一种恶意域名电子检测系统的制作方法

本实用新型涉及网络安全应用领域，特别涉及一种恶意域名电子检测系统。

背景技术：

目前，恶意域名已经成为国内乃至全世界的网络安全领域最为关注的危害之一。恶意域名也叫恶意网站，是指该网站利用浏览器或者应用软件的漏洞，嵌入恶意代码，在用户不知情的情况下，对用户的机器进行篡改或破坏的网站。对于仿冒其他网站比如银行网站、电子商务网站的，虽然未对用户的机器进行篡改或破坏，但是也被定义为恶意域名。

恶意域名能够形成一个庞大的网络体系，通过网络来控制受感染的系统，同时不同地造成网络危害，如更快地传播木马蠕虫、短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利、发起大范围的DDoS攻击等，给危害追踪和损失抑制带来巨大的麻烦。

恶意域名攻击的实现均涉及到DNS(Domain Name System)域名系统，所有人上网时输入的域名地址均会被DNS服务器解析并留下解析记录。这些记录包含了恶意域名的解析记录以及其相应的特征，通过挖掘解析记录并发现其中的恶意域名是近期网络安全研究的热点。

然而，目前虽然对网络站点、域名注册等进行了一定程度的监管，但百密一疏，互联网上仍然存在大量的恶意网站。这些网站以经济、政治或其他目的而产生。可以预见，如果这些网站关联电子商务网站，或网上银行，政府、运营商等其他重要的门户网站，以及电子邮件服务器，将导致难以估计的政治和经济损失。因此需要切实有效的系统和方法，对恶意域名的访问进行有效的检测。

技术实现要素：

本实用新型为解决上述问题提供一种恶意域名电子检测系统，它能够实现对恶意域名访问进行高效可靠的检测，进而有效防止互联网用户登录恶意网站。

为实现上述目的，本实用新型是这样实现的：一种恶意域名电子检测系统，它包括电子监控系统以及与其相连接的安全域名系统；所述电子监控系统包括主监控服务器和监控终端，安全域名系统包括主服务器和DNS服务器；其中主监控服务器与主服务器相连接，监控终端分别与主监控服务器和主服务器相连接，主服务器和DNS服务器相连接；

所述主监控服务器包括用来存储监控终端上传的监控信息的第一存储器以及向主服务器发送信息的第一端口；所述主服务器包括用来存储监控终端的IP地址的第二存储器以及用来与第一端口相连并接收信息的第二端口；所述监控终端包括用来存储主服务器的域名和端口地址及主监控服务器的IP地址和端口地址的第三存储器以及用来与主监控服务器和主服务器进行通信的无线通信模块。

进一步优化方案为：所述安全域名系统还包括用于实现对域名管理且与DNS服务器相连接的管理端以及用于实现DNS服务器和管理端双向通信的安全通信模块。

进一步优化方案为：所述DNS服务器包括依次相连接的数据采集模块、数据预处理模块、特征提取模块、模型训练模块和域名分析模块。

进一步优化方案为：所述监控终端还包括分别与第三存储器和无线通信模块相连接的第一处理器。

进一步优化方案为：所述主服务器还包括分别与第二存储器和第二端口相连接的第二处理器。

较之现有技术而言，本实用新型具有以下优点：本实用新型解决了在主监控服务器的IP地址改变时能够保证监控信息的正常上传和调取；通过安全域名系统采集数据分析，根据IP地址的改变特征挖掘出潜在的未知恶意域名，从通用性、可用性、可控性、安全性和有效性等多个角度提高域名服务的安全性，从而实现对恶意域名访问进行高效可靠的检测，进而有效防止互联网用户登录恶意网站。

附图说明

下面参照附图结合实施例对本实用新型作进一步的说明。

图1是本实用新型恶意域名电子检测系统的总结构框图。

图2是本实用新型恶意域名电子检测系统的监控终端和主服务器及主监控服务器连接结构框图。

图3是本实用新型恶意域名电子检测系统的主服务器和DNS服务器连接结构框图。

图中符号说明：1、电子监控系统；2、安全域名系统；11、主监控服务器，12、监控终端；21、主服务器，22、DNS服务器；111、第一存储器，112、第一端口；211、第二存储器,212、第二端口，213、第二处理器；121、第三存储器，122、无线通信模块,123、第一处理器；23、管理端，24、安全通信模块。

具体实施方式

具体实施例如下：

请参照图1-3所示，一种恶意域名电子检测系统，它包括电子监控系统1以及与其相连接的安全域名系统2；所述电子监控系统1包括主监控服务器11和监控终端12，安全域名系统2包括主服务器21和DNS服务器22；其中主监控服务器11与主服务器21相连接，监控终端12分别与主监控服务器11和主服务器21相连接，主服务器21和DNS服务器22相连接。

主监控服务器11包括用来存储监控终端12上传的监控信息的第一存储器111以及向主服务器21发送信息的第一端口112。

主服务器21包括用来存储监控终端12的IP地址的第二存储器211、用来与第一端口112相连并接收信息的第二端口212以及分别与第二存储器211和第二端口212相连接的第二处理器213。

监控终端12包括用来存储主服务器21的域名和端口地址及主监控服务器11的IP地址和端口地址的第三存储器121、用来与主监控服务器11和主服务器21进行通信的无线通信模块122以及分别与第三存储器121和无线通信模块122相连接的第一处理器123。

所述安全域名系统2还包括用于实现对域名管理且与DNS服务器22相连接的管理端23以及用于实现DNS服务器22和管理端23双向通信的安全通信模块24。所述DNS服务器22包括依次相连接的数据采集模块、数据预处理模块、特征提取模块、模型训练模块和域名分析模块。

如图1所示，本实用新型恶意域名电子检测系统的总结构框图，本实用新型电子监控系统1包括主监控服务器11和监控终端12，所述主监控服务器11可以是一个对应多个监控终端12；安全域名系统2包括主服务器21、DNS服务器22、管理端23和安全通信模块24；其中主监控服务器11与主服务器21相连接，监控终端12分别与主监控服务器11和主服务器21相连接，主服务器21和DNS服务器22相连接，DNS服务器22和管理端23相连接，DNS服务器22和管理端23通过安全通信模块24实现双向通信。

如图2所示，本实用新型恶意域名电子检测系统的监控终端和主服务器及主监控服务器连接结构框图，本实用新型主监控服务器11包括用来存储监控终端12上传的监控信息的第一存储器111以及向主服务器21发送信息的第一端口112。监控终端12包括用来存储主服务器21的域名和端口地址及主监控服务器11的IP地址和端口地址的第三存储器121、用来与主监控服务器11和主服务器21进行通信的无线通信模块122以及分别与第三存储器121和无线通信模块122相连接更新所述第三存储器存储信息的第一处理器123。主服务器21包括用来存储监控终端12的IP地址的第二存储器211、用来与第一端口112相连并接收信息的第二端口212以及分别与第二存储器211和第二端口212相连接更新所述第二存储器存储211的对应关系的第二处理器213。

如图3所示，本实用新型恶意域名电子检测系统的主服务器和DNS服务器连接结构框图，本实用新型主服务器21和DNS服务器22相连接；主服务器21包括用来存储监控终端12的IP地址的第二存储器211、用来与第一端口112相连并接收信息的第二端口212以及分别与第二存储器211和第二端口212相连接更新所述第二存储器存储211的对应关系的第二处理器213；所述DNS服务器22包括依次相连接的数据采集模块、数据预处理模块、特征提取模块、模型训练模块和域名分析模块；本实用新型主监控服务器的IP地址改变时能够保证监控信息的正常上传和调取；通过安全域名系统采集数据分析，根据IP地址的改变特征挖掘出潜在的未知恶意域名；从通用性、可用性、可控性、安全性和有效性等多个角度提高域名服务的安全性，从而实现对恶意域名访问进行高效可靠的检测，进而有效防止互联网用户登录恶意网站。

上述具体实施方式只是对本实用新型的技术方案进行详细解释，本实用新型并不只仅仅局限于上述实施例，凡是依据本实用新型原理的任何改进或替换，均应在本实用新型的保护范围之内。