CN111030979A - 一种恶意域名检测方法、装置及存储设备 - Google Patents

一种恶意域名检测方法、装置及存储设备 Download PDF

Info

Publication number
CN111030979A
CN111030979A CN201910535961.5A CN201910535961A CN111030979A CN 111030979 A CN111030979 A CN 111030979A CN 201910535961 A CN201910535961 A CN 201910535961A CN 111030979 A CN111030979 A CN 111030979A
Authority
CN
China
Prior art keywords
domain name
block chain
list
name list
chain domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201910535961.5A
Other languages
English (en)
Inventor
王基光
李柏松
刘佳男
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antian Science And Technology Group Co ltd
Original Assignee
Harbin Antian Science And Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antian Science And Technology Group Co ltd filed Critical Harbin Antian Science And Technology Group Co ltd
Priority to CN201910535961.5A priority Critical patent/CN111030979A/zh
Publication of CN111030979A publication Critical patent/CN111030979A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

本发明实施例提供了一种恶意域名检测方法、装置及存储设备,用以解决现有基于DNS协议检测恶意域名的技术不能检测基于区块链的DNS解析服务的问题,并且一定程度上能够抵御恶意域名更换解析IP的风险。该方法包括:从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;将所述IP列表部署在流量监控设备中。

Description

一种恶意域名检测方法、装置及存储设备
技术领域
本发明涉及网络安全技术领域,尤其涉及一种恶意域名检测方法、装置及存储设备。
背景技术
随着计算机技术的发展与普及,计算机应用已经全面渗透到人们的工作与生活中,成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。
将DNS(域名系统)记录存储在区块链中是一种新型的DNS解析服务,该服务的特点是去除了中心化的DNS解析使得攻击者不能通过DNS劫持发动DDOS攻击。其中,区块链是指分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式;而DDOS(分布式拒绝服务)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。而现有基于DNS协议检测恶意域名的技术并不能检测基于区块链的DNS解析服务,并且只检测其IP也不能抵御更换域名解析IP的风险。
发明内容
本发明实施例提供了一种恶意域名检测方法、装置及存储设备,用以解决现有基于DNS协议检测恶意域名的技术不能检测基于区块链的DNS解析服务,并且一定程度上能够抵御恶意域名更换解析IP的风险。
基于上述问题,本发明实施例提供的一种恶意域名检测方法,包括:
从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;将所述IP列表部署在流量监控设备中。
进一步地,区块链域名的顶级域名包含.coin、.lib、.bit特殊字符串。
进一步地,将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表,具体为:
查看区块链域名解析返回结果,若返回结果为空,则更新区块链域名列表,进行下一区块链域名解析;若返回结果为域名对应IP,将该IP添加进所述IP列表。
进一步地,所述更新区块链域名列表还包括:
定时更新现有恶意域名列表,在更新的现有恶意域名列表中重新筛选出区块链域名,形成新的区块链域名列表。
本发明实施例提供的一种恶意域名检测装置,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;将所述IP列表部署在流量监控设备中。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
区块链域名的顶级域名包含.coin、.lib、.bit特殊字符串。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表,具体为:
查看区块链域名解析返回结果,若返回结果为空,则更新区块链域名列表,进行下一区块链域名解析;若返回结果为域名对应IP,将该IP添加进所述IP列表。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
所述更新区块链域名列表还包括:定时更新现有恶意域名列表,在更新的现有恶意域名列表中重新筛选出区块链域名,形成新的区块链域名列表。
本发明实施例同时公开一种基于区块链的恶意数据获取装置,包括:
区块链域名列表形成模块:用于从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;
IP列表形成模块:用于将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;
部署模块:将所述IP列表部署在流量监控设备中。
本发明实施例提供了一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的恶意域名检测方法步骤。
与现有技术相比,本发明实施例提供的一种恶意域名检测方法、装置及存储设备,至少实现了如下的有益效果:
从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;将所述IP列表部署在流量监控设备中。通过主动请求区块链解析获取对应IP,并将其部署在流量监测设备上能够有效的检测和监控恶意域名的连接情况。
附图说明
图1为本发明实施例提供的一种恶意域名检测方法的流程图;
图2为本发明实施例提供的另一种恶意域名检测方法的流程图;
图3为本发明实施例提供的一种恶意域名检测装置的结构图;
图4为本发明实施例提供的另一种恶意域名检测装置的结构图。
具体实施方式
本发明实施例提供了一种恶意域名检测方法,通过主动请求区块链解析获取对应IP,并将其部署在流量监测设备上能够有效的检测和监控恶意域名的连接情况。
下面结合说明书附图,对本发明实施例提供的一种恶意域名检测方法、装置及存储设备的具体实施方式进行说明。
本发明实施例提供的一种恶意域名检测方法,如图1所示,具体包括以下步骤:
S101、从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;
其中现有恶意域名列表是从大量恶意代码分析以及安全事件分析中获取的;而区块链域名的顶级域名通常包含.coin、.lib、.bit等特殊字符串。
S102、将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;
域名解析是把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站的一种服务,IP地址是网络上标识站点的数字地址,为了方便记忆,采用域名来代替IP地址标识站点地址,域名解析就是域名到IP地址的转换过程。
S103、将所述IP列表部署在流量监控设备中。
本发明实施例能够有效的检测并拦截使用区块链进行域名解析的恶意行为。
本发明实施例提供的另一种恶意域名检测方法的流程图,如图2所示,包括以下步骤:
S201、从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;
S202、将所述区块链域名列表中的所有区块链域名进行解析;
S203、查看区块链域名解析返回结果,若返回结果为空,执行步骤S204;若返回结果为域名对应IP,执行步骤S205;
若返回结果为空,表示该域名为虚假域名或已经取消解析;
S204、更新区块链域名列表,进行下一区块链域名解析;
更新区块链域名列表还包括:定时更新现有恶意域名列表,在更新的现有恶意域名列表中重新筛选出区块链域名,形成新的区块链域名列表
S205、将该IP添加进所述IP列表;
S206、将所述IP列表部署在流量监控设备中;
将IP列表部署在流量监控设备中,可以实现拦截或监控其攻击活动的目的。
本发明实施例还提供的一种恶意域名检测装置,如图3所示,包括:存储器301和处理器302,所述存储器301用于存储多条指令,所述处理器302用于加载所述存储器301中存储的指令以执行:
从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;将所述IP列表部署在流量监控设备中。
区块链域名的顶级域名包含.coin、.lib、.bit特殊字符串。
所述处理器302还用于加载所述存储器301中存储的指令以执行:
将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表,具体为:
查看区块链域名解析返回结果,若返回结果为空,则更新区块链域名列表,进行下一区块链域名解析;若返回结果为域名对应IP,将该IP添加进所述IP列表。
所述处理器302还用于加载所述存储器301中存储的指令以执行:
所述更新区块链域名列表还包括:定时更新现有恶意域名列表,在更新的现有恶意域名列表中重新筛选出区块链域名,形成新的区块链域名列表。
本发明实施例提供的另一种恶意域名检测装置,如图4所示,包括:
区块链域名列表形成模块41:用于从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;
IP列表形成模块42:用于将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;
部署模块43:将所述IP列表部署在流量监控设备中。
本发明实施例还提供一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的恶意域名检测方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种恶意域名检测方法,其特征在于,包括:
从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;
将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;
将所述IP列表部署在流量监控设备中。
2.如权利要求1所述的方法,其特征在于,区块链域名的顶级域名包含.coin、.lib、.bit特殊字符串。
3.如权利要求1所述的方法,其特征在于,将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表,具体为:
查看区块链域名解析返回结果,若返回结果为空,则更新区块链域名列表,进行下一区块链域名解析;若返回结果为域名对应IP,将该IP添加进所述IP列表。
4.如权利要求3所述的方法,其特征在于,所述更新区块链域名列表还包括:
定时更新现有恶意域名列表,在更新的现有恶意域名列表中重新筛选出区块链域名,形成新的区块链域名列表。
5.一种恶意域名检测装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;
将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;
将所述IP列表部署在流量监控设备中。
6.如权利要求5所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
区块链域名的顶级域名包含.coin、.lib、.bit等特殊字符串。
7.如权利要求5所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表,具体为:
查看区块链域名解析返回结果,若返回结果为空,则更新区块链域名列表,进行下一区块链域名解析;若返回结果为域名对应IP,将该IP添加进所述IP列表。
8.如权利要求7所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
所述更新区块链域名列表还包括:
定时更新现有恶意域名列表,在更新的现有恶意域名列表中重新筛选出区块链域名,形成新的区块链域名列表。
9.一种恶意域名检测装置,其特征在于,包括:
区块链域名列表形成模块:用于从现有恶意域名列表中筛选出区块链域名,形成区块链域名列表;
IP列表形成模块:用于将所述区块链域名列表中的所有区块链域名进行解析,获取其对应的IP,形成IP列表;
部署模块:将所述IP列表部署在流量监控设备中。
10.一种存储设备,其特征在于,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行权1-4任一所述的方法的步骤。
CN201910535961.5A 2019-06-20 2019-06-20 一种恶意域名检测方法、装置及存储设备 Withdrawn CN111030979A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910535961.5A CN111030979A (zh) 2019-06-20 2019-06-20 一种恶意域名检测方法、装置及存储设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910535961.5A CN111030979A (zh) 2019-06-20 2019-06-20 一种恶意域名检测方法、装置及存储设备

Publications (1)

Publication Number Publication Date
CN111030979A true CN111030979A (zh) 2020-04-17

Family

ID=70200018

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910535961.5A Withdrawn CN111030979A (zh) 2019-06-20 2019-06-20 一种恶意域名检测方法、装置及存储设备

Country Status (1)

Country Link
CN (1) CN111030979A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112968915A (zh) * 2021-05-18 2021-06-15 卓尔智联(武汉)研究院有限公司 Dns域名服务器攻击的处理方法、处理系统、处理装置

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101540761A (zh) * 2009-04-24 2009-09-23 成都市华为赛门铁克科技有限公司 一种分布式拒绝服务攻击的监控方法和监控设备
CN103795585A (zh) * 2012-10-31 2014-05-14 中国电信股份有限公司 基于黑名单的网站监控方法与系统
CN104639391A (zh) * 2015-01-04 2015-05-20 中国联合网络通信集团有限公司 一种生成网络流量记录的方法及相应的流量检测设备
CN104993953A (zh) * 2015-06-19 2015-10-21 北京奇虎科技有限公司 检测网络服务状态的方法和装置
CN106101104A (zh) * 2016-06-15 2016-11-09 国家计算机网络与信息安全管理中心 一种基于域名解析的恶意域名检测方法及系统
CN106657025A (zh) * 2016-11-29 2017-05-10 神州网云(北京)信息技术有限公司 网络攻击行为检测方法及装置
CN106686020A (zh) * 2017-03-29 2017-05-17 北京奇虎科技有限公司 域名安全性的检测方法、装置及系统
CN107613041A (zh) * 2017-09-22 2018-01-19 中国互联网络信息中心 基于区块链的域名管理系统、域名管理方法和域名解析方法
CN108737385A (zh) * 2018-04-24 2018-11-02 杭州安恒信息技术股份有限公司 一种基于dns映射ip的恶意域名匹配方法
CN108769034A (zh) * 2018-06-01 2018-11-06 杭州安恒信息技术股份有限公司 一种实时在线监测远控木马控制端ip地址的方法及装置
CN109413045A (zh) * 2018-09-26 2019-03-01 中国联合网络通信集团有限公司 一种访问控制系统及方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101540761A (zh) * 2009-04-24 2009-09-23 成都市华为赛门铁克科技有限公司 一种分布式拒绝服务攻击的监控方法和监控设备
CN103795585A (zh) * 2012-10-31 2014-05-14 中国电信股份有限公司 基于黑名单的网站监控方法与系统
CN104639391A (zh) * 2015-01-04 2015-05-20 中国联合网络通信集团有限公司 一种生成网络流量记录的方法及相应的流量检测设备
CN104993953A (zh) * 2015-06-19 2015-10-21 北京奇虎科技有限公司 检测网络服务状态的方法和装置
CN106101104A (zh) * 2016-06-15 2016-11-09 国家计算机网络与信息安全管理中心 一种基于域名解析的恶意域名检测方法及系统
CN106657025A (zh) * 2016-11-29 2017-05-10 神州网云(北京)信息技术有限公司 网络攻击行为检测方法及装置
CN106686020A (zh) * 2017-03-29 2017-05-17 北京奇虎科技有限公司 域名安全性的检测方法、装置及系统
CN107613041A (zh) * 2017-09-22 2018-01-19 中国互联网络信息中心 基于区块链的域名管理系统、域名管理方法和域名解析方法
CN108737385A (zh) * 2018-04-24 2018-11-02 杭州安恒信息技术股份有限公司 一种基于dns映射ip的恶意域名匹配方法
CN108769034A (zh) * 2018-06-01 2018-11-06 杭州安恒信息技术股份有限公司 一种实时在线监测远控木马控制端ip地址的方法及装置
CN109413045A (zh) * 2018-09-26 2019-03-01 中国联合网络通信集团有限公司 一种访问控制系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112968915A (zh) * 2021-05-18 2021-06-15 卓尔智联(武汉)研究院有限公司 Dns域名服务器攻击的处理方法、处理系统、处理装置
CN112968915B (zh) * 2021-05-18 2021-08-06 卓尔智联(武汉)研究院有限公司 Dns域名服务器攻击的处理方法、处理系统、处理装置

Similar Documents

Publication Publication Date Title
CN110719291B (zh) 一种基于威胁情报的网络威胁识别方法及识别系统
US11405359B2 (en) Network firewall for mitigating against persistent low volume attacks
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
US8549645B2 (en) System and method for detection of denial of service attacks
CN102483780A (zh) 防病毒扫描
JP2010198054A (ja) コンピュータ検査システム、コンピュータ検査方法
CN112887341B (zh) 一种外部威胁监控方法
US20240007487A1 (en) Asset Remediation Trend Map Generation and Utilization for Threat Mitigation
CN111651591A (zh) 一种网络安全分析方法和装置
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
JP2016206943A (ja) サイバー攻撃分析装置及びサイバー攻撃分析方法
CN113168472A (zh) 基于利用的网络安全漏洞修复方法及系统
US11762991B2 (en) Attack kill chain generation and utilization for threat analysis
EP3913888A1 (en) Detection method for malicious domain name in domain name system and detection device
CN110880983A (zh) 基于场景的渗透测试方法及装置、存储介质、电子装置
EP3172692A1 (en) Remedial action for release of threat data
US10178109B1 (en) Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry
JP2013152497A (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
CN105262730A (zh) 基于企业域名安全的监控方法及装置
CN111030979A (zh) 一种恶意域名检测方法、装置及存储设备
Gaba et al. An analysis of internet of things (iot) malwares and detection based on static and dynamic techniques
CN114157494A (zh) 一种ip资源状态确定方法及相关装置
CN109255243B (zh) 一种终端内潜在威胁的修复方法、系统、装置及存储介质
CN111541675A (zh) 一种基于白名单的网络安全防护方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

CB02 Change of applicant information
WW01 Invention patent application withdrawn after publication

Application publication date: 20200417

WW01 Invention patent application withdrawn after publication