一种恶意域名鉴别方法及装置

本发明涉及网络攻击防御技术，具体涉及一种恶意域名鉴别方法及装置。

恶意域名是一种比较流行的网络攻击方法。常用于仿冒其他标准网站，帮 助病毒、木马更快地传播，窃取用户敏感信息，获取黑客攻击指令等攻击场景。

现有的防御技术一般都是基于恶意域名库进行封堵，恶意域名库一般来源 于攻击收集和逆向破解恶意木马程序，有一些专门的安全组织会定期更新恶意 域名库。还有一种防御方法是基于数据挖掘和云分析，收集大量的域名请求， 在本地或上传到云端，根据域名格式、长度和请求发起频率等行为方面的特征 进行分析挖掘来标记恶意域名。

但通过恶意域名库进行封堵，存在很大的滞后性，无法及时应对新出现的 恶意域名。而通过数据挖掘、云分析的方法具有开销大、准确度低的问题。

为解决现有存在的技术问题，本发明实施例期望提供一种恶意域名鉴别方 法及装置，能及时、准确地防御恶意域名的攻击，且开销小。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种恶意域名鉴别方法，所述方法包括：

记录申请访问或解析的域名与互联网协议IP地址的对应关系；

确定恶意IP地址，并根据域名与IP地址的对应关系，确定与所述恶意IP 地址对应的域名为恶意域名，并记录所确定的恶意域名；

根据记录的恶意域名对申请访问或解析的域名进行鉴别。

优选的，所述记录客户端访问的域名及IP地址的对应关系，包括：

域名系统DNS解析申请访问或解析的域名，获得与所述域名对应的IP地 址；

记录所述域名与所述IP地址的对应关系。

优选的，所述确定恶意IP地址，包括：

入侵防御系统IPS将具有攻击特征的IP地址标记为恶意IP地址。

优选的，所述记录所确定的恶意域名，包括：将所确定的恶意域名加入恶 意域名库；

相应的，所述根据记录的恶意域名对申请访问或解析的域名进行鉴别，包 括：

对申请访问或解析的域名进行鉴别，如果所述申请访问或解析的域名在所 述恶意域名库中，则对所述域名按设置的规则处理；

如果所述申请访问或解析的域名不在所述恶意域名库中，则启动DNS解 析，并记录域名与IP地址的对应关系。

优选的，所述方法还包括：

从互联网下载现有的恶意域名加入所述恶意域名库；和/或将本地的恶意域 名上传到互联网。

本发明实施例还提供了一种恶意域名鉴别装置，所述装置包括记录模块、 确定模块和鉴别模块；其中，

所述记录模块，用于记录申请访问或解析的域名与IP地址的对应关系；

所述确定模块，用于确定恶意IP地址，并根据域名与IP地址的对应关系， 确定与所述恶意IP地址对应的域名为恶意域名，并记录所确定的恶意域名；

所述鉴别模块，用于根据记录的恶意域名对申请访问或解析的域名进行鉴 别。

优选的，所述记录模块具体用于；

DNS解析申请访问或解析的域名，获得与所述域名对应的IP地址；

记录所述域名与所述IP地址的对应关系。

优选的，所述确定模块确定恶意IP地址为：IPS将具有攻击特征的IP地址 标记为恶意IP地址。

优选的，所述确定模块还包括：将所确定的恶意域名加入恶意域名库；

所述确定模块具体用于：

对申请访问或解析的域名进行鉴别，如果所述申请访问或解析的域名在所 述恶意域名库中时，则对所述域名按设置的规则处理；

如果所述申请访问或解析的域名不在所述恶意域名库中时，则启动DNS解 析，并记录域名与IP地址的对应关系。

优选的，所述确定模块还用于：

从互联网下载现有的恶意域名加入所述恶意域名库；和/或将本地的恶意域 名上传到互联网。

本发明实施例提供一种恶意域名鉴别方法及装置，记录申请访问或解析的 域名与互联网协议(IP，Internet Protocol)地址的对应关系；确定恶意IP地址， 并根据域名与IP地址的对应关系，确定与所述恶意IP地址对应的域名为恶意 域名，并记录所确定的恶意域名；根据记录的恶意域名对申请访问或解析的域 名进行鉴别；可见，本发明实施例基于本地的防御系统，建立恶意域名库，能 及时、准确的防御恶意域名的攻击，且开销小。

图1为本发明实施例一恶意域名鉴别方法的流程示意图；

图2为本发明实施例二恶意域名鉴别装置的示意图；

图3为本发明实施例三恶意域名鉴别系统的示意图。

下面将结合附图及具体实施例对本发明再做进一步的说明。

实施例一

图1为本发明实施例一恶意域名鉴别方法的流程示意图，所述方法的执行 主体可以是一台服务器，如：域名系统(DNS，Domain Name System)服务器 或入侵防御系统(IPS，Intrusion Prevention System)服务器，且所述服务器可 以是虚拟机。

如图1所示，所述恶意域名鉴别方法包括：

步骤101：记录申请访问或解析的域名与IP地址的对应关系；

具体的，DNS服务器解析申请访问或解析的域名，获得与所述域名对应的 IP地址；记录所述域名与所述IP地址的对应关系。

其中，记录所述域名与所述IP地址的对应关系，可以是建立一个以域名为 索引或称主键的域名数据库，这样便于查。

进一步的，在实际使用中，所述域名与所述IP地址的对应关系除了一一对 应外，还可能是一对多或多对一的关系；对于这种情况，需记录所有对应关系； 另外，为避免鉴别错误，影响正常使用，可在后续步骤中，通过建立白名单解 决。

对于没有解析到对应IP地址的域名，可直接通过后续步骤标记为恶意域 名。

步骤102：确定恶意IP地址，并根据域名与IP地址的对应关系，确定与所 述恶意IP地址对应的域名为恶意域名，并记录所确定的恶意域名；

这里，所述记录可以将所确定的恶意域名加入恶意域名库；也可以采用表 格方式，将所确定的恶意域名加入恶意域名表。

所述确定具体包括：IPS将具有攻击特征的IP地址标记为恶意IP地址；根 据域名与IP地址的对应关系，确定与所述恶意IP地址对应的域名为恶意域名。

通常，IPS能够监视网络或网络设备的网络资料传输行为，及时识别攻击 程序或有害代码及其克隆和变种；在本发明实施例中，IPS能发现具有攻击特 征的IP地址，并将此类IP地址标记为恶意IP地址；

其中，是否具有攻击特征可以根据IPS标记的攻击次数或攻击频率来确定；

进一步的，还可以根据IPS标记的攻击次数多少、攻击频率高低、以及攻 击行为的危害程度，对恶意域名的严重程度进行分类，并在恶意域名表中标记； 也就是说，可以根据IP地址的攻击次数、攻击频率、攻击行为的严重程度，来 标记对应恶意域名的严重程度。

更进一步的，识别恶意IP地址也可以由入侵检测系统(IDS，Intrusion Detection Systems)或其它的安全防御系统完成，在此不做详述。

另外，判断所述攻击特征的条件也可以有很多，不仅限于攻击次数或频率， 在此不做详述。

另外，对于没有解析到对应IP地址的域名，会直接标记为恶意域名，这样 不会重复解析，增加服务器的开销。

本步骤中，所述恶意域名库或恶意域名表可保存在本地，一般，为避免遗 漏对恶意域名的防御，恶意域名库或恶意域名表的内容原则上只能增加、不能 减少，但在服务器存储空间紧张的情况下，可以清理设定时间之前的记录；

进一步的，被记录为恶意域名的IP地址，在没有被封堵的情况下，在设定 的时间内未再发现攻击的特征，也可以将其从恶意域名表中删除。

增加的途径除了上述的本地服务器鉴别的恶意域名外，也可以从互联网下 载现有的恶意域名，如专门的安全组织会定期更新的恶意域名；当然，也可以 将本地的恶意域名上传到互联网，分享给网络上其它终端。

进一步的，如果确实有鉴别错误，影响到正常使用的，可以通过建白名单 解决；如：在执行本发明实施例方法的服务器上建白名单，这样，鉴别时可以 对白名单上的域名忽略，不处理；此处所述服务器可以是DNS服务器、或IPS 服务器。

步骤103：根据记录的恶意域名对申请访问或解析的域名进行鉴别。

具体的，对申请访问或解析的域名进行鉴别时，如果所述申请访问或解析 的域名在记录的恶意域名中，则对当前鉴别的域名按设置的规则处理；

这里，设置的规则是指应对病毒、木马包括恶意域名的处理方法，如报警、 封堵等，本技术领域有很多通用做法，在此不做赘述。

如果所述申请访问或解析的域名不在记录的恶意域名中，则启动DNS解 析，并记录域名与IP地址的对应关系，即：完成步骤101的内容，这里不再重 复说明。

实施例二

图2为本发明实施例二一种恶意域名鉴别装置的示意图，如图2所示，所 述装置包括：记录模块21、确定模块22和鉴别模块23；其中，

所述记录模块21，用于记录申请访问或解析的域名与IP地址的对应关系；

所述确定模块22，用于确定恶意IP地址，并根据域名与IP地址的对应关 系，确定与所述恶意IP地址对应的恶意域名，将所述恶意域名加入恶意域名库；

所述鉴别模块23，用于根据所述恶意域名库对申请访问或解析的域名进行 鉴别。

为了说明的更清楚，下面将分别对各个模块作详细说明：

所述记录模块21，用于记录申请访问或解析的域名与IP地址的对应关系；

具体的，DNS服务器解析申请访问或解析的域名，获得与所述域名对应的 IP地址；记录所述域名与所述IP地址的对应关系。

其中，记录所述域名与所述IP地址的对应关系，可以是建立一个以域名为 为索引或称主键的域名数据库，这样便于查。

进一步的，在实际使用中，所述域名与所述IP地址的对应关系除了一一对 应外，还可能是一对多或多对一的关系；对于这种情况，需记录所有对应关系； 另外，为避免鉴别错误，影响正常使用，可在其它模块中，通过建立白名单解 决。

对于没有解析到对应IP地址的域名，可通过确定模块22标记为恶意域名。

所述确定模块22，用于确定恶意IP地址，并根据域名与IP地址的对应关 系，确定与所述恶意IP地址对应的域名为恶意域名，并记录所确定的恶意域名；

这里，所述记录可以将所确定的恶意域名加入恶意域名库；也可以采用表 格方式，将所确定的恶意域名加入恶意域名表。

所述确定具体包括：IPS将具有攻击特征的IP地址标记为恶意IP地址；根 据域名与IP地址的对应关系，确定与所述恶意IP地址对应的恶意域名。

通常，IPS能够监视网络或网络设备的网络资料传输行为，及时识别攻击 程序或有害代码及其克隆和变种；在本发明实施例中，IPS能发现具有攻击特 征的IP地址，并将此类IP地址标记为恶意IP地址；

其中，是否具有攻击特征可以根据IPS标记的攻击次数或攻击频率来确定；

进一步的，还可以根据IPS标记的攻击次数多少、攻击频率高低、以及攻 击行为的危害程度，对恶意域名的严重程度进行分类，并在恶意域名表中标记； 也就是说，可以根据IP地址的攻击次数、攻击频率、攻击行为的严重程度，来 标记对应恶意域名的严重程度。

更进一步的，识别恶意IP地址也可以由IDS或其它的安全防御系统完成， 在此不做详述。

另外，判断所述攻击特征的条件也可以有很多，不仅限于攻击次数或频率， 在此不做详述。

另外，对于没有解析到对应IP地址的域名，会直接标记为恶意域名，这样 不会重复解析，增加服务器的开销。

所述恶意域名库或恶意域名表可保存在本地，一般，为避免遗漏对恶意域 名的防御，恶意域名库或恶意域名表的内容原则上只能增加、不能减少，但在 服务器存储空间紧张的情况下，可以清理设定时间之前的记录；

进一步的，被记录为恶意域名的IP地址，在没有被封堵的情况下，在设定 的时间内未再发现攻击的特征，也可以将其从恶意域名表中删除。

增加的途径除了上述的本地服务器鉴别的恶意域名外，也可以从互联网下 载现有的恶意域名，如专门的安全组织会定期更新的恶意域名；当然，也可以 将本地的恶意域名上传到互联网，分享给网络上其它终端。

进一步的，如果确实有鉴别错误，影响到正常使用的，可以通过建白名单 解决；如：在服务器上建白名单，这样，鉴别时可以对白名单上的域名忽略， 不处理；此处所述服务器可以是DNS服务器、或IPS服务器。

所述鉴别模块23，用于根据记录的恶意域名对申请访问或解析的域名进行 鉴别。

具体的，对申请访问或解析的域名进行鉴别时，如果所述申请访问或解析 的域名在记录的恶意域名中，则对当前鉴别的域名按设置的规则处理；

这里，设置的规则是指应对病毒、木马包括恶意域名的处理方法，如报警、 封堵等，本技术领域有很多通用做法，在此不做赘述。

如果所述申请访问或解析的域名不在记录的恶意域名中，则启动DNS解 析，并记录域名与IP地址的对应关系，即：记录模块21的功能，这里不再重 复说明。

在实际应用中，所述记录模块21、确定模块22和鉴别模块23均可由位于 服务器的中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或 现场可编程门阵列(FPGA)等实现。

实施例三

基于实施例二的恶意域名鉴别装置，在实际应用中，可以提供一种恶意域 名鉴别系统。

图3为本发明实施例三恶意域名鉴别系统的示意图，如图3所示，所述恶 意域名鉴别系统包括：DNS服务器31、IPS服务器32、云端客户机33、云端 服务器34，其中，

所述DNS服务器31用于：鉴别申请访问或解析的域名，如果所述域名为 白名单中的，则直接忽略，让其进入IPS服务器32；

如果所述域名为恶意域名库中的域名，则进行相应处理，如禁止进入等；

如果所述域名既不在白名单中，也不在恶意域名库中，则进行解析，并记 录域名和IP地址的对应关系，具体的是记录到域名地址关联表。

所述IPS服务器32用于：监视网络或网络设备的网络资料传输行为，及时 识别攻击程序或有害代码及其克隆和变种，将具有攻击特征的IP地址标记为恶 意IP地址，并根据域名地址关联表，确定与所述恶意IP地址对应的恶意域名， 将所述恶意域名加入恶意域名库；

所述云端客户机33用于：将恶意域名库上传到云端服务器34，同时也会 将云端恶意域名库的恶意域名下载到恶意域名库；

所述云端服务器34用于：将所有云端客户机模块上传的恶意域名进行分析 汇总，并建立云端恶意域名库，供云端客户机33下载。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范 围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应 包含在本发明的保护范围之内。