基于DNS和IP信誉数据的内网安全防护方法及系统与流程

基于dns和ip信誉数据的内网安全防护方法及系统
技术领域
1.本发明涉及网络安全技术领域，具体涉及一种基于dns和ip信誉数据的内网安全防护方法及系统。


背景技术：

2.目前，内网用户在上网时，所访问服务器及应用的安全性，始终是网络安全的核心问题之一。在面临虚拟化、移动互联技术为代表的新的应用场景下，以“状态检测包过滤”为基础的传统防火墙技术，在安全防护能力上越来越力不从心。下一代防火墙(ngfw)，被作为传统防火墙技术的升级版本被提出。在ngfw的概念中，应用识别被作为核心概念予以强调，但是在解决“哪些应用是安全的”这个核心问题时，并没有找到公认的方法。
3.现有技术中，存在基于应用识别的应用控制方法，通过预先定义“哪些应用是安全的，哪些应用是不安全的”，借助应用识别技术，对不安全的应用进行控制。但是，当前基于内容的应用识别技术并不准确，故而借助其识别结果的应用控制，很容易造成误报或漏报的问题。控制粒度太粗，纵使确实存在应用，其本身就是不安全的，但是更多的情况是，应用本身是安全的，只是在某些服务器上或某一个时间段内是不安全的，基于应用识别的应用控制，不能在这两个粒度上给出定义。
4.现有技术中，还通过一个“ip信誉数据库”，对网络上的ip地址进行标识，指示哪些ip(主机)是安全的，哪些主机是不安全的。但是，该种方法性能低，因为每一条会话都需要根据ip地址进行ip信誉数据库的查询。该种方法健壮性差，假设某应用p使用三台服务器，对外使用三个不同的ip地址a,b,c，并行完成服务。假设攻击者攻击并控制了a服务器，但恰好a服务器会被dns服务器作为某地区s的首选服务器被提供给s地区内的用户。如果a被ip信誉数据库标识为“危险，不允许访问”，那么基于ip信誉数据库的防护系统实际上会禁止s地区内的用户使用p服务(因为s地区内的用户在访问p服务时，都会选择dns系统提供的首选ip地址a)。
5.综上所述，亟需一种新的内网安全防护技术方案。


技术实现要素：

6.为此，本发明提供一种基于dns和ip信誉数据的内网安全防护方法及系统，解决传统内网安全防护准确性低、性能及健壮性差的问题。
7.为了实现上述目的，本发明提供如下技术方案：基于dns和ip信誉数据的内网安全防护方法，包括以下步骤：
8.通过内网防护设备接收终端用户发起的给定域名的dns请求，当所述dns请求到达内网防护设备时，查询所述内网防护设备中集成的dns缓存：a)若在所述内网防护设备的dns缓存中查询到请求的dns记录，由所述内网防护设备对所述终端用户进行dns应答；b)若在所述内网防护设备的dns缓存中未查询到请求的dns记录，将所述dns请求转发给dns服务器；
9.通过内网防护设备接收dns服务器对所述dns请求的域名解析和dns应答，当所述dns应答经过所述内网防护设备时，c)对所述dns应答报文中的每一个服务器ip地址资源记录，在ip信誉数据库中查询每一个服务器ip地址的ip信誉值，根据ip信誉值查询结果删除或保留对应的服务器ip地址。
10.作为基于dns和ip信誉数据的内网安全防护方法的优选方案，还包括，d)若根据ip信誉值查询结果对dns应答报文中的每一个服务器ip地址全部删除，则由所述内网防护设备直接对终端用户返回dns否定应答。
11.作为基于dns和ip信誉数据的内网安全防护方法的优选方案，还包括，e)对保留下来的dns应答报文中的服务器ip地址资源记录，按照保留下来的服务器ip地址的ip信誉值从高到低排序。
12.作为基于dns和ip信誉数据的内网安全防护方法的优选方案，将保留下来的dns应答报文更新到所述内网防护设备的dns缓存中。
13.作为基于dns和ip信誉数据的内网安全防护方法的优选方案，将ip信誉值高的服务器ip地址对终端用户进行优先转发，所述终端用户根据接收的服务器ip地址进行应用服务器访问。
14.本发明还提供一种基于dns和ip信誉数据的内网安全防护系统，包括：
15.内网防护设备，用于接收终端用户发起的给定域名的dns请求，当所述dns请求到达内网防护设备时，查询所述内网防护设备中集成的dns缓存；若在所述内网防护设备的dns缓存中查询到请求的dns记录，由所述内网防护设备对所述终端用户进行dns应答；
16.dns服务器，用于若在所述内网防护设备的dns缓存中未查询到请求的dns记录时接收所述内网防护设备转发的dns请求；所述dns服务器对所述dns请求的域名解析和dns应答；
17.所述内网防护设备接收所述dns应答，内网防护设备对所述dns应答报文中的每一个服务器ip地址资源记录，在ip信誉数据库中查询每一个服务器ip地址的ip信誉值，根据ip信誉值查询结果删除或保留对应的服务器ip地址。
18.作为基于dns和ip信誉数据的内网安全防护系统的优选方案，若根据ip信誉值查询结果对dns应答报文中的每一个服务器ip地址全部删除，则由所述内网防护设备直接对终端用户返回dns否定应答。
19.作为基于dns和ip信誉数据的内网安全防护系统的优选方案，所述内网防护设备对保留下来的dns应答报文中的服务器ip地址资源记录，按照保留下来的服务器ip地址的ip信誉值从高到低排序。
20.作为基于dns和ip信誉数据的内网安全防护系统的优选方案，所述内网防护设备的dns缓存对保留下来的dns应答报文进行更新。
21.作为基于dns和ip信誉数据的内网安全防护系统的优选方案，所述内网防护设备将ip信誉值高的服务器ip地址对终端用户进行优先转发，所述终端用户根据接收的服务器ip地址进行应用服务器访问。
22.本发明具有如下优点：通过内网防护设备接收终端用户发起的给定域名的dns请求，当dns请求到达内网防护设备时，查询内网防护设备中集成的dns缓存：a)若在内网防护设备的dns缓存中查询到请求的dns记录，由内网防护设备对终端用户进行dns应答；b)若在
内网防护设备的dns缓存中未查询到请求的dns记录，将dns请求转发给dns服务器；通过内网防护设备接收dns服务器对dns请求的域名解析和dns应答，当dns应答经过内网防护设备时，c)对dns应答报文中的每一个服务器ip地址资源记录，在ip信誉数据库中查询每一个服务器ip地址的ip信誉值，根据ip信誉值查询结果删除或保留对应的服务器ip地址。本发明从dns解析阶段，就杜绝了恶意ip地址被终端用户感知，从而提高了内网防护系统的整体效率；如果有部分服务器被攻击，可以剔除被攻击的服务器，并始终保持最安全的服务器作为终端用户的首选被使用；利用dns系统的更新、超时等特性，可以实时地感知到服务器ip地址的变化，实现了防护的自适应。
附图说明
23.为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。
24.本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。
25.图1为本发明实施例1提供的基于dns和ip信誉数据的内网安全防护方法流程示意图；
26.图2为本发明实施例2提供的基于dns和ip信誉数据的内网安全防护系统示意图。
具体实施方式
27.以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
28.对比例
29.以基于dns的应用模型为对比，假设服务a，固定采用域名service.aaa.com进行应用服务器地址发现，其服务端口为80。其服务模型如下：
30.(1)终端用户仅知道服务的域名为service.aaa.com，所以终端用户首先需要访问dns服务器，对service.aaa.com进行dns解析，以期获得服务器ip地址。
31.(2)dns服务器对该终端用户的dns解析请求，假设当前存在两台服务器对该应用提供服务，服务器ip地址分别为1.2.3.4和1.2.3.5。dns服务器按照访问速度的快慢进行排序，将1.2.3.4排在1.2.3.5之前，即以1.2.3.4作为首选的服务器。
32.(3)终端用户得到dns应答后，选择首选ip地址1.2.3.4进行服务请求。只有当首选ip地址的服务不可用时，才会选择其他ip地址进行服务请求，但是这个过程是与应用相关，并不一定会按照该原则处理。
33.实施例1
34.参见图1，本发明实施例1提供一种基于dns和ip信誉数据的内网安全防护方法，用于经典的网关防火墙部署方式，要求终端用户的上网流量和dns流量同时经过网关，包括以下步骤：
35.s1、通过内网防护设备接收终端用户发起的给定域名的dns请求，当所述dns请求到达内网防护设备时，查询所述内网防护设备中集成的dns缓存：a)若在所述内网防护设备的dns缓存中查询到请求的dns记录，由所述内网防护设备对所述终端用户进行dns应答；b)若在所述内网防护设备的dns缓存中未查询到请求的dns记录，将所述dns请求转发给dns服务器；
36.s2、通过内网防护设备接收dns服务器对所述dns请求的域名解析和dns应答，当所述dns应答经过所述内网防护设备时，c)对所述dns应答报文中的每一个服务器ip地址资源记录，在ip信誉数据库中查询每一个服务器ip地址的ip信誉值，根据ip信誉值查询结果删除或保留对应的服务器ip地址。
37.本实施例中，s2还包括，d)若根据ip信誉值查询结果对dns应答报文中的每一个服务器ip地址全部删除，则由所述内网防护设备直接对终端用户返回dns否定应答。此外s2还包括，e)对保留下来的dns应答报文中的服务器ip地址资源记录，按照保留下来的服务器ip地址的ip信誉值从高到低排序。
38.本实施例中，还包括s3、将保留下来的dns应答报文更新到所述内网防护设备的dns缓存中。还包括s4、将ip信誉值高的服务器ip地址对终端用户进行优先转发，所述终端用户根据接收的服务器ip地址进行应用服务器访问。
39.对比基于dns的应用模型，具体的，通过本技术方案，终端用户首先发起service.aaa.com的dns请求，查询应用a的服务器地址。该请求到达内网防护设备时，内网防护设备查询集成的dns缓存，分两种结果：
40.结果一：找到dns相关记录，则由内网防护设备直接代替dns服务器进行dns应答，并不再把dns请求发送给dns服务器；
41.结果二：如果没有找到相关记录，则内网防护设备将dns请求转发给dns服务器。
42.dns服务器进行域名解析和应答，给出1.2.3.4/1.2.3.5的dns应答，此时假设dns服务器认为1.2.3.4是首选ip地址。dns应答也经过内网防护设备。此时，防护设备需要完成以下操作：
43.dns服务器进行域名解析和应答，给出1.2.3.4/1.2.3.5的dns应答，此时假设dns服务器认为1.2.3.4是首选ip地址。dns应答也经过内网防护设备。
44.此时，防护设备需要完成以下操作：
45.第一、对于dns应答报文中的每一个服务器ip地址资源记录，以1.2.3.4和1.2.3.5为例，依次查询ip信誉数据库。如果查询结果是“高危ip”，则直接把该ip地址对应的dns资源记录从dns应答报文中删除；否则，则保留该ip地址。
46.第二、如果经过第一之后，所有的ip地址都被删除，则由内网防护设备直接返回dns否定应答；否则转第三；
47.第三、经过第二的处理，对保留下来的dns应答报文中的ip地址资源记录，按照其ip信誉值从高到低排序，如遇到ip信誉值相等的情况，则按照其在原始dns应答包中的顺序排列。在上例中，原始dns应答包经过内网防护设备时，如果“信誉(1.2.3.4)”<“信誉
(1.2.3.5)”，则按照上述原则，新的dns应答包中二者的出现的顺序将被对换，以1.2.3.5作为首选ip地址提供给终端用户。
48.接着，将处理后的dns应答报文更新到内网防护设备中集成的dns缓存；同时，将处理后的dns应答报文转发给终端用户。终端用户得到dns的解析结果之后，访问应用服务器1.2.3.5：80。
49.综上所述，本发明通过内网防护设备接收终端用户发起的给定域名的dns请求，当dns请求到达内网防护设备时，查询内网防护设备中集成的dns缓存：a)若在内网防护设备的dns缓存中查询到请求的dns记录，由内网防护设备对终端用户进行dns应答；b)若在内网防护设备的dns缓存中未查询到请求的dns记录，将dns请求转发给dns服务器；通过内网防护设备接收dns服务器对dns请求的域名解析和dns应答，当dns应答经过内网防护设备时，c)对dns应答报文中的每一个服务器ip地址资源记录，在ip信誉数据库中查询每一个服务器ip地址的ip信誉值，根据ip信誉值查询结果删除或保留对应的服务器ip地址。本发明从dns解析阶段，就杜绝了恶意ip地址被终端用户感知，从而提高了内网防护系统的整体效率；如果有部分服务器被攻击，可以剔除被攻击的服务器，并始终保持最安全的服务器作为终端用户的首选被使用；利用dns系统的更新、超时等特性，可以实时地感知到服务器ip地址的变化，实现了防护的自适应。
50.实施例2
51.参见图2，本发明实施例2还提供一种基于dns和ip信誉数据的内网安全防护系统，包括：
52.内网防护设备1，用于接收终端用户2发起的给定域名的dns请求，当所述dns请求到达内网防护设备1时，查询所述内网防护设备1中集成的dns缓存；若在所述内网防护设备1的dns缓存中查询到请求的dns记录，由所述内网防护设备1对所述终端用户2进行dns应答；
53.dns服务器3，用于若在所述内网防护设备1的dns缓存中未查询到请求的dns记录时接收所述内网防护设备1转发的dns请求；所述dns服务器3对所述dns请求的域名解析和dns应答；
54.所述内网防护设备1接收所述dns应答，内网防护设备1对所述dns应答报文中的每一个服务器ip地址资源记录，在ip信誉数据库中查询每一个服务器ip地址的ip信誉值，根据ip信誉值查询结果删除或保留对应的服务器ip地址。
55.本实施例中，若根据ip信誉值查询结果对dns应答报文中的每一个服务器ip地址全部删除，则由所述内网防护设备1直接对终端用户2返回dns否定应答。
56.本实施例中，所述内网防护设备1对保留下来的dns应答报文中的服务器ip地址资源记录，按照保留下来的服务器ip地址的ip信誉值从高到低排序。
57.本实施例中，所述内网防护设备1的dns缓存对保留下来的dns应答报文进行更新。
58.本实施例中，所述内网防护设备1将ip信誉值高的服务器ip地址对终端用户2进行优先转发，所述终端用户2根据接收的服务器ip地址进行应用服务器访问。
59.基于dns和ip信誉数据的内网安全防护系统的具体实施情形同实施例1的基于dns和ip信誉数据的内网安全防护方法。
60.实施例3
61.本发明实施例3提供一种计算机可读存储介质，所述计算机可读存储介质中存储基于dns和ip信誉数据的内网安全防护方法的程序代码，所述程序代码包括用于执行实施例1或其任意可能实现方式的基于dns和ip信誉数据的内网安全防护方法的指令。
62.计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solidstatedisk、ssd))等。
63.实施例4
64.本发明实施例4提供一种电子设备，所述电子设备包括处理器，所述处理器与存储介质耦合，当所述处理器执行存储介质中的指令时，使得所述电子设备执行实施例1或其任意可能实现方式的基于dns和ip信誉数据的内网安全防护方法。
65.具体的，处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于所述处理器之外，独立存在。
66.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
67.显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
68.虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。