CN117439792A - 一种基于dns服务器的恶意网址判断方法、系统及存储介质 - Google Patents
一种基于dns服务器的恶意网址判断方法、系统及存储介质 Download PDFInfo
- Publication number
- CN117439792A CN117439792A CN202311482178.XA CN202311482178A CN117439792A CN 117439792 A CN117439792 A CN 117439792A CN 202311482178 A CN202311482178 A CN 202311482178A CN 117439792 A CN117439792 A CN 117439792A
- Authority
- CN
- China
- Prior art keywords
- content
- webpage
- domain name
- level
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000000737 periodic effect Effects 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 230000004044 response Effects 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及数据传输技术领域,更具体涉及一种基于DNS服务器的恶意网址判断方法、系统及存储介质。基于所述用户终端输入的第一网址,提取第一域名,并获取所述第一域名对应的第一IP地址;如果所述待屏蔽恶意域名列表中存在所述第一IP地址对应的待屏蔽IP地址,则判断所述第一IP地址为恶意网址;如果所述待屏蔽恶意域名列表中不存在第一IP地址对应的待屏蔽IP地址,则获得与所述第一域名关联的DNS数据报文,并获取第二IP地址,比较所述第一IP地址与所述第二IP地址,判断所述第一网址是否为恶意网址;预存网页内容根据网页的访问量设定周期性的更新时间。本发明提高了系统的安全性。
Description
技术领域
本发明涉及数据传输技术领域,更具体涉及一种基于DNS服务器的恶意网址判断方法、系统及存储介质。
背景技术
随着网络技术的发展,网络中存在大量的用户终端请求访问的域,其中一些域是恶意的,可能对用户终端造成危害。因此,如何判断用户终端请求访问的域是否是恶意域,以及如何有效地阻断恶意域的访问,已成为当前网络安全领域亟待解决的问题。
为了解决该问题,比如中国发明专利“CN111711631B”公开了一种网络访问控制方法、装置、设备及存储介质,方法包括:在接收针对网络终端的入网成功日志后,首先,获取当前用户信息对应的用户权限信息以及网络终端的标识信息对应的终端安全信息;入网成功日志包括网络终端的当前用户信息和标识信息;用户权限信息用于表示当前用户信息对应的用户的网络访问权限;终端安全信息用于表示网络终端的当前安全状态。然后,基于用户权限信息和终端安全信息,生成针对网络终端的网络访问控制规则,用于对来自该网络终端的网络流量进行网络访问控制。该发明专利分别从用户权限信息和终端安全信息两个维度,更细粒度的对网络访问进行控制,以提高网络访问控制的精确度,最终提高了网络访问的安全性。还比如中国发明专利“CN116192497B”提出一种基于零信任体系的网络准入和用户认证的安全交互方法。该方法中终端模块和后台联动交互,逐步放开网络和应用访问权限,持续动态评估和主动威胁阻断。该技术方案能够控制终端的入网权限,保护关键服务,减少入侵威胁,在最小权限下实现用户认证和权限分配,持续性对终端进行评估,及时应对异常情形,主动响应。上述两个专利都是利用用户权限或用户认证的方式来验证网络安全,但这种方法过于单一,无法准确识别复杂的网络恶意行为,随着恶意网址的创建和传播方式日益复杂,单一的判断标准可能无法准确识别所有类型的恶意网址,导致网络安全性降低。因此,本发明提出了一种基于DNS服务器的恶意网址判断方法,从对比IP地址、网页内容及网页内容所占数据量大小的角度出发,判断网址是否为恶意网址,以提高DNS服务器对网址监控的准确性,本发明可以更细粒度地控制网络访问,从而提高网络访问的安全性,与上述专利相比,本发明的方法综合考虑了用户权限信息和终端安全信息等多个因素,能够更准确地识别恶意网址,提高网络安全性。
发明内容
为了更好的解决从对比IP地址和网页内容及网页内容所占数据量大小的角度判断网址是否为恶意网址的问题,本发明提供一种基于DNS服务器的恶意网址判断方法,包括:
DNS服务器记录用户终端在第一预设时间段内的第一请求记录和第二预设时间段内的第二请求记录,从所述第二请求记录中检索出在所述第一请求记录中不存在的域名,将所述不存在的域名添加到待屏蔽恶意域名列表中,获取每个所述待屏蔽恶意域名对应的待屏蔽IP地址;
基于所述用户终端输入的第一网址,提取第一域名,并获取所述第一域名对应的第一IP地址;
如果所述待屏蔽恶意域名列表中存在所述第一IP地址对应的待屏蔽IP地址,则判断所述第一IP地址为恶意网址;
如果所述待屏蔽恶意域名列表中不存在第一IP地址对应的待屏蔽IP地址,则获得与所述第一域名关联的DNS数据报文,并获取第二IP地址,比较所述第一IP地址与所述第二IP地址,如果所述第一IP地址与所述第二IP地址不相同,则获取所述第一域名对应的第一网页内容及所述第一网页内容的数据量,将所述第一网页内容及所述第一网页内容的数据量分别与预存网页内容及预存网页内容的数据量进行比较,判断所述第一网址是否为恶意网址,其中所述预存网页内容根据网页的访问量设定周期性的更新时间,并在更新网页内容时,判断新的网页内容是否为安全的网页内容。
作为本发明的一种优选技术方案,所述预存网页内容及预存网页内容的数据量的存储方法包括:
所述预存网页内容包括三级不同的第一级别网页、第二级别网页和第三级别网页,其中所述第二级别网页和所述第三级别网页分别是所述第一级别网页中第一链接指向的网页和所述第二级别网页中第二链接指向的网页;
将所述第一级别网页的域名、第二级别网页的域名和第三级别网页的域名分别存储为第一级别域名、第二级别域名和第三级别域名,所述第一级别网页内容及所述第一级别网页内容的数据量、所述第二级别网页内容及所述第二级别网页内容的数据量和所述第三级别网页内容及所述第三级别网页内容的数据量分别存储为第一级别内容、第二级别内容和第三级别内容,其中所述第一级别域名、所述第二级别域名和第三级别域名分别与所述第一级别内容、第二级别内容和第三级别内容是相互对应的;
所述第一级别内容中还包括所述第二级别域名,所述第二级别内容中还包括所述第三级别域名。
作为本发明的一种优选技术方案,所述第一网页内容及所述第一网页内容的数据量分别与预存网页内容及预存网页内容的数据量进行比较,判断所述第一网址包括:
基于第i级别域名,从预存网页内容中获取第i级别内容,将所述第一网页内容与所述第i级别内容中的第i级别网页内容进行比较,所述第一网页内容的数据量与所述第i级别内容中的所述第i级别网页内容的数据量进行比较,分别获取第i内容比较结果和第i数据量比较结果,如果所述第i内容比较结果相同且所述第i数据量比较结果的绝对值大于等于第i阈值,或所述第i内容比较结果不同,则所述第一网址为恶意网址,否则所述第一网址为正常网址;
i加1,重复执行以上内容,其中i的取值为大于等于1小于等于3的正整数。
作为本发明的一种优选技术方案,所述第二级别网页和所述第三级别网页分别是所述第一级别网页中第一链接指向的网页和所述第二级别网页中第二链接指向的网页:
先从所述第一级别网页中的多个所述第一链接中,选择所述第一链接对应网页访问量最大的网页作为所述第二级别网页,同理,选择所述第二链接对应网页访问量最大的网页作为所述第三级别网页;
所述预存网页内容的更新规则根据网页的访问量设定周期性的更新时间,当网页的访问量大于等于第四阈值时,所述预存网页内容更新周期设置为小于等于第一周期,当网页的访问量小于所述第四阈值时,所述预存网页内容更新周期设置为大于所述第一周期;
当更新所述预存网页内容时,通过第j级别域名获取新的网页内容,将所述新的网页内容中的第一屏内容、网页主结构及子结构与第j级别网页内容中的第一屏内容、网页主结构及子结构分别进行对比,获取第一屏内容对比结果和第一结构对比结果,如果所述第一屏内容对比结果和所述第一结构对比结果任一项出现不一致,则所述预存网页内容不更新,其中j的取值为大于等于1小于等于3的正整数。
作为本发明的一种优选技术方案,所述第一网页内容与所述第i级别内容中的第i级别网页内容进行比较包括:
所述第一网页内容和所述第i级别网页内容都包括第一屏内容和网页主结构及子结构,将所述第一网页内容中的第一屏内容、网页主结构及子结构与所述第i级别网页内容中的第一屏内容、网页主结构及子结构分别进行对比。
作为本发明的一种优选技术方案,判断所述第一网址之后还包括:
若所述第一网址为恶意网址,则所述DNS服务器向互锁网络设备发送阻止所述用户终端请求的信号,并将所述第一网址对应的IP地址添加到所述待屏蔽恶意域名列表中,若所述第一网址为正常网址,则直接将所述第一域名对应的IP地址发送给所述用户终端,所述第一网址对应的网页内容存储在预存网页内容中。
本发明还提供一种如上所述的基于DNS服务器的恶意网址判断系统,包括:
恶意IP存储单元,用于DNS服务器记录用户终端在第一预设时间段内的第一请求记录和第二预设时间段内的第二请求记录,从所述第二请求记录中检索出在所述第一请求记录中不存在的域名,将所述不存在的域名添加到待屏蔽恶意域名列表中,获取每个所述待屏蔽恶意域名对应的待屏蔽IP地址;
IP提取单元,用于在所述用户终端输入第一网址时,提取第一域名,并获取所述第一域名对应的第一IP地址;
判断单元,用于判断所述第一IP地址是否为恶意网址,如果所述待屏蔽恶意域名列表中存在所述第一IP地址对应的待屏蔽IP地址,则所述第一IP地址为恶意网址;
如果所述待屏蔽恶意域名列表中不存在第一IP地址对应的待屏蔽IP地址,则获得与所述第一域名关联的DNS数据报文,并获取第二IP地址,比较所述第一IP地址与所述第二IP地址,如果所述第一IP地址与所述第二IP地址不相同,则获取所述第一域名对应的第一网页内容及所述第一网页内容的数据量,将所述第一网页内容及所述第一网页内容的数据量分别与预存网页内容及预存网页内容的数据量进行比较,判断所述第一网址是否为恶意网址,其中所述预存网页内容根据网页的访问量设定周期性的更新时间,并在更新网页内容时,判断新的网页内容是否为安全的网页内容。
本发明还提供一种存储介质,所述存储介质存储有计算机可执行指令,所述计算机可执行指令被处理器执行时实现上述所述的基于DNS服务器的恶意网址判断方法。
与现有技术相比,本发明的有益效果至少如下所述:
1、本发明的技术方案通过从第二请求记录中检索出在第一请求记录中不存在的域名,将不存在的域名添加到待屏蔽恶意域名列表中,再通过比较两个请求记录,可以实时检测出新的恶意域名,及时发现并阻止恶意网站的传播。
2、本发明的技术方案通过对比第一IP地址与恶意IP存储单元中的IP地址,可以快速判断用户终端访问的网址是否为恶意网址,从而提高判断效率。
3、本发明的技术方案通过记录请求、匹配恶意域名和IP地址、比较网页内容和数据量等步骤,有效地检测和屏蔽了恶意网址,减轻了DNS服务器的负载,提高了判断准确性,并实现了灵活的阻止机制,该方案可以有效地保护用户终端免受恶意网址的攻击,提高了系统的可靠性和安全性。
4、本发明的技术方案根据网页的访问量设定周期性的更新时间,从而确保预存网页内容保存的都是正常的网页内容,增加用户对这个网址的信赖。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明中一种基于DNS服务器的恶意网址判断方法的步骤流程图;
图2为本发明中预存网页内容的存储结构图;
图3为本发明中一种基于DNS服务器的恶意网址判断系统的组成结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但除非特别说明,这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本申请的范围的情况下,可以将第一xx脚本称为第二xx脚本,且类似地,可将第二xx脚本称为第一xx脚本。
为了更好的解决上述技术问题,本发明提供一种基于DNS服务器的恶意网址判断方法,包括:
DNS服务器记录用户终端在第一预设时间段内的第一请求记录和第二预设时间段内的第二请求记录,从第二请求记录中检索出在第一请求记录中不存在的域名,将不存在的域名添加到待屏蔽恶意域名列表中,获取每个待屏蔽恶意域名对应的待屏蔽IP地址;
具体的,从第二请求记录中检索出在第一请求记录中不存在的域名,将不存在的域名添加到待屏蔽恶意域名列表中,因为一般情况下,恶意网站在同一域或URL中运行的时间通常很短,有几个小时的也有一天的,甚至还有更短的时间,那么在第一请求记录中获取的域名对应的恶意网站之后很可能已经消失,因此从第二请求记录中提取未包含在第一请求记录中的域名,也就是预测的恶意域名。通过比较两个请求记录,可以实时检测出新的恶意域名,及时发现并阻止恶意网站的传播,将待屏蔽IP地址添加到待屏蔽恶意域名列表中,比起每个域名都要去安全DNS服务器进行解析,可以减少DNS服务器的负载,降低服务器的成本,提高服务器的可靠性和可用性。在第一预设时间段和第二预设时间段的选择上,一般采用更接紧当前时间的时间段,待屏蔽恶意域名列表中存储的待屏蔽IP地址也是根据时间不断累加起来的,加入时间越接近当前时间,待屏蔽IP地址在恶意IP存储单元中的位置越靠前,更方便获取。通过其他方法步骤判断出来的恶意IP同时也会不断加入待屏蔽恶意域名列表中,为其他用户终端提供更可靠的判断方式,同时还能节省DNS服务器资源的消耗。其中,待屏蔽恶意域名列表中的恶意网址、恶意域名与恶意IP是对应的。
基于用户终端输入的第一网址,提取第一域名,并获取第一域名对应的第一IP地址;
具体的,从网址中提取域名,可以使用现在技术直接提取,例如,对于网址"http://www.example.com/path/to/page.html",可以提取出"www.example.com"作为域名。一般情况下,电脑、平板等终端在将域名转换为IP地址时,并不是直找到DNS服务器进行解析,而是先参考电脑内部的一个host文件,一般用户使用的电脑中都会存在一个host文件,这个文件对应一个匹配IP地址和域名,因此,一旦在host文件中找到所需的域名,就不再向DNS请求IP地址。而一般恶意网址通过攻击host文件,篡改host文件中的记录,伪造网址来达到黑客意图,此时就算用户试图通过输入正确的域名地址来连接到互联网,终端也会参考host文件并指向到恶意网址,并将恶意网址显示给用户,用户可能会通过访问恶意网址泄露个人信息。通过对比host文件中的IP地址与待屏蔽恶意域名列表的IP地址,当第一查找结果不为空时,说明在待屏蔽恶意域名列表中找到了相同的IP址,可以确定对应的第一网址为恶意网址,即不再向下继续执行。这样可以快速判断用户终端访问的网址是否为恶意网址,从而提高判断效率。
如果待屏蔽恶意域名列表中存在第一IP地址对应的待屏蔽IP地址,则判断第一IP地址为恶意网址;
具体的,DNS服务器存储着待屏蔽恶意域名列表,因此通过第一IP地址与待屏蔽恶意域名列表进行对比即可判断第一网址是否为恶意网址。以增强对恶意网址的判断,提高网络的安全性。待屏蔽恶意域名列表中的恶意域名是在判断网址过程中,不断将判断结果为恶意网址的域名加入到待屏蔽恶意域名列表中。
如果待屏蔽恶意域名列表中不存在第一IP地址对应的待屏蔽IP地址,则获得与第一域名关联的DNS数据报文,并获取第二IP地址,比较第一IP地址与第二IP地址,如果第一IP地址与第二IP地址不相同,则获取第一域名对应的第一网页内容及第一网页内容的数据量,将第一网页内容及第一网页内容的数据量分别与预存网页内容及预存网页内容的数据量进行比较,判断第一网址是否为恶意网址,其中预存网页内容根据网页的访问量设定周期性的更新时间,并在更新网页内容时,判断新的网页内容是否为安全的网页内容。
具体的,当用户输入的域名不在host文件中时,用户终端会向DNS服务器查询要访问的域名对应的IP地址,这种情况下,DNS服务器将相应的IP地址发送给用户终端,用户终端使用接收到的IP地址访问相应的网址。然而,域名欺骗攻击可以通过向作为攻击目标的用户终端发送DNS响应数据包,这个响应数据包比实际DNS服务器响应数据包更快,因此也就诱导用户终端访问了恶意IP地址的网址。例如,如果用户终端向DNS服务器发送了DNS请求报文,则在DNS服务器发送正确的DNS响应报文之前,攻击者向用户发送了伪造的DNS响应报文,那么此时,用户终端将攻击者发送的DNS响应数据包识别为正确的数据包并访问相应网址,在这种情况下,用户访问的网址不是正常网址,而是攻击者创建的虚假网站,即恶意网址,这就需要通过进一步对比,才能判断出是否为恶意网址,那么将第一网页内容及第一网页内容的数据量与预存网页内容及预存网页内容的数据量进行比较,来判断第一网址是否为恶意网址,是很关键的一步。第一域名关联的DNS数据报文至少包括要查询的域名、查询类型、响应码、相关联的域名服务器等。对预存网页内容根据网页的访问量设定周期性的更新时间,并在更新网页内容时,判断新的网页内容是否为安全的网页内容,以确保预存网页内容保存的都是正常的网页内容,增加用户对这个网址的信赖。其中,第二IP地址是从第一域名关联的DNS数据报文中获取的,也就是正常域名对应的IP地址,如果第一IP地址与第二IP地址相同,说明是正常网址。
进一步的,上述预存网页内容及预存网页内容的数据量的存储方法包括:
预存网页内容包括三级不同的第一级别网页、第二级别网页和第三级别网页,其中第二级别网页和第三级别网页分别是第一级别网页中第一链接指向的网页和第二级别网页中第二链接指向的网页;
将第一级别网页的域名、第二级别网页的域名和第三级别网页的域名分别存储为第一级别域名、第二级别域名和第三级别域名,第一级别网页内容及第一级别网页内容的数据量、第二级别网页内容及第二级别网页内容的数据量和第三级别网页内容及第三级别网页内容的数据量分别存储为第一级别内容、第二级别内容和第三级别内容,其中第一级别域名、第二级别域名和第三级别域名分别与第一级别内容、第二级别内容和第三级别内容是相互对应的;
第一级别内容中还包括第二级别域名,第二级别内容中还包括第三级别域名。
具体的,如图2所示,通过将网页内容分为三个级别,并使用映射函数将经过验证的合法网站的网页内容、各级网页的域名和内容及其数据量存储在DNS服务器中,本发明能够有效地组织和管理网页内容,层次化的组织结构能节省存储空间的同时还可以在需要时快速地检索和分析这些信息,进一步提高了判断恶意网址的准确性和效率。为什么选择三个级别对网页内容进行判断,因为大部分攻击目的是通过篡改网站的首页来引导用户登录,一般通过篡改第二级别网页的可能性很小,而篡改第三级别网页的可能性就更小,因此通过三个级别来判断网址是否为恶意网址更可靠,判断结果更准确。本发明通过在DNS服务器中获取网站的域名和IP地址映射关系,并验证网站内容的合法性,可以有效地检测和阻止恶意网站的访问。其中,网页内容的数据量表示网页内容在硬件内存中占用存储空间的大小,同时也表示页面元素的数量。
进一步的,上述第一网页内容及第一网页内容的数据量分别与预存网页内容及预存网页内容的数据量进行比较,判断第一网址包括:
基于第i级别域名,从预存网页内容中获取第i级别内容,将第一网页内容与第i级别内容中的第i级别网页内容进行比较,第一网页内容的数据量与第i级别内容中的第i级别网页内容的数据量进行比较,分别获取第i内容比较结果和第i数据量比较结果,如果第i内容比较结果相同且第i数据量比较结果的绝对值大于等于第i阈值,或第i内容比较结果不同,则第一网址为恶意网址,否则第一网址为正常网址;
i加1,重复执行以上内容,其中i的取值为大于等于1小于等于3的正整数。
具体的,本发明通过比较第一网页内容与预存网页内容中的第一级别网页内容,以及比较第一网页内容的数据量与第一级别网页内容的数据量,有效地提高了恶意网址判断的准确性,该方法可以检测出例如通过篡改网页内容来插入恶意代码的网站。通过采用多级比较的方法,逐步缩小比较范围,增强了方法的适应性,即使某个级别的比较结果不准确或出现了误报,也不会对整个判断结果产生过大的影响。
进一步的,上述第二级别网页和第三级别网页分别是第一级别网页中第一链接指向的网页和第二级别网页中第二链接指向的网页:
先从第一级别网页中的多个第一链接中,选择第一链接对应网页访问量最大的网页作为第二级别网页,同理,选择第二链接对应网页访问量最大的网页作为第三级别网页;
预存网页内容的更新规则根据网页的访问量设定周期性的更新时间,当网页的访问量大于等于第四阈值时,预存网页内容更新周期设置为小于等于第一周期,当网页的访问量小于第四阈值时,预存网页内容更新周期设置为大于第一周期;
当更新预存网页内容时,通过第j级别域名获取新的网页内容,将新的网页内容中的第一屏内容、网页主结构及子结构与第j级别网页内容中的第一屏内容、网页主结构及子结构分别进行对比,获取第一屏内容对比结果和第一结构对比结果,如果第一屏内容对比结果和第一结构对比结果任一项出现不一致,则预存网页内容不更新,其中j的取值为大于等于1小于等于3的正整数。
上述第一网页内容与第i级别内容中的第i级别网页内容进行比较包括:
第一网页内容和第i级别网页内容都包括第一屏内容和网页主结构及子结构,将第一网页内容中的第一屏内容、网页主结构及子结构与第i级别网页内容中的第一屏内容、网页主结构及子结构分别进行对比。
具体的,如何选择第二级别网页,具体来说,应该选择访问量最大的网页作为第二级别网页,这是因为一个网页的访问量越高,那么这个网页很可能更受用户欢迎,选择这样的页面作为第二级别网页可以帮助增加判断恶意网址的准确性,因为这种网页更容易受到黑客的攻击,所以在制作和维护这个页面的过程中,网页内容的更新频率更高,从而提高判断的可靠性,增加用户对这个网址的信赖。
通过对网页内容的比对工作,检查第一级别内容、第二级别内容和第三级别内容是否被合法更改,从而提高反域名拦截的准确性。至于预存网页内容的更新规则,可以根据网页的访问量设定一个默认周期,进行周期性的更新时间,当网页的访问量大于等于预设值时,网页内容更新周期设置为小于等于默认周期,当网页的访问量小于预设值时,网页内容更新周期设置为大于默认周期,还可以通过捕获网站的更新公告进行自定义更新时间。
为了防止用户混乱,大多数网站的第一屏内容,也就是首页和公告栏,还有网页主结构及子结构等主要部分都不会更改,因此通过这些主要部分的相同与否来判断网页内容是否被真正的网站提供者更改,对于黑客攻击,大部分目的是通过篡改网站的首页来引导用户,所以通过分别对比第一屏内容、网页主结构及子结构中的任一项,当任一项的变化率在一定阈值范围内,说明网页内容没有被修改,从而判断预存网页内容是否需要更新,确保预存网页内容保存的网页内容始终是正常的网页内容。
判断第一网址之后还包括:
若第一网址为恶意网址,则DNS服务器向互锁网络设备发送阻止用户终端请求的信号,并将第一网址对应的IP地址添加到待屏蔽恶意域名列表中,若第一网址为正常网址,则直接将第一域名对应的IP地址发送给用户终端,第一网址对应的网页内容存储在预存网页内容中。
具体地,本发明中如果发现第一网址是恶意网址,那么向互锁网络设备发送阻止用户终端请求的信号,互锁的网络设备可以理解为网络中的防火墙等,这些设备具有相互通信、协作的能力,当接收到DNS服务器的阻止请求后,这些设备可以阻止用户终端的请求。将经过验证的合法网站的正常网页内容加入预存网页内容中,为之后的网页内容对比提供依据。
本发明还提供一种如图3所示的基于DNS服务器的恶意网址判断系统,包括:
恶意IP存储单元,用于DNS服务器记录用户终端在第一预设时间段内的第一请求记录和第二预设时间段内的第二请求记录,从第二请求记录中检索出在第一请求记录中不存在的域名,将不存在的域名添加到待屏蔽恶意域名列表中,获取每个待屏蔽恶意域名对应的待屏蔽IP地址;
IP提取单元,用于在用户终端输入第一网址时,提取第一域名,并获取第一域名对应的第一IP地址;
判断单元,用于判断第一IP地址是否为恶意网址,如果待屏蔽恶意域名列表中存在第一IP地址对应的待屏蔽IP地址,则第一IP地址为恶意网址;
如果待屏蔽恶意域名列表中不存在第一IP地址对应的待屏蔽IP地址,则获得与第一域名关联的DNS数据报文,并获取第二IP地址,比较第一IP地址与第二IP地址,如果第一IP地址与第二IP地址不相同,则获取第一域名对应的第一网页内容及第一网页内容的数据量,将第一网页内容及第一网页内容的数据量分别与预存网页内容及预存网页内容的数据量进行比较,判断第一网址是否为恶意网址,其中预存网页内容根据网页的访问量设定周期性的更新时间,并在更新网页内容时,判断新的网页内容是否为安全的网页内容。
本发明还提供一种计算机存储介质,存储介质存储有程序指令,其中,在程序指令运行时控制计算机存储介质所在设备执行上述的基于DNS服务器的恶意网址判断方法。
综上所述,本发明的技术方案通过从第二请求记录中检索出在第一请求记录中不存在的域名,将不存在的域名添加到待屏蔽恶意域名列表中,再通过比较两个请求记录,可以实时检测出新的恶意域名,及时发现并阻止恶意网站的传播。通过对比host文件中的IP地址与待屏蔽恶意域名列表中的IP地址,可以快速判断用户终端访问的网址是否为恶意网址,从而提高判断效率。通过记录请求记录、匹配恶意域名和IP地址、比较网页内容和数据量等步骤,有效地检测和屏蔽恶意网址,减轻了DNS服务器的负载,提高了判断准确性,并实现了灵活的阻止机制。该方案可以有效地保护用户终端免受恶意网址的攻击,提高了系统的可靠性和安全性。通过对网页内容的比对工作,检查第一级别内容、第二级别内容和第三级别内容是否被合法更改,从而提高反域名拦截的准确性,至于预存网页内容的更新规则,根据网页的访问量设定一个默认周期,进行周期性的更新时间,从而提高工作的可靠性,根据网页的访问量设定周期性的更新时间,从而确保网页存储单元中预存网页内容保存的都是正常的网页内容,增加用户对这个网址的信赖。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的程序可存储于一个非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上上述的实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上上述的实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
以上上述的仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于DNS服务器的恶意网址判断方法,其特征在于,所述方法包括:
DNS服务器记录用户终端在第一预设时间段内的第一请求记录和第二预设时间段内的第二请求记录,从所述第二请求记录中检索出在所述第一请求记录中不存在的域名,将所述不存在的域名添加到待屏蔽恶意域名列表中,获取每个所述待屏蔽恶意域名对应的待屏蔽IP地址;
基于所述用户终端输入的第一网址,提取第一域名,并获取所述第一域名对应的第一IP地址;
如果所述待屏蔽恶意域名列表中存在所述第一IP地址对应的待屏蔽IP地址,则判断所述第一IP地址为恶意网址;
如果所述待屏蔽恶意域名列表中不存在第一IP地址对应的待屏蔽IP地址,则获得与所述第一域名关联的DNS数据报文,并获取第二IP地址,比较所述第一IP地址与所述第二IP地址,如果所述第一IP地址与所述第二IP地址不相同,则获取所述第一域名对应的第一网页内容及所述第一网页内容的数据量,将所述第一网页内容及所述第一网页内容的数据量分别与预存网页内容及预存网页内容的数据量进行比较,判断所述第一网址是否为恶意网址,其中所述预存网页内容根据网页的访问量设定周期性的更新时间,并在更新网页内容时,判断新的网页内容是否为安全的网页内容。
2.根据权利要求1所述的一种基于DNS服务器的恶意网址判断方法,其特征在于,所述预存网页内容及预存网页内容的数据量的存储方法包括:
所述预存网页内容包括三级不同的第一级别网页、第二级别网页和第三级别网页,其中所述第二级别网页和所述第三级别网页分别是所述第一级别网页中第一链接指向的网页和所述第二级别网页中第二链接指向的网页;
将所述第一级别网页的域名、第二级别网页的域名和第三级别网页的域名分别存储为第一级别域名、第二级别域名和第三级别域名,所述第一级别网页内容及所述第一级别网页内容的数据量、所述第二级别网页内容及所述第二级别网页内容的数据量和所述第三级别网页内容及所述第三级别网页内容的数据量分别存储为第一级别内容、第二级别内容和第三级别内容,其中所述第一级别域名、所述第二级别域名和第三级别域名分别与所述第一级别内容、第二级别内容和第三级别内容是相互对应的;
所述第一级别内容中还包括所述第二级别域名,所述第二级别内容中还包括所述第三级别域名。
3.根据权利要求2所述的一种基于DNS服务器的恶意网址判断方法,其特征在于,所述第一网页内容及所述第一网页内容的数据量分别与预存网页内容及预存网页内容的数据量进行比较,判断所述第一网址包括:
基于第i级别域名,从预存网页内容中获取第i级别内容,将所述第一网页内容与所述第i级别内容中的第i级别网页内容进行比较,所述第一网页内容的数据量与所述第i级别内容中的所述第i级别网页内容的数据量进行比较,分别获取第i内容比较结果和第i数据量比较结果,如果所述第i内容比较结果相同且所述第i数据量比较结果的绝对值大于等于第i阈值,或所述第i内容比较结果不同,则所述第一网址为恶意网址,否则所述第一网址为正常网址;
i加1,重复执行以上内容,其中i的取值为大于等于1小于等于3的正整数。
4.根据权利要求2所述的一种基于DNS服务器的恶意网址判断方法,其特征在于,所述第二级别网页和所述第三级别网页分别是所述第一级别网页中第一链接指向的网页和所述第二级别网页中第二链接指向的网页:
先从所述第一级别网页中的多个所述第一链接中,选择所述第一链接对应网页访问量最大的网页作为所述第二级别网页,同理,选择所述第二链接对应网页访问量最大的网页作为所述第三级别网页;
所述预存网页内容的更新规则根据网页的访问量设定周期性的更新时间,当网页的访问量大于等于第四阈值时,所述预存网页内容更新周期设置为小于等于第一周期,当网页的访问量小于所述第四阈值时,所述预存网页内容更新周期设置为大于所述第一周期;
当更新所述预存网页内容时,通过第j级别域名获取新的网页内容,将所述新的网页内容中的第一屏内容、网页主结构及子结构与第j级别网页内容中的第一屏内容、网页主结构及子结构分别进行对比,获取第一屏内容对比结果和第一结构对比结果,如果所述第一屏内容对比结果和所述第一结构对比结果任一项出现不一致,则所述预存网页内容不更新,其中j的取值为大于等于1小于等于3的正整数。
5.根据权利要求3所述的一种基于DNS服务器的恶意网址判断方法,其特征在于,所述第一网页内容与所述第i级别内容中的第i级别网页内容进行比较包括:
所述第一网页内容和所述第i级别网页内容都包括第一屏内容和网页主结构及子结构,将所述第一网页内容中的第一屏内容、网页主结构及子结构与所述第i级别网页内容中的第一屏内容、网页主结构及子结构分别进行对比。
6.根据权利要求1所述的一种基于DNS服务器的恶意网址判断方法,其特征在于,判断所述第一网址之后还包括:
若所述第一网址为恶意网址,则所述DNS服务器向互锁网络设备发送阻止所述用户终端请求的信号,并将所述第一网址对应的IP地址添加到所述待屏蔽恶意域名列表中,若所述第一网址为正常网址,则直接将所述第一域名对应的IP地址发送给所述用户终端,所述第一网址对应的网页内容存储在预存网页内容中。
7.一种基于DNS服务器的恶意网址判断系统,其特征在于,所述系统包括如下模块:
恶意IP存储单元,用于DNS服务器记录用户终端在第一预设时间段内的第一请求记录和第二预设时间段内的第二请求记录,从所述第二请求记录中检索出在所述第一请求记录中不存在的域名,将所述不存在的域名添加到待屏蔽恶意域名列表中,获取每个所述待屏蔽恶意域名对应的待屏蔽IP地址;
IP提取单元,用于在所述用户终端输入第一网址时,提取第一域名,并获取所述第一域名对应的第一IP地址;
判断单元,用于判断所述第一IP地址是否为恶意网址,如果所述待屏蔽恶意域名列表中存在所述第一IP地址对应的待屏蔽IP地址,则所述第一IP地址为恶意网址;
如果所述待屏蔽恶意域名列表中不存在第一IP地址对应的待屏蔽IP地址,则获得与所述第一域名关联的DNS数据报文,并获取第二IP地址,比较所述第一IP地址与所述第二IP地址,如果所述第一IP地址与所述第二IP地址不相同,则获取所述第一域名对应的第一网页内容及所述第一网页内容的数据量,将所述第一网页内容及所述第一网页内容的数据量分别与预存网页内容及预存网页内容的数据量进行比较,判断所述第一网址是否为恶意网址,其中所述预存网页内容根据网页的访问量设定周期性的更新时间,并在更新网页内容时,判断新的网页内容是否为安全的网页内容。
8.一种计算机存储介质,其特征在于,所述存储介质存储有程序指令,其中在所述程序指令运行时控制所述存储介质所在设备执行权利要求1-6任一项所述的基于DNS服务器的恶意网址判断方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311482178.XA CN117439792A (zh) | 2023-11-09 | 2023-11-09 | 一种基于dns服务器的恶意网址判断方法、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311482178.XA CN117439792A (zh) | 2023-11-09 | 2023-11-09 | 一种基于dns服务器的恶意网址判断方法、系统及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117439792A true CN117439792A (zh) | 2024-01-23 |
Family
ID=89549619
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311482178.XA Pending CN117439792A (zh) | 2023-11-09 | 2023-11-09 | 一种基于dns服务器的恶意网址判断方法、系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117439792A (zh) |
-
2023
- 2023-11-09 CN CN202311482178.XA patent/CN117439792A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021109669A1 (zh) | 恶意域名访问的检测方法、装置及计算机可读存储介质 | |
CN108932426B (zh) | 越权漏洞检测方法和装置 | |
CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
KR100894331B1 (ko) | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 | |
US9147067B2 (en) | Security method and apparatus | |
KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
CN112003838A (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
CN112165488A (zh) | 一种风险评估方法、装置、设备及可读存储介质 | |
CN109617977B (zh) | 一种网页请求处理方法及装置 | |
CN102567546A (zh) | 一种sql注入检测方法及装置 | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
US20170187730A1 (en) | Security indicator linkage determination | |
CN112600797A (zh) | 异常访问行为的检测方法、装置、电子设备及存储介质 | |
CN109981533B (zh) | 一种DDoS攻击检测方法、装置、电子设备及存储介质 | |
CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及系统 | |
CN113572793B (zh) | 访问请求捕获方法、装置、计算机设备和存储介质 | |
CN111131166B (zh) | 一种用户行为预判方法及相关设备 | |
CN110457900B (zh) | 一种网站监测方法、装置、设备及可读存储介质 | |
CN117040804A (zh) | 网站的网络攻击检测方法、装置、设备、介质和程序产品 | |
CN117439792A (zh) | 一种基于dns服务器的恶意网址判断方法、系统及存储介质 | |
CN113923039B (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
CN114489658A (zh) | 一种基于web前沿页面底层代码的封装方法 | |
CN109218332B (zh) | 一种埋点式钓鱼网站监测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |