CN107360197B - 一种基于dns日志的网络钓鱼分析方法及装置 - Google Patents
一种基于dns日志的网络钓鱼分析方法及装置 Download PDFInfo
- Publication number
- CN107360197B CN107360197B CN201710809522.XA CN201710809522A CN107360197B CN 107360197 B CN107360197 B CN 107360197B CN 201710809522 A CN201710809522 A CN 201710809522A CN 107360197 B CN107360197 B CN 107360197B
- Authority
- CN
- China
- Prior art keywords
- domain name
- log
- preset
- phishing
- analyzed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种基于DNS日志的网络钓鱼分析方法及装置,涉及网络安全的技术领域,该方法包括:获取待分析日志数据,其中,待分析日志数据中包括域名解析日志,且域名的数量至少为一个;从待分析日志数据中查找目标解析日志,其中,目标解析日志为具备预设特征信息的解析日志,预设特征信息为钓鱼网站的域名解析日志所具有的信息;将与目标解析日志的域名相对应的网站确定为钓鱼网站。本发明缓解了传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题。
Description
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种基于DNS日志的网络钓鱼分析方法及装置。
背景技术
网络钓鱼,是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计的与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息。
网络钓鱼事件常有发生,对在线交易系统、金融平台等造成极其严重的危害。然而,网络钓鱼具有传播途径隐蔽性高,网站页面伪装性强,且站点存活周期短的特点。目前,单纯依靠网民进行网站钓鱼分析的方法,具有对钓鱼网站识别准确性较差的技术问题。
针对传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题,目前缺乏有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种基于DNS日志的网络钓鱼分析方法及装置,以缓解传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题。
第一方面,本发明实施例提供了一种基于DNS日志的网络钓鱼分析方法,包括:
获取待分析日志数据,其中,所述待分析日志数据中包括域名的解析日志,且所述域名的数量至少为一个;
从所述待分析日志数据中查找目标解析日志,其中,所述目标解析日志为具备预设特征信息的解析日志,所述预设特征信息为钓鱼网站的域名解析日志所具有的信息;
将与所述目标解析日志的域名相对应的网站确定为钓鱼网站。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,从所述待分析日志数据中查找目标解析日志,包括:
对所述待分析日志数据进行预处理,得到预处理数据,其中,所述预处理为通过预设合法域名对所述待分析日志数据进行的筛选处理;
从所述预处理数据中提取当前解析日志,其中,所述当前解析日志为当前待分析域名的解析日志;
基于所述预设特征信息,从预设种类中确认所述当前解析日志的钓鱼属性,得到确认结果,其中,所述预设种类包括:否定、待定和肯定;
在所述确认结果为所述钓鱼属性为肯定的情况下,将所述当前解析日志确定为所述目标解析日志。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第二种可能的实施方式,其中,对所述待分析日志数据进行预处理,得到预处理数据,包括:
从所述待分析日志数据中查找第一域名,其中,所述第一域名为非一级域名;
将所述第一域名的解析日志从所述待分析日志数据中删除,得到所述预处理数据。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第三种可能的实施方式,其中,对所述待分析日志数据进行预处理,得到预处理数据,包括:
获取预设白名单,所述预设白名单中包括非钓鱼网站域名;
从所述待分析日志数据中查找第二域名,其中,所述第二域名为在所述预设白名单中包括的域名;
将所述第二域名的解析日志从所述待分析日志数据中删除,得到所述预处理数据。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第四种可能的实施方式,其中,基于所述预设特征信息,从预设种类中确认所述当前解析日志的钓鱼属性,包括:
基于第一预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到中间确认结果,其中,所述第一预设特征信息至少包括以下之一:域名解析总量特征信息、域名对应IP地址特征信息、域名存续时长特征信息;
在所述中间确认结果为所述钓鱼属性为肯定的情况下,基于第二预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到所述确认结果,其中,所述第二预设特征信息至少包括以下之一:域名相似性特征信息、域名正确性特征信息、内容相似性特征信息。
结合第一方面的第四种可能的实施方式,本发明实施例提供了第一方面的第五种可能的实施方式,其中,基于第一预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到中间确认结果,包括:
从所述当前解析日志中提取目标解析总量、目标域名对应IP地址和目标域名存续时长;
根据所述域名解析总量特征信息,对所述目标解析总量进行评分,得到第一分值;
根据所述域名对应IP地址特征信息,对所述目标域名对应IP地址进行评分,得到第二分值;
根据所述域名存续时长特征信息,对所述目标域名存续时长进行评分,得到第三分值;
计算所述第一分值、所述第二分值和所述第三分值的加权平均值;
根据所述加权平均值,得到所述中间确认结果。
结合第一方面的第四种可能的实施方式,本发明实施例提供了第一方面的第六种可能的实施方式,其中,基于第二预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到所述确认结果,包括:
从所述当前解析日志中提取目标名称和目标内容,其中,所述目标名称为所述当前待分析域名的名称,所述目标内容为所述当前待分析域名的网站内容;
获取预设网站,将所述目标名称和所述预设网站的域名名称进行比对,和/或,将所述目标内容与所述预设网站的网站内容进行比对,得到比对结果,其中,所述预设网站为防止受到钓鱼侵害的网站;
根据所述比对结果,得到所述确认结果。
第二方面,本发明实施例还提供了一种基于DNS日志的网络钓鱼分析装置,包括:
获取模块,用于获取待分析日志数据,其中,所述待分析日志数据中包括域名的解析日志,且所述域名的数量至少为一个;
查找模块,用于从所述待分析日志数据中查找目标解析日志,其中,所述目标解析日志为具备预设特征信息的解析日志,所述预设特征信息为钓鱼网站的域名解析日志所具有的信息;
确定模块,用于将与所述目标解析日志的域名相对应的网站确定为钓鱼网站。
本发明实施例带来了以下有益效果:
该基于DNS日志的网络钓鱼分析方法,首先获取待分析日志数据,然后从待分析日志数据中查找目标解析日志,并将与目标解析日志的域名相对应的网站确定为钓鱼网站,其中,目标解析日志为具备预设特征信息的解析日志,预设特征信息为钓鱼网站的域名解析日志所具有的信息。
虽然,网络钓鱼具有传播途径隐蔽性高,网站页面伪装性强,且站点存活周期短的特点,但钓鱼网站存活期间,域名缓冲服务器中都会存录有域名解析日志,且钓鱼网站的域名解析日志都具有共有的特征,将这些共有特征提前归纳总结得到预设特征信息,基于预设特征信息即可从域名缓冲服务器存录的待分析日志数据中查找目标解析日志,从而实现了识别钓鱼网站的目的,缓解了传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种基于DNS日志的网络钓鱼分析方法的流程图;
图2为本发明实施例一提供的一种基于第一预设特征信息,从预设种类中确认当前解析日志的钓鱼属性的方法流程图;
图3为本发明实施例一提供的一种基于第二预设特征信息,从预设种类中确认当前解析日志的钓鱼属性的方法流程图;
图4为本发明实施例二提供的一种基于DNS日志的网络钓鱼分析装置的示意图。
图标:100-获取模块;200-查找模块;300-确定模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前网站钓鱼事件常有发生,由于网络钓鱼具有传播途径隐蔽性高,网站页面伪装性强,且站点存活周期短的特点,传统的网站钓鱼分析方法很难准确发现钓鱼网站。基于此,本发明实施例提供的一种基于DNS日志的网络钓鱼分析方法及装置,可以缓解传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题。
实施例一
本发明实施例提供的一种基于DNS日志的网络钓鱼分析方法,如图1所示,包括:
步骤S102,获取待分析日志数据,其中,待分析日志数据中包括域名的解析日志,且域名的数量至少为一个;
步骤S104,从待分析日志数据中查找目标解析日志,其中,目标解析日志为具备预设特征信息的解析日志,预设特征信息为钓鱼网站的域名解析日志所具有的信息;
步骤S106,将与目标解析日志的域名相对应的网站确定为钓鱼网站。
在本发明实施例中,从待分析日志数据中查找目标解析日志,待分析日志数据中包括域名解析日志,目标解析日志为具备预设特征信息的解析日志,预设特征信息为钓鱼网站的域名解析日志所具有的信息。
虽然,网络钓鱼具有传播途径隐蔽性高,网站页面伪装性强,且站点存活周期短的特点,但钓鱼网站存活期间,域名缓冲服务器中都会存录有域名解析日志,且钓鱼网站的域名解析日志都具有共有的特征,将这些共有特征提前归纳总结得到预设特征信息,基于预设特征信息即可从域名缓冲服务器存录的待分析日志数据中查找目标解析日志,从而实现了识别钓鱼网站的目的,缓解了传统的网站钓鱼分析方法对钓鱼网站识别准确性较差的技术问题。
需要说明的是,区域性运营商的DNS缓存服务器中会缓冲多个域名的解析日志,因而,获取待分析日志数据,可以获取区域性运营商发送的待分析日志数据。具体地,根据网络钓鱼分析需求,可以是获取DNS缓存服务器在某一时间段内缓冲的解析日志。
本发明实施例的一个可选实施方式中,从待分析日志数据中查找目标解析日志,包括:
对待分析日志数据进行预处理,得到预处理数据,其中,预处理为通过预设合法域名对待分析日志数据进行的筛选处理。
具体地,预设合法域名包括在对待分析日志数据进行网络钓鱼分析之前已确定的合法域名。此外,通过预设合法域名对待分析日志数据进行的筛选处理,即,将从待分析日志数据中删除预设合法域名的解析日志。
从预处理数据中提取当前解析日志,其中,当前解析日志为当前待分析域名的解析日志。
基于预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到确认结果,其中,预设种类包括:否定、待定和肯定。
具体地,预设种类为否定,即,确认出了当前解析日志的域名不是钓鱼网站的域名;预设种类为待定,即,关于当前解析日志的域名是否为钓鱼网站的域名,需要进一步分析才可以确定;预设种类为肯定,即,确认出了当前解析日志的域名是钓鱼网站的域名。
在确认结果为钓鱼属性为肯定的情况下,将当前解析日志确定为目标解析日志。
本发明实施例的另一个可选实施方式中,对待分析日志数据进行预处理,得到预处理数据,包括:
从待分析日志数据中查找第一域名,其中,第一域名为非一级域名;
将第一域名的解析日志从待分析日志数据中删除,得到预处理数据。
具体地,第一域名为非一级域名,即第一域名为二级域名或二级以上的域名。
需要说明的是,这里关于一级域名的定义,如下:一级域名中只含有一个“.”,且“.”左边要有内容字段,例如“360.cn”。
本发明实施例是鉴于钓鱼页面多出现在一级域名,故可以直接删除非一级域名的解析日志,从而缩小了基于预设特征信息查找目标解析日志的数据范围,由于基于预设特征信息查找目标解析日志步骤较为繁琐和费时,从而加快了对待分析日志数据进行网络钓鱼分析的速度。
本发明实施例的另一个可选实施方式中,对待分析日志数据进行预处理,得到预处理数据,包括:
获取预设白名单,预设白名单中包括非钓鱼网站域名;
从待分析日志数据中查找第二域名,其中,第二域名为在预设白名单中包括的域名;
将第二域名的解析日志从待分析日志数据中删除,得到预处理数据。
具体地,预设白名单包括非钓鱼网站域名,例如,已确定的金融行业的真实域名。可以结合长时间的大数据分析来确定非钓鱼网站域名,并将确定出来的非钓鱼网站域名存储在预设白名单。
本发明实施例中,通过将第二域名的解析日志从待分析日志数据中删除,缩小了基于预设特征信息查找目标解析日志的数据范围,同样加快了对待分析日志数据进行网络钓鱼分析的速度。
需要说明的是,本发明实施例的上述两个实施方式中分别给出对待分析日志数据进行预处理,得到预处理数据的两种不同方法。在本发明实施例的另一个可选实施方式中,可以采用第一预处理方法对待分析日志数据进行第一预处理,得到中间处理数据;然后,采用第二预处理方法对中间处理数据进行第二预处理,得到预处理数据,其中,第一预处理方法和第二预处理方法分别为上述对待分析日志数据进行预处理,得到预处理数据的两种不同方法中的一种,且第一预处理方法和第二预处理方法为不同的方法。
本发明实施例的另一个可选实施方式中,基于预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,包括:
基于第一预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到中间确认结果,其中,第一预设特征信息至少包括以下之一:域名解析总量特征信息、域名对应IP地址特征信息、域名存续时长特征信息;
在中间确认结果为钓鱼属性为肯定的情况下,基于第二预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到确认结果,其中,第二预设特征信息至少包括以下之一:域名相似性特征信息、域名正确性特征信息、内容相似性特征信息。
下面对第一预设特征信息和第二预设特征信息中的各个特征信息进行如下解释:
(1)域名解析总量特征信息,是指:一个区域(例如一个省)的所有域名的解析日志中,钓鱼网站的域名解析请求属于低概率性请求,即,钓鱼网站的域名解析总量相对较少。
其中,一个域名的解析总量,指该域名在一预设时间段内的解析请求总量。
(2)域名对应IP地址特征信息,是指:钓鱼网站的域名对应的IP地址多分布在境外。
(3)域名存续时长特征信息,是指:钓鱼网站的域名可被正常访问的持续时长较短,例如,钓鱼网站域名每次可被正常访问的持续时长一般小于一周,而合法域名的可被正常访问的持续时长会在30天以上。此外,钓鱼网站域名的相邻两次可被正常访问的间隔时长比一般的正常中断要长,这里正常中断指合法网站中发生的因故障而出现的域名短时间内不可被访问的情况。
(4)域名相似性特征信息,是指:钓鱼网站的域名多与真实域名存在较高的相似性,让人们难以直观区分,可能是只有个别字符的差别,例如,字母z和数字2,字母o和数字0,字母l(大写字母L对应的小写字母)和数字1;
(5)域名正确性特征信息,是指:钓鱼网站为了仿冒合法网站域名形态,一般不会有正确的语言语法特征,例如,域名中包含的英文单词出现错误,或域名中包含的中文拼音出现错误。
其中,域名形态,是指域名结构、拼写内容等组合而成的架构形态。
(6)内容相似性特征信息,是指:钓鱼网站的网页内容与要仿冒的合法网站的网页内容具有极高的相似性。
本发明实施例的另一个可选实施方式中给出了第一预设特征信息包括域名解析总量特征信息、域名对应IP地址特征信息、域名存续时长特征信息的情况下,基于第一预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到中间确认结果的实施方式。
首先需要说明的是,本发明实施例中,待分析日志数据是DNS缓存服务器在某一时间段内缓冲的解析日志,下面以待分析日志数据是DNS缓存服务器在一周内内缓冲的解析日志为例进行说明。但需要强调的是,这里只是为了便于理解进行举例,并不是限定待分析日志数据必须是DNS缓存服务器在一周内缓冲的解析日志。
具体地,如图2所示,基于第一预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到中间确认结果,包括:
步骤S201,从当前解析日志中提取目标解析总量、目标域名对应IP地址和目标域名存续时长。
其中,目标解析总量,指:当前待分析域名的历史解析请求总量和当天解析请求总量之和,当天为DNS缓存服务器缓冲待分析日志距当前时刻最近的一天,历史指当天以前的时间段。
目标域名对应IP地址,指:当前待分析域名对应的IP地址分布地域。
目标域名存续时长,指:以当前待分析域名在当天是否出现来进行衡量。
步骤S202,根据域名解析总量特征信息,对目标解析总量进行评分,得到第一分值。
具体地,第一分值的初始值为0,目标解析总量的取值范围和第一分值的对应关系例如采用如下方式:
| 目标解析总量的取值范围 | 第一分值 |
| 0 | 0 |
| (0,2000] | 1 |
| (2000,5000] | 2 |
| (5000,+∞) | 3 |
步骤S203,根据域名对应IP地址特征信息,对目标域名对应IP地址进行评分,得到第二分值。
具体地,第二分值的初始值为0,目标域名对应IP地址和第二分值的对应关系例如采用如下方式:
| 目标域名对应IP地址 | 第二分值 |
| 美国 | 7 |
| 香港或印尼 | 6 |
| 新加坡或泰国 | 5 |
| 越南 | 4 |
| 柬埔寨 | 3 |
| 其它海外地域 | 2 |
| 内陆 | 1 |
步骤S204,根据域名存续时长特征信息,对目标域名存续时长进行评分,得到第三分值。
具体地,钓鱼网站域名可被正常访问的持续时长一般小于一周,当前待分析域名可被正常访问的持续时长越长,表示当前待分析域名为钓鱼网站域名的可能性越小,这里对域名可被正常访问的持续时长进行评分得到第一子分值。同时,由于网站会因故障等原因短期消失,为了提高根据域名存续时长特征信息判断当前待分析域名是否为钓鱼网站域名的准确性,对根据相邻两次可被正常访问的间隔时长进行评分得到第二子分值。
第三分值为第一子分值和第二子分值之和,其中,得到第一子分值和第二子分值的方式为:
判断当前待分析域名在当天是否出现,得到第一判断结果。
具体地,在当前待分析域名在当天出现的情况下,则第一判断结果为确定当前待分析域名为有效域名;而在当前待分析域名在当天不出现的情况下,则第一判断结果为确定当前待分析域名为无效域名。
根据第一判断结果,分别得到第一子分值和第二子分值。
具体地,由于钓鱼网站域名可被正常访问的持续时长一般小于一周,因而,第一子分值的初始值为7,第一子分值的取值范围为[0,7]。当前待分析域名每连续存在一天则第一子分值自减1,例如,当前待分析域名在当天出现是连续第1天出现,则第一子分值为6;当前待分析域名在当天出现是连续第2天出现,则第一子分值为5;当前待分析域名在当天出现是连续第n(n>6)天,则第一子分值为0。
此外,第二子分值的出初始值设为0,并设置第一预设间隔时长和第二预设间隔时长。如果当前待分析域名在当天出现是在失效后的第一预设间隔时长内发生的,则第二子分值为0;如果当前待分析域名在当天出现是在第m个第二预设间隔时长之后发生的,并且是在第(m+1)个第二预设间隔时长之前发生的,则第二子分值为m。
需要说明的是,第二子分值的取值范围可以设置一个上限值。此外,上述上限值以及第一预设间隔时长、第二预设间隔时长是由正常中断的间隔时长和钓鱼网站域名相邻两次可被正常访问的间隔时长决定的。例如,第一间隔时长和第二时长都是目标间隔时长,而目标间隔时长是根据大数据统计得到的正常中断的间隔时长的平均值;上限值为小于目标比值的最大整数,其中,目标比值为大数据统计得到的钓鱼网站域名相邻两次可被正常访问的间隔时长的统计平均值与目标间隔时长的比值。
步骤S205,计算第一分值、第二分值和第三分值的加权平均值。
具体地,加权平均值的计算可以采用如下公式:
加权平均值=第一分值*0.2+第二分值*0.4+第三分值*0.4。
步骤S206,根据加权平均值,得到中间确认结果。
需要说明的是,加权平均值越大表示当前待分析域名为钓鱼网站的可能性越大。
具体地,加权平均值和中间确认结果的对应关系可以采用如下方式:
| 加权平均值的取值范围 | 中间确认结果 |
| [0,S) | 否定 |
| [S,M) | 待定 |
| [M,+∞) | 肯定 |
其中,S表示第一预设值,M表示第二预设值,且S<M。
可选地,在中间确认结果为否定的情况下,将当前待分析域名存于预设白名单,以便扩充预设白名单中的合法域名的数量。在中间确认结果为肯定的情况下,将当前待分析域名存入待定库,存入待定库的域名也是下次进行网络钓鱼分析时要进一步分析的域名,可以在步骤S102中获取待分析日志数据的时候,不仅获取区域性运营商发送的日志数据,而且还获取待定库中的域名,以便根据区域性运营商发送的日志数据,对待定库中的域名进行网站钓鱼分析。在中间确认结果为肯定的情况下,为了提高对钓鱼网站识别的准确率,实施基于第二预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到确认结果的步骤。
本发明实施例的另一个可选实施方式中,如图3所示,基于第二预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到确认结果,包括:
步骤S301,从当前解析日志中提取目标名称和目标内容,其中,目标名称为当前待分析域名的名称,目标内容为当前待分析域名的网站内容。
步骤S302,获取预设网站,将目标名称和预设网站的域名名称进行比对,和/或,将目标内容与预设网站的网站内容进行比对,得到比对结果,其中,预设网站为防止受到钓鱼侵害的网站。
具体地,在第二预设特征信息包括:域名相似性特征信息、域名正确性特征信息、内容相似性特征信息的情况下,将目标名称和预设网站的域名名称进行比对,包括:基于域名相似性特征信息将将目标名称和预设网站的域名名称进行比对,得到第一子比对结果,以及,基于域名正确性特征信息将目标名称和预设网站的域名名称进行比对,得到第二子比对结果;而将目标内容与预设网站的网站内容进行比对,可以从网页内容所包含的标签种类、标签个数等方面进行,得到第三子比对结果。第一子比对结果、第二子比对结果和第三子比对结果属于比对结果。
此外,钓鱼网站常用来仿冒在线交易系统、金融平台的网站,因而,预设网站可以是在线交易系统、金融平台的网站,例如,中国银行(网址为:http://www.boc.cn/)的网站。
步骤S303,根据比对结果,得到确认结果。
具体地,如果第一子比对结果、第二子比对结果和第三子比对结果都得到相似的情况下,则确认结果为肯定,即,当前待分析域名为钓鱼网站域名;如果第一子比对结果、第二子比对结果和第三子比对结果中任意一个得到的是不相似,则确认结果为待定,即,当前待分析域名是否为钓鱼网站域名需要进一步确认。
实施例二
本发明实施例提供的一种基于DNS日志的网络钓鱼分析装置,如图4所示,包括:
获取模块100,用于获取待分析日志数据,其中,待分析日志数据中包括域名的解析日志,且域名的数量至少为一个;
查找模块200,用于从待分析日志数据中查找目标解析日志,其中,目标解析日志为具备预设特征信息的解析日志,预设特征信息为钓鱼网站的域名解析日志所具有的信息;
确定模块300,用于将与目标解析日志的域名相对应的网站确定为钓鱼网站。
在本发明实施例中,首先获取模块100获取待分析日志数据,然后查找模块200从待分析日志数据中查找目标解析日志,并且,确定模块300将与目标解析日志的域名相对应的网站确定为钓鱼网站,其中,目标解析日志为具备预设特征信息的解析日志,预设特征信息为钓鱼网站的域名解析日志所具有的信息。
虽然,网络钓鱼的传播途径特殊,且钓鱼站点存活周期短,但钓鱼网站存活期间都会有域名解析日志,且钓鱼网站的域名解析日志都具有共有的特征,将这些共有特征提前归纳总结得到预设特征信息,基于预设特征信息即可从待分析日志数据中查找目标解析日志,从而实现了识别钓鱼网站的目的,缓解了传统的网站钓鱼分析方法难以发现钓鱼网站的技术问题。
本发明实施例的一个可选实施方式中,查找模块包括:
预处理单元,用于对待分析日志数据进行预处理,得到预处理数据,其中,预处理为通过预设合法域名对待分析日志数据进行的筛选处理;
提取单元,用于从预处理数据中提取当前解析日志,其中,当前解析日志为当前待分析域名的解析日志;
确认单元,用于基于预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到确认结果,其中,预设种类包括:否定、待定和肯定;
确定单元,用于在确认结果为钓鱼属性为肯定的情况下,将当前解析日志确定为目标解析日志。
本发明实施例的另一个可选实施方式中,预处理单元用于:
从待分析日志数据中查找第一域名,其中,第一域名为非一级域名;
将第一域名的解析日志从待分析日志数据中删除,得到预处理数据。
本发明实施例的另一个可选实施方式中,预处理单元用于:
获取预设白名单,预设白名单中包括非钓鱼网站域名;
从待分析日志数据中查找第二域名,其中,第二域名为在预设白名单中包括的域名;
将第二域名的解析日志从待分析日志数据中删除,得到预处理数据。
本发明实施例的另一个可选实施方式中,确认单元包括:
第一确认子单元,用于基于第一预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到中间确认结果,其中,第一预设特征信息至少包括以下之一:域名解析总量特征信息、域名对应IP地址特征信息、域名存续时长特征信息;
第二确认子单元,用于在中间确认结果为钓鱼属性为肯定的情况下,基于第二预设特征信息,从预设种类中确认当前解析日志的钓鱼属性,得到确认结果,其中,第二预设特征信息至少包括以下之一:域名相似性特征信息、域名正确性特征信息、内容相似性特征信息。
本发明实施例的另一个可选实施方式中,第一确认子单元用于:
从当前解析日志中提取目标解析总量、目标域名对应IP地址和目标域名存续时长;
根据域名解析总量特征信息,对目标解析总量进行评分,得到第一分值;
根据域名对应IP地址特征信息,对目标域名对应IP地址进行评分,得到第二分值;
根据域名存续时长特征信息,对目标域名存续时长进行评分,得到第三分值;
计算第一分值、第二分值和第三分值的加权平均值;
根据加权平均值,得到中间确认结果。
本发明实施例的另一个可选实施方式中,第二确认子单元用于:
从当前解析日志中提取目标名称和目标内容,其中,目标名称为当前待分析域名的名称,目标内容为当前待分析域名的网站内容;
获取预设网站,将目标名称和预设网站的域名名称进行比对,和/或,将目标内容与预设网站的网站内容进行比对,得到比对结果,其中,预设网站为防止受到钓鱼侵害的网站;
根据比对结果,得到确认结果。
本发明实施例所提供的基于DNS日志的网络钓鱼分析方法及装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (7)
1.一种基于DNS日志的网络钓鱼分析方法,其特征在于,包括:
获取待分析日志数据,其中,所述待分析日志数据中包括域名的解析日志,且所述域名的数量至少为一个;
从所述待分析日志数据中查找目标解析日志,其中,所述目标解析日志为具备预设特征信息的解析日志,所述预设特征信息为钓鱼网站的域名解析日志所具有的信息;
将与所述目标解析日志的域名相对应的网站确定为钓鱼网站;
从所述待分析日志数据中查找目标解析日志,包括:
对所述待分析日志数据进行预处理,得到预处理数据,其中,所述预处理为通过预设合法域名对所述待分析日志数据进行的筛选处理;
从所述预处理数据中提取当前解析日志,其中,所述当前解析日志为当前待分析域名的解析日志;
基于所述预设特征信息,从预设种类中确认所述当前解析日志的钓鱼属性,得到确认结果,其中,所述预设种类包括:否定、待定和肯定;
在所述确认结果为所述钓鱼属性为肯定的情况下,将所述当前解析日志确定为所述目标解析日志;
基于所述预设特征信息,从预设种类中确认所述当前解析日志的钓鱼属性,包括:
基于第一预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到中间确认结果,其中,所述第一预设特征信息至少包括以下之一:域名解析总量特征信息、域名对应IP地址特征信息、域名存续时长特征信息;
在所述中间确认结果为所述钓鱼属性为肯定的情况下,基于第二预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到所述确认结果,其中,所述第二预设特征信息至少包括以下之一:域名相似性特征信息、域名正确性特征信息、内容相似性特征信息。
2.根据权利要求1所述的方法,其特征在于,对所述待分析日志数据进行预处理,得到预处理数据,包括:
从所述待分析日志数据中查找第一域名,其中,所述第一域名为非一级域名;
将所述第一域名的解析日志从所述待分析日志数据中删除,得到所述预处理数据。
3.根据权利要求1所述的方法,其特征在于,对所述待分析日志数据进行预处理,得到预处理数据,包括:
获取预设白名单,所述预设白名单中包括非钓鱼网站域名;
从所述待分析日志数据中查找第二域名,其中,所述第二域名为在所述预设白名单中包括的域名;
将所述第二域名的解析日志从所述待分析日志数据中删除,得到所述预处理数据。
4.根据权利要求1所述的方法,其特征在于,基于第一预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到中间确认结果,包括:
从所述当前解析日志中提取目标解析总量、目标域名对应IP地址和目标域名存续时长;
根据所述域名解析总量特征信息,对所述目标解析总量进行评分,得到第一分值;
根据所述域名对应IP地址特征信息,对所述目标域名对应IP地址进行评分,得到第二分值;
根据所述域名存续时长特征信息,对所述目标域名存续时长进行评分,得到第三分值;
计算所述第一分值、所述第二分值和所述第三分值的加权平均值;
根据所述加权平均值,得到所述中间确认结果。
5.根据权利要求1所述的方法,其特征在于,基于第二预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到所述确认结果,包括:
从所述当前解析日志中提取目标名称和目标内容,其中,所述目标名称为所述当前待分析域名的名称,所述目标内容为所述当前待分析域名的网站内容;
获取预设网站,将所述目标名称和所述预设网站的域名名称进行比对,和/或,将所述目标内容与所述预设网站的网站内容进行比对,得到比对结果,其中,所述预设网站为防止受到钓鱼侵害的网站;
根据所述比对结果,得到所述确认结果。
6.一种基于DNS日志的网络钓鱼分析装置,其特征在于,包括:
获取模块,用于获取待分析日志数据,其中,所述待分析日志数据中包括域名的解析日志,且所述域名的数量至少为一个;
查找模块,用于从所述待分析日志数据中查找目标解析日志,其中,所述目标解析日志为具备预设特征信息的解析日志,所述预设特征信息为钓鱼网站的域名解析日志所具有的信息;
确定模块,用于将与所述目标解析日志的域名相对应的网站确定为钓鱼网站;
所述查找模块包括:
预处理单元,用于对所述待分析日志数据进行预处理,得到预处理数据,其中,所述预处理为通过预设合法域名对所述待分析日志数据进行的筛选处理;
提取单元,用于从所述预处理数据中提取当前解析日志,其中,所述当前解析日志为当前待分析域名的解析日志;
确认单元,用于基于所述预设特征信息,从预设种类中确认所述当前解析日志的钓鱼属性,得到确认结果,其中,所述预设种类包括:否定、待定和肯定;
确定单元,用于在所述确认结果为所述钓鱼属性为肯定的情况下,将所述当前解析日志确定为所述目标解析日志;
确认单元包括:
第一确认子单元,用于基于第一预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到中间确认结果,其中,所述第一预设特征信息至少包括以下之一:域名解析总量特征信息、域名对应IP地址特征信息、域名存续时长特征信息;
第二确认子单元,用于在所述中间确认结果为所述钓鱼属性为肯定的情况下,基于第二预设特征信息,从所述预设种类中确认所述当前解析日志的钓鱼属性,得到所述确认结果,其中,所述第二预设特征信息至少包括以下之一:域名相似性特征信息、域名正确性特征信息、内容相似性特征信息。
7.根据权利要求6所述的装置,其特征在于,所述预处理单元用于:
从所述待分析日志数据中查找第一域名,其中,所述第一域名为非一级域名;
将所述第一域名的解析日志从所述待分析日志数据中删除,得到所述预处理数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710809522.XA CN107360197B (zh) | 2017-09-08 | 2017-09-08 | 一种基于dns日志的网络钓鱼分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710809522.XA CN107360197B (zh) | 2017-09-08 | 2017-09-08 | 一种基于dns日志的网络钓鱼分析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107360197A CN107360197A (zh) | 2017-11-17 |
| CN107360197B true CN107360197B (zh) | 2020-12-25 |
Family
ID=60290935
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710809522.XA Active CN107360197B (zh) | 2017-09-08 | 2017-09-08 | 一种基于dns日志的网络钓鱼分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107360197B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110719194B (zh) * | 2019-09-12 | 2022-04-12 | 中国联合网络通信集团有限公司 | 一种网络数据的分析方法及装置 |
| CN112165451B (zh) * | 2020-08-31 | 2023-07-18 | 新浪技术(中国)有限公司 | Apt攻击分析方法、系统及服务器 |
| CN112929464B (zh) * | 2021-02-22 | 2022-06-24 | 中国电子信息产业集团有限公司第六研究所 | 标识解析方法、装置、系统、动态适配器及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102957694A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 一种判断钓鱼网站的方法及装置 |
| CN102957693A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 钓鱼网站判断方法及装置 |
| CN105187439A (zh) * | 2015-09-25 | 2015-12-23 | 北京奇虎科技有限公司 | 钓鱼网站检测方法及装置 |
| CN106888220A (zh) * | 2017-04-12 | 2017-06-23 | 恒安嘉新(北京)科技股份公司 | 一种钓鱼网站检测方法及设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102316099B (zh) * | 2011-07-28 | 2014-10-22 | 中国科学院计算机网络信息中心 | 网络钓鱼检测方法及装置 |
| CN102710646B (zh) * | 2012-06-06 | 2016-08-03 | 珠海市君天电子科技有限公司 | 一种钓鱼网站的收集方法和系统 |
| US9027126B2 (en) * | 2012-08-01 | 2015-05-05 | Bank Of America Corporation | Method and apparatus for baiting phishing websites |
| US9544317B2 (en) * | 2014-12-01 | 2017-01-10 | Verizon Patent And Licensing Inc. | Identification of potential fraudulent website activity |
-
2017
- 2017-09-08 CN CN201710809522.XA patent/CN107360197B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102957694A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 一种判断钓鱼网站的方法及装置 |
| CN102957693A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 钓鱼网站判断方法及装置 |
| CN105187439A (zh) * | 2015-09-25 | 2015-12-23 | 北京奇虎科技有限公司 | 钓鱼网站检测方法及装置 |
| CN106888220A (zh) * | 2017-04-12 | 2017-06-23 | 恒安嘉新(北京)科技股份公司 | 一种钓鱼网站检测方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107360197A (zh) | 2017-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11042630B2 (en) | Dynamic page similarity measurement | |
| RU2607229C2 (ru) | Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества | |
| JP5600160B2 (ja) | フィッシング疑惑ウェブサイトを識別するための方法及びシステム | |
| US9742774B2 (en) | Method and apparatus for determining phishing website | |
| US20090089859A1 (en) | Method and apparatus for detecting phishing attempts solicited by electronic mail | |
| CN107204960B (zh) | 网页识别方法及装置、服务器 | |
| CN106776946A (zh) | 一种欺诈网站的检测方法 | |
| US20150067833A1 (en) | Automatic phishing email detection based on natural language processing techniques | |
| CN107360197B (zh) | 一种基于dns日志的网络钓鱼分析方法及装置 | |
| CN102957664B (zh) | 一种识别钓鱼网站的方法及装置 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| US20120023566A1 (en) | Fraudulent Page Detection | |
| CN104077396A (zh) | 一种钓鱼网站检测方法及装置 | |
| AU2017295738A1 (en) | System and methods for detecting online fraud | |
| CN107547552B (zh) | 一种基于网站特征识别和关系拓扑的网站信誉度评估方法及装置 | |
| CN108566399A (zh) | 钓鱼网站识别方法及系统 | |
| CN110602029A (zh) | 一种用于识别网络攻击的方法和系统 | |
| US9692771B2 (en) | System and method for estimating typicality of names and textual data | |
| CN110784462B (zh) | 基于混合方法的三层钓鱼网站检测系统 | |
| US20220030029A1 (en) | Phishing Protection Methods and Systems | |
| CN102957693A (zh) | 钓鱼网站判断方法及装置 | |
| Deshpande et al. | Detection of phishing websites using Machine Learning | |
| CN112948725A (zh) | 基于机器学习的钓鱼网站url检测方法及系统 | |
| CN107172033B (zh) | 一种waf误判识别方法以及装置 | |
| CN116319089B (zh) | 一种动态弱密码检测方法、装置、计算机设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310000 No. 188 Lianhui Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Applicant before: DBAPPSECURITY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |