WO2021109669A1

WO2021109669A1 - 恶意域名访问的检测方法、装置及计算机可读存储介质

Info

Publication number: WO2021109669A1
Application number: PCT/CN2020/114561
Authority: WO
Inventors: 吴维朋
Original assignee: 华为技术有限公司
Priority date: 2019-12-05
Filing date: 2020-09-10
Publication date: 2021-06-10
Also published as: CN112929326B; CN112929326A

Abstract

一种恶意域名访问的检测方法、装置及计算机可读存储介质，以该方法应用于客户端主机为例，包括：客户端主机在目标进程触发域名访问时，获取目标进程请求访问的域名及目标进程的进程标识，目标进程的进程标识用于标识一个该客户端主机上运行的应用程序(301)；客户端向服务端主机发送目标进程的参数信息(302)；客户端主机接收服务端主机对应返回的安全检测的结果(306)；客户端主机根据安全检测的结果对目标进程进行处理(307)。该方法能够获取域名解析行为及所属进程，对做域名解析的进程会有一个溯源的作用。通过客户端和服务端主机的配合，降低了恶意域名访问的检测漏报误报率。

Description

恶意域名访问的检测方法、装置及计算机可读存储介质

本申请要求于2019年12月05日提交的申请号为201911236811.0、发明名称为“恶意域名访问的检测方法和装置”的中国专利申请的优先权，本申请要求于2020年02月28日提交的申请号为202010131066.X、发明名称为“恶意域名访问的检测方法、装置及计算机可读存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机及通信技术领域，尤其涉及一种恶意域名访问的检测方法、一种恶意域名访问的检测装置及计算机可读存储介质。

背景技术

域名系统(domain name system，DNS)是互联网的一项服务。域名系统作为将域名和网际协议(internet protocol，IP)地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。IP地址是网络上标识站点的数字地址。域名是一组字符串，与IP地址相比，更容易被用户记忆。

域名的解析工作由DNS服务器完成。当应用程序(例如浏览器)需要将一个主机域名映射为IP地址时,就调用域名解析函数,解析函数将待转换的域名放在DNS请求中,以用户数据报协议(user datagram protocol，UDP)报文方式发给本地域名服务器。本地的域名服务器查到域名后,将对应的IP地址放在应答报文中返回。同时域名服务器还具有连向其他服务器的信息以支持不能解析时的转发。若域名服务器不能应答DNS请求请求,则此域名服务器就暂成为DNS中的另一个客户,向根域名服务器发出解析请求。根域名服务器一定能找到下面的所有二级域名的域名服务器,这样以此类推,一直向下解析,直到查询到所请求的域名。

为了防范内部网络中的用户访问非法域名，企业通常会部署主机入侵防护系统(host intrusion prevention system，HIPS)对包含非法域名的DNS请求进行检测和过滤。HIPS通常采用服务器/客户机(client-server，C/S)架构。其中，客户端被安装在被保护主机上，用于数据采集。服务端被安装在与被保护主机存在网络连接的一个计算机上，用于接收分析客户端采集的数据。客户端使用抓包功能函数库pcap捕获DNS报文，解析出DNS报文包含的域名，将DNS报文包含的域名与非法域名黑名单中的域名进行匹配，如果DNS报文包含的域名与非法域名黑名单中的域名相同，则认为发送上述DNS报文的行为是恶意域名访问行为，否则认为正常域名访问行为。客户端将匹配结果上传给服务器，接收服务器对应下发的策略，并执行接收到的策略。

然而上述相关技术的防护效果不理想。在发现恶意域名访问行为时，无法及时采取保护措施。

发明内容

本申请实施例提供一种恶意域名访问的检测方法、装置及计算机可读存储介质，用以解决相关技术对恶意域名访问行为防护效果不理想的问题。

第一方面，提供了一种恶意域名访问的检测方法，以该方法应用于客户端主机为例，该客户端主机在目标进程触发域名访问时，获取该目标进程请求访问的域名以及该目标进程的进程标识，示例性地，该目标进程标识用于标识一个该客户端主机上运行的应用程序。客户端主机向服务端主机发送该目标进程的参数信息，其中，该参数信息包括目标进程请求访问的域名及目标进程的进程标识。之后，该客户端主机接收服务端主机对应返回的安全检测的结果，该安全检测的结果指示目标进程请求访问的域名是否为非法域名；该客户端主机根据该安全检测的结果对目标进程进行处理。

该方法能够实时获取域名解析行为及所属进程，对于做域名解析的进程会有一个溯源的作用。将客户端中不能确定的域名及所属进程信息上传到服务端主机，服务端主机会结合恶意进程检测功能，对于此域名的恶意进行判断。通过客户端和服务端有机的配合，降低了恶意域名访问的检测漏报误报率。

可选地，客户端主机向服务端主机发送目标进程的参数信息之前，该方法还包括：将目标进程请求访问的域名与本地域名黑名单中包含的非法域名进行比对，根据比对结果确定本地域名黑名单中不包括该目标进程请求访问的域名。

可选地，获取目标进程请求访问的域名以及目标进程的进程标识，包括：通过目标进程调用的动态库文件获取目标进程请求访问的域名以及目标进程的进程标识。

可选地，参数信息还包括生成目标进程的可执行文件在客户端主机上的保存路径，则接收服务端主机对应返回的安全检测的结果之前，还包括：接收服务端主机发送的可执行文件的哈希值；根据生成目标进程的可执行文件在客户端主机上的保存路径获取可执行文件，对可执行文件进行哈希值计算，将计算得到的哈希值与服务端主机发送的哈希值进行比对；响应于计算得到的哈希值与服务端主机发送的哈希值一致，向服务端主机发送该可执行文件。

针对服务端需要调用第三方扫描引擎对可执行文件进行扫描的情况，客户端提供可执行文件，且通过验证之后才提供，进一步保证安全性。

可选地，根据比对结果确定本地域名黑名单中不包括目标进程请求访问的域名之后，还包括：接收服务端主机发送的更新的域名黑名单，根据更新的域名黑名单更新本地域名黑名单。

服务端主机结合恶意进程检测功能，对于域名的恶意进行判断。如果是恶意的，那么服务端主机会将其加入黑名单，将更新的黑名单同步给客户端，提高客户端识别恶意域名的能力。

第二方面，提供了一种恶意域名访问的检测方法，该方法包括：服务端主机接收客户端主机发送的目标进程的参数信息，该参数信息包括目标进程请求访问的域名及目标进程的进程标识。该服务端主机根据目标进程的参数信息进行安全检测。之后，该服务端主机向客户端主机发送安全检测的结果，该安全检测的结果指示目标进程请求访问的域名是否为非法域名。

可选地，参数信息还包括生成目标进程的可执行文件在客户端主机上的保存路径，该服务端主机根据目标进程的参数信息进行安全检测，包括：服务端主机根据生成目标文件的可执行文件在客户端主机上的保存路径与可执行文件的哈希值的对应关系，获取可执行文件的哈希值，根据该可执行文件的哈希值对该可执行文件进行安全检测，根据检测结果判断该可执行文件是否为恶意文件。

可选地，根据可执行文件的哈希值对可执行文件进行安全检测，根据检测结果判断可执行文件是否为恶意文件，包括：将可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对；响应于恶意程序黑名单中存在与可执行文件的哈希值相匹配的恶意程序的哈希值，确定可执行文件为恶意文件。

可选地，根据可执行文件的哈希值对可执行文件进行安全检测，根据检测结果判断可执行文件是否为恶意文件，包括：将可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对；响应于恶意程序黑名单中不存在与可执行文件的哈希值相匹配的恶意程序的哈希值，向客户端主机发送可执行文件的哈希值，接收客户端主机对可执行文件的哈希值进行验证之后发送的可执行文件；使用第三方检测技术对可执行文件进行检测，根据检测结果确定可执行文件是否为恶意文件。

可选地，根据检测结果确定可执行文件是否为恶意文件之后，还包括：响应于可执行文件为恶意文件，将可执行文件的哈希值加入恶意程序黑名单中。

可选地，根据可执行文件的哈希值对可执行文件进行安全检测，根据检测结果判断可执行文件是否为恶意文件，包括：向客户端主机发送该可执行文件的哈希值，接收客户端主机对该可执行文件的哈希值进行验证之后发送的所述可执行文件；

使用第三方检测技术对可执行文件进行检测，根据检测结果确定可执行文件是否为恶意文件。

可选地，获取可执行文件的哈希值之前，还包括：将目标进程请求访问的域名与本地域名黑名单中包含的非法域名进行比对，根据比对结果确定本地域名黑名单中不包括目标进程请求访问的域名。

可选地，根据检测结果判断可执行文件是否为恶意文件之后，还包括：响应于可执行文件为恶意文件，将目标进程请求访问的域名加入本地域名黑名单，从而得到更新的域名黑名单；向客户端主机发送更新的域名黑名单。

第三方面，提供了一种恶意域名访问的检测装置，用于实现第一方面或第一方面的任意一种可能的实现方式所述的客户端主机。该装置具有实现上述第一方面所述方法或上述第一方面的任意一种可能的实现方式的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

第四方面，提供了一种恶意域名访问的检测装置，用于实现第二方面或第二方面的任意一种可能的实现方式所述的服务端主机。该装置具有实现上述第二方面所述方法或上述第二方面的任意一种可能的实现方式的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

第五方面，提供了一种恶意域名访问的检测系统，包括第三方面所述的客户端主机和第四方面所述的服务端主机。

第六方面，本申请实施例提供了一种计算机存储介质，用于储存为上述恶意域名访问的检测方法所用的计算机软件指令，其包含用于执行上述第一方面或上述第一方面的任意一种可能的实现方式所设计的程序，或者包含用于执行上述第二方面或上述第二方面的任意一种可能的实现方式所设计的程序。

本申请的又一方面提了供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

本申请的又一方面提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

本申请的又一方面提供了一种芯片，包括存储器件和处理器件，存储器件用于存储计算机指令，处理器件用于从存储器件中调用并运行该计算机指令，以执行上述第一方面及其上述第一方面任意可能的实现方式中的方法，或者执行上述第二方面及其上述第二方面任意可能的实现方式中的方法。

附图说明

图1为本申请实施例提供的HIPS的系统结构示意图；

图2为本申请实施例提供的一种恶意域名访问的检测方法的应用场景示意图；

图3为本申请实施例提供的一种恶意域名访问的检测方法流程图；

图4为本申请实施例提供的一个被保护主机上Agent与发起域名解析的进程的关系示意图；

图5为本申请实施例提供的被保护主机上的域名解析过程的流程示意图；

图6为本申请实施例提供的Agent恶意域名访问的检测方法的流程图；

图7为本申请实施例提供的Server恶意域名访问的检测方法的流程图；

图8为本申请实施例提供的Server恶意域名识别及更新机制流程；

图9为本申请实施例提供的一种恶意域名访问的检测装置的结构示意图；

图10为本申请实施例提供的一种恶意域名访问的检测装置的结构示意图；

图11为本申请实施例提供的一种电子设备的结构示意图；

图12为本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

相关技术对恶意域名访问行为防护效果不理想，具体表现在以下方面。第一，在发现恶意域名访问行为时，无法定位到特定进程，导致无法及时采取保护措施。第二，客户端采用pcap抓到包非常消耗主机的处理器资源和内存资源，影响被保护主机的性能。其中，pcap是一个用于捕获网络流量的应用编程接口(application programming interface，API)。

本申请实施例提供了一种恶意域名访问的检测方法。该方法能够实时获取域名解析行为及所属进程，对于做域名解析的进程会有一个溯源的作用。将客户端中不能确定的域名及所属进程信息上传到服务端，服务端会结合恶意进程检测功能，对于此域名的恶意进行判断。如果是恶意的，那么服务端会将其加入黑名单，将黑名单同步给客户端，提高客户端识别恶意域名的能力。此方案中客户端和服务端有机的配合，能够自运营出一个高效的域名黑名单，降低了漏报误报率。

下面结合各个附图对本申请实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。以该方法应用于HIPS系统为例，该HIPS系统的结构可如图1所示。HIPS通常采用服务器/客户机(client-server，C/S)架构。其中，客户端被安装在被保护主机上，用于数据采集。服务端被安装在与被保护主机存在网络连接的一个计算机上，用于接收分析客户端采集的数据。

图2是本申请实施例提供的一种恶意域名访问的检测方法的应用场景示意图。代理(Agent)是一个软件模块，安装运行在内部网络被保护的主机上，例如安装运行在客户端主机上。服务端(Server)运行在与被保护的主机能够进行网络通信的一个主机上，例如运行在服务端主机上。因此，Agent和Server可以分别运行在不同主机上，也可以运行在同一主机上。在本申请实施例中Agent和Server配合完成恶意域名访问的检测。

接下来，结合图2所示的应用场景，以客户端主机和服务端主机相互配合实现恶意域名访问的检测方法为例，对本申请实施例提供的恶意域名访问的检测方法进行说明。如图3所示，该方法包括如下几个过程。

301，客户端主机在目标进程触发域名访问时，获取目标进程请求访问的域名以及目标进程的进程标识，目标进程的进程标识用于标识一个该客户端主机上运行的应用程序。

示例性地，客户端主机获取目标进程请求访问的域名以及目标进程的进程标识的方式，包括但不限于通过目标进程调用的动态库文件获取目标进程请求访问的域名以及目标进程的进程标识。

例如，客户端主机上的Agent与发起域名解析的进程之间的关系可如图4所示。图4描述了在一个被保护主机上Agent与发起域名解析的进程的关系。发起域名解析的进程调用了gethostbyname系列函数，发起域名解析。其中，域名解析是一个将域名解析到IP地址的过程，各种计算机设备的操作系统上大多的域名解析都是调用库函数gethostbyname完成的。域名解析过程是按照/etc/nsswitch.conf中的hosts项的配置值进行的，hosts项的配置值有一个以上，每个配置值对应一种解析方式。可以按照顺序依次采用hosts项的配置值所对应的解析方式对域名进行解析。例如按照配置值从左至右的顺序依次使用配置值对应的解析方式对域名进行解析。如果将域名解析到IP地址，则解析成功，退出解析过程。如果未将域名解析到IP地址，则解析失败，使用下一个配置项对应的解析方式继续对域名进行解析。示例性地，常见配置值有files,dns。files最终是用的本地域名解析文件/etc/hosts进行的。可选地，在lib目录下有着与配置值files对应的动态库文件，例如so文件。dns是使用发送DNS数据包,向服务器请求的。

此外，发起域名解析的目标进程启动时加载动态库文件，即so文件，如图4中的libnss_hw.so文件。主要逻辑是通过发起域名解析的目标进程中加载的该so文件，在这个过程中libnss_hw.so文件获取目标进程请求访问的域名(即待解析域名)和进程标识(process identity，PID)，将待解析域名和PID发送给HIPS的Agent，这里的Agent是HIPS中的Agent。

在示例性实施例中，客户端主机通过Agent获取目标进程的参数信息，该参数信息包括目标进程请求访问的域名及目标进程的进程标识PID。在示例性实施例中，该参数信息还可以包括但不限于可执行文件路径、命令行、进程名、可执行文件hash等一种或多种信息。客户端主机通过Agent获取目标进程的参数信息后，将该目标进程的参数信息上报给服务端主机。

图5是本申请实施例提供的被保护主机上的域名解析过程的流程示意图。可选地，该流程是由通过修改现有的域名解析过程实现。动态库文件libnss_hw.so是实现的关键，编写动态库文件libnss_hw.so，由该libnss_hw.so获取待解析域名和当前目标进程的PID,然后发送给HIPS Agent进程，触发Agent进行恶意域名检测。可选地，以该发起域名解析的目标进程为程序A，例如是浏览器程序为例，图5所描述的域名解析检测，是指当有域名解析时，就会触发此检测。如果Agent判断该检测结果命中域名黑名单，则认为是恶意域名，将此事件上报Server。如果没有命中黑名单，Agent则将域名及对应PID等信息上报给服务端Server。图5所示的流程主要包括以下步骤。

501，配置/etc/nsswitch.conf中的hosts项，将hw写到第一个配置上，也即在/etc/nsswitch.conf中的hosts项，将hw作为第一配置值。

例如，配置前，hosts:filesdnsmyhostname。配置后，hosts:hw files dnsmyhostname。

502，将libnss_hw.so放到/lib64目录下，并创建相应软链接。

例如，创建的软链接为：ln-s libnss_hw.so libnss_hw.so.2

503，调用gethostbyname，在程序A启动时，会根据/etc/nsswitch.conf找到所依赖的so并加载到内存，分别为配置值hw依赖的libnss_hw.so、配置值files依赖的libnss_files.so、配置值dns依赖的libnss_dns.so、配置值myhostname依赖的libnss_myhostname.so。

504，程序A发起域名解析。

505，按照/etc/nsswitch.conf中hosts的配置顺序依次调用相应so，所以首先调用libnss_hw.so执行其逻辑。

506，libnss_hw.so会收到程序A的域名，且使用getpid获得程序A的PID，将待解析域名和进程PID发送给Agent,并返回解析失败。

507，libnss_hw.so返回失败则会使用下一个so进行解析，也即按照/etc/nsswitch.conf中的配置顺序，使用下一个so进行域名解析，直到解析成功或者所有so都解析失败为止。此时的逻辑与不加hw配置时是一样的，暂不赘述。

302，客户端主机向服务端主机发送目标进程的参数信息，参数信息包括目标进程请求访问的域名及目标进程的进程标识。

基于上述过程，被保护主机上的Agent实时收到域名解析的通知后，进行恶意域名检测。因此，在示例性实施例中，客户端主机向服务端主机发送目标进程的参数信息之前，该方法还包括：将目标进程请求访问的域名与本地域名黑名单中包含的非法域名进行比对，根据比对结果确定本地域名黑名单中不包括目标进程请求访问的域名。其中，根据比对结果确定本地域名黑名单中不包括目标进程请求访问的域名，说明不能确定该域名是否为非法域名，因而可以将目标进程的参数信息上报给服务端主机，由服务端主机进一步检测该域名是否为恶意域名，即非法域名。

可选地，客户端主机本地还可以不具有域名黑名单，而具有域名白名单，则客户端主机向服务端主机发送目标进程的参数信息之前，该方法还包括：将目标进程请求访问的域名与本地域名白名单中包含的合法域名进行比对，根据比对结果确定本地域名白名单中不包括目标进程请求访问的域名。其中，本地域名白名单中不包括目标进程请求访问的域名，说明不能确定该域名是否为非法域名，因而可以将目标进程的参数信息上报给服务端主机，由服务端主机进一步检测该域名是否为恶意域名，即非法域名。

可选地，在示例性实施例中，客户端主机还可以同时具有域名白名单和域名黑名单，客户端主机将目标进程请求访问的域名与域名白名单比对，如果域名白名单中不包括该目标进程请求访问的域名，则未匹配成功，说明该目标进程请求访问的域名不确定是否为合法域名，进一步将该目标进程请求访问的域名与域名黑名单比对，如果域名黑名单中包括该目标进程请求访问的域名，则匹配成功，说明该目标进程请求访问的域名为非法域名。如果该目标进程请求访问的域名与域名黑名单也无法匹配，则进一步说明该目标进程请求访问的域名不确定是否为合法域名，执行下一步流程。当然，针对客户端主机同时具有域名白名单和域名黑名单的情况，也可以先将该目标进程请求访问的域名与域名黑名单比对，如果未匹配成功，再将该目标进程请求访问的域名与域名白名单进行比对。关于同时具备域名黑名单和域名白名单的情况下，先比对哪个名单，本申请实施例对此不进行限定。

综上，针对Agent进行域名访问的检测过程以图6为例，图6所示的Agent的工作流程主要包括以下步骤。

601，目标进程进行域名解析，即目标进程请求访问某个域名时，触发动态库文件的逻辑，通知了代理Agent，例如，Agent端收到libnss_hw.so发来的通知，通知中包括目标进程请求访问的域名和目标进程的进程标识。

602，Agent首先将目标进程请求访问的域名与域名黑名单匹配，域名黑名单中含有恶意域名，即非法域名。如果域名黑名单中包括目标进程请求访问的域名，则目标进程请求访问的域名与域名黑名单中的恶意域名匹配成功，也即目标进程请求访问的域名命中域名黑名单，执行603；如果域名黑名单中不包括目标进程请求访问的域名，则目标进程请求访问的域名与域名黑名单中的恶意域名匹配未成功，也即目标进程请求访问的域名未命中域名黑名单，执行604。

可选地，客户端除了具有域名黑名单之外，还可以采用域名白名单的方式，域名白名单中含有合法域名。例如，客户端判断客户端的域名白名单中是否包括目标进程请求访问的域名，如果客户端的域名白名单中包括目标进程请求访问的域名，则目标进程请求访问的域名与域名白名单中的合法域名匹配成功，也即目标进程请求访问的域名命中域名白名单，说明目标进程请求访问的域名是合法域名，则整个流程结束，否则执行下一步的检测流程，如上报给服务端，由服务端进行检测。

在示例性实施例中，客户端还可以同时具有域名白名单和域名黑名单，客户端将目标进程访问的域名与域名白名单比对，如果域名白名单中不包括该目标进程请求访问的域名，则目标进程请求访问的域名与域名白名单中的合法域名匹配未成功，说明该目标进程请求访问的域名不确定是否为合法域名，进一步将该域名与域名黑名单比对，如果域名黑名单中包括该目标进程请求访问的域名，则目标进程请求访问的域名与域名黑名单中的恶意域名匹配成功，说明该目标进程请求访问的域名为非法域名。如果该目标进程请求访问的域名与域名黑名单也无法匹配，则进一步说明该目标进程请求访问的域名不确定是否为合法域名，执行下一步流程，如上报给服务端，由服务端进行检测。当然，针对客户端同时具有域名白名单和域名黑名单的情况，也可以先将该目标进程请求访问的域名与域名黑名单比对，如果目标进程请求访问的域名与域名黑名单中的恶意域名未匹配成功，再将该目标进程请求访问的域名与域名白名单进行比对。

603，域名黑名单中包括目标进程请求访问的域名，则目标进程请求访问的域名与域名黑名单中的恶意域名匹配成功，即目标进程请求访问的域名命中域名黑名单，说明这是一个恶意域名解析行为，那么将此事件上报。还可以进行展示。

604，域名黑名单中不包括目标进程请求访问的域名，则目标进程请求访问的域名与域名黑名单中的恶意域名匹配未成功，即目标进程请求访问的域名未命中域名黑名单，则获取目标进程的PID，将目标进程的PID、目标进程请求访问的域名等参数信息上报给服务端(server)。

接下来回到附图3所示的流程中。

303，服务端主机接收客户端主机发送的目标进程的参数信息。

示例性地，服务端主机接收到的客户端主机发送的目标进程的参数信息包括但不限于目标进程请求访问的域名及目标进程的进程标识。可选地，该参数信息还可以包括目标进程的进程标识对应的可执行文件路径，即生成目标进程的可执行文件在客户端主机上的保存路径。在示例性实施例中，该参数信息中还可以包括生成目标进程的可执行文件的哈希值。

304，服务端主机根据目标进程的参数信息进行安全检测。

在示例性实施例中，目标进程的参数信息包括目标进程请求访问的域名及目标进程的进程标识。由于服务端主机可以连接有多个客户端主机，因而服务端主机可以根据各个客户端主机对域名的检测情况来汇总得到服务端本地的一个域名黑名单，该服务端本地的域名黑名单比发送目标进程的参数信息的客户端主机当前的域名黑名单更为全面。因此，在示例性实施例中，当服务端主机接收到目标进程的参数信息后，服务端主机在根据该目标进程的参数信息进行安全检测时，可先将该目标进程请求访问的域名与服务端主机本地域名黑名单中包含的非法域名进行比对，根据比对结果确定该本地域名黑名单中是否包括该目标进程请求访问的域名。例如，如果根据比对结果确定该本地域名黑名单中包括该目标进程请求访问的域名，则可以直接得到安全的检测结果，通过该安全的检测结果指示该目标进程请求访问的域名是合法域名。如果根据比对结果确定该本地域名黑名单中不包括该目标进程请求访问的域名，则可以采用其他方式继续进行检测。

需要说明的是，以上仅以服务端主机采用本地域名黑名单为例进行说明，除此之外，服务端主机本地还可以存储域名白名单，采用域名白名单进行安全检测。又或者，服务端主机本地可以既存储了域名白名单，也存储了域名黑名单，则服务端主机采用域名黑名单和域名白名单的方式进行检测，本申请实施例对此不进行限定。

针对采用本地域名黑名单及域名白名单均未得到检测结果的情况，可根据该目标进程的参数信息对目标进程是否恶意来进行进一步的检测。本申请实施例对此不进行限定，在示例性实施例中，该参数信息还包括目标进程的可执行文件在客户端主机上的保存路径；根据目标进程的参数信息进行安全检测，包括：根据生成目标进程的可执行文件在客户端主机上的保存路径与可执行文件的哈希值的对应关系，获取可执行文件的哈希值，根据可执行文件的哈希值对可执行文件进行安全检测，根据检测结果判断可执行文件是否为恶意文件。

其中，可选地，生成目标进程的可执行文件在客户端主机上的保存路径与可执行文件的哈希值的对应关系是在本次进行恶意域名访问的检测之前，由服务端主机提前存储的。例如，主机在目标进程启动阶段，客户端主机可对目标进程的信息进行采集，得到目标进程的PID、生成目标进程的可执行文件在客户端主机上的保存路径，还可以计算得到可执行文件的哈希值等。之后，客户端主机将该目标进程的信息上报给服务端主机，服务端主机可根据客户端主机上报的目标进程的信息确定并存储生成目标进程的可执行文件在客户端主机上的保存路径与可执行文件的哈希值的对应关系。该对应关系中包括但不限于生成目标进程的可执行文件在客户端主机上的保存路径及可执行文件的哈希值，还可以包括目标进程的标识等信息，本申请实施例不对该对应关系的内容进行限定，能够根据该对应关系确定该目标进程的可执行文件的哈希值即可。

进一步地，当目标进程触发域名访问时，为了实现恶意域名访问的检测，客户端主机将目标进程请求访问的域名、目标进程的进程标识及生成目标进程的可执行文件在客户端主机上的保存路径等作为目标进程的参数信息上报给服务端主机后，服务端主机接收到客户端主机发送的该目标进程的参数信息，通过该目标进程的参数信息再次获取到生成目标进程的可执行文件在客户端主机上的保存路径，从而通过查询对应关系确定该目标进程的可执行文件的哈希值。之后便可以根据可执行文件的哈希值对可执行文件进行安全检测，根据检测结果判断可执行文件是否为恶意文件。

在示例性实施例中，根据可执行文件的哈希值对可执行文件进行安全检测，根据检测结果判断可执行文件是否为恶意文件，包括但不限于如下几种情况。

情况一：将可执行文件的哈希值与恶意程序黑名单中包含的非法程序的哈希值进行比对；响应于恶意程序黑名单中存在与可执行文件的哈希值相匹配的恶意程序的哈希值，确定可执行文件为恶意文件。

该种情况一，服务端主机具有恶意程序黑名单，该恶意程序黑名单中具有恶意程序的哈希值。因此，服务端主机将可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对。如果恶意程序黑名单中存在与可执行文件的哈希值相匹配的恶意程序的哈希值，确定可执行文件为恶意文件。

情况二：将可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对；响应于恶意程序黑名单中不存在与可执行文件的哈希值相匹配的恶意程序的哈希值，向客户端主机发送可执行文件的哈希值，接收客户端主机对可执行文件的哈希值进行验证之后发送的可执行文件。使用第三方检测技术对所述可执行文件进行检测，根据检测结果确定可执行文件是否为恶意文件。本实施例中的第三方检测技术是指除客户端主机和服务端主机的提供商之外的其他软硬件提供商提供的检测技术。第三方检测技术包括静态行为检测技术和动态行为检测技术。特征扫描引擎是静态行为检测技术的一个例子，扫描引擎对可执行文件进行文件扫描，以识别可执行文件中是否包含已知的与恶意程序相关的特征码，并根据扫描结果确定可执行文件是否为恶意文件。动态行为检测技术包括沙箱，沙箱提供了一种虚拟运行环境。沙箱通过收集可执行文件在虚拟运行环境中运行时产生的行为序列，并通过分析收集到的行为序列与基于已知恶意程序的行为序列构建的恶意行为模型之间的相似性，确定可执行文件是否为恶意文件。

该种情况二，服务端主机也需要具有恶意程序黑名单，该恶意程序黑名单中具有恶意程序的哈希值。因此，服务端主机将可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对。如果恶意程序黑名单中不存在与可执行文件的哈希值相匹配的恶意程序的哈希值，则不确定可执行文件是否为恶意文件。为了进一步确定可执行文件是否为恶意文件，本申请实施例调用第三方扫描引擎对可执行文件进行扫描。

也就是说，该情况二是在通过恶意程序黑名单无法确定可执行文件是否为恶意文件的情况下采用的。可选地，如果客户端主机和服务端主机当前仅针对一个目标进程进行恶意域名访问的检测，则服务端主机可以仅向客户端主机发送该目标进程的可执行文件的哈希值，客户端主机接收到该可执行文件的哈希值之后，按照该目标进程的可执行文件在客户端主机上的保存路径去获取可执行文件，之后计算该可执行文件的哈希值，如果客户端主机计算的哈希值与服务端主机发送的哈希值一致，则验证通过，将该可执行文件发送给服务端主机。

可选地，由于客户端主机和服务端主机之间可能不止检测一个进程，除了当前的目标进程，服务端可能也在对客户端主机上的其他进程在检测，所以，为了使得客户端主机能够确定向服务端主机返回哪个进程的可执行文件，该服务端主机除了向客户端主机发送可执行文件的哈希值，还可以向客户端主机发送生成该目标进程的可执行文件在客户端主机上的保存路径，使得客户端主机对根据服务端主机发送的保存路径去获取对应的可执行文件，并在验证之后将可执行文件发送给服务端主机。

此外，针对该情况二，根据扫描结果确定可执行文件是否为恶意文件之后，还包括：响应于可执行文件为恶意文件，将可执行文件的哈希值加入恶意程序黑名单中。通过在确定可执行文件为恶意文件的情况下，将可执行文件的哈希值加入恶意程序黑名单中，使得恶意程序黑名单中记录的恶意进程越来越全面，便于后续快速检测。

需要说明的是，针对上述情况一和情况二，服务端主机还可以不具有恶意程序黑名单，而具有程序白名单，该程序白名单中包括合法程序的哈希值。则服务端将可执行文件的哈希值与程序白名单中包含的合法程序的哈希值进行比对；响应于程序白名单中存在与可执行文件的哈希值相匹配的合法程序的哈希值，确定该可执行文件为合法文件。如果程序白名单中不存在与可执行文件的哈希值相匹配的合法程序的哈希值，根据可执行文件的路径及哈希值获取可执行文件；使用第三方检测技术对可执行文件进行检测，根据检测结果确定可执行文件是否为恶意文件。

可选地，在示例性实施例中，服务端主机还可以同时具有程序白名单和恶意程序黑名单，服务端主机将可执行文件的哈希值与程序白名单比对，未匹配则说明该可执行文件不确定是否为合法文件，进一步将该可执行文件的哈希值与恶意程序黑名单比对，如果匹配成功，即恶意程序黑名单中存在与可执行文件的哈希值匹配的恶意程序的哈希值，则说明该可执行文件为恶意文件。如果该可执行文件的哈希值与恶意程序黑名单也无法匹配，则进一步说明该可执行文件不确定是否为合法文件，执行使用第三方引擎扫描的流程。当然，针对服务端主机同时具有程序白名单和恶意程序黑名单的情况，也可以先将该可执行文件的哈希值与恶意程序黑名单比对，如果未匹配成功，再将该可执行文件的哈希值与程序白名单进行比对。关于同时具备恶意程序黑名单和程序白名单的情况下，先比对哪个名单，本申请实施例对此不进行限定。

情况三：向客户端主机发送可执行文件的哈希值，接收客户端主机对可执行文件的哈希值进行验证之后发送的可执行文件；使用第三方检测技术对可执行文件进行检测，根据检测结果确定可执行文件是否为恶意文件。

该情况三可以认为是服务端主机未具有恶意程序黑名单和程序白名单的情况下采取的处理方式，该方式直接采用第三方检测技术来对可执行文件进行检测，根据检测结果确定出可执行文件是否为恶意文件。

需要说明的是，无论是上述哪种情况，本申请实施例均不对使用的第三方检测技术进行限定，详见上述情况二中的相关内容。此外，该情况三中，服务端主机除了向客户端主机发送可执行文件的哈希值，也可以向客户端主机发送生成该目标进程的可执行文件在客户端主机上的保存路径，使得客户端主机对根据服务端主机发送的保存路径去获取对应的可执行文件，并在验证之后将可执行文件发送给服务端主机。关于向客户端主机发送可执行文件的哈希值，接收客户端主机对可执行文件的哈希值进行验证之后发送的可执行文件的过程，可参见上述情况二的相关内容，此处不再赘述。

在示例性实施例中，Server通过可执行文件hash及文件扫描等手段，判断进程是否恶意的过程可如图7所示，其中，该Server是软件模块，如图2中的Server所示。如图7所示，Server的工作流程主要包括以下步骤。

701，Agent端对目标进程启动实时监控，并实时上报目标进程的启动信息。

702，Server端收到该目标进程的启动信息后，会对目标进程进行恶意检查，例如，使用可执行文件hash进行恶意程序黑名单匹配。

703，Server端判断恶意程序黑名单中是否包括该可执行文件的哈希值，即确定生成目标进程的可执行文件的hash是否命中恶意程序黑名单，如果该生成目标进程的可执行文件的hash命中恶意程序黑名单，则说明此目标进程是恶意的，将其检测结果存储起来，执行705，并结束检测流程。如果该生成目标进程的可执行文件的hash没有命中恶意程序黑名单则执行下一步704。

704，使用第三方检测技术对可执行文件进行检测，如果是恶意的，则Server端将结果进行存储，也即执行705。

705，Server端存储检测结果。

在示例性实施例中，根据检测结果判断可执行文件是否为恶意文件之后，还包括：响应于可执行文件为恶意文件，将目标进程请求访问的域名加入本地域名黑名单，得到更新的域名黑名单；向客户端主机发送更新的域名黑名单。

可选地，以图8所示的Server进行恶意域名识别及更新机制流程为例。如图8所示，Server的工作流程主要包括以下步骤。

801，server端收到agent上报的可疑域名及进程信息。该可疑域名为目标进程请求访问的域名，示例性地，该进程信息包括目标进程的PID。

802，server端将可疑域名与域名白名单进行比对，以确定域名是否匹配域名白名单。如果域名白名单中包括agent上报的可疑域名，则该可疑域名与域名白名单中的合法域名匹配成功，也即该可疑域名命中域名白名单，则整个流程结束；否则执行下一步803。

可选地，服务端除了具有域名白名单之外，还可以采用域名黑名单的方式，该域名黑名单包括非法域名。例如，服务端判断agent上报的域名是否属于服务端的域名黑名单，如果该域名黑名单中包括该agent上报的域名，则该agent上报的域名为非法域名，整个流程结束，否则执行下一步流程。在示例性实施例中，服务端还可以同时具有域名白名单和域名黑名单，服务端将agent上报的域名与域名白名单比对，域名白名单中不包括该域名，即该域名未与域名白名单中的合法域名匹配，则说明该域名不确定是否为合法域名。进一步将该域名与域名黑名单比对，如果域名黑名单中包括该域名，则该域名与域名黑名单中的非法域名匹配成功，则说明该域名为非法域名。如果该域名与域名黑名单也无法匹配，则进一步说明该域名不确定是否为合法域名，执行下一步流程。当然，针对服务端同时具有域名白名单和域名黑名单的情况，也可以先将该域名与域名黑名单比对，如果未匹配成功，再将该域名与域名白名单进行比对。

803，server端在恶意进程检测结果里查询此目标进程是否为恶意进程，如果不是恶意进程，则整个流程结束；否则执行下一步804。

示例性地，agent上报的信息还包括目标进程的可执行文件在客户端主机上的保存路径，该恶意进程检测结果里可以包括恶意程序的哈希值，server端根据生成目标进程的可执行文件在客户端主机上的保存路径与可执行文件的哈希值的对应关系，获取到目标进程的可执行文件的哈希值。之后，将该可执行文件的哈希值与恶意进程检测结果里的恶意程序的哈希值进行比对，从而查询此目标进程是否为恶意进程。例如，如果恶意进程检测结果里包括该可执行文件的哈希值，则该目标进程为恶意进程。

804，如果该目标进程是恶意进程，那么此域名可以被认为是恶意域名，然后将其加入到服务端本地的域名黑名单，得到更新的域名黑名单。

805，server端将更新的域名黑名单同步给agent，由agent更新agent本地域名黑名单。

接下来，回到附图3所示的流程中。

305，服务端主机向客户端主机发送安全检测的结果，该安全检测的结果指示目标进程请求访问的域名是否为非法域名。

无论通过上述304得到何种安全检测的结果，服务端主机将安全检测的结果发送给客户端主机，使客户端主机对目标进程进行处理。示例性地，Server将判断结果通知Agent，以便于Agent对发起域名解析过程的目标程序，如浏览器采取进一步控制措施。

306，客户端主机接收服务端主机对应返回的安全检测的结果。

在示例性实施例中，客户端主机接收服务端主机对应返回的安全检测的结果之前，还包括：接收服务端主机发送的可执行文件的哈希值；根据可执行文件的路径获取可执行文件，对可执行文件进行哈希值计算，将计算得到的哈希值与服务端主机发送的哈希值进行比对；响应于计算得到的哈希值与服务端主机发送的哈希值一致，向服务端主机发送可执行文件。

示例性地，客户端主机可存储多个可执行文件，如果客户端主机与服务端主机仅针对一个目标进程进行恶意域名访问的检测，则客户端主机接收到服务端主机发送的可执行文件的哈希值之后，可从存储的多个可执行文件中获取生成当前正在进行检测的目标进程的可执行文件，对可执行文件进行哈希值计算，将计算得到的哈希值与服务端主机发送的哈希值进行比对。在比对结果为计算得到的哈希值与服务端主机发送的哈希值一致的情况下，再向服务端主机发送可执行文件。

此外，服务端主机还可以在发送可执行文件的哈希值时发送该生成目标进程的可执行文件在客户端主机上的保存路径，当客户端主机接收到服务端主机发送的生成目标进程的可执行文件在客户端主机上的保存路径及哈希值之后，先根据该保存路径获取可执行文件，通过客户端主机自行对可执行文件进行哈希值计算，将计算得到的哈希值与服务端主机发送的哈希值进行比对。在比对结果为计算得到的哈希值与服务端主机发送的哈希值一致的情况下，再向服务端主机发送可执行文件，从而可以进一步保证可执行文件的安全性。

307，客户端主机根据安全检测的结果对目标进程进行处理。

客户端主机根据安全检测的结果对目标进程进行处理的方式，本申请实施例不进行限定。示例性地，如果安全检测的结果指示该目标进程访问的域名为合法域名，则客户端主机允许该目标进程访问该域名。如果安全检测的结果指示该目标进程访问的域名为非法域名，即恶意域名，则客户端阻止该目标进程访问该域名。

在示例性实施例中，服务端主机在确定有新的非法域名，将该新的非法域名加入到域名黑名单，得到更新的域名黑名单的情况，客户端主机根据比对结果确定本地域名黑名单中不包括目标进程请求访问的域名之后，还包括：接收服务端主机发送的更新的域名黑名单，根据更新的域名黑名单更新本地域名黑名单。示例性地，本申请实施例不对客户端根据更新的域名黑名单更新本地域名黑名单的方式进行限定，例如，可以直接将更新的域名黑名单替换本地域名黑名单，也可以采取增量更新的方式，即将更新的域名黑名单中新增的非法域名添加到本地域名黑名单中。

该方法能够实时获取域名解析行为及所属进程，对于做域名解析的进程会有一个溯源的作用。将客户端中不能确定的域名及所属进程信息上传到服务端，服务端会结合恶意进程检测功能，对于此域名的恶意进行判断。如果是恶意的，那么服务端会将其加入黑名单，并把黑名单同步给客户端，提高客户端识别恶意域名的能力。此方案中客户端和服务端有机的配合，能够自运营出一个高效的域名黑名单，降低了漏报误报率。

此外，本申请实施例提供的方法能够自更新恶意域名黑名单，除了单纯的使用恶意域名黑名单，服务端还可以结合域名解析数据和进程信息数据，学习获得新的恶意域名，并更新策略到客户端，使新的恶意域名生效，形成了一个闭环的机制，可以进一步提高后续的恶意域名检测的准确性。

相应地，本申请实施例还提供了一种恶意域名访问的检测装置，该装置用于实现图2-图8实施例中agent的功能。本装置实施例中提供的恶意域名访问的检测装置，可以集成在主机设备中，例如应用于客户端主机。恶意域名访问的检测装置可以实现的其他附加功能、以及与其他网元设备的交互过程，请参照方法实施例中对agent的描述，在这里不再赘述。示例性地，参见图9，该恶意域名访问的检测装置包括：

处理单元901，用于在目标进程触发域名访问时，获取目标进程请求访问的域名以及目标进程的进程标识，目标进程的进程标识用于标识一个客户端主机上运行的应用程序；

通信单元902，用于向服务端主机发送目标进程的参数信息，参数信息包括目标进程请求访问的域名及目标进程的进程标识；

通信单元902，还用于接收服务端主机对应返回的安全检测的结果，安全检测的结果指示目标进程请求访问的域名是否为非法域名；

处理单元901，还用于根据安全检测的结果对目标进程进行处理。

在示例性实施例中，处理单元901，还用于将目标进程请求访问的域名与本地黑名单中包含的非法域名进行比对，根据比对结果确定本地域名黑名单中不包括目标进程请求访问的域名。

在示例性实施例中，处理单元901，用于通过目标进程调用的动态库文件获取目标进程请求访问的域名以及目标进程的进程标识。

在示例性实施例中，通信单元902，还用于接收服务端主机发送的更新的域名黑名单；

处理单元，还用于根据更新的域名黑名单更新本地域名黑名单。

在示例性实施例中，参数信息还包括生成目标进程的可执行文件在客户端主机上的保存路径，通信单元902，还用于接收服务端主机发送的可执行文件的哈希值；

处理单元901，还用于根据生成目标进程的可执行文件在客户端主机上的保存路径获取可执行文件，对可执行文件进行哈希值计算，将计算得到的哈希值与服务端主机发送的哈希值进行比对；

通信单元902，还用于响应于计算得到的哈希值与服务端主机发送的哈希值一致，向服务端主机发送可执行文件。

本申请实施例提供的装置，通过实时获取域名解析行为及所属进程，将不能确定的域名及所属进程信息上传到服务端主机，从而结合服务端主机的恶意进程检测功能，对于此域名的恶意进行判断。通过与服务端主机有机的配合，能够自运营出一个高效的域名黑名单，降低了漏报误报率。

本申请实施例还提供了一种恶意域名访问的检测装置，用于实现图2-图8实施例中server的功能。本装置实施例中提供的恶意域名访问的检测装置，可以集成在主机设备中，例如应用于服务端主机上。恶意域名访问的检测装置可以实现的其他附加功能、以及与其他网元设备的交互过程，请参照方法实施例中对server的描述，在这里不再赘述。示例性地，参见图10，该恶意域名访问的检测装置包括：

通信单元1001，用于接收客户端主机发送的目标进程的参数信息，参数信息包括目标进程请求访问的域名及目标进程的进程标识；

处理单元1002，用于根据目标进程的参数信息进行安全检测；

通信单元1001，还用于向客户端主机发送安全检测的结果，安全检测的结果指示目标进程请求访问的域名是否为非法域名。

在示例性实施例中，参数信息还包括生成目标进程的可执行文件在客户端主机上的保存路径；处理单元1002，用于根据生成目标进程的可执行文件在客户端主机上的保存路径与可执行文件的哈希值的对应关系，获取可执行文件的哈希值，根据可执行文件的哈希值对可执行文件进行安全检测，根据检测结果判断可执行文件是否为恶意文件。

在示例性实施例中，处理单元1002，用于将可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对；响应于恶意程序黑名单中存在与可执行文件的哈希值相匹配的恶意程序的哈希值，确定可执行文件为恶意文件。

在示例性实施例中，处理单元1002，用于将可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对；

通信单元1001，用于响应于恶意程序黑名单中不存在与可执行文件的哈希值相匹配的恶意程序的哈希值，向客户端主机发送可执行文件的哈希值，接收客户端主机对可执行文件的哈希值进行验证之后发送的可执行文件；

处理单元1002，用于使用第三方检测技术对可执行文件进行检测，根据检测结果确定可执行文件是否为恶意文件。

在示例性实施例中，处理单元1002，还用于响应于可执行文件为恶意文件，将可执行文件的哈希值加入恶意程序黑名单中。

在示例性实施例中，通信单元1001，用于向客户端主机发送可执行文件的哈希值，接收客户端主机对可执行文件的哈希值进行验证之后发送的可执行文件；

在示例性实施例中，处理单元1002，还用于将目标进程请求访问的域名与本地域名黑名单中包含的非法域名进行比对，根据比对结果确定本地域名黑名单中不包括目标进程请求访问的域名。

在示例性实施例中，处理单元1002，还用于响应于可执行文件为恶意文件，将目标进程请求访问的域名加入本地域名黑名单，得到更新的域名黑名单；

通信单元1001，还用于向客户端主机发送更新的域名黑名单。

本申请实施例提供的装置，通过客户端主机实时获取域名解析行为及所属进程，将客户端中不能确定的域名及所属进程信息上传，从而结合恶意进程检测功能，对于此域名的恶意进行判断。通过与客户端主机有机的配合，能够自运营出一个高效的域名黑名单，降低了漏报误报率。

应理解的是，上述图9或图10提供的装置在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的装置与方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

相应地，本申请实施例还提供了一种恶意域名访问的检测系统，包括图2中的agent和server。agent和server的更多实现细节和交互过程，请参照前面图3所示实施例中的描述，在这里不再赘述。

本申请实施例还提供了一种电子设备，该电子设备为上述实施例中服务端主机或客户端主机，该电子设备的硬件结构可以包括但不限于如图11所示结构：

如图11所示，该电子设备1100包括收发器1103、处理器1102和存储器1101。其中，收发器1103用于接收报文或数据信息等，处理器1102用于执行上述图3所示实施例中服务端主机或客户端主机处理的相关步骤。

需说明的是，以上描述的任意装置实施例都仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本申请提供的第一网络节点或控制器实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

图12为本申请实施例提供的电子设备的硬件结构示意图。图12所示的电子设备1200可以执行上述实施例的方法中客户端主机或服务端主机执行的相应步骤。

如图12所示，电子设备1200包括处理器1201、存储器1202、接口1203和总线1204。其中接口1203可以通过无线或有线的方式实现，具体来讲可以是网卡。上述处理器1201、存储器1202和接口1203通过总线1204连接。

所述处理器1201用于执行上述实施例中客户端主机或服务端主机进行的处理。所述接口1203用于接收和发送数据。

例如，当所述电子设备1200为上述方法实施例中的客户端主机时，作为举例，处理器1201用于支持在目标进程触发域名访问时，获取目标进程请求访问的域名以及目标进程的进程标识，目标进程的进程标识用于标识一个该客户端主机上运行的应用程序，可参考图3中步骤301所述的内容。所述接口1203用于支持向服务端主机发送目标进程的参数信息，该参数信息包括目标进程请求访问的域名及目标进程的进程标识，可参考图3中步骤302所述的内容。接口1203，还用于接收服务端主机对应返回的安全检测的结果，可参见图3中步骤306所述的内容。处理器1201还用于根据安全检测的结果对目标进程进行处理，可参见图3中步骤307所述的内容。

例如，当所述电子设备1200为上述方法实施例中的服务端主机时，所述接口1203用于接收客户端主机发送的目标进程的参数信息，该参数信息包括目标进程请求访问的域名及目标进程的进程标识，可参见图3中步骤303所述的内容。处理器1201，用于根据目标进程的参数信息进行安全检测，可参见图3中步骤304所述的内容。接口1203，还用于向客户端主机发送安全检测的结果，该安全检测的结果指示目标进程请求访问的域名是否为非法域名，可参见图3中步骤305所述的内容。

存储器1202包括操作系统12021和应用程序12022，用于存储程序、代码或指令，当处理器1201或硬件设备执行这些程序、代码或指令时可以完成方法实施例中涉及网络设备的处理过程。可选的，所述存储器1202可以包括只读存储器(英文：Read-only Memory，缩写：ROM)和随机存取存储器(英文：Random Access Memory，缩写：RAM)。其中，所述ROM包括基本输入/输出系统(英文：Basic Input/Output System，缩写：BIOS)或嵌入式系统；所述RAM包括应用程序和操作系统。当需要运行电子设备1200时，通过固化在ROM中的BIOS或者嵌入式系统中的bootloader引导系统进行启动，引导电子设备1200进入正常运行状态。在电子设备1200进入正常运行状态后，运行在RAM中的应用程序和操作系统，从而，完成方法实施例中涉及客户端主机或服务端主机的处理过程。

可以理解的是，图12仅仅示出了电子设备1200的简化设计。在实际应用中，电子设备1200可以包含任意数量的接口，处理器或者存储器。

应理解的是，上述处理器可以是中央处理器(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signal processing，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程门阵列(field－programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是，处理器可以是支持进阶精简指令集机器(advanced RISC machines，ARM)架构的处理器。

进一步地，在一种可选的实施例中，上述存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器还可以包括非易失性随机存取存储器。例如，存储器还可以存储设备类型的信息。

该存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用。例如，静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic random access memory，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data date SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

还提供了一种计算机可读存储介质，存储介质中存储有至少一条指令，指令由处理器加载并执行以实现如上任一所述的恶意域名访问的检测方法。

本申请提供了一种计算机程序，当计算机程序被计算机执行时，可以使得处理器或计算机执行上述方法实施例中对应的各个步骤和/或流程。

本申请实施例还提供了一种芯片，包括存储器件和处理器件，存储器件用于存储计算机指令，处理器件用于从存储器件中调用并运行该计算机指令，以执行上述方法实施例中客户端主机或者服务端主机执行的步骤。

本申请说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求的范围之内，则本申请也意图包括这些改动和变型在内。

Claims

一种恶意域名访问的检测方法，其特征在于，包括：

客户端主机在目标进程触发域名访问时，获取所述目标进程请求访问的域名以及所述目标进程的进程标识，所述目标进程的进程标识用于标识一个所述客户端主机上运行的应用程序；

所述客户端主机向服务端主机发送所述目标进程的参数信息，所述参数信息包括所述目标进程请求访问的域名及所述目标进程的进程标识；

所述客户端主机接收所述服务端主机对应返回的安全检测的结果，所述安全检测的结果指示所述目标进程请求访问的域名是否为非法域名；

所述客户端主机根据所述安全检测的结果对所述目标进程进行处理。
根据权利要求1所述的方法，其特征在于，所述向服务端主机发送所述目标进程的参数信息之前，所述方法还包括：

将所述目标进程请求访问的域名与本地域名黑名单中包含的非法域名进行比对，根据比对结果确定所述本地域名黑名单中不包括所述目标进程请求访问的域名。
根据权利要求1或2所述的方法，其特征在于，所述获取目标进程请求访问的域名以及所述目标进程的进程标识，包括：

通过所述目标进程调用的动态库文件获取所述目标进程请求访问的域名以及所述目标进程的进程标识。
根据权利要求2所述的方法，其特征在于，所述根据比对结果确定所述本地域名黑名单中不包括所述目标进程请求访问的域名之后，还包括：

接收所述服务端主机发送的更新的域名黑名单，根据所述更新的域名黑名单更新所述本地域名黑名单。
根据权利要求1-4任一所述的方法，其特征在于，所述参数信息还包括生成所述目标进程的可执行文件在所述客户端主机上的保存路径，所述接收所述服务端主机对应返回的安全检测的结果之前，还包括：

接收所述服务端主机发送的所述可执行文件的哈希值；

根据生成所述目标进程的可执行文件在所述客户端主机上的保存路径获取所述可执行文件，对所述可执行文件进行哈希值计算，将计算得到的哈希值与所述服务端主机发送的哈希值进行比对；

响应于所述计算得到的哈希值与所述服务端主机发送的哈希值一致，向所述服务端主机发送所述可执行文件。
一种恶意域名访问的检测方法，其特征在于，包括：

服务端主机接收客户端主机发送的目标进程的参数信息，所述参数信息包括所述目标进程请求访问的域名及所述目标进程的进程标识；

所述服务端主机根据所述目标进程的参数信息进行安全检测；

所述服务端主机向所述客户端主机发送安全检测的结果，所述安全检测的结果指示所述目标进程请求访问的域名是否为非法域名。
根据权利要求6所述的方法，其特征在于，所述参数信息还包括生成所述目标进程的可执行文件在所述客户端主机上的保存路径，所述根据所述目标进程的参数信息进行安全检测，包括：

根据生成所述目标进程的可执行文件在所述客户端主机上的保存路径与所述可执行文件的哈希值的对应关系，获取所述可执行文件的哈希值，根据所述可执行文件的哈希值对所述可执行文件进行安全检测，根据检测结果判断所述可执行文件是否为恶意文件。
根据权利要求7所述的方法，其特征在于，所述根据所述可执行文件的哈希值对所述可执行文件进行安全检测，根据检测结果判断所述可执行文件是否为恶意文件，包括：

将所述可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对；

响应于所述恶意程序黑名单中存在与所述可执行文件的哈希值相匹配的恶意程序的哈希值，确定所述可执行文件为恶意文件。
根据权利要求7所述的方法，其特征在于，所述根据所述可执行文件的哈希值对所述可执行文件进行安全检测，根据检测结果判断所述可执行文件是否为恶意文件，包括：

将所述可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对；

响应于所述恶意程序黑名单中不存在与所述可执行文件的哈希值相匹配的恶意程序的哈希值，向所述客户端主机发送所述可执行文件的哈希值，接收所述客户端主机对所述可执行文件的哈希值进行验证之后发送的所述可执行文件；

使用第三方检测技术对所述可执行文件进行检测，根据检测结果确定所述可执行文件是否为恶意文件。
根据权利要求9所述的方法，其特征在于，所述根据检测结果确定所述可执行文件是否为恶意文件之后，还包括：

响应于所述可执行文件为恶意文件，将所述可执行文件的哈希值加入所述恶意程序黑名单中。
根据权利要求7所述的方法，其特征在于，所述根据所述可执行文件的哈希值对所述可执行文件进行安全检测，根据检测结果判断所述可执行文件是否为恶意文件，包括：

向所述客户端主机发送所述可执行文件的哈希值，接收所述客户端主机对所述可执行文件的哈希值进行验证之后发送的所述可执行文件；

使用第三方检测技术对所述可执行文件进行检测，根据检测结果确定所述可执行文件是否为恶意文件。
根据权利要求7-11任一所述的方法，其特征在于，所述获取所述可执行文件的哈希值之前，还包括：

将所述目标进程请求访问的域名与本地域名黑名单中包含的非法域名进行比对，根据比对结果确定所述本地域名黑名单中不包括所述目标进程请求访问的域名。
根据权利要求12所述的方法，其特征在于，所述根据检测结果判断所述可执行文件是否为恶意文件之后，还包括：

响应于所述可执行文件为恶意文件，将所述目标进程请求访问的域名加入所述本地域名黑名单，从而得到更新的域名黑名单；

向所述客户端主机发送所述更新的域名黑名单。
一种恶意域名访问的检测装置，其特征在于，所述装置应用于客户端主机，包括：

处理单元，用于在目标进程触发域名访问时，获取所述目标进程请求访问的域名以及所述目标进程的进程标识，所述目标进程的进程标识用于标识一个所述客户端主机上运行的应用程序；

通信单元，用于向服务端主机发送所述目标进程的参数信息，所述参数信息包括所述目标进程请求访问的域名及所述目标进程的进程标识；

所述通信单元，还用于接收所述服务端主机对应返回的安全检测的结果，所述安全检测的结果指示所述目标进程请求访问的域名是否为非法域名；

所述处理单元，还用于根据所述安全检测的结果对所述目标进程进行处理。
根据权利要求14所述的装置，其特征在于，所述处理单元，还用于将所述目标进程请求访问的域名与本地黑名单中包含的非法域名进行比对，根据比对结果确定所述本地域名黑名单中不包括所述目标进程请求访问的域名。
根据权利要求14或15所述的装置，其特征在于，所述处理单元，用于通过所述目标进程调用的动态库文件获取所述目标进程请求访问的域名以及所述目标进程的进程标识。
根据权利要求15所述的装置，其特征在于，所述通信单元，还用于接收所述服务端主机发送的更新的域名黑名单；

所述处理单元，还用于根据所述更新的域名黑名单更新所述本地域名黑名单。
根据权利要求14-17任一所述的装置，其特征在于，所述参数信息还包括生成所述目标进程的可执行文件在所述客户端主机上的保存路径，所述通信单元，还用于接收所述服务端主机发送的所述可执行文件的哈希值；

所述处理单元，还用于根据生成所述目标进程的可执行文件在所述客户端主机上的保存路径获取所述可执行文件，对所述可执行文件进行哈希值计算，将计算得到的哈希值与所述服务端主机发送的哈希值进行比对；

所述通信单元，还用于响应于所述计算得到的哈希值与所述服务端主机发送的哈希值一致，向所述服务端主机发送所述可执行文件。
一种恶意域名访问的检测装置，其特征在于，所述装置应用于服务端主机，包括：

通信单元，用于接收客户端主机发送的目标进程的参数信息，所述参数信息包括所述目标进程请求访问的域名及所述目标进程的进程标识；

处理单元，用于根据所述目标进程的参数信息进行安全检测；

所述通信单元，还用于向所述客户端主机发送安全检测的结果，所述安全检测的结果指示所述目标进程请求访问的域名是否为非法域名。
根据权利要求19所述的装置，其特征在于，所述参数信息还包括生成所述目标进程的可执行文件在所述客户端主机上的保存路径，所述处理单元，用于根据生成所述目标进程的可执行文件在所述客户端主机上的保存路径与所述可执行文件的哈希值的对应关系，获取所述可执行文件的哈希值，根据所述可执行文件的哈希值对所述可执行文件进行安全检测，根据检测结果判断所述可执行文件是否为恶意文件。
根据权利要求20所述的装置，其特征在于，所述处理单元，用于将所述可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对；响应于所述恶意程序黑名单中存在与所述可执行文件的哈希值相匹配的恶意程序的哈希值，确定所述可执行文件为恶意文件。
根据权利要求20所述的装置，其特征在于，所述处理单元，用于将所述可执行文件的哈希值与恶意程序黑名单中包含的恶意程序的哈希值进行比对；

所述通信单元，用于响应于所述恶意程序黑名单中不存在与所述可执行文件的哈希值相匹配的恶意程序的哈希值，向所述客户端主机发送所述可执行文件的哈希值，接收所述客户端主机对所述可执行文件的哈希值进行验证之后发送的所述可执行文件；

所述处理单元，用于使用第三方检测技术对所述可执行文件进行检测，根据检测结果确定所述可执行文件是否为恶意文件。
根据权利要求22所述的装置，其特征在于，所述处理单元，还用于响应于所述可执行文件为恶意文件，将所述可执行文件的哈希值加入所述恶意程序黑名单中。
根据权利要求20所述的装置，其特征在于，所述通信单元，用于向所述客户端主机发送所述可执行文件的哈希值；接收所述客户端主机对所述可执行文件的哈希值进行验证之后发送的所述可执行文件；

所述处理单元，用于使用第三方检测技术对所述可执行文件进行检测，根据检测结果确定所述可执行文件是否为恶意文件。
根据权利要求20-24任一所述的装置，其特征在于，所述处理单元，还用于将所述目标进程请求访问的域名与本地域名黑名单中包含的非法域名进行比对，根据比对结果确定所述本地域名黑名单中不包括所述目标进程请求访问的域名。
根据权利要求25所述的装置，其特征在于，所述处理单元，还用于响应于所述可执行文件为恶意文件，将所述目标进程请求访问的域名加入所述本地域名黑名单，从而得到更新的域名黑名单；

所述通信单元，还用于向所述客户端主机发送所述更新的域名黑名单。
一种客户端主机，其特征在于，包括存储器和处理器，所述存储器用于存储指令，所述处理器读取所述存储器中保存的指令后，使得所述客户端主机执行权利要求1-5任一所述的方法。
一种服务端主机，其特征在于，包括存储器和处理器，所述存储器用于存储指令，所述处理器读取所述存储器中保存的指令后，使得所述服务端主机执行权利要求6-13任一所述的方法。
一种恶意域名访问的检测系统，其特征在于，包括如权利要求27所述的客户端主机和如权利要求28所述的服务端主机。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有至少一条指令，所述指令由处理器加载并执行以实现如权利要求1-13中任一所述的方法。