本发明涉及网络安全技术领域,尤其是涉及一种恶意网站制作的犯罪团伙筛选方法。
背景技术:
据中国互联网络信息中心cnnic数据显示,截至2017年12月,中国网民规模达7.72亿,中国手机网民规模达7.53亿。然而,随着互联网高速发展,互联网安全问题日益严峻,以网络诈骗和电话诈骗为代表的网络诈骗屡见不鲜,而作为各类网络诈骗重要载体的仿冒钓鱼、淫秽色情、赌博等为代表的各类非法恶意网站屡禁不止,严重威胁着人民群众的利益。
针对恶意网站服务器的背后犯罪团伙的抓捕工作,一直让国家网络监管部门和公安机关头疼不已,对于恶意网站背后的制作团伙监控采用的技术手段一直处于盲区和空白。
为此,一种针对恶意网站制作团伙监测的新技术——恶意网站制作的犯罪团伙筛选方法出现了。现在恶意网站制作团伙监测方法可以实现针对恶意网站和恶意网站背后的制作团伙进行监测。这样有利于国家网络监管部门和公安机关对犯罪分子进行打击。
目前,针对钓鱼网站、淫秽色情网站、博彩娱乐网站等各类恶意网站的检测方法非常之多,但是针对恶意网站制作的犯罪团伙监测和筛选的方法还没有类似的专利及说明。
技术实现要素:
本发明为了克服现有技术的不足,提供一种针对恶意网站背后的犯罪团伙的追踪和分析的恶意网站制作的犯罪团伙筛选方法。
为了实现上述目的,本发明采用以下技术方案:一种恶意网站制作的犯罪团伙筛选方法,包括下述步骤:
(1)建立ip-地理位置数据库,并在ip-地理位置数据库内记录ip地址对应的地理位置信息;
(2)建立dns查询记录数据库,从互联网原始数据流量中获取信息,并将该信息存入dns查询记录数据库,该信息包括域名、源ip、目的ip、时间戳。
(3)识别恶意网站,在恶意网站域名数据库中记录恶意网站的域名;
(4)根据恶意网站的域名在dns查询记录数据库中查找对应的源ip、目的ip,然后在ip-地理位置数据库上查找源ip和目的ip地理位置;
(5)通过对恶意网站域名的头几次访问源ip地理位置追溯,就可以确定出恶意网站制作者大概的地理位置。
网站制作初期需要进行运行测试,恶意网站制作初期也同样要运行测试;本发明可追溯到恶意网站头几次访问源ip地理位置,即恶意网站在测试初期的访问源ip地理位置,进而方便确定出恶意网站制作者大概的地理位置。
本发明就是要实现针对恶意网站背后的制作犯罪团伙的监测方法,分析犯罪团伙的ip地址、地理位置等信息,用于国家网络监管部门或者公安机关进行监测和抓捕犯罪分子。同时,弥补了现有的恶意网站制作的犯罪团伙监控难、抓捕难的空白,能够定位犯罪团伙的ip地址和物理位置,为政府网络监管部门和公安机关抓获网络犯罪团伙提供了技术支撑。
进一步地,所述步骤(3)具体为:识别恶意网站,恶意网站域名数据库中记录恶意网站的域名和性质,该性质包括淫秽色情网站、非法赌博网站、钓鱼网站、欺诈信息网站。
进一步地,所述步骤(1)的地理位置信息包含地图的坐标数据。方便展示位置。
进一步地,还包括步骤(6)重复步骤(3)-(5)。
进一步地,还包括步骤(7)按照地理位置形式将恶意网站制作的犯罪团伙的进行展现、筛选和定位。将多个恶意网站位置集中展示,进而能筛选出出现率最高的位置就是进行犯罪团伙的位置,进而提高定位的准确性。
进一步地,所述步骤(2)中,从互联网原始数据流量中获取信息的过程为:互联网原始数据流量即为是网光纤中的原始二进制数据,通过对这些二进制数据进行获取,提取其中信息。信息提取速度快、效率高。
进一步地,所述步骤(3)识别恶意网站的过程为:恶意网站域名数据库周期性进行爬取域名并进行鉴定网站内容是否为恶意内容,有恶意内容的网站即恶意网站。实现自动判断,速度快,效率高,准确性也高。
进一步地,所述鉴定网站内容是否为恶意内容即判断网站内容是否为涉及淫秽色情、非法赌博、诈骗信息。
综上所述,本发明可追溯到恶意网站在测试初期的访问源ip和地理位置,进而方便确定出恶意网站制作者大概的地理位置;针对恶意网站背后的犯罪团伙的追踪和分析,确定犯罪团伙的具体位置,为政府网络监管部门和公安机关抓获网络犯罪团伙提供了技术支撑。
具体实施方式
为了使本技术领域的人员更好的理解本发明方案,下面对本发明实施例中的技术方案进行清楚、完整的描述。
一种恶意网站制作的犯罪团伙筛选系统,包括互联网原始数据流量记录数据库、dns查询记录数据库、恶意网站域名数据库、ip-地理位置数据库。
其中,互联网原始数据流量主要为dns查询记录数据做准备,互联网原始数据流量即可以认为是跑在骨干网光纤中的原始二进制数据,通过对这些二进制数据进行获取,提取其中的dns查询记录信息,即域名、源ip、目的ip、时间戳等。
恶意网站域名数据库用于存储海量的恶意网站域名信息,域名内容可以包含淫秽色情网站、非法赌博网站、钓鱼网站、欺诈信息网站域名等。用于dns查询记录数据库进行关联查询。
ip-地理位置数据库具备海量的ip-地理位置的数据信息,地理位置信息主要包含地图的坐标数据,用于dns查询记录数据库进行关联查询。
dns查询记录数据库,接收从互联网原始数据流量中获取的域名、源ip、目的ip、时间戳等信息并保存。通过保存的这些域名、源ip、目的ip、时间戳等信息,结合域名在恶意网址域名库中进行域名查询,ip-地理位置数据库中进行查询地理位置,就能够很好的关联恶意网站域名从第一次访问到编程恶意网站整个时间链条,通过对恶意网站域名的头几次访问源ip地理位置追溯,就可以确定出恶意网站制作者大概的地理位置。
一种恶意网站制作的犯罪团伙筛选方法,包括下述步骤:
(1)建立ip-地理位置数据库,并在ip-地理位置数据库内记录ip地址对应的地理位置信息;
为了方便查找,所述该步骤的地理位置信息包含地图的坐标数据。ip-地理位置数据库具备海量的ip-地理位置的数据信息,用于dns查询记录数据库进行关联查询。
(2)建立dns查询记录数据库,从互联网原始数据流量中获取信息,并将该信息存入dns查询记录数据库,该信息包括域名、源ip、目的ip、时间戳;其中也包含了恶意网站最初的信息。
优选地,该所述步骤中,从互联网原始数据流量中获取信息的过程为:互联网原始数据流量即为是网光纤中的原始二进制数据,通过对这些二进制数据进行获取,提取其中信息。
因为在初期,恶意网站制作犯罪团伙制作网站注册域名,并将域名指定到网站域名空间的ip地址。此时网站运行的可能是非恶意内容,所以恶意网站制作犯罪团伙通常不会采用加密访问的方式测试域名和服务器是否运行正常,可记录真实的域名访问访问源ip地址。即恶意网站制作犯罪团伙访问网站并测试是否运行正常。就可通过从互联网原始流量数据中,记录访问网站的域名、访问源ip地址和时间戳等信息。
(3)识别恶意网站,在恶意网站域名数据库中记录恶意网站的域名,用于dns查询记录数据库进行关联查询。
优选地,该步骤中,识别恶意网站的过程为:恶意网站域名数据库周期性进行爬取域名并进行鉴定网站内容是否为恶意内容,有恶意内容的网站即恶意网站,恶意网站的域名即为恶意域名。其中,鉴定网站内容是否为恶意内容即判断网站内容是否为涉及淫秽色情、非法赌博、诈骗信息。
该步骤中,还可增设恶意网站域名数据库中记录恶意网站的性质,该性质包括淫秽色情网站、非法赌博网站、钓鱼网站、欺诈信息网站。
(4)根据恶意网站的域名在dns查询记录数据库中查找对应的源ip、目的ip,然后在ip-地理位置数据库上查找源ip和目的ip地理。
(5)进而能得出从第一次访问到编程恶意网站整个时间链条,通过对恶意网站域名的头几次访问源ip地理位置追溯,就可以确定出恶意网站制作者大概的地理位置。
(6)重复步骤(3)-(5),重复的次数可根据需要做出改变,进而能获取多个恶意网站的恶意网站制作者大概的地理位置。
(7)将恶意网站制作的犯罪团伙的进行展现、筛选和定位,方便确定团伙的集中地。所述展示方式可在地图上进行标记,可根据集中的位置、时间等信息进行筛选,进而方便定位犯罪团伙的具体位置。
至此,恶意网站制作的犯罪团伙筛选流程结束。
显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。