CN109597869A - 恶意网站制作的犯罪团伙筛选方法 - Google Patents
恶意网站制作的犯罪团伙筛选方法 Download PDFInfo
- Publication number
- CN109597869A CN109597869A CN201811452728.2A CN201811452728A CN109597869A CN 109597869 A CN109597869 A CN 109597869A CN 201811452728 A CN201811452728 A CN 201811452728A CN 109597869 A CN109597869 A CN 109597869A
- Authority
- CN
- China
- Prior art keywords
- malicious websites
- information
- geographical location
- domain name
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/69—Types of network addresses using geographic information, e.g. room number
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,尤其是公开了一种恶意网站制作的犯罪团伙筛选方法,包括下述步骤:(1)建立IP‑地理位置数据库,并在IP‑地理位置数据库内记录IP地址对应的地理位置信息;(2)建立DNS查询记录数据库,从互联网原始数据流量中获取信息,并将该信息存入DNS查询记录数据库;(3)识别恶意网站,在恶意网站域名数据库中记录恶意网站的域名;(4)根据恶意网站的域名在DNS查询记录数据库中查找对应的源IP、目的IP,然后在IP‑地理位置数据库上查找源IP和目的IP地理位置;(5)通过对恶意网站域名的头几次访问源IP地理位置追溯,就可以确定出恶意网站制作者大概的地理位置。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种恶意网站制作的犯罪团伙筛选方法。
背景技术
据中国互联网络信息中心CNNIC数据显示,截至2017年12月,中国网民规模达7.72亿,中国手机网民规模达7.53亿。然而,随着互联网高速发展,互联网安全问题日益严峻,以网络诈骗和电话诈骗为代表的网络诈骗屡见不鲜,而作为各类网络诈骗重要载体的仿冒钓鱼、淫秽色情、赌博等为代表的各类非法恶意网站屡禁不止,严重威胁着人民群众的利益。
针对恶意网站服务器的背后犯罪团伙的抓捕工作,一直让国家网络监管部门和公安机关头疼不已,对于恶意网站背后的制作团伙监控采用的技术手段一直处于盲区和空白。
为此,一种针对恶意网站制作团伙监测的新技术——恶意网站制作的犯罪团伙筛选方法出现了。现在恶意网站制作团伙监测方法可以实现针对恶意网站和恶意网站背后的制作团伙进行监测。这样有利于国家网络监管部门和公安机关对犯罪分子进行打击。
目前,针对钓鱼网站、淫秽***、***娱乐网站等各类恶意网站的检测方法非常之多,但是针对恶意网站制作的犯罪团伙监测和筛选的方法还没有类似的专利及说明。
发明内容
本发明为了克服现有技术的不足,提供一种针对恶意网站背后的犯罪团伙的追踪和分析的恶意网站制作的犯罪团伙筛选方法。
为了实现上述目的,本发明采用以下技术方案:一种恶意网站制作的犯罪团伙筛选方法,包括下述步骤:
(1)建立IP-地理位置数据库,并在IP-地理位置数据库内记录IP地址对应的地理位置信息;
(2)建立DNS查询记录数据库,从互联网原始数据流量中获取信息,并将该信息存入DNS查询记录数据库,该信息包括域名、源IP、目的IP、时间戳。
(3)识别恶意网站,在恶意网站域名数据库中记录恶意网站的域名;
(4)根据恶意网站的域名在DNS查询记录数据库中查找对应的源IP、目的IP,然后在IP-地理位置数据库上查找源IP和目的IP地理位置;
(5)通过对恶意网站域名的头几次访问源IP地理位置追溯,就可以确定出恶意网站制作者大概的地理位置。
网站制作初期需要进行运行测试,恶意网站制作初期也同样要运行测试;本发明可追溯到恶意网站头几次访问源IP地理位置,即恶意网站在测试初期的访问源IP地理位置,进而方便确定出恶意网站制作者大概的地理位置。
本发明就是要实现针对恶意网站背后的制作犯罪团伙的监测方法,分析犯罪团伙的IP地址、地理位置等信息,用于国家网络监管部门或者公安机关进行监测和抓捕犯罪分子。同时,弥补了现有的恶意网站制作的犯罪团伙监控难、抓捕难的空白,能够定位犯罪团伙的IP地址和物理位置,为政府网络监管部门和公安机关抓获网络犯罪团伙提供了技术支撑。
进一步地, 所述步骤(3)具体为:识别恶意网站,恶意网站域名数据库中记录恶意网站的域名和性质,该性质包括淫秽***、非法赌博网站、钓鱼网站、欺诈信息网站。
进一步地,所述步骤(1)的地理位置信息包含地图的坐标数据。方便展示位置。
进一步地,还包括步骤(6)重复步骤(3)-(5)。
进一步地,还包括步骤(7)按照地理位置形式将恶意网站制作的犯罪团伙的进行展现、筛选和定位。将多个恶意网站位置集中展示,进而能筛选出出现率最高的位置就是进行犯罪团伙的位置,进而提高定位的准确性。
进一步地,所述步骤(2)中,从互联网原始数据流量中获取信息的过程为:互联网原始数据流量即为是网光纤中的原始二进制数据,通过对这些二进制数据进行获取,提取其中信息。信息提取速度快、效率高。
进一步地,所述步骤(3)识别恶意网站的过程为:恶意网站域名数据库周期性进行爬取域名并进行鉴定网站内容是否为恶意内容,有恶意内容的网站即恶意网站。实现自动判断,速度快,效率高,准确性也高。
进一步地,所述鉴定网站内容是否为恶意内容即判断网站内容是否为涉及淫秽色情、非法赌博、诈骗信息。
综上所述,本发明可追溯到恶意网站在测试初期的访问源IP和地理位置,进而方便确定出恶意网站制作者大概的地理位置;针对恶意网站背后的犯罪团伙的追踪和分析,确定犯罪团伙的具***置,为政府网络监管部门和公安机关抓获网络犯罪团伙提供了技术支撑。
具体实施方式
为了使本技术领域的人员更好的理解本发明方案,下面对本发明实施例中的技术方案进行清楚、完整的描述。
一种恶意网站制作的犯罪团伙筛选***,包括互联网原始数据流量记录数据库、DNS查询记录数据库、恶意网站域名数据库、IP-地理位置数据库。
其中,互联网原始数据流量主要为DNS查询记录数据做准备,互联网原始数据流量即可以认为是跑在骨干网光纤中的原始二进制数据,通过对这些二进制数据进行获取,提取其中的DNS查询记录信息,即域名、源IP、目的IP、时间戳等。
恶意网站域名数据库用于存储海量的恶意网站域名信息,域名内容可以包含淫秽***、非法赌博网站、钓鱼网站、欺诈信息网站域名等。用于DNS查询记录数据库进行关联查询。
IP-地理位置数据库具备海量的IP-地理位置的数据信息,地理位置信息主要包含地图的坐标数据,用于DNS查询记录数据库进行关联查询。
DNS查询记录数据库,接收从互联网原始数据流量中获取的域名、源IP、目的IP、时间戳等信息并保存。通过保存的这些域名、源IP、目的IP、时间戳等信息,结合域名在恶意网址域名库中进行域名查询,IP-地理位置数据库中进行查询地理位置,就能够很好的关联恶意网站域名从第一次访问到编程恶意网站整个时间链条,通过对恶意网站域名的头几次访问源IP地理位置追溯,就可以确定出恶意网站制作者大概的地理位置。
一种恶意网站制作的犯罪团伙筛选方法,包括下述步骤:
(1)建立IP-地理位置数据库,并在IP-地理位置数据库内记录IP地址对应的地理位置信息;
为了方便查找,所述该步骤的地理位置信息包含地图的坐标数据。IP-地理位置数据库具备海量的IP-地理位置的数据信息,用于DNS查询记录数据库进行关联查询。
(2)建立DNS查询记录数据库,从互联网原始数据流量中获取信息,并将该信息存入DNS查询记录数据库,该信息包括域名、源IP、目的IP、时间戳;其中也包含了恶意网站最初的信息。
优选地,该所述步骤中,从互联网原始数据流量中获取信息的过程为:互联网原始数据流量即为是网光纤中的原始二进制数据,通过对这些二进制数据进行获取,提取其中信息。
因为在初期,恶意网站制作犯罪团伙制作网站注册域名,并将域名指定到网站域名空间的IP地址。此时网站运行的可能是非恶意内容,所以恶意网站制作犯罪团伙通常不会采用加密访问的方式测试域名和服务器是否运行正常,可记录真实的域名访问访问源IP地址。即恶意网站制作犯罪团伙访问网站并测试是否运行正常。就可通过从互联网原始流量数据中,记录访问网站的域名、访问源IP地址和时间戳等信息。
(3)识别恶意网站,在恶意网站域名数据库中记录恶意网站的域名,用于DNS查询记录数据库进行关联查询。
优选地,该步骤中,识别恶意网站的过程为:恶意网站域名数据库周期性进行爬取域名并进行鉴定网站内容是否为恶意内容,有恶意内容的网站即恶意网站,恶意网站的域名即为恶意域名。其中,鉴定网站内容是否为恶意内容即判断网站内容是否为涉及淫秽色情、非法赌博、诈骗信息。
该步骤中,还可增设恶意网站域名数据库中记录恶意网站的性质,该性质包括淫秽***、非法赌博网站、钓鱼网站、欺诈信息网站。
(4)根据恶意网站的域名在DNS查询记录数据库中查找对应的源IP、目的IP,然后在IP-地理位置数据库上查找源IP和目的IP地理。
(5)进而能得出从第一次访问到编程恶意网站整个时间链条,通过对恶意网站域名的头几次访问源IP地理位置追溯,就可以确定出恶意网站制作者大概的地理位置。
(6)重复步骤(3)-(5),重复的次数可根据需要做出改变,进而能获取多个恶意网站的恶意网站制作者大概的地理位置。
(7)将恶意网站制作的犯罪团伙的进行展现、筛选和定位,方便确定团伙的集中地。所述展示方式可在地图上进行标记,可根据集中的位置、时间等信息进行筛选,进而方便定位犯罪团伙的具***置。
至此,恶意网站制作的犯罪团伙筛选流程结束。
显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
Claims (8)
1.一种恶意网站制作的犯罪团伙筛选方法,包括下述步骤:
(1)建立IP-地理位置数据库,并在IP-地理位置数据库内记录IP地址对应的地理位置信息;
(2)建立DNS查询记录数据库,从互联网原始数据流量中获取信息,并将该信息存入DNS查询记录数据库,该信息包括域名、源IP、目的IP、时间戳;
(3)识别恶意网站,在恶意网站域名数据库中记录恶意网站的域名;
(4)根据恶意网站的域名在DNS查询记录数据库中查找对应的源IP、目的IP,然后在IP-地理位置数据库上查找源IP和目的IP地理位置;
(5)通过对恶意网站域名的头几次访问源IP地理位置追溯,就可以确定出恶意网站制作者大概的地理位置。
2.根据权利要求1所述的恶意网站制作的犯罪团伙筛选方法,其特征在于: 所述步骤(3)具体为:识别恶意网站,恶意网站域名数据库中记录恶意网站的域名和性质,该性质包括淫秽***、非法赌博网站、钓鱼网站、欺诈信息网站。
3.根据权利要求1所述的恶意网站制作的犯罪团伙筛选方法,其特征在于:所述步骤(1)的地理位置信息包含地图的坐标数据。
4.根据权利要求3所述的恶意网站制作的犯罪团伙筛选方法,其特征在于:还包括步骤(6)重复步骤(3)-(5)。
5.根据权利要求4所述的恶意网站制作的犯罪团伙筛选方法,其特征在于:还包括步骤(7)按照地理位置形式将恶意网站制作的犯罪团伙的进行展现、筛选和定位。
6.根据权利要求1所述的恶意网站制作的犯罪团伙筛选方法,其特征在于:所述步骤(2)中,从互联网原始数据流量中获取信息的过程为:互联网原始数据流量即为是网光纤中的原始二进制数据,通过对这些二进制数据进行获取,提取其中信息。
7.根据权利要求1所述的恶意网站制作的犯罪团伙筛选方法,其特征在于:所述步骤(3)识别恶意网站的过程为:恶意网站域名数据库周期性进行爬取域名并进行鉴定网站内容是否为恶意内容,有恶意内容的网站即恶意网站。
8.根据权利要求5所述的恶意网站制作的犯罪团伙筛选方法,其特征在于:所述鉴定网站内容是否为恶意内容即判断网站内容是否为涉及淫秽色情、非法赌博、诈骗信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811452728.2A CN109597869A (zh) | 2018-11-30 | 2018-11-30 | 恶意网站制作的犯罪团伙筛选方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811452728.2A CN109597869A (zh) | 2018-11-30 | 2018-11-30 | 恶意网站制作的犯罪团伙筛选方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109597869A true CN109597869A (zh) | 2019-04-09 |
Family
ID=65960093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811452728.2A Pending CN109597869A (zh) | 2018-11-30 | 2018-11-30 | 恶意网站制作的犯罪团伙筛选方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109597869A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111225079A (zh) * | 2019-12-31 | 2020-06-02 | 苏州三六零智能安全科技有限公司 | 恶意软件作者地理位置定位方法、设备、存储介质及装置 |
| CN114500122A (zh) * | 2022-04-18 | 2022-05-13 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于多源数据融合的特定网络行为分析方法和*** |
| CN115001734A (zh) * | 2022-04-17 | 2022-09-02 | 广西电网有限责任公司电力科学研究院 | 电力网络安全监测的ip反查***及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和*** |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN105791310A (zh) * | 2016-04-13 | 2016-07-20 | 汉柏科技有限公司 | 一种网络入侵事件监控方法及装置 |
| US20180097835A1 (en) * | 2016-10-05 | 2018-04-05 | Cisco Technology, Inc. | Identifying and using dns contextual flows |
| CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
| CN108768921A (zh) * | 2018-03-28 | 2018-11-06 | 中国科学院信息工程研究所 | 一种基于特征检测的恶意网页发现方法及*** |
-
2018
- 2018-11-30 CN CN201811452728.2A patent/CN109597869A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和*** |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN105791310A (zh) * | 2016-04-13 | 2016-07-20 | 汉柏科技有限公司 | 一种网络入侵事件监控方法及装置 |
| US20180097835A1 (en) * | 2016-10-05 | 2018-04-05 | Cisco Technology, Inc. | Identifying and using dns contextual flows |
| CN108768921A (zh) * | 2018-03-28 | 2018-11-06 | 中国科学院信息工程研究所 | 一种基于特征检测的恶意网页发现方法及*** |
| CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
Non-Patent Citations (1)
| Title |
|---|
| 胡昌龙: "《虚拟社会网络下群行为感知与规律研究》", 30 November 2016 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111225079A (zh) * | 2019-12-31 | 2020-06-02 | 苏州三六零智能安全科技有限公司 | 恶意软件作者地理位置定位方法、设备、存储介质及装置 |
| CN111225079B (zh) * | 2019-12-31 | 2024-03-05 | 苏州三六零智能安全科技有限公司 | 恶意软件作者地理位置定位方法、设备、存储介质及装置 |
| CN115001734A (zh) * | 2022-04-17 | 2022-09-02 | 广西电网有限责任公司电力科学研究院 | 电力网络安全监测的ip反查***及方法 |
| CN115001734B (zh) * | 2022-04-17 | 2024-03-22 | 广西电网有限责任公司电力科学研究院 | 电力网络安全监测的ip反查***及方法 |
| CN114500122A (zh) * | 2022-04-18 | 2022-05-13 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于多源数据融合的特定网络行为分析方法和*** |
| CN114500122B (zh) * | 2022-04-18 | 2022-07-01 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于多源数据融合的特定网络行为分析方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101924757B (zh) | 追溯僵尸网络的方法和*** | |
| CN105027510B (zh) | 网络监视装置和网络监视方法 | |
| CN101176331B (zh) | 计算机网络入侵检测***和方法 | |
| CN109597869A (zh) | 恶意网站制作的犯罪团伙筛选方法 | |
| CN104767757A (zh) | 基于web业务的多维度安全监测方法和*** | |
| CN106354800A (zh) | 一种基于多维度特征的不良网站检测方法 | |
| CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及*** | |
| CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
| CN107145779B (zh) | 一种离线恶意软件日志的识别方法和装置 | |
| CN109104421B (zh) | 一种网站内容篡改检测方法、装置、设备及可读存储介质 | |
| CN110177123B (zh) | 基于dns映射关联图的僵尸网络检测方法 | |
| CN110830490B (zh) | 基于带对抗训练深度网络的恶意域名检测方法及*** | |
| De Silva et al. | Compromised or {Attacker-Owned}: A large scale classification and study of hosting domains of malicious {URLs} | |
| CN105376217B (zh) | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN106549959A (zh) | 一种代理网际协议ip地址的识别方法及装置 | |
| CN113360566A (zh) | 一种信息内容监测方法及*** | |
| CN109165334A (zh) | 一种建立cdn厂家基础知识库的方法 | |
| CN108270637B (zh) | 一种网站质量多层钻取***和方法 | |
| CN109547294B (zh) | 一种基于固件分析的联网设备型号探测方法、装置 | |
| CN113688905A (zh) | 一种有害域名核验方法及装置 | |
| CN103440454A (zh) | 一种基于搜索引擎关键词的主动式蜜罐检测方法 | |
| CN112667875A (zh) | 一种数据获取、数据分析方法、装置、设备及存储介质 | |
| CN115296888B (zh) | 数据雷达监测*** | |
| CN115378643B (zh) | 一种基于蜜点的网络攻击防御方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190409 |