檢測可疑dns的方法、裝置和可疑dns的處理方法、系統的制作方法

檢測可疑dns的方法、裝置和可疑dns的處理方法、系統的制作方法
【專利摘要】本發明提供了一種檢測可疑DNS的方法、裝置和可疑DNS的處理方法、系統。其中檢測可疑DNS的方法包括：獲取已知域名的DNS正確解析結果的集合，DNS正確解析結果的集合通過一組域名解析服務器對已知域名解析得到；獲取已知域名的待檢測DNS解析結果，待檢測DNS解析結果為目標DNS對已知域名解析的結果；檢查待檢測DNS解析結果是否屬于DNS正確解析結果的集合；若否，將目標DNS標記為可疑DNS。利用本發明的技術方案可以簡單迅速地確定出將域名解析成未知結果的可疑DNS，為進一步分析和處理提供了基礎，提高了網絡安全性。
【專利說明】檢測可疑DNS的方法、裝置和可疑DNS的處理方法、系統
【技術領域】
[0001]本發明涉及互聯網領域，特別是涉及一種檢測可疑DNS的方法、裝置和可疑DNS的 處理方法、系統。
【背景技術】
[0002]域名解析系統(Domain Name Service,以下簡稱DNS)的縮寫,它是由解析器以及 域名服務器組成的。域名服務器是指保存有該網絡中所有主機的域名和對應IP地址，并具 有將域名轉換為IP地址功能的服務器。從而DNS的作用為幫助用戶在互聯網上尋找路徑。
[0003]在實際使用過程中，黑客可能通過篡改計算機或路由器上的DNS設置，把正常網 址解析到釣魚網站或受黑客控制的主機上，以騙取用戶錢財或竊取隱私。惡意DNS的危害 性高，會造成用戶的財產損失，嚴重時甚至可能導致網站或網絡癱瘓。
[0004]針對惡意DNS的攻擊，現有的應對方法主要有:建議用戶手動修改服務器設置為 安全性系數高的DNS服務器，互聯網公司準備兩個以上的域名，一旦黑客進行DNS攻擊，通 過其他域名進行訪問，然而以上方法均是在惡意DNS已經產生危害并被發現后的被動處理 方法，無法主動針對惡意DNS進行識別并及時屏蔽惡意DNS并對進行處理。現有技術中缺 乏準確及時檢測惡意DNS的方法。

【發明內容】

[0005]鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上 述問題的檢測可疑DNS的裝置和相應的檢測可疑DNS的方法以及可疑DNS的處理系統和相 應的可疑DNS的處理方法。本發明一個目的是及時檢測出可疑DNS，以降低互聯網危害的風 險。
[0006]基于本發明的一個方面提供了一種檢測可疑DNS的方法。該檢測可疑DNS的方法 包括:獲取已知域名的DNS正確解析結果的集合，DNS正確解析結果的集合通過一組域名解 析服務器對已知域名解析得到；獲取已知域名的待檢測DNS解析結果，待檢測DNS解析結果 為目標DNS對已知域名解析的結果；檢查待檢測DNS解析結果是否屬于DNS正確解析結果 的集合；若否，將目標DNS標記為可疑DNS。
[0007]可選地，在將目標DNS記為可疑DNS之后還包括:分別獲取第一頁面和第二頁面， 其中第一頁面為DNS正確解析結果對應的頁面，第二頁面為待檢測DNS解析結果對應的頁 面；計算第一頁面和第二頁面的頁面相似度；在相似度小于預設值的情況下，確定可疑DNS 為惡意DNS。
[0008]可選地，計算第一頁面和第二頁面的頁面相似度包括:使用向量空間模型算法計 算第一頁面和第二頁面的頁面內容相似度。
[0009]可選地，在確定可疑DNS為惡意DNS之后還包括:在安全建議顯示區域輸出惡意 DNS的檢測結果。
[0010]可選地，檢查待檢測DNS解析結果是否屬于DNS正確解析結果的集合包括至少以下任意一種方式:檢查待檢測DNS解析結果中的IP地址是否屬于DNS正確解析結果的集合 中的IP地址列表；檢查待檢測DNS解析結果中的別名記錄是否屬于DNS正確解析結果的集 合中的別名記錄列表；檢查待檢測DNS解析結果中的郵件交換記錄是否屬于DNS正確解析 結果的集合中的郵件交換記錄列表。
[0011]可選地，一組域名解析服務器包括:多個具有電信運行商資質的域名解析服務器， 已知域名包括多個不同類型網站的域名。
[0012]根據本發明的另一個方面，還提供了一種檢測可疑DNS的裝置。該檢測可疑DNS 的裝置包括:第一解析接口，用于獲取已知域名的DNS正確解析結果的集合，DNS正確解析 結果的集合通過一組域名解析服務器對已知域名解析得到；第二解析接口，用于獲取已知 域名的待檢測DNS解析結果，待檢測DNS解析結果為目標DNS對已知域名解析的結果；查詢 模塊，用于檢查待檢測DNS解析結果是否屬于DNS正確解析結果的集合；第一判斷模塊，用 于在查詢模塊的檢查結果為否的情況下，將目標DNS標記為可疑DNS。
[0013]可選地，上述檢測可疑DNS的裝置還包括:頁面獲取模塊，用于分別獲取第一頁面 和第二頁面，其中第一頁面為DNS正確解析結果對應的頁面，第二頁面為待檢測DNS解析結 果待檢測DNS的頁面；計算模塊，用于計算第一頁面和第二頁面的頁面相似度；第二判斷模 塊，用于在相似度小于預設值的情況下，確定可疑DNS為惡意DNS。
[0014]可選地，計算模塊配置為:使用向量空間模型算法計算第一頁面和第二頁面的頁 面相似度。
[0015]可選地，上述檢測可疑DNS的裝置還包括:顯示模塊，用于在安全建議顯示區域輸 出惡意DNS的檢測結果。
[0016]可選地，查詢模塊包括至少以下任意一項:IP地址查詢子模塊，用于檢查待檢測 DNS解析結果中的IP地址是否屬于DNS正確解析結果的集合中的IP地址列表；別名記錄 查詢子模塊，用于檢查待檢測DNS解析結果中的別名記錄是否屬于DNS正確解析結果的集 合中的別名記錄列表；郵件交換記錄查詢子模塊，用于檢查待檢測DNS解析結果中的郵件 交換記錄是否屬于DNS正確解析結果的集合中的郵件交換記錄列表。
[0017]根據本發明的又一個方面，提供了一種可疑DNS的處理方法。該可疑DNS的處理方 法包括:獲取已知域名的DNS正確解析結果的集合，DNS正確解析結果的集合通過一組域名 解析服務器對已知域名進行解析得到；獲取已知域名的待檢測DNS解析結果，該待檢測DNS 解析結果為目標DNS對已知域名解析的結果；檢查待檢測DNS解析結果是否屬于DNS正確 解析結果的集合；若否，將目標DNS標記為可疑DNS，并輸出可信DNS列表，以供用戶選擇。
[0018]可選地，可信DNS列表中的可信DNS為預先通過DNS安全認證的DNS。
[0019]可選地，在輸出可信DNS列表之后還包括:接收用戶對可信DNS列表的選擇操作， 并使用選中的DNS替換可疑DNS。
[0020]根據本發明的再一個方面，提供了一種可疑DNS的處理系統。該可疑DNS的處理 系統包括:一組域名解析服務器，用于對已知域名進行解析，得到已知域名的DNS正確解析 結果的集合；檢測可疑DNS的裝置，用于獲取已知域名的DNS正確解析結果的集合，獲取已 知域名的待檢測DNS解析結果，該待檢測DNS解析結果為目標DNS對已知域名解析的結果， 檢查待檢測DNS解析結果是否屬于DNS正確解析結果的集合，若否，將目標DNS標記為可疑 DNS ；DNS推薦裝置，用于檢測可疑DNS的裝置檢測出可疑DNS后，輸出可信DNS列表，以供用戶選擇。
[0021]可選地，DNS推薦裝置輸出的可信DNS列表中的可信DNS為預先通過安全認證的 DNS。
[0022]可選地，上述可疑DNS的處理系統還包括:DNS設置裝置，用于接收用戶對可信DNS 列表的選擇操作，并使用選中的DNS替換可疑DNS。
[0023]可選地，一組域名解析服務器包括:多個具有電信運行商資質的域名解析服務器， 已知域名包括多個不同類型網站的域名。
[0024]本發明的檢測可疑DNS的方法通過對比已知DNS和待檢測的目標DNS對常用域名 的解析結果，在待檢測的目標DNS的解析結果明顯不同于已知DNS的解析結果時，將目標 DNS標記為可疑DNS。可以簡單迅速地確定出將域名解析成未知結果的可疑DNS，為進一步 分析和處理提供了基礎，提高了網絡安全性。
[0025]進一步地，通過對比不同DNS解析結果對應頁面的頁面相似度，判斷根據可疑DNS 的解析結果訪問的頁面是否是正確的頁面，是否出現了篡改的情況，從而可以確定出惡意 DNS。
[0026]又進一步地，確定出惡意DNS后，可以向用戶推薦正確的已經過驗證的DNS，可以 有效遏制黑客通過篡改DNS給網民帶來諸如網絡釣魚和隱私竊取等安全風險以及彈出廣 告的騷擾。
[0027]上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段， 而可依照說明書的內容予以實施，并且為了讓本發明的上述和其它目的、特征和優點能夠 更明顯易懂，以下特舉本發明的【具體實施方式】。
[0028]根據下文結合附圖對本發明具體實施例的詳細描述，本領域技術人員將會更加明 了本發明的上述以及其他目的、優點和特征。
【專利附圖】

【附圖說明】
[0029]通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對于本領域普通 技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的，而并不認為是對本發明 的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中:
[0030]圖1是根據本發明一個實施例的檢測可疑DNS的裝置100的示意圖；
[0031]圖2是根據本發明另一個實施例的檢測可疑DNS的裝置100的示意圖；
[0032]圖3是根據本發明一個實施例的可疑DNS的處理系統200的示意圖；
[0033]圖4是根據本發明一個實施例的檢測可疑DNS的方法的示意圖；
[0034]圖5是根據本發明一個實施例的可疑DNS的處理方法的示意圖；
[0035]圖6是根據本發明一個實施例的檢測可疑DNS的方法的輸出惡意DNS的檢測結果 的界面示意圖；以及
[0036]圖7是根據本發明一個實施例的可疑DNS的處理方法的輸出可信DNS列表供用戶 進行選擇的界面示意圖。
【具體實施方式】
[0037]在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基于在此的示教一起使用。根據上面的描述，構造這類系統所要求 的結構是顯而易見的。此外，本發明也不針對任何特定編程語言。應當明白，可以利用各種 編程語言實現在此描述的本發明的內容，并且上面對特定語言所做的描述是為了披露本發 明的最佳實施方式。
[0038]圖1是根據本發明一個實施例的檢測可疑DNS的裝置100的示意圖。該檢測可疑 DNS的裝置100 —般性地可包括:第一解析接口 110，第二解析接口 120、查詢模塊130、第一 判斷模塊140。
[0039]在以上檢測可疑DNS的裝置100中，第一解析接口 110，用于獲取已知域名的DNS 正確解析結果的集合，DNS正確解析結果的集合通過一組域名解析服務器210對已知域名 解析得到。第二解析接口 120，用于獲取已知域名的待檢測DNS解析結果，待檢測DNS解析 結果為目標DNS對已知域名解析的結果。查詢模塊130，用于檢查待檢測DNS解析結果是否 屬于DNS正確解析結果的集合。第一判斷模塊140，用于在查詢模塊130的檢查結果為否的 情況下，將目標DNS標記為可疑DNS。
[0040]第一解析接口 110是與一組域名解析服務器210的數據通信接口，用于向一組已 知的域名解析服務器提出域名解析請求，并接收以上域名解析服務器的域名解析結果。第 一解析接口 110是與待檢測DNS連接的數據通信接口，用于向待檢測DNS提出域名解析請 求，并接收待檢測DNS的域名解析結果。一般來說，第一解析接口 110數據連接的域名解 析服務器是已經經過安全認證的服務器，可以選擇多個具有電信運行商資質的域名解析服 務器，例如電信聯通在各地設立的DNS解析服務器，以及國際上知名域名解析服務器，如谷 歌、香港和記環球電訊的服務器等。以上已知域名可以從網民訪問量巨大的域名中選取，例 如網購類網站域名、游戲類網站域名、社交類網站域名等。
[0041]在第一判斷模塊140判斷出可疑DNS時，上述檢測可疑DNS的裝置100還可以進 一步確認DNS的安全性。圖2是根據本發明另一個實施例的檢測可疑DNS的裝置100的示 意圖，在該實施例中的增加了頁面獲取模塊150、計算模塊160、第二判斷模塊170、顯示模 塊180。該頁面獲取模塊150，用于分別獲取第一頁面和第二頁面，其中第一頁面為DNS正確 解析結果對應的頁面，第二頁面為待檢測DNS解析結果待檢測DNS的頁面；計算模塊160， 用于計算第一頁面和第二頁面的頁面相似度；第二判斷模塊170，用于在相似度小于預設 值的情況下，確定可疑DNS為惡意DNS。計算模塊160計算頁面相似度的方式很多，一種常 用的方式是將計算模塊160配置為使用向量空間模型算法計算第一頁面和第二頁面的頁 面內容相似度。在頁面內容相似度大與預設值時，證明可疑DNS解析結果對應的頁面不是 原來域名正確對應的頁面，可疑DNS對解析目標進行了篡改，為惡意DNS。顯示模塊180及 時在安全建議顯示區域輸出惡意DNS的檢測結果，提醒用戶進行安全處理。
[0042]DNS的解析結果通常包括:該域名對應的IP地址(A記錄)、該域名對應的別名記錄 (cname記錄)、郵件交換記錄(Mail Exchanger, MX記錄)。對應以上解析結果的內容,查詢 模塊130包括至少以下任意一項:IP地址查詢子模塊131，用于檢查待檢測DNS解析結果中 的IP地址是否屬于DNS正確解析結果的集合中的IP地址列表；別名記錄查詢子模塊132， 用于檢查待檢測DNS解析結果中的別名記錄是否屬于DNS正確解析結果的集合中的別名記 錄列表；郵件交換記錄查詢子模塊133，用于檢查待檢測DNS解析結果中的郵件交換記錄是 否屬于DNS正確解析結果的集合中的郵件交換記錄列表。[0043]本發明實施例還提供了一種可疑DNS的處理系統200。圖3是根據本發明一個實 施例的可疑DNS的處理系統200的示意圖，該可疑DNS的處理系統200包括:一組域名解析 服務器210、檢測可疑DNS的裝置100、DNS推薦裝置220。其中檢測可疑DNS的裝置100可 以為以上實施例中介紹的任一種檢測可疑DNS的裝置100。在檢測可疑DNS的裝置100利 用一組域名解析服務器210確定出可疑DNS后，DNS推薦裝置220，用于檢測可疑DNS的裝 置100檢測出可疑DNS后，輸出可信DNS列表，以供用戶選擇。
[0044]以上一組域名解析服務器210可以包括:多個具有電信運行商資質的域名解析服 務器，已知域名包括多個不同類型網站的域名。DNS推薦裝置220輸出的可信DNS列表中的 可信DNS均為預先通過安全認證的DNS。
[0045]可疑DNS的處理系統200還可以包括:DNS設置裝置230，用于接收用戶對可信DNS 列表的選擇操作，并使用選中的DNS替換可疑DNS。從而自動使用用戶選擇的安全DNS替換 掉可疑DNS，消除安全隱患。
[0046]通過本實施例的可疑DNS的處理系統200。可以及時地將DNS修改為推薦的安全 DNS，消除了惡意DNS對用戶的侵害。
[0047]以下結合本發明實例提供的檢測可疑DNS的方法和可疑DNS的處理方法的流程介 紹對上述檢測可疑DNS的裝置100和可疑DNS的處理系統200工作步驟進行詳細說明。其 中檢測可疑DNS的方法可由以上介紹的任一種檢測可疑DNS的裝置100執行，可疑DNS的 處理方法可由以上介紹的任一種可疑DNS的處理系統200執行。
[0048]圖4是根據本發明一個實施例的檢測可疑DNS的方法的示意圖，如圖所示，該檢測 可疑DNS的方法包括以下步驟:
[0049]步驟S402，獲取已知域名的DNS正確解析結果的集合，DNS正確解析結果的集合通 過一組域名解析服務器對已知域名解析得到；
[0050]步驟S404，獲取已知域名的待檢測DNS解析結果，待檢測DNS解析結果為目標DNS 對已知域名解析的結果；
[0051]步驟S406，檢查待檢測DNS解析結果是否屬于DNS正確解析結果的集合；
[0052]步驟S408，若步驟S406的結果為否，將目標DNS標記為可疑DNS。
[0053]步驟S402中的一組域名解析服務器中的服務器均是已經經過安全認證的服務 器，優選可以選擇多個具有電信運行商資質的域名解析服務器，例如電信聯通在各地設立 的DNS解析服務器，以及國際上知名域名解析服務器，如谷歌、香港和記環球電訊的服務器 等。以上已知域名可以從網民訪問量巨大的域名中選取，例如網購類網站域名、游戲類網站 域名、社交類網站域名等。
[0054]步驟S406檢查待檢測DNS解析結果是否屬于DNS正確解析結果的集合包括至少 以下任意一種方式:檢查待檢測DNS解析結果中的IP地址是否屬于DNS正確解析結果的 集合中的IP地址列表；檢查待檢測DNS解析結果中的別名記錄是否屬于DNS正確解析結 果的集合中的別名記錄列表；檢查待檢測DNS解析結果中的郵件交換記錄是否屬于DNS正 確解析結果的集合中的郵件交換記錄列表。以上方式分別是基于DNS的解析結果中的該 域名對應的IP地址(A記錄)、該域名對應的別名記錄(cname記錄)、郵件交換記錄(Mail Exchanger, MX記錄)得出的。以上三種方式可以根據實際情況靈活配置，例如只選擇其中 的IP地址，也可以綜合選擇三種方式中的兩種或全部三種同時進行查詢。[0055]在確定出可疑DNS后，本實施例的檢測可疑DNS的方法還可以進一步確認DNS的安全性。在步驟S408之后還執行以下步驟:分別獲取第一頁面和第二頁面，其中第一頁面為DNS正確解析結果對應的頁面，第二頁面為待檢測DNS解析結果對應的頁面；計算第一頁面和第二頁面的頁面相似度；在相似度小于預設值的情況下，確定可疑DNS為惡意DNS。計算頁面相似度存在多種方式，一種常用的方式是使用向量空間模型算法計算第一頁面和第二頁面的頁面內容相似度。在頁面內容相似度大與預設值時，證明可疑DNS解析結果對應的頁面不是原來域名正確對應的頁面，可疑DNS對解析目標進行了篡改,為惡意DNS。
[0056]在確定可疑DNS為惡意DNS之后還包括:在安全建議顯示區域輸出惡意DNS的檢測結果。提醒用戶進行安全處理。
[0057]本發明實施例還提供了一種可疑DNS的處理方法，通過本實施例的可疑DNS的處理方法可以對可疑DNS進行相應的處理。圖5是根據本發明一個實施例的可疑DNS的處理方法的示意圖，如圖所示，該可疑DNS的處理方法的步驟S402至步驟S408對應與以上實施例的檢測可疑DNS的方法中的步驟S402至步驟S408相同，在步驟S408之后還包括:
[0058]步驟S502，輸出可信DNS列表，以供用戶進行選擇；
[0059]步驟S504，接收用戶對可信DNS列表的選擇操作，并使用選中的DNS替換可疑 DNS。
[0060]其中，步驟S502中可信DNS列表中的DNS均為預先通過DNS安全認證的DNS。利用步驟S504，自動使用用戶選擇的安全DNS替換掉可疑DNS，消除了安全隱患。
[0061]下面結合一個使用本發明實施例的檢測可疑DNS的方法和可疑DNS的處理方法實例對本發明實施例進一步進行說明。
[0062]選擇一組已知域名集合DN={dnl, dn2,…dnn},域名集合中的dnl, dn2,…dnn通常選擇網民經常訪問的域名:例如網購類(如淘寶客，s.taoba0.com)、游戲類(如多玩英雄聯盟，lol.duowan.com)、社交類網站(如QQ空間,qzone.qq.com)等,這類網站為了 CDN加速通常都配置了別名記錄cname。
[0063]利用分布在在世界各地的具有電信運營商資質的域名解析服務器組成一個安全域名解析服務器集合DNS_SERVER={dsl, ds2,…dsn},集合中`的dsl, ds2,…dsn可以優選國內各地電信、聯通、移動、教育網的DNS服務器IP和國外知名的google dns,open dns
坐寸o
[0064]對于偵聽到的未知的目標DNS，該位置DNS以下使用DNS (dsu)進行指代，檢測該 dsu是否惡意DNS步驟如下:
[0065]使用安全域名解析服務器集合DNS_SERVER中的DNS依次對已知域名
[0066]集合DN中的每個域名進行解析，得到已知域名DN的DNS正確解析結果集合 RESULT= {R (dsl, dnl), R (dsl, dn2),...,R (dsn, dnn) },在集合中 R (dsl, dnl) ={IP11, CNAMEl I, MX11}是域名解析服務器dsl解析出域名dnl的結果，該結果中包括IP11、 CNAMEl 1、MXl I，IPll是dsl解析出的域名dnl對應的IP地址，CNAME11是dsl解析出的域名dnl對應的別名記錄，MXll是dsl解析出的域名dnl對應的郵件交換記錄。對應地，集合中R (dsn, dnn) ={IPnn, CNAMEnn,MXnn}是域名解析服務器dsn解析出域名dnn的結果,該結果中包括IPnn, CNAMEnn, MXnn, IPnn是dsn解析出的域名dnn對應的IP地址，CNAMEnn 是dsn解析出的域名dnn對應的別名記錄,MXnn是dsn解析出的域名dnn對應的郵件交換記錄。
[0067]使用DNS (dsu)對對已知域名集合DN中的每個域名進行解析，得到已知域名DN 的待檢測 DNS 解析結果 RESULTu= {R (dsu, dnl), R (dsu, dn2),…，R (dsu，ds3) }。以上待檢測DNS解析結果中R (dsu, dnl)為目標DNS (dsu)解析域名dnl的結果，也包括DNS (dsu)解析出的域名dnl對應的IP地址、別名記錄和郵件交換記錄。R (dsu, dnn)為目標 DNS (dsu)解析域名dnn的結果,其中包括DNS (dsu)解析出的域名dnn對應的IP地址、另Ij 名記錄和郵件交換記錄。
[0068]從DNS正確解析結果集合REUSLT中獲取世界各地安全域名解析服務器對域名dnl 的解析結果 RESULT (dnl) ={R (dsl, dnl), R (ds2, dnl),...,R (dsn, dnl)},進一步獲取域名dnl對應的IP列表1P (dnl) = {ipl, ip2,…，ipn}, dnl對應的cname記錄列表CNAME (dnl) ={cel, ce2, --?，cen}, dnl 對應的 MX 記錄列表 MX (dnl) ={mxl, mx2,...,mxn},然后把目標DNS (dsu)對域名dnl的結果R (dsu, dnl) = {IPul, CNAMEul,MXul}進行對比，對比的具體方式包括以下任一種方式:
[0069]檢查IPul G IP (dnl)是否為空，若為空，則此目標DNS (dsu)即為可疑；
[0070]檢查CNAMEul g CNAME (dnl)是否為空，若為空，則此目標DNS (dsu)即為可疑；
[0071]檢查MXul G MX (dnl)是否為空，若為空，則此目標DNS (dsu)即為可疑；
[0072]按照上述步驟依次比對DN中每個域名的解析結果。如果DN中任一域名出現DNS (dsu )的待檢測DNS解析結果不屬于DNS正確解析結果的集合的情況，即判定目標DNS( dsu ) 標記為可疑DNS。
[0073]對于可疑的DNS，繼續比對結果異常的域名(dne)對應網頁的頁面內容。用合法域名解析服務器解析出的IP (dne)訪問域名(dne)對應網頁的頁面內容Pagel,用可疑DNS 解析出的IPu訪問域名(dne)對應網頁的頁面內容Page2,采用向量空間法(Vector Space Model，簡稱VSM)計算出第一頁面Pagel和第二頁面Page2相似度，若相似度小于指定閥值則認為此目標DNS (dsu)劫持了域名(dne),即可認為此目標DNS (dsu)為惡意DNS。以上相似度閾值可以根據頁面的情況進行設定。
[0074]向量空間法把對文本內容的處理簡化為向量空間中的向量運算，并且以空間上的相似度表達語義的相似度，直觀易懂。當文檔被表示為文檔空間的向量，就可以通過計算向量之間的相似性來度量文檔間的相似性。
[0075]確認惡意DNS后,在安全建議顯示區域輸出惡意DNS的檢測結果，圖6是根據本發明一個實施例的檢測可疑DNS的方法的輸出惡意DNS的檢測結果的界面示意圖，圖中顯示的方式是在類似于安全衛士之類的互聯網軟件顯示界面中的安全隱患部分輸出，類似地， 還可以通過彈出氣泡、對話框等方式顯示。
[0076]利用以上步驟檢測出惡意DNS后，可以利用本發明實施例提供的可疑DNS的處理方法對可疑DNS或者惡意DNS進行替換，圖7是根據本發明一個實施例的可疑DNS的處理方法的輸出可信DNS列表以供用戶進行選擇的界面示意圖。用戶可以對圖中的兩個DNS選擇框進行選擇，然后選擇立即修復按鈕，軟件后臺可以自動設置對應的安全DNS。
[0077]進一步地，當用戶選擇不修復時，顯示界面可以輸出安全隱患提示。另外，可以將惡意DNS進行上報，防止惡意DNS的擴散，造成惡意影響。
[0078]以下是本發明實施例對一個具體的目標DNS (58.53.128.86)的分析結果。[0079]首先使用DNS (58.53.128.86)對域名s.taoba0.com的解析結果如表1所示:
[0080]表1
【權利要求】
1.一種檢測可疑DNS的方法，包括:獲取已知域名的DNS正確解析結果的集合，所述DNS正確解析結果的集合通過一組域名解析服務器對所述已知域名解析得到；獲取所述已知域名的待檢測DNS解析結果，所述待檢測DNS解析結果為目標DNS對所述已知域名解析的結果；檢查所述待檢測DNS解析結果是否屬于所述DNS正確解析結果的集合；若否，將所述目標DNS標記為可疑DNS。
2.根據權利要求1的方法，其中，在將所述目標DNS記為可疑DNS之后還包括:分別獲取第一頁面和第二頁面，其中所述第一頁面為所述DNS正確解析結果對應的頁面，所述第二頁面為所述待檢測DNS解析結果對應的頁面；計算所述第一頁面和所述第二頁面的頁面相似度；在所述相似度小于預設值的情況下，確定所述可疑DNS為惡意DNS。
3.根據權利要求2的方法，其中，計算所述第一頁面和所述第二頁面的頁面相似度包括:使用向量空間模型算法計算所述第一頁面和所述第二頁面的頁面內容相似度。
4.根據權利要求2或3的方法，其中，在確定所述可疑DNS為惡意DNS之后還包括: 在安全建議顯示區域輸出所述惡意DNS的檢測結果。
5.根據權利要求1至4中任一項的方法，其中，檢查所述待檢測DNS解析結果是否屬于所述DNS正確解析結果的集合包括至少以下任意一種方式:檢查所述待檢測DNS解析結果 中的IP地址是否屬于所述DNS正確解析結果的集合中的IP地址列表；檢查所述待檢測DNS解析結果中的別名記錄是否屬于所述DNS正確解析結果的集合中的別名記錄列表；檢查所述待檢測DNS解析結果中的郵件交換記錄是否屬于所述DNS正確解析結果的集合中的郵件交換記錄列表。
6.根據權利要求1至5中任一項的方法，其中，所述一組域名解析服務器包括:多個具有電信運行商資質的域名解析服務器，所述已知域名包括多個不同類型網站的域名。
7.一種檢測可疑DNS的裝置，包括:第一解析接口，用于獲取已知域名的DNS正確解析結果的集合，所述DNS正確解析結果的集合通過一組域名解析服務器對所述已知域名解析得到；第二解析接口，用于獲取所述已知域名的待檢測DNS解析結果，所述待檢測DNS解析結果為目標DNS對所述已知域名解析的結果；查詢模塊，用于檢查所述待檢測DNS解析結果是否屬于所述DNS正確解析結果的集合；第一判斷模塊，用于在所述查詢模塊的檢查結果為否的情況下，將所述目標DNS標記為可疑DNS。
8.一種可疑DNS的處理方法，包括:獲取已知域名的DNS正確解析結果的集合，所述DNS正確解析結果的集合通過一組域名解析服務器對所述已知域名進行解析得到；獲取所述已知域名的待檢測DNS解析結果，所述待檢測DNS解析結果為目標DNS對所述已知域名解析的結果；檢查所述待檢測DNS解析結果是否屬于所述DNS正確解析結果的集合；若否，將所述目標DNS標記為可疑DNS，并輸出可信DNS列表，以供用戶選擇。
9.根據權利要求8的方法，其中，所述可信DNS列表中的可信DNS為預先通過DNS安全認證的DNS。
10.根據權利要求8或9的方法，其中，在輸出可信DNS列表之后還包括:接收用戶對所述可信DNS列表的選擇操作，并使用選中的DNS替換所述可疑DNS。
11.一種可疑DNS的處理系統，包括: 一組域名解析服務器，用于對已知域名進行解析，得到所述已知域名的DNS正確解析結果的集合；檢測可疑DNS的裝置，用于獲取所述已知域名的DNS正確解析結果的集合，獲取所述已知域名的待檢測DNS解析結果，所述待檢測DNS解析結果為目標DNS對所述已知域名解析的結果，檢查所述待檢測DNS解析結果是否屬于所述DNS正確解析結果的集合，若否，將所述目標DNS標記為可疑DNS ；DNS推薦裝置，用于檢測所述可疑DNS的裝置檢測出所述可疑DNS后，輸出可信DNS列表，以供用戶選擇。
12.根據權利要求11的系統，其中，所述DNS推薦裝置輸出的所述可信DNS列表中的可信DNS為預先通過安全認證的DNS。
13.根據權利要求11或12的系統，其中，還包括:DNS設置裝置，用于接收用戶對所述可信DNS列表的選擇操作，并使用選中的DNS替換所述可疑DNS。
14.根據權利要求11至13中任一項的系統，其中，所述一組域名解析服務器包括:多個具有電信運行商資質的域名解析服務器，已知域名包括多個不同類型網站的域名。
【文檔編號】H04L29/06GK103561120SQ201310463747
【公開日】2014年2月5日 申請日期:2013年10月8日 優先權日:2013年10月8日
【發明者】江愛軍, 鄭玉虎, 譚合力, 姚彤, 胡宇, 劉浩 申請人:北京奇虎科技有限公司, 奇智軟件（北京）有限公司