【技术实现步骤摘要】
恶意域名的溯源方法及装置
本申请涉及网络信息安全领域,尤其涉及一种恶意域名的溯源方法及装置。
技术介绍
目前,恶意域名作为一种比较流行的网络攻击方法常用于仿冒其他标准网站,帮助病毒、木马更快地传播,窃取用户敏感信息,获取黑客攻击指令等,给用户正常使用网络带来了严重的影响。现有的恶意域名检测系统是需要基于数据挖掘和云分析,收集大量的域名请求,根据域名格式、长度和请求发起频率等行为方面的特征进行分析挖掘来标记恶意域名,并通过网络侧各类网络设备及安全设备,对恶意域名进行过滤(如预先屏蔽等),使用户不能访问该恶意域名。然而,该恶意域名检测系统过滤恶意域名后,用户侧并不了解不能访问该域名的原因,即用户不知道访问的域名为恶意域名,导致用户体验较差。
技术实现思路
本申请实施例提供一种恶意域名的溯源方法及装置,该方案能够溯源访问恶意域名的终端,触发终端主动对恶意域名进行过滤,提高了用户体验。第一方面,提供了一种恶意域名的溯源方法,该方法可以包括:确定终端申请访问的统一资源定位符URL的域名为恶意域名;获取该恶意域名的系统日志,系统日志包括域名系统DNS日志、网络地址转换NAT日志和远程认证拨号用户服务Radius日志,DNS日志为记录域名与公网互联网协议IP地址间预设的对应关系,NAT日志为记录终端通过内网IP地址访问公网IP地址的第一访问信息,Radius日志为记录终端访问内网IP地址的第二访问信息;基于恶意域名、DNS日志、NAT日志和Radius日志,获取恶意域名的网络级联信息,该网络级联信息包括恶意域名与公网互联网协议IP地址的对应关系,第一访问信息中公网IP地址与 ...
【技术保护点】
1.一种恶意域名的溯源方法,其特征在于,所述方法包括:确定终端申请访问的统一资源定位符URL的域名为恶意域名;获取采集的与所述恶意域名的系统日志,所述系统日志包括域名系统DNS日志、网络地址转换NAT日志和远程认证拨号用户服务日志,所述DNS日志为记录终端通过公网互联网协议IP地址访问域名的映射关系,所述NAT日志为记录终端通过内网IP地址访问公网IP地址的第一访问信息,所述Radius日志为记录终端访问内网IP地址的第二访问信息;基于所述恶意域名、所述DNS日志、所述NAT日志和所述远程认证拨号用户服务日志,获取所述恶意域名的网络级联信息,所述网络级联信息包括恶意域名与公网IP地址的映射关系,所述第一访问信息中公网IP地址与内网IP地址的对应关系和所述第二访问信息中内网IP地址与终端标识的对应关系,所述终端标识为申请访问恶意域名的终端的标识;根据所述网络级联信息,向所述终端发送告警指示信息,以指示所述终端申请访问的URL的域名为恶意域名,并提示所述终端是否继续访问所述URL。
【技术特征摘要】
1.一种恶意域名的溯源方法,其特征在于,所述方法包括:确定终端申请访问的统一资源定位符URL的域名为恶意域名;获取采集的与所述恶意域名的系统日志,所述系统日志包括域名系统DNS日志、网络地址转换NAT日志和远程认证拨号用户服务日志,所述DNS日志为记录终端通过公网互联网协议IP地址访问域名的映射关系,所述NAT日志为记录终端通过内网IP地址访问公网IP地址的第一访问信息,所述Radius日志为记录终端访问内网IP地址的第二访问信息;基于所述恶意域名、所述DNS日志、所述NAT日志和所述远程认证拨号用户服务日志,获取所述恶意域名的网络级联信息,所述网络级联信息包括恶意域名与公网IP地址的映射关系,所述第一访问信息中公网IP地址与内网IP地址的对应关系和所述第二访问信息中内网IP地址与终端标识的对应关系,所述终端标识为申请访问恶意域名的终端的标识;根据所述网络级联信息,向所述终端发送告警指示信息,以指示所述终端申请访问的URL的域名为恶意域名,并提示所述终端是否继续访问所述URL。2.如权利要求1所述的方法,其特征在于,基于所述恶意域名、所述DNS日志、所述NAT日志和所述远程认证拨号用户服务日志,获取与所述恶意域名对应的网络级联信息,包括:基于所述DNS日志和所述恶意域名,获取所述恶意域名对应的公网IP地址;基于所述NAT日志和所述公网IP地址,获取所述公网IP地址对应的内网IP地址;基于所述远程认证拨号用户服务日志和所述内网IP地址,获取所述内网IP地址对应的所述终端的终端标识。3.如权利要求2所述的方法,其特征在于,根据所述网络级联信息,向所述终端发送告警指示信息,包括:根据所述网络级联信息中的所述终端标识,向所述终端发送告警指示信息。4.如权利要求1所述的方法,其特征在于,确定终端申请访问的统一资源定位符URL的域名为恶意域名,包括:获取所述终端申请访问的URL的待检测域名;将所述待检测域名与预设恶意域名进行匹配;若匹配成功,则确定所述待检测域名为恶意域名。5.如权利要求3所述的方法,其特征在于,所述方法还包括:对所述恶意域名进行存储。6.一种溯源装置,其特征在于,所述装置包括:确定单元,用于确定终端申请访问的统一资源定位符URL的域名为恶意域名;获取单元,用于...
【专利技术属性】
技术研发人员:吴君轶,
申请(专利权)人:中移杭州信息技术有限公司,中国移动通信集团有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。