CN103561120A - 检测可疑dns的方法、装置和可疑dns的处理方法、系统 - Google Patents

Abstract

本发明提供了一种检测可疑DNS的方法、装置和可疑DNS的处理方法、系统。其中检测可疑DNS的方法包括：获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确解析结果的集合；若否，将目标DNS标记为可疑DNS。利用本发明的技术方案可以简单迅速地确定出将域名解析成未知结果的可疑DNS，为进一步分析和处理提供了基础，提高了网络安全性。

Description

检测可疑DNS的方法、装置和可疑DNS的处理方法、系统

技术领域

本发明涉及互联网领域，特别是涉及一种检测可疑DNS的方法、装置和可疑DNS的处理方法、系统。

背景技术

域名解析系统（Domain Name Service，以下简称DNS）的缩写，它是由解析器以及域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。从而DNS的作用为帮助用户在互联网上寻找路径。

在实际使用过程中，黑客可能通过篡改计算机或路由器上的DNS设置，把正常网址解析到钓鱼网站或受黑客控制的主机上，以骗取用户钱财或窃取隐私。恶意DNS的危害性高，会造成用户的财产损失，严重时甚至可能导致网站或网络瘫痪。

针对恶意DNS的攻击，现有的应对方法主要有：建议用户手动修改服务器设置为安全性系数高的DNS服务器，互联网公司准备两个以上的域名，一旦黑客进行DNS攻击，通过其他域名进行访问，然而以上方法均是在恶意DNS已经产生危害并被发现后的被动处理方法，无法主动针对恶意DNS进行识别并及时屏蔽恶意DNS并对进行处理。现有技术中缺乏准确及时检测恶意DNS的方法。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的检测可疑DNS的装置和相应的检测可疑DNS的方法以及可疑DNS的处理系统和相应的可疑DNS的处理方法。本发明一个目的是及时检测出可疑DNS，以降低互联网危害的风险。

基于本发明的一个方面提供了一种检测可疑DNS的方法。该检测可疑DNS的方法包括：获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确解析结果的集合；若否，将目标DNS标记为可疑DNS。

可选地，在将目标DNS记为可疑DNS之后还包括：分别获取第一页面和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果对应的页面；计算第一页面和第二页面的页面相似度；在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。

可选地，计算第一页面和第二页面的页面相似度包括：使用向量空间模型算法计算第一页面和第二页面的页面内容相似度。

可选地，在确定可疑DNS为恶意DNS之后还包括：在安全建议显示区域输出恶意DNS的检测结果。

可选地，检查待检测DNS解析结果是否属于DNS正确解析结果的集合包括至少以下任意一种方式：检查待检测DNS解析结果中的IP地址是否属于DNS正确解析结果的集合中的IP地址列表；检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集合中的别名记录列表；检查待检测DNS解析结果中的邮件交换记录是否属于DNS正确解析结果的集合中的邮件交换记录列表。

可选地，一组域名解析服务器包括：多个具有电信运行商资质的域名解析服务器，已知域名包括多个不同类型网站的域名。

根据本发明的另一个方面，还提供了一种检测可疑DNS的装置。该检测可疑DNS的装置包括：第一解析接口，用于获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；第二解析接口，用于获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；查询模块，用于检查待检测DNS解析结果是否属于DNS正确解析结果的集合；第一判断模块，用于在查询模块的检查结果为否的情况下，将目标DNS标记为可疑DNS。

可选地，上述检测可疑DNS的装置还包括：页面获取模块，用于分别获取第一页面和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果待检测DNS的页面；计算模块，用于计算第一页面和第二页面的页面相似度；第二判断模块，用于在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。

可选地，计算模块配置为：使用向量空间模型算法计算第一页面和第二页面的页面相似度。

可选地，上述检测可疑DNS的装置还包括：显示模块，用于在安全建议显示区域输出恶意DNS的检测结果。

可选地，查询模块包括至少以下任意一项：IP地址查询子模块，用于检查待检测DNS解析结果中的IP地址是否属于DNS正确解析结果的集合中的IP地址列表；别名记录查询子模块，用于检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集合中的别名记录列表；邮件交换记录查询子模块，用于检查待检测DNS解析结果中的邮件交换记录是否属于DNS正确解析结果的集合中的邮件交换记录列表。

根据本发明的又一个方面，提供了一种可疑DNS的处理方法。该可疑DNS的处理方法包括：获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名进行解析得到；获取已知域名的待检测DNS解析结果，该待检测DNS解析结果为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确解析结果的集合；若否，将目标DNS标记为可疑DNS，并输出可信DNS列表，以供用户选择。

可选地，可信DNS列表中的可信DNS为预先通过DNS安全认证的DNS。

可选地，在输出可信DNS列表之后还包括：接收用户对可信DNS列表的选择操作，并使用选中的DNS替换可疑DNS。

根据本发明的再一个方面，提供了一种可疑DNS的处理系统。该可疑DNS的处理系统包括：一组域名解析服务器，用于对已知域名进行解析，得到已知域名的DNS正确解析结果的集合；检测可疑DNS的装置，用于获取已知域名的DNS正确解析结果的集合，获取已知域名的待检测DNS解析结果，该待检测DNS解析结果为目标DNS对已知域名解析的结果，检查待检测DNS解析结果是否属于DNS正确解析结果的集合，若否，将目标DNS标记为可疑DNS；DNS推荐装置，用于检测可疑DNS的装置检测出可疑DNS后，输出可信DNS列表，以供用户选择。

可选地，DNS推荐装置输出的可信DNS列表中的可信DNS为预先通过安全认证的DNS。

可选地，上述可疑DNS的处理系统还包括：DNS设置装置，用于接收用户对可信DNS列表的选择操作，并使用选中的DNS替换可疑DNS。

可选地，一组域名解析服务器包括：多个具有电信运行商资质的域名解析服务器，已知域名包括多个不同类型网站的域名。

本发明的检测可疑DNS的方法通过对比已知DNS和待检测的目标DNS对常用域名的解析结果，在待检测的目标DNS的解析结果明显不同于已知DNS的解析结果时，将目标DNS标记为可疑DNS。可以简单迅速地确定出将域名解析成未知结果的可疑DNS，为进一步分析和处理提供了基础，提高了网络安全性。

进一步地，通过对比不同DNS解析结果对应页面的页面相似度，判断根据可疑DNS的解析结果访问的页面是否是正确的页面，是否出现了篡改的情况，从而可以确定出恶意DNS。

又进一步地，确定出恶意DNS后，可以向用户推荐正确的已经过验证的DNS，可以有效遏制黑客通过篡改DNS给网民带来诸如网络钓鱼和隐私窃取等安全风险以及弹出广告的骚扰。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

根据下文结合附图对本发明具体实施例的详细描述，本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是根据本发明一个实施例的检测可疑DNS的装置100的示意图；

图2是根据本发明另一个实施例的检测可疑DNS的装置100的示意图；

图3是根据本发明一个实施例的可疑DNS的处理系统200的示意图；

图4是根据本发明一个实施例的检测可疑DNS的方法的示意图；

图5是根据本发明一个实施例的可疑DNS的处理方法的示意图；

图6是根据本发明一个实施例的检测可疑DNS的方法的输出恶意DNS的检测结果的界面示意图；以及

图7是根据本发明一个实施例的可疑DNS的处理方法的输出可信DNS列表供用户进行选择的界面示意图。

具体实施方式

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

图1是根据本发明一个实施例的检测可疑DNS的装置100的示意图。该检测可疑DNS的装置100一般性地可包括：第一解析接口110，第二解析接口120、查询模块130、第一判断模块140。

在以上检测可疑DNS的装置100中，第一解析接口110，用于获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器210对已知域名解析得到。第二解析接口120，用于获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果。查询模块130，用于检查待检测DNS解析结果是否属于DNS正确解析结果的集合。第一判断模块140，用于在查询模块130的检查结果为否的情况下，将目标DNS标记为可疑DNS。

第一解析接口110是与一组域名解析服务器210的数据通信接口，用于向一组已知的域名解析服务器提出域名解析请求，并接收以上域名解析服务器的域名解析结果。第一解析接口110是与待检测DNS连接的数据通信接口，用于向待检测DNS提出域名解析请求，并接收待检测DNS的域名解析结果。一般来说，第一解析接口110数据连接的域名解析服务器是已经经过安全认证的服务器，可以选择多个具有电信运行商资质的域名解析服务器，例如电信联通在各地设立的DNS解析服务器，以及国际上知名域名解析服务器，如谷歌、香港和记环球电讯的服务器等。以上已知域名可以从网民访问量巨大的域名中选取，例如网购类网站域名、游戏类网站域名、社交类网站域名等。

在第一判断模块140判断出可疑DNS时，上述检测可疑DNS的装置100还可以进一步确认DNS的安全性。图2是根据本发明另一个实施例的检测可疑DNS的装置100的示意图，在该实施例中的增加了页面获取模块150、计算模块160、第二判断模块170、显示模块180。该页面获取模块150，用于分别获取第一页面和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果待检测DNS的页面；计算模块160，用于计算第一页面和第二页面的页面相似度；第二判断模块170，用于在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。计算模块160计算页面相似度的方式很多，一种常用的方式是将计算模块160配置为使用向量空间模型算法计算第一页面和第二页面的页面内容相似度。在页面内容相似度大与预设值时，证明可疑DNS解析结果对应的页面不是原来域名正确对应的页面，可疑DNS对解析目标进行了篡改，为恶意DNS。显示模块180及时在安全建议显示区域输出恶意DNS的检测结果，提醒用户进行安全处理。

DNS的解析结果通常包括：该域名对应的IP地址（A记录）、该域名对应的别名记录（cname记录）、邮件交换记录（Mail Exchanger，MX记录）。对应以上解析结果的内容，查询模块130包括至少以下任意一项：IP地址查询子模块131，用于检查待检测DNS解析结果中的IP地址是否属于DNS正确解析结果的集合中的IP地址列表；别名记录查询子模块132，用于检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集合中的别名记录列表；邮件交换记录查询子模块133，用于检查待检测DNS解析结果中的邮件交换记录是否属于DNS正确解析结果的集合中的邮件交换记录列表。

本发明实施例还提供了一种可疑DNS的处理系统200。图3是根据本发明一个实施例的可疑DNS的处理系统200的示意图，该可疑DNS的处理系统200包括：一组域名解析服务器210、检测可疑DNS的装置100、DNS推荐装置220。其中检测可疑DNS的装置100可以为以上实施例中介绍的任一种检测可疑DNS的装置100。在检测可疑DNS的装置100利用一组域名解析服务器210确定出可疑DNS后，DNS推荐装置220，用于检测可疑DNS的装置100检测出可疑DNS后，输出可信DNS列表，以供用户选择。

以上一组域名解析服务器210可以包括：多个具有电信运行商资质的域名解析服务器，已知域名包括多个不同类型网站的域名。DNS推荐装置220输出的可信DNS列表中的可信DNS均为预先通过安全认证的DNS。

可疑DNS的处理系统200还可以包括：DNS设置装置230，用于接收用户对可信DNS列表的选择操作，并使用选中的DNS替换可疑DNS。从而自动使用用户选择的安全DNS替换掉可疑DNS，消除安全隐患。

通过本实施例的可疑DNS的处理系统200。可以及时地将DNS修改为推荐的安全DNS，消除了恶意DNS对用户的侵害。

以下结合本发明实例提供的检测可疑DNS的方法和可疑DNS的处理方法的流程介绍对上述检测可疑DNS的装置100和可疑DNS的处理系统200工作步骤进行详细说明。其中检测可疑DNS的方法可由以上介绍的任一种检测可疑DNS的装置100执行，可疑DNS的处理方法可由以上介绍的任一种可疑DNS的处理系统200执行。

图4是根据本发明一个实施例的检测可疑DNS的方法的示意图，如图所示，该检测可疑DNS的方法包括以下步骤：

步骤S402，获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；

步骤S404，获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；

步骤S406，检查待检测DNS解析结果是否属于DNS正确解析结果的集合；

步骤S408，若步骤S406的结果为否，将目标DNS标记为可疑DNS。

步骤S402中的一组域名解析服务器中的服务器均是已经经过安全认证的服务器，优选可以选择多个具有电信运行商资质的域名解析服务器，例如电信联通在各地设立的DNS解析服务器，以及国际上知名域名解析服务器，如谷歌、香港和记环球电讯的服务器等。以上已知域名可以从网民访问量巨大的域名中选取，例如网购类网站域名、游戏类网站域名、社交类网站域名等。

步骤S406检查待检测DNS解析结果是否属于DNS正确解析结果的集合包括至少以下任意一种方式：检查待检测DNS解析结果中的IP地址是否属于DNS正确解析结果的集合中的IP地址列表；检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集合中的别名记录列表；检查待检测DNS解析结果中的邮件交换记录是否属于DNS正确解析结果的集合中的邮件交换记录列表。以上方式分别是基于DNS的解析结果中的该域名对应的IP地址（A记录）、该域名对应的别名记录（cname记录）、邮件交换记录（Mail Exchanger，MX记录）得出的。以上三种方式可以根据实际情况灵活配置，例如只选择其中的IP地址，也可以综合选择三种方式中的两种或全部三种同时进行查询。

在确定出可疑DNS后，本实施例的检测可疑DNS的方法还可以进一步确认DNS的安全性。在步骤S408之后还执行以下步骤：分别获取第一页面和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果对应的页面；计算第一页面和第二页面的页面相似度；在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。计算页面相似度存在多种方式，一种常用的方式是使用向量空间模型算法计算第一页面和第二页面的页面内容相似度。在页面内容相似度大与预设值时，证明可疑DNS解析结果对应的页面不是原来域名正确对应的页面，可疑DNS对解析目标进行了篡改，为恶意DNS。

在确定可疑DNS为恶意DNS之后还包括：在安全建议显示区域输出恶意DNS的检测结果。提醒用户进行安全处理。

本发明实施例还提供了一种可疑DNS的处理方法，通过本实施例的可疑DNS的处理方法可以对可疑DNS进行相应的处理。图5是根据本发明一个实施例的可疑DNS的处理方法的示意图，如图所示，该可疑DNS的处理方法的步骤S402至步骤S408对应与以上实施例的检测可疑DNS的方法中的步骤S402至步骤S408相同，在步骤S408之后还包括：

步骤S502，输出可信DNS列表，以供用户进行选择；

步骤S504，接收用户对可信DNS列表的选择操作，并使用选中的DNS替换可疑DNS。

其中，步骤S502中可信DNS列表中的DNS均为预先通过DNS安全认证的DNS。利用步骤S504，自动使用用户选择的安全DNS替换掉可疑DNS，消除了安全隐患。

下面结合一个使用本发明实施例的检测可疑DNS的方法和可疑DNS的处理方法实例对本发明实施例进一步进行说明。

选择一组已知域名集合DN={dn1，dn2，…dnn}，域名集合中的dn1，dn2，…dnn通常选择网民经常访问的域名：例如网购类（如淘宝客，s.taobao.com）、游戏类（如多玩英雄联盟，lol.duowan.com）、社交类网站（如QQ空间，qzone.qq.com）等，这类网站为了CDN加速通常都配置了别名记录cname。

利用分布在在世界各地的具有电信运营商资质的域名解析服务器组成一个安全域名解析服务器集合DNS_SERVER={ds1，ds2，…dsn}，集合中的ds1，ds2，…dsn可以优选国内各地电信、联通、移动、教育网的DNS服务器IP和国外知名的google dns，open dns等。

对于侦听到的未知的目标DNS，该位置DNS以下使用DNS（dsu）进行指代，检测该dsu是否恶意DNS步骤如下：

使用安全域名解析服务器集合DNS_SERVER中的DNS依次对已知域名

集合DN中的每个域名进行解析，得到已知域名DN的DNS正确解析结果集合RESULT={R（ds1，dn1），R（ds1，dn2），…，R（dsn，dnn）}，在集合中R（ds1，dn1）={IP11，CNAME11，MX11}是域名解析服务器ds1解析出域名dn1的结果，该结果中包括IP11、CNAME11、MX11，IP11是ds1解析出的域名dn1对应的IP地址，CNAME11是ds1解析出的域名dn1对应的别名记录，MX11是ds1解析出的域名dn1对应的邮件交换记录。对应地，集合中R（dsn，dnn）={IPnn，CNAMEnn，MXnn}是域名解析服务器dsn解析出域名dnn的结果，该结果中包括IPnn，CNAMEnn，MXnn，IPnn是dsn解析出的域名dnn对应的IP地址，CNAMEnn是dsn解析出的域名dnn对应的别名记录，MXnn是dsn解析出的域名dnn对应的邮件交换记录。

使用DNS（dsu）对对已知域名集合DN中的每个域名进行解析，得到已知域名DN的待检测DNS解析结果RESULTu={R（dsu，dn1），R（dsu，dn2），…，R（dsu，ds3）}。以上待检测DNS解析结果中R（dsu，dn1）为目标DNS（dsu）解析域名dn1的结果，也包括DNS（dsu）解析出的域名dn1对应的IP地址、别名记录和邮件交换记录。R（dsu，dnn）为目标DNS（dsu）解析域名dnn的结果，其中包括DNS（dsu）解析出的域名dnn对应的IP地址、别名记录和邮件交换记录。

从DNS正确解析结果集合REUSLT中获取世界各地安全域名解析服务器对域名dn1的解析结果RESULT（dn1）={R（ds1，dn1），R（ds2，dn1），…，R（dsn，dn1）}，进一步获取域名dn1对应的IP列表IP（dn1）={ip1，ip2，…，ipn}，dn1对应的cname记录列表CNAME（dn1）={ce1，ce2，…，cen}，dn1对应的MX记录列表MX（dn1）={mx1，mx2，…，mxn}，然后把目标DNS（dsu）对域名dn1的结果R（dsu，dn1）={IPu1，CNAMEu1，MXu1}进行对比，对比的具体方式包括以下任一种方式：

检查IPu1∈IP（dn1）是否为空，若为空，则此目标DNS（dsu）即为可疑；

检查CNAMEu1∈CNAME（dn1）是否为空，若为空，则此目标DNS（dsu）即为可疑；

检查MXu1∈MX（dn1）是否为空，若为空，则此目标DNS（dsu）即为可疑；

按照上述步骤依次比对DN中每个域名的解析结果。如果DN中任一域名出现DNS（dsu）的待检测DNS解析结果不属于DNS正确解析结果的集合的情况，即判定目标DNS（dsu）标记为可疑DNS。

对于可疑的DNS，继续比对结果异常的域名（dne）对应网页的页面内容。用合法域名解析服务器解析出的IP（dne）访问域名（dne）对应网页的页面内容Page1，用可疑DNS解析出的IPu访问域名（dne）对应网页的页面内容Page2，采用向量空间法（Vector Space Model，简称VSM）计算出第一页面Page1和第二页面Page2相似度，若相似度小于指定阀值则认为此目标DNS（dsu）劫持了域名（dne），即可认为此目标DNS（dsu）为恶意DNS。以上相似度阈值可以根据页面的情况进行设定。

向量空间法把对文本内容的处理简化为向量空间中的向量运算，并且以空间上的相似度表达语义的相似度，直观易懂。当文档被表示为文档空间的向量，就可以通过计算向量之间的相似性来度量文档间的相似性。

确认恶意DNS后，在安全建议显示区域输出恶意DNS的检测结果，图6是根据本发明一个实施例的检测可疑DNS的方法的输出恶意DNS的检测结果的界面示意图，图中显示的方式是在类似于安全卫士之类的互联网软件显示界面中的安全隐患部分输出，类似地，还可以通过弹出气泡、对话框等方式显示。

利用以上步骤检测出恶意DNS后，可以利用本发明实施例提供的可疑DNS的处理方法对可疑DNS或者恶意DNS进行替换，图7是根据本发明一个实施例的可疑DNS的处理方法的输出可信DNS列表以供用户进行选择的界面示意图。用户可以对图中的两个DNS选择框进行选择，然后选择立即修复按钮，软件后台可以自动设置对应的安全DNS。

进一步地，当用户选择不修复时，显示界面可以输出安全隐患提示。另外，可以将恶意DNS进行上报，防止恶意DNS的扩散，造成恶意影响。

以下是本发明实施例对一个具体的目标DNS（58.53.128.86）的分析结果。

首先使用DNS（58.53.128.86）对域名s.taobao.com的解析结果如表1所示：

表1

DNS	响应类型	响应IP	IP所在地	TTL值
					58.53.128.86	A	202.55.5.243	印度	60

然后使用一组世界各地合法域名解析服务器对域名s.taobao.com的正确解析结果的集合如表2所示：

表2

对比以上表1和表2的内容，可以看出DNS（58.53.128.86）解析域名s.taobao.com的结果，其中A记录中的IP（202.55.5.243）不再合法有效的IP列表中，且没有cname记录，故认为此DNS（58.53.128.86）可疑。

然后，使用淘宝服务器的IP（110.75.67.5）访问页面http://s.taobao.com/search?q=%CA%D6%BB%FA&initiative_id=staobaoz_20130829，获取到第一页面，返回的数据包如下：

使用DNS（58.53.128.86）解析出的IP（202.55.5.243）访问页面http://s.taobao.com/search?q=%CA%D6%BB%FA&initiative_id=staobaoz_20130829，获取到第二页面，返回的数据包如下：

明显可以看出两个页面的内容差异较大，DNS（58.53.128.86）为恶意DNS，篡改了淘宝的正确IP。

通过内部对本发明实施例的检测可疑DNS的方法的测试，成功挖掘出多个恶意DNS，证明了本发明实施例的检测可疑DNS的方法可以有效地遏制了黑客通过篡改DNS给网民带来诸如网络钓鱼和隐私窃取等安全风险以及弹出广告的骚扰。

本实施例中的方法、装置、和系统可以集成于类似于安全卫士的互联网安全软件中，与安全中心的云端服务器数据连接，及时发现并上报可疑DNS，减小恶意DNS对网络的侵害。

本发明的检测可疑DNS的方法通过对比已知DNS和待检测的目标DNS对常用域名的解析结果，在待检测的目标DNS的解析结果明显不同于已知DNS的解析结果时，将目标DNS标记为可疑DNS。可以简单迅速地确定出将域名解析成未知结果的DNS，为进一步分析和处理提供了基础。

进一步地，通过对比不同DNS解析结果对应页面的页面相似度，判断根据可疑DNS的解析结果访问的页面是否是正确的页面，是否出现了篡改的情况，从而可以确定出恶意DNS。

又进一步地，确定出恶意DNS后，可以向用户推荐正确的已经过验证的DNS，可以有效遏制黑客通过篡改DNS给网民带来诸如网络钓鱼和隐私窃取等安全风险以及弹出广告的骚扰。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书（包括伴随的权利要求、摘要和附图）中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书（包括伴随的权利要求、摘要和附图）中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP）来实现根据本发明实施例的检测可疑DNS的装置和可疑DNS的处理系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

至此，本领域技术人员应认识到，虽然本文已详尽示出和描述了本发明的多个示例性实施例，但是，在不脱离本发明精神和范围的情况下，仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此，本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。

Claims (14)

1.一种检测可疑DNS的方法，包括：

获取已知域名的DNS正确解析结果的集合，所述DNS正确解析结果的集合通过一组域名解析服务器对所述已知域名解析得到；

获取所述已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述已知域名解析的结果；

检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合；

若否，将所述目标DNS标记为可疑DNS。

2.根据权利要求1的方法，其中，在将所述目标DNS记为可疑DNS之后还包括：

分别获取第一页面和第二页面，其中所述第一页面为所述DNS正确解析结果对应的页面，所述第二页面为所述待检测DNS解析结果对应的页面；

计算所述第一页面和所述第二页面的页面相似度；

在所述相似度小于预设值的情况下，确定所述可疑DNS为恶意DNS。

3.根据权利要求2的方法，其中，计算所述第一页面和所述第二页面的页面相似度包括：使用向量空间模型算法计算所述第一页面和所述第二页面的页面内容相似度。

4.根据权利要求2或3的方法，其中，在确定所述可疑DNS为恶意DNS之后还包括：

在安全建议显示区域输出所述恶意DNS的检测结果。

5.根据权利要求1至4中任一项的方法，其中，检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合包括至少以下任意一种方式：

检查所述待检测DNS解析结果中的IP地址是否属于所述DNS正确解析结果的集合中的IP地址列表；

检查所述待检测DNS解析结果中的别名记录是否属于所述DNS正确解析结果的集合中的别名记录列表；

检查所述待检测DNS解析结果中的邮件交换记录是否属于所述DNS正确解析结果的集合中的邮件交换记录列表。

6.根据权利要求1至5中任一项的方法，其中，所述一组域名解析服务器包括：多个具有电信运行商资质的域名解析服务器，所述已知域名包括多个不同类型网站的域名。

7.一种检测可疑DNS的装置，包括：

第一解析接口，用于获取已知域名的DNS正确解析结果的集合，所述DNS正确解析结果的集合通过一组域名解析服务器对所述已知域名解析得到；

第二解析接口，用于获取所述已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述已知域名解析的结果；

查询模块，用于检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合；

第一判断模块，用于在所述查询模块的检查结果为否的情况下，将所述目标DNS标记为可疑DNS。

8.一种可疑DNS的处理方法，包括：

获取已知域名的DNS正确解析结果的集合，所述DNS正确解析结果的集合通过一组域名解析服务器对所述已知域名进行解析得到；

获取所述已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述已知域名解析的结果；

检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合；

若否，将所述目标DNS标记为可疑DNS，并输出可信DNS列表，以供用户选择。

9.根据权利要求8的方法，其中，所述可信DNS列表中的可信DNS为预先通过DNS安全认证的DNS。

10.根据权利要求8或9的方法，其中，在输出可信DNS列表之后还包括：接收用户对所述可信DNS列表的选择操作，并使用选中的DNS替换所述可疑DNS。

11.一种可疑DNS的处理系统，包括：

一组域名解析服务器，用于对已知域名进行解析，得到所述已知域名的DNS正确解析结果的集合；

检测可疑DNS的装置，用于获取所述已知域名的DNS正确解析结果的集合，获取所述已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述已知域名解析的结果，检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合，若否，将所述目标DNS标记为可疑DNS；

DNS推荐装置，用于检测所述可疑DNS的装置检测出所述可疑DNS后，输出可信DNS列表，以供用户选择。

12.根据权利要求11的系统，其中，所述DNS推荐装置输出的所述可信DNS列表中的可信DNS为预先通过安全认证的DNS。

13.根据权利要求11或12的系统，其中，还包括：

DNS设置装置，用于接收用户对所述可信DNS列表的选择操作，并使用选中的DNS替换所述可疑DNS。

14.根据权利要求11至13中任一项的系统，其中，所述一组域名解析服务器包括：多个具有电信运行商资质的域名解析服务器，已知域名包括多个不同类型网站的域名。

Images