The present invention provides a method and device for analysis of DNS log on phishing, and relates to the technical field of network security, the method includes: acquiring log data to be analyzed, among them, to analyze log data including DNS log, and the number of domain names at least one; from which to be analyzed to find the target analysis log. Log data, log log analysis with analytic target default feature information, default feature information has to log domain phishing sites of information; will parse the log domain and target corresponding to the site identified as phishing sites. The invention alleviates the technical problem that the traditional website phishing analysis method has poor recognition accuracy to phishing sites.
【技术实现步骤摘要】
一种基于DNS日志的网络钓鱼分析方法及装置
本专利技术涉及网络安全的
,尤其是涉及一种基于DNS日志的网络钓鱼分析方法及装置。
技术介绍
网络钓鱼,是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计的与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息。网络钓鱼事件常有发生,对在线交易系统、金融平台等造成极其严重的危害。然而,网络钓鱼具有传播途径隐蔽性高,网站页面伪装性强,且站点存活周期短的特点。目前,单纯依靠网民进行网站钓鱼分析的方法,具有对钓鱼网站识别准确性较差的技术问题。针对传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题,目前缺乏有效的解决方案。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种基于DNS日志的网络钓鱼分析方法及装置,以缓解传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题。第一方面,本专利技术实施例提供了一种基于DNS日志的网络钓鱼分析方法,包括:获取待分析日志数据,其中,所述待分析日志数据中包括域名的解析日志,且所述域名的数量至少为一个;从所述待分析日志数据中查找目标解析日志,其中,所述目标解析日志为具备预设特征信息的解析日志,所述预设特征信息为钓鱼网站的域名解析日志所具有的信息;将与所述目标解析日志的域名相对应的网站确定为钓鱼网站。结合第一方面,本专利技术实施例提供了第一方面的第一种可能的实施方式,其中,从所述待分析日志数据中查找目标解析日志 ...
【技术保护点】
一种基于DNS日志的网络钓鱼分析方法,其特征在于,包括:获取待分析日志数据,其中,所述待分析日志数据中包括域名的解析日志,且所述域名的数量至少为一个;从所述待分析日志数据中查找目标解析日志,其中,所述目标解析日志为具备预设特征信息的解析日志,所述预设特征信息为钓鱼网站的域名解析日志所具有的信息;将与所述目标解析日志的域名相对应的网站确定为钓鱼网站。
【技术特征摘要】
1.一种基于DNS日志的网络钓鱼分析方法,其特征在于,包括:获取待分析日志数据,其中,所述待分析日志数据中包括域名的解析日志,且所述域名的数量至少为一个;从所述待分析日志数据中查找目标解析日志,其中,所述目标解析日志为具备预设特征信息的解析日志,所述预设特征信息为钓鱼网站的域名解析日志所具有的信息;将与所述目标解析日志的域名相对应的网站确定为钓鱼网站。2.根据权利要求1所述的方法,其特征在于,从所述待分析日志数据中查找目标解析日志,包括:对所述待分析日志数据进行预处理,得到预处理数据,其中,所述预处理为通过预设合法域名对所述待分析日志数据进行的筛选处理;从所述预处理数据中提取当前解析日志,其中,所述当前解析日志为当前待分析域名的解析日志;基于所述预设特征信息,从预设种类中确认所述当前解析日志的钓鱼属性,得到确认结果,其中,所述预设种类包括:否定、待定和肯定;在所述确认结果为所述钓鱼属性为肯定的情况下,将所述当前解析日志确定为所述目标解析日志。3.根据权利要求2所述的方法,其特征在于,对所述待分析日志数据进行预处理,得到预处理数据,包括:从所述待分析日志数据中查找第一域名,其中,所述第一域名为非一级域名;将所述第一域名的解析日志从所述待分析日志数据中删除,得到所述预处理数据。4.根据权利要求2所述的方法,其特征在于,对所述待分析日志数据进行预处理,得到预处理数据,包括:获取预设白名单,所述预设白名单中包括非钓鱼网站域名;从所述待分析日志数据中查找第二域名,其中,所述第二域名为在所述预设白名单中包括的域名;将所述第二域名的解析日志从所述待分析日志数据中删除,得到所述预处理数据。5.根据权利要求2所述的方法,其特征在于,基于所述预设特征信息,从预设种类中确认所述当前解析日志的钓鱼属性,包括:基于第一预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到中间确认结果,其中,所述第一预设特征信息至少包括以下之一:域名解析总量特征信息、域名对应IP地址特征信息、域名存续时长特征信息;在所述中间确认结果为所述钓鱼属性为肯定的情况下,基于第二预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到所述确认结果,其中,所述第二预设特征信息至少包括以下之一:域名相似性特征信息、域名正确性特征信息、内容相似性特征信息。6.根据权利要求5所述的方法,其特征在于,基于第一预设特征信息,从所述预设种类中确认所述当前解析日志的...
【专利技术属性】
技术研发人员:蒋海峰,范渊,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。