一种挖掘恶意域名的方法和装置制造方法及图纸

本申请提供了挖掘恶意域名的方法和装置，所述方法包括：获取第一恶意域名；根据所述第一恶意域名获取第一要素信息；根据所述第一要素信息及预设挖掘条件从预设历史信息集中获取至少一个第一域名；判断所述第一域名是否满足预设审核规则；若是，则确定所述第一域名为第二恶意域名。本申请所述的方法，通过域名服务商、域名注册时间以及与域名相关联的更新时间与已知恶意域名的关系，侦测未知恶意域名。提高了网络安全。

A Method and Device for Mining Malicious Domain Names

This application provides a method and device for mining malicious domain names, which includes acquiring the first malicious domain name, acquiring the first element information according to the first malicious domain name, acquiring at least one first domain name from the preset historical information set according to the first element information and the preset mining conditions, judging whether the first domain name meets the preset auditing rules, and determining if so. The first domain name is the second malicious domain name. The method described in this application detects unknown malicious domain names through the relationship between the domain name service provider, the time of domain name registration and the update time associated with domain names and known malicious domain names. Improve network security.

【技术实现步骤摘要】
一种挖掘恶意域名的方法和装置
本申请涉及网络安全领域，具体涉及挖掘恶意域名的方法，以及挖掘恶意域名的装置。
技术介绍
域名(DomainName，也称网域)，是由“.”分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位(有时也指地理位置。地理上的域名，指代有行政自主权的一个地方区域)。是便于记忆和沟通的一组服务器的地址(网站、电子邮件、FTP等)。域名用于各种网络环境和应用程序特定的命名和寻址目的。比如，“www.baidu.com”就是一个域名。域名查询系统(Whois)，用于在互联网上查询与域名相关联的信息。2018年5月25日前，通过Whois查询域名可以获取该域名的服务商、注册时间、过期时间、注册人的相关信息。域名持有者在服务商成功注册后，注册所使用的姓名、联系地址、电话、Email等注册信息将被存储到域名Whois信息数据库中，任何人都可公开查询到这些信息(除非注册人使用了隐私保护服务)。恶意域名，是指对互联网中的网络设备进行攻击并产生破坏作用的域名。根据攻击方式通常被分钓鱼网站和恶意软件网站。钓鱼网站，是指伪装成银行或网上商店等合法机构网站的一类网站，它试图诱骗用户在其网站中输入用户名、密码或其他私人信息，这类网站对个人隐私和财产安全可造成一定威胁。恶意软件网站，包含恶意代码，通过在用户计算机上安装恶意软件，黑客可利用该软件来获取和传输用户的隐私或敏感信息。比如，C&C服务器。命令以及控制(CommandandControl，简称C&C，或C2)，在某些情况下，是指C&C服务器，也就是控制端。C&C服务器一方面可以接收被控制计算机上面活跃的木马传来的信息，了解受控主机的系统环境、可用能力甚至是隐私信息等秘密；另一方面也可以向受控主机发送控制指令，指示受控主机中的木马执行预定义的恶意动作，满足控制者各种不同的需求。每一个C&C服务器必须对应一个具体的IP之后，才能被木马访问。大多数木马使用域名指向C&C服务器(域名经过解析之后会转换为服务器具体的IP地址)。在现有技术中，用于木马回连的C&C域名大多是由攻击者申请、维护的，通过这些域名的注册信息，可以反向追踪它们的所有人的信息并关联出其注册的更多恶意域名。恶意域名追踪的一个通用方法，即通过Whois反查找到恶意域名注册人、注册邮箱，并据此关联发现域名背后的控制势力。虽然域名注册信息中的注册人、注册机构、注册地址均可能为虚假的，但注册邮箱一定是真实的。攻击者需要通过该邮箱实现对域名的维护管理，因此对恶意域名的追踪最主要的方式即确定注册邮箱。2018年5月17日，ICANN(互联网名称与数字地址分配机构)于公布《通用顶级域名注册数据临时规范(TemporarySpecificationforgTLDRegistrationData)》，要求注册局和服务商对Whois查询服务的公开显示信息进行必要调整。此次调整是ICANN为应对2018年5月25日生效的欧盟《通用数据保护条例(GDPR)》所做出的调整。因此，绝大多数域名服务商自2018年5月25日之后不再提供包括域名注册人、管理联系人和技术联系人的姓名、邮箱、电话、街道地址等信息，导致通过域名注册邮箱追踪恶意域名的方法也基本失效。
技术实现思路
本申请提供一种挖掘恶意域名的方法，一种挖掘恶意域名的装置；以解决追踪恶意域名的问题。为了解决上述技术问题，本申请实施例提供了如下的技术方案：本申请提供了一种挖掘恶意域名的方法，包括：获取第一恶意域名；根据所述第一恶意域名获取第一要素信息；根据所述第一要素信息及预设挖掘条件从预设历史信息集中获取至少一个第一域名；判断所述第一域名是否满足预设审核规则；若是，则确定所述第一域名为第二恶意域名。优选的，所述根据所述第一恶意域名获取第一要素信息，至少包括以下两种获取方式之一：通过域名查询系统查询所述第一恶意域名，获取第一要素信息；根据所述第一恶意域名查询所述预设历史信息集，获取第一要素信息。优选的，所述根据所述第一要素信息及预设挖掘条件从预设历史信息集中获取至少一个第一域名，包括：根据所述第一要素信息及预设挖掘条件获取第一挖掘条件；从预设历史信息集中获取满足所述第一挖掘条件的至少一个第一域名。进一步的，所述第一要素信息，包括：第一恶意域名服务商信息、第一恶意域名注册时间和与第一恶意域名相关联的更新时间；预设挖掘条件，包括：预设域名服务商条件以及预设域名注册时间条件和/或预设更新时间条件。进一步的，所述第一挖掘条件，包括：域名服务商信息与所述第一恶意域名服务商信息相同、以及域名注册时间满足第一注册时间范围和/或更新时间满足第一更新时间范围；其中，所述第一注册时间范围，根据所述第一恶意域名注册时间与所述预设域名注册时间条件生成；所述第一更新时间范围，根据与所述第一恶意域名相关联的更新时间与所述预设更新时间条件生成。优选的，所述预设审核规则，包括：预设组织域名规则、预设审核IP地址规则和/或预设域名访问规则。进一步的，所述判断所述第一域名是否满足预设组织域名规则，包括：解析所述第一域名获取第一解析信息；将所述第一解析信息与预设域名审核数据相匹配，获取相似度匹配结果；判断所述相似度匹配结果是否满足预设域名通过条件。优选的，所述判断所述第一域名的IP地址是否满足预设审核IP地址规则，包括：解析所述第一域名获取第一IP地址解析信息；将所述第一IP地址解析信息与预设IP地址集中的数据相匹配，获取相似度匹配结果；判断所述相似度匹配结果是否满足预设IP地址通过条件。优选的，所述判断所述第一域名是否满足预设域名访问规则，包括：将所述第一域名的访问信息与所述第一恶意域名的访问信息相匹配，获取相似度匹配结果；判断所述相似度匹配结果是否满足预设域名访问通过条件。本申请提供了一种挖掘恶意域名的装置，包括：获取第一恶意域名单元，用于获取第一恶意域名；获取第一要素单元，用于根据所述第一恶意域名获取第一要素信息；获取第一域名单元，用于根据所述第一要素信息及预设挖掘条件从预设历史信息集中获取至少一个第一域名；判断单元，用于判断所述第一域名是否满足预设审核规则；确定第二恶意域名单元，用于若所述判断单元的输出结果为“是”，则确定所述第一域名为第二恶意域名。基于上述实施例的公开可以获知，本申请实施例具备如下的有益效果：本申请提供了挖掘恶意域名的方法和装置，所述方法包括：获取第一恶意域名；根据所述第一恶意域名获取第一要素信息；根据所述第一要素信息及预设挖掘条件从预设历史信息集中获取至少一个第一域名；判断所述第一域名是否满足预设审核规则；若是，则确定所述第一域名为第二恶意域名。本申请所述的方法，通过域名服务商、域名注册时间以及与域名相关联的更新时间与已知恶意域名的关系，侦测未知恶意域名。提高了网络安全。附图说明图1为本申请实施例提供的挖掘恶意域名的方法的流程图；图2为本申请实施例提供的挖掘恶意域名的装置的单元框图。具体实施方式下面，结合附图对本申请的具体实施例进行详细的描述，但不作为本申请的限定。应理解的是，可以对此处公开的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例本文档来自技高网...

【技术保护点】
1.一种挖掘恶意域名的方法，其特征在于，包括：获取第一恶意域名；根据所述第一恶意域名获取第一要素信息；根据所述第一要素信息及预设挖掘条件从预设历史信息集中获取至少一个第一域名；判断所述第一域名是否满足预设审核规则；若是，则确定所述第一域名为第二恶意域名。

【技术特征摘要】
1.一种挖掘恶意域名的方法，其特征在于，包括：获取第一恶意域名；根据所述第一恶意域名获取第一要素信息；根据所述第一要素信息及预设挖掘条件从预设历史信息集中获取至少一个第一域名；判断所述第一域名是否满足预设审核规则；若是，则确定所述第一域名为第二恶意域名。2.根据权利要求1所述的方法，其特征在于，所述根据所述第一恶意域名获取第一要素信息，至少包括以下两种获取方式之一：通过域名查询系统查询所述第一恶意域名，获取第一要素信息；根据所述第一恶意域名查询所述预设历史信息集，获取第一要素信息。3.根据权利要求1所述的方法，其特征在于，所述根据所述第一要素信息及预设挖掘条件从预设历史信息集中获取至少一个第一域名，包括：根据所述第一要素信息及预设挖掘条件获取第一挖掘条件；从预设历史信息集中获取满足所述第一挖掘条件的至少一个第一域名。4.根据权利要求3所述的方法，其特征在于，所述第一要素信息，包括：第一恶意域名服务商信息、第一恶意域名注册时间和与第一恶意域名相关联的更新时间；预设挖掘条件，包括：预设域名服务商条件以及预设域名注册时间条件和/或预设更新时间条件。5.根据权利要求4所述的方法，其特征在于，所述第一挖掘条件，包括：域名服务商信息与所述第一恶意域名服务商信息相同、以及域名注册时间满足第一注册时间范围和/或更新时间满足第一更新时间范围；其中，所述第一注册时间范围，根据所述第一恶意域名注册时间与所述预设域名注册时间条件生成；所述第一更新时间范围，根据与所述第一恶意域名相关联的更新时间与...

【专利技术属性】
技术研发人员：崔寅，
申请(专利权)人：北京微步在线科技有限公司，
类型：发明
国别省市：北京,11