| 发明名称 |
一种网络攻击过滤方法及装置 |
| 摘要 |
本发明提供一种网络攻击过滤方法,应用于安全设备上,为DNS服务器提供网络攻击过滤的服务,该方法包括:A、在收到用户的DNS请求报文时判断是否为首次发送,如果否,转步骤B处理,否则丢弃该报文并将该DNS会话信息以及用户行为参数作为保存到DNS会话表中;B、从DNS会话表中获取与当前DNS请求报文携带的会话信息对应的用户行为参数,并判断当前报文携带的用户行为参数与DNS会话表中记录的用户行为参数之间的差异是否符合正常用户行为标准,如果是则合法,否则丢弃该报文。本发明用户协议栈上的行为特点,有效地过滤了对于DNS服务器的攻击。 |
| 申请公布号 |
CN102739683A |
申请公布日期 |
2012.10.17 |
| 申请号 |
CN201210226566.7 |
申请日期 |
2012.06.29 |
| 申请人 |
杭州迪普科技有限公司 |
发明人 |
李鑫 |
| 分类号 |
H04L29/06(2006.01)I;H04L29/12(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
| 代理机构 |
|
代理人 |
|
| 主权项 |
一种网络攻击过滤装置,应用于安全设备上,为DNS服务器提供网络攻击过滤的服务,该装置包括报文区分单元以及行为分析单元,其特征在于:报文区分单元,用于在收到用户的DNS请求报文时判断DNS请求报文携带的DNS会话信息在DNS会话表中是否有相应的记录,如果是,则提交行为分析单元进行处理,否则丢弃该DNS请求报文以促使用户重传该DNS请求报文,并将该DNS请求报文携带的DNS会话信息以及用户行为参数作为一条记录保存到DNS会话表中,其中所述DNS会话信息至少包括目的域名以及源IP地址;行为分析单元,用于从DNS会话表中获取与当前DNS请求报文携带的会话信息对应的用户行为参数,并判断当前DNS请求报文携带的用户行为参数与DNS会话表中记录的用户行为参数之间的差异是否符合正常用户行为标准,如果是则确定该DNS请求报文合法,否则确定该DNS请求报文不合法,并丢弃该DNS请求报文。 |
| 地址 |
310000 浙江省杭州市滨江区通和路68号中财大厦6层 |
