[发明专利]一种失陷主机确定方法、系统及相关装置

权利要求书

1.一种失陷主机确定方法，其特征在于，应用于防火墙，包括：

从外发数据包中提取得到目标域名；

判断所述目标域名是否为恶意域名；

若所述目标域名为恶意域名，则判断所述外发数据包的发出者是否为内部DNS服务器；其中，所述防火墙中预存有内部DNS服务器的身份信息；

若所述外发数据包的发出者为所述内部DNS服务器，则向所述内部DNS服务器发送追溯指令，以使所述内部DNS服务器根据保存的域名解析请求确定并返回请求解析所述目标域名的主机身份信息；

根据所述主机身份信息将对应的主机标记为失陷主机。

2.根据权利要求1所述的失陷主机确定方法，其特征在于，判断所述外发数据包的发出者是否为内部DNS服务器，包括：

从所述外发数据包中提取得到源IP；

判断预存的内部DNS服务器的IP是否与所述源IP一致；

若预存的内部DNS服务器的IP与所述源IP一致，则判定所述外发数据包的发出者为所述内部DNS服务器；

若预存的内部DNS服务器的IP与所述源IP不一致，则判定所述外发数据包的发出者不是所述内部DNS服务器。

3.根据权利要求1或2所述的失陷主机确定方法，其特征在于，在根据所述主机身份信息将对应的主机标记为失陷主机之后，还包括：

拦截所述失陷主机所有的外发数据包；

和/或，

向所述内部DNS服务器发送失陷主机屏蔽指令，以使所述内部DNS服务器根据所述失陷主机屏蔽指令不对所述失陷主机发来的任何域名解析请求进行处理。

4.一种失陷主机确定方法，其特征在于，应用于内部DNS服务器，包括：

接收并存储主机发来的域名解析请求；

若无法对所述域名解析请求对应的目标域名完成解析，则根据所述域名解析请求生成外发数据包，并将所述外发数据包发送至外部DNS服务器；其中，所述外发数据包在到达所述外部DNS服务器之前会首先通过防火墙，所述防火墙从外发数据包中提取得到目标域名，判断所述目标域名是否为恶意域名；若所述目标域名为恶意域名，则判断所述外发数据包的发出者是否为内部DNS服务器；其中，所述防火墙中预存有内部DNS服务器的身份信息；若所述外发数据包的发出者为所述内部DNS服务器，则向所述内部DNS服务器发送追溯指令；

接收所述防火墙发来的追溯指令；

根据保存的域名解析请求确定请求解析所述目标域名的主机身份信息，并向所述防火墙返回所述主机身份信息，以使所述防火墙根据所述主机身份信息将对应的主机标记为失陷主机。

5.根据权利要求4所述的失陷主机确定方法，其特征在于，还包括：

接收所述防火墙发来的失陷主机屏蔽指令；

根据所述失陷主机屏蔽指令不对所述失陷主机发来的任何域名解析请求进行处理。

6.根据权利要求4或5所述的失陷主机确定方法，其特征在于，存储主机发来的域名解析请求，包括：

将所述域名解析请求保存为包括一条竖链和多条横链的链表；其中，各目标域名按时间先后顺序从上到下依次排列在所述竖链上，每个所述目标域名的右侧/左侧均连接有一条所述横链，每条所述横链上按时间先后顺序从左到右/从右到左依次排列有对相应目标域名发起域名解析请求的主机身份信息；所述目标域名和所述主机身份信息均从所述域名解析请求中提取得到。

7.根据权利要求6所述的失陷主机确定方法，其特征在于，还包括：

清理每条所述横链中距上次出现超过第一预设时长的主机身份信息；

和/或，

清理所述竖链上距上次出现超过第二预设时长的目标域名。