[发明专利]一种挖掘恶意域名的方法和装置

说明书

本申请提供了挖掘恶意域名的方法和装置，所述方法包括：获取第一恶意域名；根据所述第一恶意域名获取第一要素信息；根据所述第一要素信息及预设挖掘条件从预设历史信息集中获取至少一个第一域名；判断所述第一域名是否满足预设审核规则；若是，则确定所述第一域名为第二恶意域名。本申请所述的方法，通过域名服务商、域名注册时间以及与域名相关联的更新时间与已知恶意域名的关系，侦测未知恶意域名。提高了网络安全。

技术领域

本申请涉及网络安全领域，具体涉及挖掘恶意域名的方法，以及挖掘恶意域名的装置。

背景技术

域名(Domain Name，也称网域)，是由“.”分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位(有时也指地理位置。地理上的域名，指代有行政自主权的一个地方区域)。是便于记忆和沟通的一组服务器的地址(网站、电子邮件、FTP等)。域名用于各种网络环境和应用程序特定的命名和寻址目的。比如，“www.baidu.com”就是一个域名。

域名查询系统(Whois)，用于在互联网上查询与域名相关联的信息。2018年5月25日前，通过Whois查询域名可以获取该域名的服务商、注册时间、过期时间、注册人的相关信息。域名持有者在服务商成功注册后，注册所使用的姓名、联系地址、电话、Email等注册信息将被存储到域名Whois信息数据库中，任何人都可公开查询到这些信息(除非注册人使用了隐私保护服务)。

恶意域名，是指对互联网中的网络设备进行攻击并产生破坏作用的域名。根据攻击方式通常被分钓鱼网站和恶意软件网站。

钓鱼网站，是指伪装成银行或网上商店等合法机构网站的一类网站，它试图诱骗用户在其网站中输入用户名、密码或其他私人信息，这类网站对个人隐私和财产安全可造成一定威胁。

恶意软件网站，包含恶意代码，通过在用户计算机上安装恶意软件，黑客可利用该软件来获取和传输用户的隐私或敏感信息。比如，C&C服务器。

命令以及控制(Command and Control，简称C&C，或C2)，在某些情况下，是指C&C服务器，也就是控制端。C&C服务器一方面可以接收被控制计算机上面活跃的木马传来的信息，了解受控主机的系统环境、可用能力甚至是隐私信息等秘密；另一方面也可以向受控主机发送控制指令，指示受控主机中的木马执行预定义的恶意动作，满足控制者各种不同的需求。每一个C&C服务器必须对应一个具体的IP之后，才能被木马访问。大多数木马使用域名指向C&C服务器(域名经过解析之后会转换为服务器具体的IP地址)。

在现有技术中，用于木马回连的C&C域名大多是由攻击者申请、维护的，通过这些域名的注册信息，可以反向追踪它们的所有人的信息并关联出其注册的更多恶意域名。

恶意域名追踪的一个通用方法，即通过Whois反查找到恶意域名注册人、注册邮箱，并据此关联发现域名背后的控制势力。虽然域名注册信息中的注册人、注册机构、注册地址均可能为虚假的，但注册邮箱一定是真实的。攻击者需要通过该邮箱实现对域名的维护管理，因此对恶意域名的追踪最主要的方式即确定注册邮箱。

2018年5月17日，ICANN(互联网名称与数字地址分配机构)于公布《通用顶级域名注册数据临时规范(Temporary Specification for gTLD Registration Data)》，要求注册局和服务商对Whois查询服务的公开显示信息进行必要调整。此次调整是ICANN为应对2018年5月25日生效的欧盟《通用数据保护条例(GDPR)》所做出的调整。

因此，绝大多数域名服务商自2018年5月25日之后不再提供包括域名注册人、管理联系人和技术联系人的姓名、邮箱、电话、街道地址等信息，导致通过域名注册邮箱追踪恶意域名的方法也基本失效。

发明内容