[发明专利]对恶意域名和非法访问的控制方法及装置

摘要

本发明涉及网络安全技术领域，具体地说是一种对恶意域名和非法访问的控制方法及装置，其特征在于所述中间件包括内核态协议栈数据包拦截模块、用户态DNS解析模块、控制策略模块、黑/白名单索引数据库模块、黑/白名单匹配模块以及日志模块，其中所述内核态协议栈数据包拦截模块位于用户态DNS解析模块的前端，控制策略模块与用户态DNS解析模块的输出相连，控制策略模块的输出端与日志模块相连接，控制策略模块与黑/白名单匹配模块相连接，黑/白名单匹配模块与黑/白名单索引数据库模块相连接，本发明与现有技术相比，从通用性、可用性、可控性、安全性、及时性和有效性等多个角度提高域名服务的安全性。

主权项

一种对恶意域名和非法访问的控制方法，其特征在于包括以下步骤：步骤1：建立黑/白名单索引数据库，包含域名黑/白名单和IP黑/白名单索引数据库，其中IP黑/白名单包括非法访问者IP地址和响应包资源记录中出现的IP地址；步骤2：内核态协议栈捕获拦截模块获取服务器的DNS请求与应答数据流，并对其进行解析，获取包中的目的IP、请求域名、首部中的标识字段、以及资源记录中的IP地址；步骤3：根据步骤2解析DNS数据包的结果，得到包的查询类型，根据不同的类型，转入各自的控制分支，类型包括A记录、A4记录、A6记录、反向解析；步骤4：黑/白名单匹配，不同查询类型的DNS数据包都需使用黑/白名单管理模块进行规则的匹配，范围包括DNS请求包的源IP地址与其要请求解析的域名、DNS应答包的域名与其解析出的IP地址；步骤5：根据步骤4中的查询结果对域名或IP地址进行控制和处理，如果查询结果是请求解析域名的主机IP、请求域名以及资源记录中的IP地址均不在黑名单中或者其中任一在白名单中，则将数据包交由内核态协议栈自动处理，如果查询结果为请求解析域名的主机IP地址、请求域名以及资源记录中的IP地址中有一项在黑名单中，则将应答包交由控制策略模块进行控制处理；步骤6：将上述控制过程中生成的日志文件进行统计分析后，将统计分析结果存入DNS数据库，与DNS数据库相连接的管理端实现对系统的管理和结果的查看。