检测可疑dns的方法、装置和可疑dns的处理方法、系统的制作方法

检测可疑dns的方法、装置和可疑dns的处理方法、系统的制作方法
【专利摘要】本发明提供了一种检测可疑DNS的方法、装置和可疑DNS的处理方法、系统。其中检测可疑DNS的方法包括：获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器对已知域名解析得到；获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确解析结果的集合；若否，将目标DNS标记为可疑DNS。利用本发明的技术方案可以简单迅速地确定出将域名解析成未知结果的可疑DNS，为进一步分析和处理提供了基础，提高了网络安全性。
【专利说明】检测可疑DNS的方法、装置和可疑DNS的处理方法、系统
【技术领域】
[0001]本发明涉及互联网领域，特别是涉及一种检测可疑DNS的方法、装置和可疑DNS的 处理方法、系统。
【背景技术】
[0002]域名解析系统(Domain Name Service,以下简称DNS)的缩写,它是由解析器以及 域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具 有将域名转换为IP地址功能的服务器。从而DNS的作用为帮助用户在互联网上寻找路径。
[0003]在实际使用过程中，黑客可能通过篡改计算机或路由器上的DNS设置，把正常网 址解析到钓鱼网站或受黑客控制的主机上，以骗取用户钱财或窃取隐私。恶意DNS的危害 性高，会造成用户的财产损失，严重时甚至可能导致网站或网络瘫痪。
[0004]针对恶意DNS的攻击，现有的应对方法主要有:建议用户手动修改服务器设置为 安全性系数高的DNS服务器，互联网公司准备两个以上的域名，一旦黑客进行DNS攻击，通 过其他域名进行访问，然而以上方法均是在恶意DNS已经产生危害并被发现后的被动处理 方法，无法主动针对恶意DNS进行识别并及时屏蔽恶意DNS并对进行处理。现有技术中缺 乏准确及时检测恶意DNS的方法。

【发明内容】

[0005]鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上 述问题的检测可疑DNS的装置和相应的检测可疑DNS的方法以及可疑DNS的处理系统和相 应的可疑DNS的处理方法。本发明一个目的是及时检测出可疑DNS，以降低互联网危害的风 险。
[0006]基于本发明的一个方面提供了一种检测可疑DNS的方法。该检测可疑DNS的方法 包括:获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名解 析服务器对已知域名解析得到；获取已知域名的待检测DNS解析结果，待检测DNS解析结果 为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确解析结果 的集合；若否，将目标DNS标记为可疑DNS。
[0007]可选地，在将目标DNS记为可疑DNS之后还包括:分别获取第一页面和第二页面， 其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果对应的页 面；计算第一页面和第二页面的页面相似度；在相似度小于预设值的情况下，确定可疑DNS 为恶意DNS。
[0008]可选地，计算第一页面和第二页面的页面相似度包括:使用向量空间模型算法计 算第一页面和第二页面的页面内容相似度。
[0009]可选地，在确定可疑DNS为恶意DNS之后还包括:在安全建议显示区域输出恶意 DNS的检测结果。
[0010]可选地，检查待检测DNS解析结果是否属于DNS正确解析结果的集合包括至少以下任意一种方式:检查待检测DNS解析结果中的IP地址是否属于DNS正确解析结果的集合 中的IP地址列表；检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集 合中的别名记录列表；检查待检测DNS解析结果中的邮件交换记录是否属于DNS正确解析 结果的集合中的邮件交换记录列表。
[0011]可选地，一组域名解析服务器包括:多个具有电信运行商资质的域名解析服务器， 已知域名包括多个不同类型网站的域名。
[0012]根据本发明的另一个方面，还提供了一种检测可疑DNS的装置。该检测可疑DNS 的装置包括:第一解析接口，用于获取已知域名的DNS正确解析结果的集合，DNS正确解析 结果的集合通过一组域名解析服务器对已知域名解析得到；第二解析接口，用于获取已知 域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS对已知域名解析的结果；查询 模块，用于检查待检测DNS解析结果是否属于DNS正确解析结果的集合；第一判断模块，用 于在查询模块的检查结果为否的情况下，将目标DNS标记为可疑DNS。
[0013]可选地，上述检测可疑DNS的装置还包括:页面获取模块，用于分别获取第一页面 和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结 果待检测DNS的页面；计算模块，用于计算第一页面和第二页面的页面相似度；第二判断模 块，用于在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。
[0014]可选地，计算模块配置为:使用向量空间模型算法计算第一页面和第二页面的页 面相似度。
[0015]可选地，上述检测可疑DNS的装置还包括:显示模块，用于在安全建议显示区域输 出恶意DNS的检测结果。
[0016]可选地，查询模块包括至少以下任意一项:IP地址查询子模块，用于检查待检测 DNS解析结果中的IP地址是否属于DNS正确解析结果的集合中的IP地址列表；别名记录 查询子模块，用于检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集 合中的别名记录列表；邮件交换记录查询子模块，用于检查待检测DNS解析结果中的邮件 交换记录是否属于DNS正确解析结果的集合中的邮件交换记录列表。
[0017]根据本发明的又一个方面，提供了一种可疑DNS的处理方法。该可疑DNS的处理方 法包括:获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通过一组域名 解析服务器对已知域名进行解析得到；获取已知域名的待检测DNS解析结果，该待检测DNS 解析结果为目标DNS对已知域名解析的结果；检查待检测DNS解析结果是否属于DNS正确 解析结果的集合；若否，将目标DNS标记为可疑DNS，并输出可信DNS列表，以供用户选择。
[0018]可选地，可信DNS列表中的可信DNS为预先通过DNS安全认证的DNS。
[0019]可选地，在输出可信DNS列表之后还包括:接收用户对可信DNS列表的选择操作， 并使用选中的DNS替换可疑DNS。
[0020]根据本发明的再一个方面，提供了一种可疑DNS的处理系统。该可疑DNS的处理 系统包括:一组域名解析服务器，用于对已知域名进行解析，得到已知域名的DNS正确解析 结果的集合；检测可疑DNS的装置，用于获取已知域名的DNS正确解析结果的集合，获取已 知域名的待检测DNS解析结果，该待检测DNS解析结果为目标DNS对已知域名解析的结果， 检查待检测DNS解析结果是否属于DNS正确解析结果的集合，若否，将目标DNS标记为可疑 DNS ；DNS推荐装置，用于检测可疑DNS的装置检测出可疑DNS后，输出可信DNS列表，以供用户选择。
[0021]可选地，DNS推荐装置输出的可信DNS列表中的可信DNS为预先通过安全认证的 DNS。
[0022]可选地，上述可疑DNS的处理系统还包括:DNS设置装置，用于接收用户对可信DNS 列表的选择操作，并使用选中的DNS替换可疑DNS。
[0023]可选地，一组域名解析服务器包括:多个具有电信运行商资质的域名解析服务器， 已知域名包括多个不同类型网站的域名。
[0024]本发明的检测可疑DNS的方法通过对比已知DNS和待检测的目标DNS对常用域名 的解析结果，在待检测的目标DNS的解析结果明显不同于已知DNS的解析结果时，将目标 DNS标记为可疑DNS。可以简单迅速地确定出将域名解析成未知结果的可疑DNS，为进一步 分析和处理提供了基础，提高了网络安全性。
[0025]进一步地，通过对比不同DNS解析结果对应页面的页面相似度，判断根据可疑DNS 的解析结果访问的页面是否是正确的页面，是否出现了篡改的情况，从而可以确定出恶意 DNS。
[0026]又进一步地，确定出恶意DNS后，可以向用户推荐正确的已经过验证的DNS，可以 有效遏制黑客通过篡改DNS给网民带来诸如网络钓鱼和隐私窃取等安全风险以及弹出广 告的骚扰。
[0027]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段， 而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够 更明显易懂，以下特举本发明的【具体实施方式】。
[0028]根据下文结合附图对本发明具体实施例的详细描述，本领域技术人员将会更加明 了本发明的上述以及其他目的、优点和特征。
【专利附图】

【附图说明】
[0029]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通 技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明 的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0030]图1是根据本发明一个实施例的检测可疑DNS的装置100的示意图；
[0031]图2是根据本发明另一个实施例的检测可疑DNS的装置100的示意图；
[0032]图3是根据本发明一个实施例的可疑DNS的处理系统200的示意图；
[0033]图4是根据本发明一个实施例的检测可疑DNS的方法的示意图；
[0034]图5是根据本发明一个实施例的可疑DNS的处理方法的示意图；
[0035]图6是根据本发明一个实施例的检测可疑DNS的方法的输出恶意DNS的检测结果 的界面示意图；以及
[0036]图7是根据本发明一个实施例的可疑DNS的处理方法的输出可信DNS列表供用户 进行选择的界面示意图。
【具体实施方式】
[0037]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求 的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种 编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发 明的最佳实施方式。
[0038]图1是根据本发明一个实施例的检测可疑DNS的装置100的示意图。该检测可疑 DNS的装置100 —般性地可包括:第一解析接口 110，第二解析接口 120、查询模块130、第一 判断模块140。
[0039]在以上检测可疑DNS的装置100中，第一解析接口 110，用于获取已知域名的DNS 正确解析结果的集合，DNS正确解析结果的集合通过一组域名解析服务器210对已知域名 解析得到。第二解析接口 120，用于获取已知域名的待检测DNS解析结果，待检测DNS解析 结果为目标DNS对已知域名解析的结果。查询模块130，用于检查待检测DNS解析结果是否 属于DNS正确解析结果的集合。第一判断模块140，用于在查询模块130的检查结果为否的 情况下，将目标DNS标记为可疑DNS。
[0040]第一解析接口 110是与一组域名解析服务器210的数据通信接口，用于向一组已 知的域名解析服务器提出域名解析请求，并接收以上域名解析服务器的域名解析结果。第 一解析接口 110是与待检测DNS连接的数据通信接口，用于向待检测DNS提出域名解析请 求，并接收待检测DNS的域名解析结果。一般来说，第一解析接口 110数据连接的域名解 析服务器是已经经过安全认证的服务器，可以选择多个具有电信运行商资质的域名解析服 务器，例如电信联通在各地设立的DNS解析服务器，以及国际上知名域名解析服务器，如谷 歌、香港和记环球电讯的服务器等。以上已知域名可以从网民访问量巨大的域名中选取，例 如网购类网站域名、游戏类网站域名、社交类网站域名等。
[0041]在第一判断模块140判断出可疑DNS时，上述检测可疑DNS的装置100还可以进 一步确认DNS的安全性。图2是根据本发明另一个实施例的检测可疑DNS的装置100的示 意图，在该实施例中的增加了页面获取模块150、计算模块160、第二判断模块170、显示模 块180。该页面获取模块150，用于分别获取第一页面和第二页面，其中第一页面为DNS正确 解析结果对应的页面，第二页面为待检测DNS解析结果待检测DNS的页面；计算模块160， 用于计算第一页面和第二页面的页面相似度；第二判断模块170，用于在相似度小于预设 值的情况下，确定可疑DNS为恶意DNS。计算模块160计算页面相似度的方式很多，一种常 用的方式是将计算模块160配置为使用向量空间模型算法计算第一页面和第二页面的页 面内容相似度。在页面内容相似度大与预设值时，证明可疑DNS解析结果对应的页面不是 原来域名正确对应的页面，可疑DNS对解析目标进行了篡改，为恶意DNS。显示模块180及 时在安全建议显示区域输出恶意DNS的检测结果，提醒用户进行安全处理。
[0042]DNS的解析结果通常包括:该域名对应的IP地址(A记录)、该域名对应的别名记录 (cname记录)、邮件交换记录(Mail Exchanger, MX记录)。对应以上解析结果的内容,查询 模块130包括至少以下任意一项:IP地址查询子模块131，用于检查待检测DNS解析结果中 的IP地址是否属于DNS正确解析结果的集合中的IP地址列表；别名记录查询子模块132， 用于检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结果的集合中的别名记 录列表；邮件交换记录查询子模块133，用于检查待检测DNS解析结果中的邮件交换记录是 否属于DNS正确解析结果的集合中的邮件交换记录列表。[0043]本发明实施例还提供了一种可疑DNS的处理系统200。图3是根据本发明一个实 施例的可疑DNS的处理系统200的示意图，该可疑DNS的处理系统200包括:一组域名解析 服务器210、检测可疑DNS的装置100、DNS推荐装置220。其中检测可疑DNS的装置100可 以为以上实施例中介绍的任一种检测可疑DNS的装置100。在检测可疑DNS的装置100利 用一组域名解析服务器210确定出可疑DNS后，DNS推荐装置220，用于检测可疑DNS的装 置100检测出可疑DNS后，输出可信DNS列表，以供用户选择。
[0044]以上一组域名解析服务器210可以包括:多个具有电信运行商资质的域名解析服 务器，已知域名包括多个不同类型网站的域名。DNS推荐装置220输出的可信DNS列表中的 可信DNS均为预先通过安全认证的DNS。
[0045]可疑DNS的处理系统200还可以包括:DNS设置装置230，用于接收用户对可信DNS 列表的选择操作，并使用选中的DNS替换可疑DNS。从而自动使用用户选择的安全DNS替换 掉可疑DNS，消除安全隐患。
[0046]通过本实施例的可疑DNS的处理系统200。可以及时地将DNS修改为推荐的安全 DNS，消除了恶意DNS对用户的侵害。
[0047]以下结合本发明实例提供的检测可疑DNS的方法和可疑DNS的处理方法的流程介 绍对上述检测可疑DNS的装置100和可疑DNS的处理系统200工作步骤进行详细说明。其 中检测可疑DNS的方法可由以上介绍的任一种检测可疑DNS的装置100执行，可疑DNS的 处理方法可由以上介绍的任一种可疑DNS的处理系统200执行。
[0048]图4是根据本发明一个实施例的检测可疑DNS的方法的示意图，如图所示，该检测 可疑DNS的方法包括以下步骤:
[0049]步骤S402，获取已知域名的DNS正确解析结果的集合，DNS正确解析结果的集合通 过一组域名解析服务器对已知域名解析得到；
[0050]步骤S404，获取已知域名的待检测DNS解析结果，待检测DNS解析结果为目标DNS 对已知域名解析的结果；
[0051]步骤S406，检查待检测DNS解析结果是否属于DNS正确解析结果的集合；
[0052]步骤S408，若步骤S406的结果为否，将目标DNS标记为可疑DNS。
[0053]步骤S402中的一组域名解析服务器中的服务器均是已经经过安全认证的服务 器，优选可以选择多个具有电信运行商资质的域名解析服务器，例如电信联通在各地设立 的DNS解析服务器，以及国际上知名域名解析服务器，如谷歌、香港和记环球电讯的服务器 等。以上已知域名可以从网民访问量巨大的域名中选取，例如网购类网站域名、游戏类网站 域名、社交类网站域名等。
[0054]步骤S406检查待检测DNS解析结果是否属于DNS正确解析结果的集合包括至少 以下任意一种方式:检查待检测DNS解析结果中的IP地址是否属于DNS正确解析结果的 集合中的IP地址列表；检查待检测DNS解析结果中的别名记录是否属于DNS正确解析结 果的集合中的别名记录列表；检查待检测DNS解析结果中的邮件交换记录是否属于DNS正 确解析结果的集合中的邮件交换记录列表。以上方式分别是基于DNS的解析结果中的该 域名对应的IP地址(A记录)、该域名对应的别名记录(cname记录)、邮件交换记录(Mail Exchanger, MX记录)得出的。以上三种方式可以根据实际情况灵活配置，例如只选择其中 的IP地址，也可以综合选择三种方式中的两种或全部三种同时进行查询。[0055]在确定出可疑DNS后，本实施例的检测可疑DNS的方法还可以进一步确认DNS的安全性。在步骤S408之后还执行以下步骤:分别获取第一页面和第二页面，其中第一页面为DNS正确解析结果对应的页面，第二页面为待检测DNS解析结果对应的页面；计算第一页面和第二页面的页面相似度；在相似度小于预设值的情况下，确定可疑DNS为恶意DNS。计算页面相似度存在多种方式，一种常用的方式是使用向量空间模型算法计算第一页面和第二页面的页面内容相似度。在页面内容相似度大与预设值时，证明可疑DNS解析结果对应的页面不是原来域名正确对应的页面，可疑DNS对解析目标进行了篡改,为恶意DNS。
[0056]在确定可疑DNS为恶意DNS之后还包括:在安全建议显示区域输出恶意DNS的检测结果。提醒用户进行安全处理。
[0057]本发明实施例还提供了一种可疑DNS的处理方法，通过本实施例的可疑DNS的处理方法可以对可疑DNS进行相应的处理。图5是根据本发明一个实施例的可疑DNS的处理方法的示意图，如图所示，该可疑DNS的处理方法的步骤S402至步骤S408对应与以上实施例的检测可疑DNS的方法中的步骤S402至步骤S408相同，在步骤S408之后还包括:
[0058]步骤S502，输出可信DNS列表，以供用户进行选择；
[0059]步骤S504，接收用户对可信DNS列表的选择操作，并使用选中的DNS替换可疑 DNS。
[0060]其中，步骤S502中可信DNS列表中的DNS均为预先通过DNS安全认证的DNS。利用步骤S504，自动使用用户选择的安全DNS替换掉可疑DNS，消除了安全隐患。
[0061]下面结合一个使用本发明实施例的检测可疑DNS的方法和可疑DNS的处理方法实例对本发明实施例进一步进行说明。
[0062]选择一组已知域名集合DN={dnl, dn2,…dnn},域名集合中的dnl, dn2,…dnn通常选择网民经常访问的域名:例如网购类(如淘宝客，s.taoba0.com)、游戏类(如多玩英雄联盟，lol.duowan.com)、社交类网站(如QQ空间,qzone.qq.com)等,这类网站为了 CDN加速通常都配置了别名记录cname。
[0063]利用分布在在世界各地的具有电信运营商资质的域名解析服务器组成一个安全域名解析服务器集合DNS_SERVER={dsl, ds2,…dsn},集合中`的dsl, ds2,…dsn可以优选国内各地电信、联通、移动、教育网的DNS服务器IP和国外知名的google dns,open dns
坐寸o
[0064]对于侦听到的未知的目标DNS，该位置DNS以下使用DNS (dsu)进行指代，检测该 dsu是否恶意DNS步骤如下:
[0065]使用安全域名解析服务器集合DNS_SERVER中的DNS依次对已知域名
[0066]集合DN中的每个域名进行解析，得到已知域名DN的DNS正确解析结果集合 RESULT= {R (dsl, dnl), R (dsl, dn2),...,R (dsn, dnn) },在集合中 R (dsl, dnl) ={IP11, CNAMEl I, MX11}是域名解析服务器dsl解析出域名dnl的结果，该结果中包括IP11、 CNAMEl 1、MXl I，IPll是dsl解析出的域名dnl对应的IP地址，CNAME11是dsl解析出的域名dnl对应的别名记录，MXll是dsl解析出的域名dnl对应的邮件交换记录。对应地，集合中R (dsn, dnn) ={IPnn, CNAMEnn,MXnn}是域名解析服务器dsn解析出域名dnn的结果,该结果中包括IPnn, CNAMEnn, MXnn, IPnn是dsn解析出的域名dnn对应的IP地址，CNAMEnn 是dsn解析出的域名dnn对应的别名记录,MXnn是dsn解析出的域名dnn对应的邮件交换记录。
[0067]使用DNS (dsu)对对已知域名集合DN中的每个域名进行解析，得到已知域名DN 的待检测 DNS 解析结果 RESULTu= {R (dsu, dnl), R (dsu, dn2),…，R (dsu，ds3) }。以上待检测DNS解析结果中R (dsu, dnl)为目标DNS (dsu)解析域名dnl的结果，也包括DNS (dsu)解析出的域名dnl对应的IP地址、别名记录和邮件交换记录。R (dsu, dnn)为目标 DNS (dsu)解析域名dnn的结果,其中包括DNS (dsu)解析出的域名dnn对应的IP地址、另Ij 名记录和邮件交换记录。
[0068]从DNS正确解析结果集合REUSLT中获取世界各地安全域名解析服务器对域名dnl 的解析结果 RESULT (dnl) ={R (dsl, dnl), R (ds2, dnl),...,R (dsn, dnl)},进一步获取域名dnl对应的IP列表1P (dnl) = {ipl, ip2,…，ipn}, dnl对应的cname记录列表CNAME (dnl) ={cel, ce2, --?，cen}, dnl 对应的 MX 记录列表 MX (dnl) ={mxl, mx2,...,mxn},然后把目标DNS (dsu)对域名dnl的结果R (dsu, dnl) = {IPul, CNAMEul,MXul}进行对比，对比的具体方式包括以下任一种方式:
[0069]检查IPul G IP (dnl)是否为空，若为空，则此目标DNS (dsu)即为可疑；
[0070]检查CNAMEul g CNAME (dnl)是否为空，若为空，则此目标DNS (dsu)即为可疑；
[0071]检查MXul G MX (dnl)是否为空，若为空，则此目标DNS (dsu)即为可疑；
[0072]按照上述步骤依次比对DN中每个域名的解析结果。如果DN中任一域名出现DNS (dsu )的待检测DNS解析结果不属于DNS正确解析结果的集合的情况，即判定目标DNS( dsu ) 标记为可疑DNS。
[0073]对于可疑的DNS，继续比对结果异常的域名(dne)对应网页的页面内容。用合法域名解析服务器解析出的IP (dne)访问域名(dne)对应网页的页面内容Pagel,用可疑DNS 解析出的IPu访问域名(dne)对应网页的页面内容Page2,采用向量空间法(Vector Space Model，简称VSM)计算出第一页面Pagel和第二页面Page2相似度，若相似度小于指定阀值则认为此目标DNS (dsu)劫持了域名(dne),即可认为此目标DNS (dsu)为恶意DNS。以上相似度阈值可以根据页面的情况进行设定。
[0074]向量空间法把对文本内容的处理简化为向量空间中的向量运算，并且以空间上的相似度表达语义的相似度，直观易懂。当文档被表示为文档空间的向量，就可以通过计算向量之间的相似性来度量文档间的相似性。
[0075]确认恶意DNS后,在安全建议显示区域输出恶意DNS的检测结果，图6是根据本发明一个实施例的检测可疑DNS的方法的输出恶意DNS的检测结果的界面示意图，图中显示的方式是在类似于安全卫士之类的互联网软件显示界面中的安全隐患部分输出，类似地， 还可以通过弹出气泡、对话框等方式显示。
[0076]利用以上步骤检测出恶意DNS后，可以利用本发明实施例提供的可疑DNS的处理方法对可疑DNS或者恶意DNS进行替换，图7是根据本发明一个实施例的可疑DNS的处理方法的输出可信DNS列表以供用户进行选择的界面示意图。用户可以对图中的两个DNS选择框进行选择，然后选择立即修复按钮，软件后台可以自动设置对应的安全DNS。
[0077]进一步地，当用户选择不修复时，显示界面可以输出安全隐患提示。另外，可以将恶意DNS进行上报，防止恶意DNS的扩散，造成恶意影响。
[0078]以下是本发明实施例对一个具体的目标DNS (58.53.128.86)的分析结果。[0079]首先使用DNS (58.53.128.86)对域名s.taoba0.com的解析结果如表1所示:
[0080]表1
【权利要求】
1.一种检测可疑DNS的方法，包括:获取已知域名的DNS正确解析结果的集合，所述DNS正确解析结果的集合通过一组域名解析服务器对所述已知域名解析得到；获取所述已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述已知域名解析的结果；检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合；若否，将所述目标DNS标记为可疑DNS。
2.根据权利要求1的方法，其中，在将所述目标DNS记为可疑DNS之后还包括:分别获取第一页面和第二页面，其中所述第一页面为所述DNS正确解析结果对应的页面，所述第二页面为所述待检测DNS解析结果对应的页面；计算所述第一页面和所述第二页面的页面相似度；在所述相似度小于预设值的情况下，确定所述可疑DNS为恶意DNS。
3.根据权利要求2的方法，其中，计算所述第一页面和所述第二页面的页面相似度包括:使用向量空间模型算法计算所述第一页面和所述第二页面的页面内容相似度。
4.根据权利要求2或3的方法，其中，在确定所述可疑DNS为恶意DNS之后还包括: 在安全建议显示区域输出所述恶意DNS的检测结果。
5.根据权利要求1至4中任一项的方法，其中，检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合包括至少以下任意一种方式:检查所述待检测DNS解析结果 中的IP地址是否属于所述DNS正确解析结果的集合中的IP地址列表；检查所述待检测DNS解析结果中的别名记录是否属于所述DNS正确解析结果的集合中的别名记录列表；检查所述待检测DNS解析结果中的邮件交换记录是否属于所述DNS正确解析结果的集合中的邮件交换记录列表。
6.根据权利要求1至5中任一项的方法，其中，所述一组域名解析服务器包括:多个具有电信运行商资质的域名解析服务器，所述已知域名包括多个不同类型网站的域名。
7.一种检测可疑DNS的装置，包括:第一解析接口，用于获取已知域名的DNS正确解析结果的集合，所述DNS正确解析结果的集合通过一组域名解析服务器对所述已知域名解析得到；第二解析接口，用于获取所述已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述已知域名解析的结果；查询模块，用于检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合；第一判断模块，用于在所述查询模块的检查结果为否的情况下，将所述目标DNS标记为可疑DNS。
8.一种可疑DNS的处理方法，包括:获取已知域名的DNS正确解析结果的集合，所述DNS正确解析结果的集合通过一组域名解析服务器对所述已知域名进行解析得到；获取所述已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述已知域名解析的结果；检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合；若否，将所述目标DNS标记为可疑DNS，并输出可信DNS列表，以供用户选择。
9.根据权利要求8的方法，其中，所述可信DNS列表中的可信DNS为预先通过DNS安全认证的DNS。
10.根据权利要求8或9的方法，其中，在输出可信DNS列表之后还包括:接收用户对所述可信DNS列表的选择操作，并使用选中的DNS替换所述可疑DNS。
11.一种可疑DNS的处理系统，包括: 一组域名解析服务器，用于对已知域名进行解析，得到所述已知域名的DNS正确解析结果的集合；检测可疑DNS的装置，用于获取所述已知域名的DNS正确解析结果的集合，获取所述已知域名的待检测DNS解析结果，所述待检测DNS解析结果为目标DNS对所述已知域名解析的结果，检查所述待检测DNS解析结果是否属于所述DNS正确解析结果的集合，若否，将所述目标DNS标记为可疑DNS ；DNS推荐装置，用于检测所述可疑DNS的装置检测出所述可疑DNS后，输出可信DNS列表，以供用户选择。
12.根据权利要求11的系统，其中，所述DNS推荐装置输出的所述可信DNS列表中的可信DNS为预先通过安全认证的DNS。
13.根据权利要求11或12的系统，其中，还包括:DNS设置装置，用于接收用户对所述可信DNS列表的选择操作，并使用选中的DNS替换所述可疑DNS。
14.根据权利要求11至13中任一项的系统，其中，所述一组域名解析服务器包括:多个具有电信运行商资质的域名解析服务器，已知域名包括多个不同类型网站的域名。
【文档编号】H04L29/06GK103561120SQ201310463747
【公开日】2014年2月5日 申请日期:2013年10月8日 优先权日:2013年10月8日
【发明者】江爱军, 郑玉虎, 谭合力, 姚彤, 胡宇, 刘浩 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司