一种针对dns防拖库的安全防护系统和方法
【技术领域】
[0001]本发明涉及一种针对DNS防拖库的安全防护系统和方法,基于DNS提供服务的方式,通过操作系统网络驱动、文件驱动、SPIJPAPI HOOK技术,可实现对DNS的防护,以避免DNS被拖库的可能。
【背景技术】
[0002]随着互联网及物联网的快速发展,作为提供地址服务的DNS服务越来越被重视,同时也逐渐成为被攻击的对象。对DNS的攻击主要呈现在三个方面,一是通过网络攻击DNS服务,使其无法正常提供服务,从而导致指定的互联网或物联网地址无法被访问;一是通过伪造DNS服务对外提供地址查询服务,并传播错误的地址,例如:钓鱼网站等;还有一个方面是直接对DNS进行拖库。
[0003]以上所述前两个方面的攻击是由来已久的,而且已有很多较成熟的安全防护方案,而第三个方面的攻击却是新兴出现的。随着互联网和物联网的高速发展,DNS所承载的信息量越来越大,而在现在这个数据就是财富的时代,拖库成为了最直接、最彻底的攻击。目前对DNS进行拖库的手段主要有以下两种:
[0004]1、依赖合法查询的遍历式查询。DNS服务提供免费查询地址的服务,因此就出现了假借地址查询的遍历式查询,通过程序快速遍历整个DNS库,达到拖库的目的。
[0005]2、通过维护或远程攻击,直接登录DNS服务器,由于DNS库文件没有保护,DNS库文件可以随意拷贝、删除、移动。导致DNS库文件的安全性没有保障。
[0006]缩略语及名词解释:
[0007]SPI:ffindows网络访问控制技术
[0008]API HOOK:ffindows 钩子技术
[0009]IP:计算机网络访问地址
[0010]网络驱动:基于winodws/linux上的网络传输驱动。
【发明内容】
[0011]本发明提供了一种针对DNS防拖库的安全防护系统和方法,基于DNS提供服务的方式,通过操作系统网络驱动、文件驱动、SPIJPAPI HOOK技术,可实现对DNS的防护,以避免DNS被拖库的可能。
[0012]本发明所述的DNS防拖库安全防护系统系统,可从两个层面防护DNS的安全。
[0013]1.对访问DNS进行管理和控制。允许合法的合法的用户从合法的地址、用合法的设备、以合法的方式访问DNS。
[0014]2.对DNS库文件进行控制。防止对DNS库文件的删除、移动、改名、复制。保障DNS库文件的安全。
[0015]本发明所述的DNS防拖库安全防护系统,其中包括:网络访问控制模块、DNS库文件保护模块、策略管理模块、日志记录模块。
[0016]网络访问控制模块只允许合法的合法的用户从合法的地址、用合法的设备、以合法的方式访问DNS。
[0017]DNS库文件保护模块:保护DNS库文件的安全。防止DNS库文件被删除、移动、改名、复制。
[0018]策略管理模块:合法性定义,具体包括是否检测IP、是否检测用户、是否要求指定设备,合法方式为单位时间内通过DNS查询获取的DNS信息条数。
[0019]日志记录模块:记录通过网络查询DNS的操作记录,以及DNS库文件删除、移动、复制等操作记录。
[0020]本发明提供一种针对DNS防拖库的安全防护方法,首先通过策略管理模块定义DNS库文件路径及合法性描述,并形成策略;策略管理模块将策略通知到网络访问控制模块和DNS库文件保护模块;网络访问控制模块实时监视通过网络对DNS的查询和访问,并根据策略确定是否阻断访问连接,同时网络访问控制模块通知日志记录模块进行日志记录DNS库文件保护模块实时监视对策略中定义的DNS库文件,并根据策略实现对DNS库文件操作的控制,同时DNS库文件保护模块通知日志记录模块进行日志记录。
【附图说明】
[0021]图1为本发明所述的安全防护系统示意图。
【具体实施方式】
:
[0022]本发明提供一种针对DNS防拖库的安全防护方法,首先通过策略管理模块定义DNS库文件路径及合法性描述,并形成策略;策略管理模块将策略通知到网络访问控制模块和DNS库文件保护模块;网络访问控制模块实时监视通过网络对DNS的查询和访问,并根据策略确定是否阻断访问连接,同时网络访问控制模块通知日志记录模块进行日志记录DNS库文件保护模块实时监视对策略中定义的DNS库文件,并根据策略实现对DNS库文件操作的控制,同时DNS库文件保护模块通知日志记录模块进行日志记录。
[0023]将安全防护系统部署在DNS对外服务器上,以及DNS库文件所存放的操作系统服务器上。在Windows系统上,安全防护系统的安装程序直接运行,自动安装,安装完毕后需要重新启动计算机;在Linux系统上,安全防护系统的安装程序通过脚本运行,自动安装,安装完毕后需要手工重新启动计算机。安装完毕后需要进行初始化操作,即通过策略管理模块定义是否检测IP、是否检测用户、是否要求指定设备,合法方式为单位时间内通过DNS查询获取的DNS信息条数,并形成策略文件。策略管理模块会通知网络访问控制模块策略已经更新完毕。
[0024]安全防护系统在运行过程中,如需要变更策略,需要调用策略管理模块改写策略文件,提交后策略管理模块会通知网络访问控制模块。
[0025]安全防护系统在运行时会自动产生日志文件,管理用户可以正常访问日志信息进行监控。
【主权项】
1.一种针对DNS防拖库的安全防护系统和方法,其特征在于该系统运行在操作系统内核对DNS库的安全防护,包括:网络访问控制模块、DNS库文件保护模块、策略管理模块和日志记录模块,其中: A、网络访问控制模块:在操作系统内核实现,从策略管理模块获取策略,根据策略描述只允许合法的合法的用户从合法的地址、用合法的设备、以合法的方式访问DNS,并调用日志记录模块记录日志; B、DNS库文件保护模块:在操作系统内核实现,从策略管理模块获取策略,根据策略描述保护DNS库文件的安全。防止DNS库文件被删除、移动、改名、复制,并调用日志记录模块记录日志; C、策略管理模块:合法性定义,具体包括是否检测IP、是否检测用户、是否要求指定设备,合法方式为单位时间内通过DNS查询获取的DNS信息条数; D、日志记录模块:记录通过网络查询DNS的操作记录,以及DNS库文件删除、移动、复制等操作记录。2.如权利要求1所述的一种针对DNS防拖库的安全防护系统,其特征在于网络访问控制模块允许安全许可的合法用户从合法的地址、用合法的设备访问DNS,禁止其他非法连接DNS,防止非法入侵。3.如权利要求1所述的一种针对DNS防拖库的安全防护系统,其特征在于网络访问控制模块,当查询DNS的操作符合合法方式时,允许查询,一旦超出合法方式,则对该访问IP、用户等进行阻断,禁止继续查询。4.如权利要求1所述的一种针对DNS防拖库的安全防护系统,其特征在于DNS库文件保护模块,保护数据库文件不被删除、移动、改名和复制等操作。5.如权利要求1所述的一种针对DNS防拖库的安全防护系统,其特征在于策略管理模块定义DNS库文件路径及合法性描述,并形成策略。6.如权利要求1所述的一种针对DNS防拖库的安全防护系统,其特征在于,日志记录模块,记录合法访问DNS的IP、时间,状态等信息,记录非法访问DNS的IP、时间、状态,记录复制、删除、移动DNS库文件等操作信息。7.—种针对DNS防拖库的安全防护方法,其特征在于米用权利要求1-6任一所述之针对DNS防拖库的安全防护系统。首先通过策略管理模块定义DNS库文件路径及合法性描述,并形成策略;策略管理模块将策略通知到网络访问控制模块和DNS库文件保护模块;网络访问控制模块实时监视通过网络对DNS的查询和访问,并根据策略确定是否阻断访问连接,同时网络访问控制模块通知日志记录模块进行日志记录;DNS库文件保护模块实时监视对策略中定义的DNS库文件,并根据策略实现对DNS库文件操作的控制,同时DNS库文件保护模块通知日志记录模块进行日志记录。
【专利摘要】本发明提供一种针对DNS防拖库的安全防护系统和方法。其中包括:网络访问控制模块、DNS库文件保护模块、策略管理模块和日志记录模块。网络访问控制模块只允许合法的合法的用户从合法的地址、用合法的设备、以合法的方式访问DNS。DNS库文件保护模块防止DNS库文件被删除、移动、改名、复制。策略管理模块进行合法性定义。日志记录模块记录通过网络查询DNS的操作记录,以及DNS库文件删除、移动、复制等操作记录。本发明所述的系统和方法,对DNS系统提供防拖库安全防护,防护全面、可扩展性强、安全性高、系统资源占用率、用户体验好。
【IPC分类】H04L29/06
【公开号】CN105592027
【申请号】CN201410652598
【发明人】王晓波, 周亮
【申请人】苏州慧盾信息安全科技有限公司, 中国科学院计算机网络信息中心
【公开日】2016年5月18日
【申请日】2014年11月18日