本申請提供了挖掘惡意域名的方法和裝置，所述方法包括：獲取第一惡意域名；根據所述第一惡意域名獲取第一要素信息；根據所述第一要素信息及預設挖掘條件從預設歷史信息集中獲取至少一個第一域名；判斷所述第一域名是否滿足預設審核規則；若是，則確定所述第一域名為第二惡意域名。本申請所述的方法，通過域名服務商、域名注冊時間以及與域名相關聯的更新時間與已知惡意域名的關系，偵測未知惡意域名。提高了網絡安全。

技術領域

本申請涉及網絡安全領域，具體涉及挖掘惡意域名的方法，以及挖掘惡意域名的裝置。

背景技術

域名(Domain Name，也稱網域)，是由“.”分隔的名字組成的Internet上某一臺計算機或計算機組的名稱，用于在數據傳輸時標識計算機的電子方位(有時也指地理位置。地理上的域名，指代有行政自主權的一個地方區域)。是便于記憶和溝通的一組服務器的地址(網站、電子郵件、FTP等)。域名用于各種網絡環境和應用程序特定的命名和尋址目的。比如，“www.baidu.com”就是一個域名。

域名查詢系統(Whois)，用于在互聯網上查詢與域名相關聯的信息。2018年5月25日前，通過Whois查詢域名可以獲取該域名的服務商、注冊時間、過期時間、注冊人的相關信息。域名持有者在服務商成功注冊后，注冊所使用的姓名、聯系地址、電話、Email等注冊信息將被存儲到域名Whois信息數據庫中，任何人都可公開查詢到這些信息(除非注冊人使用了隱私保護服務)。

惡意域名，是指對互聯網中的網絡設備進行攻擊并產生破壞作用的域名。根據攻擊方式通常被分釣魚網站和惡意軟件網站。

釣魚網站，是指偽裝成銀行或網上商店等合法機構網站的一類網站，它試圖誘騙用戶在其網站中輸入用戶名、密碼或其他私人信息，這類網站對個人隱私和財產安全可造成一定威脅。

惡意軟件網站，包含惡意代碼，通過在用戶計算機上安裝惡意軟件，黑客可利用該軟件來獲取和傳輸用戶的隱私或敏感信息。比如，C&C服務器。

命令以及控制(Command and Control，簡稱C&C，或C2)，在某些情況下，是指C&C服務器，也就是控制端。C&C服務器一方面可以接收被控制計算機上面活躍的木馬傳來的信息，了解受控主機的系統環境、可用能力甚至是隱私信息等秘密；另一方面也可以向受控主機發送控制指令，指示受控主機中的木馬執行預定義的惡意動作，滿足控制者各種不同的需求。每一個C&C服務器必須對應一個具體的IP之后，才能被木馬訪問。大多數木馬使用域名指向C&C服務器(域名經過解析之后會轉換為服務器具體的IP地址)。

在現有技術中，用于木馬回連的C&C域名大多是由攻擊者申請、維護的，通過這些域名的注冊信息，可以反向追蹤它們的所有人的信息并關聯出其注冊的更多惡意域名。

惡意域名追蹤的一個通用方法，即通過Whois反查找到惡意域名注冊人、注冊郵箱，并據此關聯發現域名背后的控制勢力。雖然域名注冊信息中的注冊人、注冊機構、注冊地址均可能為虛假的，但注冊郵箱一定是真實的。攻擊者需要通過該郵箱實現對域名的維護管理，因此對惡意域名的追蹤最主要的方式即確定注冊郵箱。

2018年5月17日，ICANN(互聯網名稱與數字地址分配機構)于公布《通用頂級域名注冊數據臨時規范(Temporary Specification for gTLD Registration Data)》，要求注冊局和服務商對Whois查詢服務的公開顯示信息進行必要調整。此次調整是ICANN為應對2018年5月25日生效的歐盟《通用數據保護條例(GDPR)》所做出的調整。

因此，絕大多數域名服務商自2018年5月25日之后不再提供包括域名注冊人、管理聯系人和技術聯系人的姓名、郵箱、電話、街道地址等信息，導致通過域名注冊郵箱追蹤惡意域名的方法也基本失效。

發明內容