WO2018113730A1

WO2018113730A1 - 网络安全的检测方法和装置

Info

Publication number: WO2018113730A1
Application number: PCT/CN2017/117694
Authority: WO
Inventors: 高永岗; 张建新; 刘天
Original assignee: 北京奇虎科技有限公司
Priority date: 2016-12-21
Filing date: 2017-12-21
Publication date: 2018-06-28
Also published as: CN106453436A; CN106453436B

Abstract

本公开实施例提供了一种网络安全的检测方法和装置，该方法包括：获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址；反向解析目标IP地址，获得目标IP地址对应的多个第二目标域名；判断第一目标域名是否与其中一个第二目标域名一致；当第一目标域名与多个第二目标域名均不匹配时，确定UE存在网络安全风险。

Description

网络安全的检测方法和装置

相关申请的交叉参考

本申请要求于2016年12月21日提交中国专利局、申请号为201611193269.1、名称为“一种网络安全的检测方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本公开涉及计算机技术领域，尤其涉及一种网络安全的检测方法和装置。

背景技术

随着网络的推广和深度应用，人们日常生活中的各类信息与网络更为紧密地结合在一起。正因如此，对于网络安全的检测就得更加重要。

以钓鱼检测为例，一些相关技术通过如下方法检测：首先在电子设备本地端存储黑名单库，然后通过比对网页的特征向量或者URI(统一资源标识符，Uniform Resource Identifier)，如果特征向量或者URI不在黑名单库中，则判断不存在钓鱼危险。

然而，上述相关技术的检测方法存在检测准确率不高的技术问题。

发明内容

本公开实施例提供了一种网络安全的检测方法和装置，用于提高网络安全检测准确率。

第一方面，本公开提供了一种网络安全的检测方法，包括：

获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址；

反向解析目标IP地址，获得目标IP地址对应的多个第二目标域名；

判断第一目标域名是否与其中一个第二目标域名一致；

当第一目标域名与多个第二目标域名均不匹配时，确定UE存在网络安全风险。

第二方面，本公开提供了一种网络安全的检测装置，包括：

第一获得模块，用于获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址；

反向解析模块，用于反向解析目标IP地址，获得目标IP地址对应的多个第二目标域名；

第一判断模块，用于判断第一目标域名是否与其中一个第二目标域名一致；

第一确定模块，用于当第一目标域名与多个第二目标域名均不匹配时，确定UE存在网络安全风险。

第三方面，本公开提供了一种计算机程序，包括：

计算机可读代码，当计算机可读代码在计算设备上运行时，导致计算设备执行上述网络安全的检测方法。

第四方面，本公开提供了一种计算机可读介质，包括：

存储了上述执行上述网络安全的检测方法的计算机程序。

本公开实施例中的上述一个或多个技术方案，至少具有如下一种或多种技术效果：

在本公开实施例的技术方案中，首先获得UE对第一目标域名解析出的目标IP地址，然后反向解析目标IP地址，获得目标IP地址对应的多个第二目标域名，当第一目标域名与多个第二目标域名均不匹配时，确定UE存在网络安全风险。由于在钓鱼攻击中，不法分子将第一目标域名的解析到不正确的IP地址上，但是该不正确的IP地址可能仍然不在黑名单库中。因此，本申请在获得目标IP地址后直接对目标IP地址进行反向解析，从较为权威的DNS服务器获得合法使用目标IP地址的多个第二目标域名。那么，即使目标IP不在黑名单库中，如果第一目标域名与所有第二目标安全域名均不一致，则表明目标IP地址可能指向危险域名，进而确定UE存在网络风险。所以，通过上述技术方案，解决了现有技术存在的网络安全检测准确不高的技术问题，实现了提高网络安全检测准确率。

附图概述

图1为本公开实施例中网络安全的检测方法的流程图；

图2为本公开实施例中网络安全的检测装置的结构示意图；

图3示意性地示出了用于执行根据本公开实施例的网络安全的检测方法的计算设备的框图；以及

图4示意性地示出了用于保持或者携带实现根据本公开实施例的网络安全的检测方法的程序代码的存储单元。

本发明的较佳实施方式

为了解决上述技术问题，本公开提供的技术方案思路如下：

在本公开实施例的技术方案中，首先获得UE对第一目标域名解析出的目标IP地址，然后反向解析目标IP地址，获得目标IP地址对应的多个第二目标域名，当第一目标域名与多个第二目标域名均不匹配时，确定UE存在网络安全风险。由于在钓鱼攻击中，不法分子将第一目标域名的解析到不正确的IP地址上，但是该不正确的IP地址可能仍然不在黑名单库中。因此，本申请在获得目标IP地址后直接对目标IP地址进行反向解析，从较为权威的DNS服务器获得合法使用目标IP地址的多个第二目标域名。那么，即使目标IP不在黑名单库中，如果第一目标域名与所有第二目标安全域名均不一致，则表明目标IP地址可能指向危险域名，进而确定UE存在网络风险。所以，通过上述技术方案，解决了现有技术存在的网络安全检测准确不高的技术问题，实现了提供网络安全检测准确率。

下面通过附图以及具体实施例对本公开技术方案做详细的说明，应当理解本申请实施例以及实施例中的具体特征是对本申请技术方案的详细的说明，而不是对本申请技术方案的限定，在不冲突的情况下，本申请实施例以及实施例中的技术特征可以相互组合。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本公开第一方面提供了一种网络安全的检测方法，请参考图1，为本公开实施例中网络安全的检测方法的流程图。该方法包括：

S101：获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址；

S102：反向解析目标IP地址，获得目标IP地址对应的多个第二目标域名；

S103：判断第一目标域名是否与其中一个第二目标域名一致；

S104：当第一目标域名与多个第二目标域名均不匹配时，确定UE存在网络安全风险。

本公开实施例中网络安全的检测方法可以应用于UE(用户设备，User Equipment)，例如智能手机、笔记本电脑或平板电脑等，也可以应用于服务器，本公开不做具体限制。

并且，为了能够保障UE网络安全，可以在每次UE接入网络之后均使用本公开的方法检测网络是否安全，也可以根据用户的触发来不定期检测，本公开不做具体限制。

下面对本公开实施例中网络安全的检测方法进行说明。

首先，S101中获得UE对第一目标域名解析出的目标IP(互联网协议，InternetProtocol)地址。

具体来讲，第一目标域名为UE通过当前接入的网络能够访问到的一个域名。目标IP地址则是UE对第一目标域名进行DNS(域名系统，Domain Name System)解析而获得的IP地址。当然，对第一目标域名进行DNS解析，还可以获得第一目标域名所使用的网络协议等其他参数。

UE可以对能够访问到所有域名均进行DNS解析，进而对所有域名进行检测。或者，UE也可以对能够访问到的任意域名进行DNS解析，进而对其中一部分域名进行检测，本公开不做具体限制。

如果本公开实施例中网络安全检测方法的执行主体为UE，则UE获取第一目标域名，且基于第一目标域名进行DNS解析出对应的IP地址之后，就获得了目标IP地址。而如果执行主体为服务器，则UE解析出目标IP地址后将目标IP地址发送给服务器，进而使服务器获得目标IP地址。

接下来，S102中，对目标IP地址进行DNS反向解析。具体来讲，获得目标IP地址的UE或服务器将目标IP地址发送到DNS服务器，并请求DNS服务器返回能够合法使用目标地址IP的多个域名。然后，接收DNS服务器返回的一个或多个域名。本公开实施例中，将反向解析目标IP地址而获得的域名称为第二目标域名。

然后，S103中，判断第一目标域名是否与多个第二目标域名中的其中一个一致。由于第二目标域名是较为权威的DNS服务器基于目标IP地址反向解析出的，所以第二目标域名是能够合法使用目标IP地址的安全域名。所以，如果第一目标域名与所有第二目标域名均不一致，则表示第一目标域名不是合法使用目标IP地址的域名。因此S104中，第一目标域名与多个第二目标域名均不匹配时，确定第一目标域名被劫持，UE存在网络安全风险。

而如果第一目标域名与其中一个第二目标域名一致，则表示第一目标域名是合法使用目标IP地址的域名。在具体实现过程中，如果仅检测一个第一目标域名的合法性，则在该第一目标域名为合法域名时可以确定网络安全。而如果检测多个第一目标域名，在所有第一目标域名均为合法域名时才能确定网络安全。如果其中有一个或多个第一目标域名不合法，将确定当前网络存在安全风险。

另外，在具体实现过程中，如果执行主体为UE，由于不法分子劫持网络后，可能会监视到UE向DNS服务器发送反向解析请求，进而向UE提供虚假第二目标域名。所以，在服务器中执行本公开实施例中的方法为较佳选择。

作为一种可选的实施例，如图2所示，在S101之后，还可以包括：

S1001：判断目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致；

S1002：当目标IP地址与多个安全IP地址均不一致时，确定执行反向解析目标IP地址的步骤。

具体来讲，本公开实施例中的基准库记录有多个安全域名，以及每个安全域名所使用的安全IP地址。基准库存储在执行主体的存储空间中，并且定期或不定期更新。

在获得目标IP地址后，首先判断目标IP地址是否与基准库中记录的多个安全IP地址中的一个一致。由于基准库中可能并没有将每个域名的所有安全IP地址全部记录到，所以如果目标IP地址与基准库中的所有安全IP地址均不一致，则进一步执行S102反向解析目标IP地址，进而通过判断第一目标域名是否安全来判断是否存在网络安全风险。

另外，S1001之后，还包括：

S1003：当目标IP地址与其中一个安全IP地址一致时，确定第一目标域名未被劫持。

如果目标IP地址与其中一个安全IP地址一致，则表示UE当前能够以安全IP地址链接到第一目标域名，所以在目标IP地址与其中一个安全IP地址一致时，可以确定第一目标域名未被劫持。

类似的，如果仅检测一个第一目标域名的合法性，则在目标IP地址为安全IP地址时，或者目标IP地址不为安全IP地址，但是进一步反向解析出的多个第二目标安全域名中存在与第一目标安全域名一致的域名时，则可以确定网络安全。而如果检测多个第一目标域名，在所有目标IP地址为安全IP地址，或者一部分第一目标域名的目标IP地址为安全IP地址，其余第一目标域名为合法域名，或者全部第一目标域名均为合法域名时才能确定网络安全。如果其中有一个或多个第一目标域的目标IP地址不是安全IP地址，并且反向解析出的所有第二目标域名均与第一目标域名不一致时，则确定当前网络存在安全风险。

另外，在具体实现过程中，考虑到存储基准库将占用较多资源，并且大量运算会消耗很多电量，且UE的处理器和内存相对服务器较小，所以，在服务器中执行本公开实施例中的方法为较佳选择。

下面列举几个具体例子来对上述过程进行说明。假设基准库的一部分如表1所示。

表1

表1表示，域名baidu.com的安全IP地址为111.13.101.208、180.149.132.47、123.125.114.144和220.181.57.217。其中，111.13.101.208由北京市北京百度网讯科技有限公司移动节点维护。以此类推，表中其余信息的意思此处就不再一一详细赘述了。

假设UE接入一个新的无线局域网，然后主动对baidu.com和so.com两个域名进行解析。得到baidu.com对应的IP地址111.13.101.208，以及so.com对应的IP地址42.236.9.70。将两个IP地址在基准库中进行对比，由于111.13.101.208与baidu.com的第1个安全IP地址111.13.101.208一致，并且42.236.9.70与so.com的第1个安全IP地址42.236.9.70一致，所以确定网络安全。

假设UE接入一个新的无线局域网，然后主动对baidu.com和so.com两个域名进行解析，得到baidu.com对应的IP地址111.13.101.209，以及so.com的IP地址42.236.9.70。将两个IP地址在基准库中进行对比，由于111.13.101.209与baidu.com的4个安全IP地址均不致，42.236.9.70与so.com的第1个安全IP地址42.236.9.70一致，所以对111.13.101.209进一步执行反向解析。111.13.101.209的反向解析结果中的所有第二目标域名中均没有baidu.com，所以判断baidu.com被劫持，UE存在网络安全风险。

再假设UE接入一个新的无线局域网，然后主动对baidu.com和so.com两个域名进行解析，得到baidu.com对应的IP地址111.13.101.208，以及so.com的IP地址106.120.160.134。将两个IP地址在基准库中进行对比，由于106.120.160.134与so.com的3个安全IP地址均不致，111.13.101.208与baidu.com的第1个安全IP地址111.13.101.208一致，所以对106.120.160.134进一步执行反向解析。106.120.160.134的反向解析结果为haoso.com、haosou.com、so.com、sou.com、haosou.cn、sou.cn、c-b.360webcache.com、mier.net.cn和2222888.com。反向解析结果中的第二目标域名so.com与第一目标域名so.com一致，所以判断so.com未被劫持，UE网络安全。

由上述描述可以看出，首先获得UE对第一目标域名解析出的目标IP地址，然后判断目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致，当目标IP地址与多个安全IP地址均不一致时，进一步反向解析目标IP地址，获得目标IP地址对应的多个第二目标域名，当第一目标域名与多个第二目标域名均不匹配时，才确定UE存在网络安全风险。所以，在基准库中不存在匹配的安全IP地址时，通过进一步对目标IP地址进行反向解析，从权威DNS服务器中获取合法使用目标IP地址的多个第二目标域名。如果仍然没有与第一目标域名一致的第二目标域名，才确定存在网络安全风险。所以，本公开通过两次检测判断网络是否安全，提高了检测准确率。

当然，在具体实现过程中，基准库中也可以不是记录多个安全域名以及对应的安全IP地址，而是记录多个危险安全域名和危险IP地址。进而，如果目标IP地址与基准库中的多个危险IP地址均不一致时，判断第一目标域名未被劫持。而如果目标IP地址与其中一个危险IP地址一致时，则进一步反向解析目标IP地址。如果第二目标域名中存在与第一目标域名一致的域名，如果存在，则表示第一目标域名未被劫持，如果所有第二目标域名均与第一目标域名不一致，则确定第一目标域名被劫持，UE存在网络风险。

进一步，作为一种可选的实施例，S1001中判断目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致，可以具体通过如下过程实现：

将目标IP地址转换为对应的目标整数；

基于目标整数，在基准库记录的与多个安全IP地址一一对应的安全整数中搜索目标整数；

若搜索到目标整数，表示基准库中存在与目标IP地址一致的安全IP地址；若未搜索到目标整数，表示目标IP地址与多个安全IP地址均不匹配。

具体来讲，由于将目标IP地址在基准库的大量安全IP地址中进行对比，运算量较大，且效率低，因此，在本公开实施例中，将目标IP地址转换为对应的目标整数。当然，基准库中存储的多个安全IP地址，也对应存储有与每个安全IP地址的安全整数。

其中，将IP地址转换为整数的方法为，将IP地址的第四字节加上第一个字节乘以256的三次方的积、第二个字节乘以256的二次方的积和第三个字节乘以256的积的和。

举例来说，将IP地址106.120.160.134转换为对应的整数具体为106*256³+120*256²+160*256+134＝1786290310(10进制)。在记录安全IP地址106.120.160.134对应的安全整数时，可以具体存储10进制整数1786290310，16进制整数6A78A086、8进制整数15236120206或2进制整数1101010011110001010000010000110，本公开不做具体限制。

进而，在基准库中搜索与目标IP地址一致的安全IP地址，就简化为在基准库中搜索目标整数。

若搜索到目标整数，则表示基准库中存在与目标IP地址一致的安全IP地址，反之，若未搜索到目标整数，表示目标IP地址与所有安全IP地址均不一致。

由于在基准库中搜索一个整数，运算量小于对比目标IP地址的一串数字，因此提高了搜索效率，进而提高了网络安全检测的效率。

作为一种可选的实施例，如果本公开实施例中的执行主体为服务器，那么，服务器在获得UE发送的第一目标域名对应的目标IP地址之前，还进一步包括：

服务器向UE发送多个安全域名，以使UE对多个安全域名进行解析，进而获得每个安全域名对应的目标IP地址。

具体来讲，当执行主体为服务器时，基准库将存储在服务器存储空间中。基准库中记录了多个安全域名，以及每个安全域名所使用安全IP地址。通过大量统计得出，钓鱼危险中DNS劫持通常劫持的是高价值的网站，如银行登录网站、支付网站、第三方登录网址和邮箱等。因此，本公开实施例中的第一目标域名可以具体为这些高价值网站的域名。换言之，可以通过检测高价值网站的域名是否被劫持，从而判断UE的网络是否安全。

服务器可以自动从基准库中选择出高价值网站的安全域名，或者服务器也可以接收管理人员的选择操作，进而基于管理人员的选择操作确定高价值网站的安全域名。然后，服务器将确定出需要检测的多个高价值网站的安全域名发送给UE。进而，当UE需要对网络安全进行检测时，通过当前接入的网络，对服务器发送的多个安全域名分别进行解析，进而将解析出的多个目标IP地址发送给服务器，使服务器判断UE当前接入的网络是否存在安全风险。

由上述描述可知，通过服务器向UE下发需要进行DNS解析的多个安全域名，一方面减轻了UE需要解析IP地址的数量，以及服务器的检测量，另一方面，服务器下发的多个安全域名为高价值网站域名，进而服务器可以集中资源对这些高价值网站进行检测，更加有利于发现网络安全风险。

或者，在另一种实施例中，UE还可以自行确定第一目标域名。具体来讲，无论执行主体是服务器还是UE，在S101之前，都可以包括：

UE获得一待检测域名；

判断待检测域名是否满足表示需要进行安全检测的预设条件；

当待检测域名满足预设条件时，将待检测域名确定为第一目标域名。

具体来讲，UE在接入网络时，首先获得任意一待检测的域名。然后，判断待检测域名是否满足预设条件。在本公开实施例中，预设条件表示需要进行安全检测。在本申请实施例中，判断待检测域名是否满足预设条件有多种方式，下面将对其中几种进行介绍。在具体实现过程中，包括但不限于以下几种。

第一种：

判断待检测域名对应的网站是否涉及金融流通。

具体来讲，UE根据待检测域名，获得待检测域名对应的网站。然后对网站页面进行特征提取，判断页面特征中是否存在表示金融流通的特征，例如支付选项、银行网站链接以及输入支付账号的入口标识等。

如果页面特征中具有表示金融流通的特征，那么表示该网站涉及金融流通，确定待检测域名满足预设条件。

第二种：

判断待检测域名所属公司是否为涉及金融的公司。

具体来讲，根据待检测域名获得待检测域名的所属公司。然后，判断公司是否为涉及金融的公司。其中，UE中预先存储有多个涉及金融的公司，因此，如果待检测域名所属公司与预先存储的多个涉及金融的公司中的其中一个一致，则表示待检测域名所属公司为涉及金融的公司，反之，如果待检测域名所属公司与预先存储的多个涉及金融的公司中的均不一致，则表示待检测域名所属公司不为涉及金融的公司。由于涉及金融的公司所维护的网站通常会需要用户输入与金融相关的信息，所以判断待检测域名满足预设条件。

在具体实现过程中，本公开所属领域的普通技术人员可以根据实际选择判断待检测域名是否满足预设条件的方式，本公开不做具体限制。

进一步，当待检测域名满足预设条件时，UE将待检测域名确定为第一目标域名，进而对第一目标域名进行解析，获得目标IP地址。

由上述描述可知，当待检测域名满足预设条件时，UE将确定满足预设条件的待检测域名为第一目标域名，进而对第一目标域名进行检测。一方面减轻了UE需要解析IP地址数量，另一方面，将资源集中于检测满足预设条件的高价值网站，更加有利于发现网络安全风险。

基于与前述实施例中网络安全的检测方法同样的公开构思，本公开第二方面还提供一种网络安全的检测装置，如图2所示，包括：

第一获得模块101，用于获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址；

反向解析模块102，用于反向解析目标IP地址，获得目标IP地址对应的多个第二目标域名；

第一判断模块103，用于判断第一目标域名是否与其中一个第二目标域名一致；

第一确定模块104，用于当第一目标域名与多个第二目标域名均不匹配时，确定UE存在网络安全风险。

可选的，本公开实施例中的装置还包括：

第二判断模块，用于在获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址之后，判断目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致；

当目标IP地址与多个安全IP地址均不一致时，通知反向解析模块反向解析目标IP地址。

进一步，本公开实施例中的装置还包括：

第二确定模块，用于在判断目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致之后，当目标IP地址与其中一个安全IP地址一致时，确定第一目标域名未被劫持。

更进一步，第二判断模块用于将目标IP地址转换为对应的目标整数；基于目标整数，在基准库记录的与多个安全IP地址一一对应的安全整数中搜索目标整数；

更进一步，基准库还记录有多个安全IP地址对应的多个安全域名，当基准库存储于服务器时，该装置还包括：

发送模块，用于向UE发送多个安全域名，以使UE对多个安全域名进行解析，进而获得每个安全域名对应的目标IP地址。

更进一步，本公开实施例中的装置还包括：

第二获得模块，用于在获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址之前，获得一待检测域名；

第三判断模块，用于判断待检测域名是否满足表示需要进行安全检测的预设条件；

第三确定模块，用于当待检测域名满足预设条件时，将待检测域名确定为第一目标域名。

前述图1实施例中的网络安全的检测方法的各种变化方式和具体实例同样适用于本实施例的网络安全的检测装置，通过前述对网络安全的检测方法的详细描述，本领域技术人员可以清楚的知道本实施例中网络安全的检测装置的实施方法，所以为了说明书的简洁，在此不再详述。

本公开第三方面提供了一种计算机程序，图3示出了可以实现根据本公开的网络安全的检测方法的计算设备。该计算设备传统上包括处理器310和以存储设备320形式的计算机程序产品或者计算机可读介质。存储设备320可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储设备320具有存储用于执行上述方法中的任何方法步骤的程序代码331的存储空间330。例如，存储程序代码的存储空间330可以包括分别用于实现上面的方法中的各种步骤的各个程序代码331。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘、紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为例如图4所示的便携式或者固定存储单元。该存储单元可以具有与图3的计算设备中的存储设备320类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括用于执行根据本公开的方法步骤的计算机可读代码331＇，即可以由诸如310之类的处理器读取的代码，当这些代码由计算设备运行时，导致该计算设备执行上面所描述的方法中的各个步骤。

在本公开实施例的技术方案中，首先获得UE对第一目标域名解析出的目标IP地址，然后反向解析目标IP地址，获得目标IP地址对应的多个第二目标域名，当第一目标域名与多个第二目标域名均不匹配时，确定UE存在网络安全风险。由于在钓鱼攻击中，不法分子将第一目标域名的解析到不正确的IP地址上，但是该不正确的IP地址可能仍然不再黑名单库中。因此，本申请在获得目标IP地址后直接对目标IP地址进行反向解析，从较为权威的DNS服务器获得合法使用目标IP地址的多个第二目标域名。那么，即使目标IP不在黑名单库中，如果第一目标域名与所有第二目标安全域名均不一致，则表明目标IP地址可能指向危险域名，进而确定UE存在网络风险。所以，通过上述技术方案，解决了现有技术存在的网络安全检测准确不高的技术问题，实现了提高网络安全检测准确率。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本公开也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本公开的内容，并且上面对特定语言所做的描述是为了披露本公开的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本公开的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个公开方面中的一个或多个，在上面对本公开的示例性实施例的描述中，本公开的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本公开要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，公开方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本公开的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本公开的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本公开的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本公开实施例的网关、代理服务器、系统中的一些或者全部部件的一些或者全部功能。本公开还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本公开的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本公开进行说明而不是对本公开进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本公开可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims

一种网络安全的检测方法，其特征在于，包括：

获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址；

反向解析所述目标IP地址，获得所述目标IP地址对应的多个第二目标域名；

判断所述第一目标域名是否与其中一个第二目标域名一致；

当所述第一目标域名与所述多个第二目标域名均不匹配时，确定所述UE存在网络安全风险。
如权利要求1所述的方法，其特征在于，在获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址之后，还包括：

判断所述目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致；

当所述目标IP地址与所述多个安全IP地址均不一致时，确定执行所述反向解析所述目标IP地址的步骤。
如权利要求2所述的方法，其特征在于，在判断所述目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致之后，还包括：

当所述目标IP地址与其中一个所述安全IP地址一致时，确定所述第一目标域名未被劫持。
如权利要求2所述的方法，其特征在于，判断所述目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致，包括：

将所述目标IP地址转换为对应的目标整数；

基于所述目标整数，在所述基准库记录的与所述多个安全IP地址一一对应的安全整数中搜索所述目标整数；

若搜索到所述目标整数，表示所述基准库中存在与所述目标IP地址一致的所述安全IP地址；若未搜索到所述目标整数，表示所述目标IP地址与所述多个安全IP地址均不匹配。
如权利要求2所述的方法，其特征在于，所述基准库还记录有多个安全IP地址对应的多个安全域名，当所述基准库存储于服务器时，在获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址之前，还包括：

服务器向所述UE发送所述多个安全域名，以使所述UE对所述多个安全域名进行解析，进而获得每个安全域名对应的所述目标IP地址。
如权利要求2所述的方法，其特征在于，在获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址之前，还包括：

所述UE获得一待检测域名；

判断所述待检测域名是否满足表示需要进行安全检测的预设条件；

当所述待检测域名满足所述预设条件时，将所述待检测域名确定为所述第一目标域名。
一种网络安全的检测装置，其特征在于，包括：

第一获得模块，用于获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址；

反向解析模块，用于反向解析所述目标IP地址，获得所述目标IP地址对应的多个第二目标域名；

第一判断模块，用于判断所述第一目标域名是否与其中一个第二目标域名一致；

第一确定模块，用于当所述第一目标域名与所述多个第二目标域名均不匹配时，确定所述UE存在网络安全风险。
如权利要求7所述的装置，其特征在于，所述装置还包括：

第二判断模块，用于在获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址之后，判断所述目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致；

当所述目标IP地址与所述多个安全IP地址均不一致时，通知反向解析模块反向解析所述目标IP地址。
如权利要求8所述的装置，其特征在于，所述装置还包括：

第二确定模块，用于在判断所述目标IP地址是否与基准库记录的多个安全IP地址中的其中一个安全IP地址一致之后，当所述目标IP地址与其中一个所述安全IP地址一致时，确定所述第一目标域名未被劫持。
如权利要求8所述的装置，其特征在于，所述第二判断模块用于将所述目标IP地址转换为对应的目标整数；基于所述目标整数，在所述基准库记录的与所述多个安全IP地址一一对应的安全整数中搜索所述目标整数；

若搜索到所述目标整数，表示所述基准库中存在与所述目标IP地址一致的所述安全IP地址；若未搜索到所述目标整数，表示所述目标IP地址与所述多个安全IP地址均不匹配。
如权利要求8所述的装置，其特征在于，所述基准库还记录有多个安全IP地址对应的多个安全域名，当所述基准库存储于服务器时，所述装置还包括：

发送模块，用于向所述UE发送所述多个安全域名，以使所述UE对所述多个安全域名进行解析，进而获得每个安全域名对应的所述目标IP地址。
如权利要求8所述的装置，其特征在于，所述装置还包括：

第二获得模块，用于在获得用户设备UE对第一目标域名解析出的目标互联网协议IP地址之前，获得一待检测域名；

第三判断模块，用于判断所述待检测域名是否满足表示需要进行安全检测的预设条件；

第三确定模块，用于当所述待检测域名满足所述预设条件时，将所述待检测域名确定为所述第一目标域名。
一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据权利要求1-6中的任一项所述的网络安全的检测方法。
一种计算机可读介质，其中存储了如权利要求13所述的计算机程序。