查询域名的带外信息的方法和系统技术方案

本发明专利技术实施例提供一种查询域名的带外信息的方法和系统，该方法包括：获取用于域名的带外信息的查询请求；根据所述查询请求在带外信息缓存系统中查询与所述查询请求对应的带外信息。即当需要查询域名的带外信息时，可以根据查询请求在带外信息缓存系统中查询与查询请求对应的带外信息，不依赖现有的解决方案，基于本地构建，结合缓存技术，能够快速响应域名的带外信息的查询。

Methods and systems for querying out of band information of domain names

An embodiment of the invention provides a method and system for querying an out of band information of a domain name, which includes obtaining a query request for an out of band information for a domain name, and querying out of band information corresponding to the query request in an out of band information cache system according to the query request. When you need to query the information from the domain name, you can query the out of band information corresponding to the query request in the information cache system according to the query request, and do not rely on the existing solutions. Based on the local construction and caching technology, it can quickly respond to the query of the information and interest of the domain name.

【技术实现步骤摘要】
查询域名的带外信息的方法和系统
本专利技术涉及通信
，尤其涉及一种查询域名的带外信息的方法和系统。
技术介绍
DNS(DomainNameSystem)，即域名系统，是因特网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网。域名的带外信息是指与域名相关的信息，比如所属国家、A记录、MX记录、NS记录等。域名带外信息作为域名的“知识库”，可以丰富域名、IP的属性特征，目前，域名的带外信息在网络安全等方面发挥了很大价值。比如，恶意域名的检测除了通过黑白名单等规则性匹配外，通过带外信息来丰富域名特征，进而使用机器学习方法实现对恶意域名的检测。目前，恶意域名检测系统主要使用一些在线服务来实现域名的带外信息的查询，如基于WHOIS协议的查询等。WHOIS协议是用来查询域名的IP以及所有者等信息的传输协议。每个域名、IP的WHOIS信息由对应的管理机构保存。但是，这些服务的响应速度较慢，频繁访问容易被屏蔽。此外，专利“基于云计算的恶意域名检测系统”(专利号201410148117.4)，提出了一种“外部数据采集模块用于采集和定期下载外部数据”的方法，但是该方法需要主动触发，代价高。专利“一种Domainflux僵尸网络域名检测方法”(专利号CN201210475596)，提出了一种“接收并解析DNS响应报文，按固定时间间隔记录域名的IP解析内容”的方法，但是该方法同样具有依赖于主动触发，代价较高的缺点。所以，有必要实现域名的带外信息系统，实现快速响应查询域名的各类查询。
技术实现思路
鉴于上述技术问题，本专利技术实施例提供一种查询域名的带外信息的方法和系统，能够快速响应域名的带外信息的查询。依据本专利技术实施例的一个方面，提供了一种查询域名的带外信息的方法，包括：获取用于域名的带外信息的查询请求；根据所述查询请求在带外信息缓存系统中查询与所述查询请求对应的带外信息。可选地，所述根据所述查询请求在带外信息缓存系统中查询与所述查询请求对应的带外信息，包括：根据所述查询请求在带外信息缓存系统中的内存缓存数据库中查询与所述查询请求对应的带外信息；若在带外信息缓存系统中的内存缓存数据库中查询到与所述查询请求对应的带外信息，返回查询结果；否则，根据查询请求在带外信息缓存系统中的带外信息库中查询与所述查询请求对应的带外信息；若在带外信息缓存系统中的带外信息库中查询到与所述查询请求对应的带外信息，更新所述内存缓存数据库，返回查询结果；否则，确定在所述带外信息缓存系统中查询不到与所述查询请求对应的带外信息。可选地，所述方法还包括：若在所述带外信息缓存系统中查询不到与所述查询请求对应的带外信息，则根据查询请求调用网络公开接口查询与所述查询请求对应的带外信息。可选地，所述方法还包括：若通过网络公开接口查询到与所述查询请求对应的带外信息，根据查询到的与所述查询请求对应的带外信息，更新所述带外信息缓存系统中的所述内存缓存数据库和带外信息库，返回查询结果。可选地，所述更新带外信息库，包括：对于获取的域名的带外信息的每个字段，检测带外信息库中记录的该域名的带外信息是否包含该字段；如果不包含该字段，则直接将不包含的字段插入到带外信息库中记录的该域名的带外信息中；如果包含该字段，则检测带外信息库中与该字段对应的带外信息中是否有和获取的带外信息相同的情况；如果不存在相同的情况，则直接将获取的带外信息插入到该字段中；如果存在相同的情况，则根据获取的带外信息的时间戳更新带外信息库中与该字段对应的带外信息的时间戳。可选地，所述方法还包括：获取所述带外信息缓存系统中任意一个域名；计算域名对应的域名特征；根据计算得到的该域名的域名特征和预先设置的训练模型，确定获取的域名为正常域名或恶意域名，其中，所述训练模型的输入值为域名特征，所述训练模型的输出值用于表示域名为正常域名还是恶意域名。依据本专利技术实施例的第二方面，还提供了一种查询域名的带外信息的系统，所述系统包括：带外信息缓存系统，所述系统还包括：带外信息查询模块，所述带外信息查询模块用于获取用于域名的带外信息的查询请求；根据所述查询请求在带外信息缓存系统中查询与所述查询请求对应的带外信息。可选地，所述带外信息缓存系统包括：内存缓存数据库和带外信息库，所述带外信息查询模块进一步用于：根据所述查询请求在带外信息缓存系统中的内存缓存数据库中查询与所述查询请求对应的带外信息；若在带外信息缓存系统中的内存缓存数据库中查询到与所述查询请求对应的带外信息，返回查询结果；否则，根据查询请求在带外信息缓存系统中的带外信息库中查询与所述查询请求对应的带外信息；若在带外信息缓存系统中的带外信息库中查询到与所述查询请求对应的带外信息，更新所述内存缓存数据库，返回查询结果；否则，确定在所述带外信息缓存系统中查询不到与所述查询请求对应的带外信息。可选地，若在所述带外信息缓存系统中查询不到与所述查询请求对应的带外信息，则所述带外信息查询模块根据查询请求调用网络公开接口查询与所述查询请求对应的带外信息。可选地，若所述带外信息查询模块通过网络公开接口查询到与所述查询请求对应的带外信息，根据查询到的与所述查询请求对应的带外信息，更新所述带外信息缓存系统中的所述内存缓存数据库和带外信息库，返回查询结果。可选地，所述系统还包括：更新模块，用于：对于获取的域名的带外信息的每个字段，检测带外信息库中记录的该域名的带外信息是否包含该字段；如果不包含该字段，则直接将不包含的字段插入到带外信息库中记录的该域名的带外信息中；如果包含该字段，则检测带外信息库中与该字段对应的带外信息中是否有和获取的带外信息相同的情况；如果不存在相同的情况，则直接将获取的带外信息插入到该字段中；如果存在相同的情况，则根据获取的带外信息的时间戳更新带外信息库中与该字段对应的带外信息的时间戳。可选地，所述系统还包括：恶意域名检测系统，用于：获取所述带外信息缓存系统中任意一个域名；计算域名对应的域名特征；根据计算得到的该域名的域名特征和预先设置的训练模型，确定获取的域名为正常域名或恶意域名，其中，所述训练模型的输入值为域名特征，所述训练模型的输出值用于表示域名为正常域名还是恶意域名。上述技术方案中的一个技术方案具有如下优点或有益效果：当需要查询域名的带外信息时，可以根据查询请求在带外信息缓存系统中查询与查询请求对应的带外信息，不依赖现有的解决方案，基于本地构建，结合缓存技术，能够快速响应域名的带外信息的查询。进一步地，还可以整合多种互联网公开查询接口中域名相关的属性信息，同时带外信息缓存系统的带外信息库能够在无需人工干预的情况自动完成域名带外信息的更新。相比于直接由恶意域名检测系统请求互联网公开查询接口获取域名相关信息，提供了一种更加快速地访问域名带外信息的缓存的更新和查询机制，为恶意域名检测系统提供了丰富的数据基础，可用于计算多种域名特征，有助于提高恶意域名检测系统的检测的效率和效果。附图说明图1为实施例一查询域名的带外信息的方法的流程图；图2为基于公开接口的域名的带外信息缓存系统架构示意图；图3为实施例二中LRUCache数据结构示意图；图4为实施例二中LRU算法流程图；图5为实施例二中带外信息查询流程图。具体实施方式下面将参照附图更详细地本文档来自技高网...

【技术保护点】
一种查询域名的带外信息的方法，其特征在于，包括：获取用于域名的带外信息的查询请求；根据所述查询请求在带外信息缓存系统中查询与所述查询请求对应的带外信息。

【技术特征摘要】
1.一种查询域名的带外信息的方法，其特征在于，包括：获取用于域名的带外信息的查询请求；根据所述查询请求在带外信息缓存系统中查询与所述查询请求对应的带外信息。2.根据权利要求1所述的方法，其特征在于，所述根据所述查询请求在带外信息缓存系统中查询与所述查询请求对应的带外信息，包括：根据所述查询请求在带外信息缓存系统中的内存缓存数据库中查询与所述查询请求对应的带外信息；若在带外信息缓存系统中的内存缓存数据库中查询到与所述查询请求对应的带外信息，返回查询结果；否则，根据查询请求在带外信息缓存系统中的带外信息库中查询与所述查询请求对应的带外信息；若在带外信息缓存系统中的带外信息库中查询到与所述查询请求对应的带外信息，更新所述内存缓存数据库，返回查询结果；否则，确定在所述带外信息缓存系统中查询不到与所述查询请求对应的带外信息。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：若在所述带外信息缓存系统中查询不到与所述查询请求对应的带外信息，则根据查询请求调用网络公开接口查询与所述查询请求对应的带外信息。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：若通过网络公开接口查询到与所述查询请求对应的带外信息，根据查询到的与所述查询请求对应的带外信息，更新所述带外信息缓存系统中的所述内存缓存数据库和带外信息库，返回查询结果。5.根据权利要求4所述的方法，其特征在于，所述更新带外信息库，包括：对于获取的域名的带外信息的每个字段，检测带外信息库中记录的该域名的带外信息是否包含该字段；如果不包含该字段，则直接将不包含的字段插入到带外信息库中记录的该域名的带外信息中；如果包含该字段，则检测带外信息库中与该字段对应的带外信息中是否有和获取的带外信息相同的情况；如果不存在相同的情况，则直接将获取的带外信息插入到该字段中；如果存在相同的情况，则根据获取的带外信息的时间戳更新带外信息库中与该字段对应的带外信息的时间戳。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取所述带外信息缓存系统中任意一个域名；计算域名对应的域名特征；根据计算得到的该域名的域名特征和预先设置的训练模型，确定获取的域名为正常域名或恶意域名，其中，所述训练模型的输入值为域名特征，所述训练模型的输出值用于表示域名为正常域名还是恶意域名。7.一种查询域名的带外信息的系统，其特征在于，所述系统包括：带外信息...

【专利技术属性】
技术研发人员：孙乾，杭小勇，王一村，马冰珂，程叶霞，
申请(专利权)人：中国移动通信有限公司研究院，中国移动通信集团公司，
类型：发明
国别省市：北京,11