[发明专利]一种域名过滤系统及方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种域名过滤系统及方法。

背景技术

随着互联网的迅猛发展，互联网域名(DNS)注册和使用数量也飞速增 长，2007年，我国互联网域名注册已达到1,193万个，年增长率达到190.4％。 与此同时，域名也逐渐成为黑客利用的主要工具。利用域名，黑客可以灵 活、隐蔽地实施大规模网页挂马、僵尸网络控制、网络仿冒等恶意活动， 例如，黑客能够利用网站操作系统或网络服务程序的安全漏洞，非法获取 网络服务器的控制权限，从而篡改网页内容，窃取重要内部数据，更为严 重的则是在网页中植入恶意代码(俗称“网页挂马”)，使得更多网站访问 者受到侵害。为了有效遏制或消除诸如网页挂马、僵尸网络控制、网络仿 冒等恶意侵害行为，一种传统的方法是利用IP(网络协议)地址对恶意行为 进行监测和控制，然而，随着Fast-Flux等动态域名解析技术的出现和广泛 应用，基于IP的传统控制方法对恶意行为的追查和阻断变得愈来愈困难， 甚至无能为力。因此，采用基于域名的过滤方法对有效遏制恶意行为的侵 害具有重要意义和实际价值。

目前，现有的域名过滤技术主要采用基于域名请求数据包的方法。该 类方法通过捕获域名请求数据包，从中获得所要解析的域名，然后根据指 定规则决定该域名是否需要过滤。该类方法及其对应的过滤系统具有较好 的实时性，但也存在一定的缺点。在一种实现方法中，为了达到较好的过 滤效果，往往需要在本地或边界域名服务器处部署单独的过滤设备。此类 方法需要增加大量的额外过滤设备，因此具有部署费用昂贵的缺点。在另 一种实现方法中，可以在本地或边界域名服务器上增加域名过滤模块来实 现过滤，但此类方法需要修改现有运行中的域名服务器的软件程序，因此 在实践中很难实施，后续维护成本也很大，并且降低了现有系统的稳定性 和处理性能。此外，上述两种实现方法在过滤过程中，需要实时捕获和处 理大量的域名请求数据包，对过滤系统自身的处理性能提出了更高的要 求，增加了域名请求的延迟。

发明内容

本发明的目的是克服现有的域名过滤系统部署费用高或用于实现过 滤的域名服务器维护成本大、稳定性差的缺点，从而提供一种易部署、易 维护、过滤效率高的域名过滤系统。

为了实现上述目的，本发明提供了一种域名过滤系统，包括安装有过 滤代理子系统的用于实现域名过滤的域名服务器，以及用于生成过滤命令 的过滤中心子系统；其中，

所述的过滤中心子系统根据用户输入的过滤信息以及所述过滤代理 子系统的状态信息，为所述过滤代理子系统生成相应的过滤命令；

所述域名服务器中的过滤代理子系统解析并执行所接收到的过滤命 令，根据所述过滤命令的内容修改所述域名服务器中的域名配置文件，所 述域名服务器根据所述域名配置文件的内容过滤所要过滤的域名；

所述过滤信息包括与过滤操作相关的过滤参数、以及用户所希望过滤 的黑名单域名；

所述黑名单域名包括域名信息，以及将该域名及其所有子域和主机名 所要解析的IP地址；

所述所要解析的IP地址包括用于表示本机的地址或其它不正确的IP 地址。

上述技术方案中，所述域名中心子系统包括配置模块、版本管理模块、 版本库、代理状态库、增量更新模块以及第一通信模块；其中，

所述的配置模块接收用户所输入的过滤信息，然后将所得到的过滤信 息发送到所述的版本管理模块；所述的版本管理模块对所接收到的所述过 滤信息进行去重去包含处理，然后将结果保存到所述的版本库并发送到所 述的增量更新模块；所述的增量更新模块根据所收到的过滤信息以及保存 在所述代理状态库中的过滤代理子系统的状态信息，为所述过滤代理子系 统生成相应的过滤命令；所述过滤命令通过所述第一通信模块发送出去。

上述技术方案中，所述的过滤代理子系统包括第二通信模块以及过滤 命令执行模块；其中，

所述第二通信模块接收所述过滤命令，将接收到的所述过滤命令发送 到所述过滤命令执行模块；所述过滤命令执行模块执行所述过滤命令，根 据所述过滤命令的执行结果对所在域名服务器的域名配置文件进行修改。