检测可疑DNS的方法、装置和可疑DNS的处理方法、系统制造方法及图纸

本发明专利技术提供了一种检测可疑DNS的方法、装置和可疑DNS的处理方法、系统。其中检测可疑DNS的方法包括：获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确解析结果的集合；若否，将目标DNS标记为可疑DNS。利用本发明专利技术的技术方案可以简单迅速地确定出将域名解析成未知结果的可疑DNS，为进一步分析和处理提供了基础，提高了网络安全性。

【技术实现步骤摘要】
检测可疑DNS的方法、装置和可疑DNS的处理方法、系统
本专利技术涉及互联网领域，特别是涉及一种检测可疑DNS的方法、装置和可疑DNS的处理方法、系统。
技术介绍
域名解析系统（DomainNameService，以下简称DNS）的缩写，它是由解析器以及域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。从而DNS的作用为帮助用户在互联网上寻找路径。在实际使用过程中，黑客可能通过篡改计算机或路由器上的DNS设置，把正常网址解析到钓鱼网站或受黑客控制的主机上，以骗取用户钱财或窃取隐私。恶意DNS的危害性高，会造成用户的财产损失，严重时甚至可能导致网站或网络瘫痪。针对恶意DNS的攻击，现有的应对方法主要有：建议用户手动修改服务器设置为安全性系数高的DNS服务器，互联网公司准备两个以上的域名，一旦黑客进行DNS攻击，通过其他域名进行访问，然而以上方法均是在恶意DNS已经产生危害并被发现后的被动处理方法，无法主动针对恶意DNS进行识别并及时屏蔽恶意DNS并对进行处理。现有技术中缺乏准确及时检测恶意DNS的方法。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的检测可疑DNS的装置和相应的检测可疑DNS的方法以及可疑DNS的处理系统和相应的可疑DNS的处理方法。本专利技术一个目的是及时检测出可疑DNS，以降低互联网危害的风险。基于本专利技术的一个方面提供了一种检测可疑DNS的方法。该检测可疑DNS的方法包括：获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确解析结果的集合；若否，将目标DNS标记为可疑DNS。可选地，在将目标DNS记为可疑DNS之后还包括：分别获取第一页面和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果对应的页面；计算第一页面和第二页面的页面相似度；在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。可选地，计算第一页面和第二页面的页面相似度包括：使用向量空间模型算法计算第一页面和第二页面的页面内容相似度。可选地，在确定可疑DNS为恶意DNS之后还包括：在安全建议显示区域输出恶意DNS的检测结果。可选地，检查待检测DNS解析结果是否属于DNS正确解析结果的集合包括至少以下任意一种方式：检查待检测DNS解析结果中的IP地址是否属于DNS正确解析结果的集合中的IP地址列表；检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集合中的别名记录列表；检查待检测DNS解析结果中的邮件交换记录是否属于DNS正确解析结果的集合中的邮件交换记录列表。可选地，一组域名解析服务器包括：多个具有电信运行商资质的域名解析服务器，已知域名包括多个不同类型网站的域名。根据本专利技术的另一个方面，还提供了一种检测可疑DNS的装置。该检测可疑DNS的装置包括：第一解析接口，用于获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；第二解析接口，用于获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；查询模块，用于检查待检测DNS解析结果是否属于DNS正确解析结果的集合；第一判断模块，用于在查询模块的检查结果为否的情况下，将目标DNS标记为可疑DNS。可选地，上述检测可疑DNS的装置还包括：页面获取模块，用于分别获取第一页面和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果待检测DNS的页面；计算模块，用于计算第一页面和第二页面的页面相似度；第二判断模块，用于在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。可选地，计算模块配置为：使用向量空间模型算法计算第一页面和第二页面的页面相似度。可选地，上述检测可疑DNS的装置还包括：显示模块，用于在安全建议显示区域输出恶意DNS的检测结果。可选地，查询模块包括至少以下任意一项：IP地址查询子模块，用于检查待检测DNS解析结果中的IP地址是否属于DNS正确解析结果的集合中的IP地址列表；别名记录查询子模块，用于检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集合中的别名记录列表；邮件交换记录查询子模块，用于检查待检测DNS解析结果中的邮件交换记录是否属于DNS正确解析结果的集合中的邮件交换记录列表。根据本专利技术的又一个方面，提供了一种可疑DNS的处理方法。该可疑DNS的处理方法包括：获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名进行解析得到；获取已知域名的待检测DNS解析结果，该待检测DNS解析结果为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确解析结果的集合；若否，将目标DNS标记为可疑DNS，并输出可信DNS列表，以供用户选择。可选地，可信DNS列表中的可信DNS为预先通过DNS安全认证的DNS。可选地，在输出可信DNS列表之后还包括：接收用户对可信DNS列表的选择操作，并使用选中的DNS替换可疑DNS。根据本专利技术的再一个方面，提供了一种可疑DNS的处理系统。该可疑DNS的处理系统包括：一组域名解析服务器，用于对已知域名进行解析，得到已知域名的DNS正确解析结果的集合；检测可疑DNS的装置，用于获取已知域名的DNS正确解析结果的集合，获取已知域名的待检测DNS解析结果，该待检测DNS解析结果为目标DNS对已知域名解析的结果，检查待检测DNS解析结果是否属于DNS正确解析结果的集合，若否，将目标DNS标记为可疑DNS；DNS推荐装置，用于检测可疑DNS的装置检测出可疑DNS后，输出可信DNS列表，以供用户选择。可选地，DNS推荐装置输出的可信DNS列表中的可信DNS为预先通过安全认证的DNS。可选地，上述可疑DNS的处理系统还包括：DNS设置装置，用于接收用户对可信DNS列表的选择操作，并使用选中的DNS替换可疑DNS。可选地，一组域名解析服务器包括：多个具有电信运行商资质的域名解析服务器，已知域名包括多个不同类型网站的域名。本专利技术的检测可疑DNS的方法通过对比已知DNS和待检测的目标DNS对常用域名的解析结果，在待检测的目标DNS的解析结果明显不同于已知DNS的解析结果时，将目标DNS标记为可疑DNS。可以简单迅速地确定出将域名解析成未知结果的可疑DNS，为进一步分析和处理提供了基础，提高了网络安全性。进一步地，通过对比不同DNS解析结果对应页面的页面相似度，判断根据可疑DNS的解析结果访问的页面是否是正确的页面，是否出现了篡改的情况，从而可以确定出恶意DNS。又进一步地，确定出恶意DNS后，可以向用户推荐正确的已经过验证的DNS，可以有效遏制黑客通过篡改DNS给网民带来诸如网络钓鱼和隐私窃取等安全风险以及弹出广告的骚扰。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为本文档来自技高网...

【技术保护点】
一种检测可疑DNS的方法，包括：获取已知域名的DNS正确解析结果的集合，所述DNS正确解析结果的集合通过一组域名解析服务器对所述已知域名解析得到；获取所述已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述已知域名解析的结果；检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合；若否，将所述目标DNS标记为可疑DNS。

【技术特征摘要】
1.一种检测可疑DNS的方法，包括：获取一组已知域名的DNS正确解析结果的集合，所述DNS正确解析结果的集合通过一组域名解析服务器对所述一组已知域名解析得到，所述一组已知域名包括多个不同类型网站的域名；获取所述一组已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述一组已知域名解析的结果；检查所述一组已知域名中每个域名的所述待检测DNS解析结果是否属于该域名所述DNS正确解析结果的集合；若所述待检测解析结果中任一域名的所述待检测DNS解析结果不属于该域名所述DNS正确解析结果的集合，将所述目标DNS标记为可疑DNS，其中检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合包括：检查所述待检测DNS解析结果中的别名记录是否属于所述DNS正确解析结果的集合中的别名记录列表；检查所述待检测DNS解析结果中的邮件交换记录是否属于所述DNS正确解析结果的集合中的邮件交换记录列表。2.根据权利要求1的方法，其中，在将所述目标DNS记为可疑DNS之后还包括：分别获取第一页面和第二页面，其中所述第一页面为所述DNS正确解析结果对应的页面，所述第二页面为所述待检测DNS解析结果对应的页面；计算所述第一页面和所述第二页面的页面相似度；在所述相似度小于预设值的情况下，确定所述可疑DNS为恶意DNS。3.根据权利要求2的方法，其中，计算所述第一页面和所述第二页面的页面相似度包括：使用向量空间模型算法计算所述第一页面和所述第二页面的页面内容相似度。4.根据权利要求2或3的方法，其中，在确定所述可疑DNS为恶意DNS之后还包括：在安全建议显示区域输出所述恶意DNS的检测结果。5.根据权利要求1至3中任一项的方法，其中，检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合还包括：检查所述待检测DNS解析结果中的IP地址是否属于所述DNS正确解析结果的集合中的IP地址列表。6.根据权利要求1至3中任一项的方法，其中，所述一组域名解析服务器包括：多个具有电信运行商资质的域名解析服务器。7.一种检测可疑DNS的装置，包括：第一解析接口，用于获取一组已知域名的DNS正确解析结果的集合，所述DNS正确解析结果的集合通过一组域名解析服务器对所述一组已知域名解析得到，所述一组已知域名包括多个不同类型网站的域名；第二解析接口，用于获取所述一组已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述一组已知域名解析的结果；查询模块，用于检查所述一组已知域名中每个域名的所述待检测DNS解析结果是否属于该域名所述DNS正确解析结果的集合；第一判断模块，用于在所述查询模块的检查结果为所述待检测解析结果中任一域名的所述待检测DNS解析结果不属于该域名所述DNS正确解析结果的集合的情况下，将所述目标DNS标记为可疑DNS，其中所述查询模块包括：别名记录查询子模块，用于检查所述待检测DNS解析结果中的别名记录是否属于所述DNS正确解析结果的集合中的别名记录列表；邮件交换记录查询子模块，用于检查所述待检测DNS解析结果中的邮件交换记录是否属于所述...

【专利技术属性】
技术研发人员：江爱军，郑玉虎，谭合力，姚彤，胡宇，刘浩，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：