[发明专利]检测可疑DNS的方法、装置和可疑DNS的处理方法、系统

说明书

技术领域

本发明涉及互联网领域，特别是涉及一种检测可疑DNS的方法、装置和可疑DNS的处理方法、系统。

背景技术

域名解析系统（Domain Name Service，以下简称DNS）的缩写，它是由解析器以及域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。从而DNS的作用为帮助用户在互联网上寻找路径。

在实际使用过程中，黑客可能通过篡改计算机或路由器上的DNS设置，把正常网址解析到钓鱼网站或受黑客控制的主机上，以骗取用户钱财或窃取隐私。恶意DNS的危害性高，会造成用户的财产损失，严重时甚至可能导致网站或网络瘫痪。

针对恶意DNS的攻击，现有的应对方法主要有：建议用户手动修改服务器设置为安全性系数高的DNS服务器，互联网公司准备两个以上的域名，一旦黑客进行DNS攻击，通过其他域名进行访问，然而以上方法均是在恶意DNS已经产生危害并被发现后的被动处理方法，无法主动针对恶意DNS进行识别并及时屏蔽恶意DNS并对进行处理。现有技术中缺乏准确及时检测恶意DNS的方法。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的检测可疑DNS的装置和相应的检测可疑DNS的方法以及可疑DNS的处理系统和相应的可疑DNS的处理方法。本发明一个目的是及时检测出可疑DNS，以降低互联网危害的风险。

基于本发明的一个方面提供了一种检测可疑DNS的方法。该检测可疑DNS的方法包括：获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确解析结果的集合；若否，将目标DNS标记为可疑DNS。

可选地，在将目标DNS记为可疑DNS之后还包括：分别获取第一页面和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果对应的页面；计算第一页面和第二页面的页面相似度；在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。

可选地，计算第一页面和第二页面的页面相似度包括：使用向量空间模型算法计算第一页面和第二页面的页面内容相似度。

可选地，在确定可疑DNS为恶意DNS之后还包括：在安全建议显示区域输出恶意DNS的检测结果。

可选地，检查待检测DNS解析结果是否属于DNS正确解析结果的集合包括至少以下任意一种方式：检查待检测DNS解析结果中的IP地址是否属于DNS正确解析结果的集合中的IP地址列表；检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集合中的别名记录列表；检查待检测DNS解析结果中的邮件交换记录是否属于DNS正确解析结果的集合中的邮件交换记录列表。

可选地，一组域名解析服务器包括：多个具有电信运行商资质的域名解析服务器，已知域名包括多个不同类型网站的域名。

根据本发明的另一个方面，还提供了一种检测可疑DNS的装置。该检测可疑DNS的装置包括：第一解析接口，用于获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；第二解析接口，用于获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；查询模块，用于检查待检测DNS解析结果是否属于DNS正确解析结果的集合；第一判断模块，用于在查询模块的检查结果为否的情况下，将目标DNS标记为可疑DNS。

可选地，上述检测可疑DNS的装置还包括：页面获取模块，用于分别获取第一页面和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果待检测DNS的页面；计算模块，用于计算第一页面和第二页面的页面相似度；第二判断模块，用于在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。

可选地，计算模块配置为：使用向量空间模型算法计算第一页面和第二页面的页面相似度。

可选地，上述检测可疑DNS的装置还包括：显示模块，用于在安全建议显示区域输出恶意DNS的检测结果。