恶意域名的溯源方法及装置制造方法及图纸

本申请实施例中公开了一种恶意域名的溯源方法及装置。该溯源方法在确定终端申请访问的URL的域名为恶意域名后，获取该恶意域名的DNS日志、NAT日志和远程认证拨号用户服务日志；基于确定的恶意域名以及上述三种日志，获取该恶意域名的网络级联信息，该网络级联信息包括恶意域名与公网IP地址的对应关系，公网IP地址与内网IP地址的对应关系和内网IP地址与终端标识的对应关系，该终端标识为申请访问恶意域名的终端的标识；之后根据网络级联信息，向终端发送告警指示信息。该方案能够溯源访问恶意域名的终端标识，触发终端主动对恶意域名进行过滤，提高了用户体验。

Tracing method and device of malicious domain name

【技术实现步骤摘要】
恶意域名的溯源方法及装置
本申请涉及网络信息安全领域，尤其涉及一种恶意域名的溯源方法及装置。
技术介绍
目前，恶意域名作为一种比较流行的网络攻击方法常用于仿冒其他标准网站，帮助病毒、木马更快地传播，窃取用户敏感信息，获取黑客攻击指令等，给用户正常使用网络带来了严重的影响。现有的恶意域名检测系统是需要基于数据挖掘和云分析，收集大量的域名请求，根据域名格式、长度和请求发起频率等行为方面的特征进行分析挖掘来标记恶意域名，并通过网络侧各类网络设备及安全设备，对恶意域名进行过滤(如预先屏蔽等)，使用户不能访问该恶意域名。然而，该恶意域名检测系统过滤恶意域名后，用户侧并不了解不能访问该域名的原因，即用户不知道访问的域名为恶意域名，导致用户体验较差。
技术实现思路
本申请实施例提供一种恶意域名的溯源方法及装置，该方案能够溯源访问恶意域名的终端，触发终端主动对恶意域名进行过滤，提高了用户体验。第一方面，提供了一种恶意域名的溯源方法，该方法可以包括：确定终端申请访问的统一资源定位符URL的域名为恶意域名；获取该恶意域名的系统日志，系统日志包括域名系统DNS日志、网络地址转换NAT日志和远程认证拨号用户服务Radius日志，DNS日志为记录域名与公网互联网协议IP地址间预设的对应关系，NAT日志为记录终端通过内网IP地址访问公网IP地址的第一访问信息，Radius日志为记录终端访问内网IP地址的第二访问信息；基于恶意域名、DNS日志、NAT日志和Radius日志，获取恶意域名的网络级联信息，该网络级联信息包括恶意域名与公网互联网协议IP地址的对应关系，第一访问信息中公网IP地址与内网IP地址的对应关系和第二访问信息中内网IP地址与终端标识的对应关系，该终端标识为申请访问恶意域名的终端的标识；查询网络级联信息，获取终端的终端标识。可见，通过恶意域名、以及实时采集的DNS日志、NAT日志、Radius日志的网络级联关系，逐级获取终端的会话路径，基于家庭网络恶意域名对访问的终端进行溯源，并触发终端主动对恶意域名进行过滤，提高用户体验。在一个可选的实现中，基于恶意域名、DNS日志、NAT日志和Radius日志，获取与恶意域名的网络级联信息，包括：基于DNS日志和恶意域名，获取恶意域名对应的公网IP地址；基于NAT日志和公网IP地址，获取公网IP地址对应的内网IP地址；基于Radius日志和内网IP地址，获取内网IP地址对应的该终端的终端标识。上述实施过程为服务器通过进行日志分析获取网络级联信息的具体实现过程，以实现溯源。在一个可选的实现中，该方法还包括：根据终端标识，向终端发送告警指示信息，以指示终端申请访问的URL的域名为恶意域名，并提示终端是否继续访问该URL。可见，该方案可以实现在访问恶意域名前对终端进行提醒告警，实现从源头上对恶意域名进行过滤。在一个可选的实现中，确定终端请访问的统一资源定位符URL的域名为恶意域名，包括：获取终端申请访问的URL的待检测域名；将待检测域名与预设恶意域名进行匹配；若匹配成功，则确定待检测域名为恶意域名。该方式为服务器确定恶意域名的一种方式。在一个可选的实现中，该方法还包括：对恶意域名进行存储，以便后续访问域名时使用。第二方面，提供了一种溯源装置，该装置包括：确定单元，获取单元和查询单元；确定单元，用于确定终端申请访问的统一资源定位符URL的域名为恶意域名；获取单元，用于获取该恶意域名的系统日志，系统日志包括域名系统DNS日志、网络地址转换NAT日志和远程认证拨号用户服务Radius日志，DNS日志为记录域名与公网互联网协议IP地址间预设的对应关系，NAT日志为记录终端通过内网IP地址访问公网IP地址的第一访问信息，Radius日志为记录终端访问内网IP地址的第二访问信息；基于恶意域名、DNS日志、NAT日志和Radius日志，获取恶意域名的网络级联信息，网络级联信息包括恶意域名与公网互联网协议IP地址的对应关系，第一访问信息中公网IP地址与内网IP地址的对应关系和第二访问信息中内网IP地址与终端标识的对应关系，终端标识为申请访问恶意域名的终端的标识；查询单元，用于查询网络级联信息，得到终端的终端标识。在一个可选的实现中，获取单元，具体用于：基于DNS日志和恶意域名，获取恶意域名对应的公网IP地址；基于NAT日志和公网IP地址，获取公网IP地址对应的内网IP地址；基于Radius日志和内网IP地址，获取内网IP地址对应的该终端的终端标识。在一个可选的实现中，该装置还包括发送单元；发送单元，用于根据终端标识，向终端发送告警指示信息，以指示终端申请访问的URL的域名为恶意域名，并提示终端是否继续访问URL。在一个可选的实现中，确定单元，具体用于：获取终端申请访问的URL的待检测域名；将待检测域名与预设恶意域名进行匹配；若匹配成功，则确定待检测域名为恶意域名。在一个可选的实现中，该装置还包括存储单元；存储单元，用于对恶意域名进行存储。第三方面，提供了一种电子设备，该电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行存储器上所存放的程序时，实现上述第一方面中任一所述的方法步骤。第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤。本专利技术实施例的技术方案在确定终端申请访问的统一资源定位符URL的域名为恶意域名后，获取采集的根据网络级联信息，向终端发送告警指示信息域名系统DNS日志、网络地址转换NAT日志和远程认证拨号用户服务Radius日志，DNS日志为记录域名与公网互联网协议IP地址间预设的映射关系，NAT日志为记录终端通过内网IP地址访问公网IP地址的第一访问信息，Radius日志为记录终端访问内网IP地址的第二访问信息；基于确定的恶意域名以及上述三种日志，获取该恶意域名的网络级联信息，该网络级联信息包括恶意域名与公网IP地址的对应关系，第一访问信息中公网IP地址与内网IP地址的对应关系和第二访问信息中内网IP地址与终端标识的对应关系，该终端标识为申请访问RUL的终端的标识；之后查询获取的网络级联信息，得到终端标识。该方案能够溯源访问恶意域名的终端标识，触发终端主动对恶意域名进行过滤，提高了用户体验。附图说明图1为本专利技术实施例提供的一种应用恶意域名的溯源方法的系统结构示意图；图2为本专利技术实施例提供的一种恶意域名的溯源方法的流程示意图；图3为本专利技术实施例提供的另一种恶意域名的溯源方法的流程示意图；图4为本专利技术实施例提供的一种溯源装置的结构示意图；图5为本专利技术实施例提供的一种电子设备的结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，并不是全部的实施例。基于本申请实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。本申请提供的恶意域名的溯源方法适用于在图1所示的系统架构中，该系统可以包括公网(或称外网)的网络服务器(下面简称服务器)和家庭网络下运行的终端。该本文档来自技高网...

【技术保护点】
1.一种恶意域名的溯源方法，其特征在于，所述方法包括：确定终端申请访问的统一资源定位符URL的域名为恶意域名；获取采集的与所述恶意域名的系统日志，所述系统日志包括域名系统DNS日志、网络地址转换NAT日志和远程认证拨号用户服务日志，所述DNS日志为记录终端通过公网互联网协议IP地址访问域名的映射关系，所述NAT日志为记录终端通过内网IP地址访问公网IP地址的第一访问信息，所述Radius日志为记录终端访问内网IP地址的第二访问信息；基于所述恶意域名、所述DNS日志、所述NAT日志和所述远程认证拨号用户服务日志，获取所述恶意域名的网络级联信息，所述网络级联信息包括恶意域名与公网IP地址的映射关系，所述第一访问信息中公网IP地址与内网IP地址的对应关系和所述第二访问信息中内网IP地址与终端标识的对应关系，所述终端标识为申请访问恶意域名的终端的标识；根据所述网络级联信息，向所述终端发送告警指示信息，以指示所述终端申请访问的URL的域名为恶意域名，并提示所述终端是否继续访问所述URL。

【技术特征摘要】
1.一种恶意域名的溯源方法，其特征在于，所述方法包括：确定终端申请访问的统一资源定位符URL的域名为恶意域名；获取采集的与所述恶意域名的系统日志，所述系统日志包括域名系统DNS日志、网络地址转换NAT日志和远程认证拨号用户服务日志，所述DNS日志为记录终端通过公网互联网协议IP地址访问域名的映射关系，所述NAT日志为记录终端通过内网IP地址访问公网IP地址的第一访问信息，所述Radius日志为记录终端访问内网IP地址的第二访问信息；基于所述恶意域名、所述DNS日志、所述NAT日志和所述远程认证拨号用户服务日志，获取所述恶意域名的网络级联信息，所述网络级联信息包括恶意域名与公网IP地址的映射关系，所述第一访问信息中公网IP地址与内网IP地址的对应关系和所述第二访问信息中内网IP地址与终端标识的对应关系，所述终端标识为申请访问恶意域名的终端的标识；根据所述网络级联信息，向所述终端发送告警指示信息，以指示所述终端申请访问的URL的域名为恶意域名，并提示所述终端是否继续访问所述URL。2.如权利要求1所述的方法，其特征在于，基于所述恶意域名、所述DNS日志、所述NAT日志和所述远程认证拨号用户服务日志，获取与所述恶意域名对应的网络级联信息，包括：基于所述DNS日志和所述恶意域名，获取所述恶意域名对应的公网IP地址；基于所述NAT日志和所述公网IP地址，获取所述公网IP地址对应的内网IP地址；基于所述远程认证拨号用户服务日志和所述内网IP地址，获取所述内网IP地址对应的所述终端的终端标识。3.如权利要求2所述的方法，其特征在于，根据所述网络级联信息，向所述终端发送告警指示信息，包括：根据所述网络级联信息中的所述终端标识，向所述终端发送告警指示信息。4.如权利要求1所述的方法，其特征在于，确定终端申请访问的统一资源定位符URL的域名为恶意域名，包括：获取所述终端申请访问的URL的待检测域名；将所述待检测域名与预设恶意域名进行匹配；若匹配成功，则确定所述待检测域名为恶意域名。5.如权利要求3所述的方法，其特征在于，所述方法还包括：对所述恶意域名进行存储。6.一种溯源装置，其特征在于，所述装置包括：确定单元，用于确定终端申请访问的统一资源定位符URL的域名为恶意域名；获取单元，用于...

【专利技术属性】
技术研发人员：吴君轶，
申请(专利权)人：中移杭州信息技术有限公司，中国移动通信集团有限公司，
类型：发明
国别省市：浙江,33