一種惡意域名鑒別方法及裝置的制造方法
【專利摘要】本發(fā)明公開了一種惡意域名鑒別方法及裝置�,記錄申請訪問或解析的域名與IP地址的對應(yīng)關(guān)系;確定惡意IP地址����,并根據(jù)域名與IP地址的對應(yīng)關(guān)系,確定與所述惡意IP地址對應(yīng)的域名為惡意域名����,并記錄所確定的惡意域名;根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別����。
【專利說明】
一種惡意域名鑒別方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)攻擊防御技術(shù),具體涉及一種惡意域名鑒別方法及裝置��。
【背景技術(shù)】
[0002]惡意域名是一種比較流行的網(wǎng)絡(luò)攻擊方法����。常用于仿冒其他標準網(wǎng)站,幫助病毒�����、木馬更快地傳播���,竊取用戶敏感信息���,獲取黑客攻擊指令等攻擊場景����。
[0003]現(xiàn)有的防御技術(shù)一般都是基于惡意域名庫進行封堵���,惡意域名庫一般來源于攻擊收集和逆向破解惡意木馬程序�����,有一些專門的安全組織會定期更新惡意域名庫。還有一種防御方法是基于數(shù)據(jù)挖掘和云分析�,收集大量的域名請求,在本地或上傳到云端��,根據(jù)域名格式���、長度和請求發(fā)起頻率等行為方面的特征進行分析挖掘來標記惡意域名�����。
[0004]但通過惡意域名庫進行封堵��,存在很大的滯后性����,無法及時應(yīng)對新出現(xiàn)的惡意域名。而通過數(shù)據(jù)挖掘�、云分析的方法具有開銷大、準確度低的問題�����。
【發(fā)明內(nèi)容】
[0005]為解決現(xiàn)有存在的技術(shù)問題�����,本發(fā)明實施例期望提供一種惡意域名鑒別方法及裝置��,能及時�、準確地防御惡意域名的攻擊,且開銷小�。
[0006]為達到上述目的,本發(fā)明實施例的技術(shù)方案是這樣實現(xiàn)的:
[0007]本發(fā)明實施例提供了一種惡意域名鑒別方法����,所述方法包括:
[0008]記錄申請訪問或解析的域名與互聯(lián)網(wǎng)協(xié)議IP地址的對應(yīng)關(guān)系;
[0009]確定惡意IP地址��,并根據(jù)域名與IP地址的對應(yīng)關(guān)系,確定與所述惡意IP地址對應(yīng)的域名為惡意域名�,并記錄所確定的惡意域名;
[0010]根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別����。
[0011 ]優(yōu)選的,所述記錄客戶端訪問的域名及IP地址的對應(yīng)關(guān)系�,包括:
[0012]域名系統(tǒng)DNS解析申請訪問或解析的域名,獲得與所述域名對應(yīng)的IP地址�;
[0013]記錄所述域名與所述IP地址的對應(yīng)關(guān)系。
[0014]優(yōu)選的�����,所述確定惡意IP地址���,包括:
[0015]入侵防御系統(tǒng)IPS將具有攻擊特征的IP地址標記為惡意IP地址。
[0016]優(yōu)選的��,所述記錄所確定的惡意域名�����,包括:將所確定的惡意域名加入惡意域名庫�;
[0017]相應(yīng)的�����,所述根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別�����,包括:
[0018]對申請訪問或解析的域名進行鑒別�����,如果所述申請訪問或解析的域名在所述惡意域名庫中�����,則對所述域名按設(shè)置的規(guī)則處理����;
[0019]如果所述申請訪問或解析的域名不在所述惡意域名庫中���,則啟動DNS解析��,并記錄域名與IP地址的對應(yīng)關(guān)系�����。
[0020]優(yōu)選的����,所述方法還包括:
[0021]從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名加入所述惡意域名庫;和/或?qū)⒈镜氐膼阂庥蛎蟼鞯交ヂ?lián)網(wǎng)�����。
[0022]本發(fā)明實施例還提供了一種惡意域名鑒別裝置�����,所述裝置包括記錄模塊��、確定模塊和鑒別模塊;其中��,
[0023]所述記錄模塊�����,用于記錄申請訪問或解析的域名與IP地址的對應(yīng)關(guān)系���;
[0024]所述確定模塊,用于確定惡意IP地址,并根據(jù)域名與IP地址的對應(yīng)關(guān)系���,確定與所述惡意IP地址對應(yīng)的域名為惡意域名����,并記錄所確定的惡意域名����;
[0025]所述鑒別模塊,用于根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別����。
[0026]優(yōu)選的,所述記錄模塊具體用于��;
[0027]DNS解析申請訪問或解析的域名�����,獲得與所述域名對應(yīng)的IP地址�;
[0028]記錄所述域名與所述IP地址的對應(yīng)關(guān)系。
[0029]優(yōu)選的�����,所述確定模塊確定惡意IP地址為:IPS將具有攻擊特征的IP地址標記為惡意IP地址。
[0030]優(yōu)選的�����,所述確定模塊還包括:將所確定的惡意域名加入惡意域名庫���;
[0031 ]所述確定模塊具體用于:
[0032]對申請訪問或解析的域名進行鑒別��,如果所述申請訪問或解析的域名在所述惡意域名庫中時����,則對所述域名按設(shè)置的規(guī)則處理��;
[0033]如果所述申請訪問或解析的域名不在所述惡意域名庫中時��,則啟動DNS解析�,并記錄域名與IP地址的對應(yīng)關(guān)系。
[0034]優(yōu)選的����,所述確定模塊還用于:
[0035]從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名加入所述惡意域名庫;和/或?qū)⒈镜氐膼阂庥蛎蟼鞯交ヂ?lián)網(wǎng)����。
[0036]本發(fā)明實施例提供一種惡意域名鑒別方法及裝置�,記錄申請訪問或解析的域名與互聯(lián)網(wǎng)協(xié)議(IP��,Internet Protocol)地址的對應(yīng)關(guān)系��;確定惡意IP地址���,并根據(jù)域名與IP地址的對應(yīng)關(guān)系,確定與所述惡意IP地址對應(yīng)的域名為惡意域名�,并記錄所確定的惡意域名;根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別;可見,本發(fā)明實施例基于本地的防御系統(tǒng)�����,建立惡意域名庫�,能及時、準確的防御惡意域名的攻擊��,且開銷小��。
【附圖說明】
[0037]圖1為本發(fā)明實施例一惡意域名鑒別方法的流程示意圖����;
[0038]圖2為本發(fā)明實施例二惡意域名鑒別裝置的示意圖;
[0039]圖3為本發(fā)明實施例三惡意域名鑒別系統(tǒng)的示意圖�����。
【具體實施方式】
[0040]下面將結(jié)合附圖及具體實施例對本發(fā)明再做進一步的說明。
[0041 ] 實施例一
[0042]圖1為本發(fā)明實施例一惡意域名鑒別方法的流程示意圖���,所述方法的執(zhí)行主體可以是一臺服務(wù)器��,如:域名系統(tǒng)(DNS���,Domain Name System)服務(wù)器或入侵防御系統(tǒng)(IPS,Intrus1n Prevent1n System)服務(wù)器�����,且所述服務(wù)器可以是虛擬機��。
[0043]如圖1所示����,所述惡意域名鑒別方法包括:
[0044]步驟101:記錄申請訪問或解析的域名與IP地址的對應(yīng)關(guān)系;
[0045]具體的�,DNS服務(wù)器解析申請訪問或解析的域名,獲得與所述域名對應(yīng)的IP地址�����;記錄所述域名與所述IP地址的對應(yīng)關(guān)系。
[0046]其中��,記錄所述域名與所述IP地址的對應(yīng)關(guān)系���,可以是建立一個以域名為索引或稱主鍵的域名數(shù)據(jù)庫,這樣便于查找���。
[0047]進一步的�,在實際使用中����,所述域名與所述IP地址的對應(yīng)關(guān)系除了一一對應(yīng)外,還可能是一對多或多對一的關(guān)系;對于這種情況�,需記錄所有對應(yīng)關(guān)系;另外�����,為避免鑒別錯誤�,影響正常使用,可在后續(xù)步驟中�����,通過建立白名單解決。
[0048]對于沒有解析到對應(yīng)IP地址的域名����,可直接通過后續(xù)步驟標記為惡意域名。
[0049]步驟102:確定惡意IP地址���,并根據(jù)域名與IP地址的對應(yīng)關(guān)系�����,確定與所述惡意IP地址對應(yīng)的域名為惡意域名�����,并記錄所確定的惡意域名����;
[0050]這里�����,所述記錄可以將所確定的惡意域名加入惡意域名庫;也可以采用表格方式�����,將所確定的惡意域名加入惡意域名表。
[0051]所述確定具體包括:1PS將具有攻擊特征的IP地址標記為惡意IP地址;根據(jù)域名與IP地址的對應(yīng)關(guān)系���,確定與所述惡意IP地址對應(yīng)的域名為惡意域名�。
[0052]通常�,IPS能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為,及時識別攻擊程序或有害代碼及其克隆和變種;在本發(fā)明實施例中����,IPS能發(fā)現(xiàn)具有攻擊特征的IP地址����,并將此類IP地址標記為惡意IP地址;
[0053]其中���,是否具有攻擊特征可以根據(jù)IPS標記的攻擊次數(shù)或攻擊頻率來確定����;
[0054]進一步的��,還可以根據(jù)IPS標記的攻擊次數(shù)多少�����、攻擊頻率高低、以及攻擊行為的危害程度��,對惡意域名的嚴重程度進行分類��,并在惡意域名表中標記;也就是說�,可以根據(jù)IP地址的攻擊次數(shù)、攻擊頻率����、攻擊行為的嚴重程度,來標記對應(yīng)惡意域名的嚴重程度��。
[0055]更進一步的�����,識別惡意IP地址也可以由入侵檢測系統(tǒng)(IDS�����,Intrus1nDetect1nSystems)或其它的安全防御系統(tǒng)完成�,在此不做詳述。
[0056]另外����,判斷所述攻擊特征的條件也可以有很多�����,不僅限于攻擊次數(shù)或頻率����,在此不做詳述�。
[0057]另外,對于沒有解析到對應(yīng)IP地址的域名����,會直接標記為惡意域名,這樣不會重復(fù)解析����,增加服務(wù)器的開銷���。
[0058]本步驟中���,所述惡意域名庫或惡意域名表可保存在本地,一般���,為避免遺漏對惡意域名的防御�����,惡意域名庫或惡意域名表的內(nèi)容原則上只能增加����、不能減少,但在服務(wù)器存儲空間緊張的情況下���,可以清理設(shè)定時間之前的記錄�;
[0059]進一步的�,被記錄為惡意域名的IP地址,在沒有被封堵的情況下���,在設(shè)定的時間內(nèi)未再發(fā)現(xiàn)攻擊的特征�����,也可以將其從惡意域名表中刪除���。
[0060]增加的途徑除了上述的本地服務(wù)器鑒別的惡意域名外,也可以從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名����,如專門的安全組織會定期更新的惡意域名����;當然�����,也可以將本地的惡意域名上傳到互聯(lián)網(wǎng)��,分享給網(wǎng)絡(luò)上其它終端��。
[0061]進一步的�,如果確實有鑒別錯誤,影響到正常使用的���,可以通過建白名單解決;如:在執(zhí)行本發(fā)明實施例方法的服務(wù)器上建白名單�,這樣��,鑒別時可以對白名單上的域名忽略�����,不處理;此處所述服務(wù)器可以是DNS服務(wù)器�、或IPS服務(wù)器。
[0062]步驟103:根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別���。
[0063]具體的��,對申請訪問或解析的域名進行鑒別時���,如果所述申請訪問或解析的域名在記錄的惡意域名中,則對當前鑒別的域名按設(shè)置的規(guī)則處理��;
[0064]這里����,設(shè)置的規(guī)則是指應(yīng)對病毒、木馬包括惡意域名的處理方法����,如報警、封堵等��,本技術(shù)領(lǐng)域有很多通用做法����,在此不做贅述。
[0065]如果所述申請訪問或解析的域名不在記錄的惡意域名中����,則啟動DNS解析��,并記錄域名與IP地址的對應(yīng)關(guān)系���,即:完成步驟101的內(nèi)容,這里不再重復(fù)說明�。
[0066]實施例二
[0067]圖2為本發(fā)明實施例二一種惡意域名鑒別裝置的示意圖,如圖2所示�,所述裝置包括:記錄模塊21、確定模塊22和鑒別模塊23;其中����,
[0068]所述記錄模塊21,用于記錄申請訪問或解析的域名與IP地址的對應(yīng)關(guān)系����;
[0069 ]所述確定模塊2 2,用于確定惡意IP地址��,并根據(jù)域名與IP地址的對應(yīng)關(guān)系�����,確定與所述惡意IP地址對應(yīng)的惡意域名����,將所述惡意域名加入惡意域名庫;
[0070]所述鑒別模塊23�����,用于根據(jù)所述惡意域名庫對申請訪問或解析的域名進行鑒別��。[0071 ]為了說明的更清楚����,下面將分別對各個模塊作詳細說明:
[0072]所述記錄模塊21,用于記錄申請訪問或解析的域名與IP地址的對應(yīng)關(guān)系����;
[0073]具體的,DNS服務(wù)器解析申請訪問或解析的域名����,獲得與所述域名對應(yīng)的IP地址;記錄所述域名與所述IP地址的對應(yīng)關(guān)系�。
[0074]其中,記錄所述域名與所述IP地址的對應(yīng)關(guān)系����,可以是建立一個以域名為為索引或稱主鍵的域名數(shù)據(jù)庫���,這樣便于查找。
[0075]進一步的���,在實際使用中���,所述域名與所述IP地址的對應(yīng)關(guān)系除了一一對應(yīng)外,還可能是一對多或多對一的關(guān)系;對于這種情況����,需記錄所有對應(yīng)關(guān)系;另外�����,為避免鑒別錯誤����,影響正常使用,可在其它模塊中��,通過建立白名單解決���。
[0076]對于沒有解析到對應(yīng)IP地址的域名���,可通過確定模塊22標記為惡意域名���。
[0077]所述確定模塊22���,用于確定惡意IP地址�,并根據(jù)域名與IP地址的對應(yīng)關(guān)系�,確定與所述惡意IP地址對應(yīng)的域名為惡意域名,并記錄所確定的惡意域名�;
[0078]這里,所述記錄可以將所確定的惡意域名加入惡意域名庫;也可以采用表格方式���,將所確定的惡意域名加入惡意域名表���。
[0079]所述確定具體包括:1PS將具有攻擊特征的IP地址標記為惡意IP地址;根據(jù)域名與IP地址的對應(yīng)關(guān)系,確定與所述惡意IP地址對應(yīng)的惡意域名����。
[0080]通常,IPS能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為�����,及時識別攻擊程序或有害代碼及其克隆和變種;在本發(fā)明實施例中,IPS能發(fā)現(xiàn)具有攻擊特征的IP地址�,并將此類IP地址標記為惡意IP地址;
[0081 ]其中���,是否具有攻擊特征可以根據(jù)IPS標記的攻擊次數(shù)或攻擊頻率來確定�����;
[0082]進一步的����,還可以根據(jù)IPS標記的攻擊次數(shù)多少��、攻擊頻率高低��、以及攻擊行為的危害程度����,對惡意域名的嚴重程度進行分類,并在惡意域名表中標記;也就是說��,可以根據(jù)IP地址的攻擊次數(shù)��、攻擊頻率、攻擊行為的嚴重程度�,來標記對應(yīng)惡意域名的嚴重程度。
[0083]更進一步的�����,識別惡意IP地址也可以由IDS或其它的安全防御系統(tǒng)完成��,在此不做詳述��。
[0084]另外�����,判斷所述攻擊特征的條件也可以有很多����,不僅限于攻擊次數(shù)或頻率�����,在此不做詳述����。
[0085]另外,對于沒有解析到對應(yīng)IP地址的域名,會直接標記為惡意域名�,這樣不會重復(fù)解析,增加服務(wù)器的開銷����。
[0086]所述惡意域名庫或惡意域名表可保存在本地,一般�,為避免遺漏對惡意域名的防御,惡意域名庫或惡意域名表的內(nèi)容原則上只能增加�����、不能減少�,但在服務(wù)器存儲空間緊張的情況下,可以清理設(shè)定時間之前的記錄���;
[0087]進一步的��,被記錄為惡意域名的IP地址�����,在沒有被封堵的情況下����,在設(shè)定的時間內(nèi)未再發(fā)現(xiàn)攻擊的特征,也可以將其從惡意域名表中刪除��。
[0088]增加的途徑除了上述的本地服務(wù)器鑒別的惡意域名外�,也可以從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名,如專門的安全組織會定期更新的惡意域名��;當然�,也可以將本地的惡意域名上傳到互聯(lián)網(wǎng),分享給網(wǎng)絡(luò)上其它終端���。
[0089]進一步的��,如果確實有鑒別錯誤,影響到正常使用的�����,可以通過建白名單解決;如:在服務(wù)器上建白名單�,這樣,鑒別時可以對白名單上的域名忽略����,不處理;此處所述服務(wù)器可以是DNS服務(wù)器、或IPS服務(wù)器��。
[0090]所述鑒別模塊23,用于根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別��。
[0091]具體的���,對申請訪問或解析的域名進行鑒別時��,如果所述申請訪問或解析的域名在記錄的惡意域名中���,則對當前鑒別的域名按設(shè)置的規(guī)則處理;
[0092]這里����,設(shè)置的規(guī)則是指應(yīng)對病毒、木馬包括惡意域名的處理方法���,如報警����、封堵等���,本技術(shù)領(lǐng)域有很多通用做法�����,在此不做贅述����。
[0093]如果所述申請訪問或解析的域名不在記錄的惡意域名中,則啟動DNS解析�����,并記錄域名與IP地址的對應(yīng)關(guān)系����,即:記錄模塊21的功能,這里不再重復(fù)說明�����。
[0094]在實際應(yīng)用中�����,所述記錄模塊21�����、確定模塊22和鑒別模塊23均可由位于服務(wù)器的中央處理器(CPU)��、微處理器(MPU)���、數(shù)字信號處理器(DSP)��、或現(xiàn)場可編程門陣列(FPGA)等實現(xiàn)��。
[0095]實施例三
[0096]基于實施例二的惡意域名鑒別裝置�,在實際應(yīng)用中���,可以提供一種惡意域名鑒別系統(tǒng)����。
[0097]圖3為本發(fā)明實施例三惡意域名鑒別系統(tǒng)的示意圖���,如圖3所示���,所述惡意域名鑒別系統(tǒng)包括:DNS服務(wù)器31、IPS服務(wù)器32���、云端客戶機33�、云端服務(wù)器34�,其中�,
[0098]所述DNS服務(wù)器31用于:鑒別申請訪問或解析的域名�����,如果所述域名為白名單中的��,則直接忽略���,讓其進入IPS服務(wù)器32;
[0099]如果所述域名為惡意域名庫中的域名�,則進行相應(yīng)處理�,如禁止進入等;
[0100]如果所述域名既不在白名單中�,也不在惡意域名庫中,則進行解析�����,并記錄域名和IP地址的對應(yīng)關(guān)系���,具體的是記錄到域名地址關(guān)聯(lián)表。
[0101]所述IPS服務(wù)器32用于:監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為�,及時識別攻擊程序或有害代碼及其克隆和變種,將具有攻擊特征的IP地址標記為惡意IP地址�,并根據(jù)域名地址關(guān)聯(lián)表����,確定與所述惡意IP地址對應(yīng)的惡意域名��,將所述惡意域名加入惡意域名庫�;
[0102]所述云端客戶機33用于:將惡意域名庫上傳到云端服務(wù)器34,同時也會將云端惡意域名庫的惡意域名下載到惡意域名庫��;
[0103]所述云端服務(wù)器34用于:將所有云端客戶機模塊上傳的惡意域名進行分析匯總�,并建立云端惡意域名庫,供云端客戶機33下載��。
[0104]以上所述�����,僅為本發(fā)明的較佳實施例而已����,并非用于限定本發(fā)明的保護范圍,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改���、等同替換和改進等�,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
【主權(quán)項】
1.一種惡意域名鑒別方法����,其特征在于,所述方法包括: 記錄申請訪問或解析的域名與互聯(lián)網(wǎng)協(xié)議IP地址的對應(yīng)關(guān)系�; 確定惡意IP地址,并根據(jù)域名與IP地址的對應(yīng)關(guān)系�,確定與所述惡意IP地址對應(yīng)的域名為惡意域名,并記錄所確定的惡意域名�����; 根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別���。2.根據(jù)權(quán)利要求1所述的方法�,其特征在于�����,所述記錄客戶端訪問的域名及IP地址的對應(yīng)關(guān)系��,包括: 域名系統(tǒng)DNS解析申請訪問或解析的域名����,獲得與所述域名對應(yīng)的IP地址���; 記錄所述域名與所述IP地址的對應(yīng)關(guān)系����。3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于��,所述確定惡意IP地址�����,包括: 入侵防御系統(tǒng)IPS將具有攻擊特征的IP地址標記為惡意IP地址�。4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于�,所述記錄所確定的惡意域名,包括:將所確定的惡意域名加入惡意域名庫��; 相應(yīng)的���,所述根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別�,包括: 對申請訪問或解析的域名進行鑒別��,如果所述申請訪問或解析的域名在所述惡意域名庫中�����,則對所述域名按設(shè)置的規(guī)則處理; 如果所述申請訪問或解析的域名不在所述惡意域名庫中���,則啟動DNS解析�����,并記錄域名與IP地址的對應(yīng)關(guān)系����。5.根據(jù)權(quán)利要求4所述的方法���,其特征在于��,所述方法還包括: 從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名加入所述惡意域名庫���;和/或?qū)⒈镜氐膼阂庥蛎蟼鞯交ヂ?lián)網(wǎng)。6.—種惡意域名鑒別裝置�����,其特征在于��,所述裝置包括記錄模塊、確定模塊和鑒別模塊;其中�����, 所述記錄模塊���,用于記錄申請訪問或解析的域名與IP地址的對應(yīng)關(guān)系; 所述確定模塊�,用于確定惡意IP地址,并根據(jù)域名與IP地址的對應(yīng)關(guān)系����,確定與所述惡意IP地址對應(yīng)的域名為惡意域名,并記錄所確定的惡意域名����; 所述鑒別模塊,用于根據(jù)記錄的惡意域名對申請訪問或解析的域名進行鑒別���。7.根據(jù)權(quán)利要求6所述的裝置�,其特征在于�,所述記錄模塊具體用于; DNS解析申請訪問或解析的域名���,獲得與所述域名對應(yīng)的IP地址��; 記錄所述域名與所述IP地址的對應(yīng)關(guān)系�。8.根據(jù)權(quán)利要求6或7所述的裝置,其特征在于��,所述確定模塊確定惡意IP地址為:IPS將具有攻擊特征的IP地址標記為惡意IP地址����。9.根據(jù)權(quán)利要求6或7所述的裝置,其特征在于���,所述確定模塊還包括:將所確定的惡意域名加入惡意域名庫��; 所述確定模塊具體用于: 對申請訪問或解析的域名進行鑒別��,如果所述申請訪問或解析的域名在所述惡意域名庫中時�,則對所述域名按設(shè)置的規(guī)則處理�; 如果所述申請訪問或解析的域名不在所述惡意域名庫中時,則啟動DNS解析���,并記錄域名與IP地址的對應(yīng)關(guān)系����。10.根據(jù)權(quán)利要求9所述的裝置,其特征在于���,所述確定模塊還用于: 從互聯(lián)網(wǎng)下載現(xiàn)有的惡意域名加入所述惡意域名庫�����;和/或?qū)⒈镜氐膼阂庥蛎蟼鞯交ヂ?lián)網(wǎng)D
【文檔編號】H04L29/12GK105959294SQ201610440440
【公開日】2016年9月21日
【申請日】2016年6月17日
【發(fā)明人】陳鑫
【申請人】北京網(wǎng)康科技有限公司