[发明专利]一种域名封堵方法和设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种域名封堵方法和设备。

背景技术

现有的不良信息监测系统为二级架构，由大区设备和中央设备构成，其网络架构图如图1所示。

其中，大区设备负责管辖区域下的不良信息监控，大区设备对采集到的数据进行自动识别后(自动识别判定为违规的域名或内容称为中标域名或中标内容)，再进行人工审核判定，并将判定结果为违规(即不良)的域名/URL(Uniform Resource Locator，统一资源定位符)地址以黑名单的形式，通过中央设备上报给流控系统进行封堵。

中央设备负责接收所有大区设备上报的黑名单，并对黑名单内的封堵网址进行汇总和除重，形成全网的封堵黑名单，根据各大区划分并提交的域名/URL地址的归属情况(国内/国际)发送至国内接口流控系统和国际接口流控系统进行封堵，其具体流程如图2所示。其中，

流控系统由中心平台服务器负责接收中央设备发送过来的全网封堵黑名单，收到后会立即下发到各个流控系统上进行全网封堵。目前流控系统根据封堵接口提供国内接口流控系统和国际接口流控系统。现有的流控设备针对所有的域名/URL采用精确匹配的方式进行封堵，设备之间所传送的也是精确域名。即现有系统仅对当前域名进行精确封堵，而其所有不在黑名单中的下级域名或其它同级域名仍能被正常访问。

在实现本发明的过程中，发明人发现现有技术中至少存在以下问题：

1)现有系统对域名进行精确封堵，其所有下级域名或其它同级域名仍能被正常访问，导致虽然上级域名被封堵，不良网站可大量发布下级域名(如通过域名发布器)且这些下级域名可被正常访问，从而逃避封堵。而且，在人工审核平台中，需要浪费大量的资源去审核每一条新中标的疑似不良的下级域名。

2)现有方案的需要流控设备为每个不同的违规域名提供一条黑名单存储空间，不管这些域名之间是上下级关系还是同级关系。目前全球有300万以上的不良网站，且每个网站具有大量的多级域名，如果对这些域名进行一一封堵，不仅占用大量的流控空间，且可能因为流控空间不够而导致系统无法正常工作(当前的空间为30万)。

3)现有方案只针对特定的域名进行封堵，无法根据违规网站中违规域名的特点及相互之间的关联关系对相关的上级域名实施封堵，通过封堵少量的违规域名达到对更多违规域名的封堵目标。造成人工审核及封堵率低下，且对流控系统造成很大的压力。

发明内容

本发明实施例提供一种域名封堵方法和设备，以提高域名封堵的效率和成功率，并节省黑名单记录存储空间。

为了达到上述目的，本发明实施例提供一种域名封堵方法，中央设备对流控系统中存储的黑名单中的域名进行层级划分，根据层级划分后的域名建立域名树，将域名树中的可封堵最亲父域名提交给流控设备进行封堵，并由流控设备将所述黑名单中的可封堵最亲父域名的下级域名删除；其中，同一域名树中，从根节点到叶子节点对应的域名级别依次降低，相邻级别的域名中的高级域名是在低级域名的基础上从后向前截取得到，当域名树中一域名为该域名树中所有黑名单中记录的域名的共同上级域名中级别最低的域名，或一域名为黑名单中记录的域名且该域名为该域名树中其他所有黑名单中记录的域名的共同上级域名，则该域名为该域名树的可封堵最亲父域名，该方法包括：

中央设备接收大区设备发送的域名封堵请求，并获取接收到的域名封堵请求中的域名；

当所述域名不属于已封堵域名时，所述中央设备建立包含该域名的域名树，将该域名树的可封堵最亲父域名提交给流控设备进行封堵，并由流控设备将存储的黑名单中的可封堵最亲父域名的下级域名删除。

本发明实施例提供一种中央设备，包括：

存量域名处理模块，用于对流控设备中存储的黑名单中的域名进行层级划分，根据层级划分后的域名建立域名树，将域名树中的可封堵最亲父域名提交给流控设备封堵，并由流控设备将所述黑名单中的可封堵最亲父域名的下级域名删除；

接收模块，用于接收大区设备发送的域名封堵请求；

处理模块，用于获取所述接收模块接收到的域名封堵请求中的域名，并判断该域名是否属于已封堵域名；当该域名不属于已封堵域名时，向所述存量域名处理模块发送域名树建立请求，由所述存量域名处理模块建立包含该域名的域名树，并确定该域名树的可封堵最亲父域名；

发送设备，用于将该可封堵最亲父域名提交给流控设备进行封堵，并由流控设备将存储的黑名单中的可封堵最亲父域名的下级域名删除；