[发明专利]一种安全域名服务器及基于此的恶意域名监控系统和方法

权利要求书

1.一种安全域名服务器，包括获取解析模块、正常解析模块，其特征在于还设有黑名单查询模块、黑名单索引数据库、控制策略模块以及日志模块，其中所述获取解析模块与黑名单查询模块相连接，黑名单查询模块与黑名单索引数据库建立通信，黑名单查询模块的输出端分别与正常解析模块、控制策略模块相连接，控制策略模块与日志模块相连接，所述控制策略模块内设有隔离与阻断策略模块、欺骗策略模块、重定向策略模块，所述日志模块内设有日志记录模块以及日志统计模块。

2. 一种基于权利要求1所述的恶意域名监控系统，包括

用于实现对域名解析请求处理的DNS服务器，

用于实现对用户管理、域名管理和对结果进行查看分析的管理端，

用于实现管理端与DNS服务器双向通信的安全通信模块，

以及DNS数据库，其特征在于

所述管理端设有黑名单更新模块、用户信息管理模块以及访问信息查询模块；

所述安全通信模块内设有认证模块、密钥协商模块、数据加密传输模块、数据一致性检查模块；

DNS服务器经安全通信模块与管理端建立双向通信，

DNS服务器内的能够实现向DNS数据库内写入日志记录信息的日志模块与DNS数据库相连接，

管理端分别与黑名单索引数据库和DNS数据库相连接。

3.一种基于域名服务器的恶意域名监控方法，其特征在于包括以下步骤：

步骤1：建立黑名单索引数据库，管理端通过安全通信模块，根据不同的更新方式将域名黑名单提交给DNS服务器和DNS数据库，由DNS服务器建立黑名单索引数据库库，具体步骤为包括：

步骤a：选择域名更新方式，包括立即更新或正常更新，通过管理界面直接输入域名或采用文件批量，将待更新域名输入管理端的黑名单更新模块

步骤b：判断域名更新方式，如果为立即更新，则通过安全通信模块将域名直接提交给DNS服务器，并在DNS服务器中建立缓存存储域名，如果为正常更新，则提交给DNS服务器， 并在DNS服务器中建立B树进行存储，最终建立黑名单索引数据库，

步骤c：将恶意域名提交给DNS服务器后，管理端将域名存入DNS数据库，完成黑名单的一次更新；

步骤2：截获并解析请求，DNS服务器通过获取解析模块截获并解析用户的域名解析查询请求，获得目标域名；

步骤3：查询黑名单，DNS服务器1使用黑名单查询模块4对照步骤1中生成的黑名单索引数据库22对步骤2获得的目标域名进行查询，并输出查询结果，其具体步骤包括：

步骤a：输入待查询域名，在缓存中查找，如果找到，则返回存在，否则返回否。

4.步骤b：如果步骤a返回否，则根据输入的域名生成两个整形哈希关键字Key1和Key2，用 Key1 对哈希桶数 MAXBUCKETS 取模，以此值为索引找到哈希表中的对应项，如果对应的 B 树不为空，以 Key2 为关键字查询 B树，寻找其相关索引项，找到索引项后，给定域名与索引项对应列表中的域名一一比较以判断其是否匹配，若存在一个完全匹配的域名，则返回存在标志，否则返回不存在标志，完成域名的黑名单查询。

5.步骤4：根据步骤3中的查询结果对域名进行控制和处理，其中如果查询结果为该域名不在黑名单内，则交由DNS服务器的正常解析模块继续执行正常的域名解析操作，如果查询结果为该域名在黑名单中，则将该域名交由控制策略实现模块进行控制处理，控制处理的具体步骤为：

步骤a：判断控制方式，并依据事先对各个域名设置的处理方式进行处理，所述控制方式包括三种，分别为隔离与阻断、欺骗、重定向，如果为隔离与阻断控制方式，则直接丢弃该域名；如果为欺骗控制方式，则返回查询结果不存在；如果为重定向策略，则返回该域名对应IP地址为针对该域名事先设定的重定向IP地址，

步骤b：日志记录生成，通过日志模块内的日志记录模块，根据控制方式生成相应的日志记录，

步骤5：通过日志模块内的日志统计分析模块将步骤4中生成的日志文件进行统计分析后，将统计分析结果存入DNS数据库，与DNS数据库相连接的管理端实现对系统的管理和结果的查看。

6.根据权利要求3所述的基于安全域名服务器的恶意域名监控方法，其特征在于步骤5中所述管理端对系统的管理包括管理端对恶意域名的管理、用户的管理和DNS数据库的管理，其中对恶意域名的管理主要为对黑名单索引库的及时更新和定量更新，其具体方法为：将黑名单库空间分成N组，同样将待更新的域名集合也分成N组，然后锁定黑名单库的一组数据，并将相应的待更新组更新到黑名单库中。