本发明属于电力系统计算机领域，为一种恶意域名感染主机溯源方法，在平台上建立数据库，包括：在平台采集电网系统内的各关联主机的DNS服务器日志、防病毒查杀日志、病毒访问URL特征信息、处置知识库、以及IP地址划分信息，根据所采集的病毒访问URL特征信息建立病毒特征表，根据处置知识库建立处理建议表以及存储IP地址划分信息；获取来自主机的DNS服务器日志，通过对比分析对DNS服务器日志进行解析和规范化处理后与病毒特征表进行特征对比，根据该病毒特征表中对比出的病毒特征对应在处理建议表中的建议生成告警后进入处理流程。本发明根据处置建议及时对受攻击主机进行处置，达到保证信息内网安全性，降低安全威胁的目的。