对恶意域名和非法访问的控制方法及装置制造方法及图纸

本发明专利技术涉及网络安全技术领域，具体地说是一种对恶意域名和非法访问的控制方法及装置，其特征在于所述中间件包括内核态协议栈数据包拦截模块、用户态DNS解析模块、控制策略模块、黑/白名单索引数据库模块、黑/白名单匹配模块以及日志模块，其中所述内核态协议栈数据包拦截模块位于用户态DNS解析模块的前端，控制策略模块与用户态DNS解析模块的输出相连，控制策略模块的输出端与日志模块相连接，控制策略模块与黑/白名单匹配模块相连接，黑/白名单匹配模块与黑/白名单索引数据库模块相连接，本发明专利技术与现有技术相比，从通用性、可用性、可控性、安全性、及时性和有效性等多个角度提高域名服务的安全性。

【技术实现步骤摘要】
对恶意域名和非法访问的控制方法及装置
本专利技术涉及网络安全
，具体地说是一种通过将安全域名服务器中间件部署在运行DNS服务器软件(BIND 9)的服务器上，实现对恶意域名访问进行高效的阻断与隔离，同时，也对非法访问者进行有效的控制的对恶意域名和非法访问的控制方法及装置。
技术介绍
DNS即域名系统(Domain Name System),是逐级授权的分布式数据查询系统,主要用于完成域名到IP地址的翻译转换功能。绝大多数互联网通信都必须先通过域名系统完成域名到IP地址的寻址转换，因此域名系统成为整个互联网能够正常运作的关键基础设施之一 O目前，DNS成为网络安全的最薄弱环节。网络诈骗、网络窃密等这些高科技犯罪手段日益引起了社会的关注。对此，政府部门相继完善了有关利用计算机实施犯罪的法律法规，同时相关的技术管理部门也采取了多种措施从各个角度来提升网络的安全性，如增强网络中数据传送保密性，严厉打击恶意网站，对网络的流量进行实时监控等等。尽管如此，网络中还是存在一些非法用户意图利用互联网络盗取他人信息或财产，以及利用一些恶意网站发布虚假广告，这些行为对正常使用互联网络的用户的个人信息与经济财产构成了极大的威胁。因此，现如今迫切需要一种切实有效的系统来阻断与隔离非法用户对网络的攻击，以及避免互联网用户登录到恶意的网站上，以避免个人财产遭到威胁。现有技术中，针对恶意域名的处理技术主要包括四种:(I)利用域名解析软件:目前95%以上的域名解析软件使用BIND，BIND自带黑名单过滤功能，但存在如下缺陷:黑名单更新需要停止域名解析服务，极大的影响系统的可用性；当数据量很大时影响系统的性能，并且黑名单的数量有限。(2)面向DNS过滤的网关系统:贝尔实验室的Cheswick等人提出了一种面向DNS过滤的安全网关系统，以防火墙的形式运行在网络中，缺点是使用过滤规则进行处理，速度和效率较低，当过滤域名较多时，会大大降低域名解析服务的可用性。(3)具有安全功能的DNS系统，如OpenDNS，通过其收集的恶意网站列表实现恶意网站的过滤，虽然提高了安全性，但其适用范围小，用户量非常少，通用性差。(4)路由器级DNS安全解决方案:通过在路由器级别进行DNS的过滤和控制等功能,如国外的Cisco IOS ContentFiltering,提供针对恶意域名和恶意Web访问的过滤和控制。缺陷:只能针对特定的接入区域进行相应的配置型过滤，但不能针对DNS服务器进行针对有效的安全过滤，同时由于大多采用基于路由器过滤规则的处理方式，不适合处理大规模海量的黑白名单过滤业务，无法满足实时性的处理要求。(5)安全域名服务器技术在BIND源码上进行了修改，破环了域名服务器的完整性。上述现有的恶意域名控制技术在可用性、通用性和可控性等方面都存在一定的问题，因此急需一种既不影响域名解析正常服务，又能保证安全的控制方法。
技术实现思路
本专利技术针对现有技术中存在的缺点和不足，提出了一种通过将中间件部署在运行DNS服务器软件(BIND 9)的服务器上，实现对恶意域名访问进行高效的阻断与隔离，同时，也对非法访问者进行有效的控制的对恶意域名和非法访问的控制方法及装置。本专利技术可以通过以下措施达到: 一种对恶意域名和非法访问的控制方法，其特征在于包括以下步骤: 步骤1:建立黑/白名单索引数据库，包含域名黑/白名单和IP黑/白名单索引数据库，其中IP黑/白名单包括非法访问者IP地址和响应包资源记录中出现的IP地址； 步骤2:内核态协议栈捕获拦截模块获取服务器的DNS请求与应答数据流，并对其进行解析，获取包中的目的IP、请求域名、首部中的标识字段、以及资源记录中的IP地址； 步骤3:根据步骤2解析DNS数据包的结果，得到包的查询类型，根据不同的类型，转入各自的控制分支，类型包括A记录、A4记录、A6记录、反向解析； 步骤4:黑/白名单匹配，不同查询类型的DNS数据包都需使用黑/白名单管理模块进行规则的匹配，范围包括DNS请求包的源IP地址与其要请求解析的域名、DNS应答包的域名与其解析出的IP地址； 步骤5:根据步骤4中的查询结果对域名或IP地址进行控制和处理，如果查询结果是请求解析域名的主机IP、请求域名以及资源记录中的IP地址均不在黑名单中或者其中任一在白名单中，则将数据包交由内核态协议栈自动处理，如果查询结果为请求解析域名的主机IP地址、请求域名以及资源记录中的IP地址中有一项在黑名单中，则将应答包交由控制策略模块进行控制处理； 步骤6:将上述控制过程中生成的日志文件进行统计分析后，将统计分析结果存入DNS数据库，与DNS数据库相连接的管理端实现对系统的管理和结果的查看。本专利技术步骤I所述建立黑/白名单索引数据库具体包括以下步骤: 步骤1-1:通过管理界面直接输入或采用文件批量，将待更新的域名或IP输入管理端的黑/白名单更新模块，管理界面将配置好的规则数据插入到DNS数据库； 步骤1-2:中间件启动线程，每隔I秒轮询查询DNS数据库，如果该数据库有规则更新，则提交给中间件，并在内存中建立B树进行存储，并把每次更新的条目加入。本专利技术步骤4具体包括以下步骤: 步骤4-1:首先判断拦截到的数据包是DNS请求包还是应答包，如果是应答包，则转步骤4-5 ;否则首先检查该请求包的源IP地址是否在IP白名单中，(I)根据IP地址生成两个整形哈希关键字Keyl和Key2，用Keyl对哈希桶数MAXBUCKETS取模，以此值为索引找到哈希表中的对应项，如果对应的B树不为空，以Key2为关键字查询B树，寻找其相关索引项；(2)找到索引项后，给定IP地址与索引项对应列表中的IP地址一一比较以判断是否匹配。若存在一个完全匹配的IP地址，则对该包放行，中间件不对该包进行控制；否则转步骤 4-2 ； 步骤4-2:使用如步骤4-1的方法在IP黑名单中查找，若找到一个完全匹配的IP地址，则返回存在标志和该项的控制规则，转到步骤5对该DNS请求包进行控制和处理，否则返回不存在标志； 步骤4-3:如果步骤4-2返回不存在标志，则检查中文、英文域名开关是否打开，如果打开，则判断该DNS请求包所请求域名是否在域名白名单中，具体包括:(I)根据输入的请求域名生成两个整形哈希关键字Keyl和Key2，用Keyl对哈希桶数MAXBUCKETS取模，以此值为索引找到哈希表中的对应项，如果对应的B树不为空，以Key2为关键字查询B树，寻找其相关索引项；(2)找到索引项后，给定域名与索引项对应列表中的域名一一比较以判断其是否匹配，若存在一个完全匹配的域名，则该包放行，中间件不对其进行控制；否则转步骤4-4 ； 步骤4-4:使用如步骤4-3的方法在域名黑名单中查找，若找到一个完全匹配的域名，则转到步骤5对该DNS请求包进行控制和处理，否则对该包放行，中间件不对其进行控制；步骤4-5:如果拦截到的数据包是DNS应答包，则需判断应答包的目的IP地址、域名和资源记录中的IP地址是否在相应的白名单和黑名单中，具体匹配过程与步骤4-1至步骤4-4相同，即首先判断应答包的目的IP地址是否在白名单和黑名单中；如果没有则判断应答包的域名是否在白名单和黑名单中；如果没有则要判断应答包资本文档来自技高网...

【技术保护点】
一种对恶意域名和非法访问的控制方法，其特征在于包括以下步骤：步骤1：建立黑/白名单索引数据库，包含域名黑/白名单和IP黑/白名单索引数据库，其中IP黑/白名单包括非法访问者IP地址和响应包资源记录中出现的IP地址；步骤2：内核态协议栈捕获拦截模块获取服务器的DNS请求与应答数据流，并对其进行解析，获取包中的目的IP、请求域名、首部中的标识字段、以及资源记录中的IP地址；步骤3：根据步骤2解析DNS数据包的结果，得到包的查询类型，根据不同的类型，转入各自的控制分支，类型包括A记录、A4记录、A6记录、反向解析；步骤4：黑/白名单匹配，不同查询类型的DNS数据包都需使用黑/白名单管理模块进行规则的匹配，范围包括DNS请求包的源IP地址与其要请求解析的域名、DNS应答包的域名与其解析出的IP地址；步骤5：根据步骤4中的查询结果对域名或IP地址进行控制和处理，如果查询结果是请求解析域名的主机IP、请求域名以及资源记录中的IP地址均不在黑名单中或者其中任一在白名单中，则将数据包交由内核态协议栈自动处理，如果查询结果为请求解析域名的主机IP地址、请求域名以及资源记录中的IP地址中有一项在黑名单中，则将应答包交由控制策略模块进行控制处理；步骤6：将上述控制过程中生成的日志文件进行统计分析后，将统计分析结果存入DNS数据库，与DNS数据库相连接的管理端实现对系统的管理和结果的查看。...

【技术特征摘要】
1.一种对恶意域名和非法访问的控制方法，其特征在于包括以下步骤: 步骤1:建立黑/白名单索引数据库，包含域名黑/白名单和IP黑/白名单索引数据库，其中IP黑/白名单包括非法访问者IP地址和响应包资源记录中出现的IP地址； 步骤2:内核态协议栈捕获拦截模块获取服务器的DNS请求与应答数据流，并对其进行解析，获取包中的目的IP、请求域名、首部中的标识字段、以及资源记录中的IP地址； 步骤3:根据步骤2解析DNS数据包的结果，得到包的查询类型，根据不同的类型，转入各自的控制分支，类型包括A记录、A4记录、A6记录、反向解析； 步骤4:黑/白名单匹配，不同查询类型的DNS数据包都需使用黑/白名单管理模块进行规则的匹配，范围包括DNS请求包的源IP地址与其要请求解析的域名、DNS应答包的域名与其解析出的IP地址； 步骤5:根据步骤4中的查询结果对域名或IP地址进行控制和处理，如果查询结果是请求解析域名的主机IP、请求域名以及资源记录中的IP地址均不在黑名单中或者其中任一在白名单中，则将数据包交由内核态协议栈自动处理，如果查询结果为请求解析域名的主机IP地址、请求域名以及资源记录中的IP地址中有一项在黑名单中，则将应答包交由控制策略模块进行控制处理； 步骤6:将上述控制过程中生成的日志文件进行统计分析后，将统计分析结果存入DNS数据库，与DNS数据库相连接的管理端实现对系统的管理和结果的查看。2.根据权利要求1所述的一种对恶意域名和非法访问的控制方法，其特征在于步骤I所述建立黑/白名单索引数据库具体包括以下步骤: 步骤1-1:通过管理界面直·接输入或采用文件批量，将待更新的域名或IP输入管理端的黑/白名单更新模块，管理界面将配置好的规则数据插入到DNS数据库； 步骤1-2:中间件启动线程，每隔I秒轮询查询DNS数据库，如果该数据库有规则更新，则提交给中间件，并在内存中建立B树进行存储，并把每次更新的条目加入。3.根据权利要求1所述的一种对恶意域名和非法访问的控制方法，其特征在于步骤4具体包括以下步骤: 步骤4-1:首先判断拦截到的数据包是DNS请求包还是应答包，如果是应答包，则转步骤e ;否则首先检查该请求包的源IP地址是否在IP白名单中，(I)根据IP地址生成两个整形哈希关键字Keyl和Key2，用Keyl对哈希桶数MAXBUCKETS取模，以此值为索引找到哈希表中的对应项，如果对应的B树不为空，以Key2为关键字查询B树，寻找其相关索引项；(2)找到索引项后，给定IP地址与索引项对应列表中的IP地址一一比较以判断是否匹配。若存在一个完全匹配的IP地址，则对该包放行，中间件不对该包进行控制；否则转步骤4-2 ； 步骤4-2:使用如步骤4-1的方...

【专利技术属性】
技术研发人员：张兆心，许海燕，李挺，闫健恩，迟乐军，李斌，
申请(专利权)人：杜跃进，
类型：发明
国别省市：