(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(10)申请公布号CNCN103581363103581363A(43)申请公布日2014.02.12(21)申请号201310618133.0(22)申请日2013.11.29(71)申请人杜跃进地址264209山东省威海市文化西路2号(72)发明人张兆心许海燕李挺闫健恩迟乐军李斌(74)专利代理机构威海科星专利事务所37202代理人初姣姣(51)Int.Cl.H04L29/12(2006.01)H04L29/06(2006.01)权权利要求书2页利要求书2页说明书8页说明书8页附图7页附图7页(54)发明名称对恶意域名和非法访问的控制方法及装置(57)摘要本发明涉及网络安全技术领域，具体地说是一种对恶意域名和非法访问的控制方法及装置，其特征在于所述中间件包括内核态协议栈数据包拦截模块、用户态DNS解析模块、控制策略模块、黑/白名单索引数据库模块、黑/白名单匹配模块以及日志模块，其中所述内核态协议栈数据包拦截模块位于用户态DNS解析模块的前端，控制策略模块与用户态DNS解析模块的输出相连，控制策略模块的输出端与日志模块相连接，控制策略模块与黑/白名单匹配模块相连接，黑/白名单匹配模块与黑/白名单索引数据库模块相连接，本发明与现有技术相比，从通用性、可用性、可控性、安全性、及时性和有效性等多个角度提高域名服务的安全性。CN103581363ACN103586ACN103581363A权利要求书1/2页1.一种对恶意域名和非法访问的控制方法，其特征在于包括以下步骤：步骤1：建立黑/白名单索引数据库，包含域名黑/白名单和IP黑/白名单索引数据库，其中IP黑/白名单包括非法访问者IP地址和响应包资源记录中出现的IP地址；步骤2：内核态协议栈捕获拦截模块获取服务器的DNS请求与应答数据流，并对其进行解析，获取包中的目的IP、请求域名、首部中的标识字段、以及资源记录中的IP地址；步骤3：根据步骤2解析DNS数据包的结果，得到包的查询类型，根据不同的类型，转入各自的控制分支，类型包括A记录、A4记录、A6记录、反向解析；步骤4：黑/白名单匹配，不同查询类型的DNS数据包都需使用黑/白名单管理模块进行规则的匹配，范围包括DNS请求包的源IP地址与其要请求解析的域名、DNS应答包的域名与其解析出的IP地址；步骤5：根据步骤4中的查询结果对域名或IP地址进行控制和处理，如果查询结果是请求解析域名的主机IP、请求域名以及资源记录中的IP地址均不在黑名单中或者其中任一在白名单中，则将数据包交由内核态协议栈自动处理，如果查询结果为请求解析域名的主机IP地址、请求域名以及资源记录中的IP地址中有一项在黑名单中，则将应答包交由控制策略模块进行控制处理；步骤6：将上述控制过程中生成的日志文件进行统计分析后，将统计分析结果存入DNS数据库，与DNS数据库相连接的管理端实现对系统的管理和结果的查看。2.根据权利要求1所述的一种对恶意域名和非法访问的控制方法，其特征在于步骤1所述建立黑/白名单索引数据库具体包括以下步骤：步骤1-1：通过管理界面直接输入或采用文件批量，将待更新的域名或IP输入管理端的黑/白名单更新模块，管理界面将配置好的规则数据插入到DNS数据库；步骤1-2：中间件启动线程，每隔1秒轮询查询DNS数据库，如果该数据库有规则更新，则提交给中间件，并在内存中建立B树进行存储，并把每次更新的条目加入。3.根据权利要求1所述的一种对恶意域名和非法访问的控制方法，其特征在于步骤4具体包括以下步骤：步骤4-1：首先判断拦截到的数据包是DNS请求包还是应答包，如果是应答包，则转步骤e；否则首先检查该请求包的源IP地址是否在IP白名单中，（1）根据IP地址生成两个整形哈希关键字Key1和Key2，用Key1对哈希桶数MAXBUCKETS取模，以此值为索引找到哈希表中的对应项，如果对应的B树不为空，以Key2为关键字查询B树，寻找其相关索引项；（2）找到索引项后，给定IP地址与索引项对应列表中的IP地址一一比较以判断是否匹配。若存在一个完全匹配的IP地址，则对该包放行，中间件不对该包进行控制；否则转步骤4-2；步骤4-2：使用如步骤4-1的方法在IP黑名单中查找，若找到一个完全匹配的IP地址，则返回存在标志和该项的控制规则，转到步骤5对该DNS请求包进行控制和处理，否则返回不存在标志；步骤4-3：如果步骤4-2返回不存在标志，则检查中文、英文域名开关是否打开，如果打开，则判断该DNS请求包所请求域名是否在域名白名单中，具体包括：（1）根据输入的请求域名生成两个整形哈希关键字Key1和Key2，用Key1对哈希桶数MAXBUCKETS取模，以此值为索引找到哈希表中的对应项，如果对应的B树不为空