当前,科学技术的发展日新月异,互联网的不断普及给人们创造了日益方便的日常生活。而在人们越来越依赖网络的同时,复杂、动态、开放的互联网环境,为外部有组织恶意攻击的蔓延和软件自身缺陷的利用提供了快速发展的温床,以电信诈骗和网络诈骗为主的社会工程学攻击案件频繁发生,对个人、企业、社会乃至国家造成严重安全威胁。现有的以访问控制和特征检测为主的安全防御方法难以应对以上威胁。为应对结合社会工程学技术手段的网络攻击,本文计划以恶意域名的检测和属性提取为基础,通过恶意域名的递归查询收集域名注册信息,以恶意域名为切入点采集社工攻击者的网络痕迹,为建立离线社工信息库提供支持。本文首先总结了恶意域名的特性,指出恶意域名和正常域名在字符组成、生成方法、解析过程等方面均存在差异,然后设计了能够体现以上差异的字符及解析特征,并实现了自动化特征提取工具,最后对3748个域名进行了检测,达到较高的准确率。在此基础上,本文自动化实现恶意域名注册信息的提取,包括姓名电话等现实空间自然人的标识信息、地址邮编等自然人的属性信息、邮箱QQ等网络空间虚拟人的标识信息,IP地址和网络服务提供商等虚拟人的属性信息。通过恶意域名递归发现的方法,最大化扩充恶意域名,并探讨相关的离线社工库构建,有助于发现隐蔽性较强的恶意域名。社工攻击发起者往往有“前科”,本文基于恶意域名的检测和属性提取,收集域名注册信息以发现社工攻击者的蛛丝马迹,并根据社工攻击者的网络痕迹,探究攻击者在一定时间内的恶意行为规律,在总结与展望中提出对社工威胁的感知,以期在今后的工作中实现社工攻击的提前遏制。