[发明专利]基于多层级自行调整限速的流量控制安全防护方法

权利要求书

1.基于多层级防御自行调整的DNS安全防护方法，其特征在于：通过多层级自行调整限速防止某一地址段或者对某些域名的查询流量占用太多资源，所述多层级自行调整限速过滤技术实现中，在每一层级别都有不同的过滤策略，不同的过滤策略针对不同的DDoS攻击流量，每一层级别的过滤策略都是一个限速过滤矩阵，DNS请求包依次通过这些限速过滤矩阵做判断，通过的为正常请求包，过滤的为异常的DDoS攻击包；

所述限速过滤矩阵包括：源IP限速过滤矩阵、域名限速矩阵、授信域名过滤矩阵和泛域限速过滤矩阵；

所述源IP限速过滤矩阵判断识别每个源IP的请求是否超过限速阈值，超过的丢弃，具体是将源IP范围划分成各种网段，通过IP网段或单个IP来控制DNS查询；

所述域名限速矩阵判断识别每个域名的请求是否超过限速阈值，超过的丢弃，不同的域名有不同的限速阈值，可进行配置，防止系统遭受单个域名大量DNS请求的流量攻击；

所述授信域名过滤矩阵通过分析一定时间内现网所有的DNS请求应答数据，得到所有应答结果为NoError的域名清单，将这份清单作为可信的域名列表，DNS请求域名在这份可信的列表中的，不做过滤并正常通过；

域名不在这份列表中的DNS查询请求，授信域名过滤矩阵通过聚合分析域名的三级后缀、二级后缀，再做限速过滤；

所述泛域限速过滤矩阵中，如果授信域名列表不全或者不存在，为了应对前缀变化的泛域递归攻击，将通过泛域限速功能进行防护，从域名三级后缀、二级后缀的角度进行聚合统计分析，丢弃递归流量较大的域，在递归性能有限的情况下，保证正常域名的递归；

所述方法还包括矩阵的顺序自行调节技术，所述技术在一定的周期内，统计各个矩阵所丢弃的数据包的数量，并依照数据的大小进行排序，依照这种规则，丢弃数据包越多的矩阵排在最前面，次多的排在第二位，以此类推，丢弃数据包最少的矩阵排在最后一位，在下一个周期内，数据包将按照以上顺序依次经过矩阵的检测，并在周期结束时重新统计各个矩阵所丢弃数据包的情况，并根据这些情况调整矩阵的排位顺序。