本发明专利技术公开了一种恶意域名鉴别方法及装置,记录申请访问或解析的域名与IP地址的对应关系;确定恶意IP地址,并根据域名与IP地址的对应关系,确定与所述恶意IP地址对应的域名为恶意域名,并记录所确定的恶意域名;根据记录的恶意域名对申请访问或解析的域名进行鉴别。
【技术实现步骤摘要】
本专利技术涉及网络攻击防御技术,具体涉及一种恶意域名鉴别方法及装置。
技术介绍
恶意域名是一种比较流行的网络攻击方法。常用于仿冒其他标准网站,帮助病毒、木马更快地传播,窃取用户敏感信息,获取黑客攻击指令等攻击场景。现有的防御技术一般都是基于恶意域名库进行封堵,恶意域名库一般来源于攻击收集和逆向破解恶意木马程序,有一些专门的安全组织会定期更新恶意域名库。还有一种防御方法是基于数据挖掘和云分析,收集大量的域名请求,在本地或上传到云端,根据域名格式、长度和请求发起频率等行为方面的特征进行分析挖掘来标记恶意域名。但通过恶意域名库进行封堵,存在很大的滞后性,无法及时应对新出现的恶意域名。而通过数据挖掘、云分析的方法具有开销大、准确度低的问题。
技术实现思路
为解决现有存在的技术问题,本专利技术实施例期望提供一种恶意域名鉴别方法及装置,能及时、准确地防御恶意域名的攻击,且开销小。为达到上述目的,本专利技术实施例的技术方案是这样实现的:本专利技术实施例提供了一种恶意域名鉴别方法,所述方法包括:记录申请访问或解析的域名与互联网协议IP地址的对应关系;确定恶意IP地址,并根据域名与IP地址的对应关系,确定与所述恶意IP地址对应的域名为恶意域名,并记录所确定的恶意域名;根据记录的恶意域名对申请访问或解析的域名进行鉴别。优选的,所述记录客户端访问的域名及IP地址的对应关系,包括:域名系统DNS解析申请访问或解析的域名,获得与所述域名对应的IP地址;记录所述域名与所述IP地址的对应关系。优选的,所述确定恶意IP地址,包括:入侵防御系统IPS将具有攻击特征的IP地址标记为恶意IP地址。优选的,所述记录所确定的恶意域名,包括:将所确定的恶意域名加入恶意域名库;相应的,所述根据记录的恶意域名对申请访问或解析的域名进行鉴别,包括:对申请访问或解析的域名进行鉴别,如果所述申请访问或解析的域名在所述恶意域名库中,则对所述域名按设置的规则处理;如果所述申请访问或解析的域名不在所述恶意域名库中,则启动DNS解析,并记录域名与IP地址的对应关系。优选的,所述方法还包括:从互联网下载现有的恶意域名加入所述恶意域名库;和/或将本地的恶意域名上传到互联网。本专利技术实施例还提供了一种恶意域名鉴别装置,所述装置包括记录模块、确定模块和鉴别模块;其中,所述记录模块,用于记录申请访问或解析的域名与IP地址的对应关系;所述确定模块,用于确定恶意IP地址,并根据域名与IP地址的对应关系,确定与所述恶意IP地址对应的域名为恶意域名,并记录所确定的恶意域名;所述鉴别模块,用于根据记录的恶意域名对申请访问或解析的域名进行鉴别。优选的,所述记录模块具体用于;DNS解析申请访问或解析的域名,获得与所述域名对应的IP地址;记录所述域名与所述IP地址的对应关系。优选的,所述确定模块确定恶意IP地址为:IPS将具有攻击特征的IP地址
标记为恶意IP地址。优选的,所述确定模块还包括:将所确定的恶意域名加入恶意域名库;所述确定模块具体用于:对申请访问或解析的域名进行鉴别,如果所述申请访问或解析的域名在所述恶意域名库中时,则对所述域名按设置的规则处理;如果所述申请访问或解析的域名不在所述恶意域名库中时,则启动DNS解析,并记录域名与IP地址的对应关系。优选的,所述确定模块还用于:从互联网下载现有的恶意域名加入所述恶意域名库;和/或将本地的恶意域名上传到互联网。本专利技术实施例提供一种恶意域名鉴别方法及装置,记录申请访问或解析的域名与互联网协议(IP,Internet Protocol)地址的对应关系;确定恶意IP地址,并根据域名与IP地址的对应关系,确定与所述恶意IP地址对应的域名为恶意域名,并记录所确定的恶意域名;根据记录的恶意域名对申请访问或解析的域名进行鉴别;可见,本专利技术实施例基于本地的防御系统,建立恶意域名库,能及时、准确的防御恶意域名的攻击,且开销小。附图说明图1为本专利技术实施例一恶意域名鉴别方法的流程示意图;图2为本专利技术实施例二恶意域名鉴别装置的示意图;图3为本专利技术实施例三恶意域名鉴别系统的示意图。具体实施方式下面将结合附图及具体实施例对本专利技术再做进一步的说明。实施例一图1为本专利技术实施例一恶意域名鉴别方法的流程示意图,所述方法的执行主体可以是一台服务器,如:域名系统(DNS,Domain Name System)服务器
或入侵防御系统(IPS,Intrusion Prevention System)服务器,且所述服务器可以是虚拟机。如图1所示,所述恶意域名鉴别方法包括:步骤101:记录申请访问或解析的域名与IP地址的对应关系;具体的,DNS服务器解析申请访问或解析的域名,获得与所述域名对应的IP地址;记录所述域名与所述IP地址的对应关系。其中,记录所述域名与所述IP地址的对应关系,可以是建立一个以域名为索引或称主键的域名数据库,这样便于查找。进一步的,在实际使用中,所述域名与所述IP地址的对应关系除了一一对应外,还可能是一对多或多对一的关系;对于这种情况,需记录所有对应关系;另外,为避免鉴别错误,影响正常使用,可在后续步骤中,通过建立白名单解决。对于没有解析到对应IP地址的域名,可直接通过后续步骤标记为恶意域名。步骤102:确定恶意IP地址,并根据域名与IP地址的对应关系,确定与所述恶意IP地址对应的域名为恶意域名,并记录所确定的恶意域名;这里,所述记录可以将所确定的恶意域名加入恶意域名库;也可以采用表格方式,将所确定的恶意域名加入恶意域名表。所述确定具体包括:IPS将具有攻击特征的IP地址标记为恶意IP地址;根据域名与IP地址的对应关系,确定与所述恶意IP地址对应的域名为恶意域名。通常,IPS能够监视网络或网络设备的网络资料传输行为,及时识别攻击程序或有害代码及其克隆和变种;在本专利技术实施例中,IPS能发现具有攻击特征的IP地址,并将此类IP地址标记为恶意IP地址;其中,是否具有攻击特征可以根据IPS标记的攻击次数或攻击频率来确定;进一步的,还可以根据IPS标记的攻击次数多少、攻击频率高低、以及攻击行为的危害程度,对恶意域名的严重程度进行分类,并在恶意域名表中标记;也就是说,可以根据IP地址的攻击次数、攻击频率、攻击行为的严重程度,来
标记对应恶意域名的严重程度。更进一步的,识别恶意IP地址也可以由入侵检测系统(IDS,IntrusionDetection Systems)或其它的安全防御系统完成,在此不做详述。另外,判断所述攻击特征的条件也可以有很多,不仅限于攻击次数或频率,在此不做详述。另外,对于没有解析到对应IP地址的域名,会直接标记为恶意域名,这样不会重复解析,增加服务器的开销。本步骤中,所述恶意域名库或恶意域名表可保存在本地,一般,为避免遗漏对恶意域名的防御,恶意域名库或恶意域名表的内容原则上只能增加、不能减少,但在服务器存储空间紧张的情况下,可以清理设定时间之前的记录;进一步的,被记录为恶意域名的IP地址,在没有被封堵的情况下,在设定的时间内未再发现攻击的特征,也可以将其从恶意域名表中删除。增加的途径除了上述的本地服务器鉴别的恶意域名外,也可以从互联网下载现有的恶意域名,如专门的安全组织会定期更新的恶意域名;当然,也可以将本地的恶意域名本文档来自技高网...
【技术保护点】
一种恶意域名鉴别方法,其特征在于,所述方法包括:记录申请访问或解析的域名与互联网协议IP地址的对应关系;确定恶意IP地址,并根据域名与IP地址的对应关系,确定与所述恶意IP地址对应的域名为恶意域名,并记录所确定的恶意域名;根据记录的恶意域名对申请访问或解析的域名进行鉴别。
【技术特征摘要】
1.一种恶意域名鉴别方法,其特征在于,所述方法包括:记录申请访问或解析的域名与互联网协议IP地址的对应关系;确定恶意IP地址,并根据域名与IP地址的对应关系,确定与所述恶意IP地址对应的域名为恶意域名,并记录所确定的恶意域名;根据记录的恶意域名对申请访问或解析的域名进行鉴别。2.根据权利要求1所述的方法,其特征在于,所述记录客户端访问的域名及IP地址的对应关系,包括:域名系统DNS解析申请访问或解析的域名,获得与所述域名对应的IP地址;记录所述域名与所述IP地址的对应关系。3.根据权利要求1或2所述的方法,其特征在于,所述确定恶意IP地址,包括:入侵防御系统IPS将具有攻击特征的IP地址标记为恶意IP地址。4.根据权利要求1或2所述的方法,其特征在于,所述记录所确定的恶意域名,包括:将所确定的恶意域名加入恶意域名库;相应的,所述根据记录的恶意域名对申请访问或解析的域名进行鉴别,包括:对申请访问或解析的域名进行鉴别,如果所述申请访问或解析的域名在所述恶意域名库中,则对所述域名按设置的规则处理;如果所述申请访问或解析的域名不在所述恶意域名库中,则启动DNS解析,并记录域名与IP地址的对应关系。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:从互联网下载现有的恶意域名加入所述恶意域名库;和/或将本地的恶意域名上传到互联网...
【专利技术属性】
技术研发人员:陈鑫,
申请(专利权)人:北京网康科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。