[发明专利]域名劫持发现的方法

权利要求书

1.一种域名劫持发现的方法，其特征在于，其步骤为：

Q1：部署终端监控系统，用于使服务器端模拟终端用户发起http请求，并记录包括DNS解析结果、响应头信息、保存文件内容的信息在内的指标；

Q2：终端监控系统将需要监测的URL通过终端监控系统，以设定的频率进行全网模拟请求，并对监测数据进行记录，并在本地进行对比，将分析结果汇总上报至中心分析系统；

其中，监测数据包含DNS解析结果、服务端响应的http-code、content-length、文件的md5；

Q3：第三方付费监控系统以设定的频率对监控URL进行监测，监测全网每个划分区域的每个运营商对于Q2步骤所述的监测数据也进行记录，并做汇总记录，并将结果汇总上报至中心分析系统；

Q4：中心分析系统将步骤Q2和步骤Q3监测到的数据进行汇总，为该域名URL形成一个统一的监测汇总数据；

Q5：劫持发现之DNS解析层

Q51：中心分析系统根据两种监测系统对域名的解析结果，汇总生成一份实际的全国各地区及运营商维度组合的域名解析级别的IP覆盖关系第一数据；

Q52：中心分析系统通过实时访问日志系统的分析，汇总生成一份全国各地区及运营商维度组合的用户实际访问级别的IP覆盖关系第二数据；

Q53：中心分析系统通过调度系统，生成一份全国各地区及运营商维度组合的最标准的IP覆盖关系第三数据；

Q54：中心分析系统将第一数据、第二数据分别和第三数据做校验比对，

当第一数据和第三数据某些地区不一致，并且第一数据的不一致地区的IP不存在第三数据中，则认为有劫持；

当第二数据和第三数据某些地区不一致，则认为不一致的地区存在调度不精准或者DNS缓存时间过长问题，此时需要针对性的修正第三数据，以避免造成对第一数据的误判；

Q6：劫持发现之应用层

中心分析系统将终端监控系统和第三方付费监控系统上报的URL探测结果、即Q2、Q3步骤分别得到的汇总记录结果进行分析整合，判断URL探测的响应信息是否一致，如果Q2、Q3步骤分别得到的汇总记录结果一致，则认为正常；如果不一致，则认为存在劫持现象，

其中，分析整合的内容包括：判断URL探测的响应头信息中的http-code、content-length、文件md5信息。

2.根据权利要求1所述的一种域名劫持发现的方法，其特征在于，所述Q1步骤中的终端监控系统在发起监控前，需要在终端监控系统中设定好回应该响应的http-code、content-length、文件的md5值、自定义特殊header的指标信息。

3.根据权利要求1所述的一种域名劫持发现的方法，其特征在于，所述Q2、Q3步骤中的设定的频率为每5分钟一次进行全网模拟请求。

4.根据权利要求1所述的一种域名劫持发现的方法，其特征在于，所述Q2、Q3步骤不分先后顺序，Q5、Q6步骤不分先后顺序。