[发明专利]一种恶意域名请求终端的快速定位处置方法及系统

权利要求书

1.一种恶意域名请求终端的快速定位处置方法，其特征在于，包括以下步骤：

步骤S1：在DNS服务器上建立数据库，包括：域名白名单数据库、域名黑名单数据库、系统IP地址划分表；

步骤S2：获取当前的DNS服务器日志，解析DNS报文，提取其中的域名；

步骤S3：将提取到的域名与白名单数据库匹配，如果当前域名在白名单数据库中，则进入步骤S6，否则进入步骤S4；

步骤S4：将提取到的域名与黑名单数据库匹配，如果当前域名在黑名单数据库中，则将此域名标记，并定位该域名所对应的感染终端IP及其主机用户信息，进行告警；否则进入步骤S5；

步骤S5：对该提取到的域名进行检测判定，如果判定当前域名为良性域名，则将此域名加入白名单数据库，并进入步骤S6；如果判定当前域名为恶意域名，则将此域名加入黑名单数据库，并标记该域名，定位该域名所对应的感染终端IP及其主机用户信息，进行告警；

步骤S6：将此条DNS服务器日志删除，以防止DNS服务器日志过大，减少之后检索工作量。

2.根据权利要求1所述的一种恶意域名请求终端的快速定位处置方法，其特征在于，步骤S4与步骤S5中的所述定位该域名所对应的感染终端IP具体为：通过在DNS服务器上添加对恶意域名的解析，将请求指向指定的一个终端IP，该终端用于接收并解析恶意域名，通过在该指定终端上运行预设的脚本，自动定位感染终端的IP；该预设的脚本用于监听tcp80端口并对收到的请求进行分析，得到请求者的IP，即感染终端的IP。

3.根据权利要求2所述的一种恶意域名请求终端的快速定位处置方法，其特征在于，根据定位得到的感染终端的IP，从系统IP地址划分表中查找相应的地址信息。

4.根据权利要求1所述的一种恶意域名请求终端的快速定位处置方法，其特征在于，所述告警包括：产生包括请求的恶意域名、最后请求时间、请求次数、感染终端的IP、感染终端所属单位部门及使用人信息在内的告警信息。

5.根据权利要求4所述的一种恶意域名请求终端的快速定位处置方法，其特征在于，所述告警包括：限制感染的终端对外关联，并远程控制对其进行病毒木马查杀，查杀成功后恢复该终端的对外关联；若查杀失败或者无法远程控制该终端，则联系告警信息中的受感染终端的使用人进行主机排查或现场排查。

6.根据权利要求1所述的一种恶意域名请求终端的快速定位处置方法，其特征在于，所述对该提取到的域名进行检测判定具体为：分析当前域名的行为特征、结构特征，字符特征以及解析特征中是否存在一个以上的特征与恶意域名的相关特征一致，若是，则判定当前域名为恶意域名，否则判定当前域名为良性域名。

7.一种恶意域名请求终端的快速定位处置系统，其特征在于，包括存储模块、处理模块、通信模块以及存储于存储模块上并能够被处理模块所运行的计算机程序指令；所述处理模块经通信模块与DNS服务器通信相连；当处理模块运行所述计算机程序指令时，实现如权利要求1-6任一项所述的方法步骤。