CN103957201B - 基于dns的域名信息处理方法、装置及系统 - Google Patents
基于dns的域名信息处理方法、装置及系统 Download PDFInfo
- Publication number
- CN103957201B CN103957201B CN201410158693.7A CN201410158693A CN103957201B CN 103957201 B CN103957201 B CN 103957201B CN 201410158693 A CN201410158693 A CN 201410158693A CN 103957201 B CN103957201 B CN 103957201B
- Authority
- CN
- China
- Prior art keywords
- name information
- domain
- address
- domain name
- new record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 68
- 238000003672 processing method Methods 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000004044 response Effects 0.000 claims description 62
- 238000012545 processing Methods 0.000 claims description 28
- 230000008569 process Effects 0.000 claims description 11
- 238000013475 authorization Methods 0.000 claims description 9
- 238000002224 dissection Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000009286 beneficial effect Effects 0.000 abstract description 6
- 238000005516 engineering process Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 239000002574 poison Substances 0.000 description 2
- 231100000614 poison Toxicity 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Abstract
本发明提供了一种基于DNS的域名信息处理方法、装置及系统。其中,该方法包括:获取接收的客户端请求对应的域名信息;解析域名信息,获取对应的第一网络互联协议IP地址;确定本地域名解析记录中是否存在对域名信息的解析记录,其中,域名信息的解析记录包括除本次解析之外的每次解析域名信息获取到的第二IP地址集合;当确定结果为是,在第二IP地址集合中查找第一IP地址,并根据查找结果对域名信息进行处理。本发明实施例达到了在不存在恶意IP地址的受害者的前提下,防止用户收到网络安全威胁的有益效果。
Description
技术领域
本发明涉及互联网应用领域,特别是涉及一种基于DNS的域名信息处理方法、装置及系统。
背景技术
随着网络技术的发展,网络已经逐渐深入人们生产生活的各个部分。人们通过网络进行信息的传递,甚至能够足不出户通过网络进行工作、学习甚至购物。与此同时,随着人们对于网络的依赖加深,网络安全对人们生产生活的影响也随着加深。网络安全的威胁将时时刻刻影响用户的财产安全甚至生命安全。如恶意用户通过钓鱼网站非法获取用户的银行账号及密码,进而非法获取用户的大量财产。因此,钓鱼网站、域名投毒以及域名劫持等日益严峻的网络安全问题也越来越受到人们的重视。现有技术中,对于一些存在安全威胁的网址,只有当一部分用户成为受害者之后,才能够辨别出存在安全威胁的网站或者恶意网站,进而当其他用户再次请求访问时,能够阻止用户受害。
因此,现有技术中对于存在安全威胁的网站或者恶意网站无法在保证无用户受害的前提下,将其辨别出来,而随着恶意网络用户技术的提高,现有技术这种低效率高成本的恶意网址识别技术将导致更多用户遭受网络安全的威胁,给人们的生产生活带来不良影响。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于DNS的域名信息处理方法、相应的装置及系统。
依据本发明的一个方面,提供了一种基于域名系统DNS的域名信息处理方法,包括:获取接收的客户端请求对应的域名信息;解析所述域名信息,获取对应的第一网络互联协议IP地址;确定本地域名解析记录中是否存在对所述域名信息的解析记录,其中,所述域名信息的解析记录包括除本次解析之外的每次解析所述域名信息获取到的第二IP地址集合;当确定结果为是,在所述第二IP地址集合中查找所述第一IP地址,并根据查找结果对所述域名信息进行处理。
可选地,所述根据查找结果对所述域名信息进行处理,包括:若所述查找结果为查找到所述第一IP地址,判断黑名单中是否存在所述第一IP地址,并根据判断结果对所述域名信息进行处理,其中,所述黑名单包括对用户的信息和/或对用户终端存在安全性威胁的IP地址的列表;若所述查找结果为未查找到所述第一IP地址,则根据预设规则对所述域名信息进行告警处理,其中,所述告警处理包括对所述域名信息进行监控和/或拦截和/或解析处理。
可选地,所述根据判断结果对所述域名信息进行处理,包括:若所述判断结果为存在,则拦截所述域名信息,并发送提醒消息至所述客户端请求发送方,以提示用户所述域名信息存在安全威胁;若所述判断结果为不存在,根据所述域名信息查找对应的响应结果,并发送至所述客户端请求发送方。
可选地,所述根据预设规则对所述域名信息进行告警处理,包括:根据对所述域名信息重要等级的划分对所述域名信息进行所述告警处理。
可选地,所述确定本地域名解析记录中是否存在对所述域名信息的解析记录之后,还包括:若所述确定结果为否,则根据所述域名信息查找对应的响应结果;根据所述响应结果对所述第一IP地址进行危险性判断,并根据危险性判断结果对所述域名信息进行处理,其中,所述危险性判断包括判断所述第一IP地址是否存在于所述黑名单和/或判断所述第一IP地址是否存在恶意程序特征码。
可选地,根据危险性判断结果对所述域名信息进行处理,包括:若根据所述危险性判断结果,所述第一IP地址不存在于所述黑名单并且所述第一IP地址不存在恶意程序特征码,则根据所述域名信息查找到对应的响应结果,并发送至所述客户端请求发送方;若根据所述危险性判断结果,所述第一IP地址存在于所述黑名单和/或所述第一IP地址存在恶意程序特征码,拦截所述域名信息,并发送所述提醒消息至所述客户端请求发送方。
可选地,若所述第一IP地址存在于所述黑名单和/或所述第一IP地址存在恶意程序特征码,还包括:发送所述第一IP地址至其他安全类应用,以供所述其他安全类应用根据所述第一IP地址执行安全性操作,其中,所述安全性操作包括对所述第一IP地址执行监控操作和/或拦截操作。
依据本发明的另一个方面,还提供了一种基于域名系统DNS的域名信息处理装置,包括:接收器,配置为接收客户端请求;获取器,配置为获取与所述客户端请求对应的域名信息;解析器,配置为解析所述域名信息,获取对应的第一网络互联协议IP地址;确定器,配置为确定本地域名解析记录中是否存在对所述域名信息的解析记录,其中,所述域名信息的解析记录包括除本次解析之外的每次解析所述域名信息获取到的第二IP地址集合;查找器,配置为当所述确定器的确定结果为是,在所述第二IP地址集合中查找所述第一IP地址,并根据查找结果对所述域名信息进行处理。
可选地,所述基于域名系统DNS的域名信息处理装置还包括:所述确定器还配置为,若根据所述查找器,所述查找结果为查找到所述第一IP地址,判断黑名单中是否存在所述第一IP地址,并根据判断结果对所述域名信息进行处理,其中,所述黑名单包括对用户的信息和/或对用户终端存在安全性威胁的IP地址的列表;处理器,配置为,若根据所述查找器,所述查找结果为未查找到所述第一IP地址,则根据预设规则对所述域名信息进行告警处理,其中,所述告警处理包括对所述域名信息进行监控和/或拦截和/或解析处理。
可选地,所述处理器还配置为:若根据所述确定器,所述判断结果为存在,则拦截所述域名信息,并发送提醒消息至所述客户端请求发送方,以提示用户所述域名信息存在安全威胁;若根据所述确定器,所述判断结果为不存在,根据所述域名信息查找对应的响应结果,并发送至所述客户端请求发送方。
可选地,所述基于域名系统DNS的域名信息处理装置还包括:所述处理器还配置为,若所述确定器确定本地域名解析记录中不存在对所述域名信息的解析记录,根据所述域名信息查找对应的响应结果;所述确定器还配置为:根据所述响应结果对所述第一IP地址进行危险性判断,并触发所述处理器;所述处理器还配置为,根据危险性判断结果对所述域名信息进行处理,其中,所述危险性判断包括判断所述第一IP地址是否存在于所述黑名单和/或判断所述第一IP地址是否存在恶意程序特征码。
可选地,所述处理器还配置为:若根据所述危险性判断结果,所述第一IP地址不存在于所述黑名单并且所述第一IP地址不存在恶意程序特征码,则根据所述域名信息查找到对应的响应结果,并发送至所述客户端请求发送方;若根据所述危险性判断结果,所述第一IP地址存在于所述黑名单和/或所述第一IP地址存在恶意程序特征码,拦截所述域名信息,并发送所述提醒消息至所述客户端请求发送方。
可选地,所述处理器还配置为:发送所述第一IP地址至其他安全类应用,以供所述其他安全类应用根据所述第一IP地址执行安全性操作,其中,所述安全性操作包括对所述第一IP地址执行监控操作和/或拦截操作。
依据本发明的另一个方面,还提供了一种DNS域名防护系统,包括如上所述的基于DNS的域名信息处理装置,客户端以及域名防护设备,其中,所述客户端,配置为发送客户端请求至所述基于DNS的域名信息处理装置;所述基于DNS的域名信息处理装置,配置为获取所述客户端请求对应的域名信息;解析所述域名信息,获取对应的第一网络互联协议IP地址;确定本地域名解析记录中是否存在对所述域名信息的解析记录,其中,所述域名信息的解析记录包括除本次解析之外的每次解析所述域名信息获取到的第二IP地址集合;当确定结果为是,在所述第二IP地址集合中查找所述第一IP地址,并根据查找结果对所述域名信息进行处理;所述域名防护设备,配置为将所述基于DNS的域名信息处理装置对所述域名信息的处理结果返回至所述客户端。
依据本发明实施例提供的基于DNS的域名信息处理方法能够对于接收的任意客户端请求的域名信息进行解析,并获取域名信息对应的第一IP地址。并在本地域名解析记录对域名信息是否曾经被解析进行查询。若域名信息曾经被解析,则在历史解析记录中的所有第二IP地址中查找本次解析获取的第一IP地址。进而根据查找结果确定对域名信息的处理。因此,本发明实施例提供的基于DNS的域名信息处理方法解决了现有技术中直接从本地解析记录中查找到IP地址,并获取对应的响应结果返回至客户端请求发送方,导致出现域名投毒以及域名劫持等恶劣后果的问题。
另外,本发明实施例中,若本地域名解析记录中不存在对域名信息的解析记录,则获取域名信息对应的响应结果,并对其进行危险性判断,进而根据判断结果确定对域名信息的处理,解决了现有技术中仅能够通过已受害的用户辨别恶意IP地址的问题,达到了在不存在恶意IP地址的受害者的前提下,分辨出恶意IP地址,防止用户收到网络安全威胁的有益效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的基于DNS的域名信息处理方法的处理流程图;
图2示出了根据本发明一个优选实施例的基于DNS的域名信息处理方法的处理流程图;
图3示出了根据本发明一个实施例的基于DNS的域名信息处理装置的结构示意图;
图4示出了根据本发明一个优选实施例的基于DNS的域名信息处理装置的结构示意图;
图5示出了根据本发明一个实施例的DNS域名防护系统的结构示意图;以及
图6示出了根据本发明一个优选实施例的DNS域名防护系统的架构图。
具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
相关技术中提及,对于存在安全威胁的网站或者恶意网站,无法在保证无用户受害的前提下,将其辨别出来,而随着恶意网络用户技术的提高,现有的恶意网址识别技术将导致更多用户遭受网络安全的威胁,给人们的生产生活带来不良影响。
为解决上述技术问题,本发明实施例提供了一种基于域名系统(Domain NameSystem,以下简称DNS)的域名信息处理方法。图1示出了根据本发明一个实施例的基于DNS的域名信息处理方法的处理流程图。参见图1,该流程至少包括步骤S102至步骤S108。
步骤S102、获取接收的客户端请求对应的域名信息。
步骤S104、解析域名信息,获取对应的第一网络互联协议(Internet Protocol,以下简称IP)地址。
步骤S106、确定本地域名解析记录中是否存在对域名信息的解析记录,其中,域名信息的解析记录包括每次解析域名信息获取到的第二IP地址集合。
步骤S108、当确定结果为是,在第二IP地址集合中查找第一IP地址,并根据查找结果对域名信息进行处理。
需要说明的是,本发明实施例中,对于步骤S104以及步骤S106的执行顺序并不加以限定。即本发明实施例可以按照图1所示的顺序,先执行步骤S104,再执行步骤S106,还可以先执行步骤S106,再执行步骤S104,对本发明实施例并不造成任何影响。为介绍简洁,本例中采用先执行步骤S104,再执行步骤S106的顺序。
依据本发明实施例提供的基于DNS的域名信息处理方法能够对于接收的任意客户端请求的域名信息进行解析,并获取域名信息对应的第一IP地址。并在本地域名解析记录对域名信息是否曾经被解析进行查询。若域名信息曾经被解析,则在历史解析记录中的所有第二IP地址中查找本次解析获取的第一IP地址。进而根据查找结果确定对域名信息的处理。因此,本发明实施例提供的基于DNS的域名信息处理方法解决了现有技术中直接从本地解析记录中查找到IP地址,并获取对应的响应结果返回至客户端请求发送方,导致出现域名投毒以及域名劫持等恶劣后果的问题。
另外,本发明实施例中,若本地域名解析记录中不存在对域名信息的解析记录,则获取域名信息对应的响应结果,并对其进行危险性判断,进而根据判断结果确定对域名信息的处理,解决了现有技术中仅能够通过已受害的用户辨别恶意IP地址的问题,达到了在不存在恶意IP地址的受害者的前提下,分辨出恶意IP地址,防止用户收到网络安全威胁的有益效果。
由上文可知,在步骤S106中,确定本地域名解析记录中是否存在对域名信息的解析记录。现对本地域名解析记录中存在对域名信息的解析记录的情况,以及本地域名解析记录中不存在对域名信息的解析记录的情况进行分别介绍。
当本地域名解析记录中存在对域名信息的解析记录时,获取本次解析之前对域名信息每次解析得到的IP地址。为方便介绍,本发明实施例中,将除本次解析之外对域名信息每次解析得到的IP地址均称为第二IP地址,保存于第二IP地址集合中。获取到第二IP地址之后,在第二IP地址集合中查找本次解析域名信息获取到的第一IP地址。若第二IP地址集合中存在第一IP地址,则判断第一IP地址是否存在于黑名单中。其中,在黑名单中保存有已知对用户的信息和/或对用户终端存在安全性威胁的IP地址的列表。若第二IP地址集合中不存在第一IP地址,即域名信息对应的IP地址出现未知变更,则本发明实施例根据预设规则对域名信息进行告警处理。
具体地,当在第二IP地址集合中查找到第一IP地址,则通过在黑名单中对第一IP地址进行查找判断第一IP地址是否为已知的恶意IP地址。若查找到,即第一IP地址为已知的恶意IP地址,则本发明实施例拦截域名信息对应的响应结果,并发送提醒至客户端请求发送方,提示用户该域名信息存在安全威胁,以便用户提高警惕,避免对不安全网站的浏览导致用户的财产损失等。若在黑名单中未查找到第一IP地址,则能够确定第一IP地址为安全地址。进而,获取域名信息对应的响应结果,并发送至客户端请求发送方,以便用户对网页进行正常浏览。
当在第二IP地址集合中未能查找到第一IP地址,则域名信息对应的IP地址出现变更。当域名信息出现域名投毒和/或域名劫持时,域名信息对应的第一IP地址将出现变更。为防止用户浏览被投毒和/或被劫持的域名对应的响应结果造成不良影响,本发明实施例根据预设规则对域名信息进行告警处理。例如,本发明实施例能够对域名信息的重要等级进行划分。划分之后,对于重要等级较高的域名信息,本发明实施例能够对域名信息进行拦截处理,防止用户浏览被投毒的域名信息对应的响应结果,给用户的生产生活带来不便。另外,对于被劫持的域名信息,本发明实施例能够对域名信息进行强制解析,制止域名信息的递归操作,进而阻止域名信息继续被劫持。本发明实施例中,在对域名信息的逐层解析的过程中,会访问到域名空间所有层次的节点,本发明实施例能够将这些节点信息的授权记录备份下来,根据记录的相互关系,组成一个备份的域名层次空间,称为"授权信息数据库"。这个授权数据库对应域名空间的每一级,并且数据信息是实时更新。即,本发明实施例能够将“授权信息数据库”变成了一个互联网域名层次的镜像。由于数据库拥有全部的授权信息记录,本发明实施例可以在根节点甚至是任何一级的域名节点服务器出现故障时,替代这一级的服务器进行授权解析服务。因此,本发明实施例能够制止域名信息的递归操作,进而阻止域名信息继续被劫持。进而,本发明实施例能够保证更加及时修复被投毒和/或被劫持的域名信息,方便用户继续浏览或者使用等。而对于重要等级较低的域名信息,本发明实施例能够对域名信息进行监控,以及时发现域名信息的异常,并提示用户浏览当前域名信息对应的响应结果可能存在安全性风险。
上文介绍了当本地域名解析记录中存在对域名信息的解析记录的情况下,本发明实施例如何对域名信息进行处理,现对本地域名解析记录中不存在对域名信息的解析记录的情况下,如何对域名信息进行处理。
当本地域名解析记录中不存在对域名信息的解析记录时,本发明实施例根据域名信息获取对应的响应结果,并根据响应结果对域名信息对应的第一IP地址进行危险性判断。若根据危险性判断结果,第一IP地址不存在风险性,则获取对应的响应结果,并发送至客户端请求发送方进行浏览。若存在危险性,则拦截域名信息,并对客户端请求发送方进行提醒。
例如,当客户端请求为对于新闻网页的请求,但本地域名解析记录中不存在对域名信息的解析记录,则本发明实施例获取域名信息对应的响应结果,并发现其响应结果为不存在,确定域名信息被投毒或者被劫持或者被恶意用户执行其他恶意操作造成用户浏览时存在安全隐患,则本发明实施例对域名信息进行拦截。之后,本发明实施例还可以将域名信息对应的第一IP地址更新至黑名单中,以供后续操作。
本发明实施例中,根据响应结果对域名信息对应的第一IP地址进行危险性判断时,还能够判断第一IP地址是否存在恶意程序特征码。例如,客户端请求为对于新闻网页的请求,本发明实施例根据域名信息获取响应结果时,发现响应结果为从对应的新闻网页跳转至另一客户端请求中不存在的游戏网页,则本发明实施例能够将从新闻网页跳转至游戏网页的域名信息轨迹作为该响应结果对应的第一IP地址的恶意程序特征码,并拦截第一IP地址对应的域名信息,以及发送提醒消息至客户端请求发送方,提醒客户端请求发送方当前客户端请求对应的响应结果存在安全性风险。再例如,当第一IP地址存在恶意程序特征码时,针对该第一IP地址发起的请求可能符合多个连续域名信息,则多个连续域名信息的轨迹能够作为恶意程序特征码对第一IP地址进行危险性判断。
本发明实施例中,当本地域名解析记录中不存在对域名信息的解析记录时,对第一IP地址进行危险性判断时,除根据响应结果对第一IP地址进行危险性判断以及判断第一IP地址是否存在恶意程序特征码之外,还能够判断第一IP地址是否存在于黑名单。例如,存在安全隐患的IP地址申请到域名信息之后,根据对该域名信息的解析以及对应相应内容的分析能够确定IP地址为恶意IP地址。此时,该IP地址能够重新申请另一个域名信息,若用户对该重新申请的域名信息发送客户端请求,则还会浏览该恶意IP地址,但该IP地址在对上一域名信息进行解析时,已被更新至黑名单。因此,当本地域名解析记录中不存在对域名信息的解析记录时,仍旧能够在黑名单中对域名信息对应的第一IP地址进行查找,判断第一IP地址是否为恶意IP地址,并进一步确定对域名信息的处理。
另外,本发明实施例中,对于通过危险性判断查找到的恶意的第一IP地址,能够将其更新至黑名单,还能够将该第一IP地址发送至其他安全类应用,即快速告知其他安全类应用,以供其他安全类应用根据第一IP地址执行安全性操作,如快速拦截恶意的第一IP地址,对第一IP地址执行监控操作等,保护用户免受恶意程序干扰。
实施例一
为将上文各实施例提供的基于DNS的域名信息处理方法阐述得更加清楚明白,现提供一个优选实施例对本发明实施例提供的基于DNS的域名信息处理方法进行介绍。图2示出了根据本发明一个优选实施例的基于DNS的域名信息处理方法的处理流程图。参见图2,该流程至少包括步骤S202至步骤S220。
步骤S202、当接收到客户端请求时,获取接收的客户端请求的域名信息。
步骤S204、获取到域名信息之后,对域名信息进行解析,获取与域名信息对应的第一IP地址。
步骤S206、确定本地域名解析记录中是否存在对域名信息的解析记录。若存在,执行步骤S208,若不存在,执行步骤S218。
需要说明的是,本发明实施例中,步骤S204与步骤S206之间不存在固定的时间顺序。本发明实施例可以如图2所示,首先对域名信息进行解析,获取第一IP地址,其次确定是否存在域名信息的解析记录,还可以首先执行步骤S206,其次执行步骤S204,本发明实施例对比并不加以限定。本优选实施例中,如图2所示,首先获取第一IP地址,其次确定域名信息的解析记录。
步骤S208、获取第二IP地址集合。
具体地,若根据步骤S206,本地域名解析记录中存在对域名信息的解析记录,则能够获取到除本次解析之外的每次解析域名信息获取到的第二IP地址集合。
步骤S210、在第二IP地址集合中查找第一IP地址。若能够查找到,执行步骤S212,若未能够查找到,则执行步骤S216。
第二IP地址集合中存在之前每次对域名信息进行解析获取到的域名信息对应的IP地址。若在第二IP地址集合中能够查找到第一IP地址,则确定域名信息对应的IP地址未发生变更,执行步骤S212。若在第二IP地址集合中未能够查找到第一IP地址,则确定域名信息对应的IP地址发生了未知变更,可能存在域名信息被投毒或者域名信息被劫持或者其他恶意用户对域名信息的恶意操作,则执行步骤S216。
步骤S212、判断黑名单中是否存在第一IP地址。
根据步骤S210确定域名信息曾被解析到第一IP地址,则进一步判断第一IP地址是否存在于黑名单中。若存在,则能够确定第一IP地址为恶意IP地址,执行步骤S216。若不存在,则能够确定第一IP地址为不存在安全隐患的IP地址,则执行步骤S214。
步骤S214、获取域名信息对应的响应结果,并发送该响应结果至客户端请求发送方,以供用户浏览或者使用,流程结束。
具体地,当确定域名信息对应的第一IP地址不存在安全隐患,则获取域名信息对应的相应结果并发送至客户端请求发送方。
步骤S216、对域名信息进行处理,流程结束。
当根据上述步骤确定域名信息对应的第一IP地址为恶意IP地址或者无法保证第一IP地址为安全的IP地址时,本发明实施例能够根据预设规则对域名信息进行告警处理。例如,通过网盾的白名单和恶意网址库确认第一IP地址的危险程度,并根据该危险程度对第一IP地址进行告警处理。再例如,根据域名信息的重要等级对域名信息进行处理。例如,当域名信息的重要等级较高时,可以对域名信息进行拦截,还可以阻止域名信息的递归,防止域名信息被劫持。当域名信息的重要等级较低时,可以仅对域名信息的监控操作,并发送提醒消息至客户端请求发送方,提醒用户当前浏览的网页或者网站的域名信息存在安全风险。本发明实施例中,对域名信息重要等级的划分可以是根据对域名信息访问量的统计进行划分,如域名信息访问量超过预定值(如20万次每天)时,设置域名信息为重要等级较高的域名信息,还可以根据其他设定的分类定义对域名信息的重要等级进行划分。
步骤S218、获取域名信息对应的响应结果。
根据步骤S206,本发明实施例确定本地域名解析记录中是否存在对域名信息的解析记录,并在确定不存在时,执行步骤S218。当本地域名解析记录中不存在对域名信息的解析记录时,本发明实施例获取到域名信息的响应结果,以根据响应结果确定第一IP地址是否存在安全隐患和/或是否为恶意IP地址。
步骤S220、对第一IP地址进行危险性判断,确定第一IP地址是否存在安全性威胁。若是,则执行步骤S216。若否,则继续执行步骤S212直至流程结束。
具体地,当根据响应结果对第一IP地址进行危险性判断时,本发明实施例可以是查看响应结果是否为恶意网站(如钓鱼网站)等,还可以是根据响应结果判断第一IP地址是否存在恶意程序特征码。例如,若域名信息的响应结果为访问第一新闻网页之后,自动访问第二游戏网页,则本发明实施例将由新闻网页自动转至游戏网页的域名信息轨迹作为第一IP地址的恶意程序特征码,并确定第一IP地址存在安全隐患,继续执行步骤S216。另外,若根据响应结果无法确定第一IP地址为恶意IP地址或者存在安全隐患时,本发明实施例能够在黑名单中对第一IP地址进行查找(即执行步骤S212),并根据查找结果确定对域名信息的处理。
基于上文各优选实施例提供的基于DNS的域名信息处理方法,基于同一发明构思,本发明实施例提供了一种基于DNS的域名信息处理装置,以实现基于DNS的域名信息处理方法。图3示出了根据本发明一个实施例的基于DNS的域名信息处理装置的结构示意图。参见图3,本发明实施例的基于DNS的域名信息处理装置至少包括:接收器310、获取器320、解析器330、确定器340以及查找器350。
现介绍本发明实施例的基于DNS的域名信息处理装置的各器件或组成的功能以及各部分间的连接关系:
接收器310,配置为接收客户端请求。
获取器320,与接收器310相耦合,配置为获取与客户端请求对应的域名信息。
解析器330,与获取器320相耦合,配置为解析域名信息,获取对应的第一IP地址。
确定器340,与获取器320相耦合,配置为确定本地域名解析记录中是否存在对域名信息的解析记录,其中,域名信息的解析记录包括除本次解析之外的每次解析域名信息获取到的第二IP地址集合。
查找器350,与确定器340以及解析器330分别相耦合,配置为当确定器340的确定结果为是,在第二IP地址集合中查找第一IP地址,并根据查找结果对域名信息进行处理。
如图4示出了根据本发明一个优选实施例的基于DNS的域名信息处理装置的结构示意图。参见图4,基于DNS的域名信息处理装置还包括:确定器340还配置为,若根据查找器350,查找结果为查找到第一IP地址,判断黑名单中是否存在第一IP地址,并根据判断结果对域名信息进行处理,其中,黑名单包括对用户的信息和/或对用户终端存在安全性威胁的IP地址的列表;处理器360,配置为,若根据查找器350,查找结果为未查找到第一IP地址,则根据预设规则对域名信息进行告警处理,其中,告警处理包括对域名信息进行监控和/或拦截和/或解析处理。
在一个优选的实施例中,处理器360还配置为:若根据确定器340,判断结果为存在,则拦截域名信息,并发送提醒消息至客户端请求发送方,以提示用户域名信息存在安全威胁;若根据确定器340,判断结果为不存在,根据域名信息查找对应的响应结果,并发送至客户端请求发送方。
在一个优选的实施例中,基于DNS的域名信息处理装置还包括:处理器360还配置为,若确定器340确定本地域名解析记录中不存在对域名信息的解析记录,根据域名信息查找对应的响应结果;确定器340还配置为:根据响应结果对第一IP地址进行危险性判断,并触发处理器360;处理器360还配置为,根据危险性判断结果对域名信息进行处理,其中,危险性判断包括判断第一IP地址是否存在于黑名单和/或判断第一IP地址是否存在恶意程序特征码。
在一个优选的实施例中,处理器360还配置为:若根据危险性判断结果,第一IP地址不存在于黑名单并且第一IP地址不存在恶意程序特征码,则根据域名信息查找到对应的响应结果,并发送至客户端请求发送方;若根据危险性判断结果,第一IP地址存在于黑名单和/或第一IP地址存在恶意程序特征码,拦截域名信息,并发送提醒消息至客户端请求发送方。
在一个优选的实施例中,处理器360还配置为:发送第一IP地址至其他安全类应用,以供其他安全类应用根据第一IP地址执行安全性操作,其中,安全性操作包括对第一IP地址执行监控操作和/或拦截操作。
基于上文各优选实施例提供的基于DNS的域名信息处理方法及装置,基于同一发明构思,本发明实施例提供了一种DNS域名防护系统。图5示出了根据本发明一个实施例的DNS域名防护系统的结构示意图。参见图5,本发明实施例提供的DNS域名防护系统至少包括:客户端510、基于DNS的域名信息处理装置520以及域名防护设备530。需要说明的是,图5仅示出了一个客户端510,实际操作中,客户端510可以是任意整数个,本发明实施例对此并不加以限定。
现介绍本发明实施例的DNS域名防护系统中各组成的功能以及各部分间的连接关系:
客户端510,配置为发送客户端请求至基于DNS的域名信息处理装置520。
基于DNS的域名信息处理装置520,与客户端510以及域名防护设备530分别耦合,配置为获取客户端请求对应的域名信息;解析域名信息,获取对应的第一议IP地址;确定本地域名解析记录中是否存在对域名信息的解析记录,其中,域名信息的解析记录包括除本次解析之外的每次解析域名信息获取到的第二IP地址集合;当确定结果为是,在第二IP地址集合中查找第一IP地址,并根据查找结果对域名信息进行处理。
域名防护设备530,与客户端510以及基于DNS的域名信息处理装置520相耦合,配置为将基于DNS的域名信息处理装置520对域名信息的处理结果返回至客户端510。
图6示出了根据本发明一个优选实施例的DNS域名防护系统的架构图。参见图6,上海电信、北京电信、上海联通以及北京联通的用户发出客户端请求。针对上海电信用户,其DNS域名防护系统位于上海电信服务器群(图6中的上海电信的云状图标)中,该系统内的基于DNS的域名信息处理装置能够根据客户端请求对域名信息进行解析,获取域名信息的第一IP地址,并通过与本地解析记录对比和/或获取并查看第一IP地址的响应结果对第一IP地址是否为恶意IP地址进行分析及确认,避免域名投毒和/域名劫持后,客户端对该域名信息对应的网页进行访问引起的不良后果。基于DNS的域名信息处理装置根据上述分析,能够确认是否对客户端请求中的域名信息进行监控和/或拦截和/或强制解析等操作。
当基于DNS的域名信息处理装置对域名信息进行处理之后,域名防护设备将处理结果返回至客户端。具体地,若域名信息存在安全隐患,则域名防护设备发送提醒消息至客户端,提醒用户当前浏览页面存在安全性风险,或者当基于DNS的域名信息处理装置将域名信息拦截,域名防护设备发送提醒消息至客户端,告知用户由于域名信息对应的第一IP地址为恶意IP,已将其拦截。当基于DNS的域名信息处理装置确定域名信息对应的第一IP地址为能够正常浏览的安全IP地址时,域名防护设备将域名信息对应的响应结果返回至客户端。因此,该系统的基于DNS的域名信息处理装置能够解决现有技术中直接从本地解析记录中查找到IP地址,并获取对应的响应结果返回至客户端请求发送方,导致出现域名投毒以及域名劫持等恶劣后果的问题。
同理,针对北京电信用户,其DNS域名防护系统位于北京电信服务器群(图6中的北京电信的云状图标)中,该系统内的基于DNS的域名信息处理装置执行上述操作。而针对上海联通用户而言,其DNS域名防护系统位于上海联通服务器群(图6中的上海联通的云状图标)中,该系统内的基于DNS的域名信息处理装置上述操作。以及,针对北京联通用户而言,其DNS域名防护系统位于北京联通服务器群(图6中的北京联通的云状图标)中,该系统内的基于DNS的域名信息处理装置执行上述操作。
本发明实施例系统内的基于DNS的域名信息处理装置能够解决现有技术中仅能够通过已受害的用户辨别恶意IP地址的问题,达到了在不存在恶意IP地址的受害者的前提下,分辨出恶意IP地址,防止用户收到网络安全威胁的有益效果。
参见图6,各DNS域名防护系统另一侧与RCS集群以及灾备系统相连,通过RCS集群以及灾备系统与递归DNS连接。其中,递归DNS根据地域划分可以分为北京递归DNS、上海递归NDS、广东递归DNS等等。
根据上述任意一个优选实施例或多个优选实施例的组合,本发明实施例能够达到如下有益效果:
依据本发明实施例提供的基于DNS的域名信息处理方法能够对于接收的任意客户端请求的域名信息进行解析,并获取域名信息对应的第一IP地址。并在本地域名解析记录对域名信息是否曾经被解析进行查询。若域名信息曾经被解析,则在历史解析记录中的所有第二IP地址中查找本次解析获取的第一IP地址。进而根据查找结果确定对域名信息的处理。因此,本发明实施例提供的基于DNS的域名信息处理方法解决了现有技术中直接从本地解析记录中查找到IP地址,并获取对应的响应结果返回至客户端请求发送方,导致出现域名投毒以及域名劫持等恶劣后果的问题。
另外,本发明实施例中,若本地域名解析记录中不存在对域名信息的解析记录,则获取域名信息对应的响应结果,并对其进行危险性判断,进而根据判断结果确定对域名信息的处理,解决了现有技术中仅能够通过已受害的用户辨别恶意IP地址的问题,达到了在不存在恶意IP地址的受害者的前提下,分辨出恶意IP地址,防止用户收到网络安全威胁的有益效果。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于DNS的域名信息处理装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
本发明实施例还公开了A1.一种基于域名系统DNS的域名信息处理方法,包括:获取接收的客户端请求对应的域名信息;解析所述域名信息,获取对应的第一网络互联协议IP地址;确定本地域名解析记录中是否存在对所述域名信息的解析记录,其中,所述域名信息的解析记录包括除本次解析之外的每次解析所述域名信息获取到的第二IP地址集合;当确定结果为是,在所述第二IP地址集合中查找所述第一IP地址,并根据查找结果对所述域名信息进行处理。
A2.根据A1所述的方法,其中,所述根据查找结果对所述域名信息进行处理,包括:若所述查找结果为查找到所述第一IP地址,判断黑名单中是否存在所述第一IP地址,并根据判断结果对所述域名信息进行处理,其中,所述黑名单包括对用户的信息和/或对用户终端存在安全性威胁的IP地址的列表;若所述查找结果为未查找到所述第一IP地址,则根据预设规则对所述域名信息进行告警处理,其中,所述告警处理包括对所述域名信息进行监控和/或拦截和/或解析处理。
A3.根据A2所述的方法,其中,所述根据判断结果对所述域名信息进行处理,包括:若所述判断结果为存在,则拦截所述域名信息,并发送提醒消息至所述客户端请求发送方,以提示用户所述域名信息存在安全威胁;若所述判断结果为不存在,根据所述域名信息查找对应的响应结果,并发送至所述客户端请求发送方。
A4.根据A2或A3所述的方法,其中,所述根据预设规则对所述域名信息进行告警处理,包括:根据对所述域名信息重要等级的划分对所述域名信息进行所述告警处理。
A5.根据A1至A4任一项所述的方法,其中,所述确定本地域名解析记录中是否存在对所述域名信息的解析记录之后,还包括:若所述确定结果为否,则根据所述域名信息查找对应的响应结果;根据所述响应结果对所述第一IP地址进行危险性判断,并根据危险性判断结果对所述域名信息进行处理,其中,所述危险性判断包括判断所述第一IP地址是否存在于所述黑名单和/或判断所述第一IP地址是否存在恶意程序特征码。
A6.根据A5所述的方法,其中,根据危险性判断结果对所述域名信息进行处理,包括:若根据所述危险性判断结果,所述第一IP地址不存在于所述黑名单并且所述第一IP地址不存在恶意程序特征码,则根据所述域名信息查找到对应的响应结果,并发送至所述客户端请求发送方;若根据所述危险性判断结果,所述第一IP地址存在于所述黑名单和/或所述第一IP地址存在恶意程序特征码,拦截所述域名信息,并发送所述提醒消息至所述客户端请求发送方。
A7.根据A6所述的方法,其中,若所述第一IP地址存在于所述黑名单和/或所述第一IP地址存在恶意程序特征码,还包括:发送所述第一IP地址至其他安全类应用,以供所述其他安全类应用根据所述第一IP地址执行安全性操作,其中,所述安全性操作包括对所述第一IP地址执行监控操作和/或拦截操作。
本发明实施例还公开了B8.一种基于域名系统DNS的域名信息处理装置,包括:接收器,配置为接收客户端请求;获取器,配置为获取与所述客户端请求对应的域名信息;解析器,配置为解析所述域名信息,获取对应的第一网络互联协议IP地址;确定器,配置为确定本地域名解析记录中是否存在对所述域名信息的解析记录,其中,所述域名信息的解析记录包括除本次解析之外的每次解析所述域名信息获取到的第二IP地址集合;查找器,配置为当所述确定器的确定结果为是,在所述第二IP地址集合中查找所述第一IP地址,并根据查找结果对所述域名信息进行处理。
B9.根据B8所述的装置,其中,还包括:所述确定器还配置为,若根据所述查找器,所述查找结果为查找到所述第一IP地址,判断黑名单中是否存在所述第一IP地址,并根据判断结果对所述域名信息进行处理,其中,所述黑名单包括对用户的信息和/或对用户终端存在安全性威胁的IP地址的列表;处理器,配置为,若根据所述查找器,所述查找结果为未查找到所述第一IP地址,则根据预设规则对所述域名信息进行告警处理,其中,所述告警处理包括对所述域名信息进行监控和/或拦截和/或解析处理。
B10.根据B9所述的装置,其中,所述处理器还配置为:若根据所述确定器,所述判断结果为存在,则拦截所述域名信息,并发送提醒消息至所述客户端请求发送方,以提示用户所述域名信息存在安全威胁;若根据所述确定器,所述判断结果为不存在,根据所述域名信息查找对应的响应结果,并发送至所述客户端请求发送方。
B11.根据B8至B10任一项所述的装置,其中,还包括:所述处理器还配置为,若所述确定器确定本地域名解析记录中不存在对所述域名信息的解析记录,根据所述域名信息查找对应的响应结果;所述确定器还配置为:根据所述响应结果对所述第一IP地址进行危险性判断,并触发所述处理器;所述处理器还配置为,根据危险性判断结果对所述域名信息进行处理,其中,所述危险性判断包括判断所述第一IP地址是否存在于所述黑名单和/或判断所述第一IP地址是否存在恶意程序特征码。
B12.根据B11所述的装置,其中,所述处理器还配置为:若根据所述危险性判断结果,所述第一IP地址不存在于所述黑名单并且所述第一IP地址不存在恶意程序特征码,则根据所述域名信息查找到对应的响应结果,并发送至所述客户端请求发送方;若根据所述危险性判断结果,所述第一IP地址存在于所述黑名单和/或所述第一IP地址存在恶意程序特征码,拦截所述域名信息,并发送所述提醒消息至所述客户端请求发送方。
B13.根据B12所述的装置,其中,所述处理器还配置为:发送所述第一IP地址至其他安全类应用,以供所述其他安全类应用根据所述第一IP地址执行安全性操作,其中,所述安全性操作包括对所述第一IP地址执行监控操作和/或拦截操作。
本发明实施例还公开了C14.一种DNS域名防护系统,包括如B8至B13任一项所述的基于DNS的域名信息处理装置,客户端以及域名防护设备,其中,所述客户端,配置为发送客户端请求至所述基于DNS的域名信息处理装置;所述基于DNS的域名信息处理装置,配置为获取所述客户端请求对应的域名信息;解析所述域名信息,获取对应的第一网络互联协议IP地址;确定本地域名解析记录中是否存在对所述域名信息的解析记录,其中,所述域名信息的解析记录包括除本次解析之外的每次解析所述域名信息获取到的第二IP地址集合;当确定结果为是,在所述第二IP地址集合中查找所述第一IP地址,并根据查找结果对所述域名信息进行处理;所述域名防护设备,配置为将所述基于DNS的域名信息处理装置对所述域名信息的处理结果返回至所述客户端。
Claims (14)
1.一种基于域名系统DNS的域名信息处理方法,包括:
获取接收的客户端请求对应的域名信息;
解析所述域名信息,获取对应的第一网络互联协议IP地址;
确定本地域名解析记录中是否存在对所述域名信息的解析记录,其中,所述域名信息的解析记录包括除本次解析之外的每次解析所述域名信息获取到的第二IP地址集合;
当确定结果为是,在所述第二IP地址集合中查找所述第一IP地址,并根据查找结果对所述域名信息进行处理;
所述方法还包括:
在对所述域名信息进行逐层解析时,备份所述解析过程中访问到的每一级域名空间节点信息的授权记录;
根据各级域名空间节点信息的授权记录之间的相关关系,建立所述域名信息对应的授权信息数据库,所述授权信息数据库中包含所述各级域名空间节点信息对应的授权信息。
2.根据权利要求1所述的方法,其中,所述根据查找结果对所述域名信息进行处理,包括:
若所述查找结果为查找到所述第一IP地址,判断黑名单中是否存在所述第一IP地址,并根据判断结果对所述域名信息进行处理,其中,所述黑名单包括对用户的信息和/或对用户终端存在安全性威胁的IP地址的列表;
若所述查找结果为未查找到所述第一IP地址,则根据预设规则对所述域名信息进行告警处理,其中,所述告警处理包括对所述域名信息进行监控和/或拦截和/或解析处理。
3.根据权利要求2所述的方法,其中,所述根据判断结果对所述域名信息进行处理,包括:
若所述判断结果为存在,则拦截所述域名信息,并发送提醒消息至所述客户端请求发送方,以提示用户所述域名信息存在安全威胁;
若所述判断结果为不存在,根据所述域名信息查找对应的响应结果,并发送至所述客户端请求发送方。
4.根据权利要求2或3所述的方法,其中,所述根据预设规则对所述域名信息进行告警处理,包括:
根据对所述域名信息重要等级的划分对所述域名信息进行所述告警处理。
5.根据权利要求1所述的方法,其中,所述确定本地域名解析记录中是否存在对所述域名信息的解析记录之后,还包括:
若所述确定结果为否,则根据所述域名信息查找对应的响应结果;
根据所述响应结果对所述第一IP地址进行危险性判断,并根据危险性判断结果对所述域名信息进行处理,其中,所述危险性判断包括判断所述第一IP地址是否存在于黑名单和/或判断所述第一IP地址是否存在恶意程序特征码。
6.根据权利要求5所述的方法,其中,根据危险性判断结果对所述域名信息进行处理,包括:
若根据所述危险性判断结果,所述第一IP地址不存在于所述黑名单并且所述第一IP地址不存在恶意程序特征码,则根据所述域名信息查找到对应的响应结果,并发送至所述客户端请求发送方;
若根据所述危险性判断结果,所述第一IP地址存在于所述黑名单和/或所述第一IP地址存在恶意程序特征码,拦截所述域名信息,并发送提醒消息至所述客户端请求发送方。
7.根据权利要求6所述的方法,其中,若所述第一IP地址存在于所述黑名单和/或所述第一IP地址存在恶意程序特征码,还包括:
发送所述第一IP地址至其他安全类应用,以供所述其他安全类应用根据所述第一IP地址执行安全性操作,其中,所述安全性操作包括对所述第一IP地址执行监控操作和/或拦截操作。
8.一种基于域名系统DNS的域名信息处理装置,包括:
接收器,配置为接收客户端请求;
获取器,配置为获取与所述客户端请求对应的域名信息;
解析器,配置为解析所述域名信息,获取对应的第一网络互联协议IP地址;
确定器,配置为确定本地域名解析记录中是否存在对所述域名信息的解析记录,其中,所述域名信息的解析记录包括除本次解析之外的每次解析所述域名信息获取到的第二IP地址集合;
查找器,配置为当所述确定器的确定结果为是,在所述第二IP地址集合中查找所述第一IP地址,并根据查找结果对所述域名信息进行处理;
所述装置还包括:
配置为在对所述域名信息进行逐层解析时,备份所述解析过程中访问到的每一级域名空间节点信息的授权记录的模块;
配置为根据各级域名空间节点信息的授权记录之间的相关关系,建立所述域名信息对应的授权信息数据库的模块,所述授权信息数据库中包含所述各级域名空间节点信息对应的授权信息。
9.根据权利要求8所述的装置,其中,还包括:
所述确定器还配置为,若根据所述查找器,所述查找结果为查找到所述第一IP地址,判断黑名单中是否存在所述第一IP地址,并根据判断结果对所述域名信息进行处理,其中,所述黑名单包括对用户的信息和/或对用户终端存在安全性威胁的IP地址的列表;
处理器,配置为,若根据所述查找器,所述查找结果为未查找到所述第一IP地址,则根据预设规则对所述域名信息进行告警处理,其中,所述告警处理包括对所述域名信息进行监控和/或拦截和/或解析处理。
10.根据权利要求9所述的装置,其中,所述处理器还配置为:
若根据所述确定器,所述判断结果为存在,则拦截所述域名信息,并发送提醒消息至所述客户端请求发送方,以提示用户所述域名信息存在安全威胁;
若根据所述确定器,所述判断结果为不存在,根据所述域名信息查找对应的响应结果,并发送至所述客户端请求发送方。
11.根据权利要求8所述的装置,其中,还包括:
所述处理器还配置为,若所述确定器确定本地域名解析记录中不存在对所述域名信息的解析记录,根据所述域名信息查找对应的响应结果;
所述确定器还配置为,根据所述响应结果对所述第一IP地址进行危险性判断,并触发所述处理器;
所述处理器还配置为,根据危险性判断结果对所述域名信息进行处理,其中,所述危险性判断包括判断所述第一IP地址是否存在于黑名单和/或判断所述第一IP地址是否存在恶意程序特征码。
12.根据权利要求11所述的装置,其中,所述处理器还配置为:
若根据所述危险性判断结果,所述第一IP地址不存在于所述黑名单并且所述第一IP地址不存在恶意程序特征码,则根据所述域名信息查找到对应的响应结果,并发送至所述客户端请求发送方;
若根据所述危险性判断结果,所述第一IP地址存在于所述黑名单和/或所述第一IP地址存在恶意程序特征码,拦截所述域名信息,并发送提醒消息至所述客户端请求发送方。
13.根据权利要求12所述的装置,其中,所述处理器还配置为:
发送所述第一IP地址至其他安全类应用,以供所述其他安全类应用根据所述第一IP地址执行安全性操作,其中,所述安全性操作包括对所述第一IP地址执行监控操作和/或拦截操作。
14.一种DNS域名防护系统,包括如权利要求8至13任一项所述的基于DNS的域名信息处理装置,客户端以及域名防护设备,其中,
所述客户端,配置为发送客户端请求至所述基于DNS的域名信息处理装置;
所述基于DNS的域名信息处理装置,配置为获取所述客户端请求对应的域名信息;解析所述域名信息,获取对应的第一网络互联协议IP地址;确定本地域名解析记录中是否存在对所述域名信息的解析记录,其中,所述域名信息的解析记录包括除本次解析之外的每次解析所述域名信息获取到的第二IP地址集合;当确定结果为是,在所述第二IP地址集合中查找所述第一IP地址,并根据查找结果对所述域名信息进行处理;
所述域名防护设备,配置为将所述基于DNS的域名信息处理装置对所述域名信息的处理结果返回至所述客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410158693.7A CN103957201B (zh) | 2014-04-18 | 2014-04-18 | 基于dns的域名信息处理方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410158693.7A CN103957201B (zh) | 2014-04-18 | 2014-04-18 | 基于dns的域名信息处理方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103957201A CN103957201A (zh) | 2014-07-30 |
| CN103957201B true CN103957201B (zh) | 2018-01-05 |
Family
ID=51334427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410158693.7A Active CN103957201B (zh) | 2014-04-18 | 2014-04-18 | 基于dns的域名信息处理方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103957201B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301311B (zh) * | 2014-09-28 | 2018-01-23 | 北京奇虎科技有限公司 | Dns过滤网络数据内容的方法及设备 |
| CN104506538B (zh) * | 2014-12-26 | 2018-01-19 | 北京奇虎科技有限公司 | 机器学习型域名系统安全防御方法和装置 |
| CN104468244B (zh) * | 2014-12-31 | 2018-04-20 | 北京奇虎科技有限公司 | 域名解析系统灾备建构方法及装置 |
| CN105376217B (zh) * | 2015-10-15 | 2019-01-04 | 中国互联网络信息中心 | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 |
| CN105681358A (zh) * | 2016-03-31 | 2016-06-15 | 北京奇虎科技有限公司 | 检测域名劫持的方法、装置和系统 |
| CN106230864A (zh) * | 2016-09-22 | 2016-12-14 | 安徽云图信息技术有限公司 | 网站安全检测系统 |
| CN106302531B (zh) * | 2016-09-30 | 2021-04-27 | 北京金山安全软件有限公司 | 安全防护方法、装置及终端设备 |
| CN106453436B (zh) * | 2016-12-21 | 2019-05-31 | 北京奇虎科技有限公司 | 一种网络安全的检测方法和装置 |
| CN108243051A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信集团浙江有限公司 | 域名劫持防护处理方法及装置 |
| CN108418780A (zh) * | 2017-02-10 | 2018-08-17 | 阿里巴巴集团控股有限公司 | Ip地址的过滤方法及装置、系统、dns服务器 |
| CN107172006B (zh) * | 2017-03-22 | 2020-06-26 | 深信服科技股份有限公司 | 检测无线网络恶意性的方法及装置 |
| CN107040546B (zh) * | 2017-05-26 | 2020-03-03 | 浙江鹏信信息科技股份有限公司 | 一种域名劫持检测与联动处置方法及系统 |
| CN107197058B (zh) * | 2017-07-21 | 2019-09-17 | 北京亚鸿世纪科技发展有限公司 | 一种高覆盖度且准确的域名ip对应关系获取方法及装置 |
| CN107689965A (zh) * | 2017-09-30 | 2018-02-13 | 北京奇虎科技有限公司 | 网络设备的防护方法、装置及系统 |
| CN108881146A (zh) * | 2017-12-28 | 2018-11-23 | 北京安天网络安全技术有限公司 | 域名系统劫持的识别方法、装置、电子设备及存储介质 |
| CN108718347B (zh) * | 2018-05-18 | 2021-12-03 | 腾讯科技(深圳)有限公司 | 一种域名解析方法、系统、装置及存储介质 |
| CN109040052B (zh) * | 2018-07-26 | 2021-06-15 | 平安科技(深圳)有限公司 | 一种信息处理方法、终端及计算机可读介质 |
| CN109672678B (zh) * | 2018-12-24 | 2021-05-14 | 亚信科技(中国)有限公司 | 一种钓鱼网站识别方法及装置 |
| CN110336805B (zh) * | 2019-06-27 | 2022-02-08 | 维沃移动通信有限公司 | 网络访问管理方法和移动终端 |
| CN111988447A (zh) * | 2020-09-01 | 2020-11-24 | 北京微步在线科技有限公司 | 网络安全防护方法及dns递归服务器 |
| CN113660247B (zh) * | 2021-08-11 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 集群环境的配置生效方法、系统及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102340554A (zh) * | 2011-09-29 | 2012-02-01 | 奇智软件(北京)有限公司 | 一种域名系统dns的最优应用服务器选取方法和装置 |
| CN103269389A (zh) * | 2013-06-03 | 2013-08-28 | 北京奇虎科技有限公司 | 检查和修复恶意dns设置的方法和装置 |
| CN103561120A (zh) * | 2013-10-08 | 2014-02-05 | 北京奇虎科技有限公司 | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 |
-
2014
- 2014-04-18 CN CN201410158693.7A patent/CN103957201B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102340554A (zh) * | 2011-09-29 | 2012-02-01 | 奇智软件(北京)有限公司 | 一种域名系统dns的最优应用服务器选取方法和装置 |
| CN103269389A (zh) * | 2013-06-03 | 2013-08-28 | 北京奇虎科技有限公司 | 检查和修复恶意dns设置的方法和装置 |
| CN103561120A (zh) * | 2013-10-08 | 2014-02-05 | 北京奇虎科技有限公司 | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103957201A (zh) | 2014-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103957201B (zh) | 基于dns的域名信息处理方法、装置及系统 | |
| EP1681825B1 (en) | Network-based security platform | |
| EP2532136B1 (en) | System and method for risk rating and detecting redirection activities | |
| US8307431B2 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| EP2630611B1 (en) | Method and system for protecting against unknown malicious activities by determining a reputation of a link | |
| CN104468865B (zh) | 域名解析控制、响应方法及相应的装置 | |
| US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
| CN104506525B (zh) | 防止恶意抓取的方法和防护装置 | |
| CN106330849A (zh) | 防止域名劫持的方法和装置 | |
| WO2010105184A2 (en) | A method and apparatus for phishing and leeching vulnerability detection | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN106453216A (zh) | 恶意网站拦截方法、装置及客户端 | |
| CN110166436A (zh) | 采用随机选择进行动态调度的拟态Web网关系统及方法 | |
| CN104079575A (zh) | 家庭网络安全管理方法、装置及系统 | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| CN105100048B (zh) | WiFi网络安全鉴定方法、服务器、客户端装置和系统 | |
| CN110099044A (zh) | 云主机安全检测系统及方法 | |
| CN109660552A (zh) | 一种将地址跳变和WAF技术相结合的Web防御方法 | |
| CN105262730B (zh) | 基于企业域名安全的监控方法及装置 | |
| WO2007096659A1 (en) | Phishing mitigation | |
| CN104618176B (zh) | 网站安全检测方法及装置 | |
| CN103685318B (zh) | 用于网络安全防护的数据处理方法和装置 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN106713309A (zh) | 一种降低dns劫持风险的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: QIZHI SOFTWARE (BEIJING) CO., LTD. SHANGHAI JULIU Effective date: 20150217 Owner name: BEIJING QIHU TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: SHANGHAI JULIU SOFTWARE TECHNOLOGY CO., LTD. Effective date: 20150217 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C53 | Correction of patent for invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Tan Xiaosheng Inventor after: Zhou Hongdai Inventor after: Pu Can Inventor before: Pu Can |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 201109 MINHANG, SHANGHAI TO: 100088 XICHENG, BEIJING Free format text: CORRECT: INVENTOR; FROM: PU CHAN TO: TAN XIAOSHENG ZHOU HONGYI PU CHAN |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20150217 Address after: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant after: Beijing Qihu Technology Co., Ltd. Applicant after: Qizhi Software (Beijing) Co., Ltd. Applicant after: SHANGHAI JULIU SOFTWARE TECHNOLOGY CO., LTD. Address before: 201109 Shanghai city Minhang District Fanghe Road No. 1088 building third room 2057 Applicant before: SHANGHAI JULIU SOFTWARE TECHNOLOGY CO., LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |