本發(fā)明提供了一種Sinkhole域名處理方法及服務(wù)器，該方法包括：步驟1，對Sinkhole IP地址進(jìn)行域名反解析查詢，以獲取與所述Sinkhole IP地址相關(guān)聯(lián)的至少一個(gè)域名；步驟2，獲取所述Sinkhole IP地址相關(guān)聯(lián)的域名的相關(guān)信息，所述相關(guān)信息包括所述域名的上下文信息、所述域名對應(yīng)的DNS服務(wù)器地址和/或所述域名的查詢信息；步驟3，根據(jù)所述相關(guān)信息進(jìn)行Sinkhole域名的判定；步驟4，根據(jù)所述判定的結(jié)果獲取新出現(xiàn)的所述Sinkhole域名。本發(fā)明能夠在已知Sinkhole IP地址的基礎(chǔ)上，對解析到這些Sinkhole IP地址的域名的DNS服務(wù)器進(jìn)行有效過濾，對于比對成功的域名，能夠以極高的可信度判定為Sinkhole域名。同時(shí)，通過對已知Sinkhole IP地址的監(jiān)控，可以得到新的Sinkhole域名。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，特別涉及一種Sinkhole域名處理方法及服務(wù)器。

背景技術(shù)

Sinkhole(又名沉洞，或網(wǎng)絡(luò)沉洞)技術(shù)是指在網(wǎng)絡(luò)中的某一域名被判定為惡意域名后，由安全廠商或運(yùn)營商將其原本解析到的IP地址變更到無害IP地址的技術(shù)。如果某一域名被Sinkhole，則該域名解析到IP地址已被變更，因此受害主機(jī)不會(huì)再接受到惡意控制代碼或惡意文件，也就不會(huì)受到安全威脅。同時(shí)，安全分析人員通過對被Sinkhole的域名的當(dāng)前域名服務(wù)器的流量進(jìn)行研究和監(jiān)控，可以監(jiān)測到當(dāng)前已經(jīng)失陷的主機(jī)數(shù)量和狀態(tài)。

在受害主機(jī)中的木馬文件成功獲取系統(tǒng)控制權(quán)后，將連接其CC(Command andControl命令控制)服務(wù)器，并接受來自CC服務(wù)器的控制指令或其他惡意文件。通過使用Sinkhole技術(shù)，域名解析到的CC服務(wù)器的IP地址被變更到無害的IP地址，解析到該IP地址上的安全服務(wù)器不會(huì)向主機(jī)發(fā)送任何控制碼或文件。因此受害的主機(jī)不會(huì)再受到進(jìn)一步的攻擊。當(dāng)前，對于Sinkhole技術(shù)，國內(nèi)外已有廣泛應(yīng)用。

當(dāng)前對于網(wǎng)絡(luò)上的某一域名是否已經(jīng)被Sinkhole，缺少可信度較高的判定方法。另外，雖然通過對網(wǎng)絡(luò)上的開源情報(bào)中的Sinkhole IP進(jìn)行收集，能夠得到一定數(shù)量的Sinkhole IP，但目前仍然缺少從已知Sinkhole IP來產(chǎn)生Sinkhole域名的技術(shù)方法。同時(shí)，當(dāng)前對于Sinkhole技術(shù)的挖掘也不夠深入，沒有及時(shí)發(fā)現(xiàn)新增的Sinkhole域名。

發(fā)明內(nèi)容

有鑒于解決目前仍然缺少從已知Sinkhole IP來產(chǎn)生Sinkhole域名的技術(shù)方法，當(dāng)前對于Sinkhole技術(shù)的挖掘也不夠深入，沒有及時(shí)發(fā)現(xiàn)新增的Sinkhole域名的問題，本發(fā)明提供了一種Sinkhole域名處理方法及服務(wù)器。

本發(fā)明實(shí)施例的一種Sinkhole域名處理方法，包括：

步驟1，對Sinkhole IP地址進(jìn)行域名反解析查詢，以獲取與所述Sinkhole IP地址相關(guān)聯(lián)的至少一個(gè)域名；

步驟2，獲取所述Sinkhole IP地址相關(guān)聯(lián)的域名的相關(guān)信息，所述相關(guān)信息包括所述域名的上下文信息、所述域名對應(yīng)的DNS服務(wù)器地址和/或所述域名的查詢信息；

步驟3，根據(jù)所述相關(guān)信息進(jìn)行Sinkhole域名的判定；

步驟4，根據(jù)所述判定的結(jié)果獲取新出現(xiàn)的所述Sinkhole域名。

作為優(yōu)選，步驟3包括：

步驟31，對所述域名相關(guān)上下文進(jìn)行判斷，判斷其是否符合Sinkhole的相關(guān)特征；

步驟32，對所述域名的查詢信息、域名服務(wù)器記錄進(jìn)行分析，并根據(jù)所述域名的查詢信息、域名服務(wù)器記錄分別對應(yīng)的權(quán)值，計(jì)算所述域名是所述Sinkhole域名的概率，以實(shí)現(xiàn)所述Sinkhole域名的判定。

作為優(yōu)選，所述步驟4包括：