]2卜May-2015 17:49:58.162client 192.168.189.129#53035 (www.306070.com): query:www.306070.com IN AAAA+(192.168.189.129)
[0055]2卜May-2015 17:50:05.007client 192.168.189.129#53035 (www.306070.com): query:www.306070.com IN AAAA+(192.168.189.129)
[0056]2卜May-2015 17: 50: 18.303client 192.168.189.129#54389 (www.dwz.cn): query:www.dwz.cn IN AAAA+ (192.168.189.129)
[0057]2卜May-2015 17:50:22.251client 192.168.189.129#59111 (www.dwz.cn): query:www.dwz.cn IN A+ (192.168.189.129)
[0058]其中�����,查詢?nèi)罩局械拿恳恍袨橐粋€(gè)查詢記錄�����,每條查詢記錄中第一個(gè)括號(hào)中的內(nèi)容即為查詢的域名。
[0059](3)清除并禁用瀏覽器相關(guān)緩存
[0060]因?yàn)楫?dāng)模擬瀏覽器訪問(wèn)網(wǎng)站時(shí)�����,首先會(huì)查詢?yōu)g覽器緩存�,只有當(dāng)緩存中無(wú)該網(wǎng)站的相關(guān)記錄時(shí),才將域名解析的請(qǐng)求發(fā)送至遞歸服務(wù)器��。為了使遞歸服務(wù)器完整記錄待檢測(cè)網(wǎng)站的域名解析請(qǐng)求����,應(yīng)清除并禁用瀏覽器緩存,避免瀏覽器在訪問(wèn)網(wǎng)頁(yè)內(nèi)容時(shí)使用緩存中的內(nèi)容����。與此同時(shí),清除并禁用瀏覽器的DNS緩存����,避免瀏覽器在發(fā)起DNS查詢請(qǐng)求時(shí),使用其自身的DNS緩存���。
[0061 ] (4)瀏覽器自動(dòng)化輪詢?cè)L問(wèn)待判定網(wǎng)站列表
[0062]通過(guò)腳本模擬瀏覽器訪問(wèn)行為���,對(duì)待判定網(wǎng)站進(jìn)行輪詢?cè)L問(wèn)�,同時(shí)���,每訪問(wèn)一個(gè)網(wǎng)站����,再對(duì)一個(gè)不存在的網(wǎng)站進(jìn)行訪問(wèn)�����,例如www.xxxxxxxxxxxxxxxxxxx.cn,我們稱該網(wǎng)站為ΧΝΑΜΕο
[0063](5)遞歸日志分析
[0064]完成待檢測(cè)網(wǎng)站列表的輪詢后��,對(duì)遞歸服務(wù)器的查詢?nèi)罩具M(jìn)行分析,提取前后兩次ΧΝΑΜΕ網(wǎng)站之間的查詢?nèi)罩?��,即可捕獲各網(wǎng)站的對(duì)應(yīng)的域名查詢序列,對(duì)其進(jìn)行歸并,形成待篩選的域名列表。其列表格式如下:
[0065]NETSTAT10N1—> (domainnamel��,domainname2�,.....)
[0066]NETSTAT10N2—> (domainname3, domainname4,......)
[0067]......
[0068]其中NETSTAT10N1、NETSTAT10N2 為待判定網(wǎng)站�����,domainnamel ?domainname4 為待篩選的域名���。
[0069](6)依據(jù)網(wǎng)站PR值對(duì)域名進(jìn)行初步篩選
[0070]對(duì)于列表中的各域名��,依據(jù)其對(duì)應(yīng)網(wǎng)站的PR(PageRank)值進(jìn)行初步篩選�����,形成疑似濫用域名列表。在一實(shí)施例中�����,將PR值的閾值設(shè)定為3��。在對(duì)域名進(jìn)行篩選時(shí),若該域名對(duì)應(yīng)網(wǎng)站的PR值小于3���,則將此域名添加至疑似濫用域名列表,否則���,判定該域名為非濫用域名。
[0071 ] 例如對(duì)于(5)中待篩選列表,若domainnamel對(duì)應(yīng)網(wǎng)站的PR值小于3�,則將domainnamel從列表中刪除���,最終形成的疑似濫用域名列表如下:
[0072]NETSTAT10N1—> (domainnamela�����,domainname2a����,.....)
[0073]NETSTAT10N2—> (domainname3a, domainname4a,......)
[0074]......
[0075]其中NETSTAT10N1����、NETSTAT10N2 為待檢測(cè)網(wǎng)站���,domainnamela ?domainname4a為疑似濫用域名。
[0076](7)黑名單匹配
[0077]將疑似濫用域名列表與黑名單進(jìn)行比對(duì)�,并取交集。若交集不為空�����,則判定其對(duì)應(yīng)的網(wǎng)站為不良網(wǎng)站。
[0078]以(5)中的疑似濫用域名列表為例:
[0079]假設(shè)黑名單中的域名序列包括
[0080](DOMAINNAMEabusel����,D0MAINNAMEabuse2,…DOMAINNAMEabusen)
[0081]若NETSTAT10N1 中的 domainname2a 與 D0MAINNAMEabuse2 相同����,則判定NETSTAT10N1為不良網(wǎng)站。
[0082]下面以實(shí)際的惡意網(wǎng)站為例��,說(shuō)明本發(fā)明的方法的實(shí)際判定過(guò)程:
[0083](1)惡意嵌套網(wǎng)站
[0084]頂級(jí)域?yàn)?CN 的網(wǎng)站其 URL 為:http://www.xiansx.com.cn/,通過(guò) common, js文件(文件部分內(nèi)容如圖1所示)嵌入了頂級(jí)域?yàn)?COM的網(wǎng)站�,其URL為:http://www.ag823.com/o在進(jìn)行網(wǎng)頁(yè)代碼檢測(cè)時(shí),并沒(méi)有檢測(cè)到不良元素存在��,但當(dāng)打開(kāi)對(duì)用戶而言看到的是后者���,一個(gè)賭博網(wǎng)站。
[0085](2)跳轉(zhuǎn)網(wǎng)站——.CN跳轉(zhuǎn)至.COM
[0086]頂級(jí)域?yàn)?CN的網(wǎng)站�����,其URL為http: //www.xiaoyanzi568.cn,從網(wǎng)絡(luò)爬蟲獲取的網(wǎng)頁(yè)代碼來(lái)看是南京中茂科技有限責(zé)任公司網(wǎng)站��,無(wú)法檢測(cè)到不良元素����。但該網(wǎng)站的實(shí)質(zhì)內(nèi)容卻為一個(gè)典型的賭博網(wǎng)站�����。該網(wǎng)站通過(guò)fery.js文件(文件部分內(nèi)容如圖2所示)惡意跳轉(zhuǎn)到頂級(jí)域?yàn)?COM的網(wǎng)站���,其URL為http://www.bzy888.com/�����。
[0087]在利用本發(fā)明的方法對(duì)上述兩個(gè)不良網(wǎng)站進(jìn)行判定時(shí),通過(guò)分析查詢?nèi)罩究刹东@其嵌套或跳轉(zhuǎn)至的不良域名�����,通過(guò)與黑名單進(jìn)行匹配���,最終均可完成對(duì)上述兩種不良網(wǎng)站的判定。
【主權(quán)項(xiàng)】
1.一種惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法�,包括以下步驟: 1)構(gòu)建一域名黑名單; 2)搭建一遞歸服務(wù)器�����,在一待判定網(wǎng)站發(fā)起域名查詢請(qǐng)求時(shí)進(jìn)行遞歸解析�����,同時(shí)啟用查詢?nèi)罩居涗浌δ?����,?duì)待判定網(wǎng)站發(fā)起的域名查詢請(qǐng)求進(jìn)行記錄��;同時(shí)設(shè)置一服務(wù)器的DNS查詢指向該遞歸服務(wù)器�����; 3)利用服務(wù)器模擬瀏覽器訪問(wèn)行為,對(duì)待判定網(wǎng)站進(jìn)行輪詢?cè)L問(wèn)����; 4)對(duì)遞歸服務(wù)器的查詢?nèi)罩具M(jìn)行分析���,捕獲各待判定網(wǎng)站的對(duì)應(yīng)的域名查詢序列��,對(duì)其進(jìn)行歸并���,形成待篩選的域名列表; 5)對(duì)于域名列表中的各域名進(jìn)行篩選����,形成疑似濫用域名列表; 6)將疑似濫用域名列表與所述域名黑名單進(jìn)行比對(duì)���,并取交集;若交集不為空�����,則判定該交集對(duì)應(yīng)的待判定網(wǎng)站為惡意網(wǎng)站����。2.如權(quán)利要求1所述的惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法,其特征在于��,步驟1)中所述域名黑名單的來(lái)源包括:公安部28類違法和不良的人工舉報(bào)數(shù)據(jù)���、中國(guó)反釣魚網(wǎng)站聯(lián)盟每日處理的數(shù)據(jù)及網(wǎng)絡(luò)公布數(shù)據(jù)�。3.如權(quán)利要求2所述的惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法���,其特征在于,所述網(wǎng)絡(luò)公布數(shù)據(jù)為phishingtank數(shù)據(jù)�����。4.如權(quán)利要求1所述的惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法�,其特征在于,步驟2)中所述遞歸服務(wù)器通過(guò)BIND軟件搭建��;所述啟動(dòng)查詢?nèi)罩居涗浌δ芡ㄟ^(guò)設(shè)置遞歸服務(wù)器的配置文件實(shí)現(xiàn)���。5.如權(quán)利要求1所述的惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法�,其特征在于��,步驟2)中所述模擬瀏覽器訪問(wèn)行為之前清除并禁用瀏覽器緩存及瀏覽器的DNS緩存����。6.如權(quán)利要求1所述的惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法��,其特征在于�,步驟3)中所述對(duì)待判定網(wǎng)站進(jìn)行輪詢?cè)L問(wèn)時(shí),每訪問(wèn)一個(gè)待判定網(wǎng)站��,再對(duì)一個(gè)不存在的網(wǎng)站進(jìn)行訪問(wèn)。7.如權(quán)利要求6所述的惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法�,其特征在于��,步驟4)中所述對(duì)遞歸服務(wù)器的查詢?nèi)罩具M(jìn)行分析�,捕獲各待判定網(wǎng)站的對(duì)應(yīng)的域名查詢序列包括�����,提取前后兩次訪問(wèn)該不存在的網(wǎng)站之間的查詢?nèi)罩尽?.如權(quán)利要求1所述的惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法�,其特征在于��,步驟4)中所述待篩選的域名列表的格式如下:NETSTAT10N1—> (domainnamel���,domainname2,.....)NETSTAT10N2—> (domainname3, domainname4,......) 其中 NETSTAT10N1���、NETSTAT10N2 為待判定網(wǎng)站���,domainnamel ?domainname4 為各網(wǎng)站對(duì)應(yīng)的待篩選的域名�。9.如權(quán)利要求1所述的惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法,其特征在于,步驟5)中所述對(duì)于域名列表中的各域名進(jìn)行篩選包括�,對(duì)于域名列表中的各域名依據(jù)其對(duì)應(yīng)的待判定網(wǎng)站的PR值進(jìn)行篩選��。10.如權(quán)利要求9所述的惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法,其特征在于�����,所述對(duì)于域名列表中的各域名依據(jù)其對(duì)應(yīng)的待判定網(wǎng)站的PR值進(jìn)行篩選包括���,若一待篩選域名對(duì)應(yīng)的網(wǎng)站的PR值小于一設(shè)定閥值�,則將此域名添加至疑似濫用域名列表,否貝1J����,判定該域名為非濫用域名����。
【專利摘要】本發(fā)明提出一種惡意跳轉(zhuǎn)及惡意嵌套類不良網(wǎng)站的自動(dòng)判定方法�,包括:1)構(gòu)建一域名黑名單;2)搭建一遞歸服務(wù)器,在一待判定網(wǎng)站發(fā)起域名查詢請(qǐng)求時(shí)進(jìn)行遞歸解析�,同時(shí)啟用查詢?nèi)罩居涗浌δ埽瑢?duì)待判定網(wǎng)站發(fā)起的域名查詢請(qǐng)求進(jìn)行記錄;3)利用服務(wù)器模擬瀏覽器訪問(wèn)行為��,對(duì)待判定網(wǎng)站進(jìn)行輪詢?cè)L問(wèn)�����;4)對(duì)遞歸服務(wù)器的查詢?nèi)罩具M(jìn)行分析��,形成待篩選的域名列表�;5)對(duì)于域名列表中的各域名進(jìn)行篩選,形成疑似濫用域名列表�����;6)將疑似濫用域名列表與所述域名黑名單進(jìn)行比對(duì),判定該待判定網(wǎng)站是否為惡意網(wǎng)站�����?;谟蛎馕觯ㄟ^(guò)模擬瀏覽器訪問(wèn)行為����,捕獲上述兩類網(wǎng)站的域名查詢集合��,最終通過(guò)黑名單匹配的機(jī)制實(shí)現(xiàn)兩類網(wǎng)站的判定����。
【IPC分類】H04L29/12, H04L29/06
【公開(kāi)號(hào)】CN105376217
【申請(qǐng)?zhí)枴緾N201510666766
【發(fā)明人】王翠翠, 耿光剛, 延志偉
【申請(qǐng)人】中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心
【公開(kāi)日】2016年3月2日
【申請(qǐng)日】2015年10月15日...