[发明专利]用于阻止、检测和/或防止恶意流量的方法和设备

说明书

本公开的实施例涉及用于阻止、检测和/或防止恶意流量的方法和设备。网络设备获得与列入黑名单的域相关联的信息，其包括列入黑名单的域标识符和关联于列入黑名单的域标识符的沉洞服务器标识符。网络设备获得指定关联于列入黑名单的域的匹配标准的一组规则，匹配标准包括用于比较关联于传入分组的分组源网络地址和/或分组目的地网络地址的源网络地址和/或目的地网络地址。该组规则基于匹配标准和传入分组的分组源网络地址和/或分组目的地网络地址的比较结果指定要执行的动作。网络设备接收分组，检查关联于分组的分组源网络地址和/或分组目的地网络地址，比较分组源网络地址和/或分组目的地网络地址与匹配标准，并基于比较的结果来执行动作。

技术领域

本公开的实施例一般涉及网络流量领域，并且更具体地涉及用于阻止、检测和/或防止恶意流量的方法和设备。

背景技术

域名系统(DNS)是被称为互联网协议套件的用于计算机如何在互联网和许多专用网络上交换数据的标准集合内的协议。DNS服务被用来解析与域名相关联的互联网协议(IP)地址。DNS沉洞(DNS sinkholing)可以被用来提供不正确的DNS解析，通过其可以将互联网流量的路径定向到不同的资源(例如，沉洞服务器)而不是允许访问恶意内容或不可访问的内容。DNS沉洞是一种重定向恶意互联网流量使得可以捕获和分析恶意互联网流量的方法。

发明内容

根据一些可能的实现，一种方法可以包括由处理器获得与多个列入黑名单的域相关联的信息，其中信息包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器基于收集与列入黑名单的域标识符相关联的域名系统(DNS)数据来确定托管多个列入黑名单的域的设备的网络地址，以及由处理器在数据结构中存储托管多个列入黑名单的域的设备的网络地址和与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器接收发往与目的地网络地址相关联的目的地设备的一个或多个分组，由处理器比较目的地网络地址和被存储在数据结构中的网络地址，以及由处理器基于比较目的地网络地址和网络地址的结果来执行动作。

根据一些可能的实现，一种方法可以包括由处理器获得与多个列入黑名单的域相关联的信息，其中信息包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器获得多个源网络地址前缀，其中多个源网络地址前缀中的源网络地址前缀与可能攻击者相关联。方法可以包括由处理器接收域名系统(DNS)请求或查询，其中DNS请求包括访问与目的地域标识符相关联的目的地域的请求，以及与从其中接收DNS请求的设备相对应的源网络地址。方法可以包括由处理器确定目的地域标识符对应于列入黑名单的域标识符中的列入黑名单的域标识符，由处理器获得与列入黑名单的域标识符相关联的威胁级别，并且由处理器确定与列入黑名单的域标识符相关联的威胁级别是否满足阈值。方法可以包括由处理器比较源网络地址的前缀和多个源网络地址前缀，并且由处理器基于与列入黑名单的域标识符相关联的威胁级别是否满足阈值的结果以及比较源网络地址的前缀和多个源网络地址前缀的结果来执行动作。

根据一些可能的实现，网络设备可以包括一个或多个存储器，以及被可通信地耦合到一个或多个存储器的一个或多个处理器，用以获得与多个列入黑名单的域相关联的信息，其中信息包括列入黑名单的域标识符和与列入黑名单的域标识符相关联的沉洞服务器标识符。一个或多个处理器可以获得一组规则，其中该组规则指定与多个列入黑名单的域相关联的匹配标准，其中匹配标准包括用于与和传入分组相关联的分组源网络地址和/或分组目的地网络地址相比较的多个源网络地址和/或多个目的地网络地址，并且其中该组规则基于比较匹配标准和针对传入分组的分组源网络地址和/或分组目的地网络地址的结果来指定要执行的动作。一个或多个处理器可以接收一个或多个分组，检查与一个或多个分组相关联的分组源网络地址和/或分组目的地网络地址，将分组源网络地址和/或分组目的地网络地址与匹配标准比较，并基于比较分组源网络地址和/或分组目的地网络地址与由该组规则指定的匹配标准的结果来执行动作。

附图说明

图1A-图1C是本文所描述的示例实现的图。