基于DNS协议的访问控制和病毒防御方法和系统与流程

本发明涉及网络安全，特别是涉及一种基于dns协议的访问控制和病毒防御系统。

背景技术

dns是域名系统(domainnamesystem)的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的ip地址，在internet上域名与ip地址之间是一一对应的，dns就是进行域名解析的服务器。dns命名用于internet等tcp/ip网络中，通过用户友好的名称查找计算机和服务。dns是因特网的一项核心服务,它作为可以将域名和ip地址相互映射的一个分布式数据库。2010年1月12日07:00到12时左右，百度曾遭遇顶级域域名baidu.com及旗下二级域名访问出现异常，在较长时间全部被解析到其他地址，导致全球多出用户不用正常访问百度。至此很多安全厂商将ddos攻击防御加入到各自产品功能中，早些时候采用mac的地址与ip进行绑定，后来有厂商专门推出了抗ddos的设备，如arbor、阿里云ddos高仿、云顿太极抗d等等。针对dns协议，目前市场上解决方案大多数是关注与ddos的攻击，并针对ddos攻击提供相应的解决方案，传统的设备是将清洗已经到达企业服务器至企业出口交换机或路由器这之间的数据流，阿里云和云顿是采用将这些流量转移到高仿的ip达到清洗的目的。

现有的技术方案要么是将非法流量进行转移，要么就只能保证企业主交换机或路由器到web服务器在ddos攻击时这段路径正常访问，并没有从根本上去解决利用dns协议进行恶意代码和攻击的整条链路的安全性的防范与抵御；两套系统的叠加费用非常贵，而且仅仅是解决了ddos攻击，其他方面的防御可能还需要借助其他的安全设备，专业性会受影响。

技术实现要素：

针对现有技术的不足，本发明的目的在于提供一种基于dns协议的访问控制和病毒防御方法，所述方法包括如下步骤：

(1)终端发送dns请求；

(2)所述请求依据设置的策略经过黑白名单匹配，若匹配则继续；若不匹配，丢弃；

(3)对于匹配的dns请求继续进行分析，记录请求发起的时间、源ip地址、查询的域名，并进行关联分析，根据每个域名解析频率、内网网段参与解析同一域名的范围、常见域名和非常见域名比对进行判断，若异常则直接丢弃，若通过继续操作；

(4)对所述步骤(3)通过的dns请求进行分析，判断是否存在病毒和非法攻击行为，通过分析，阻断病毒和攻击并定位他们的ip地址，返回一个特殊ip地址，并将其域名记录下来，加入到恶意域名解析库；

(5)若dns请求可疑，交付给蜜罐系统，蜜罐系统通过事先已经定制好的交互协议，进行交互，蜜罐系统返回一个蜜罐ip地址，蜜罐系统进行追溯，若终端对蜜罐ip地址进行攻击，则判断该终端已经感染了病毒或者木马，系统进行相应的处理。

进一步地，所述步骤(2)中对于不匹配的请求，返回一个特殊的ip地址；

进一步地，所述特殊的ip地址是本地回环地址；

进一步地，所述特殊的ip地址是一个空地址；

进一步地，所述特殊的ip地址是蜜罐地址；

进一步地，所述步骤(3)中，若异常返回一个特殊ip地址；

进一步地，所述步骤(4)中，所述非法共计行为包括：攻击互联网特定的域名，或者通过域名解析请求向攻击者提供信息，或者留存后门方便勒索；

进一步地，所述步骤(5)中，所述相应的处理包括：阻断。

本发明还提供一种基于dns协议的访问控制和病毒防御系统，所述系统包括：终端；

请求单元，终端发送dns请求；

匹配单元，所述请求依据设置的策略经过黑白名单匹配，若匹配则继续；若不匹配，丢弃；

异常分析单元，对于匹配的dns请求继续进行分析，记录请求发起的时间、源ip地址、查询的域名，并进行关联分析，根据每个域名解析频率、内网网段参与解析同一域名的范围、常见域名和非常见域名比对进行判断，若异常则直接丢弃，若通过继续操作；

病毒分析单元，对所述异常分析单元通过的dns请求进行分析，判断是否存在病毒和非法攻击行为，通过分析，阻断病毒和攻击并定位他们的ip地址，返回一个特殊ip地址，并将其域名记录下来，加入到恶意域名解析库；

结果处理单元，若dns请求可疑，交付给蜜罐系统，蜜罐系统通过事先已经定制好的交互协议，进行交互，蜜罐系统返回一个蜜罐ip地址，蜜罐系统进行追溯，若终端对蜜罐ip地址进行攻击，则判断该终端已经感染了病毒或者木马，系统进行相应的处理。

进一步地，所述匹配单元中对于不匹配的请求，返回一个特殊的ip地址；

进一步地，所述特殊的ip地址是本地回环地址；

进一步地，所述特殊的ip地址是一个空地址；

进一步地，所述特殊的ip地址是蜜罐地址；

进一步地，所述步骤异常分析单元中，若异常返回一个特殊ip地址；

进一步地，所述病毒分析单元中，所述非法共计行为包括：攻击互联网特定的域名，或者通过域名解析请求向攻击者提供信息，或者留存后门方便勒索；

进一步地，所述结果处理单元中，所述相应的处理包括：阻断。

所述方法和系统基于dns协议对网络访问进行监控、管理和控制，并且能够对部分攻击行为进行防御及诱导的安全系统，用于防范所有具备操作系统(基于tcp/ip协议的终端计算机、服务器、物联网(iot)、路由器等设备，dns服务请求的数据包和回应数据包。能比较全面的解决基于dns协议安全问题。从终端dns请求发出开始进行检查，对dns请求和回应进行解析、更改、阻断、替换，通过对dns请求处理，实现禁止和允许终端访问某些域名及后续访问行为牵引，发现恶意代码和攻击行为，并配合蜜罐进行行为分析，将非法数据拦截在dns请求发起阶段。不仅仅限于ddos攻击。

本发明的优点在于：本发明可以能比较全面的解决基于dns协议安全问题。1、基于dns七元组策略，可以简单实现黑白名单、集成日志审计、恶意域名解析、蜜罐引导等安全功能集成，扩大匹配力度，增加灵活性和全面性。通过不断的自我学习，丰富系统特征库。2、蜜罐除了可以返回预先设置的ip地址外，还可以就终端发起的dns请求进行追踪，获取终端信息。

附图说明

图1为本申请流程示意图。

具体实施方式

下面将对本发明进行详细说明，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对现有技术的不足，本发明的目的在于提供一种基于dns协议的访问控制和病毒防御方法，所述方法包括如下步骤：

(1)终端发送dns请求；

(2)所述请求依据设置的策略经过黑白名单匹配，若匹配则继续；若不匹配，丢弃；

(3)对于匹配的dns请求继续进行分析，记录请求发起的时间、源ip地址、查询的域名，并进行关联分析，根据每个域名解析频率、内网网段参与解析同一域名的范围、常见域名和非常见域名比对进行判断，若异常则直接丢弃，若通过继续操作；

(4)对所述步骤(3)通过的dns请求进行分析，判断是否存在病毒和非法攻击行为，通过分析，阻断病毒和攻击并定位他们的ip地址，返回一个特殊ip地址，并将其域名记录下来，加入到恶意域名解析库；

(5)若dns请求可疑，交付给蜜罐系统，蜜罐系统通过事先已经定制好的交互协议，进行交互，蜜罐系统返回一个蜜罐ip地址，蜜罐系统进行追溯，若终端对蜜罐ip地址进行攻击，则判断该终端已经感染了病毒或者木马，系统进行相应的处理。

具体地，所述步骤(2)中对于不匹配的请求，返回一个特殊的ip地址；

具体地，所述特殊的ip地址是本地回环地址；

具体地，所述特殊的ip地址是一个空地址；

具体地，所述特殊的ip地址是蜜罐地址；

具体地，所述步骤(3)中，若异常返回一个特殊ip地址；

具体地，所述步骤(4)中，所述非法共计行为包括：攻击互联网特定的域名，或者通过域名解析请求向攻击者提供信息，或者留存后门方便勒索；

具体地，所述步骤(5)中，所述相应的处理包括：阻断。

本发明还提供一种基于dns协议的访问控制和病毒防御系统，所述系统包括：终端；

请求单元，终端发送dns请求；

匹配单元，所述请求依据设置的策略经过黑白名单匹配，若匹配则继续；若不匹配，丢弃；

异常分析单元，对于匹配的dns请求继续进行分析，记录请求发起的时间、源ip地址、查询的域名，并进行关联分析，根据每个域名解析频率、内网网段

病毒分析单元，对所述异常分析单元通过的dns请求进行分析，判断是否存在病毒和非法攻击行为，通过分析，阻断病毒和攻击并定位他们的ip地址，返回一个特殊ip地址，并将其域名记录下来，加入到恶意域名解析库；

结果处理单元，若dns请求可疑，交付给蜜罐系统，蜜罐系统通过事先已经定制好的交互协议，进行交互，蜜罐系统返回一个蜜罐ip地址，蜜罐系统进行追溯，若终端对蜜罐ip地址进行攻击，则判断该终端已经感染了病毒或者木马，系统进行相应的处理。

具体地，所述匹配单元中对于不匹配的请求，返回一个特殊的ip地址；

具体地，所述特殊的ip地址是本地回环地址；

具体地，所述特殊的ip地址是一个空地址；

具体地，所述特殊的ip地址是蜜罐地址；

具体地，所述步骤异常分析单元中，若异常返回一个特殊ip地址；

具体地，所述病毒分析单元中，所述非法共计行为包括：攻击互联网特定的域名，或者通过域名解析请求向攻击者提供信息，或者留存后门方便勒索；

具体地，所述结果处理单元中，所述相应的处理包括：阻断。

所述方法和系统基于dns协议对网络访问进行监控、管理和控制，并且能够对部分攻击行为进行防御及诱导的安全系统，用于防范所有具备操作系统(基于tcp/ip协议的终端计算机、服务器、物联网(iot)、路由器等设备，dns服务请求的数据包和回应数据包。能比较全面的解决基于dns协议安全问题。从终端dns请求发出开始进行检查，对dns请求和回应进行解析、更改、阻断、替换，通过对dns请求处理，实现禁止和允许终端访问某些域名及后续访问行为牵引，发现恶意代码和攻击行为，并配合蜜罐进行行为分析，将非法数据拦截在dns请求发起阶段。不仅仅限于ddos攻击。

本发明的优点在于：本发明可以能比较全面的解决基于dns协议安全问题。1、基于dns七元组策略，可以简单实现黑白名单、集成日志审计、恶意域名解析、蜜罐引导等安全功能集成，扩大匹配力度，增加灵活性和全面性。通过不断的自我学习，丰富系统特征库。2、蜜罐除了可以返回预先设置的ip地址外，还可以就终端发起的dns请求进行追踪，获取终端信息。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。