[发明专利]定位内网中的受控主机的方法、设备及系统

权利要求书

1.一种定位内网中的受控主机的方法，其特征在于，应用于内网的查询设备中，所述方法包括：

生成映射表，所述映射表包括至少一个条目，所述至少一个条目中的每一个条目用于存储内网主机请求访问的域名、所述内网主机的标识信息和所述内网主机的标识替代信息三者之间的对应关系，所述内网主机的标识替代信息用于替代所述内网主机的标识信息，所述内网主机的标识信息用于在内网访问范围内唯一标识所述内网主机；

接收外网的检测设备发送的查询请求，所述查询请求包括：被检测为恶意域名的目标域名和被具有所述目标域名的控制主机控制的受控内网主机的标识替代信息；

根据所述目标域名和所述受控内网主机的标识替代信息，查询所述映射表获取与所述目标域名和所述受控内网主机的标识替代信息对应的所述受控内网主机的标识信息；

向所述检测设备发送所述受控内网主机的标识信息。

2.根据权利要求1所述的方法，其特征在于，所述根据所述目标域名和所述受控内网主机的标识替代信息，查询所述映射表获取与所述目标域名和所述受控内网主机的标识替代信息对应的所述受控内网主机的标识信息，包括：

从所述映射表中查询获取包含所述受控内网主机的标识替代信息的条目；

若查找到一条包含所述受控内网主机的标识替代信息的条目，则从所述查找到的条目中获取内网主机的标识信息作为所述受控内网主机的标识信息；

若查找到至少两条包含所述受控内网主机的标识替代信息的条目，则从所述查找到的条目中选取包含所述目标域名的条目，并从所述选取的条目中获取内网主机的标识信息作为所述受控内网主机的标识信息。

3.根据权利要求1所述的方法，其特征在于，对于任意一台内网主机，所述内网主机的标识替代信息包括：第一业务标识和第二业务标识的组合，其中，所述第一业务标识由所述内网主机随机生成，所述第二业务标识由内网中的域名系统DNS代理服务器随机生成。

4.根据权利要求3所述的方法，其特征在于，所述内网主机的标识信息为所述内网主机的互联网协议IP地址；

所述生成映射表，包括：

接收所述内网主机发送的第一DNS请求报文，其中，所述第一DNS请求报文的源IP地址字段中携带所述内网主机的IP地址、目的IP地址字段中携带DNS代理服务器的IP地址、业务标识字段中携带所述第一业务标识、请求域名字段中携带所述内网主机请求访问的域名；

在所述映射表中添加目标条目，所述目标条目包括：所述内网主机请求访问的域名、所述内网主机的IP地址和所述第一业务标识之间的对应关系；

向所述DNS代理服务器转发所述第一DNS请求报文，以使得所述DNS代理服务器将所述第一DNS请求报文的所述源IP地址字段中携带的所述内网主机的IP地址修改为所述DNS代理服务器的IP地址、将所述目的IP地址字段中携带的所述DNS代理服务器的IP地址修改为DNS服务器的IP地址、将所述业务标识字段中携带的所述第一业务标识修改为所述第二业务标识，得到第二DNS请求报文；

接收所述DNS代理服务器发送的所述第二DNS请求报文；

在所述映射表的所述目标条目中添加所述第二业务标识；

在所述第二DNS请求报文中添加所述第一业务标识，得到第三DNS请求报文；

向外网中的所述DNS服务器发送所述第三DNS请求报文。

5.根据权利要求4所述的方法，其特征在于，所述在所述第二DNS请求报文中添加所述第一业务标识，得到第三DNS请求报文，包括：

在所述第二DNS请求报文的伪资源记录的OPTION-DATA字段中添加所述第一业务标识，得到所述第三DNS请求报文。