域名解析服务器危险性的识别方法和装置制造方法

域名解析服务器危险性的识别方法和装置制造方法
【专利摘要】本发明提供了一种域名解析服务器危险性的识别方法和装置。其中域名解析服务器危险性的识别方法包括：获取待识别的本地DNS对预设域名解析得到的解析结果；根据解析结果确定预设域名的授权DNS接收的DNS解析请求是否由本地DNS直接发送，其中解析结果中包括由授权DNS添加的DNS解析请求的请求源地址信息；若否，确定本地DNS存在恶意风险。使用该方法，判断授权DNS接收的DNS解析请求是否由本地DNS直接发送就可以得出该DNS解析是否经过其他DNS解析服务器代为转发解析，并进一步确定该DNS是否存在恶意风险，识别过程简单易于实现。
【专利说明】域名解析服务器危险性的识别方法和装置

【技术领域】
[0001] 本发明涉及互联网安全领域，特别是涉及一种域名解析服务器危险性的识别方法 和装置。

【背景技术】
[0002] 域名系统（Domain Name System，简称DNS)是因特网（Internet)的一项核心服 务，有着极其重要的地位，其作为可以将域名和IP地址相互映射的一个分布式数据库，能 够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。
[0003] 基于DNS的特点，黑客会建立一些恶意DNS，在劫持的网络范围内拦截域名解析的 请求，分析请求的域名，向一些预设范围内的DNS解析请求返回篡改过的结果或者不返回 任何地址，给用户造成的效果为访问特定的网址时得到错误的网页或者无法打开网页，给 用户的信息安全造成了极大的威胁。
[0004] 现有技术中检测一个DNS (假设IP地址为A)是否是黑DNS，主要判断依据是检测 该DNS是否存在域名劫持行为。这需要到该DNS上对一组域名进行查询，然后把查询结果 与预期解析结果进行比对，判断是否有劫持嫌疑。如果要检测该地址为A的DNS劫持了域 名D，那么检测该地址为A的DNS针对域名D的解析信息，返回的解析结果会与域名D的正 确解析结果不同，因此，只需要将返回的结果与该域名合法的信息进行比对，如果出现不一 致的情况，就可以认为该地址为A的DNS可能存在劫持域名D的情况。
[0005] 使用以上现有技术的黑DNS识别技术的前提是：需要提前预知被检测域名的各项 信息，比如有哪些合法的A记录（指定主机名或域名对应的IP地址记录）或CNAME (别名 记录）等。但是对于那些使用了⑶N(Content Delivery Network,内容分发网络）加速的 大型网站，针对一个域名返回的合法解析信息经常会有变动，因此现有的DNS识别方法经 常会出现误报的问题，准确性差，可实施性不强。


【发明内容】

[0006] 鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上 述问题的域名解析服务器危险性的识别方法和装置。
[0007] 本发明一个进一步的目的是要提高恶意DNS的识别准确度。
[0008] 本发明另一个进一步的目的是要提高识别恶意DNS的可实施性，无需大数量的积 累。
[0009] 依据本发明的一个方面，提供了一种域名解析服务器危险性的识别方法。该域名 解析服务器危险性的识别方法包括：获取待识别的本地域名解析服务器（Local DNS，以下 简称本地DNS)对预设域名解析得到的解析结果；根据解析结果确定预设域名的授权域名 服务器（Authoritative DNS，以下简称授权DNS)接收的DNS解析请求是否由本地DNS直接 发送,其中解析结果中包括由授权DNS添加的DNS解析请求的请求源地址信息；若否，确定 本地DNS存在恶意风险。
[0010] 可选地，授权DNS配置为将DNS解析请求的请求源地址作为预设域名的解析地址； 根据解析结果确定预设域名的授权DNS接收的DNS解析请求是否由本地DNS直接发送包 括：获取本地DNS的地址；对本地DNS的地址和解析地址进行匹配；若本地DNS的地址和解 析地址匹配，确定DNS解析请求由本地DNS直接发送。
[0011] 可选地，对本地DNS的地址和解析地址进行匹配包括：比较本地DNS的地址和解析 地址是否相同；若相同，确定本地DNS的地址和解析地址匹配。
[0012] 可选地，对本地DNS的地址和解析地址进行匹配包括：比较本地DNS的地址的归属 信息和解析地址的归属信息是否相同，归属信息包括地址的归属区域和/或归属运营商； 若相同，确定本地DNS的地址和解析地址匹配。
[0013] 可选地，若本地DNS的地址和解析地址不匹配，方法还包括：识别解析地址是否为 公共DNS的地址；若是，提升本地DNS的风险等级。
[0014] 可选地，若本地DNS的地址和解析地址不匹配，方法还包括：获取解析结果的生存 时间值；判断解析结果的生存时间值是否不大于授权DNS预设的生存时间；若否，提升本地 DNS的风险等级。
[0015] 可选地，若本地DNS的地址和解析地址不匹配，方法还包括：记录多个本地DNS各 自的解析地址，生成解析地址列表；统计解析地址列表中每个解析地址出现的次数，并按照 次数从高到低进行排序；提升使用排序靠前的解析地址对应的本地DNS的风险等级。
[0016] 根据本发明的另一个方面，还提供了一种域名解析服务器危险性的识别装置。该 域名解析服务器危险性的识别装置包括：获取模块，配置为获取待识别的本地DNS对预设 域名解析得到的解析结果；判断模块，配置为根据解析结果确定预设域名的授权DNS接收 的DNS解析请求是否由本地DNS直接发送，若否，确定本地DNS存在恶意风险，其中解析结 果中包括由授权DNS添加的DNS解析请求的请求源地址信息。
[0017] 可选地，判断模块包括：地址判断子模块，配置为：获取本地DNS的地址；对本地 DNS的地址和解析结果中的解析地址进行匹配，若本地DNS的地址和解析地址匹配，确定 DNS解析请求由本地DNS直接发送，预设域名的授权DNS配置为将请求源的地址作为预设域 名的解析地址。
[0018] 可选地，地址判断子模块还配置为：比较本地DNS的地址和解析地址是否相同；若 相同，确定本地DNS的地址和解析地址匹配。
[0019] 可选地，地址判断子模块还配置为：比较本地DNS的地址的归属信息和比较解析 地址的归属信息是否相同，归属信息包括地址的归属区域和/或归属运营商；若相同，确定 本地DNS的地址和解析地址匹配。
[0020] 可选地，判断模块还包括：地址识别子模块，配置为：识别解析地址是否为公共 DNS的地址；若是，提升本地DNS的风险等级。
[0021] 可选地，判断模块还包括：生存时间判断子模块，配置为：获取解析结果的生存时 间值；判断解析结果的生存时间值是否不大于授权DNS预设的生存时间是否一致；若否，提 升本地DNS的风险等级。
[0022] 可选地，上述域名解析服务器危险性的识别装置还包括：统计模块，配置为：记录 多个本地DNS的解析地址，生成解析地址列表；统计解析结果地址列表中每个解析地址出 现的次数，并按照次数从高到低进行排序；提升使用排序靠前的解析地址对应的本地DNS 的风险等级。
[0023] 本发明的域名解析服务器危险性的识别方法，使用待识别的本地DNS向预设域名 发起DNS解析请求，该预设域名的授权DNS返回的解析结果可以反映发送该解析请求的请 求源地址，由于恶意DNS -般会将不在其篡改范围内的DNS解析请求转发给其他DNS解析 服务器代为解析，因此通过判断授权DNS接收的DNS解析请求是否由本地DNS直接发送就 可以得出该DNS解析是否经过其他DNS解析服务器代为转发解析，并进一步确定该DNS是 否存在恶意风险。
[0024] 进一步地，预设域名的授权DNS可以配置为将DNS解析请求的请求源地址作为预 设域名的解析地址，从而在得到该预设域名的解析结果后，直接判断得到的解析地址是否 与本地DNS的地址匹配，就可以确定本地DNS是否完成了整个解析过程，从而得出本地DNS 的是否恶意的识别结果。
[0025] 更进一步地，本发明的域名解析服务器危险性的识别方法，仅通过设立一个用于 探测DNS解析请求的请求源地址的测试域名，获取DNS的判断依据，无需积累大量的数据用 于分析，识别过程简单易于实现。
[0026] 上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段， 而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够 更明显易懂，以下特举本发明的【具体实施方式】。
[0027] 根据下文结合附图对本发明具体实施例的详细描述，本领域技术人员将会更加明 了本发明的上述以及其他目的、优点和特征。

【专利附图】

【附图说明】
[0028] 通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通 技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明 的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
[0029] 图1是根据本发明一个实施例的域名解析服务器危险性的识别装置的第一种使 用环境的架构图；
[0030] 图2是根据本发明一个实施例的域名解析服务器危险性的识别装置的第二种使 用环境的架构图；
[0031] 图3是根据本发明一个实施例的域名解析服务器危险性的识别装置的示意图；
[0032] 图4是根据本发明另一个实施例的域名解析服务器危险性的识别装置的示意图； 以及
[0033] 图5是根据本发明一个实施例的域名解析服务器危险性的识别方法的示意图。

【具体实施方式】
[0034] 在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。 各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求 的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种 编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发 明的最佳实施方式。
[0035] 图1是根据本发明一个实施例的域名解析服务器危险性的识别装置的第一种使 用环境的架构图，DNS架构是一个层次树状结构，这个树状结构称为DNS域名空间，最上面 的域名空间被称为"根节点"。从顶级域到某一个子域的路径就构成了一个域名，例如从顶 级域? com到它的二级域Microsoft，再到Microsoft的子域departmentA就构成了一个域 名departmentA. microsoft. com。图1以访问某个网站地址www. abc. com(以下均以abc. com为例介绍）的解析过程为例进行简要介绍。其流程为：
[0036] 步骤1，用户电脑向其系统上设置的本地DNS服务器发送解析www. abc. com的请 求。所谓本地DNS服务器是指一个DNS服务IP地址，可以是从运营商自动获取的，也可以 是手动或者通过其他途径设置的。
[0037] 步骤2,本地DNS服务器会在自己的空间里查看是否有这个域名的缓存（后续实施 例中未考虑缓存的影响），如果没有，就会向根服务器发送www. abc. com的域名解析请求。
[0038] 步骤3,根服务器接收到本地DNS服务器关于域名的解析请求后，分析请求的域 名，返回给本地服务器.com这个域名节点的服务器的IP地址。
[0039] 步骤4 :本地DNS服务器在接到.com顶级域的服务器IP地址后，向.com顶级域 发出查询WWW. abc. com的解析请求。
[0040] 步骤5,. com顶级域服务器在接收到关于www. abc. com的解析请求后，返回给本地 DNS服务器关于abc这个二级域的DNS服务器的IP地址。
[0041] 步骤6,本地DNS服务器继续向abc这个二级域的DNS服务器发起关于www. abc. com的解析请求。
[0042] 步骤7, abc这个域的管理服务器管理abc. com下的所有的子域名。该管理服务器 可以称之为授权DNS。该授权DNS的域名空间中有www这个子域名，并保存有其对应的解析 信息，因此abc. com域的DNS服务器会返回www. abc. com对应的解析结果给本地DNS服务 器。
[0043] 步骤8,本地DNS服务器接收到abc. com这个域服务器关于www. abc. com解析结果 后，返回给用户。
[0044] 步骤9,用户电脑在获得www. abc. com域名对应的IP地址后，就开始向这个IP请 求有关内容。到此，DNS的一个完整请求解析流程结束。
[0045] 在以上介绍中，本地域名服务器（Local DNS)，可以是指配置在用户计算机中的 DNS，用户所有的DNS解析请求都是直接发给Local DNS，然后由Local DNS进行处理并返 回解析结果。授权DNS可以指对特定域名具有权威发布能力的DNS，是互联网上域名解析 结果的原始出处。比如假设域名"abc. com"的授权DNS为1. 2. 3. 4,那么就可以从1. 2. 3. 4 上获取"abc. com"子域（比如www. abc. com)的权威的解析结果。
[0046] 图1介绍的本地DNS解析过程是正常DNS的解析过程，整个DNS的迭代解析的请 求均由本地DNS发送。经过发明人对大量恶意DNS的分析和研究得出大量恶意DNS的解析 过程如图2所示，图2是根据本发明一个实施例的域名解析服务器危险性的识别装置的第 二种使用环境的架构图，在该架构中本地DNS为恶意DNS，对某些域名进行了劫持，其流程 为：
[0047] 步骤A，用户计算机向其系统上设置的本地DNS服务器发送解析www. abc. com的请 求；该本地DNS服务器为恶意DNS，对某些域名进行了劫持；
[0048] 步骤B，恶意DNS接收到域名解析请求后，会首先检查该请求的www. abc. com域名 是否为要劫持的域名，若是，执行步骤C ;若否，执行步骤D ;
[0049] 步骤C，恶意DNS向用户计算机返回被篡改的或者伪造的解析结果，将用户引导至 特定的网站，以实现恶意的目的；
[0050] 步骤D，对于非劫持对象，将DNS解析请求发送给其他正常DNS ;
[0051] 步骤E，正常DNS执行多轮迭代查询，从网络上获取abc. com的授权DNS地址；
[0052] 步骤F，正常DNS向abc. com的授权DNS发送请求解析www. abc. com ;
[0053] 步骤G，abc. com的授权DNS返回www. abc. com的正常解析结果；
[0054] 步骤H，正常DNS将www. abc. com的正常解析结果转发给恶意的本地DNS ;
[0055] 步骤J，恶意的本地DNS将www. abc. com的正常解析结果发给用户计算机。
[0056] 通过以上恶意的本地DNS的工作流程可以看出，一般恶意的本地DNS仅对个别的 需要劫持的对象，返回恶意劫持结果，而对于大部分域名交由正常DNS代为迭代解析，以减 轻自身压力，而且发明人分析得出，恶意DNS选择的转发DNS -般是公用的DNS服务器。
[0057] 针对以上恶意DNS的解析特点，本发明实施例提供了一种域名解析服务器危险性 的识别装置1〇〇,可以布置于用户侧，通过对预设的用于识别DNS的危险性的专用域名进行 检测，来实现对名解析服务器危险性的识别。图3是根据本发明一个实施例的域名解析服 务器危险性的识别装置100的示意图，该域名解析服务器危险性的识别装置100 -般性地 可以包括：获取模块110和判断模块120。
[0058] 在本发明实施例的域名解析服务器危险性的识别装置100中，获取模块110配置 为获取待识别的本地DNS对预设域名解析得到的解析结果，该预设域名的授权DNS可以设 置为将直接发出该次DNS请求的请求源地址作为解析结果或者包含在解析结果中发送回 请求源，从而解析结果中包括由预设域名授权DNS添加的DNS解析请求的请求源地址信息。
[0059] 判断模块120可以配置为根据解析结果确定预设域名的授权DNS接收的DNS解析 请求是否由本地DNS直接发送，若否，确定本地DNS存在恶意风险。通过以上对正常DNS和 恶意DNS各自解析过程的分析可以看出，通过判断DNS解析请求的请求源可以得出恶意DNS 的判断依据，由此判断模块120对接收到的包含DNS请求源地址信息的DNS解析结果可以 识别DNS的危险性。
[0060] 图4是根据本发明另一个实施例的域名解析服务器危险性的识别装置100的示意 图，在该实施例中，域名解析服务器危险性的识别装置可以增加设置统计模块130,并且判 断模块120可以设置有：地址判断子模块122、地址识别子模块124、生存时间判断子模块 126。
[0061] 在预设域名的授权DNS配置为将请求源的地址作为预设域名的解析地址的情况 下，地址判断子模块122可以配置为：获取本地DNS的地址；对本地DNS的地址和解析结果 中的解析地址进行匹配，若本地DNS的地址和解析地址匹配，确定DNS解析请求由本地DNS 直接发送。
[0062] 地址判断子模块122对本地DNS的地址和解析结果中的解析地址进行匹配的过程 可以直接判断解析地址与待识别的本地DNS是否一致，例如比较本地DNS的地址和解析地 址是否相同；若相同，确定本地DNS的地址和解析地址匹配。
[0063] 考虑到同一 DNS服务器上存在多IP的情况，为了避免误报，地址判断子模块122 还可以比较本地DNS的地址的归属信息和解析地址的归属信息是否相同，归属信息包括地 址的归属区域、归属运营商；若相同，确定本地DNS的地址和解析地址匹配。根据我国国内 的情况，归属区域可以精确到省，运营商包括电信、联通、移动和铁通等。如果两个地址不 同，但是都属于同一个省（或某一区域），那么可以认为这两个地址是匹配的。更严格一点， 可以加上对运营商的限制，即如果两个地址不同，但是所属的省（或某一区域）和运营商都 相同，那么认为是匹配的，否则如果省（或某一区域）或运营商中只要有一项不一样那么就 不匹配。
[0064] 由于恶意DNS经常使用的转发DNS -般为公共DNS，因此如果出现DNS解析请求利 用公共DNS转发的情况，需要提高本地DNS的恶意程度，因此，地址识别子模块124可以识 别解析地址是否为公共DNS的地址；若是，提升本地DNS的风险等级。公共DNS的地址可以 以预置的数据库的形式保存在用户侧或者存放在网络侧以供用户侧查询。
[0065] 生存时间判断子模块126可以获取解析结果的生存时间值；判断解析结果的生存 时间值是否不大于授权DNS预设的生存时间；若否，提升本地DNS的风险等级。
[0066] DNS的生存时间（Time-To-Live，简称TTL)，表示一条域名解析记录在DNS服务器 上可以缓存的时间。当Local DNS服务器接收到解析请求时，就会向域名授权DNS发出解 析请求从而获得解析记录；在获得这个记录之后，记录会在Local DNS服务器中缓存一段 时间，这段时间内如果再接到这个域名的解析请求，Local DNS将不再向授权DNS发出请 求，而是直接返回刚才获得的记录；而这个记录在Local DNS服务器上允许保留的时间，就 是TTL值。
[0067] 在本发明实施例中，预设域名的授权DNS可以将TTL设置为一个比较小的值，比如 0到60秒之间，如果生存时间判断子模块126获取的解析结果中的TTL大于预设的值，就说 明授权DNS返回的信息被篡改，危险系数增加。
[0068] 以上域名解析服务器危险性的识别装置100可以布置于用户侧的客户端中，在工 作时，发起对预设域名的解析请求，接收预设域名授权DNS返回的解析结果并判断该解析 结果中包含的DNS解析请求源的地址与待识别的本地DNS是否一致或者属于同一区域（所 属地理区域和运营商）。整个过程简单，无需大数据量的积累，准确度高。
[0069] 在需要检测一批待识别DNS时，统计模块130可以记录多个本地DNS的解析地址， 生成解析地址列表；统计解析结果地址列表中每个解析地址出现的次数，并按照次数从高 到低进行排序；提升使用排序靠前的解析地址对应的本地DNS的风险等级。也就是对多个 本地DNS进行上述的识别，然后根据是否有多个本地DNS返回相同的最后一层出口 IP来判 断这些本地DNS的危险性。
[0070] 本发明还提供了一种域名解析服务器危险性的识别方法，该域名解析服务器危险 性的识别方法可以由以上实施例中介绍的任一种域名解析服务器危险性的识别装置1〇〇 来执行，以提高恶意DNS的识别准确度，识别过程简单易于实现。图5是根据本发明一个实 施例的域名解析服务器危险性的识别方法的示意图，该域名解析服务器危险性的识别方法 包括：
[0071] 步骤S502,获取待识别的本地DNS对预设域名解析得到的解析结果；
[0072] 步骤S504,根据解析结果确定预设域名的授权DNS接收的DNS解析请求是否由本 地DNS直接发送；
[0073] 步骤S506,若否，确定本地DNS存在恶意风险。
[0074] 预设域名的授权DNS可以在解析结果中添加DNS解析请求的请求源地址信息，例 如将DNS解析请求的请求源地址作为预设域名的解析地址或者按照对DNS解析请求的请求 源地址进行一定的逻辑计算，使预设域名的解析地址与DNS解析请求的请求源地址一一对 应，以便后续的判断。
[0075] 步骤S504判断采用的方法就是检查授权DNS接收到的DNS解析请求的请求源IP， 假设其为IP4。IP4和本地DNS的地址假设为IP1进行比对，如果这两个IP相同，或者虽然 不同但是归属地相同（同属于某个省和某运营商），那么可以确认这个本地DNS没有对预设 域名的域名解析请求进行转发。如果两个IP不同，并且归属地不同（所属省和所属运营商 任一项不同），那么就是进行了转发，有劫持的嫌疑。
[0076] 例如，授权DNS配置为将DNS解析请求的请求源地址作为预设域名的解析地址；步 骤S504的可选方法为获取本地DNS的地址；对本地DNS的地址和解析地址进行匹配；若本 地DNS的地址和解析地址匹配，确定DNS解析请求由本地DNS直接发送。其中，对本地DNS 的地址和解析地址进行匹配包括：比较本地DNS的地址和解析地址是否相同；若相同，确定 本地DNS的地址和解析地址匹配。另外，对本地DNS的地址和解析地址进行匹配还可以包 括：比较本地DNS的地址的归属信息和解析地址的归属信息是否相同，归属信息包括地址 的归属区域和/或归属运营商；若相同，确定本地DNS的地址和解析地址匹配。
[0077] 若本地DNS的地址和解析地址不匹配，还可以进一步识别解析地址是否为公共 DNS的地址；若是，提升本地DNS的风险等级。以及进一步获取解析结果的生存时间值；判 断解析结果的生存时间值是否不大于授权DNS预设的生存时间；若否，提升本地DNS的风险 等级。
[0078] 在本地DNS的地址和解析地址不匹配的情况下，还可以对一批DNS进行集中处理， 本实施例的方法还可以包括：记录多个本地DNS各自的解析地址，生成解析地址列表；统计 解析地址列表中每个解析地址出现的次数，并按照次数从高到低进行排序；提升使用排序 靠前的解析地址对应的本地DNS的风险等级。
[0079] 使用本实施例的以上域名解析服务器危险性的识别方法需要首先设置预设域名 及其授权DNS，例如以图1和图2所示的网络环境中，在abc. com的授权DNS上设置一个特 殊的域名，假设为check, abc. com,把其TTL设置为0。当授权DNS接收到对该域名的请求 时，先获取到直接发出该次请求的源IP地址，假设该地址为IP2 = 58. 240. 56. 14,然后把 该地址作为check, abc. com的A记录返回回去。这样本地DNS得到的就是类似下面的一条 DNS应答记录：
[0080] check, abc. com. OIN A 58. 240. 56. 14,该条记录表不对 check, abc. com 的解析得 到一个A记录58. 240. 56. 14, TTL为0。从而可以利用授权DNS返回的解析结果进行判断。
[0081] 在对一个单独的本地DNS(假设其地址为IP1 = 58. 240. 56. 14)进行识别时，可 以利用nslookup或者dig等DNS查询手段获取该本地DNS请求check, abc. com的解析结 果。以下以Linux系统上常用的dig(域信息搜索器）命令为例进行介绍。以下是dig请 求check, abc. com的解析结果的示例代码：
[0082]

【权利要求】
1. 一种域名解析服务器危险性的识别方法，包括： 获取待识别的本地DNS对预设域名解析得到的解析结果； 根据所述解析结果确定所述预设域名的授权DNS接收的DNS解析请求是否由所述本地 DNS直接发送，其中所述解析结果中包括由所述授权DNS添加的所述DNS解析请求的请求源 地址信息； 若否，确定所述本地DNS存在恶意风险。
2. 根据权利要求1所述的方法，其中 所述授权DNS配置为将所述DNS解析请求的请求源地址作为所述预设域名的解析地 址； 根据所述解析结果确定所述预设域名的授权DNS接收的DNS解析请求是否由所述本地 DNS直接发送包括： 获取所述本地DNS的地址； 对所述本地DNS的地址和所述解析地址进行匹配； 若所述本地DNS的地址和所述解析地址匹配，确定所述DNS解析请求由所述本地DNS 直接发送。
3. 根据权利要求2所述的方法，其中，对所述本地DNS的地址和所述解析地址进行匹配 包括： 比较所述本地DNS的地址和所述解析地址是否相同； 若相同，确定所述本地DNS的地址和所述解析地址匹配。
4. 根据权利要求2所述的方法，其中，对所述本地DNS的地址和所述解析地址进行匹配 包括： 比较所述本地DNS的地址的归属信息和所述解析地址的归属信息是否相同，所述归属 信息包括地址的归属区域和/或归属运营商； 若相同，确定所述本地DNS的地址和所述解析地址匹配。
5. 根据权利要求2至4中任一项所述的方法，其中， 若所述本地DNS的地址和所述解析地址不匹配，所述方法还包括： 识别所述解析地址是否为公共DNS的地址； 若是，提升所述本地DNS的风险等级。
6. 根据权利要求2至4中任一项所述的方法，其中， 若所述本地DNS的地址和所述解析地址不匹配，所述方法还包括： 获取所述解析结果的生存时间值； 判断所述解析结果的生存时间值是否不大于所述授权DNS预设的生存时间； 若否，提升所述本地DNS的风险等级。
7. 根据权利要求2至4中任一项所述的方法，其中， 若所述本地DNS的地址和所述解析地址不匹配，所述方法还包括： 记录多个所述本地DNS各自的所述解析地址，生成解析地址列表； 统计所述解析地址列表中每个所述解析地址出现的次数，并按照所述次数从高到低进 行排序； 提升使用排序靠前的解析地址对应的本地DNS的风险等级。
8. -种域名解析服务器危险性的识别装置，包括： 获取模块，配置为获取待识别的本地DNS对预设域名解析得到的解析结果； 判断模块，配置为根据所述解析结果确定所述预设域名的授权DNS接收的DNS解析请 求是否由所述本地DNS直接发送，若否，确定所述本地DNS存在恶意风险，其中所述解析结 果中包括由所述授权DNS添加的所述DNS解析请求的请求源地址信息。
9. 根据权利要求8所述的装置，其中所述判断模块包括： 地址判断子模块，配置为；获取所述本地DNS的地址；对所述本地DNS的地址和所述解 析结果中的解析地址进行匹配，若所述本地DNS的地址和所述解析地址匹配，确定所述DNS 解析请求由所述本地DNS直接发送，所述预设域名的授权DNS配置为将所述请求源的地址 作为所述预设域名的解析地址。
10. 根据权利要求9所述的装置，其中所述地址判断子模块还配置为： 比较所述本地DNS的地址和所述解析地址是否相同； 若相同，确定所述本地DNS的地址和所述解析地址匹配。
【文档编号】H04L29/12GK104468860SQ201410735253
【公开日】2015年3月25日 申请日期:2014年12月4日 优先权日:2014年12月4日
【发明者】郑玉虎, 胡宇, 刘浩 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司