The invention provides an access control and virus attack defense method and system, which can analyze matched DNS requests, discard them directly if they are abnormal, and continue to operate; analyze the passed DNS requests to determine whether there are viruses and illegal attacks, and through analysis, block viruses and attacks and locate them. If DNS request is suspicious, it is delivered to the honeypot system. The honeypot system interacts through the pre-customized interaction protocol. The honeypot system returns a honeypot IP address. The honeypot system traces back to the honeypot system. If the terminal attacks the IP address of the honeypot, it can be judged that the terminal has been infected with virus or Trojan horse, and the system will deal with it accordingly. The invention can comprehensively solve the security problem based on the DNS protocol.
【技术实现步骤摘要】
基于DNS协议的访问控制和病毒防御方法和系统
本专利技术涉及网络安全,特别是涉及一种基于DNS协议的访问控制和病毒防御系统。
技术介绍
DNS是域名系统(DomainNameSystem)的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,在Internet上域名与IP地址之间是一一对应的,DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库。2010年1月12日07:00到12时左右,百度曾遭遇顶级域域名baidu.com及旗下二级域名访问出现异常,在较长时间全部被解析到其他地址,导致全球多出用户不用正常访问百度。至此很多安全厂商将DDOS攻击防御加入到各自产品功能中,早些时候采用MAC的地址与IP进行绑定,后来有厂商专门推出了抗DDOS的设备,如Arbor、阿里云DDOS高仿、云顿太极抗D等等。针对DNS协议,目前市场上解决方案大多数是关注与DDoS的攻击,并针对DDoS攻击提供相应的解决方案,传统的设备是将清洗已经到达企业服务器至企业出口交换机或路由器这之间的数据流,阿里云和云顿是采用将这些流量转移到高仿的IP达到清洗的目的。现有的技术方案要么是将非法流量进行转移,要么就只能保证企业主交换机或路由器到web服务器在DDOS攻击时这段路径正常访问,并没有从根本上去解决利用DNS协议进行恶意代码和攻击的整条链路的安全性的防范与 ...
【技术保护点】
1.一种基于DNS协议的访问控制和病毒防御方法,其特征在于,所述方法包括如下步骤:(1)终端发送DNS请求;(2)所述请求依据设置的策略经过黑白名单匹配,若匹配则继续;若不匹配,丢弃;(3)对于匹配的DNS请求继续进行分析,记录请求发起的时间、源IP地址、查询的域名,并进行关联分析,根据每个域名解析频率、内网网段参与解析同一域名的范围、常见域名和非常见域名比对进行判断,若异常则直接丢弃,若通过继续操作;(4)对所述步骤(3)通过的DNS请求进行分析,判断是否存在病毒和非法攻击行为,通过分析,阻断病毒和攻击并定位他们的IP地址,返回一个特殊IP地址,并将其域名记录下来,加入到恶意域名解析库;(5)若DNS请求可疑,交付给蜜罐系统,蜜罐系统通过事先已经定制好的交互协议,进行交互,蜜罐系统返回一个蜜罐IP地址,蜜罐系统进行追溯,若终端对蜜罐IP地址进行攻击,则判断该终端已经感染了病毒或者木马,系统进行相应的处理。
【技术特征摘要】
1.一种基于DNS协议的访问控制和病毒防御方法,其特征在于,所述方法包括如下步骤:(1)终端发送DNS请求;(2)所述请求依据设置的策略经过黑白名单匹配,若匹配则继续;若不匹配,丢弃;(3)对于匹配的DNS请求继续进行分析,记录请求发起的时间、源IP地址、查询的域名,并进行关联分析,根据每个域名解析频率、内网网段参与解析同一域名的范围、常见域名和非常见域名比对进行判断,若异常则直接丢弃,若通过继续操作;(4)对所述步骤(3)通过的DNS请求进行分析,判断是否存在病毒和非法攻击行为,通过分析,阻断病毒和攻击并定位他们的IP地址,返回一个特殊IP地址,并将其域名记录下来,加入到恶意域名解析库;(5)若DNS请求可疑,交付给蜜罐系统,蜜罐系统通过事先已经定制好的交互协议,进行交互,蜜罐系统返回一个蜜罐IP地址,蜜罐系统进行追溯,若终端对蜜罐IP地址进行攻击,则判断该终端已经感染了病毒或者木马,系统进行相应的处理。2.如权利要求1所述的所述一种基于DNS协议的访问控制和病毒防御方法,其特征在于,所述步骤(2)中对于不匹配的请求,返回一个特殊的IP地址。3.如权利要求2所述的所述一种基于DNS协议的访问控制和病毒防御方法,其特征在于,所述特殊的IP地址是本地回环地址。4.如权利要求2所述的所述一种基于DNS协议的访问控制和病毒防御方法,其特征在于,进一步地,所述特殊的IP地址是一个空地址。5.如权利要求2所述的所述一种基于DNS协议的访问控制和病毒防御方法,其特征在于,所述特殊的IP地址是蜜罐地址。6.如权利要求1所述的所述一种基于DNS协议的访问控制和病毒防御方法,其特征在于,所述步骤(4)中,所述非...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。