TWI478561B - 網域追蹤方法與系統及其電腦可讀取記錄媒體 - Google Patents
網域追蹤方法與系統及其電腦可讀取記錄媒體 Download PDFInfo
- Publication number
- TWI478561B TWI478561B TW101112078A TW101112078A TWI478561B TW I478561 B TWI478561 B TW I478561B TW 101112078 A TW101112078 A TW 101112078A TW 101112078 A TW101112078 A TW 101112078A TW I478561 B TWI478561 B TW I478561B
- Authority
- TW
- Taiwan
- Prior art keywords
- tracked
- domain
- tracking
- domains
- address
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 26
- 238000004422 calculation algorithm Methods 0.000 claims description 27
- 238000012545 processing Methods 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 4
- 230000004083 survival effect Effects 0.000 claims 3
- 238000013528 artificial neural network Methods 0.000 description 3
- 101150014732 asnS gene Proteins 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006854 communication Effects 0.000 description 2
- 238000003066 decision tree Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 210000003484 anatomy Anatomy 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Description
本發明是有關於一種網域追蹤方法、系統以及儲存其之電腦可讀取記錄媒體,且特別是有關於一種依據各網域之資訊而計算其權重,並依據權重進行網域追蹤之方法、系統以及儲存其之電腦可讀取記錄媒體。
網站釣魚攻擊(Phishing)是一種企圖從網路通訊過程中,藉由偽裝成信譽良好的網站、賣家或法人,以獲得如用戶名、密碼和信用卡明細等個人隱私資料的犯罪詐騙的惡意攻擊。舉例來說,一般網路釣魚公司多半聲稱來自於頗富盛名的社交網站(如YouTube、Facebook、MySpace)、拍賣網站(如eBay)、網路銀行、電子支付網站(PayPal)、或網路管理者(雅虎、網際網路服務供應商、公司機關),用以誘騙受害人。然後,它常常導引用戶到類似位址或其介面外觀與所聲稱之網站幾無差異,卻位於惡意網域下的假冒網站,供用戶輸入其個人資料與機敏資訊。
此類惡意攻擊常用一種網域名稱演算法,產生許多網域名單,做為後續惡意攻擊用之檔案下載來源或惡意網頁提供來源。由於可產生之惡意網域之數量龐大,即使部分惡意網域遭封鎖,還有其他網域可取代。然而,一般惡意網域之追蹤方法多半需分析各網域所傳輸之資料,而衍生隱私權之問題,且多半需使用惡意網域附近之伺服器執行追蹤。
因此,本發明之一態樣是在提供一種網域追蹤方法,用以取得待追蹤網域之資源紀錄、位址以及位址之註冊資訊,做為計算待追蹤網域之權重之依據,並根據各待追蹤網域之權重進行追蹤。網域追蹤方法包含以下步驟:
(a)自至少一名稱伺服器(name server),查詢數個待追蹤網域之數筆待追蹤網域資源紀錄(resource record)。
(b)根據待追蹤網域之待追蹤網域資源紀錄,取得待追蹤網域之數筆待追蹤網域位址(IP address)。
(c)連線至外部資源伺服器查詢待追蹤網域位址,以取得各待追蹤網域之待追蹤網域位址之註冊資訊(registration information)。
(d)根據待追蹤網域資源紀錄、待追蹤網域位址以及待追蹤網域位址之註冊資訊,計算各待追蹤網域之一追蹤權重。
(e)根據各待追蹤網域之追蹤權重,追蹤各待追蹤網域。
本發明之另一態樣是在提供一種電腦可讀取記錄媒體,儲存一電腦程式,用以執行網域追蹤方法。方法步驟流程如上所述,在此不再重複贅述。
本發明之另一態樣是在提供一種網域追蹤系統,用以取得待追蹤網域之資源紀錄、位址以及位址之註冊資訊,做為計算待追蹤網域之權重之依據,並根據各待追蹤網域之權重進行追蹤。網域追蹤系統包含相互電性連接之一網路卡以及一處理元件。網路卡與一網路建立連結。處理元件包含一查詢模組、一資訊收集模組、一權重計算模組以及一追蹤模組。查詢模組透過網路,自至少一名稱伺服器,查詢數個待追蹤網域之待追蹤網域資源紀錄。查詢模組根據待追蹤網域之待追蹤網域資源紀錄,取得各待追蹤網域之待追蹤網域位址。資訊收集模組透過網路,連線至外部資源伺服器查詢待追蹤網域位址,以取得各待追蹤網域之待追蹤網域位址之註冊資訊。權重計算模組根據待追蹤網域資源紀錄、待追蹤網域位址以及待追蹤網域位址之註冊資訊,計算各待追蹤網域之一追蹤權重。追蹤模組根據各待追蹤網域之追蹤權重,透過網路,追蹤各待追蹤網域。
應用本發明具有下列優點。不需監控由各待追蹤網域所傳輸之資訊,即可相應調整追蹤策略,避免侵犯各待追蹤網域所傳輸資訊之隱私。此外,亦可因此使本發明之一實施例,可應用於待追蹤網域之區域DNS以外之伺服器。因此,不必為了網域之追蹤,於不同網域上架設額外伺服器,因而節省架設額外伺服器所需耗費之成本。另外,本發明可應用於各種待追蹤網域,不會受限於待追蹤網域之格式。
以下將以圖式及詳細說明本發明之精神,任何所屬技術領域中具有通常知識者在瞭解本發明之較佳實施例後,當可由本發明所教示之技術加以改變及修飾,其並不脫離本發明之精神與範圍。
請參照第1圖,其係依照本發明一實施方式的一種網域追蹤方法之流程圖。在網域追蹤方法中,取得待追蹤網域之資源紀錄、位址以及位址之註冊資訊,做為計算待追蹤網域之權重之依據,並根據各待追蹤網域之權重進行追蹤。網域追蹤方法可經由電腦程式來進行實作。電腦程式可儲存於一電腦可讀取記錄媒體中,而使電腦讀取此記錄媒體後執行此網域追蹤方法。電腦可讀取記錄媒體可為唯讀記憶體、快閃記憶體、軟碟、硬碟、微型硬碟、光碟、隨身碟、磁帶、可由網路存取之資料庫或熟悉此技藝者可輕易思及具有相同功能之電腦可讀取記錄媒體。
網域追蹤方法100包含以下步驟:
在步驟130中,自至少一名稱伺服器(name server),查詢數個待追蹤網域之數筆待追蹤網域資源紀錄(resource record)。
在本發明之一實施例中,各待追蹤網域之資訊可預存於一內部資料庫,做為步驟130向名稱伺服器進行查詢之依據。
在本發明之另一實施例中,可於步驟110先自外部資源伺服器,取得至少一待追蹤位址。其中,在本發明之一實施例中,若將本發明應用於追蹤惡意網域時,可取得惡意位址做為待追蹤位址,可以惡意網域做為待追蹤網域,提供惡意位址之外部資源伺服器可為誘騙系統(honeypot)、黑名單資料庫(blacklist)、網域名稱系統(Domain Name System,DNS)伺服器、WHOIS資料庫或其他可提供惡意位址資訊之資料庫。接下來,可於步驟120中,分析所取得之至少一待追蹤位址所屬之網域,加入待追蹤網域,以便接下來於步驟130中進行查詢。如此一來,即使原先未存有太多待追蹤網域或甚至完全未存有待追蹤網域,仍可藉由上述待追蹤網域之加入方式,進行接下來之網域追蹤。換言之,本發明之一些實施例中,可不需事先訓練初始化資料。此外,可進一步刪除待追蹤位址所屬之網域中,與原先已儲存之待追蹤網域相同者,以避免於接下來之步驟中重複處理相同網域。
在本發明之又一實施例中,可僅選取原待追蹤網域中之一預定數量者,進行接下來之步驟。如此一來,可避免待追蹤網域之數量過多,造成需耗費龐大的資源或較長之時間執行。
在步驟140中,根據待追蹤網域之待追蹤網域資源紀錄,取得待追蹤網域之數筆待追蹤網域位址。在步驟140之一實施例中,可自各待追蹤網域之待追蹤網域資源紀錄中之網際網路協定(Internet protocol,IP)位址欄位或其他類型之位址欄位,取得其待追蹤網域位址。
在步驟150中,連線至外部資源伺服器查詢各待追蹤網域之待追蹤網域位址,以取得各待追蹤網域之待追蹤網域位址之註冊資訊。其中,步驟150可藉由WHOIS傳輸協議而執行。所取得之待追蹤網域位址之註冊資訊可包含各待追蹤網域位址之自律系統號碼(autonomous system number,ASN)、國家代碼(country code,CC)、網際網路服務提供者(internet service provider,ISP)或其他可藉由WHOIS所查詢到之註冊資訊。
在步驟160中,根據待追蹤網域資源紀錄、待追蹤網域位址以及待追蹤網域位址之註冊資訊,計算各待追蹤網域之一追蹤權重。
在步驟170中,根據各待追蹤網域之追蹤權重,追蹤各待追蹤網域。在步驟170之一實施例中,可較頻繁的對追蹤權重較高之待追蹤網域進行追蹤;對追蹤權重較低之待追蹤網域,可降低對其進行追蹤之頻率。在步驟170之其他實施例中,可根據各待追蹤網域之追蹤權重,調整其追蹤各待追蹤網域之方式,並不限於本揭露。如此一來,不需監控由各待追蹤網域所傳輸之資訊,即可相應調整追蹤策略,避免侵犯各待追蹤網域所傳輸資訊之隱私。此外,亦可因此使本發明之一實施例,可應用於待追蹤網域之區域DNS以外之伺服器。
此外,在步驟170之另一實施例中,可先接收一追蹤條件。接下來,於步驟170中,根據待追蹤網域之追蹤權重,追蹤待追蹤網域外,依待追蹤網域資源紀錄、待追蹤網域位址以及待追蹤網域位址之註冊資訊條件,前述任一內容符合追蹤條件者,將匯整成一輸出列表,做為追蹤條件要求之結果。舉例來說,在追蹤條件為待追蹤網域位址所註冊之國家代碼為一特定國家時,於步驟170中將待追蹤網域位址註冊於特定國家之待追蹤網域表列於結果。如此一來,可藉由追蹤條件之設定,使網域之追蹤更符合當前之要求。
另外,在步驟170後,可持續執行步驟110至170。如此一來,可更精準的針對需持續追蹤的網域進行追蹤,並將不需追蹤的網域過濾掉。
在步驟160之一實施例中,可藉由一分析演算法分析待追蹤網域資源紀錄、待追蹤網域位址以及待追蹤網域位址之註冊資訊,以計算各待追蹤網域之追蹤權重。分析演算法可為支援向量機(Support Vector Machine)演算法、類神經網路(artificial neural network)、倒傳遞類神經網路(Back-Propagation Network,BPN)演算法、簡單貝葉斯(Nave Bayes)演算法、決策樹(Decision Tree)演算法或其他權重評估演算法。
在本發明之一實施例中,供步驟160進行分析之網域資源紀錄可包含待追蹤網域之頂層網域(top level domain,TLD)之重要性。在本發明之一些實施例中,分析演算法可使頂層網域之重要性越高之待追蹤網域具有較高之追蹤權重。在本發明之另一些實施例中,分析演算法可將目前頂層網域重要性與先前之頂層網域重要性相比,並將目前頂層網域重要性越高之待追蹤網域,給予較高之追蹤權重。
在本發明之另一實施例中,供步驟160進行分析之網域資源紀錄可包含待追蹤網域之負責的名稱伺服器(authoritative Name Server)之個數。在本發明之一些實施例中,分析演算法可使負責的名稱伺服器之個數越多之待追蹤網域具有較高之追蹤權重。在本發明之另一些實施例中,分析演算法可將負責的名稱伺服器個數與先前之負責的名稱伺服器個數相比,並將負責的名稱伺服器個數增加越多之待追蹤網域,給予較高之追蹤權重。
在本發明之另一實施例中,分析演算法可使待追蹤網域位址之個數越多之待追蹤網域具有較高之追蹤權重。在本發明之另一些實施例中,分析演算法可將待追蹤網域位址個數與先前之待追蹤網域位址個數相比,並將待追蹤網域位址個數增加越多之待追蹤網域,給予較高之追蹤權重。
在本發明之另一實施例中,供步驟160進行分析之待追蹤網域位址之註冊資訊可包含待追蹤網域之空間資訊,如待追蹤網域位址之ASN數量、CC數量、ISP數量或其他註冊資訊之數量。在本發明之一些實施例中,分析演算法可使ASN數量、CC數量、ISP數量或其他空間資訊之數量越多之待追蹤網域具有較高之追蹤權重。在本發明之另一些實施例中,分析演算法可將目前ASN數量、CC數量、ISP數量或其他註冊資訊之數量與先前之數量相比,並將目前數量增加越多之待追蹤網域,給予較高之追蹤權重。
在本發明之另一實施例中,供步驟160進行分析之待追蹤網域位址之註冊資訊可包含待追蹤網域之時間資訊,如待追蹤網域之存活時間(Time to Live,TTL)、最近被追蹤到活動中(active)之時間長度或其他時間相關資訊。在本發明之一些實施例中,分析演算法可使時間資訊越長之待追蹤網域具有較高之追蹤權重。然而,在步驟160之其他實施例中,可將上述權重產生方式進行整合或使用其他方式計算追蹤權重,並不限於本揭露。
另外,在網域追蹤方法100中,更可將待追蹤網域之待追蹤網域資源紀錄、待追蹤網域位址以及待追蹤網域位址之註冊資訊等資訊中已有更動者,更新其於資料庫中對應之欄位。
請參照第2圖,其繪示依照本發明一實施例的一種網域追蹤系統之功能方塊圖。網域追蹤系統取得待追蹤網域之資源紀錄、位址以及位址之註冊資訊,做為計算待追蹤網域之權重之依據,並根據各待追蹤網域之權重進行追蹤。
網域追蹤系統200包含相互電性連接之一網路卡210以及一處理元件220。網路卡210可藉由一有線或無線網路通訊協定,與一網路300建立連結。
處理元件220包含一查詢模組221、一資訊收集模組222、一權重計算模組223以及一追蹤模組224。查詢模組221透過網路300,自至少一名稱伺服器400,查詢數個待追蹤網域之待追蹤網域資源紀錄。在本發明之一實施例中,網域追蹤系統200更可包含電性連接處理元件220之一儲存元件230。儲存元件230存有待追蹤網域之資訊,做為查詢模組221向名稱伺服器400查詢之依據。
在本發明之另一實施例中,處理元件220更可包含一位址取得模組225以及一剖析模組226。位址取得模組225透過網路300,自至少一外部資源伺服器500,取得至少一待追蹤位址。在本發明之一些實施例中,若將網域追蹤系統200應用於追蹤惡意網域時,位址取得模組225可取得惡意位址做為待追蹤位址,網域追蹤系統200可以惡意網域做為待追蹤網域,提供惡意位址之外部資源伺服器500可為誘騙系統、黑名單資料庫、網域名稱系統伺服器、WHOIS資料庫或其他可提供惡意位址資訊之資料庫。剖析模組226分析所取得之待追蹤位址所屬之網域,以加入待追蹤網域,進行進一步處理。此外,處理元件220可進一步刪除待追蹤位址所屬之網域中,與原先已儲存於儲存元件230之待追蹤網域相同者,以避免接下來重複處理相同網域。
此外,處理元件220更可僅選取儲存元件230中所儲存之原待追蹤網域中之一預定數量者,進行接下來之處理。如此一來,可避免待追蹤網域之數量過多,造成網域追蹤系統200需耗費龐大的處理資源或較長之執行時間。
接下來,查詢模組221根據待追蹤網域之待追蹤網域資源紀錄,取得各待追蹤網域之待追蹤網域位址。在本發明之一實施例中,查詢模組221可自各待追蹤網域之待追蹤網域資源紀錄中之網際網路協定位址欄位或其他類型之位址欄位,取得其待追蹤網域位址。
資訊收集模組222透過網路300,連線至外部資源伺服器500查詢待追蹤網域位址,以取得各待追蹤網域之待追蹤網域位址之註冊資訊。資訊收集模組222可藉由WHOIS傳輸協議而執行。所取得之待追蹤網域位址之註冊資訊可包含各待追蹤網域位址之自律系統號碼、國家代碼、網際網路服務提供者或其他可藉由WHOIS所查詢到之註冊資訊。
權重計算模組223根據待追蹤網域資源紀錄、待追蹤網域位址以及待追蹤網域位址之註冊資訊,計算各待追蹤網域之一追蹤權重。其中,權重計算模組223可藉由一分析演算法分析待追蹤網域資源紀錄、待追蹤網域位址以及待追蹤網域位址之註冊資訊,以計算各待追蹤網域之追蹤權重。權重計算模組223所使用之分析演算法可為支援向量機算法、類神經網路、倒傳遞類神經網路演算法、簡單貝葉斯演算法、決策樹演算法或其他權重評估演算法。
追蹤模組224根據各待追蹤網域之追蹤權重,透過網路300,追蹤各待追蹤網域。在本發明之之一實施例中,追蹤模組224可較頻繁的對追蹤權重較高之待追蹤網域進行追蹤;對追蹤權重較低之待追蹤網域,追蹤模組224可降低對其進行追蹤之頻率。在本發明之其他實施例中,追蹤模組224可根據各待追蹤網域之追蹤權重,調整其追蹤各待追蹤網域之方式,並不限於本揭露。如此一來,網域追蹤系統200不需監控由各待追蹤網域所傳輸之資訊,即可相應調整追蹤策略,避免侵犯各待追蹤網域所傳輸資訊之隱私。此外,亦可因此應用待追蹤網域之區域DNS以外之伺服器做為網域追蹤系統200。此外,在本發明之另一些實施例,追蹤模組224可透過網路300,將各待追蹤網域之追蹤權重傳送至其他追蹤伺服器,做為其他追蹤伺服器調整其追蹤策略之依據。
另外,追蹤模組224更可包含一條件過濾器224a。條件過濾器224a接收一追蹤條件。於是,接下來條件過濾器224a可透過追蹤模組224根據待追蹤網域之追蹤權重,依待追蹤網域資源紀錄、待追蹤網域位址以及待追蹤網域位址之註冊資訊,表列待追蹤網域中符合追蹤條件者。如此一來,可藉由追蹤條件之設定,追蹤模組224除根據各待追蹤網域之追蹤權重,追蹤各待追蹤網域外,還可將符合當前設定條件之待追蹤網域表列於結果。
另外,查詢模組221、資訊收集模組222、權重計算模組223以及追蹤模組224可根據修改後之各待追蹤網域之追蹤權重繼續運作。如此一來,可更精準的針對需持續追蹤的網域進行追蹤,並將不需追蹤的網域過濾掉。
應用本發明具有下列優點。不需監控由各待追蹤網域所傳輸之資訊,即可相應調整追蹤策略,避免侵犯各待追蹤網域所傳輸資訊之隱私。此外,亦可因此使本發明之一實施例,可應用於待追蹤網域之區域DNS以外之伺服器。因此,不必為了網域之追蹤,於不同網域上架設額外伺服器,因而節省架設額外伺服器所需耗費之成本。另外,本發明可應用於各種待追蹤網域,不會受限於待追蹤網域之格式。
雖然本發明已以實施方式揭露如上,然其並非用以限定本發明,任何熟習此技藝者,在不脫離本發明之精神和範圍內,當可做各種之更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
100...網域追蹤方法
110-170...步驟
200...網域追蹤系統
210...網路卡
220...處理元件
221...查詢模組
222...資訊收集模組
223...權重計算模組
224...追蹤模組
224a...條件過濾器
225...位址取得模組
226...剖析模組
230...儲存元件
300...網路
400...名稱伺服器
500...外部資源伺服器
為讓本發明之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附圖式之說明如下:
第1圖係依照本發明一實施方式的一種網域追蹤方法之流程圖。
第2圖繪示依照本發明一實施例的一種網域追蹤系統之功能方塊圖。
100...網域追蹤方法
110-170...步驟
Claims (10)
- 一種網域追蹤方法,包含:(a)自至少一名稱伺服器(name server),查詢複數個待追蹤網域之複數筆待追蹤網域資源紀錄(resource record),其中該些待追蹤網域資源紀錄包括該些待追蹤網域的頂層網域的重要性或是該些待追蹤網域之負責的該至少一名稱伺服器的個數;(b)根據該些待追蹤網域之該些待追蹤網域資源紀錄,取得該些待追蹤網域之複數筆待追蹤網域位址(IP address);(c)連線至一外部資源伺服器查詢該些待追蹤網域位址,以取得該些待追蹤網域之複數筆待追蹤網域位址之註冊資訊(registration information),其中該註冊資訊包括該些待追蹤網域的存活時間或是被追蹤到活動中之時間長度;(d)根據該些待追蹤網域資源紀錄、該些待追蹤網域位址以及該些待追蹤網域位址之註冊資訊,計算每一該些待追蹤網域之一追蹤權重;以及(e)根據每一該些待追蹤網域之該追蹤權重,決定追蹤每一該些待追蹤網域的頻率,其中該些待追蹤網域包括一第一待追蹤網域與一第二待追蹤網域,該第一待追蹤網域的該追蹤權重大於該第二待追蹤網域的該追蹤權重,並且追蹤該第一待追蹤網域的該頻率大於追蹤該第二待追蹤網域的該頻率。
- 如請求項1所述之網域追蹤方法,更包含:取得至少一待追蹤位址;以及分析該至少一待追蹤位址所屬之網域,以加入該些待追蹤網域。
- 如請求項1所述之網域追蹤方法,其中步驟(e)包含:接收一追蹤條件;以及根據該些待追蹤網域之該些追蹤權重,依該些待追蹤網域資源紀錄、該些待追蹤網域位址以及該些待追蹤網域位址之註冊資訊之條件,表列該些待追蹤網域中符合該追蹤條件者。
- 如請求項1所述之網域追蹤方法,其中步驟(d)包含:藉由一分析演算法分析該些待追蹤網域資源紀錄、該些待追蹤網域位址以及該些待追蹤網域位址之註冊資訊,以計算每一該些待追蹤網域之該追蹤權重。
- 如請求項1所述之網域追蹤方法,其中該些待追蹤網域為複數個惡意網域。
- 一種網域追蹤系統,包含:一網路卡,與一網路建立連結;以及 一處理元件,電性連接該網路卡,其中該處理元件包含:一查詢模組,透過該網路,自至少一名稱伺服器,查詢複數個待追蹤網域之複數筆待追蹤網域資源紀錄,並根據該些待追蹤網域之該些待追蹤網域資源紀錄,取得該些待追蹤網域之複數筆待追蹤網域位址,其中該些待追蹤網域資源紀錄包括該些待追蹤網域的頂層網域的重要性或是該些待追蹤網域之負責的該至少一名稱伺服器的個數;一資訊收集模組,透過該網路,連線至一外部資源伺服器查詢該些待追蹤網域位址,以取得該些待追蹤網域之複數筆待追蹤網域位址之註冊資訊,其中該註冊資訊包括該些待追蹤網域的存活時間或是被追蹤到活動中之時間長度;一權重計算模組,根據該些待追蹤網域資源紀錄、該些待追蹤網域位址以及該些待追蹤網域位址之註冊資訊,計算每一該些待追蹤網域之一追蹤權重;以及一追蹤模組,根據每一該些待追蹤網域之該追蹤權重,透過該網路,決定追蹤每一該些待追蹤網域的頻率,其中該些待追蹤網域包括一第一待追蹤網域與一第二待追蹤網域,該第一待追蹤網域的該追蹤權重大於該第二待追蹤網域的該追蹤權重,並且追蹤該第一待追蹤網域的該頻率大於追蹤該第二待追蹤網域的該頻率。
- 如請求項6所述之網域追蹤系統,其中該處理元 件更包含:一位址取得模組,透過該網路,取得至少一待追蹤位址;以及一剖析模組,分析該至少一待追蹤位址所屬之網域,以加入該些待追蹤網域。
- 如請求項6所述之網域追蹤系統,其中該追蹤模組包含:一條件過濾器,接收一追蹤條件,並使該追蹤模組根據該些待追蹤網域之該些追蹤權重,依該些待追蹤網域資源紀錄、該些待追蹤網域位址以及該些待追蹤網域位址之註冊資訊,表列該些待追蹤網域中符合該追蹤條件者。
- 如請求項6所述之網域追蹤系統,其中該權重計算模組藉由一分析演算法分析該些待追蹤網域資源紀錄、該些待追蹤網域位址以及該些待追蹤網域位址之註冊資訊,以計算每一該些待追蹤網域之該追蹤權重。
- 一種電腦可讀取記錄媒體,儲存一電腦程式,用以執行一種網域追蹤方法,其中該網域追蹤方法包含:(a)自至少一名稱伺服器(name server),查詢複數個待追蹤網域之複數筆待追蹤網域資源紀錄(resource record),其中該些待追蹤網域資源紀錄包括該些待追蹤網域的頂層網域的重要性或是該些待追蹤網域之負責的該至少一名稱伺服器的個數; (b)根據該些待追蹤網域之該些待追蹤網域資源紀錄,取得該些待追蹤網域之複數筆待追蹤網域位址(IP address);(c)連線至一外部資源伺服器查詢該些待追蹤網域位址,以取得該些待追蹤網域之複數筆待追蹤網域位址之註冊資訊(registration information),其中該註冊資訊包括該些待追蹤網域的存活時間或是被追蹤到活動中之時間長度;(d)根據該些待追蹤網域資源紀錄、該些待追蹤網域位址以及該些待追蹤網域位址之註冊資訊,計算每一該些待追蹤網域之一追蹤權重;以及(e)根據每一該些待追蹤網域之該追蹤權重,決定追蹤每一該些待追蹤網域的頻率,其中該些待追蹤網域包括一第一待追蹤網域與一第二待追蹤網域,該第一待追蹤網域的該追蹤權重大於該第二待追蹤網域的該追蹤權重,並且追蹤該第一待追蹤網域的該頻率大於追蹤該第二待追蹤網域的該頻率。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW101112078A TWI478561B (zh) | 2012-04-05 | 2012-04-05 | 網域追蹤方法與系統及其電腦可讀取記錄媒體 |
US13/544,068 US20130268675A1 (en) | 2012-04-05 | 2012-07-09 | Method and System for Tracing Domain Names and Computer Readable Storage Medium Storing the Method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW101112078A TWI478561B (zh) | 2012-04-05 | 2012-04-05 | 網域追蹤方法與系統及其電腦可讀取記錄媒體 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201342861A TW201342861A (zh) | 2013-10-16 |
TWI478561B true TWI478561B (zh) | 2015-03-21 |
Family
ID=49293215
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW101112078A TWI478561B (zh) | 2012-04-05 | 2012-04-05 | 網域追蹤方法與系統及其電腦可讀取記錄媒體 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20130268675A1 (zh) |
TW (1) | TWI478561B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI764618B (zh) * | 2020-10-19 | 2022-05-11 | 新加坡商賽博創新新加坡股份有限公司 | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 |
US11558352B2 (en) | 2020-10-19 | 2023-01-17 | Cycraft Singapore Pte. Ltd. | Cyber security protection system and related proactive suspicious domain alert system |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9172610B2 (en) * | 2012-05-29 | 2015-10-27 | Alcatel Lucent | Multiple form enumerated attributes |
US10171415B2 (en) * | 2013-10-11 | 2019-01-01 | Verisign, Inc. | Characterization of domain names based on changes of authoritative name servers |
TWI528216B (zh) * | 2014-04-30 | 2016-04-01 | 財團法人資訊工業策進會 | 隨選檢測惡意程式之方法、電子裝置、及使用者介面 |
US10320823B2 (en) * | 2015-05-13 | 2019-06-11 | Cisco Technology, Inc. | Discovering yet unknown malicious entities using relational data |
CN106790062B (zh) * | 2016-12-20 | 2020-05-08 | 国家电网公司 | 一种基于反向dns查询属性聚合的异常检测方法及系统 |
CN106506729B (zh) * | 2017-01-11 | 2019-11-19 | 中国互联网络信息中心 | 一种基于dns视图的dns策略解析方法及装置 |
US10652260B1 (en) * | 2017-11-08 | 2020-05-12 | Cisco Technology, Inc. | Detecting botnet domains |
CN108881151B (zh) * | 2017-12-29 | 2021-08-03 | 哈尔滨安天科技集团股份有限公司 | 一种无关节点确定方法、装置及电子设备 |
US10785188B2 (en) * | 2018-05-22 | 2020-09-22 | Proofpoint, Inc. | Domain name processing systems and methods |
CN109688165A (zh) * | 2019-02-26 | 2019-04-26 | 北京微步在线科技有限公司 | 一种挖掘恶意域名的方法和装置 |
CN110166581B (zh) * | 2019-04-30 | 2022-03-29 | 大唐软件技术股份有限公司 | 一种域名解析服务器访问频次占比获取方法及装置 |
CN110099131A (zh) * | 2019-05-17 | 2019-08-06 | 网宿科技股份有限公司 | 一种域名解析方法及装置 |
CN110602264B (zh) * | 2019-09-02 | 2022-05-10 | 中国移动通信集团江苏有限公司 | 传递域名解析地址权重信息的方法、装置、设备和介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100174795A1 (en) * | 2004-10-29 | 2010-07-08 | The Go Daddy Group, Inc. | Tracking domain name related reputation |
TWI332159B (en) * | 2004-07-09 | 2010-10-21 | Ibm | Method, system, analyser, router, and computer readable medium of detecting a distributed denial of service (ddos) attack in the internet |
US20110078309A1 (en) * | 2006-04-29 | 2011-03-31 | Eric Bloch | Apparatus for Filtering Server Responses |
GB2481356A (en) * | 2011-02-07 | 2011-12-21 | F Secure Corp | Controlling Internet access using DNS root server reputation |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6745248B1 (en) * | 2000-08-02 | 2004-06-01 | Register.Com, Inc. | Method and apparatus for analyzing domain name registrations |
EP1337931A4 (en) * | 2000-11-01 | 2005-05-11 | Snapnames Com Inc | DOMAIN NAME ACQUISITION AND MANAGEMENT SYSTEM AND METHOD |
US7272853B2 (en) * | 2003-06-04 | 2007-09-18 | Microsoft Corporation | Origination/destination features and lists for spam prevention |
US20080022013A1 (en) * | 2004-10-29 | 2008-01-24 | The Go Daddy Group, Inc. | Publishing domain name related reputation in whois records |
US20060095404A1 (en) * | 2004-10-29 | 2006-05-04 | The Go Daddy Group, Inc | Presenting search engine results based on domain name related reputation |
US8904040B2 (en) * | 2004-10-29 | 2014-12-02 | Go Daddy Operating Company, LLC | Digital identity validation |
US7925786B2 (en) * | 2005-09-16 | 2011-04-12 | Microsoft Corp. | Hosting of network-based services |
US8606926B2 (en) * | 2006-06-14 | 2013-12-10 | Opendns, Inc. | Recursive DNS nameserver |
GB2446421B (en) * | 2007-02-09 | 2011-06-22 | Proctor & Stevenson Ltd | Tracking web server |
US20090282028A1 (en) * | 2008-09-23 | 2009-11-12 | Michael Subotin | User Interface and Method for Web Browsing based on Topical Relatedness of Domain Names |
US8521908B2 (en) * | 2009-04-07 | 2013-08-27 | Verisign, Inc. | Existent domain name DNS traffic capture and analysis |
US9058381B2 (en) * | 2010-04-20 | 2015-06-16 | Verisign, Inc. | Method of and apparatus for identifying machine-generated textual identifiers |
US20130085932A1 (en) * | 2011-09-29 | 2013-04-04 | Verisign, Inc. | Tracing domain name history within a registration via a whowas service |
US8949982B2 (en) * | 2011-12-30 | 2015-02-03 | Verisign, Inc. | Method for administering a top-level domain |
US20130238496A1 (en) * | 2012-03-06 | 2013-09-12 | Robert Monster | System and method for domain leasing, acquisition and development incorporating a virtual currency platform |
US8819227B1 (en) * | 2012-03-19 | 2014-08-26 | Narus, Inc. | Discerning web content and services based on real-time DNS tagging |
-
2012
- 2012-04-05 TW TW101112078A patent/TWI478561B/zh not_active IP Right Cessation
- 2012-07-09 US US13/544,068 patent/US20130268675A1/en not_active Abandoned
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI332159B (en) * | 2004-07-09 | 2010-10-21 | Ibm | Method, system, analyser, router, and computer readable medium of detecting a distributed denial of service (ddos) attack in the internet |
US20100174795A1 (en) * | 2004-10-29 | 2010-07-08 | The Go Daddy Group, Inc. | Tracking domain name related reputation |
US20110078309A1 (en) * | 2006-04-29 | 2011-03-31 | Eric Bloch | Apparatus for Filtering Server Responses |
GB2481356A (en) * | 2011-02-07 | 2011-12-21 | F Secure Corp | Controlling Internet access using DNS root server reputation |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI764618B (zh) * | 2020-10-19 | 2022-05-11 | 新加坡商賽博創新新加坡股份有限公司 | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 |
US11558352B2 (en) | 2020-10-19 | 2023-01-17 | Cycraft Singapore Pte. Ltd. | Cyber security protection system and related proactive suspicious domain alert system |
Also Published As
Publication number | Publication date |
---|---|
TW201342861A (zh) | 2013-10-16 |
US20130268675A1 (en) | 2013-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI478561B (zh) | 網域追蹤方法與系統及其電腦可讀取記錄媒體 | |
US10581908B2 (en) | Identifying phishing websites using DOM characteristics | |
TWI459232B (zh) | 釣魚網站處理方法、系統以及儲存其之電腦可讀取記錄媒體 | |
US11165822B2 (en) | Identifying phishing websites using DOM characteristics | |
Perdisci et al. | Iotfinder: Efficient large-scale identification of iot devices via passive dns traffic analysis | |
US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
US10164989B2 (en) | Distinguishing human-driven DNS queries from machine-to-machine DNS queries | |
US8205255B2 (en) | Anti-content spoofing (ACS) | |
US8856360B2 (en) | Automatically identifying dynamic internet protocol addresses | |
JP6510040B2 (ja) | 不審なホストネームを識別するシステム及び方法 | |
US20150033341A1 (en) | System and method to detect threats to computer based devices and systems | |
US20130124644A1 (en) | Reputation services for a social media identity | |
Korczynski et al. | Reputation metrics design to improve intermediary incentives for security of TLDs | |
US11093844B2 (en) | Distinguishing human-driven DNS queries from machine-to-machine DNS queries | |
US20220006783A1 (en) | Privacy preserving cooperative firewall rule optimizer | |
TWI656778B (zh) | Malicious domain detection method combining network information and network traffic | |
TW202009767A (zh) | 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體 | |
Mishsky et al. | A topology based flow model for computing domain reputation | |
US11949655B2 (en) | Systems and methods for determining asset importance in security risk management | |
TW201947442A (zh) | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 | |
Zou et al. | Detecting malware based on expired command-and-control traffic | |
Khattak et al. | D3TAC: Utilizing distributed computing for DDoS attack traffic analysis on the cloud | |
TW201733388A (zh) | 一種透過丟失帳號定位惡意帳號的方法和系統 | |
Moura et al. | of deliverable: Documentation of botnet metrics methodology | |
Mishsky et al. | Computing domains reputation using flow |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |