CN114244590A - Dns劫持监测方法及装置 - Google Patents

Dns劫持监测方法及装置 Download PDF

Info

Publication number
CN114244590A
CN114244590A CN202111485567.9A CN202111485567A CN114244590A CN 114244590 A CN114244590 A CN 114244590A CN 202111485567 A CN202111485567 A CN 202111485567A CN 114244590 A CN114244590 A CN 114244590A
Authority
CN
China
Prior art keywords
dns
result
list
abnormal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111485567.9A
Other languages
English (en)
Inventor
刘鑫
夏玉明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202111485567.9A priority Critical patent/CN114244590A/zh
Publication of CN114244590A publication Critical patent/CN114244590A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2462Approximate or statistical queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Biology (AREA)
  • Fuzzy Systems (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开一种DNS劫持监测方法及装置,所述方法包括获取DNS清单信息,DNS清单信息包括正常DNS清单和异常DNS清单;将待监测的目标资产与DNS清单信息进行对比,反向查询得到DNS线路结果;对于DNS线路结果中需要对同一网站域名解析监测的DNS线路进行解析,得到解析结果;对解析结果进行聚类分析,确定异常的DNS线路。通过反向查询DNS线路结果,并进行域名解析,将解析结果进行聚类分析,确定异常的DNS线路,通过在反向查询之后,对查询结果进行解析并聚类分析,最终确定异常结果,可以保持原信息的完整性,比如异常DNS信息等不会发生变化,以此提高监测准确度、效率和性能。

Description

DNS劫持监测方法及装置
技术领域
本发明涉及网络技术领域,具体涉及一种DNS劫持监测方法及装置。
背景技术
DNS(Domain Name Server,域名服务器)劫持是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址。一般来说,网站在互联网上一般都有可信赖的域名服务器,但为减免网络上的交通,一般的域名都会把外间的域名服务器数据暂存起来,待下次有其他机器要求解析域名时,可以立即提供服务。一旦有相关网域的局域域名服务器的缓存受到污染,就会把网域内的电脑导引往错误的服务器或服务器的网址,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。
相关技术中,DNS劫持监测方法较多,例如:
(1)设置阈值的方法:对每台机器的NXdomain量在单位时间内进行统计,通过设定一定的阈值,对NXdomain量超过阈值的机器进行告警。这种做法有以下问题:
一是,阈值的选择,在时间序列分析时,选用不同的时间序列方法就会产生不同的阈值,没法评判孰好孰坏,这就导致阈值不好选择;
二是,无法识别低频的DGA算法;
三是,当某个常用域名出现解析不成功或DNS server出现问题时,会产生大量的错误告警。
(2)比如申请号为201710404177.7的发明专利申请公开的一种域名劫持发现的方法,该方法将终端监控系统的监测数据进行汇总,将第三方付费监控系统的监测数据进行汇总,中心分析系统根据两种监测系统对域名的解析结果,汇总生成一份实际的全国各地区及运营商维度组合的域名解析级别的IP覆盖关系第一数据,中心分析系统通过实时访问日志系统的分析,汇总生成一份全国各地区及运营商维度组合的用户实际访问级别的IP覆盖关系第二数据,中心分析系统通过调度系统,生成一份全国各地区及运营商维度组合的最标准的IP覆盖关系第三数据;中心分析系统将第一数据、第二数据分别和第三数据做校验比对,当第一数据和第三数据某些地区不一致,并且第一数据的不一致地区的IP不存在第三数据中,则认为有劫持;当第二数据和第三数据某些地区不一致,则认为不一致的地区存在调度不精准或者DNS缓存时间过长问题,此时需要针对性的修正第三数据,已避免造成对第一数据的误判。
但该方法将多个系统汇总的域名解析监测结果进行比较,若不一致,则确定劫持,比较方式单一,且存在域名解析不成功时,会出现大量错误告警的问题。
目前,在DNS劫持监测方面的研究是比较单一的,碎片化的,这些检测效果通常存在检测误报率高、漏报率高和告警数量太多的问题,缺乏对利用DNS反向查询分析的整体视角。
发明内容
本发明所要解决的技术问题在于如何提高DNS劫持监测的准确度。
本发明通过以下技术手段实现解决上述技术问题的:
第一方面,本发明实施例提供了一种DNS劫持监测方法,所述方法包括:
获取DNS清单信息,所述DNS清单信息包括正常DNS清单和异常DNS清单;
将待监测的目标资产与所述DNS清单信息进行对比,反向查询得到DNS线路结果;
对于所述DNS线路结果中需要对同一网站域名解析监测的DNS线路进行解析,得到解析结果;
对所述解析结果进行聚类分析,确定异常的DNS线路。
将待监测的目标资产与所述DNS清单信息进行对比,反向查询得到DNS线路结果,对查询结果进行解析并聚类分析,最终确定异常结果,可以保持原信息的完整性,比如异常DNS信息等不会发生变化,以此提高监测准确度、效率和性能
进一步地,所述方法还包括:
实时收集风险DNS信息;
将所述历史风险DNS信息添加至所述异常DNS清单。
进一步地,所述将待监测的目标资产与所述DNS清单信息进行对比,反向查询得到DNS线路结果,包括:
将所述正常DNS清单中的DNS服务器信息与所述目标资产进行反向查询,得到查询结果;
将所述查询结果与所述异常DNS清单中的DNS服务器信息进行比对筛选,得到所述DNS线路结果。
进一步地,对所述解析结果进行聚类分析,确定异常的DNS线路,包括:
对所述解析结果中为相同结果的记录进行聚类分析,得到聚类结果;
判断所述聚类结果是否大于设定阈值;
若是,则确定所述网站域名未被劫持;
若否,则确定所述网站域名被劫持。
进一步地,所述聚类分析的公式表示为:
Figure BDA0003396371200000031
其中,f1,f2,…fn分别表示需要对同一网站域名解析监测的n个DNS线路,x1,x2,…xn分别表示n个DNS线路对应的解析结果。
第二方面,本发明实施例提供了一种DNS劫持监测装置,其特征在于,所述装置包括:
获取模块,用于获取DNS清单信息,所述DNS清单信息包括正常DNS清单和异常DNS清单;
反向查询模块,用于将待监测的目标资产与所述DNS清单信息进行对比,反向查询得到DNS线路结果;
解析模块,用于对于所述DNS线路结果进行域名解析,得到解析结果;
确定模块,用于对所述解析结果进行聚类分析,确定异常的DNS线路。
进一步地,所述装置还包括:
收集模块,用于实时收集风险DNS信息;
添加模块,用于将所述历史风险DNS信息添加至所述异常DNS清单。
进一步地,所述反向查询模块,包括:
查询单元,用于将所述正常DNS清单中的DNS服务器信息与所述目标资产进行反向查询,得到查询结果;
筛选单元,用于将所述查询结果与所述异常DNS清单中的DNS服务器信息进行比对筛选,得到所述DNS线路结果。
进一步地,所述确定模块包括:
处理单元,用于对所述解析结果中为相同结果的记录进行聚类分析,得到聚类结果;
判断单元,用于判断所述聚类结果是否大于设定阈值;
确定单元用于在所述判断单元输出结果为是时,确定所述网站域名未被劫持,以及用于在所述判断单元输出结果为否时,确定所述网站域名被劫持。
进一步地,所述聚类分析的公式表示为:
Figure BDA0003396371200000041
其中,f1,f2,…fn分别表示需要对同一网站域名解析监测的n个DNS线路,x1,x2,…xn分别表示n个DNS线路对应的解析结果。
本发明的优点在于:
(1)通过将需要监测的目标资产信息分别与正常DNS服务器和异常DNS服务器进行比较分析,反向查询DNS线路结果,并进行域名解析,将解析结果进行聚类分析,确定异常的DNS线路,通过在反向查询之后,对查询结果进行解析并聚类分析,最终确定异常结果,可以保持原信息的完整性,比如异常DNS信息等不会发生变化,以此提高监测准确度、效率和性能。
(2)通过不断收集风险即异常DNS信息并将其维护至异常DNS清单,以确保DNS监测的准确性。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明一实施例中DNS劫持监测方法的流程图;
图2是本发明一实施例中异常DNS线路识别原理框图;
图3是本发明一实施例中步骤S40的细分步骤示意图;
图4是本发明一实施例中DNS劫持监测流程图;
图5是本发明一实施例中DNS劫持监测装置的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本实施例公开了一种DNS劫持监测方法,所述方法包括如下步骤:
S10、获取DNS清单信息,所述DNS清单信息包括正常DNS清单和异常DNS清单。
需要说明的是,正常DNS清单是需要进行反向查询的DNS清单,包含国内、国外等通用DNS服务器,异常DNS清单包含收集的历史异常DNS服务器。
S20、将待监测的目标资产与所述DNS清单信息进行对比,反向查询得到DNS线路结果。
需要说明的是,待监测的目标资产包含网站的域名、URL等信息。
S30、对于所述DNS线路结果进行域名解析,得到解析结果。
其中,可采用多个已知的DNS服务器对多个DNS线路结果进行域名解析,并对解析结果进行记录。
S40、对所述解析结果进行聚类分析,确定异常的DNS线路。
在具体应用场景中,解析正确的数据通过聚类算法后,会聚合成多个球形簇,而错误的解析结果会稀疏的存在于球形簇间,作为噪点数据被忽略。从而通过聚类算法可以确定异常的DNS线路。
通过将需要监测的目标资产信息分别与正常DNS服务器和异常DNS服务器进行比较分析,反向查询DNS线路结果,并进行域名解析,将解析结果进行聚类分析,确定异常的DNS线路,通过在反向查询之后,对查询结果进行解析并聚类分析,最终确定异常结果,可以保持原信息的完整性,比如异常DNS信息等不会发生变化,以此提高监测准确度、效率和性能。
在一些实施例中,所述方法还包括:
实时收集风险DNS信息;
将所述风险DNS信息添加至所述异常DNS清单。
需要说明的是,通过不断收集风险DNS信息(即异常DNS信息)并将其维护至异常DNS清单,以确保DNS监测的准确性。
在一些实施例中,所述步骤S20,包括如下步骤:
将所述正常DNS清单中的DNS服务器信息与所述目标资产进行反向查询,得到查询结果;
将所述查询结果与所述异常DNS清单中的DNS服务器信息进行比对筛选,得到所述DNS线路结果。
通过对比,首先过滤掉一些异常的DNS服务器信息,为后续的算法降低算法的时间复杂度,从而提高实验的准确度。
在一些实施例中,如图2、图3所示,所述步骤S40,包括如下步骤:
S401、对所述解析结果中为相同结果的记录进行聚类分析,得到聚类结果;
S402、判断所述聚类结果是否大于设定阈值,若是执行步骤S403,若否执行步骤S404;
需要说明的是,阈值的确定是基于多年的数据积累,通过对不同阀值和其对应的准确度之间作数据拟合,得出最优阈值,即在此阈值下,识别异常DNS的准确率最高。
S403、确定所述网站域名未被劫持;
S404、确定所述网站域名被劫持。
在一些实施例中,所述聚类分析方式具体采用加和运算方式,在此采取加和方式,是通过增加多条DNS线路进行对比参照,避免发生因网络故障等原因,出现解析错误的情况,从而影响算法的准确度。公式表示为:
Figure BDA0003396371200000071
其中,f1,f2,…fn分别表示需要对同一网站域名解析监测的n个DNS线路,x1,x2,…xn分别表示n个DNS线路对应的解析结果。
具体地,本实施例中阈值取值范围为60%~90%,较优的可取70%,具体取值本领域技术人员可根据实际情况设置,本实施例不作具体限定。
在一些实施例中,在确定异常存在时,所述方法还包括:
生成告警提示信息。
需要说明的是,告警提示信息包括但不限于短息、邮件、电话、网页链接等形式产生的信息。
如图4所示,本实施例中DNS劫持监测过程为:
(1)添加被监测站点:把需要监测的站点即目标资产添加到系统中,可以通过页面新增录入以及批量导入(下载标准的导入模板,补全内容后,添加到系统并进行解析)。
(2)导入DNS内置服务器:把需要反向查询的DNS服务器即正常DNS清单进行批量导入,系统解析后会生成DNS服务器模板,模板可以持续新增与修改。
(3)导入异常/恶意的DNS服务信息:把已有的异常DNS服务器进行批量导入至规则库。
(4)任务执行,对结果进行汇总与分析:通过任务执行把内置的DNS服务信息,与被检测的站点进行反向查询,查询出所有的结果与规则库进行筛选。
(5)统计分析:针对筛选后的结果进行加权平均计算,计算出异常的比例,进行数据汇总。
(6)对存在异常的DNS信息进行告警并协助客户排查分析异常事件和原因。
如图5所示,本发明另一实施例公开了一种DNS劫持监测装置,所述装置包括:
获取模块10,用于获取DNS清单信息,所述DNS清单信息包括正常DNS清单和异常DNS清单。
需要说明的是,正常DNS清单是需要进行反向查询的DNS清单,包含国内、国外等通用DNS服务器,异常DNS清单包含收集的历史异常DNS服务器。
反向查询模块20,用于将待监测的目标资产与所述DNS清单信息进行对比,反向查询得到DNS线路结果。
需要说明的是,待监测的目标资产包含网站的域名、URL等信息。
解析模块30,用于对于所述DNS线路结果进行域名解析,得到解析结果。
其中,可采用多个已知的DNS服务器对多个DNS线路结果进行域名解析,并对解析结果进行记录。
确定模块40,用于对所述解析结果进行聚类分析,确定异常的DNS线路。
通过将需要监测的目标资产信息分别与正常DNS服务器和异常DNS服务器进行比较分析,反向查询DNS线路结果,并进行域名解析,将解析结果进行聚类分析,确定异常的DNS线路,通过在反向查询之后,对查询结果进行解析并聚类分析,最终确定异常结果,可以保持原信息的完整性,比如异常DNS信息等不会发生变化,以此提高监测准确度、效率和性能。
在一些实施例中,所述装置还包括:
收集模块,用于实时收集风险DNS信息;
添加模块,用于将所述风险DNS信息添加至所述异常DNS清单。
需要说明的是,通过不断收集风险DNS信息(即异常DNS信息)并将其维护至异常DNS清单,以确保DNS监测的准确性。
在一些实施例中,所述反向查询模块20,包括:
查询单元,用于将所述正常DNS清单中的DNS服务器信息与所述目标资产进行反向查询,得到查询结果;
筛选单元,用于将所述查询结果与所述异常DNS清单中的DNS服务器信息进行比对筛选,得到所述DNS线路结果。
在一些实施例中,所述确定模块40,包括:
处理单元,用于对所述解析结果中为相同结果的记录进行聚类分析,得到聚类结果;
判断单元,用于判断所述聚类结果是否大于设定阈值;
确定单元用于在所述判断单元输出结果为是时,确定所述网站域名未被劫持,以及用于在所述判断单元输出结果为否时,确定所述网站域名被劫持。
在一些实施例中,所述聚类分析方式采用加和运算,加和运算的公式表示为:
Figure BDA0003396371200000091
其中,f1,f2,…fn分别表示需要对同一网站域名解析监测的n个DNS线路,x1,x2,…xn分别表示n个DNS线路对应的解析结果。
具体地,本实施例中阈值取值范围为60%~90%,较优的可取70%,具体取值本领域技术人员可根据实际情况设置,本实施例不作具体限定。
在一些实施例中,在确定异常存在时,所述装置还包括:
告警模块,用于生成告警提示信息。
需要说明的是,告警提示信息包括但不限于短息、邮件、电话、网页链接等形式产生的信息。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种DNS劫持监测方法,其特征在于,所述方法包括:
获取DNS清单信息,所述DNS清单信息包括正常DNS清单和异常DNS清单;
将待监测的目标资产与所述DNS清单信息进行对比,反向查询得到DNS线路结果;
对于所述DNS线路结果进行域名解析,得到解析结果;
对所述解析结果进行聚类分析,确定异常的DNS线路。
2.如权利要求1所述的DNS劫持监测方法,其特征在于,所述方法还包括:
实时收集风险DNS信息;
将所述风险DNS信息添加至所述异常DNS清单。
3.如权利要求1所述的DNS劫持监测方法,其特征在于,所述将待监测的目标资产与所述DNS清单信息进行对比,反向查询得到DNS线路结果,包括:
将所述正常DNS清单中的DNS服务器信息与所述目标资产进行反向查询,得到查询结果;
将所述查询结果与所述异常DNS清单中的DNS服务器信息进行比对筛选,得到所述DNS线路结果。
4.如权利要求1所述的DNS劫持监测方法,其特征在于,所述对所述解析结果进行聚类分析,确定异常的DNS线路,包括:
对所述解析结果中为相同结果的记录进行聚类分析,得到聚类结果;
判断所述聚类结果是否大于设定阈值;
若是,则确定所述网站域名未被劫持;
若否,则确定所述网站域名被劫持。
5.如权利要求4所述的DNS劫持监测方法,其特征在于,所述聚类分析的公式表示为:
Figure FDA0003396371190000021
其中,f1,f2,…fn分别表示需要对同一网站域名解析监测的n个DNS线路,x1,x2,…xn分别表示n个DNS线路对应的解析结果。
6.一种DNS劫持监测装置,其特征在于,所述装置包括:
获取模块,用于获取DNS清单信息,所述DNS清单信息包括正常DNS清单和异常DNS清单;
反向查询模块,用于将待监测的目标资产与所述DNS清单信息进行对比,反向查询得到DNS线路结果;
解析模块,用于对于所述DNS线路结果进行域名解析,得到解析结果;
确定模块,用于对所述解析结果进行聚类分析,确定异常的DNS线路。
7.如权利要求6所述的DNS劫持监测装置,其特征在于,所述装置还包括:
收集模块,用于实时收集风险DNS信息;
添加模块,用于将所述风险DNS信息添加至所述异常DNS清单。
8.如权利要求6所述的DNS劫持监测装置,其特征在于,所述反向查询模块,包括:
查询单元,用于将所述正常DNS清单中的DNS服务器信息与所述目标资产进行反向查询,得到查询结果;
筛选单元,用于将所述查询结果与所述异常DNS清单中的DNS服务器信息进行比对筛选,得到所述DNS线路结果。
9.如权利要求6所述的DNS劫持监测装置,其特征在于,所述确定模块包括:
处理单元,用于对所述解析结果中为相同结果的记录进行聚类分析,得到聚类结果;
判断单元,用于判断所述聚类结果是否大于设定阈值;
确定单元用于在所述判断单元输出结果为是时,确定所述网站域名未被劫持,以及用于在所述判断单元输出结果为否时,确定所述网站域名被劫持。
10.如权利要求9所述的DNS劫持监测装置,其特征在于,所述聚类分析的公式表示为:
Figure FDA0003396371190000031
其中,f1,f2,…fn分别表示需要对同一网站域名解析监测的n个DNS线路,x1,x2,…xn分别表示n个DNS线路对应的解析结果。
CN202111485567.9A 2021-12-07 2021-12-07 Dns劫持监测方法及装置 Pending CN114244590A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111485567.9A CN114244590A (zh) 2021-12-07 2021-12-07 Dns劫持监测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111485567.9A CN114244590A (zh) 2021-12-07 2021-12-07 Dns劫持监测方法及装置

Publications (1)

Publication Number Publication Date
CN114244590A true CN114244590A (zh) 2022-03-25

Family

ID=80753693

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111485567.9A Pending CN114244590A (zh) 2021-12-07 2021-12-07 Dns劫持监测方法及装置

Country Status (1)

Country Link
CN (1) CN114244590A (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102055818A (zh) * 2010-12-30 2011-05-11 北京世纪互联工程技术服务有限公司 分布式智能dns库系统
CN103001825A (zh) * 2012-11-15 2013-03-27 中国科学院计算机网络信息中心 Dns流量异常的检测方法和系统
CN107135236A (zh) * 2017-07-06 2017-09-05 广州优视网络科技有限公司 一种目标域名劫持的检测方法和系统
CN107147662A (zh) * 2017-06-01 2017-09-08 北京云端智度科技有限公司 域名劫持发现的方法
CN107528817A (zh) * 2016-06-22 2017-12-29 广州市动景计算机科技有限公司 域名劫持的探测方法和装置
CN111447226A (zh) * 2020-03-27 2020-07-24 上海连尚网络科技有限公司 用于检测dns劫持的方法和设备
CN111698260A (zh) * 2020-06-23 2020-09-22 上海观安信息技术股份有限公司 一种基于报文分析的dns劫持检测方法及系统
CN111935136A (zh) * 2020-08-07 2020-11-13 哈尔滨工业大学 基于dns数据分析的域名查询与解析异常检测系统及方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102055818A (zh) * 2010-12-30 2011-05-11 北京世纪互联工程技术服务有限公司 分布式智能dns库系统
CN103001825A (zh) * 2012-11-15 2013-03-27 中国科学院计算机网络信息中心 Dns流量异常的检测方法和系统
CN107528817A (zh) * 2016-06-22 2017-12-29 广州市动景计算机科技有限公司 域名劫持的探测方法和装置
CN107147662A (zh) * 2017-06-01 2017-09-08 北京云端智度科技有限公司 域名劫持发现的方法
CN107135236A (zh) * 2017-07-06 2017-09-05 广州优视网络科技有限公司 一种目标域名劫持的检测方法和系统
CN111447226A (zh) * 2020-03-27 2020-07-24 上海连尚网络科技有限公司 用于检测dns劫持的方法和设备
CN111698260A (zh) * 2020-06-23 2020-09-22 上海观安信息技术股份有限公司 一种基于报文分析的dns劫持检测方法及系统
CN111935136A (zh) * 2020-08-07 2020-11-13 哈尔滨工业大学 基于dns数据分析的域名查询与解析异常检测系统及方法

Similar Documents

Publication Publication Date Title
CN108989150B (zh) 一种登录异常检测方法及装置
CN111178760B (zh) 风险监测方法、装置、终端设备及计算机可读存储介质
WO2021155471A1 (en) Automated web traffic anomaly detection
CN112637159A (zh) 一种基于主动探测技术的网络资产扫描方法、装置及设备
JP4129207B2 (ja) 不正侵入分析装置
CN109495521A (zh) 一种异常流量检测方法及装置
CN104935601B (zh) 基于云的网站日志安全分析方法、装置及系统
CN107911397B (zh) 一种威胁评估方法及装置
CN111835737A (zh) 基于自动学习的web攻击防护方法、及其相关设备
CN114598506B (zh) 工控网络安全风险溯源方法、装置、电子设备及存储介质
CN109005181B (zh) 一种dns放大攻击的检测方法、系统及相关组件
CN111526109B (zh) 自动检测web威胁识别防御系统的运行状态的方法及装置
CN113691540A (zh) 一种异常域名检测方法、系统及相关组件
CN112104523B (zh) 流量透传的检测方法、装置、设备及存储介质
CN113765850B (zh) 物联网异常检测方法、装置、计算设备及计算机存储介质
CN114244590A (zh) Dns劫持监测方法及装置
CN111526110A (zh) 检测电子邮箱账户非授权登录的方法、装置、设备和介质
CN115801307A (zh) 一种利用服务器日志进行端口扫描检测的方法和系统
CN110098983B (zh) 一种异常流量的检测方法及装置
CN112910684B (zh) 一种通过实时流式平台监控重点数据的方法及终端
CN114785721B (zh) 一种网络违规操作识别系统、方法和装置
CN111459743B (zh) 一种数据处理方法及装置、可读存储介质
CN117255005B (zh) 一种基于cdn的业务告警处理方法、装置、设备及介质
CN117997586B (zh) 基于数据可视化的网络安全检测系统
CN110278130B (zh) 一种信息设备技术测评方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination