[发明专利]用于过滤网络流量的方法和系统

说明书

背景技术

因特网正日益成为支持各种形式和等级的通信的计算机全球化网络。例如，在万维网（WWW）上，信息可被呈现在通常称为网站的世界范围可利用的页面上。因特网也借助电邮、即时短信和IP语音（VoIP）通信支持终端用户之间的一对一通信。 

因为因特网的开放特性，涉及网络通信的安全问题已经暴露。举个例子，黑客已试图借助因特网打断并失效计算机系统并经常成功。该危害的示例是分配式拒绝服务（DDoS）攻击，其中多个受到损害的系统清除目标系统（一般是一个或多个网络服务器）的带宽或资源。除了恶意网络攻击，网络路由数据中的错误会导致不被希望的网络流量。例如，具有误配置DNS服务器的普及站点可将流量指向非预期的目标或顶级域（TLD）操作。

为了防止网络上的恶意攻击，已利用分组过滤器增加网络安全性并降低不希望的流量。过滤器可用于通过拒绝分组经过网络接口而限制某种种类的通信。分组过滤器的示例是使用从德州休斯顿的Portmasters.com获得的PortMaster网络接口的过滤器。用于限制网络流量的过滤器由Portmaster网络接口应用。当分组试图经过网络接口时，由系统操作员产生的过滤器分析分组中的报头信息并允许分组经过网络接口或使得该分组被丢弃。

尽管当前可用的系统提供了用于过滤经过网络传送的流量的功能，但本领域需要过滤网络流量的改进方法和系统。

发明概述

本发明总体上涉及数据网络。更具体而言，本发明涉及用于过滤网络流量的方法和系统。仅仅通过示例，本发明已应用于将分组过滤器分配到处理引擎的系统，所述处理引擎向因特网流量应用分组过滤器，在有限时间段阻止预定百分比的因特网流量。该方法和技术可应用于因特网协议（IP）服务运营商，包括DNS查询流量、WHOIS查询流量，OCSP查询，等等。

根据本发明实施例，提供一种过滤多个DNS查询的方法。每个DNS查询包括查询名称和资源记录类型。该方法包括：确定包括域名、过滤类型和节流率的过滤规则并形成包括过滤规则的过滤文件。该方法还包括：将所述过滤文件从服务器传送到多个过滤代理，将所述过滤文件从所述多个过滤代理的每个传送到一个或多个处理引擎，并在一个或多个处理器之一接收所述多个DNS查询。该方法进一步包括：对于所述多个DNS查询的子集确定所述域名和所述查询名称之间以及所述资源记录类型和所述过滤类型之间的匹配。所述预定百分比等于所述节流率。

根据本发明的另一实施例，提供一种过滤网络请求的方法。该方法包括：确定包括过滤标准、过滤模式和节流率的过滤规则并接收网络请求；分析所接收的网络请求。该方法还包括：确定所述所接收的网络请求的部分中第一字段匹配所述过滤标准并阻止预定百分比的所述网络请求的部分。所述预定百分比等于所述节流率。

根据本发明的具体实施例，提供一种存储多条指令用于控制数据处理器过滤网络请求的计算机可读介质。所述多条指令包括：使得所述数据处理器确定包括过滤标准、过滤模式和节流率的指令以及使得所述数据处理器接收网络请求的指令。所述多条指令还包括：使得所述数据处理器分析所接收的网络请求的指令，和使得所述数据处理器确定所述所接收的网络请求的部分中第一字段匹配所述过滤标准的指令，以及使得所述数据处理器阻止预定百分比的所述网络请求的部分的指令。所述预定百分比等于所述节流率。

通过本发明可以实现相对于常规技术的许多优势。例如，本发明实施例提供用于快速高效地将分组过滤器分配到位于多个远程站点的多个处理引擎的方法和系统。此外，实施例提供的分组过滤器能使系统操作员根据多种网络标准完全地或部分地阻止恶意网络流量。而且，分组过滤器的自动期满能使远程站点在预定时间段之后返回常规操作，即使解析站点和中央数据中心之间的联系已丢失。

此外，为了确保分组过滤器具有所需效果且没有不期望的副作用，过滤测试模式允许操作员显现过滤器的效果且不影响网络服务。该过滤方法通过在服务层提供过滤而提供显著的其他优势。而且，它在多个硬件结构和操作系统中提供了一致的过滤接口。将结合如下文本和附图详细描述本发明的这些和其他实施例，以及许多其优势和特点。

附图简述

图1是用于根据本发明实施例分配网络流量过滤规则的系统的简化示意图；

图2是根据本发明实施例的过滤文件语法的简化示意；

图3是示出根据本发明实施例过滤多个DNS查询的方法的简化流程图；

图4是示出根据本发明实施例过滤网络分组的方法的简化流程图；

图5是用于根据本发明实施例创建分组过滤器的简化编程接口；