法還包括:定期地旋轉(zhuǎn)所述權(quán)威DNS服務器。
【文檔編號】H04L29/06GK106034116SQ201510112440
【公開日】2016年10月19日
【申請日】2015年3月13日
【發(fā)明人】劉陽, 薛晨, 王東安, 崔佳, 黃亮, 常為嶺, 王博, 袁慶升, 徐原, 王凱峰
【申請人】國家計算機網(wǎng)絡(luò)與信息安全管理中心, 北京天元特通科技有限公司