一种基于DNS日志的网络钓鱼分析方法及装置制造方法及图纸

本发明专利技术提供了一种基于DNS日志的网络钓鱼分析方法及装置，涉及网络安全的技术领域，该方法包括：获取待分析日志数据，其中，待分析日志数据中包括域名解析日志，且域名的数量至少为一个；从待分析日志数据中查找目标解析日志，其中，目标解析日志为具备预设特征信息的解析日志，预设特征信息为钓鱼网站的域名解析日志所具有的信息；将与目标解析日志的域名相对应的网站确定为钓鱼网站。本发明专利技术缓解了传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题。

Phishing analysis method and device based on DNS log

The present invention provides a method and device for analysis of DNS log on phishing, and relates to the technical field of network security, the method includes: acquiring log data to be analyzed, among them, to analyze log data including DNS log, and the number of domain names at least one; from which to be analyzed to find the target analysis log. Log data, log log analysis with analytic target default feature information, default feature information has to log domain phishing sites of information; will parse the log domain and target corresponding to the site identified as phishing sites. The invention alleviates the technical problem that the traditional website phishing analysis method has poor recognition accuracy to phishing sites.

【技术实现步骤摘要】
一种基于DNS日志的网络钓鱼分析方法及装置
本专利技术涉及网络安全的
，尤其是涉及一种基于DNS日志的网络钓鱼分析方法及装置。
技术介绍
网络钓鱼，是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息(如用户名、口令、帐号或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计的与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息。网络钓鱼事件常有发生，对在线交易系统、金融平台等造成极其严重的危害。然而，网络钓鱼具有传播途径隐蔽性高，网站页面伪装性强，且站点存活周期短的特点。目前，单纯依靠网民进行网站钓鱼分析的方法，具有对钓鱼网站识别准确性较差的技术问题。针对传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题，目前缺乏有效的解决方案。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种基于DNS日志的网络钓鱼分析方法及装置，以缓解传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题。第一方面，本专利技术实施例提供了一种基于DNS日志的网络钓鱼分析方法，包括：获取待分析日志数据，其中，所述待分析日志数据中包括域名的解析日志，且所述域名的数量至少为一个；从所述待分析日志数据中查找目标解析日志，其中，所述目标解析日志为具备预设特征信息的解析日志，所述预设特征信息为钓鱼网站的域名解析日志所具有的信息；将与所述目标解析日志的域名相对应的网站确定为钓鱼网站。结合第一方面，本专利技术实施例提供了第一方面的第一种可能的实施方式，其中，从所述待分析日志数据中查找目标解析日志，包括：对所述待分析日志数据进行预处理，得到预处理数据，其中，所述预处理为通过预设合法域名对所述待分析日志数据进行的筛选处理；从所述预处理数据中提取当前解析日志，其中，所述当前解析日志为当前待分析域名的解析日志；基于所述预设特征信息，从预设种类中确认所述当前解析日志的钓鱼属性，得到确认结果，其中，所述预设种类包括：否定、待定和肯定；在所述确认结果为所述钓鱼属性为肯定的情况下，将所述当前解析日志确定为所述目标解析日志。结合第一方面的第一种可能的实施方式，本专利技术实施例提供了第一方面的第二种可能的实施方式，其中，对所述待分析日志数据进行预处理，得到预处理数据，包括：从所述待分析日志数据中查找第一域名，其中，所述第一域名为非一级域名；将所述第一域名的解析日志从所述待分析日志数据中删除，得到所述预处理数据。结合第一方面的第一种可能的实施方式，本专利技术实施例提供了第一方面的第三种可能的实施方式，其中，对所述待分析日志数据进行预处理，得到预处理数据，包括：获取预设白名单，所述预设白名单中包括非钓鱼网站域名；从所述待分析日志数据中查找第二域名，其中，所述第二域名为在所述预设白名单中包括的域名；将所述第二域名的解析日志从所述待分析日志数据中删除，得到所述预处理数据。结合第一方面的第一种可能的实施方式，本专利技术实施例提供了第一方面的第四种可能的实施方式，其中，基于所述预设特征信息，从预设种类中确认所述当前解析日志的钓鱼属性，包括：基于第一预设特征信息，从所述预设种类中确认所述当前解析日志的钓鱼属性，得到中间确认结果，其中，所述第一预设特征信息至少包括以下之一：域名解析总量特征信息、域名对应IP地址特征信息、域名存续时长特征信息；在所述中间确认结果为所述钓鱼属性为肯定的情况下，基于第二预设特征信息，从所述预设种类中确认所述当前解析日志的钓鱼属性，得到所述确认结果，其中，所述第二预设特征信息至少包括以下之一：域名相似性特征信息、域名正确性特征信息、内容相似性特征信息。结合第一方面的第四种可能的实施方式，本专利技术实施例提供了第一方面的第五种可能的实施方式，其中，基于第一预设特征信息，从所述预设种类中确认所述当前解析日志的钓鱼属性，得到中间确认结果，包括：从所述当前解析日志中提取目标解析总量、目标域名对应IP地址和目标域名存续时长；根据所述域名解析总量特征信息，对所述目标解析总量进行评分，得到第一分值；根据所述域名对应IP地址特征信息，对所述目标域名对应IP地址进行评分，得到第二分值；根据所述域名存续时长特征信息，对所述目标域名存续时长进行评分，得到第三分值；计算所述第一分值、所述第二分值和所述第三分值的加权平均值；根据所述加权平均值，得到所述中间确认结果。结合第一方面的第四种可能的实施方式，本专利技术实施例提供了第一方面的第六种可能的实施方式，其中，基于第二预设特征信息，从所述预设种类中确认所述当前解析日志的钓鱼属性，得到所述确认结果，包括：从所述当前解析日志中提取目标名称和目标内容，其中，所述目标名称为所述当前待分析域名的名称，所述目标内容为所述当前待分析域名的网站内容；获取预设网站，将所述目标名称和所述预设网站的域名名称进行比对，和/或，将所述目标内容与所述预设网站的网站内容进行比对，得到比对结果，其中，所述预设网站为防止受到钓鱼侵害的网站；根据所述比对结果，得到所述确认结果。第二方面，本专利技术实施例还提供了一种基于DNS日志的网络钓鱼分析装置，包括：获取模块，用于获取待分析日志数据，其中，所述待分析日志数据中包括域名的解析日志，且所述域名的数量至少为一个；查找模块，用于从所述待分析日志数据中查找目标解析日志，其中，所述目标解析日志为具备预设特征信息的解析日志，所述预设特征信息为钓鱼网站的域名解析日志所具有的信息；确定模块，用于将与所述目标解析日志的域名相对应的网站确定为钓鱼网站。本专利技术实施例带来了以下有益效果：该基于DNS日志的网络钓鱼分析方法，首先获取待分析日志数据，然后从待分析日志数据中查找目标解析日志，并将与目标解析日志的域名相对应的网站确定为钓鱼网站，其中，目标解析日志为具备预设特征信息的解析日志，预设特征信息为钓鱼网站的域名解析日志所具有的信息。虽然，网络钓鱼具有传播途径隐蔽性高，网站页面伪装性强，且站点存活周期短的特点，但钓鱼网站存活期间，域名缓冲服务器中都会存录有域名解析日志，且钓鱼网站的域名解析日志都具有共有的特征，将这些共有特征提前归纳总结得到预设特征信息，基于预设特征信息即可从域名缓冲服务器存录的待分析日志数据中查找目标解析日志，从而实现了识别钓鱼网站的目的，缓解了传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题。本专利技术的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例一提供的一种基于DNS日志的网络钓鱼分析方法的流程图；图2为本专利技术实施例一提供的一种基于第一预设特征信息，从预设种类中确认当前解析日志的钓鱼属性的方法流程图；图3为本专利技术实施例本文档来自技高网...

【技术保护点】
一种基于DNS日志的网络钓鱼分析方法，其特征在于，包括：获取待分析日志数据，其中，所述待分析日志数据中包括域名的解析日志，且所述域名的数量至少为一个；从所述待分析日志数据中查找目标解析日志，其中，所述目标解析日志为具备预设特征信息的解析日志，所述预设特征信息为钓鱼网站的域名解析日志所具有的信息；将与所述目标解析日志的域名相对应的网站确定为钓鱼网站。

【技术特征摘要】
1.一种基于DNS日志的网络钓鱼分析方法，其特征在于，包括：获取待分析日志数据，其中，所述待分析日志数据中包括域名的解析日志，且所述域名的数量至少为一个；从所述待分析日志数据中查找目标解析日志，其中，所述目标解析日志为具备预设特征信息的解析日志，所述预设特征信息为钓鱼网站的域名解析日志所具有的信息；将与所述目标解析日志的域名相对应的网站确定为钓鱼网站。2.根据权利要求1所述的方法，其特征在于，从所述待分析日志数据中查找目标解析日志，包括：对所述待分析日志数据进行预处理，得到预处理数据，其中，所述预处理为通过预设合法域名对所述待分析日志数据进行的筛选处理；从所述预处理数据中提取当前解析日志，其中，所述当前解析日志为当前待分析域名的解析日志；基于所述预设特征信息，从预设种类中确认所述当前解析日志的钓鱼属性，得到确认结果，其中，所述预设种类包括：否定、待定和肯定；在所述确认结果为所述钓鱼属性为肯定的情况下，将所述当前解析日志确定为所述目标解析日志。3.根据权利要求2所述的方法，其特征在于，对所述待分析日志数据进行预处理，得到预处理数据，包括：从所述待分析日志数据中查找第一域名，其中，所述第一域名为非一级域名；将所述第一域名的解析日志从所述待分析日志数据中删除，得到所述预处理数据。4.根据权利要求2所述的方法，其特征在于，对所述待分析日志数据进行预处理，得到预处理数据，包括：获取预设白名单，所述预设白名单中包括非钓鱼网站域名；从所述待分析日志数据中查找第二域名，其中，所述第二域名为在所述预设白名单中包括的域名；将所述第二域名的解析日志从所述待分析日志数据中删除，得到所述预处理数据。5.根据权利要求2所述的方法，其特征在于，基于所述预设特征信息，从预设种类中确认所述当前解析日志的钓鱼属性，包括：基于第一预设特征信息，从所述预设种类中确认所述当前解析日志的钓鱼属性，得到中间确认结果，其中，所述第一预设特征信息至少包括以下之一：域名解析总量特征信息、域名对应IP地址特征信息、域名存续时长特征信息；在所述中间确认结果为所述钓鱼属性为肯定的情况下，基于第二预设特征信息，从所述预设种类中确认所述当前解析日志的钓鱼属性，得到所述确认结果，其中，所述第二预设特征信息至少包括以下之一：域名相似性特征信息、域名正确性特征信息、内容相似性特征信息。6.根据权利要求5所述的方法，其特征在于，基于第一预设特征信息，从所述预设种类中确认所述当前解析日志的...

【专利技术属性】
技术研发人员：蒋海峰，范渊，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33