一種惡意域名鑒別方法及裝置的制造方法
【專利摘要】本發(fā)明公開(kāi)了一種惡意域名鑒別方法及裝置��,記錄申請(qǐng)?jiān)L問(wèn)或解析的域名與IP地址的對(duì)應(yīng)關(guān)系���;確定惡意IP地址�����,并根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系�,確定與所述惡意IP地址對(duì)應(yīng)的域名為惡意域名,并記錄所確定的惡意域名�;根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別。
【專利說(shuō)明】
一種惡意域名鑒別方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)攻擊防御技術(shù)�����,具體涉及一種惡意域名鑒別方法及裝置����。
【背景技術(shù)】
[0002]惡意域名是一種比較流行的網(wǎng)絡(luò)攻擊方法。常用于仿冒其他標(biāo)準(zhǔn)網(wǎng)站��,幫助病毒��、木馬更快地傳播���,竊取用戶敏感信息����,獲取黑客攻擊指令等攻擊場(chǎng)景����。
[0003]現(xiàn)有的防御技術(shù)一般都是基于惡意域名庫(kù)進(jìn)行封堵,惡意域名庫(kù)一般來(lái)源于攻擊收集和逆向破解惡意木馬程序��,有一些專門(mén)的安全組織會(huì)定期更新惡意域名庫(kù)����。還有一種防御方法是基于數(shù)據(jù)挖掘和云分析,收集大量的域名請(qǐng)求�,在本地或上傳到云端,根據(jù)域名格式���、長(zhǎng)度和請(qǐng)求發(fā)起頻率等行為方面的特征進(jìn)行分析挖掘來(lái)標(biāo)記惡意域名�����。
[0004]但通過(guò)惡意域名庫(kù)進(jìn)行封堵����,存在很大的滯后性���,無(wú)法及時(shí)應(yīng)對(duì)新出現(xiàn)的惡意域名�����。而通過(guò)數(shù)據(jù)挖掘���、云分析的方法具有開(kāi)銷大��、準(zhǔn)確度低的問(wèn)題�����。
【發(fā)明內(nèi)容】
[0005]為解決現(xiàn)有存在的技術(shù)問(wèn)題����,本發(fā)明實(shí)施例期望提供一種惡意域名鑒別方法及裝置��,能及時(shí)�、準(zhǔn)確地防御惡意域名的攻擊,且開(kāi)銷小���。
[0006]為達(dá)到上述目的�����,本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0007]本發(fā)明實(shí)施例提供了一種惡意域名鑒別方法���,所述方法包括:
[0008]記錄申請(qǐng)?jiān)L問(wèn)或解析的域名與互聯(lián)網(wǎng)協(xié)議IP地址的對(duì)應(yīng)關(guān)系�����;
[0009]確定惡意IP地址���,并根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系����,確定與所述惡意IP地址對(duì)應(yīng)的域名為惡意域名,并記錄所確定的惡意域名���;
[0010]根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別�����。
[0011 ]優(yōu)選的�����,所述記錄客戶端訪問(wèn)的域名及IP地址的對(duì)應(yīng)關(guān)系��,包括:
[0012]域名系統(tǒng)DNS解析申請(qǐng)?jiān)L問(wèn)或解析的域名��,獲得與所述域名對(duì)應(yīng)的IP地址����;
[0013]記錄所述域名與所述IP地址的對(duì)應(yīng)關(guān)系。
[0014]優(yōu)選的��,所述確定惡意IP地址��,包括:
[0015]入侵防御系統(tǒng)IPS將具有攻擊特征的IP地址標(biāo)記為惡意IP地址��。
[0016]優(yōu)選的���,所述記錄所確定的惡意域名���,包括:將所確定的惡意域名加入惡意域名庫(kù);
[0017]相應(yīng)的�,所述根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別,包括:
[0018]對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別�����,如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名在所述惡意域名庫(kù)中����,則對(duì)所述域名按設(shè)置的規(guī)則處理;
[0019]如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名不在所述惡意域名庫(kù)中�����,則啟動(dòng)DNS解析,并記錄域名與IP地址的對(duì)應(yīng)關(guān)系�����。
[0020]優(yōu)選的��,所述方法還包括:
[0021]從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名加入所述惡意域名庫(kù)��;和/或?qū)⒈镜氐膼阂庥蛎蟼鞯交ヂ?lián)網(wǎng)��。
[0022]本發(fā)明實(shí)施例還提供了一種惡意域名鑒別裝置���,所述裝置包括記錄模塊、確定模塊和鑒別模塊;其中�����,
[0023]所述記錄模塊�,用于記錄申請(qǐng)?jiān)L問(wèn)或解析的域名與IP地址的對(duì)應(yīng)關(guān)系;
[0024]所述確定模塊�,用于確定惡意IP地址,并根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系����,確定與所述惡意IP地址對(duì)應(yīng)的域名為惡意域名����,并記錄所確定的惡意域名��;
[0025]所述鑒別模塊���,用于根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別�。
[0026]優(yōu)選的�����,所述記錄模塊具體用于�����;
[0027]DNS解析申請(qǐng)?jiān)L問(wèn)或解析的域名��,獲得與所述域名對(duì)應(yīng)的IP地址����;
[0028]記錄所述域名與所述IP地址的對(duì)應(yīng)關(guān)系�。
[0029]優(yōu)選的�����,所述確定模塊確定惡意IP地址為:IPS將具有攻擊特征的IP地址標(biāo)記為惡意IP地址�。
[0030]優(yōu)選的��,所述確定模塊還包括:將所確定的惡意域名加入惡意域名庫(kù);
[0031 ]所述確定模塊具體用于:
[0032]對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別�,如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名在所述惡意域名庫(kù)中時(shí),則對(duì)所述域名按設(shè)置的規(guī)則處理;
[0033]如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名不在所述惡意域名庫(kù)中時(shí)�����,則啟動(dòng)DNS解析�,并記錄域名與IP地址的對(duì)應(yīng)關(guān)系�����。
[0034]優(yōu)選的��,所述確定模塊還用于:
[0035]從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名加入所述惡意域名庫(kù)��;和/或?qū)⒈镜氐膼阂庥蛎蟼鞯交ヂ?lián)網(wǎng)���。
[0036]本發(fā)明實(shí)施例提供一種惡意域名鑒別方法及裝置����,記錄申請(qǐng)?jiān)L問(wèn)或解析的域名與互聯(lián)網(wǎng)協(xié)議(IP���,Internet Protocol)地址的對(duì)應(yīng)關(guān)系���;確定惡意IP地址���,并根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系,確定與所述惡意IP地址對(duì)應(yīng)的域名為惡意域名�����,并記錄所確定的惡意域名;根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別;可見(jiàn)��,本發(fā)明實(shí)施例基于本地的防御系統(tǒng),建立惡意域名庫(kù),能及時(shí)、準(zhǔn)確的防御惡意域名的攻擊�����,且開(kāi)銷小。
【附圖說(shuō)明】
[0037]圖1為本發(fā)明實(shí)施例一惡意域名鑒別方法的流程示意圖����;
[0038]圖2為本發(fā)明實(shí)施例二惡意域名鑒別裝置的示意圖����;
[0039]圖3為本發(fā)明實(shí)施例三惡意域名鑒別系統(tǒng)的示意圖。
【具體實(shí)施方式】
[0040]下面將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再做進(jìn)一步的說(shuō)明��。
[0041 ] 實(shí)施例一
[0042]圖1為本發(fā)明實(shí)施例一惡意域名鑒別方法的流程示意圖���,所述方法的執(zhí)行主體可以是一臺(tái)服務(wù)器�,如:域名系統(tǒng)(DNS����,Domain Name System)服務(wù)器或入侵防御系統(tǒng)(IPS,Intrus1n Prevent1n System)服務(wù)器�,且所述服務(wù)器可以是虛擬機(jī)。
[0043]如圖1所示�,所述惡意域名鑒別方法包括:
[0044]步驟101:記錄申請(qǐng)?jiān)L問(wèn)或解析的域名與IP地址的對(duì)應(yīng)關(guān)系;
[0045]具體的����,DNS服務(wù)器解析申請(qǐng)?jiān)L問(wèn)或解析的域名��,獲得與所述域名對(duì)應(yīng)的IP地址�;記錄所述域名與所述IP地址的對(duì)應(yīng)關(guān)系�。
[0046]其中,記錄所述域名與所述IP地址的對(duì)應(yīng)關(guān)系����,可以是建立一個(gè)以域名為索引或稱主鍵的域名數(shù)據(jù)庫(kù),這樣便于查找���。
[0047]進(jìn)一步的��,在實(shí)際使用中���,所述域名與所述IP地址的對(duì)應(yīng)關(guān)系除了一一對(duì)應(yīng)外,還可能是一對(duì)多或多對(duì)一的關(guān)系;對(duì)于這種情況����,需記錄所有對(duì)應(yīng)關(guān)系;另外���,為避免鑒別錯(cuò)誤�,影響正常使用,可在后續(xù)步驟中�����,通過(guò)建立白名單解決�。
[0048]對(duì)于沒(méi)有解析到對(duì)應(yīng)IP地址的域名,可直接通過(guò)后續(xù)步驟標(biāo)記為惡意域名���。
[0049]步驟102:確定惡意IP地址,并根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系��,確定與所述惡意IP地址對(duì)應(yīng)的域名為惡意域名����,并記錄所確定的惡意域名;
[0050]這里���,所述記錄可以將所確定的惡意域名加入惡意域名庫(kù);也可以采用表格方式��,將所確定的惡意域名加入惡意域名表����。
[0051]所述確定具體包括:1PS將具有攻擊特征的IP地址標(biāo)記為惡意IP地址;根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系��,確定與所述惡意IP地址對(duì)應(yīng)的域名為惡意域名����。
[0052]通常�����,IPS能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為��,及時(shí)識(shí)別攻擊程序或有害代碼及其克隆和變種;在本發(fā)明實(shí)施例中�,IPS能發(fā)現(xiàn)具有攻擊特征的IP地址����,并將此類IP地址標(biāo)記為惡意IP地址;
[0053]其中�����,是否具有攻擊特征可以根據(jù)IPS標(biāo)記的攻擊次數(shù)或攻擊頻率來(lái)確定���;
[0054]進(jìn)一步的�����,還可以根據(jù)IPS標(biāo)記的攻擊次數(shù)多少�、攻擊頻率高低、以及攻擊行為的危害程度���,對(duì)惡意域名的嚴(yán)重程度進(jìn)行分類�,并在惡意域名表中標(biāo)記;也就是說(shuō)���,可以根據(jù)IP地址的攻擊次數(shù)�����、攻擊頻率、攻擊行為的嚴(yán)重程度�,來(lái)標(biāo)記對(duì)應(yīng)惡意域名的嚴(yán)重程度。
[0055]更進(jìn)一步的�����,識(shí)別惡意IP地址也可以由入侵檢測(cè)系統(tǒng)(IDS����,Intrus1nDetect1nSystems)或其它的安全防御系統(tǒng)完成,在此不做詳述�。
[0056]另外,判斷所述攻擊特征的條件也可以有很多��,不僅限于攻擊次數(shù)或頻率,在此不做詳述�。
[0057]另外,對(duì)于沒(méi)有解析到對(duì)應(yīng)IP地址的域名�����,會(huì)直接標(biāo)記為惡意域名����,這樣不會(huì)重復(fù)解析,增加服務(wù)器的開(kāi)銷����。
[0058]本步驟中,所述惡意域名庫(kù)或惡意域名表可保存在本地���,一般��,為避免遺漏對(duì)惡意域名的防御��,惡意域名庫(kù)或惡意域名表的內(nèi)容原則上只能增加�、不能減少���,但在服務(wù)器存儲(chǔ)空間緊張的情況下�,可以清理設(shè)定時(shí)間之前的記錄;
[0059]進(jìn)一步的��,被記錄為惡意域名的IP地址����,在沒(méi)有被封堵的情況下,在設(shè)定的時(shí)間內(nèi)未再發(fā)現(xiàn)攻擊的特征����,也可以將其從惡意域名表中刪除。
[0060]增加的途徑除了上述的本地服務(wù)器鑒別的惡意域名外���,也可以從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名�����,如專門(mén)的安全組織會(huì)定期更新的惡意域名;當(dāng)然�,也可以將本地的惡意域名上傳到互聯(lián)網(wǎng),分享給網(wǎng)絡(luò)上其它終端�。
[0061]進(jìn)一步的,如果確實(shí)有鑒別錯(cuò)誤�����,影響到正常使用的,可以通過(guò)建白名單解決;如:在執(zhí)行本發(fā)明實(shí)施例方法的服務(wù)器上建白名單���,這樣���,鑒別時(shí)可以對(duì)白名單上的域名忽略,不處理;此處所述服務(wù)器可以是DNS服務(wù)器�����、或IPS服務(wù)器�。
[0062]步驟103:根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別。
[0063]具體的����,對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別時(shí),如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名在記錄的惡意域名中�����,則對(duì)當(dāng)前鑒別的域名按設(shè)置的規(guī)則處理����;
[0064]這里,設(shè)置的規(guī)則是指應(yīng)對(duì)病毒�����、木馬包括惡意域名的處理方法,如報(bào)警����、封堵等,本技術(shù)領(lǐng)域有很多通用做法�,在此不做贅述。
[0065]如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名不在記錄的惡意域名中���,則啟動(dòng)DNS解析��,并記錄域名與IP地址的對(duì)應(yīng)關(guān)系�����,即:完成步驟101的內(nèi)容����,這里不再重復(fù)說(shuō)明���。
[0066]實(shí)施例二
[0067]圖2為本發(fā)明實(shí)施例二一種惡意域名鑒別裝置的示意圖,如圖2所示�����,所述裝置包括:記錄模塊21、確定模塊22和鑒別模塊23;其中��,
[0068]所述記錄模塊21�����,用于記錄申請(qǐng)?jiān)L問(wèn)或解析的域名與IP地址的對(duì)應(yīng)關(guān)系���;
[0069 ]所述確定模塊2 2����,用于確定惡意IP地址����,并根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系,確定與所述惡意IP地址對(duì)應(yīng)的惡意域名����,將所述惡意域名加入惡意域名庫(kù);
[0070]所述鑒別模塊23�,用于根據(jù)所述惡意域名庫(kù)對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別。[0071 ]為了說(shuō)明的更清楚�,下面將分別對(duì)各個(gè)模塊作詳細(xì)說(shuō)明:
[0072]所述記錄模塊21����,用于記錄申請(qǐng)?jiān)L問(wèn)或解析的域名與IP地址的對(duì)應(yīng)關(guān)系����;
[0073]具體的,DNS服務(wù)器解析申請(qǐng)?jiān)L問(wèn)或解析的域名�,獲得與所述域名對(duì)應(yīng)的IP地址;記錄所述域名與所述IP地址的對(duì)應(yīng)關(guān)系����。
[0074]其中,記錄所述域名與所述IP地址的對(duì)應(yīng)關(guān)系��,可以是建立一個(gè)以域名為為索引或稱主鍵的域名數(shù)據(jù)庫(kù)�����,這樣便于查找��。
[0075]進(jìn)一步的���,在實(shí)際使用中�����,所述域名與所述IP地址的對(duì)應(yīng)關(guān)系除了一一對(duì)應(yīng)外�����,還可能是一對(duì)多或多對(duì)一的關(guān)系;對(duì)于這種情況��,需記錄所有對(duì)應(yīng)關(guān)系����;另外��,為避免鑒別錯(cuò)誤��,影響正常使用�,可在其它模塊中,通過(guò)建立白名單解決���。
[0076]對(duì)于沒(méi)有解析到對(duì)應(yīng)IP地址的域名�����,可通過(guò)確定模塊22標(biāo)記為惡意域名�。
[0077]所述確定模塊22,用于確定惡意IP地址���,并根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系����,確定與所述惡意IP地址對(duì)應(yīng)的域名為惡意域名�����,并記錄所確定的惡意域名����;
[0078]這里,所述記錄可以將所確定的惡意域名加入惡意域名庫(kù);也可以采用表格方式���,將所確定的惡意域名加入惡意域名表�。
[0079]所述確定具體包括:1PS將具有攻擊特征的IP地址標(biāo)記為惡意IP地址;根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系�,確定與所述惡意IP地址對(duì)應(yīng)的惡意域名。
[0080]通常���,IPS能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為����,及時(shí)識(shí)別攻擊程序或有害代碼及其克隆和變種;在本發(fā)明實(shí)施例中,IPS能發(fā)現(xiàn)具有攻擊特征的IP地址�����,并將此類IP地址標(biāo)記為惡意IP地址��;
[0081 ]其中��,是否具有攻擊特征可以根據(jù)IPS標(biāo)記的攻擊次數(shù)或攻擊頻率來(lái)確定��;
[0082]進(jìn)一步的���,還可以根據(jù)IPS標(biāo)記的攻擊次數(shù)多少、攻擊頻率高低��、以及攻擊行為的危害程度���,對(duì)惡意域名的嚴(yán)重程度進(jìn)行分類��,并在惡意域名表中標(biāo)記;也就是說(shuō)��,可以根據(jù)IP地址的攻擊次數(shù)�����、攻擊頻率��、攻擊行為的嚴(yán)重程度�,來(lái)標(biāo)記對(duì)應(yīng)惡意域名的嚴(yán)重程度。
[0083]更進(jìn)一步的����,識(shí)別惡意IP地址也可以由IDS或其它的安全防御系統(tǒng)完成,在此不做詳述�。
[0084]另外,判斷所述攻擊特征的條件也可以有很多���,不僅限于攻擊次數(shù)或頻率�����,在此不做詳述�����。
[0085]另外�����,對(duì)于沒(méi)有解析到對(duì)應(yīng)IP地址的域名�,會(huì)直接標(biāo)記為惡意域名,這樣不會(huì)重復(fù)解析��,增加服務(wù)器的開(kāi)銷�。
[0086]所述惡意域名庫(kù)或惡意域名表可保存在本地,一般���,為避免遺漏對(duì)惡意域名的防御����,惡意域名庫(kù)或惡意域名表的內(nèi)容原則上只能增加�、不能減少���,但在服務(wù)器存儲(chǔ)空間緊張的情況下���,可以清理設(shè)定時(shí)間之前的記錄;
[0087]進(jìn)一步的�,被記錄為惡意域名的IP地址,在沒(méi)有被封堵的情況下�����,在設(shè)定的時(shí)間內(nèi)未再發(fā)現(xiàn)攻擊的特征����,也可以將其從惡意域名表中刪除�。
[0088]增加的途徑除了上述的本地服務(wù)器鑒別的惡意域名外���,也可以從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名��,如專門(mén)的安全組織會(huì)定期更新的惡意域名�����;當(dāng)然�,也可以將本地的惡意域名上傳到互聯(lián)網(wǎng)�,分享給網(wǎng)絡(luò)上其它終端。
[0089]進(jìn)一步的����,如果確實(shí)有鑒別錯(cuò)誤,影響到正常使用的��,可以通過(guò)建白名單解決;如:在服務(wù)器上建白名單�����,這樣�,鑒別時(shí)可以對(duì)白名單上的域名忽略����,不處理;此處所述服務(wù)器可以是DNS服務(wù)器�、或IPS服務(wù)器。
[0090]所述鑒別模塊23����,用于根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別。
[0091]具體的�,對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別時(shí),如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名在記錄的惡意域名中�,則對(duì)當(dāng)前鑒別的域名按設(shè)置的規(guī)則處理�;
[0092]這里,設(shè)置的規(guī)則是指應(yīng)對(duì)病毒�、木馬包括惡意域名的處理方法,如報(bào)警�����、封堵等�����,本技術(shù)領(lǐng)域有很多通用做法��,在此不做贅述。
[0093]如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名不在記錄的惡意域名中���,則啟動(dòng)DNS解析��,并記錄域名與IP地址的對(duì)應(yīng)關(guān)系�����,即:記錄模塊21的功能�,這里不再重復(fù)說(shuō)明����。
[0094]在實(shí)際應(yīng)用中,所述記錄模塊21�����、確定模塊22和鑒別模塊23均可由位于服務(wù)器的中央處理器(CPU)�、微處理器(MPU)、數(shù)字信號(hào)處理器(DSP)���、或現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)等實(shí)現(xiàn)����。
[0095]實(shí)施例三
[0096]基于實(shí)施例二的惡意域名鑒別裝置,在實(shí)際應(yīng)用中�����,可以提供一種惡意域名鑒別系統(tǒng)�����。
[0097]圖3為本發(fā)明實(shí)施例三惡意域名鑒別系統(tǒng)的示意圖�,如圖3所示,所述惡意域名鑒別系統(tǒng)包括:DNS服務(wù)器31�、IPS服務(wù)器32、云端客戶機(jī)33����、云端服務(wù)器34,其中���,
[0098]所述DNS服務(wù)器31用于:鑒別申請(qǐng)?jiān)L問(wèn)或解析的域名,如果所述域名為白名單中的���,則直接忽略����,讓其進(jìn)入IPS服務(wù)器32;
[0099]如果所述域名為惡意域名庫(kù)中的域名,則進(jìn)行相應(yīng)處理��,如禁止進(jìn)入等��;
[0100]如果所述域名既不在白名單中�����,也不在惡意域名庫(kù)中�����,則進(jìn)行解析��,并記錄域名和IP地址的對(duì)應(yīng)關(guān)系���,具體的是記錄到域名地址關(guān)聯(lián)表����。
[0101]所述IPS服務(wù)器32用于:監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為�����,及時(shí)識(shí)別攻擊程序或有害代碼及其克隆和變種,將具有攻擊特征的IP地址標(biāo)記為惡意IP地址�����,并根據(jù)域名地址關(guān)聯(lián)表����,確定與所述惡意IP地址對(duì)應(yīng)的惡意域名,將所述惡意域名加入惡意域名庫(kù)�����;
[0102]所述云端客戶機(jī)33用于:將惡意域名庫(kù)上傳到云端服務(wù)器34�����,同時(shí)也會(huì)將云端惡意域名庫(kù)的惡意域名下載到惡意域名庫(kù)��;
[0103]所述云端服務(wù)器34用于:將所有云端客戶機(jī)模塊上傳的惡意域名進(jìn)行分析匯總�����,并建立云端惡意域名庫(kù)��,供云端客戶機(jī)33下載����。
[0104]以上所述,僅為本發(fā)明的較佳實(shí)施例而已���,并非用于限定本發(fā)明的保護(hù)范圍�����,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改����、等同替換和改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1.一種惡意域名鑒別方法�����,其特征在于�����,所述方法包括: 記錄申請(qǐng)?jiān)L問(wèn)或解析的域名與互聯(lián)網(wǎng)協(xié)議IP地址的對(duì)應(yīng)關(guān)系�; 確定惡意IP地址,并根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系�,確定與所述惡意IP地址對(duì)應(yīng)的域名為惡意域名��,并記錄所確定的惡意域名��; 根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別����。2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述記錄客戶端訪問(wèn)的域名及IP地址的對(duì)應(yīng)關(guān)系�,包括: 域名系統(tǒng)DNS解析申請(qǐng)?jiān)L問(wèn)或解析的域名,獲得與所述域名對(duì)應(yīng)的IP地址�; 記錄所述域名與所述IP地址的對(duì)應(yīng)關(guān)系。3.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,所述確定惡意IP地址����,包括: 入侵防御系統(tǒng)IPS將具有攻擊特征的IP地址標(biāo)記為惡意IP地址。4.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于����,所述記錄所確定的惡意域名�����,包括:將所確定的惡意域名加入惡意域名庫(kù); 相應(yīng)的�����,所述根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別�����,包括: 對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別�����,如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名在所述惡意域名庫(kù)中���,則對(duì)所述域名按設(shè)置的規(guī)則處理�; 如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名不在所述惡意域名庫(kù)中��,則啟動(dòng)DNS解析��,并記錄域名與IP地址的對(duì)應(yīng)關(guān)系��。5.根據(jù)權(quán)利要求4所述的方法,其特征在于���,所述方法還包括: 從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名加入所述惡意域名庫(kù)����;和/或?qū)⒈镜氐膼阂庥蛎蟼鞯交ヂ?lián)網(wǎng)���。6.—種惡意域名鑒別裝置�,其特征在于,所述裝置包括記錄模塊�、確定模塊和鑒別模塊;其中, 所述記錄模塊�,用于記錄申請(qǐng)?jiān)L問(wèn)或解析的域名與IP地址的對(duì)應(yīng)關(guān)系�����; 所述確定模塊���,用于確定惡意IP地址�����,并根據(jù)域名與IP地址的對(duì)應(yīng)關(guān)系�,確定與所述惡意IP地址對(duì)應(yīng)的域名為惡意域名,并記錄所確定的惡意域名���; 所述鑒別模塊���,用于根據(jù)記錄的惡意域名對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別����。7.根據(jù)權(quán)利要求6所述的裝置�����,其特征在于�����,所述記錄模塊具體用于����; DNS解析申請(qǐng)?jiān)L問(wèn)或解析的域名,獲得與所述域名對(duì)應(yīng)的IP地址��; 記錄所述域名與所述IP地址的對(duì)應(yīng)關(guān)系��。8.根據(jù)權(quán)利要求6或7所述的裝置���,其特征在于�����,所述確定模塊確定惡意IP地址為:IPS將具有攻擊特征的IP地址標(biāo)記為惡意IP地址�。9.根據(jù)權(quán)利要求6或7所述的裝置,其特征在于�,所述確定模塊還包括:將所確定的惡意域名加入惡意域名庫(kù); 所述確定模塊具體用于: 對(duì)申請(qǐng)?jiān)L問(wèn)或解析的域名進(jìn)行鑒別����,如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名在所述惡意域名庫(kù)中時(shí),則對(duì)所述域名按設(shè)置的規(guī)則處理��; 如果所述申請(qǐng)?jiān)L問(wèn)或解析的域名不在所述惡意域名庫(kù)中時(shí)�����,則啟動(dòng)DNS解析���,并記錄域名與IP地址的對(duì)應(yīng)關(guān)系。10.根據(jù)權(quán)利要求9所述的裝置����,其特征在于,所述確定模塊還用于: 從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名加入所述惡意域名庫(kù)���;和/或?qū)⒈镜氐膼阂庥蛎蟼鞯交ヂ?lián)網(wǎng)D
【文檔編號(hào)】H04L29/12GK105959294SQ201610440440
【公開(kāi)日】2016年9月21日
【申請(qǐng)日】2016年6月17日
【發(fā)明人】陳鑫
【申請(qǐng)人】北京網(wǎng)康科技有限公司