技術領域

本發明涉及一種惡意域名的檢測系統，尤其涉及一種基于云計算的惡意域名檢測系統。

背景技術

當前木馬、病毒、僵尸網絡普遍使用域名定位,釣魚網站也通常采用相似域名進行欺騙。目前，各種惡意域名的檢測算法主要包括：非法域名識別方法及裝置（專利號為201110382578.4）、仿冒域名檢測方法及設備（專利號為201210104110.3）、異常域名檢測方法及系統（專利號為200910237594.7）、一種Domain?flux僵尸網絡域名檢測（專利號為201210475596.1）、基于域名構造特征的木馬網頁檢測（專利號為201110146967.7）、檢測僵尸網絡中控制主機域名的方法、裝置和系統（專利號為201010109069.X）、Systems?and?methods?for?identifying?malicious?domains?using?internet-wide?dns?lookup（WO2011143542A1）和Method?and?system?for?detecting?malicious?domain?names?at?an?upper?dns?hierarchy（US20120198549A1）。

現有的惡意域名檢測算法存在著一定的局限性，主要表現在：檢測數據源單一，在單一數據源檢測產生的結果通用性差；缺乏數據協同，多源數據協同可提高檢測效率，包括精度和速度；對于惡意域名檢測需要機構/用戶自己構建檢測系統，開銷過大；在SIE系統中并無惡意域名檢測算法，僅提供資源記錄的存儲和查詢服務；用戶無法隨機讀取整個SIE數據庫，基于SIE數據的挖掘需要產生大量的API查詢，效率極低。

因此，本領域的技術人員致力于發明一種基于云計算的惡意域名檢測系統，以完成全球性協作的DNS（Domain?Name?System，域名系統）流量采集、存儲和挖掘系統，實現對惡意域名的挖掘和SaaS（Software-as-a-service，軟件運營）云服務的需求。

發明內容

有鑒于現有技術的上述缺陷，本發明所要解決的技術問題是提供一種基于云計算的惡意域名檢測系統。

為實現上述目的，本發明提供了一種基于云計算的惡意域名檢測系統，其特征在于，包括傳感器、外部數據采集模塊、數據存儲模塊、資源交換與共享模塊、檢測模塊、檢測接口和提交接口；

所述傳感器用于監測和壓縮DNS數據；

所述外部數據采集模塊用于定期下載各類外部數據；

所述數據存儲模塊用于存儲所述DNS數據和所述外部數據；

所述檢測模塊用于存儲檢測算法和進行域名檢測；

所述資源交換與共享模塊用于控制加入資源共享計劃的數據；

所述傳感器分布在網絡的各處，通過所述提交接口將所述DNS數據上傳至所述數據存儲模塊；所述外部數據采集模塊將下載到的所述外部數據上傳至所述數據存儲模塊；用戶通過所述檢測接口向所述檢測模塊提出檢測算法或域名檢測請求。

進一步第，所述檢測模塊包括檢測算法庫和域名檢測子模塊；所述檢測算法庫用于存儲檢測算法；所述域名檢測子模塊用于根據所述檢測算法庫的檢測算法進行域名檢測。

進一步地，所述DNS數據包括網絡內的DNS流量和關鍵類型的資源記錄。

進一步地，所述外部數據包括Alexa網站的排名數據、IP/域名黑名單和白名單數據以及所述數據存儲模塊中存在的域名和IP的WHOIS信息、DNSBL(Domain?Name?System?Black?List域名系統黑名單)信息和BGP（Border?Gateway?Protocol，邊界網關協議）信息。

進一步地，所述檢測系統還包括第一共享接口和第二共享接口；所述第一共享接口位于所述數據存儲模塊；所述第二共享接口位于所述檢測算法庫。

進一步地，所述資源交換與共享模塊通過所述第一共享接口控制所述數據存儲模塊加入資源共享計劃的內容；通過所述第二共享接口控制所述檢測算法庫加入所述資源共享計劃的檢測算法。

進一步地，所述檢測算法庫包括用戶自己編寫的檢測算法和加入所述資源共享計劃的檢測算法。

進一步地，用戶通過所述檢測接口將自己的檢測算法編寫成檢測腳本提交到所述檢測模塊中。

進一步地，用戶通過所述檢測接口查看域名的檢測運行狀態和進度，以及下載檢測運行結果。

進一步地，所述傳感器的數量為一個或多個。