CN113810518A - 有效子域名识别方法、装置和电子设备 - Google Patents
有效子域名识别方法、装置和电子设备 Download PDFInfo
- Publication number
- CN113810518A CN113810518A CN202111096366.XA CN202111096366A CN113810518A CN 113810518 A CN113810518 A CN 113810518A CN 202111096366 A CN202111096366 A CN 202111096366A CN 113810518 A CN113810518 A CN 113810518A
- Authority
- CN
- China
- Prior art keywords
- sub
- domain name
- http
- dns
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种有效子域名识别方法、装置和电子设备,通过将待识别的子域名相应的DNS应答信息与预先进行泛解析记录查询获得的DNS特征进行比对,若DNS应答信息与DNS特征相同,再基于子域名进行HTTP请求获得HTTP特征,将HTTP特征与预先随机构建的、不存在的探测子域名进行HTTP请求获得的HTTP行为特征进行比对,若子域名的HTTP特征与预先获得的HTTP行为特征不同,则确定子域名有效。该方案,首先利用泛解析记录查询获得的DNS特征进行判断,在命中泛解析记录的情况下,再与探测子域名的HTTP行为特征进行比对,可以更高效、精准地实现存在泛解析情况下的有效子域名的识别、且能够适用于更多服务架构。
Description
技术领域
本发明涉及域名解析技术领域,具体而言,涉及一种有效子域名识别方法、装置和电子设备。
背景技术
域名是由一串用点分隔的名字组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识。由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过域名系统(Domain Name System,DNS)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。
域名系统是互联网的一项服务,它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。泛解析是指利用星号“*”来做子域名,所有未单独设置的子域名都将命中该条记录。例如域名example.com,设置泛解析记录*.example.com,则在查询子域名的DNS记录时(不考虑优先级等情况),所有未单独设置的子域名都将匹配到泛解析记录,返回*.example.com对应的记录值。在红蓝对抗、渗透测试项目中,针对目标的信息搜集是至关重要的环节,子域名爆破是其中常用的方法之一。但在主域名使用了泛解析的情况下,构造任意一个子域名都可以命中泛解析记录,极大的提高了判断子域名有效性的难度。
现有技术中主要是通过构建IP黑名单的方式来进行子域名有效性的判断。但是这种方式由于可能存在黑名单不完整、不适用于网关类服务架构等问题,因此,存在漏判、误判等缺陷。
发明内容
本发明的目的包括,例如,提供了一种有效子域名识别方法、装置和电子设备,其能够高效且精准地实现泛解析情况下的有效子域名的识别。
本发明的实施例可以这样实现:
第一方面,本发明提供一种有效子域名识别方法,所述方法包括:
针对待识别的子域名,将该子域名相应的DNS应答信息与预存的DNS特征进行比对,所述DNS特征为预先进行泛解析记录查询所获得的;
若所述子域名相应的DNS应答信息与预存的DNS特征相同,则基于所述子域名进行HTTP请求,获得HTTP特征;
将所述子域名的HTTP特征与预存的HTTP行为特征进行比对,所述预存的HTTP行为特征为预先随机构建的、不存在的探测子域名进行HTTP请求获得的;
若所述子域名的HTTP特征与预存的HTTP行为特征不同,则确定所述子域名有效。
在可选的实施方式中,所述方法还包括:
若所述子域名相应的DNS应答信息与预存的DNS特征不相同,则确定所述子域名有效。
在可选的实施方式中,所述方法还包括预先获得DNS特征的步骤,该步骤包括:
通过查询域名的DNS记录,获取所述域名的权威服务器地址;
基于所述权威服务器查询所述域名的泛解析记录,并标记为DNS特征。
在可选的实施方式中,所述方法还包括预先获得HTTP行为特征的步骤,该步骤包括:
构建一个随机的、不存在的探测子域名;
基于所述探测子域名进行HTTP请求;
获得基于所述探测子域名进行HTTP请求所产生的HTTP行为特征。
在可选的实施方式中,所述HTTP行为特征包含每次HTTP跳转信息的集合,单次跳转信息包含状态码、URL。
在可选的实施方式中,获得待识别的子域名相应的DNS应答信息的步骤,包括:
基于待识别的子域名构建DNS请求,向待识别的子域名所对应的主域名的权威服务器,或可信的第三方DNS服务器进行查询,获取待识别的子域名的DNS应答信息。
在可选的实施方式中,所述HTTP特征和HTTP行为特征分别包含多个子特征;
所述若所述子域名的HTTP特征与预存的HTTP行为特征不同,则确定所述子域名有效的步骤,包括:
若所述子域名的HTTP特征中存在至少一个子特征,与所述预存的HTTP行为特征中对应的子特征不同,则确定所述子域名有效。
第二方面,本发明提供一种有效子域名识别装置,所述装置包括:
第一比对模块,用于针对待识别的子域名,将该子域名相应的DNS应答信息与预存的DNS特征进行比对,所述DNS特征为预先进行泛解析记录查询所获得的;
请求模块,用于在所述子域名相应的DNS应答信息与预存的DNS特征相同时,基于所述子域名进行HTTP请求,获得HTTP特征;
第二比对模块,用于将所述子域名的HTTP特征与预存的HTTP行为特征进行比对,所述预存的HTTP行为特征为预先随机构建的、不存在的探测子域名进行HTTP请求获得的,在所述子域名的HTTP特征与预存的HTTP行为特征不同时,确定所述子域名有效。
第三方面,本发明提供一种电子设备,包括一个或多个存储介质和一个或多个与存储介质通信的处理器,一个或多个存储介质存储有处理器可执行的机器可执行指令,当电子设备运行时,处理器执行所述机器可执行指令,以执行前述实施方式中任意一项所述的方法步骤。
本发明实施例的有益效果包括,例如:
本申请提供一种有效子域名识别方法、装置和电子设备,通过将待识别的子域名相应的DNS应答信息与预先进行泛解析记录查询获得的DNS特征进行比对,若子域名相应的DNS应答信息与DNS特征相同,再基于子域名进行HTTP请求获得HTTP特征,将子域名的HTTP特征与预先随机构建的、不存在的探测子域名进行HTTP请求获得的HTTP行为特征进行比对,若子域名的HTTP特征与预先获得的HTTP行为特征不同,则确定子域名有效。该方案,首先利用泛解析记录查询获得的DNS特征进行判断,在命中泛解析记录的情况下,再与探测子域名的HTTP行为特征进行比对,可以更高效、精准地实现存在泛解析情况下的有效子域名的识别、且能够适用于更多服务架构。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的有效子域名识别方法的流程图;
图2为本申请实施例提供的有效子域名识别方法中,预先获得DNS特征的方法的流程图;
图3为本申请实施例提供的有效子域名识别方法中,预先获得HTTP行为特征的方法的流程图;
图4为本申请实施例提供的子域名的示意图;
图5为本申请实施例提供的有效子域名识别方法的另一流程图;
图6为本申请实施例提供的电子设备的结构框图;
图7为本申请实施例提供的有效子域名识别装置的功能模块框图。
图标:110-处理器;120-存储器;130-多媒体组件;140-I/O接口;150-通信组件;200-有效子域名识别装置;210-第一比对模块;220-请求模块;230-第二比对模块。
具体实施方式
目前所采用的泛解析方案通常是基于IP黑名单予以实现,具体地,构造大量随机的子域名,再查询其DNS记录得到大量IP作为黑名单。子域名爆破过程中,将DNS信息解析出的IP与黑名单比对,命中则判定为无效子域名。为了提高准确率,现有技术中还在此基础上采用计算相似度的方式予以改进,也即,除了对比IP黑名单之外,还会通过HTTP获取网页内容,使用相关算法计算出该网页与黑名单中网页的相似度,若相似度超过阈值,则判定为无效子域名。
上述现有的处理方案中存在明显缺陷,会导致漏报误报、效率低等问题。具体地,采用大量随机子域名来构造IP黑名单时,可能存在随机子域名数量不足从而导致黑名单不够完整。此外,基于IP黑名单的方式不适用于网关类服务架构。
而在改进方案中使用网页相似度进行判定时,网页相似度的计算存在性能问题,且单点登录机制应用广泛,在未登录状态下访问不同的业务都会跳转到相同的身份验证页面,导致计算出的相似度几乎相同,容易产生漏报。
基于上述研究发现,本申请实施例提供一种有效子域名识别方法,首先利用泛解析记录查询获得的DNS特征进行判断,在命中泛解析记录的情况下,再与探测子域名的HTTP行为特征进行比对,可以更高效、精准地实现存在泛解析情况下的有效子域名的识别。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
请参阅图1,为本申请实施例提供的有效子域名识别方法的流程图,该有效子域名识别方法有关的流程所定义的方法步骤可以由具备数据分析处理功能的电子设备所实现。下面将对图1所示的具体流程进行详细阐述。
步骤S110,针对待识别的子域名,将该子域名相应的DNS应答信息与预存的DNS特征进行比对,所述DNS特征为预先进行泛解析记录查询所获得的。
步骤S120,若所述子域名相应的DNS应答信息与预存的DNS特征相同,则基于所述子域名进行HTTP请求,获得HTTP特征。
步骤S130,将所述子域名的HTTP特征与预存的HTTP行为特征进行比对,所述预存的HTTP行为特征为预先随机构建的、不存在的探测子域名进行HTTP请求获得的。
步骤S140,若所述子域名的HTTP特征与预存的HTTP行为特征不同,则确定所述子域名有效。
本实施例中,可预先获得DNS特征,并保存DNS特征,以便于后续的有效识别时的比对。有效域名是指有真实DNS记录对应的,即没有命中泛解析记录的子域名,或是命中了泛解析记录,但能够指向一个业务的子域名。获取更多有效子域名,可以为渗透测试提供更多入口,提高找到目标薄弱环节的几率。
本实施例中,请参阅图2,可通过以下方式预先获得DNS特征:
步骤S101,通过查询域名的DNS记录,获取所述域名的权威服务器地址。
步骤S102,基于所述权威服务器查询所述域名的泛解析记录,并标记为DNS特征。
本实施例中,可向域名的权威服务器查询泛解析记录。如果存在有效的泛解析记录,例如,泛解析记录为A类或CNAME类。将有效的泛解析记录下的完整的记录信息提取出,并标记为DNS特征且保存。该DNS特征可用于后续判定子域名是否命中泛解析记录所用。
在此基础上,本实施例还可预先基于构造的探测子域名获得HTTP行为特征并保存。请参阅图3,本实施例中可预先通过以下方式获得HTTP行为特征。
步骤S103,构建一个随机的、不存在的探测子域名。
步骤S104,基于所述探测子域名进行HTTP请求。
步骤S105,获得基于所述探测子域名进行HTTP请求所产生的HTTP行为特征。
本实施例中,为了便于区分不同时期所采用的子域名,将预先构建的随机、不存在的子域名命名为探测子域名。在基于探测子域名进行HTTP请求时,所获得的HTTP行为特征包括每次HTTP跳转信息的集合,而单次跳转信息包含状态码、URL。
在实际进行子域名有效性识别时,可在可靠的网络环境下进行子域名爆破,也即在无抢答、无污染的网络环境下。本实施例中,可根据主域名通过子域名爆破获得多个子域名,该多个子域名即为待识别的子域名。
子域名爆破是网络资产信息收集关键的一步,可通过编写的子域名爆破工具获取子域名,得到所有子域名集合。实施时,获得的子域名越多,可获取的信息也就越多,也越容易发现漏洞。
对于获得的各个待识别的子域名,可获得该子域名相应的DNS应答信息。将该子域名的DNS应答信息与上述预先获得的DNS特征进行比对,若子域名相应的DNS应答信息与预存的DNS特征相同,则表明该子域名命中泛解析记录,可再结合后续的HTTP请求的方式进行子域名有效性的判断。
此外,若子域名相应的DNS应答信息与预存的DNS特征不相同,则可确定子域名有效。
针对上述的无法直接基于预存的DNS特征进行有效性判断的子域名,可基于该子域名进行HTTP请求获得HTTP特征。
待识别的子域名获得的HTTP特征可与上述基于构建的随机的探测子域名进行HTTP请求获得的HTTP行为特征进行比对。若待识别的子域名获得的HTTP特征与上述预先获得并保存的HTTP行为特征不同,则可确定子域名有效。反之,若待识别的子域名获得的HTTP特征与上述预先获得并保存的HTTP行为特征相同,则可确定子域名无效。
本实施例中,首先利用泛解析记录查询获得的DNS特征进行判断,在待识别子域名命中泛解析记录的情况下,再与探测子域名的HTTP行为特征进行比对从而判断子域名的有效性,可以更高效、精准地实现存在泛解析情况下的有效子域名的识别。
本实施例中,基于待识别的子域名获得的HTTP特征以及上述的HTTP行为特征分别包含多个子特征,例如,多个HTTP跳转信息的集合,每个集合中包含包括该次跳转的状态码、URL。
在将待识别的子域名的HTTP特征与预存的HTTP行为特征进行比对时,若子域名的HTTP特征中存在至少一个子特征,与预存的HTTP行为特征中对应的子特征不同,则可确定子域名有效。
例如,子域名的HTTP特征中跳转信息与预存的HTTP行为特征中的某次的跳转信息中的状态码或URL与预存的HTTP行为特征中的状态码或URL不同,则可确定子域名有效。
反之,若待识别的子域名的HTTP特征中所有子特征,分别与预存的HTTP行为特征中对应的子特征均相同,则可确定子域名无效。也即,在子域名的HTTP特征中的每次跳转信息中的状态码和URL分别与预存的HTTP行为特征中对应跳转信息中的状态码和URL相同,则可确定子域名无效。
在本实施例中,通过各次跳转信息中的状态码和URL可以区分不同的业务。大多数情况下不同的URL和状态码可以直接表明访问了不同的业务页面。而在复杂情况下,例如在未登陆状态下访问不同子域名会跳转到相同的身份验证页面,现有技术中的网页相似度对比方式就会产生漏报,但由于跳转后的URL中通常带有具体服务的跳转地址,以供身份验证成功后跳转回相应业务页面,所以本实施例通过对比HTTP特征中的URL可以实现对最终页面的判定,避免漏报。
本实施例中,在实施时,若子域名对应有实际存在的业务,则该子域名应当为一有效域名,否则该子域名为无效域名。
详细地,针对待识别的子域名,是否有对应的业务体现在:
在设置了泛解析域名的网络服务架构中,若基于待识别子域名进行查询没有单独设置DNS记录的子域名时,将返回泛解析记录的值,例如可以是网关服务器地址。基于子域名发起HTTP请求时,网关服务器将根据此域名判断后端是否存在与之对应的业务,如果存在则将该请求转发到相对应的业务服务器,所以通过该子域名的HTTP特征与预存的HTTP行为特征对比,可以判断子域名是否具有对应的业务,进一步体现该子域名是否有效。
本实施例中,假设具有如下表1所示的DNS记录,其中第一条为泛解析记录,其他为普通记录,其中,TTL表示记录的生存时间,它决定了记录应当从缓存中删除的时间。在不考虑优先级的情况下,如果一个DNS查询不能命中后两条记录,则命中泛解析记录,DNS服务器将返回泛解析记录的记录值给用户。也即,上述的预存在电子设备中的泛解析记录的DNS特征。
表1
| 记录类型 | 主机记录 | 记录值 | MX优先级 | TTL |
| A | * | 1.2.3.4 | -- | 10分钟 |
| A | www | 1.1.1.1 | -- | 10分钟 |
请结合参阅图4,针对主域名example.com,设置了普通记录www.example.com和泛解析记录*.example.com。其中,泛解析记录的结果是网关服务器的地址,网关服务器根据请求的目的域名来将请求转发到具体的业务服务器上。
若要识别www.example.com,由于单独设置了DNS记录,所以DNS应答的是其对应值,与预存在电子设备中的泛解析记录的DNS特征不同,所以可以判定为有效域名。
若要识别service1.example.com,由于没有单独设置其DNS记录,且存在泛解析记录,所以DNS应答的是泛解析记录指向的网关服务器地址,需要再获取service1.example.com的HTTP特征进行对比,网关服务器接收到HTTP请求后,基于该访问请求的子域名确定其对应的是service1业务,于是将该访问请求转发到service1.example.com对应的业务服务器上。因此获取的HTTP特征与预先获取的HTTP行为特征不同,即service1.example.com对应一个实际存在的业务,所以它是一个有效域名。
若要识别fake.example.com,同前一例,其DNS响应与预先获取的DNS特征相同,继而进行HTTP特征对比,由于没有与fake.example.com对应的业务,所以得到的HTTP特征与预先获取的HTTP行为特征相同,即可以判定为无效域名。
为了使本领域技术人员对本实施例所提供的有效子域名识别方法有更清楚的认识,以下将结合图5所示,对本实施例中的有效子域名识别方法的整体流程进行说明。
步骤S210,针对待识别的子域名,将该子域名相应的DNS应答信息与预存的DNS特征进行比对,检测该子域名相应的DNS应答信息与预存的DNS特征是否相同,若相同,执行以下步骤S220,若不同,跳转至步骤S250;
步骤S220,基于子域名进行HTTP请求,获得HTTP特征;
步骤S230,将子域名的HTTP特征与预存的HTTP行为特征进行比对,检测子域名的HTTP特征与预存的HTTP行为特征是否相同,若相同,执行步骤S240,若不同,执行步骤S250。
步骤S240,判定待识别的子域名无效;
步骤S250,判定待识别的子域名有效。
本实施例所提供的有效子域名识别方法,首先将待识别的子域名的DNS应答信息与利用泛解析记录查询获得的DNS特征进行比较来判断是否命中泛解析记录,在命中泛解析记录的情况下,再与探测子域名的HTTP行为特征进行比对,可以更高效、精准地实现存在泛解析情况下的有效子域名的识别。
在网络环境可靠的前提下可以精准地识别出子域名是否命中泛解析记录,使用HTTP请求得到的特征,以判别子域名的有效性,高效且不会占用过多的系统资源。
图6是根据一示例性实施例示出的一种电子设备的框图。如图6所示,该电子设备可以包括:处理器110,存储器120,多媒体组件130,I/O接口140,以及通信组件150。
其中,处理器110用于控制该电子设备的整体操作,以完成上述的有效子域名识别方法的全部或部分步骤。存储器120用于存储各种类型的数据以支持在该电子设备的操作,这些数据例如可以包括用于在该电子设备上操作的任何处理软件或方法的指令,以及处理软件相关的数据。
该存储器120可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-OnlyMemory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
多媒体组件130可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。I/O接口140为处理器110和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件150用于该电子设备与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件150可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的有效子域名识别方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,例如包括程序指令的存储器120,上述程序指令可由电子设备的处理器110执行以完成上述的有效子域名识别方法。
请参阅图7,本申请实施例还提供一种有效子域名识别装置200,该有效子域名识别装置200可以理解为上述电子设备,或电子设备的处理器110,也可以理解为独立于上述电子设备或处理器110之外的在电子设备控制下实现上述有效子域名识别方法的软件功能模块。
如图7所示,上述有效子域名识别装置200可以包括第一比对模块210、请求模块220、第二比对模块230。下面分别对该装置的各个功能模块的功能进行详细阐述。
第一比对模块210,用于针对待识别的子域名,将该子域名相应的DNS应答信息与预存的DNS特征进行比对,所述DNS特征为预先进行泛解析记录查询所获得的;
可以理解,该第一比对模块210可以用于执行上述步骤S110,关于该第一比对模块210的详细实现方式可以参照上述对步骤S110有关的内容。
请求模块220,用于在所述子域名相应的DNS应答信息与预存的DNS特征相同时,基于所述子域名进行HTTP请求,获得HTTP特征;
可以理解,该请求模块220可以用于执行上述步骤S120,关于该请求模块220的详细实现方式可以参照上述对步骤S120有关的内容。
第二比对模块230,用于将所述子域名的HTTP特征与预存的HTTP行为特征进行比对,所述预存的HTTP行为特征为预先随机构建的、不存在的探测子域名进行HTTP请求获得的,在所述子域名的HTTP特征与预存的HTTP行为特征不同时,确定所述子域名有效;
可以理解,该第二比对模块230可以用于执行上述步骤S130、步骤S140,关于该第二比对模块230的详细实现方式可以参照上述对步骤S130、步骤S140有关的内容。
在一种可能的实现方式中,上述第二比对模块230还可以用于:
若所述子域名相应的DNS应答信息与预存的DNS特征不相同,则确定所述子域名有效。
在一种可能的实现方式中,所述有效子域名识别装置200还可包括预先获得DNS特征的第一获得模块,该第一获得模块具体可以用于:
通过查询域名的DNS记录,获取所述域名的权威服务器地址;
基于所述权威服务器查询所述域名的泛解析记录,并标记为DNS特征。
在一种可能的实现方式中,所述有效子域名识别装置200还可包括预先获得HTTP行为特征的第二获得模块,该第二获得模块具体可以用于:
构建一个随机的、不存在的探测子域名;
基于所述探测子域名进行HTTP请求;
获得基于所述探测子域名进行HTTP请求所产生的HTTP行为特征。
在一种可能的实现方式中,所述HTTP行为特征包含每次HTTP跳转信息的集合,单次跳转信息包含状态码、URL。
在一种可能的实现方式中,上述第一比对模块210可通过以下方式获得待识别的子域名相应的DNS应当信息:
基于待识别的子域名构建DNS请求,向待识别的子域名所对应的主域名的权威服务器,或可信的第三方DNS服务器进行查询,获取待识别的子域名的DNS应答信息。
在一种可能的实现方式中,所述HTTP特征和HTTP行为特征分别包含多个子特征,上述第二比对模块230可以用于:
若所述子域名的HTTP特征中存在至少一个子特征,与所述预存的HTTP行为特征中对应的子特征不同,则确定所述子域名有效。
关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明,这里不再详述。
综上所述,本申请实施例提供的有效子域名识别方法、装置和电子设备,通过将待识别的子域名相应的DNS应答信息与预先进行泛解析记录查询获得的DNS特征进行比对,若子域名相应的DNS应答信息与DNS特征相同,再基于子域名进行HTTP请求获得HTTP特征,将子域名的HTTP特征与预先随机构建的、不存在的探测子域名进行HTTP请求获得的HTTP行为特征进行比对,若子域名的HTTP特征与预先获得的HTTP行为特征不同,则确定子域名有效。该方案,首先利用泛解析记录查询获得的DNS特征进行判断,在命中泛解析记录的情况下,再与探测子域名的HTTP行为特征进行比对,可以更高效、精准地实现存在泛解析情况下的有效子域名的识别、且能够适用于更多服务架构。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (9)
1.一种有效子域名识别方法,其特征在于,所述方法包括:
针对待识别的子域名,将该子域名相应的DNS应答信息与预存的DNS特征进行比对,所述DNS特征为预先进行泛解析记录查询所获得的;
若所述子域名相应的DNS应答信息与预存的DNS特征相同,则基于所述子域名进行HTTP请求,获得HTTP特征;
将所述子域名的HTTP特征与预存的HTTP行为特征进行比对,所述预存的HTTP行为特征为预先随机构建的、不存在的探测子域名进行HTTP请求获得的;
若所述子域名的HTTP特征与预存的HTTP行为特征不同,则确定所述子域名有效。
2.根据权利要求1所述的有效子域名识别方法,其特征在于,所述方法还包括:
若所述子域名相应的DNS应答信息与预存的DNS特征不相同,则确定所述子域名有效。
3.根据权利要求1所述的有效子域名识别方法,其特征在于,所述方法还包括预先获得DNS特征的步骤,该步骤包括:
通过查询域名的DNS记录,获取所述域名的权威服务器地址;
基于所述权威服务器查询所述域名的泛解析记录,并标记为DNS特征。
4.根据权利要求1所述的有效子域名识别方法,其特征在于,所述方法还包括预先获得HTTP行为特征的步骤,该步骤包括:
构建一个随机的、不存在的探测子域名;
基于所述探测子域名进行HTTP请求;
获得基于所述探测子域名进行HTTP请求所产生的HTTP行为特征。
5.根据权利要求4所述的有效子域名识别方法,其特征在于,所述HTTP行为特征包含每次HTTP跳转信息的集合,单次跳转信息包含状态码、URL。
6.根据权利要求2所述的有效子域名识别方法,其特征在于,获得待识别的子域名相应的DNS应答信息的步骤,包括:
基于待识别的子域名构建DNS请求,向待识别的子域名所对应的主域名的权威服务器,或可信的第三方DNS服务器进行查询,获取待识别的子域名的DNS应答信息。
7.根据权利要求2所述的有效子域名识别方法,其特征在于,所述HTTP特征和HTTP行为特征分别包含多个子特征;
所述若所述子域名的HTTP特征与预存的HTTP行为特征不同,则确定所述子域名有效的步骤,包括:
若所述子域名的HTTP特征中存在至少一个子特征,与所述预存的HTTP行为特征中对应的子特征不同,则确定所述子域名有效。
8.一种有效子域名识别装置,其特征在于,所述装置包括:
第一比对模块,用于针对待识别的子域名,将该子域名相应的DNS应答信息与预存的DNS特征进行比对,所述DNS特征为预先进行泛解析记录查询所获得的;
请求模块,用于在所述子域名相应的DNS应答信息与预存的DNS特征相同时,基于所述子域名进行HTTP请求,获得HTTP特征;
第二比对模块,用于将所述子域名的HTTP特征与预存的HTTP行为特征进行比对,所述预存的HTTP行为特征为预先随机构建的、不存在的探测子域名进行HTTP请求获得的,在所述子域名的HTTP特征与预存的HTTP行为特征不同时,确定所述子域名有效。
9.一种电子设备,其特征在于,包括一个或多个存储介质和一个或多个与存储介质通信的处理器,一个或多个存储介质存储有处理器可执行的机器可执行指令,当电子设备运行时,处理器执行所述机器可执行指令,以执行权利要求1-7中任意一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111096366.XA CN113810518A (zh) | 2021-09-15 | 2021-09-15 | 有效子域名识别方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111096366.XA CN113810518A (zh) | 2021-09-15 | 2021-09-15 | 有效子域名识别方法、装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113810518A true CN113810518A (zh) | 2021-12-17 |
Family
ID=78895920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111096366.XA Pending CN113810518A (zh) | 2021-09-15 | 2021-09-15 | 有效子域名识别方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810518A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277636A (zh) * | 2022-09-14 | 2022-11-01 | 中国科学院大学 | 一种泛域名解析方法和系统 |
| CN116962084A (zh) * | 2023-09-20 | 2023-10-27 | 北京华云安信息技术有限公司 | 泛解析子域名的识别方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040346A (zh) * | 2018-10-30 | 2018-12-18 | 深信服科技股份有限公司 | 一种泛域名解析中有效域名的筛选方法、装置及设备 |
| CN109067936A (zh) * | 2018-09-05 | 2018-12-21 | 网宿科技股份有限公司 | 一种域名解析的方法及装置 |
-
2021
- 2021-09-15 CN CN202111096366.XA patent/CN113810518A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067936A (zh) * | 2018-09-05 | 2018-12-21 | 网宿科技股份有限公司 | 一种域名解析的方法及装置 |
| CN109040346A (zh) * | 2018-10-30 | 2018-12-18 | 深信服科技股份有限公司 | 一种泛域名解析中有效域名的筛选方法、装置及设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277636A (zh) * | 2022-09-14 | 2022-11-01 | 中国科学院大学 | 一种泛域名解析方法和系统 |
| CN116962084A (zh) * | 2023-09-20 | 2023-10-27 | 北京华云安信息技术有限公司 | 泛解析子域名的识别方法、装置、设备及存储介质 |
| CN116962084B (zh) * | 2023-09-20 | 2023-12-22 | 北京华云安信息技术有限公司 | 泛解析子域名的识别方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11388193B2 (en) | Systems and methods for detecting online fraud | |
| US9521161B2 (en) | Method and apparatus for detecting computer fraud | |
| CN106657044B (zh) | 一种用于提高网站系统安全防御的网页地址跳变方法 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| US20070083670A1 (en) | Method and system for protecting an internet user from fraudulent ip addresses on a dns server | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| CN110855636B (zh) | 一种dns劫持的检测方法和装置 | |
| WO2019109529A1 (zh) | 网页识别方法、装置、计算机设备及计算机存储介质 | |
| CN113810518A (zh) | 有效子域名识别方法、装置和电子设备 | |
| CN107888606B (zh) | 一种域名信誉度评估方法及系统 | |
| CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
| CN108900554B (zh) | Http协议资产检测方法、系统、设备及计算机介质 | |
| CN104135467B (zh) | 识别恶意网站的方法及装置 | |
| Piredda et al. | Deepsquatting: Learning-based typosquatting detection at deeper domain levels | |
| US7559085B1 (en) | Detection for deceptively similar domain names | |
| JP2008250597A (ja) | コンピュータシステム | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| US20230133524A1 (en) | Non-transitory computer-readable storage medium for storing domain search program, method of searching domain, and information processing apparatus | |
| KR102501227B1 (ko) | 인터넷 주소 검색량에 기반한 금융 사기 탐지 시스템 및 방법 | |
| CN115022011B (zh) | 漏扫软件访问请求识别方法、装置、设备和介质 | |
| CN110868381B (zh) | 基于dns解析结果触发的流量数据收集方法、装置及电子设备 | |
| Swathi et al. | Detection of Phishing Websites Using Machine Learning | |
| Zhang et al. | Understanding and Characterizing the Adoption of Internationalized Domain Names in Practice | |
| CN115865438A (zh) | 网络攻击的防御方法、装置、设备及介质 | |
| CN115801721A (zh) | 邮件检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |