[发明专利]一种安全域名服务器及基于此的恶意域名监控系统和方法

说明书

技术领域

 本发明涉及网络安全技术领域，具体地说是一种能实现对恶意域名访问进行高效监控，进而有效防止互联网用户登录恶意网站，避免由此产生的经济、文化和政治损失，减少社会的不稳定因素的安全域名服务器及基于此的恶意域名监控系统和方法。

背景技术

众所周知，每天都有数亿用户访问Internet，同时在Internet上产生海量的数据流，所有的一切都需要域名系统（Domain Name System，DNS）所提供的服务支持。对于每个用户而言，一个有意义的域名譬如www.example.com是易记易用的，也是访问Internet所必需的，而另一方面，对于Internet上的计算机而言，通信时实际使用的是一个IP地址，例如208.77.188.166。在Internet上完成从域名到IP地址转换的，就是域名系统DNS，在DNS的服务器中会维护域名到IP地址映射关系的记录，当DNS服务器收到来自客户端的域名查询请求时，DNS服务器查找相应的记录，将IP地址作为响应返回给客户端，这个过程一般也称为域名解析。Internet上的用户和应用无时无刻不在使用DNS所提供的服务和能力。

然而，目前虽然对网络站点、域名注册等进行了一定程度的监管，但百密一疏，互联网上仍然存在大量的恶意网站。这些网站以经济、政治或其他目的而产生。可以预见，如果这些网站关联电子商务网站，或网上银行，政府、运营商等其他重要的门户网站，以及电子邮件服务器，将导致难以估计的政治和经济损失。因此需要切实有效的系统和方法，对恶意域名的访问进行有效的监控。

现有技术中，针对恶意域名的处理技术主要包括四种：（1）利用域名解析软件：目前95%以上的域名解析软件使用BIND，BIND自带黑名单过滤功能，但存在如下缺陷：黑名单更新需要停止域名解析服务，极大的影响系统的可用性；当数据量很大时影响系统的性能，并且黑名单的数量有限。（2）面向DNS过滤的网关系统：贝尔实验室的Cheswick等人提出了一种面向DNS过滤的安全网关系统，以防火墙的形式运行在网络中，缺点是使用过滤规则进行处理，速度和效率较低，当过滤域名较多时，会大大降低域名解析服务的可用性。（3）具有安全功能的DNS系统，如OpenDNS，通过其收集的恶意网站列表实现恶意网站的过滤，虽然提高了安全性，但其适用范围小，用户量非常少，通用性差。（4）路由器级DNS安全解决方案：通过在路由器级别进行DNS的过滤和控制等功能，如国外的Cisco IOS Content Filtering，提供针对恶意域名和恶意Web访问的过滤和控制。缺陷：只能针对特定的接入区域进行相应的配置型过滤，但不能针对DNS服务器进行针对有效的安全过滤，同时由于大多采用基于路由器过滤规则的处理方式，不适合处理大规模海量的黑白名单过滤业务，无法满足实时性的处理要求。

上述恶意域名处理技术在可用性、通用性和可控性等方面都存在很大的问题，因此急需一种高效可靠的恶意域名监控系统和方法。

发明内容

本发明针对现有技术的不足，提出一种能实现对恶意域名访问进行高效监控，进而有效防止互联网用户登录恶意网站，避免由此产生的经济、文化和政治损失，减少社会的不稳定因素的安全域名服务器及基于此的恶意域名监控系统和方法。

 本发明可以通过以下措施达到：

一种安全域名服务器，包括获取解析模块、正常解析模块，其特征在于还设有黑名单查询模块、黑名单索引数据库、控制策略模块以及日志模块，其中所述获取解析模块与黑名单查询模块相连接，黑名单查询模块与黑名单索引数据库建立通信，黑名单查询模块的输出端分别与正常解析模块、控制策略模块相连接，控制策略模块与日志模块相连接，所述控制策略模块内设有隔离与阻断策略模块、欺骗策略模块、重定向策略模块，所述日志模块内设有日志记录模块以及日志统计模块。

一种基于安全域名服务器的恶意域名监控系统，包括

用于实现对域名解析请求处理的DNS服务器，

用于实现对用户管理、域名管理和对结果进行查看分析的管理端，

用于实现管理端与DNS服务器双向通信的安全通信模块，

以及DNS数据库，其特征在于

所述管理端设有黑名单更新模块、用户信息管理模块以及访问信息查询模块；

所述安全通信模块内设有认证模块、密钥协商模块、数据加密传输模块、数据一致性检查模块；

DNS服务器经安全通信模块与管理端建立双向通信，

DNS服务器内的能够实现向DNS数据库内写入日志记录信息的日志模块与DNS数据库相连接，