CN112287252A - 网站域名劫持检测方法、装置、设备及存储介质 - Google Patents

网站域名劫持检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN112287252A
CN112287252A CN202011153700.6A CN202011153700A CN112287252A CN 112287252 A CN112287252 A CN 112287252A CN 202011153700 A CN202011153700 A CN 202011153700A CN 112287252 A CN112287252 A CN 112287252A
Authority
CN
China
Prior art keywords
detection
website
query
index data
domain name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011153700.6A
Other languages
English (en)
Other versions
CN112287252B (zh
Inventor
杨绮昊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shanghai Co ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN202011153700.6A priority Critical patent/CN112287252B/zh
Publication of CN112287252A publication Critical patent/CN112287252A/zh
Application granted granted Critical
Publication of CN112287252B publication Critical patent/CN112287252B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9535Search customisation based on user profiles and personalisation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及信息安全领域,公开了一种网站域名劫持检测方法、装置、设备及存储介质,该方法包括:对网站先后进行第一次、第二次IP查询,对应得到第一、第二检测IP;对第一次、第二次IP查询进行流量监控,得到对应的流量指标数据;判断第一、第二检测IP是否满足第一检测条件、判断当前全部的流量指标数据是否满足第二检测条件;若满足,则确定网站未被劫持,若不满足,则确定网站被劫持,否则进行二次检测;若判别结果相同,则确定网站被劫持,否则持续进行检测,直到确定网站是否被劫持。本发明还涉及区块链技术,所述第一、第二检测IP存储于区块链中。本发明扩展了对网站域名劫持检测的应用范围。

Description

网站域名劫持检测方法、装置、设备及存储介质
技术领域
本发明涉及信息安全领域,尤其涉及一种网站域名劫持检测方法、装置、设备及存储介质。
背景技术
劫持检测是域名服务领域重要技术,对于互联网而言,这是发现互联网边界上潜在安全威胁的方法,而对网站拥有者而言,亦是提高网站访问量的有效方法。通过域名访问网站是一个网络通信的过程,当用户在浏览器输入欲访问的域名之后,浏览器会进行域名解析获得IP,通过TCP连接实现数据的传输,在这个通信过程中,通过对数据包的抖动、时延、丢包率进行监控,可以识别出网站中存在的恶意泛解析、网络钓鱼等安全威胁。能快速发现恶意行为这在互联网安全领域是很有价值的技术,这能够帮助网站改善用户体验,营造安全、稳定的网站服务。
而传统的域名劫持检测方法,通过判断域名检查结果中是否含有非法站点,或者域名"A"或者"@"记录是否被修改,来确定劫持现象,这种检测方法仅针对暴力弹框、版本无法升级等运营商被劫持的行为具有一定价值,但却难以准确定位出是否被黑客植入木马程序,网站上潜在的安全威胁难以避免,恶意泛解析、网络钓鱼等现象仍会出现,用户访问量也受到了影响。故现有域名劫持检测方法存在检测范围窄的问题。
发明内容
本发明的主要目的在于解决现有域名劫持检测方法存在检测范围窄的技术问题。
本发明第一方面提供了一种网站域名劫持检测方法,包括以下步骤:
S1、对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存;
S2、根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存;
S3、判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件,以及判断当前全部的流量指标数据是否满足预置第二检测条件;
S4、若满足所述第一检测条件及所述第二检测条件,则确定所述网站未被劫持,若不满足所述第一检测条件及所述第二检测条件,则确定所述网站被劫持,若满足所述第一检测条件或所述第二检测条件,则跳转至S5;
S5、生成所述网站的检测判别结果并跳转至S1,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
可选的,在本发明第一方面的第一种实现方式中,所述对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存包括:
根据所述待检测的网站,确定对应的网站域名;
基于所述网站域名,向网站服务器发起第一IP查询请求,以对所述网站进行第一次IP查询;
基于所述第一IP查询请求,接收所述网站服务器返回的第一响应信息,所述响应信息包含第一检测IP;
基于所述第一响应信息,根据设定的周期,采集所述第一次IP查询中产生的流量数据;
根据所述流量数据,统计所述第一次IP查询中的各项流量性能指标,得到对应的流量指标数据,并将所述流量指标数据进行更新保存。
可选的,在本发明第一方面的第二种实现方式中,所述根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存包括:
根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的服务器IP;
基于所述服务器IP,向所述网站服务器发起第二IP查询请求,以对所述网站进行第二次IP查询;
基于所述第二IP查询请求,接收所述网站服务器返回的第二响应信息,其中,所述第二响应信息中包含第二检测IP;
基于所述第二响应信息,根据所述周期采集所述第二次IP查询中产生的新的流量数据;
根据所述新的流量数据,统计所述第二次IP查询中的各项性能指标,得到对应新的流量指标数据,并将所述新的流量指标数据进行更新保存。
可选的,在本发明第一方面的第三种实现方式中,所述判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件包括:
根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的第一客户端IP,以及根据所述第二检测IP,确定所述网站服务器第二次IP查询中返回的第二客户端IP;
判断所述第一客户端IP与所述第二客户端IP是否一致;
若一致,则确定所述第一检测IP与所述第二检测IP满足预置第一检测条件;
若不一致,则确定所述第一检测IP与所述第二检测IP不满足所述第一检测条件。
可选的,在本发明第一方面的第四种实现方式中,所述判断当前全部的流量指标数据是否满足预置第二检测条件包括:
采用预置的流量状态评估算法,统计所述网站的当前全部的流量指标数据,得到当前网站流量反馈的状态评估得分;
判断所述状态评估得分是否在预置安全值范围内;
若是,则确定当前网站流量反馈正常,当前全部的流量指标数据满足预置第二检测条件;
若否,则确定当前网站流量反馈异常,当前全部的流量指标数据不满足所述第二检测条件。
可选的,在本发明第一方面的第五种实现方式中,所述流量状态评估算法如下所示:
Figure BDA0002742024420000021
其中,所述i为第i次IP查询,j为第j次IP查询,且i<j,n为IP查询次数,Di为第i次IP查询的时延,Dj为第j次IP查询的时延,Vi为第i次IP查询的抖动;Pi为第i次IP查询的丢包率;Pj为第j次IP查询的丢包率,K为状态评估得分。
本发明第二方面提供了一种网站域名劫持检测装置,包括:
第一查询模块,用于对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存;
第二查询模块,用于根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存;
判别模块,用于判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件,以及判断当前全部的流量指标数据是否满足预置第二检测条件;
二次检测模块,用于若所述第一检测IP与所述第二检测IP满足所述第一检测条件,以及当前本地数据库中的流量指标数据满足第二检测条件,则确定所述网站未被劫持,若所述第一检测IP与所述第二检测IP不满足所述第一检测条件,以及当前本地数据库中的流量指标数据不满足第二检测条件,则确定所述网站被劫持,若所述第一检测IP与所述第二检测IP满足所述第一检测条件,或当前本地数据库中的流量指标数据满足第二检测条件,则跳转至循环检测模块;
循环检测模块,用于生成所述网站的检测判别结果并跳转至第一查询模块,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
可选的,在本发明第二方面的第一种实现方式中,所述第一查询模块包括:
第一请求单元,用于根据所述待检测的网站,确定对应的网站域名;基于所述网站域名,向网站服务器发起第一IP查询请求,以对所述网站进行第一次IP查询;
第一响应单元,用于基于所述第一IP查询请求,接收所述网站服务器返回的第一响应信息,其中,所述响应信息中包含第一检测IP;
第一采集单元,用于基于所述第一响应信息,根据设定的周期采集所述第一次IP查询中产生的流量数据;
第一统计单元,用于根据所述流量数据,统计所述第一次IP查询中的各项性能指标,得到对应的流量指标数据,并将所述流量指标数据进行更新保存。
可选的,在本发明第二方面的第二种实现方式中,所述第二查询模块包括:
第二请求单元,用于根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的服务器IP;基于所述服务器IP,向所述网站服务器发起第二IP查询请求,以对所述网站进行第二次IP查询;
第二响应单元,用于基于所述第二IP查询请求,接收所述网站服务器返回的第二响应信息,其中,所述第二响应信息中包含第二检测IP;
第二采集单元,用于基于所述第二响应信息,根据所述周期采集所述第二次IP查询中产生的新的流量数据;
第二统计单元,用于根据所述新的流量数据,统计所述第二次IP查询中的各项性能指标,得到对应新的流量指标数据,并将所述新的流量指标数据进行更新保存。
可选的,在本发明第一方面的第三种实现方式中,所述判别单元包括:
确定单元,用于根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的第一客户端IP,以及根据所述第二检测IP,确定所述网站服务器第二次IP查询中返回的第二客户端IP;
第一判别单元,用于判断所述第一客户端IP与所述第二客户端IP是否一致;
第一筛选单元,用于若一致,则确定所述第一检测IP与所述第二检测IP满足预置第一检测条件;若不一致,则确定所述第一检测IP与所述第二检测IP不满足所述第一检测条件。
可选的,在本发明第一方面的第四种实现方式中,所述判别单元还包括:
统计单元,用于采用预置的流量状态评估算法,统计所述网站的当前全部的流量指标数据,得到当前网站流量反馈的状态评估得分;
第二判别单元,用于判断所述状态评估得分是否在预置安全值范围内;
第二筛选单元,用于若是,则确定当前网站流量反馈正常,当前全部的流量指标数据满足预置第二检测条件;若否,则确定当前网站流量反馈异常,当前全部的流量指标数据不满足所述第二检测条件。
可选的,在本发明第一方面的第五种实现方式中,所述流量状态评估算法如下所示:
Figure BDA0002742024420000041
其中,所述i为第i次IP查询,j为第j次IP查询,且i<j,n为IP查询次数,Di为第i次IP查询的时延,Dj为第j次IP查询的时延,Vi为第i次IP查询的抖动;Pi为第i次IP查询的丢包率;Pj为第j次IP查询的丢包率,K为状态评估得分。
本发明第三方面提供了一种网站域名劫持检测设备,包括:存储器和至少一个处理器,所述存储器中存储有指令;所述至少一个处理器调用所述存储器中的所述指令,以使得所述网站域名劫持检测设备执行上述的网站域名劫持检测方法。
本发明的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述的网站域名劫持检测方法。
本发明提供的技术方案中,先对网站先后进行第一次IP查询、第二次IP查询,对应得到第一检测IP、第二检测IP;然后对第一次IP查询与第二次IP查询进行流量监控,得到对应的流量指标数据;接着判断第一检测IP与第二检测IP是否满足第一检测条件,以及判断当前本地数据库中的流量指标数据是否满足第二检测条件;不仅通过第一检测条件检测网站域名中是否含有非法站点或被修改,而导致的第一检测IP与第二检测IP不一致,还通过第二检测条件检测网站是否被黑客植入木马程序,遭到恶意泛解析或网络钓鱼,而导致的流量指标数据异常,以扩展对网站域名劫持检测的应用范围。
附图说明
图1为本发明实施例中网站域名劫持检测方法的第一个实施例示意图;
图2为本发明实施例中网站域名劫持检测方法的第二个实施例示意图;
图3为本发明实施例中网站域名劫持检测方法的第三个实施例示意图;
图4为本发明实施例中网站域名劫持检测方法的第四个实施例示意图;
图5为本发明实施例中网站域名劫持检测装置的一个实施例示意图;
图6为本发明实施例中网站域名劫持检测装置的另一个实施例示意图;
图7为本发明实施例中网站域名劫持检测设备的一个实施例示意图。
具体实施方式
本发明实施例提供了一种网站域名劫持检测方法、装置、设备及存储介质,对网站先后进行第一次IP查询、第二次IP查询,对应得到第一检测IP、第二检测IP;对第一次IP查询与第二次IP查询进行流量监控,得到对应的流量指标数据;判断第一检测IP与第二检测IP是否满足第一检测条件,以及判断当前本地数据库中的流量指标数据是否满足第二检测条件;若同时满足,则确定网站未被劫持,若同时不满足,则确定网站被劫持,否则进行二次检测;若新判别结果与原判别结果相同,则确定所述网站被劫持,否则持续进行检测,直到确定网站被劫持或者未被劫持。本发明扩展了对网站域名劫持检测的应用范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对本发明实施例的具体流程进行描述,请参阅图1,本发明实施例中网站域名劫持检测方法的第一个实施例包括:
101、对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存;
可以理解的是,本发明的执行主体可以为网站域名劫持检测装置,还可以是终端或者服务器,具体此处不做限定。本发明实施例以服务器为执行主体为例进行说明。需要强调的是,为进一步保证上述第一、第二检测IP的私密和安全性,上述第一、第二检测IP还可以存储于一区块链的节点中。
本实施例中,待检测的网站指待进行网站域名劫持检测的网站;第一次IP查询用于检测连接过程是否正常,以判别网站域名是否被劫持,包括:基于网站的域名,向网站服务器(以下称服务器)发起的IP查询请求而启动,其作用在于请求与目标域名的服务器建立新连接;之后服务器会反馈第一次请求响应信息,包含有第一检测IP,第一检测IP包括服务器IP和接入网站的客户端IP,以同意或拒绝连接请求,并产生流量数据,用于连接检测。
本实施例中,流量监控指监控通过统计流量数据,以监控流量数据在传输过程中的性能指标,包括时延、抖动、丢包等,其作用在于监控流量数据在IP查询(包括第一次IP查询和第二次IP查询,以及后续的IP查询)过程中是否反馈异常,以检测网站域名是否被劫持。
而流量指标数据指的是性能指标对应的统计参数,包括时延时长、抖动程度、丢包率等,是流量数据是否反馈正常的衡量指标,时延越长、抖动程度越大、丢包率越高,流量数据异常取向越大。
其中,流量指标数据存储在数据库中,数据库包含有历史IP查询产生的流量指标数据。
102、根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存;
本实施例中,第二次IP查询:基于第一检测IP中的服务器IP,向服务器发起的IP查询请求,其作用在于确认服务器与客户端的连接;然后获得服务器的第二次请求响应信息,包含有第二检测IP,第二检测IP亦包括服务器IP和客户端IP。
本实施例中,在进行第一次IP查询与第二次IP查询,以及后续的IP查询时,对产生的流量数据进行监控,,抖动、时延、丢包等为IPSLA(Internet Protocol Service-LevelAgreement,互联网协议服务等级协议)的流量性能指标。
然后,在第二次IP查询中收集到的流量指标数据亦更新至数据库中,结合历史流量指标数据,进行后续对网站域名的劫持检测。
103、判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件,以及判断当前全部的流量指标数据是否满足预置第二检测条件;
本实施例中,向网站服务器发送基于域名的第一次IP查询请求后没有发生域名劫持,那么网站服务器接收到的是基于待检测网站客户端,故返回待检测网站客户端IP;若发生域名劫持,则网站服务器接收到的是基于劫持者的网站客户端,故返回劫持者的网站客户端IP;而基于网站服务器IP发起的第二次IP查询请求,返回的为必为发送方的客户端IP(即待检测网站的客户端IP),故可判断第一检测IP与第二检测IP是否一致,具体判断第一客户端IP与第二客户端IP是否一致。
然后,预置第二检测条件指当前本地数据库中的状态评估得分是否在预设范围内;其中,通过当前本地数据库中,关于网站的全部流量指标数据计算得到两次IP查询时,IPSLA的流量性能指标,即抖动、时延、丢包来确定网站的状态评估得分。
当状态评估得分超出预设范围,则表示数据在传输过程中可能存在抖动剧烈(传输不稳定)、时延长(反馈时间长)、丢包率高(数据丢失数量大)的问题,则可确定流量指标数据反馈异常;反之则表示抖动平缓(传输稳定)、时延短(反馈时间短)、丢包率低(数据丢失数量小),则确定流量指标数据反馈正常。
104、若满足所述第一检测条件及所述第二检测条件,则确定所述网站未被劫持,若不满足所述第一检测条件及所述第二检测条件,则确定所述网站被劫持,若满足所述第一检测条件或所述第二检测条件,则跳转至105;
本实施例中,对于两次判断结果,存在以下四种情况:
A、满足第一检测条件,满足第二检测条件,判定域名未被劫持;
B、满足第一检测条件,不满足第二检测条件,进行二次检测;
C、不满预置第一检测条件,满足第二检测条件,进行二次检测;
D、不满足第一检测条件,不满足第二检测条件,判定域名被劫持。
其中,对于情况A,前后客户端IP反馈一致且流量指标数据反馈正常,确定网站未被劫持;对于情况D,前后客户端IP反馈不一致且流量指标数据反馈异常,即可确定网站已被劫持;而对于情况A与情况B,出现前后客户端地址反馈不一致或者流量指标数据反馈异常中的其中一种情况,可能由于网络通道堵塞导致的正常情况,则无法判别是网络异常导致还是网站被劫持导致,故需进行二次检测,即需要执行105。
105、生成所述网站的检测判别结果并跳转至101,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
本实施例中,若进行二次检测后(执行101-104),仍存在104中的C、D情况,则在104中生成新的检查判别结果,以用于判别连续两次检测判别结果是否相同,若相同,则大大降低网络异常导致的检测异常的几率,故可直接确定待检测网络被劫持;若新的检测判别结果与原检测判别结果不同,则对该网站进行循环检测(再次执行101-104),直到确定该网站被劫持或者未被劫持。另外,亦可设置检测次数阈值,当循环检测到达检测次数阈值,则直接判定该网站被劫持。
其中,比如原判别结果为情况B,而新判别结果为情况C,则需重新对网站进行检测,直到检测得到的判别结果为情况A或者情况D,也可以为连续两次的检测结果为情况B,或者连续两次的检测结果为情况C。
本发明实施例中,对网站先后进行第一IP查询、第二IP查询,对应得到第一检测IP、第二检测IP;对第一IP查询与第二IP查询进行流量监控,得到对应的量流量数据;判断第一检测IP与第二检测IP是否满足预置第一检测条件,以及判断当前本地数据库中的量流量数据是否满足预置第二检测条件;若同时满足,则确定网站未被劫持,若同时不满足,则确定网站被劫持,否则进行二次检测;若新判别结果与原判别结果相同,则确定所述网站被劫持,否则持续进行检测,直到确定网站被劫持或者未被劫持。本发明扩展了对网站域名劫持检测的应用范围。
请参阅图2,本发明实施例中网站域名劫持检测方法的第二个实施例包括:
201、根据所述待检测的网站,确定对应的网站域名;
202、基于所述网站域名,向网站服务器发起第一IP查询请求,以对所述网站进行第一次IP查询;
本实施例中,基于网站域名发起第一IP查询请求,若网站未被劫持,则第一IP查询请求的发送方为待检测网站对应的客户端IP;若网站被劫持,则第一IP查询请求的发送发被篡改为劫持者网站对应的客户端IP,第一次IP查询请求即在于查询发送方的客户端IP是否被篡改,已验证网站是否被劫持。
203、基于所述第一IP查询请求,接收所述网站服务器返回的第一响应信息,所述响应信息包含第一检测IP;
本实施例中,根据网站域名,第一IP查询请求指向对应网站服务器;网站服务器接收到第一IP查询请求并进行解析,得到发送方的客户端IP,作为第一客户端IP;将第一客户端IP与网站服务器本身的服务器IP进行拼接,得到第一检测IP;将第一检测IP写入第一响应信息中,以对第一IP查询请求进行反馈;故在发出第一IP查询请求后,会接收到网站服务器的第一响应信息。
204、基于所述第一响应信息,根据设定的周期,采集所述第一次IP查询中产生的流量数据;
本实施例中,使用Flow(流)采集IP查询(第一次IP查询、第二次IP查询......)过程中产生的流量数据,比如IP包、IP流的交换缓存信息、诸如协议、总流量、每秒流量等。具体可使用NetFlow(网络流)技术、DeepFlow(深度流)技术等。
将Flow(流)技术进行IP路由配置即可,具体使用第一响应信息中的第一检测IP,包括第一客户端IP与服务器IP。
此处采集的流量数据节点(即预设周期)包括第一次IP查询请求发出节点、网站服务器的第一响应信息发出节点、第一次响应信息接收节点。
205、根据所述流量数据,统计所述第一次IP查询中的各项流量性能指标,得到对应的流量指标数据,并将所述流量指标数据进行更新保存;
本实施例中,流量性能指标包括抖动、时延、丢包等,统计当前流量数据的抖动、延时、丢包等,得到对应的抖动程度、延时时长、丢包率等,作为流量指标数据持续更新保存至数据库中,其中,数据库存储有网站的历史流量指标数据,使用当前流量数据与历史流量数据的结合,以用于后续的计算,更拟合流量数据的正常抖动、延时、丢包等,得到的流量指标数据更具有参考意义。
206、根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的服务器IP;
本实施例中,在完成第一次IP查询后,即完成网站客户端与服务器的连接。通过返回的第一检测IP中的服务器IP,发起第二次IP查询,可以向网站服务器确认与其连接成功。故先确认返回的第一检测IP中的服务器IP。
207、基于所述服务器IP,向所述网站服务器发起第二IP查询请求,以对所述网站进行第二次IP查询;
本实施例中,通过服务器IP指向网站服务器,将第二IP查询请求发送至网站服务器;由于此处第二IP查询请求基于服务器IP,由待检测网站的客户端发起,故后续生成的第二检测IP包括待检测网站的服务器IP与客户端IP。
208、基于所述第二IP查询请求,接收所述网站服务器返回的第二响应信息,其中,所述第二响应信息中包含第二检测IP。
本实施例中,第二响应信息内容与作用与第一响应信息相似,不同之处为,第二检测IP中的客户端IP必为待检测网站的客户端的IP,而第一响应信息中,第一检测IP的客户端IP可能为待检测网站的客户端IP,或者为挟持者网站的客户端IP;故可以此判别待检测网站是否被挟持。
209、基于所述第二响应信息,根据所述周期采集所述第二次IP查询中产生的新的流量数据;
本实施例中,与第一次IP查询一样,此处通过Flow技术采集第二次IP查询中的流量数据,采集节点包括第二次IP查询请求发出节点、网站服务器的第二响应信息发出节点、第二次响应信息接收节点。
210、根据所述新的流量数据,统计所述第二次IP查询中的各项性能指标,得到对应新的流量指标数据,并将所述新的流量指标数据进行更新保存;
本实施例中,统计第二次IP查询产生的新的流量数据的抖动、时延、丢包等流量性能指标,得到对应的流量指标数据,并持续更新保存至数据库中,以用于后续的流量反馈异常检测。
211、判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件,以及判断当前全部的流量指标数据是否满足预置第二检测条件;
212、若满足所述第一检测条件及所述第二检测条件,则确定所述网站未被劫持,若不满足所述第一检测条件及所述第二检测条件,则确定所述网站被劫持,若满足所述第一检测条件或所述第二检测条件,则跳转至213;
213、生成所述网站的检测判别结果并跳转至S201,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
本发明实施例中,介绍了第一次IP查询与第二次IP查询的具体过程,以及对应的流量数据监控过程,得到第一检测IP与第二检测IP,以及得到流量指标数据并更新保存至数据库中,以用于后续的网站域名劫持检测,通过持续流量监测,可检测如恶意泛解析、网络钓鱼等域名劫持方式。
请参阅图3,本发明实施例中网站域名劫持检测方法的第三个实施例包括:
301、对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存;
302、根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存;
303、根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的第一客户端IP,以及根据所述第二检测IP,确定所述网站服务器第二次IP查询中返回的第二客户端IP;
本实施例中,第一客户端IP,包含在服务器对于第一次IP查询的响应信息中;第二客户端IP,包含在服务器对于第二次IP查询的响应信息中,其作用在于指示IP查询请求的目标客户端,其中,第一检测IP包括第一客户端IP,第二检测IP包括第二客户端IP,故通过第一检测IP、第二检测IP即可得到对应的第一客户端IP、第二客户端IP。
304、判断所述第一客户端IP与所述第二客户端IP是否一致;
本实施例中,通过第一客户端IP与第二客户端IP的一致性判别,可以确定第一IP查询请求与第二IP查询请求的请求主体是否一致。如果请求主体不同,则第一客户端IP与第二客户端IP明显会不一样。
305、若一致,则确定所述第一检测IP与所述第二检测IP满足预置第一检测条件;
306、若不一致,则确定所述第一检测IP与所述第二检测IP不满足所述第一检测条件;
本实施例中,当第一检测IP与第二检测IP满足预置第一检测条件,则表示两者一致,反之则不一致;若第一检测IP与第二检测IP一致,请求主体一致,可初步确定网站域名未被劫持,否则可怀疑网站域名被劫持,再进行下一步的预置第二检测条件的判定,再得出最终的检测结果。
307、判断当前本地数据库中的流量指标数据是否满足预置第二检测条件;
308、若满足所述第一检测条件及所述第二检测条件,则确定所述网站未被劫持,若不满足所述第一检测条件及所述第二检测条件,则确定所述网站被劫持,若满足所述第一检测条件或所述第二检测条件,则跳转至309;
309、生成所述网站的检测判别结果并跳转至301,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
本发明实施例中,详细介绍了预置第一检测条件的判别过程,即确定第一检测IP与第二检测IP是否一致,以确定网站域名是否被劫持而使得检测IP发生改变。
请参阅图4,本发明实施例中网站域名劫持检测方法的第四个实施例包括:
401、对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存;
402、根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存;
403、判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件;
404、采用预置的流量状态评估算法,统计所述网站的当前全部的流量指标数据,得到当前网站流量反馈的状态评估得分;
本实施例中,流量指标数据带有源IP、目的IP、传输层协议、源端口和目的端口,其中,源IP即第一检测IP和第二检测IP中的服务器IP,目的IP即客户端IP,故可以以第一检测IP与第二检测IP为索引,从本地数据库中检索对应的流量指标数据并进行收集。
本实施例中,通过对流量指标数据,可以监测在第一IP查询和第二IP查询请求中,流量指标数据双向传输所发生的抖动、延时、丢包等情况,并将抖动、延时、丢包等情况作为流量性能指标,进行流量指标数据安全统计算法的统计,即可对上述情况进行量化处理,得到状态评估得分。
具体的,流量指标数据安全统计算法如下所示:
Figure BDA0002742024420000101
其中,所述i为第i次IP查询,j为第j次IP查询,且i<j,n为IP查询次数,Di为第i次IP查询的时延,Dj为第j次IP查询的时延,Vi为第i次IP查询的抖动;Pi为第i次IP查询的丢包率;Pj为第j次IP查询的丢包率,K为状态评估得分。
405、判断所述状态评估得分是否在预置安全值范围内;
本实施例中,安全值范围限定了抖动、延时、丢包等情况的量化综合指标,若在安全值范围内,则可以认为抖动、延时、丢包等情况是网络异常所导致的,若在安全值范围外,则怀疑是网站域名可能被劫持。
优选地,安全值范围可以为(0,1),即0<K<1,则认为网站未被劫持,K≤0或1≤K,则认为网站被劫持。
406、若是,则确定当前网站流量反馈正常,当前全部的流量指标数据满足预置第二检测条件;
407、若否,则确定当前网站流量反馈异常,当前全部的流量指标数据不满足所述第二检测条件;
本实施例中,预置第二检测条件即状态评估得分在安全值范围内,故反之成立,即状态评估得分在安全值范围内,流量指标数据满足预置第二检测条件;状态评估得分不在安全值范围内,流量指标数据不满足预置第二检测条件。
408、若满足所述第一检测条件及所述第二检测条件,则确定所述网站未被劫持,若不满足所述第一检测条件及所述第二检测条件,则确定所述网站被劫持,若满足所述第一检测条件或所述第二检测条件,则跳转至409;
409、生成所述网站的检测判别结果并跳转至401,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
本发明实施例中,详细介绍了预置第二检测条件的判别过程,以及流量指标数据安全统计算法,得到最终的状态评估得分,以判别流量指标数据是否符合预置第二检测条件,以确定网站域名是否被劫持而使得状态评估得分超出安全值范围。
上面对本发明实施例中网站域名劫持检测方法进行了描述,下面对本发明实施例中网站域名劫持检测装置进行描述,请参阅图5,本发明实施例中网站域名劫持检测装置一个实施例包括:
第一查询模块501,用于对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存;
第二查询模块502,用于根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存;
判别模块503,用于判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件,以及判断当前全部的流量指标数据是否满足预置第二检测条件;
二次检测模块504,用于若所述第一检测IP与所述第二检测IP满足所述第一检测条件,以及当前反馈数据库中的流量指标数据满足第二检测条件,则确定所述网站未被劫持,若所述第一检测IP与所述第二检测IP不满足所述第一检测条件,以及当前反馈数据库中的流量指标数据不满足第二检测条件,则确定所述网站被劫持,若所述第一检测IP与所述第二检测IP满足所述第一检测条件,或当前反馈数据库中的流量指标数据满足第二检测条件,则跳转至循环检测模块;
循环检测模块505,用于生成所述网站的检测判别结果并跳转至第一查询模块,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
本发明实施例中,对网站先后进行第一IP查询、第二IP查询,对应得到第一检测IP、第二检测IP;对第一IP查询与第二IP查询进行流量监控,得到对应的量流量数据;判断第一检测IP与第二检测IP是否满足预置第一检测条件,以及判断当前本地数据库中的量流量数据是否满足预置第二检测条件;若同时满足,则确定网站未被劫持,若同时不满足,则确定网站被劫持,否则进行二次检测;若新判别结果与原判别结果相同,则确定所述网站被劫持,否则持续进行检测,直到确定网站被劫持或者未被劫持。本发明扩展了对网站域名劫持检测的应用范围。
请参阅图6,本发明实施例中网站域名劫持检测装置的另一个实施例包括:
第一查询模块501,用于对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存;
第二查询模块502,用于根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存;
判别模块503,用于判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件,以及判断当前全部的流量指标数据是否满足预置第二检测条件;
二次检测模块504,用于若所述第一检测IP与所述第二检测IP满足所述第一检测条件,以及当前反馈数据库中的流量指标数据满足第二检测条件,则确定所述网站未被劫持,若所述第一检测IP与所述第二检测IP不满足所述第一检测条件,以及当前反馈数据库中的流量指标数据不满足第二检测条件,则确定所述网站被劫持,若所述第一检测IP与所述第二检测IP满足所述第一检测条件,或当前反馈数据库中的流量指标数据满足第二检测条件,则跳转至循环检测模块;
循环检测模块505,用于生成所述网站的检测判别结果并跳转至第一查询模块,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
具体的,所述第一查询模块501包括:
第一请求单元5011,用于根据所述待检测的网站,确定对应的网站域名;基于所述网站域名,向网站服务器发起第一IP查询请求,以对所述网站进行第一次IP查询;
第一响应单元5012,用于基于所述第一IP查询请求,接收所述网站服务器返回的第一响应信息,其中,所述响应信息中包含第一检测IP;
第一采集单元5013,用于基于所述第一响应信息,根据设定的周期采集所述第一次IP查询中产生的流量数据;
第一统计单元5014,用于根据所述流量数据,统计所述第一次IP查询中的各项性能指标,得到对应的流量指标数据,并将所述流量指标数据进行更新保存。
具体的,所述第二查询模块502包括:
第二请求单元5021,用于根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的服务器IP;基于所述服务器IP,向所述网站服务器发起第二IP查询请求,以对所述网站进行第二次IP查询;
第二响应单元5022,用于基于所述第二IP查询请求,接收所述网站服务器返回的第二响应信息,其中,所述第二响应信息中包含第二检测IP;
第二采集单元5023,用于基于所述第二响应信息,根据所述周期采集所述第二次IP查询中产生的新的流量数据;
第二统计单元5024,用于根据所述新的流量数据,统计所述第二次IP查询中的各项性能指标,得到对应新的流量指标数据,并将所述新的流量指标数据进行更新保存。
具体的,所述判别单元503包括:
确定单元5031,用于根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的第一客户端IP,以及根据所述第二检测IP,确定所述网站服务器第二次IP查询中返回的第二客户端IP;
第一判别单元5032,用于判断所述第一客户端IP与所述第二客户端IP是否一致;
第一筛选单元5033,用于若一致,则确定所述第一检测IP与所述第二检测IP满足预置第一检测条件;若不一致,则确定所述第一检测IP与所述第二检测IP不满足所述第一检测条件。
具体的,所述判别单元503还包括:
统计单元5034,用于采用预置的流量状态评估算法,统计所述网站的当前全部的流量指标数据,得到当前网站流量反馈的状态评估得分;
第二判别单元5035,用于判断所述状态评估得分是否在预置安全值范围内;
第二筛选单元5036,用于若是,则确定当前网站流量反馈正常,当前全部的流量指标数据满足预置第二检测条件;若否,则确定当前网站流量反馈异常,当前全部的流量指标数据不满足所述第二检测条件。
具体的,所述流量状态评估算法如下所示:
Figure BDA0002742024420000131
其中,所述i为第i次IP查询,j为第j次IP查询,且i<j,n为IP查询次数,Di为第i次IP查询的时延,Dj为第j次IP查询的时延,Vi为第i次IP查询的抖动;Pi为第i次IP查询的丢包率;Pj为第j次IP查询的丢包率,K为状态评估得分。
本发明实施例中,介绍了两次IP查询的流量指标数据监控过程,对流量指标数据进行端口差异的过滤与流量性能指标的统计,最后存储至本地数据库中,通过流量指标数据监控其流量性能指标,以确定网站域名是否被劫持;详细介绍了预置第一检测条件的判别过程,即确定第一检测IP与第二检测IP是否一致,以确定网站域名是否被劫持而使得检测IP发生改变;详细介绍了预置第二检测条件的判别过程,以及流量指标数据安全统计算法,得到最终的状态评估得分,以判别流量指标数据是否符合预置第二检测条件,以确定网站域名是否被劫持而使得状态评估得分超出安全值范围。本发明实现了扩展了对网站域名劫持检测的应用范围。
上面图5和图6从模块化功能实体的角度对本发明实施例中的网站域名劫持检测装置进行详细描述,下面从硬件处理的角度对本发明实施例中网站域名劫持检测设备进行详细描述。
图7是本发明实施例提供的一种网站域名劫持检测设备的结构示意图,该网站域名劫持检测设备700可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)710(例如,一个或一个以上处理器)和存储器720,一个或一个以上存储应用程序733或数据732的存储介质730(例如一个或一个以上海量存储设备)。其中,存储器720和存储介质730可以是短暂存储或持久存储。存储在存储介质730的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对网站域名劫持检测设备700中的一系列指令操作。更进一步地,处理器710可以设置为与存储介质730通信,在网站域名劫持检测设备700上执行存储介质730中的一系列指令操作。
网站域名劫持检测设备700还可以包括一个或一个以上电源740,一个或一个以上有线或无线网络接口750,一个或一个以上输入输出接口760,和/或,一个或一个以上操作系统731,例如Windows Serve,Mac OS X,Unix,Linux,FreeBSD等等。本领域技术人员可以理解,图7示出的网站域名劫持检测设备结构并不构成对网站域名劫持检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供一种网站域名劫持检测设备,所述网站域名劫持检测设备包括存储器和处理器,存储器中存储有计算机可读指令,计算机可读指令被处理器执行时,使得处理器执行上述各实施例中的所述网站域名劫持检测方法的步骤。
本发明还提供一种计算机可读存储介质,该计算机可读存储介质可以为非易失性计算机可读存储介质,该计算机可读存储介质也可以为易失性计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行所述网站域名劫持检测方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种网站域名劫持检测方法,其特征在于,所述网站域名劫持检测方法包括:
S1、对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存;
S2、根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存;
S3、判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件,以及判断当前全部的流量指标数据是否满足预置第二检测条件;
S4、若满足所述第一检测条件及所述第二检测条件,则确定所述网站未被劫持,若不满足所述第一检测条件及所述第二检测条件,则确定所述网站被劫持,若满足所述第一检测条件或所述第二检测条件,则跳转至S5;
S5、生成所述网站的检测判别结果并跳转至S1,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
2.根据权利要求1所述的网站域名劫持检测方法,其特征在于,所述对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存包括:
根据所述待检测的网站,确定对应的网站域名;
基于所述网站域名,向网站服务器发起第一IP查询请求,以对所述网站进行第一次IP查询;
基于所述第一IP查询请求,接收所述网站服务器返回的第一响应信息,所述响应信息包含第一检测IP;
基于所述第一响应信息,根据设定的周期,采集所述第一次IP查询中产生的流量数据;
根据所述流量数据,统计所述第一次IP查询中的各项流量性能指标,得到对应的流量指标数据,并将所述流量指标数据进行更新保存。
3.根据权利要求2所述的网站域名劫持检测方法,其特征在于,所述根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存包括:
根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的服务器IP;
基于所述服务器IP,向所述网站服务器发起第二IP查询请求,以对所述网站进行第二次IP查询;
基于所述第二IP查询请求,接收所述网站服务器返回的第二响应信息,其中,所述第二响应信息中包含第二检测IP;
基于所述第二响应信息,根据所述周期采集所述第二次IP查询中产生的新的流量数据;
根据所述新的流量数据,统计所述第二次IP查询中的各项性能指标,得到对应新的流量指标数据,并将所述新的流量指标数据进行更新保存。
4.根据权利要求1所述的网站域名劫持检测方法,其特征在于,所述判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件包括:
根据所述第一检测IP,确定所述网站服务器在第一次IP查询中返回的第一客户端IP,以及根据所述第二检测IP,确定所述网站服务器第二次IP查询中返回的第二客户端IP;
判断所述第一客户端IP与所述第二客户端IP是否一致;
若一致,则确定所述第一检测IP与所述第二检测IP满足预置第一检测条件;
若不一致,则确定所述第一检测IP与所述第二检测IP不满足所述第一检测条件。
5.根据权利要求1所述的网站域名劫持检测方法,其特征在于,所述判断当前全部的流量指标数据是否满足预置第二检测条件包括:
采用预置的流量状态评估算法,统计所述网站的当前全部的流量指标数据,得到当前网站流量反馈的状态评估得分;
判断所述状态评估得分是否在预置安全值范围内;
若是,则确定当前网站流量反馈正常,当前全部的流量指标数据满足预置第二检测条件;
若否,则确定当前网站流量反馈异常,当前全部的流量指标数据不满足所述第二检测条件。
6.根据权利要求4所述的网站域名劫持检测方法,其特征在于,所述流量状态评估算法如下所示:
Figure FDA0002742024410000021
其中,所述i为第i次IP查询,j为第j次IP查询,且i<j,n为IP查询次数,Di为第i次IP查询的时延,Dj为第j次IP查询的时延,Vi为第i次IP查询的抖动;Pi为第i次IP查询的丢包率;Pj为第j次IP查询的丢包率,K为状态评估得分。
7.一种网站域名劫持检测装置,其特征在于,所述网站域名劫持检测装置包括:
第一查询模块,用于对待检测的网站进行第一次IP查询,得到第一检测IP,并对所述第一次IP查询进行流量监控,得到对应的流量指标数据并更新保存;
第二查询模块,用于根据所述第一检测IP,对所述网站进行第二次IP查询,得到第二检测IP,并对所述第二次IP查询进行流量监控,得到对应新的流量指标数据并更新保存;
判别模块,用于判断所述第一检测IP与所述第二检测IP是否满足预置第一检测条件,以及判断当前全部的流量指标数据是否满足预置第二检测条件;
二次检测模块,用于若所述第一检测IP与所述第二检测IP满足所述第一检测条件,以及当前本地数据库中的流量指标数据满足第二检测条件,则确定所述网站未被劫持,若所述第一检测IP与所述第二检测IP不满足所述第一检测条件,以及当前本地数据库中的流量指标数据不满足第二检测条件,则确定所述网站被劫持,若所述第一检测IP与所述第二检测IP满足所述第一检测条件,或当前本地数据库中的流量指标数据满足第二检测条件,则跳转至循环检测模块;
循环检测模块,用于生成所述网站的检测判别结果并跳转至第一查询模块,直到存在两次相同的检测判别结果时停止跳转,并确定所述网站被劫持。
8.根据权利要求7所述的网站域名劫持检测装置,其特征在于,所述第一查询模块包括:
请求单元,用于根据所述待检测的网站,确定对应的网站域名;基于所述网站域名,向网站服务器发起第一IP查询请求,以对所述网站进行第一次IP查询;
响应单元,用于基于所述第一IP查询请求,接收所述网站服务器返回的第一响应信息,其中,所述响应信息中包含第一检测IP;
采集单元,用于基于所述第一响应信息,根据设定的周期采集所述第一次IP查询中产生的流量数据;
统计单元,用于根据所述流量数据,统计所述第一次IP查询中的各项性能指标,得到对应的流量指标数据,并将所述流量指标数据进行更新保存。
9.一种网站域名劫持检测设备,其特征在于,所述网站域名劫持检测设备包括:存储器和至少一个处理器,所述存储器中存储有指令;
所述至少一个处理器调用所述存储器中的所述指令,以使得所述网站域名劫持检测设备执行如权利要求1-6中任一项所述的网站域名劫持检测方法。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,其特征在于,所述指令被处理器执行时实现如权利要求1-6中任一项所述网站域名劫持检测方法。
CN202011153700.6A 2020-10-26 2020-10-26 网站域名劫持检测方法、装置、设备及存储介质 Active CN112287252B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011153700.6A CN112287252B (zh) 2020-10-26 2020-10-26 网站域名劫持检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011153700.6A CN112287252B (zh) 2020-10-26 2020-10-26 网站域名劫持检测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN112287252A true CN112287252A (zh) 2021-01-29
CN112287252B CN112287252B (zh) 2023-07-21

Family

ID=74424969

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011153700.6A Active CN112287252B (zh) 2020-10-26 2020-10-26 网站域名劫持检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112287252B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115174190A (zh) * 2022-06-29 2022-10-11 武汉极意网络科技有限公司 一种基于网络流量的信息安全管控系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125215A (zh) * 2014-06-30 2014-10-29 新浪网技术(中国)有限公司 网站域名劫持检测方法和系统
US20170171242A1 (en) * 2015-12-15 2017-06-15 Microsoft Technology Licensing, Llc Defense against nxdomain hijacking in domain name systems
CN107566320A (zh) * 2016-06-30 2018-01-09 中国电信股份有限公司 一种网络劫持检测方法、装置与网络系统
US20180351976A1 (en) * 2017-06-01 2018-12-06 Radware, Ltd. Detection and mitigation of recursive domain name system attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125215A (zh) * 2014-06-30 2014-10-29 新浪网技术(中国)有限公司 网站域名劫持检测方法和系统
US20170171242A1 (en) * 2015-12-15 2017-06-15 Microsoft Technology Licensing, Llc Defense against nxdomain hijacking in domain name systems
CN107566320A (zh) * 2016-06-30 2018-01-09 中国电信股份有限公司 一种网络劫持检测方法、装置与网络系统
US20180351976A1 (en) * 2017-06-01 2018-12-06 Radware, Ltd. Detection and mitigation of recursive domain name system attacks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115174190A (zh) * 2022-06-29 2022-10-11 武汉极意网络科技有限公司 一种基于网络流量的信息安全管控系统及方法
CN115174190B (zh) * 2022-06-29 2024-01-26 武汉极意网络科技有限公司 一种基于网络流量的信息安全管控系统及方法

Also Published As

Publication number Publication date
CN112287252B (zh) 2023-07-21

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
US11316878B2 (en) System and method for malware detection
KR101061375B1 (ko) Uri 타입 기반 디도스 공격 탐지 및 대응 장치
US7636942B2 (en) Method and system for detecting denial-of-service attack
EP2619958B1 (en) Ip prioritization and scoring method and system for ddos detection and mitigation
CN109688105B (zh) 一种威胁报警信息生成方法及系统
US11184387B2 (en) Network attack defense system and method
US20120159623A1 (en) Method and apparatus for monitoring and processing dns query traffic
CN102945340B (zh) 信息对象检测方法及系统
US20070226803A1 (en) System and method for detecting internet worm traffics through classification of traffic characteristics by types
US20090129400A1 (en) Parsing and flagging data on a network
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN112769833A (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN109413022B (zh) 一种基于用户行为检测http flood攻击的方法和装置
CN110719286A (zh) 一种基于大数据的网络优化方案共享系统及其方法
CN112287252B (zh) 网站域名劫持检测方法、装置、设备及存储介质
CN104219219B (zh) 一种数据处理的方法、服务器及系统
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN115664833A (zh) 基于局域网安全设备的网络劫持检测方法
CN114386037A (zh) 基于Web前端页面的恶意请求防御方法及相关设备
CN116415142A (zh) 网络攻击行为检测方法及系统
CN114172707A (zh) Fast-Flux僵尸网络检测方法、装置、设备及存储介质
JP3984233B2 (ja) ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20231120

Address after: Room 301-2, No. 206 Kaibin Road, Xuhui District, Shanghai, 200030

Patentee after: Ping An Technology (Shanghai) Co.,Ltd.

Address before: 23rd floor, Ping An financial center, 5033 Yitian Road, Fuan community, Futian street, Futian District, Shenzhen City, Guangdong Province

Patentee before: PING AN TECHNOLOGY (SHENZHEN) Co.,Ltd.