[发明专利]用于检测对域名系统记录系统的更新的方法、系统和介质

说明书

本发明涉及用于检测对域名系统记录系统的更新的方法、系统和介质。在所述方法中，接收数据点的流，每个数据点描述域名系统的记录。针对各个数据点，从多个处理器中选择处理器。所述处理器各自被配置为将数据点应用于评估所述数据点是否在集合中的公共过滤器。在所述选择的处理器处，将所述各个数据点应用于所述公共过滤器以确定在所述集合中是否包括所述记录。当确定在所述集合中不包括所述记录时，提供指示所述域名系统包括新记录的消息，并且更新所述公共过滤器以将所述数据点包括在所述集合中。

本申请是分案申请，其原案申请是申请日为2016年8月4日，申请号为201610630826.5，发明名称为“用于检测对域名系统记录系统的更新的方法、系统和介质”。

技术领域

本领域大体上涉及网络安全性，并且更具体地涉及收集并且处理域名系统(DNS)记录。

背景技术

例如，通信网络可以允许在两个地理位置上相距遥远的位置之间传输数据。为了通过网络发送数据，通常将数据分为片，称为数据包或者块。每个数据包或者块可以具有指示数据包的目的地以及数据包所应该路由的中间转发装置的目的地网络地址(诸如，IP地址)。这些地址常常为数值，很难被记住，并且可以经常变化。

为了识别目的地，经常使用域名。域名识别目的地主机或者服务器并且可以映射到对应的网络地址。例如，域名www.example.com可以映射到网络地址93.184.216.119。为了将域名映射到网络地址，可以使用域名系统(DNS)。DNS可以将命名空间分为层级，该层级具有控制该层级的不同部分的不同组织。在层级的不同部分中，不同的名称服务器可以存储资源记录，该资源记录将域名映射到网络地址。

为了从域名查找网络地址，DNS可以使用解析器，该解析器可以针对不同的名称服务器执行查询序列。例如，用于解析www.example.com的查询序列可以开始于根名称服务器，该根名称服务器指示针对.com的名称服务器的地址。然后，DNS解析器可以向用于.com的名称服务器查询用于example.com的名称服务器的地址。然后，DNS解析器可以向用于example.com的名称服务器查询www.example.com的地址。实际上，由于解析器不需要针对每个请求查阅整个序列，所以解析器可以缓存不同的名称服务器的地址。

每天都有许多新的域被注册。然而，并不是所有的域都是为了合法的目的而注册。一些域是为了恶意的目的而注册。一种恶意目的是影响网络服务。这些可以被称为拒绝服务攻击。拒绝服务攻击的一个示例是传输控制协议(TCP)泛洪攻击滥用。

其它网络滥用可能不试图影响服务，相反，出于其它不恰当的目的，可能会发出网络请求，包括应用级请求。在这些滥用中，自动化系统可能会发出应用请求，该应用请求例如设立假用户账户并且试图诱使用户移交机密信息，诸如，她的密码、信用卡信息或者社会保障号，或者运行其它骗局。可以注册域来支持这些滥用以及其它类型的网络滥用，包括：恶意软件、网络钓鱼或者垃圾邮件。

为了防止网络滥用，网络管理员可以将DNS解析器配置为阻塞或者重定向对被认为是恶意的域名的查找。例如，域名服务响应策略区(DNS RPZ)提供阻塞或者重定向指定域名查找的机制。

在这些网络滥用中，攻击者常常在注册之后立即使用他们的域名并且仅使用很短一段时间。相反，合法的网络服务可能不会在注册之后太快使用它们的域名并且会继续使用它们的域名很长一段时间。因此，可以将新观察到的域(NOD)，例如，在特定时段(例如，过去5分钟、1小时、12小时或者甚至24小时)内已经注册的域，识别为潜在恶意的。服务可用于向DNS解析器提供这些新观察到的域，以在该时段内阻塞域名查找。但是大规模地追踪新观察到的域可能需要很大的计算量。

需要更加有效地检测新观察到的域的系统和方法。

发明内容