域名请求处理方法和装置与流程

本发明涉及互联网领域，具体而言，涉及一种域名请求处理方法和装置。

背景技术：

互联网上的每一台主机都有一个唯一的网络地址(即IP地址)，以区别网络上其他的计算机。由于IP地址是数字标识，用于二进制数来表示，每个IP地址长32比特，由4个小于256的数字组成，不方便用户记忆和书写，在IP地址的基础上出现了一种符号化的地址方案，每一个符号化的地址都与特定的IP地址对应，这个与网络上IP地址对应的字符型地址，称为域名。域名是上网单位和个人在网络上的重要标识，便于他人识别和检索，更好地实现网络上的资源共享。

域名服务器(Domain Name Server，DNS)是进行域名与对应的IP地址转换的服务器。互联网上的数据传输实际上是不同IP地址之间进行的。用户通过计算机等上网设备上网时，用户的上网设备被分配一个IP地址(该IP地址绝大部分情况下是动态的)。当用户通过上网设备上网访问某个网站时，需要在浏览器中输入该网站的域名，并通过域名服务器解析该域名，得到对应的网站的IP地址，以便通过该IP地址访问对应的网站服务器上的页面内容。

由于互联网是开放的网络环境，互联网在给人们生活和工作带来便利的同时，也给用户的信息安全造成了威胁。网络用户在浏览一些非法网站或从不安全的站点下载软件程序时，往往会将一些恶意程序或病毒带入自己的电脑，甚至会盗取用户的账号或密码等敏感信息。

针对上述现有域名服务器对所有的域名请求直接进行解析导致网络安全性不高的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种域名请求处理方法和装置，以至少解决现有域名服务器对所有的域名请求直接进行解析导致网络安全性不高的技术问题。

根据本发明实施例的一个方面，提供了一种域名请求处理方法，包括：域名服务器获取域名访问请求，其中，域名访问请求用于访问预定域名；域名服务器判断预定域名是否被预先配置在黑名单中；如果判断结果为是，域名服务器则向域名访问请求的来源返回预先配置的预定网络地址；如果判断结果为否，则域名服务器向来源返回解析得到的预定域名对应的网络地址，其中，预定网络地址指向的页面中包括提示预定域名被限制访问的信息。

根据本发明实施例的另一方面，还提供了一种域名请求处理装置，包括：第一获取单元，用于获取域名访问请求，其中，域名访问请求用于访问预定域名；第一判断单元，用于判断预定域名是否被预先配置在黑名单中；执行单元，用于如果判断结果为是，则向域名访问请求的来源返回预先配置的预定网络地址；如果判断结果为否，则向来源返回解析得到的预定域名对应的网络地址，其中，预定网络地址指向的页面中包括提示预定域名被限制访问的信息。

根据本发明实施例的另一方面，还提供了一种存储介质，存储介质包括存储的程序，其中，程序执行上述的域名请求处理方法。

根据本发明实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述的域名请求处理方法。

在本发明实施例中，通过域名服务器获取域名访问请求，其中，域名访问请求用于访问预定域名；域名服务器判断预定域名是否被预先配置在黑名单中；如果判断结果为是，域名服务器则向域名访问请求的来源返回预先配置的预定网络地址；如果判断结果为否，则域名服务器向来源返回解析得到的预定域名对应的网络地址，其中，预定网络地址指向的页面中包括提示预定域名被限制访问的信息，达到了域名服务器对请求访问的域名进行限制访问的目的，从而实现了提高网络安全的技术效果，进而解决了现有域名服务器对所有的域名请求直接进行解析导致网络安全性不高的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种域名请求处理方法流程图；

图2是根据本发明实施例的一种可选的域名请求处理方法流程图；

图3是根据本发明实施例的一种可选的域名请求处理方法流程图；以及

图4是根据本发明实施例的一种域名请求处理置示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

根据本发明实施例，提供了一种域名请求处理方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种域名请求处理方法流程图，如图1所示，该方法包括如下步骤：

步骤S102，域名服务器获取域名访问请求，其中，域名访问请求用于访问预定域名；

步骤S104，域名服务器判断预定域名是否被预先配置在黑名单中；

步骤S106，如果判断结果为是，域名服务器则向域名访问请求的来源返回预先配置的预定网络地址；如果判断结果为否，则域名服务器向来源返回解析得到的预定域名对应的网络地址，其中，预定网络地址指向的页面中包括提示预定域名被限制访问的信息。

作为一种可选的实施例，上述域名访问请求可以是指访问某个网站的预定域名的请求；上述预定网络地址可以是预先为该预定域名配置的IP地址，该IP地址不是真正的与该预定域名对应的IP地址，即不是由域名服务器解析出的与该预定域名对应的IP地址，一种可选的实施方式中，该预定网络地址指向的页面可以用于提示用户该预定域名被限制访问的信息；上述黑名单可以是域名黑名单，也可以是IP地址黑名单，其中，域名黑名单中包含一个或多个被限制的域名；IP地址黑名单中包含一个或多个被限制的域名对应的IP地址。

基于上述步骤S102至S106公开的方案，当域名服务器接收到用于访问预定域名的域名访问请求后，首先判断该域名访问请求所请求访问的域名(或请求访问的域名对应的IP地址)是否被配置在黑名单中，如果该域名访问请求所请求访问的域名(或请求访问的域名对应的IP地址)在黑名单中，则该域名服务器不会直接对该域名访问请求所请求访问的域名进行解析，而是返回一个预先配置的与该域名对应的IP地址，该IP地址指向的页面用于提示用户该预定域名被限制访问；反之，如果该域名访问请求所请求访问的域名(或请求访问的域名对应的IP地址)不在黑名单中，则该域名服务器直接对该域名访问请求所请求访问的域名进行解析，得到正确的IP地址，以使得该域名访问请求访问到该预定域名对应的网站。

需要说明的是，上述域名服务器可以包括但不限于主域名服务器、辅助域名服务器、缓存域名服务器和转发域名服务器等，用于将域名访问请求访问的预定域名转换为对应的IP地址，其中，主域名服务器是指负责一个区域的所有域名信息的服务器；辅助域名服务器是指当主域名服务器出现故障、关闭或负载过重的情况下，作为主域名服务器的备份提供域名解析服务的服务器；缓存域名服务器是指从某个远程服务器取得每次域名服务器的查询回答，一旦取得一个答案就放在高速缓存中，以便查询相同的域名的时候，直接从高速缓存中获取对应的解析结果；转发域名服务器是指负责非本地域名的本地查询，在接收到域名查询请求后，首先在其缓存中查找，如果查找不到，则将查询请求依次转发到指定的域名服务器，直到查找结果。

由上可知，在本申请上述实施例中，通过在域名服务器中配置黑名单(可以是域名黑名单，也可以是IP地址黑名单)，在域名服务器接收到域名访问请求后，不直接对域名访问请求当前请求访问的预定域名进行解析，而是判断域名访问请求当前请求访问的预定域名是否在预先配置的黑名单中，在域名访问请求当前请求访问的预定域名在预先配置的黑名单的情况下，返回预先配置的网络地址；在域名访问请求当前请求访问的预定域名未在预先配置的黑名单的情况下，域名服务器对该预定域名进行解析，返回正确的网络地址。

通过上述实施例公开的方案，达到了域名服务器对请求访问的域名进行限制访问的目的，从而实现了提高网络安全的技术效果，进而解决了现有域名服务器对所有的域名请求直接进行解析导致网络安全性不高的技术问题。

在一种可选的实施例中，如图2所示，在域名服务器获取域名访问请求之前，上述方法还可以包括如下步骤：

步骤S202，域名服务器接收安全服务器上报的域名，其中，安全服务器用于判断域名指向的内容是否携带威胁信息；

步骤S204，域名服务器将接收到的域名配置在黑名单中。

作为一种可选的实施例，上述安全服务器可以是与域名服务器连接的第三方服务器，该安全服务器可以用于判断任意一个域名指向的页面内容中是否携带有威胁信息，如果域名指向的页面内容中携带有威胁信息，则将该域名上报给域名服务器，以便域名服务器将接收到的域名配置在黑名单中，以防止其他用户访问该域名对应的页面。

通过上述实施例，将安全服务器确定的携带有威胁信息的域名配置在域名服务器的黑名单中，可以阻止任意用户访问该域名的请求，保障了网络用户的上网安全，即使有些网络用户的上网设备上没有安装杀毒软件，也不会访问到携带有威胁信息的网站，实现了将携带有威胁信息的页面完全隔离的目的。

可选地，基于上述实施例，作为一种可选的实施方式，在上述步骤S204之后，上述方法还可以包括如下步骤：

步骤S206，域名服务器在接收到管理员的从黑名单中删除域名的操作之后，将被删除的域名发送给安全服务器，安全服务器将域名放置在白名单中，白名单中的域名不会被上报给域名服务器。

具体地，在上述实施方式中，当域名服务器接收到管理员从域名服务器的黑名单中删除域名的操作后，可以将删除的域名发送给安全服务器，以便安全服务器将该域名放置在安全服务器的白名单中，由于白名单中的域名不会上报该域名服务器，因而，即使安全服务器判断域名指向的页面内容中携带有威胁信息，也不会将该域名上报给域名服务器。

通过上述实施例，可以减少安全服务器向域名服务器误报的概率。

可选地，基于上述实施例，作为另一种可选的实施方式，在上述步骤S204之后，上述方法还可以包括如下步骤：

步骤S208，域名服务器将配置在黑名单中的域名发送给安全服务器，并且，域名服务器将接收到的来自安全服务器的域名中没有被配置在黑名单的域名发送给安全服务器。

具体地，在上述实施方式中，当域名服务器将接收来自安全服务器上报的域名后，可以将配置在黑名单中的域名以及没有配置在黑名单中的域名都发送给安全服务器，以便安全服务器可以获知哪些域名已经配置在域名服务器中，哪些域名没有配置在域名服务器中。

通过上述实施例，可以避免安全服务器向域名服务器重复上报域名的目的。

在一种可选的实施例中，如图3所示，上述方法还可以包括如下步骤：

步骤S302，安全服务器接收多个终端设备上报的多个可疑域名；

步骤S304，安全服务器分别获取多个可疑域名指向的内容；

步骤S306，安全服务器对内容进行分别判断；

步骤S308，安全服务器将确定包括威胁信息的内容对应的域名上报给域名服务器。

具体地，在上述实施例中，上述终端设备可以是网络用户上网的设备，包括但不限于手机、平板电脑、笔记本电脑和计算机等；上述可疑域名可以是携带有威胁信息的域名；网络用户可以通过上述终端设备向安全服务器上报一个或多个可疑域名，安全服务器根据终端设备上报的可疑域名，判断每个可疑域名指向的页面内容中是否携带有威胁信息，以便将携带有威胁信息的页面对应的域名上报给域名服务器。

通过上述实施例，实现了网络用户主动向域名服务器上报携带有威胁信息的域名的目的。

可选地，另一种可选的实施例中，上述方法还可以包括如下步骤：安全服务器对黑名单中的域名对应的内容进行机器学习的训练得到模型，安全服务器使用该模型来识别哪些内容为安全的。

具体地，在上述实施例中，安全服务器可以对域名服务服务器黑名单中的域名进行机器学习，以训练得到用于识别页面内容是否安全的模型，以便安全服务器根据该模型来确定域名指向的页面内容是否安全，将不安全的页面内容对应的域名上报给域名服务器。

基于上述实施例，作为一种可选的实施方式，该模型的接口还可以开放给终端设备的浏览器使用，浏览器在访问预定内容的时候，通过安全服务器可以对该内容是否安全进行识别，通过浏览器提示给用户。

具体地，在上述实施方式中，将安全服务器对域名服务器黑名单中域名进行训练得到的用于识别页面内容是否安全的模型的接口开放给任意一个终端设备的浏览器汇总，以便用户通过该浏览器访问预定内容(例如，某个网站)的时候，通过安全服务器对该预定内容进行识别，通过浏览器向用户提示该预定内容是否安全的信息。

根据本发明实施例，还提供了一种用于实现上述域名请求处理方法的装置实施例，图4是根据本发明实施例的一种域名请求处理置示意图，如图4所示，该装置包括：第一获取单元401、第一判断单元403和执行单元405。

其中，第一获取单元401，用于获取域名访问请求，其中，域名访问请求用于访问预定域名；

第一判断单元403，用于判断预定域名是否被预先配置在黑名单中；

执行单元405，用于如果判断结果为是，则向域名访问请求的来源返回预先配置的预定网络地址；如果判断结果为否，则向来源返回解析得到的预定域名对应的网络地址，其中，预定网络地址指向的页面中包括提示预定域名被限制访问的信息。

此处需要说明的是，上述第一获取单元401、第一判断单元403和执行单元405，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述方法实施例所公开的内容。需要说明的是，上述模块作为装置的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。

由上可知，在本申请上述实施例中，预先在域名服务器中配置黑名单(可以是域名黑名单，也可以是IP地址黑名单)，通过第一获取单元401获取域名访问请求，通过第一判断单元403判断域名访问请求当前请求访问的预定域名是否在预先配置的黑名单中，通过执行单元405在域名访问请求当前请求访问的预定域名在预先配置的黑名单的情况下，返回预先配置的网络地址；在域名访问请求当前请求访问的预定域名未在预先配置的黑名单的情况下，域名服务器对该预定域名进行解析，返回正确的网络地址。

通过上述实施例公开的方案，达到了域名服务器对请求访问的域名进行限制访问的目的，从而实现了提高网络安全的技术效果，进而解决了现有域名服务器对所有的域名请求直接进行解析导致网络安全性不高的技术问题。

在一种可选的实施例中，上述装置还包括：第一接收单元，用于接收安全服务器上报的域名，其中，安全服务器用于判断域名指向的内容是否携带威胁信息；配置单元，用于将接收到的域名配置在黑名单中。

在一种可选的实施例中，上述装置还包括：第二接收单元，用于通过安全服务器接收多个终端设备上报的多个可疑域名；第二获取单元，用于通过安全服务器分别获取多个可疑域名指向的内容；第二判断单元，用于通过安全服务器对内容进行分别判断；上报单元，用于通过安全服务器将确定包括威胁信息的内容对应的域名上报给域名服务器。

在一种可选的实施例中，上述装置还包括：发送单元，用于将配置在黑名单中的域名发送给安全服务器，并且，将接收到的来自安全服务器的域名中没有被配置在黑名单的域名发送给安全服务器。

根据本发明实施例，还提供了一种存储介质，存储介质包括存储的程序，其中，程序执行上述任意一项可选的或优选的域名请求处理方法。

根据本发明实施例，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述任意一项可选的或优选的域名请求处理方法。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。