本申請實(shí)施例中公開了一種惡意域名的溯源方法及裝置。該溯源方法在確定終端申請?jiān)L問的URL的域名為惡意域名后，獲取該惡意域名的DNS日志、NAT日志和遠(yuǎn)程認(rèn)證撥號用戶服務(wù)日志；基于確定的惡意域名以及上述三種日志，獲取該惡意域名的網(wǎng)絡(luò)級聯(lián)信息，該網(wǎng)絡(luò)級聯(lián)信息包括惡意域名與公網(wǎng)IP地址的對應(yīng)關(guān)系，公網(wǎng)IP地址與內(nèi)網(wǎng)IP地址的對應(yīng)關(guān)系和內(nèi)網(wǎng)IP地址與終端標(biāo)識的對應(yīng)關(guān)系，該終端標(biāo)識為申請?jiān)L問惡意域名的終端的標(biāo)識；之后根據(jù)網(wǎng)絡(luò)級聯(lián)信息，向終端發(fā)送告警指示信息。該方案能夠溯源訪問惡意域名的終端標(biāo)識，觸發(fā)終端主動對惡意域名進(jìn)行過濾，提高了用戶體驗(yàn)。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)信息安全領(lǐng)域，尤其涉及一種惡意域名的溯源方法及裝置。

背景技術(shù)

目前，惡意域名作為一種比較流行的網(wǎng)絡(luò)攻擊方法常用于仿冒其他標(biāo)準(zhǔn)網(wǎng)站，幫助病毒、木馬更快地傳播，竊取用戶敏感信息，獲取黑客攻擊指令等，給用戶正常使用網(wǎng)絡(luò)帶來了嚴(yán)重的影響。

現(xiàn)有的惡意域名檢測系統(tǒng)是需要基于數(shù)據(jù)挖掘和云分析，收集大量的域名請求，根據(jù)域名格式、長度和請求發(fā)起頻率等行為方面的特征進(jìn)行分析挖掘來標(biāo)記惡意域名，并通過網(wǎng)絡(luò)側(cè)各類網(wǎng)絡(luò)設(shè)備及安全設(shè)備，對惡意域名進(jìn)行過濾(如預(yù)先屏蔽等)，使用戶不能訪問該惡意域名。

然而，該惡意域名檢測系統(tǒng)過濾惡意域名后，用戶側(cè)并不了解不能訪問該域名的原因，即用戶不知道訪問的域名為惡意域名，導(dǎo)致用戶體驗(yàn)較差。

發(fā)明內(nèi)容

本申請實(shí)施例提供一種惡意域名的溯源方法及裝置，該方案能夠溯源訪問惡意域名的終端，觸發(fā)終端主動對惡意域名進(jìn)行過濾，提高了用戶體驗(yàn)。

第一方面，提供了一種惡意域名的溯源方法，該方法可以包括：

確定終端申請?jiān)L問的統(tǒng)一資源定位符URL的域名為惡意域名；

獲取該惡意域名的系統(tǒng)日志，系統(tǒng)日志包括域名系統(tǒng)DNS日志、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT日志和遠(yuǎn)程認(rèn)證撥號用戶服務(wù)Radius日志，DNS日志為記錄域名與公網(wǎng)互聯(lián)網(wǎng)協(xié)議IP地址間預(yù)設(shè)的對應(yīng)關(guān)系，NAT日志為記錄終端通過內(nèi)網(wǎng)IP地址訪問公網(wǎng)IP地址的第一訪問信息，Radius日志為記錄終端訪問內(nèi)網(wǎng)IP地址的第二訪問信息；

基于惡意域名、DNS日志、NAT日志和Radius日志，獲取惡意域名的網(wǎng)絡(luò)級聯(lián)信息，該網(wǎng)絡(luò)級聯(lián)信息包括惡意域名與公網(wǎng)互聯(lián)網(wǎng)協(xié)議IP地址的對應(yīng)關(guān)系，第一訪問信息中公網(wǎng)IP地址與內(nèi)網(wǎng)IP地址的對應(yīng)關(guān)系和第二訪問信息中內(nèi)網(wǎng)IP地址與終端標(biāo)識的對應(yīng)關(guān)系，該終端標(biāo)識為申請?jiān)L問惡意域名的終端的標(biāo)識；

查詢網(wǎng)絡(luò)級聯(lián)信息，獲取終端的終端標(biāo)識。

可見，通過惡意域名、以及實(shí)時(shí)采集的DNS日志、NAT日志、Radius日志的網(wǎng)絡(luò)級聯(lián)關(guān)系，逐級獲取終端的會話路徑，基于家庭網(wǎng)絡(luò)惡意域名對訪問的終端進(jìn)行溯源，并觸發(fā)終端主動對惡意域名進(jìn)行過濾，提高用戶體驗(yàn)。

在一個(gè)可選的實(shí)現(xiàn)中，基于惡意域名、DNS日志、NAT日志和Radius日志，獲取與惡意域名的網(wǎng)絡(luò)級聯(lián)信息，包括：

基于DNS日志和惡意域名，獲取惡意域名對應(yīng)的公網(wǎng)IP地址；

基于NAT日志和公網(wǎng)IP地址，獲取公網(wǎng)IP地址對應(yīng)的內(nèi)網(wǎng)IP地址；

基于Radius日志和內(nèi)網(wǎng)IP地址，獲取內(nèi)網(wǎng)IP地址對應(yīng)的該終端的終端標(biāo)識。上述實(shí)施過程為服務(wù)器通過進(jìn)行日志分析獲取網(wǎng)絡(luò)級聯(lián)信息的具體實(shí)現(xiàn)過程，以實(shí)現(xiàn)溯源。

在一個(gè)可選的實(shí)現(xiàn)中，該方法還包括：根據(jù)終端標(biāo)識，向終端發(fā)送告警指示信息，以指示終端申請?jiān)L問的URL的域名為惡意域名，并提示終端是否繼續(xù)訪問該URL。

可見，該方案可以實(shí)現(xiàn)在訪問惡意域名前對終端進(jìn)行提醒告警，實(shí)現(xiàn)從源頭上對惡意域名進(jìn)行過濾。