(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113542292A(43)申请公布日2021.10.22(21)申请号202110827024.4(22)申请日2021.07.21(71)申请人江南信安（北京）科技有限公司地址100088北京市海淀区花园路7号新时代大厦11层(72)发明人白锦龙蔡朋力李海亮(74)专利代理机构北京知呱呱知识产权代理有限公司11577代理人孙志一(51)Int.Cl.H04L29/06(2006.01)H04L29/12(2006.01)权利要求书2页说明书6页附图2页(54)发明名称基于DNS和IP信誉数据的内网安全防护方法及系统(57)摘要基于DNS和IP信誉数据的内网安全防护方法及系统，当DNS请求到达内网防护设备时，查询内网防护设备中集成的DNS缓存：若在内网防护设备的DNS缓存中查询到请求的DNS记录，由内网防护设备对终端用户进行DNS应答；若在内网防护设备的DNS缓存中未查询到请求的DNS记录，将DNS请求转发给DNS服务器；通过内网防护设备接收DNS服务器对DNS请求的域名解析和DNS应答，当DNS应答经过内网防护设备时，对DNS应答报文中的每一个服务器IP地址资源记录，根据IP信誉值查询结果删除或保留对应的服务器IP地址。本发明解决传统内网安全防护准确性低、性能及健壮性差的问题。CN113542292ACN113542292A权利要求书1/2页1.基于DNS和IP信誉数据的内网安全防护方法，其特征在于，包括以下步骤：通过内网防护设备接收终端用户发起的给定域名的DNS请求，当所述DNS请求到达内网防护设备时，查询所述内网防护设备中集成的DNS缓存：a)若在所述内网防护设备的DNS缓存中查询到请求的DNS记录，由所述内网防护设备对所述终端用户进行DNS应答；b)若在所述内网防护设备的DNS缓存中未查询到请求的DNS记录，将所述DNS请求转发给DNS服务器；通过内网防护设备接收DNS服务器对所述DNS请求的域名解析和DNS应答，当所述DNS应答经过所述内网防护设备时，c)对所述DNS应答报文中的每一个服务器IP地址资源记录，在IP信誉数据库中查询每一个服务器IP地址的IP信誉值，根据IP信誉值查询结果删除或保留对应的服务器IP地址。2.根据权利要求1所述的基于DNS和IP信誉数据的内网安全防护方法，其特征在于，还包括，d)若根据IP信誉值查询结果对DNS应答报文中的每一个服务器IP地址全部删除，则由所述内网防护设备直接对终端用户返回DNS否定应答。3.根据权利要求2所述的基于DNS和IP信誉数据的内网安全防护方法，其特征在于，还包括，e)对保留下来的DNS应答报文中的服务器IP地址资源记录，按照保留下来的服务器IP地址的IP信誉值从高到低排序。4.根据权利要求3所述的基于DNS和IP信誉数据的内网安全防护方法，其特征在于，将保留下来的DNS应答报文更新到所述内网防护设备的DNS缓存中。5.根据权利要求3所述的基于DNS和IP信誉数据的内网安全防护方法，其特征在于，将IP信誉值高的服务器IP地址对终端用户进行优先转发，所述终端用户根据接收的服务器IP地址进行应用服务器访问。6.基于DNS和IP信誉数据的内网安全防护系统，其特征在于，包括：内网防护设备，用于接收终端用户发起的给定域名的DNS请求，当所述DNS请求到达内网防护设备时，查询所述内网防护设备中集成的DNS缓存；若在所述内网防护设备的DNS缓存中查询到请求的DNS记录，由所述内网防护设备对所述终端用户进行DNS应答；DNS服务器，用于若在所述内网防护设备的DNS缓存中未查询到请求的DNS记录时接收所述内网防护设备转发的DNS请求；所述DNS服务器对所述DNS请求的域名解析和DNS应答；所述内网防护设备接收所述DNS应答，内网防护设备对所述DNS应答报文中的每一个服务器IP地址资源记录，在IP信誉数据库中查询每一个服务器IP地址的IP信誉值，根据IP信誉值查询结果删除或保留对应的服务器IP地址。7.根据权利要求6所述的基于DNS和IP信誉数据的内网安全防护系统，其特征在于，若根据IP信誉值查询结果对DNS应答报文中的每一个服务器IP地址全部删除，则由所述内网防护设备直接对终端用户返回DNS否定应答。8.根据权利要求7所述的基于DNS和IP信誉数据的内网安全防护系统，其特征在于，所述内网防护设备对保留下来的DNS应答报文中的服务器IP地址资源记录，按照保留下来的服务器IP地址的IP信誉值从高到低排序。9.根据权利要求8所述的基于DNS和IP信誉数据的内网安全防护系统，其特征在于，所述内网防护设备的DNS缓存对保留下来的DNS应答报文进行更新。10.根据权利要求9所述的基于DNS和IP信誉数据的内网安全防