一种域名劫持识别方法、装置及系统与流程

文档序号：16686596发布日期：2019-01-22 18:22阅读：124来源：国知局

本发明涉及互联网通信技术领域，尤其涉及一种域名劫持识别方法、装置及系统。

背景技术：

随着互联网的发展和普及，终端设备的网络接入方式也得到了丰富和不断改进，如二代移动网络、3g、4g移动网络和无线网络wifi等等。但是网络通信过程中常常遇到各种互联网攻击，其中，包括域名劫持，域名劫持是通过攻击dns(domainnamesystem，域名系统)服务器，或伪造dns的方法，把目标网站域名解析到错误的地址而达到无法访问目标网站的目的。

域名劫持一方面会影响用户的上网体验，用户被引到假冒的网站进而无法正常浏览目标网页；另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露用户隐私数据。尤其对于用户量较大的网站，域名被劫持后恶劣影响会不断扩大。因此，需要提供一种可靠有效的域名劫持识别方案，以保证网络通信安全。

技术实现要素：

本发明提供了一种域名劫持识别方法、装置及系统，可以有效识别域名劫持现象，提升网络通信安全。

第一方面，本发明提供了一种域名劫持识别方法，所述方法包括：

接收客户端发送的待检测网络所对应的域名服务器的网络协议ip地址；

查询域名劫持ip地址库中是否存在所述待检测网络所对应的域名服务器的ip地址，所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

当查询的结果为是时，确定所述待检测网络存在域名劫持；

当查询的结果为否时，向所述客户端发送域名劫持识别指令，以使所述客户端响应于所述域名劫持识别指令执行域名劫持识别操作，所述客户端基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。

第二方面提供了一种域名劫持识别装置，所述装置包括：

网络协议地址接收模块，用于接收客户端发送的待检测网络所对应的域名服务器的网络协议ip地址；

数据查询模块，用于查询域名劫持ip地址库中是否存在所述待检测网络所对应的域名服务器的ip地址，所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

第一域名劫持确定模块，用于当所述数据查询模块查询的结果为是时，确定所述待检测网络存在域名劫持；

域名劫持识别指令发送模块，用于当所述数据查询模块查询的结果为否时，向所述客户端发送域名劫持识别指令，以使所述客户端响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。

第三方面提供了一种域名劫持识别服务器，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的域名劫持识别方法。

第四方面，本发明提供了一种域名劫持识别方法，所述方法包括：

向服务器发送待检测网络所对应的域名服务器的网络协议ip地址；

在服务器查询到域名劫持ip地址库中不存在所述待检测网络所对应的域名服务器的ip地址时，接收服务器发送的域名劫持识别指令；所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。

第五方面提供了一种域名劫持识别装置，所述装置包括：

第一网络协议地址发送模块，用于向服务器发送待检测网络所对应的域名服务器的网络协议ip地址；

域名劫持识别指令接收模块，用于在服务器查询到域名劫持ip地址库中不存在所述待检测网络所对应的域名服务器的ip地址时，接收发送的域名劫持识别指令；所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

第三域名劫持确定模块，用于响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。

第六方面提供了一种域名劫持识别客户端，所述客户端包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第四方面所述的域名劫持识别方法。

第七方面，本发明提供了一种域名劫持识别方法，所述方法包括：

向服务器发送待检测网络所对应的域名服务器的网络协议ip地址；

在服务器查询到域名劫持ip地址库中不存在所述待检测网络所对应的域名服务器的ip地址时，接收发送的网站签名证书获取请求；所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

向服务器发送访问第二网站获取到的第一签名证书和所述第二网站的域名，以使所述服务器基于所述第二网站的域名访问所述第二网站，得到所述第二网站的第二签名证书，基于所述第一签名证书与所述第二签名证书是否一致确定所述待检测网络是否存在域名劫持；

其中，当所述第一签名证书与所述第二签名证书不一致时，确定所述待检测网络存在域名劫持。

第八方面提供了一种域名劫持识别装置，所述装置包括：

第二网络协议地址发送模块，用于向服务器发送待检测网络所对应的域名服务器的网络协议ip地址；

证书获取请求接收模块，用于在服务器查询到域名劫持ip地址库中不存在所述待检测网络所对应的域名服务器的ip地址时，接收服务器发送的网站签名证书获取请求；所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

数据发送模块，用于向服务器发送访问第二网站获取到的第一签名证书和所述第二网站的域名，以使所述服务器基于所述第二网站的域名访问所述第二网站，得到所述第二网站的第二签名证书，基于所述第一签名证书与所述第二签名证书是否一致确定所述待检测网络是否存在域名劫持；

其中，当所述第一签名证书与所述第二签名证书不一致时，确定所述待检测网络存在域名劫持。

第九方面提供了一种域名劫持识别客户端，所述客户端包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第七方面所述的域名劫持识别方法。

第十方面提供了一种域名劫持识别系统，所述系统包括：客户端和服务器；

所述客户端用于将待检测网络所对应的域名服务器的ip地址发送给服务器；以及用于响应于服务器发送的域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持；

所述服务器用于查询域名劫持ip地址库中是否存在所述待检测网络所对应的域名服务器的ip地址，所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；以及，当查询的结果为是时，用于确定所述待检测网络存在域名劫持；以及，当查询的结果为否时，用于向所述客户端发送域名劫持识别指令。

第十一方面提供了一种域名劫持识别系统，所述系统包括：客户端和服务器；

所述客户端用于将待检测网络所对应的域名服务器的ip地址发送给服务器；以及用于向服务器发送访问第二网站获取到的第一签名证书和所述第二网站的域名；

所述服务器用于查询域名劫持ip地址库中是否存在所述待检测网络所对应的域名服务器的ip地址，所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；以及，当查询的结果为是时，用于确定所述待检测网络存在域名劫持；以及，当查询的结果为否时，用于向所述客户端发送网站签名证书获取请求；以及用于基于所述第二网站的域名访问所述第二网站，得到所述第二网站的第二签名证书，基于所述第一签名证书与所述第二签名证书是否一致确定所述待检测网络是否存在域名劫持；

其中，当所述第一签名证书与所述第二签名证书不一致时，确定所述待检测网络存在域名劫持。

本发明提供的域名劫持识别方法、装置及系统，具有如下技术效果：

本发明能够实现服务器与客户端共同进行域名劫持现象的识别，提高网络通信中的域名劫持现象的识别率，避免用户的敏感信息泄露、财产被盗等风险，提升网络通信安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本发明实施例提供的一种服务系统的示意图；

图2是本发明实施例提供的一种域名劫持识别方法的流程示意图；

图3是本发明实施例提供的另一种域名劫持识别方法的流程示意图；

图4是本发明实施例提供的另一种域名劫持识别方法的流程示意图；

图5是本发明实施例提供的另一种域名劫持识别方法的流程示意图；

图6是本发明实施例提供的一种域名劫持识别方法的流程示意图；

图7是本发明实施例提供的一种域名劫持识别方法的流程示意图；

图8是本发明实施例提供的另一种域名劫持识别方法的流程示意图；

图9是本发明实施例提供的一种域名劫持识别装置的结构示意图；

图10是本发明实施例提供的另一种域名劫持识别装置的结构示意图；

图11是本发明实施例提供的另一种域名劫持识别装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

请参阅图1，图1是本发明实施例提供的一种服务系统的示意图，如图1所示，该服务系统可以包括客户端01和服务器02。

具体的，客户端01可以包括智能手机、台式电脑、平板电脑、笔记本电脑、数字助理、智能可穿戴设备等类型的实体设备，也可以包括运行于实体设备中的软体，例如一些服务商提供给用户的网页页面，也可以为该些服务商提供给用户的应用。

具体的，本说明书实施例中，所述服务器02可以包括一个独立运行的服务器，或者分布式服务器，或者由多个服务器组成的服务器集群。服务器02可以包括有网络通信单元、处理器和存储器等等。具体的，所述服务器02可以为上述客户端提供后台服务。

在实际应用中，客户端01和服务器02之间可以通过网络进行通信，客户端01和服务器02之间可以先建立网络连接。在网络连接建立之后，客户端01和服务器02之间可以进行通信。在网络通信过程中，客户端自身无法从本地缓存完成从域名至ip(internetprotocol，网络协议)地址的转换时，客户端可以从所在终端配置的网络参数中获取本地域名服务器地址，然后，将域名发送给本地域名服务器去解析以获取对应的ip地址。

上述通过域名服务器进行域名解析的过程中，当域名服务器被劫持时，用户获取到虚假的ip地址，常常会造成用户的敏感信息泄露、财产被盗等风险。本说明书实施例中，为了保证用户的安全网络通信，避免用户的敏感信息泄露、财产被盗等风险，可以对域名劫持进行有效的识别。

以下介绍本发明一种域名劫持识别方法的具体实施例，图2是本发明实施例提供的一种域名劫持识别方法的流程示意图，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示，所述方法可以包括：

s201：客户端将待检测网络所对应的域名服务器的ip地址发送给服务器。

本说明书实施例中，所述待检测网络可以包括所述客户端与所述服务器之间进行网络通信所采用的网络。客户端可以从所在终端配置的网络参数中获取本地的域名服务器地址；相应的，本说明书实施例中，客户端可以将待检测网络所对应的域名服务器的ip地址发送给服务器。

s203：服务器查询域名劫持ip地址库中是否存在所述待检测网络所对应的域名服务器的ip地址，所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址。

本说明书实施例中，服务器侧可以维护一个域名劫持ip地址库，所述域名劫持ip地址库可以包括历史域名劫持事件中被劫持的域名服务器的ip地址。具体的，所述历史域名劫持事件可以为服务器所在系统发生过的域名劫持事件，也可以包括其他系统发生过的域名劫持事件。

具体的，在服务器接收到待检测网络所对应的域名服务器的ip地址后，可以查询域名劫持ip地址库中是否存在所述待检测网络所对应的域名服务器的ip地址。

s205：当查询的结果为是时，服务器确定所述待检测网络存在域名劫持。

本说明书实施例中，当步骤s203查询到域名劫持ip地址库中存在所述待检测网络所对应的域名服务器的ip地址时，可以确定所述待检测网络存在域名劫持。

s207：当查询的结果为否时，服务器向所述客户端发送域名劫持识别指令。

本说明书实施例中，所述域名劫持指令可以为服务器向客户端发送的客户端执行域名劫持识别的触发指令。

具体的，所述域名劫持识别指令可以包括：预设虚假域名。本说明书实施例中，所述预设虚假域名可以为按照一定规则设置的不存在的域名；相应的，所述域名劫持指令可以为基于是否正常访问预设虚假域名所对应的网站来进行域名劫持识别的触发指令。

具体的，所述域名劫持识别指令可以包括：预设访问网站的域名和验证信息；所述预设访问网站可以包括任意真实存在的网站，所述验证信息可以包括所述预设访问网站的真实访问信息。相应的，所述域名劫持指令可以为基于访问所述预设访问网站返回的访问信息是否与验证信息一致来进行域名劫持识别的触发指令。

具体的，所述域名劫持识别指令可以包括：网络协议重定向指令；具体的，所述网络协议重定向指令可以包括：当客户端访问的网站采用https(hypertexttransferprotocoloversecuresocketlayer，网络协议)进行网络通信时，即该网站需要以https访问时，通过http(hypertexttransferprotocol，超文本传输协议)访问该网站，基于访问过程中是否重定向到https方式访问来进行域名劫持识别的触发指令。

s209：客户端响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。

本说明书实施例中，步骤s203查询的结果为否时，即查询到域名劫持ip地址库中不存在所述待检测网络所对应的域名服务器的ip地址。相应的，可以结合客户端侧的域名劫持识别操作来检测待检测网络是否存在域名劫持风险。

在一个具体的实施例中，当所述域名劫持识别指令包括预设虚假域名时，所述客户端响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持包括：

客户端响应于包括所述预设虚假域名的域名劫持识别指令，检测是否正常访问所述预设虚假域名所对应的网站；

当检测出正常访问所述预设虚假域名所对应的网站时，所述客户端确定所述待检测网络存在域名劫持。

本说明书实施例中域名劫持识别操作可以包括访问所述预设虚假域名所对应的网站。相应的，当客户端可以访问该不存在的预设虚假域名所对应的网站时，可以确定待检测网络存在域名劫持，相应的，可以断开客户端侧的待检测网络。

另外，需要说明的是，本说明书实施例中，所述预设虚假域名可以通过云控下发给客户端。

在另一个具体的实施例中，当所述域名劫持识别指令可以包括预设访问网站的域名和验证信息时，

所述客户端响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持包括：

客户端响应于包括所述预设访问网站的域名和所述验证信息的域名劫持识别指令，根据所述预设访问网站的域名访问所述预设访问网站，并检测所述预设访问网站返回的访问信息与所述验证信息是否一致；

其中，当检测出所述预设访问网站返回的访问信息与所述验证信息不一致时，所述客户端确定所述待检测网络存在域名劫持。

本说明书实施例中，所述域名劫持识别操作可以包括根据所述预设访问网站的域名访问所述预设访问网站。然后，根据所述预设访问网站返回的访问信息与所述验证信息是否一致来确定所述待检测网络是否存在域名劫持；当所述预设访问网站返回的访问信息与所述验证信息一致时，可以确定待检测网络存在域名劫持。

另外，需要说明的是，本说明书实施例中，所述预设访问网站的域名和验证信息可以通过云控下发给客户端。

在另一具体的实施例中，当所述域名劫持识别指令可以包括网络协议重定向指令时，所述响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持包括：

响应于所述待检测网络中的客户端发送网络协议重定向指令，判断访问的第一网站是否以网络协议https进行访问；

当判断的结果为是时，通过超文本传输协议http方式访问所述第一网站，检测访问过程中是否重定向到https方式访问；

其中，当检测出访问过程中未重定向到https方式访问时，确定所述待检测网络存在域名劫持。

本说明书实施例中，所述第一网站可以包括客户端在所述待检测网络中访问的任一以https方式访问网站。所述域名劫持识别操作可以包括通过http(方式访问采用https进行网络通信的网站。然后，根据访问过程中是否重定向到https方式访问确定所述待检测网络是否存在域名劫持。在实际应用中，对于通过网络协议https进行访问的网站，通过http方式访问该网站过程中往往可以重定向到https方式访问，相应的，当访问过程中未重定向到https方式访问时，可以确定待检测网络存在域名劫持。

在一些实施例中，如图3所示，当服务器确定所述待检测网络存在域名劫持之后，所述方法还可以包括：

s211：服务器向所述客户端发送域名劫持提示信息。

本说明书实施例中，在服务器确定所述待检测网络存在域名劫持后，所述服务器可以向所述客户端发送域名劫持提示信息，以便后续用户可以断开客户端侧的所述待检测网络。

由以上本说明书实施例提供的技术方案可见，本说明书实施例中，通过在服务器中维护一个域名劫持ip地址库，在接收到客户端发送的待检测网络所对应的域名服务器的ip地址后，可以通过查询域名劫持ip地址库中是否存在该待检测网络所对应的域名服务器的ip地址的方式来进行服务器侧的域名劫持识别；相应的，当在域名劫持ip地址库中查询到该待检测网络所对应的域名服务器的ip地址时，可以确定检测网络存在域名劫持；当在域名劫持ip地址库中未查询到该待检测网络所对应的域名服务器的ip地址时，服务器可以向客户端发送域名劫持识别指令，然后，客户端响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。利用本说明书实施例提供的技术方案可以实现服务器与客户端共同进行域名劫持现象的识别，提高网络通信中的域名劫持现象的识别率，避免用户的敏感信息泄露、财产被盗等风险，提升网络通信安全。

以下介绍本发明另一种域名劫持识别方法的具体实施例，图4是本发明实施例提供的另一种域名劫持识别方法的流程示意图，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图4所示，所述方法可以包括：

s401：客户端将待检测网络所对应的域名服务器的ip地址发送给服务器。

s403：服务器查询域名劫持ip地址库中是否存在所述待检测网络所对应的域名服务器的ip地址。

具体的，所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址。

s405：当查询的结果为是时，服务器确定所述待检测网络存在域名劫持。

s407：当查询的结果为否时，服务器向所述客户端发送网站签名证书获取请求。

s409：客户端将访问第二网站获取到的第一签名证书和所述第二网站的域名发送至所述服务器。

本说明书实施例中，所述第二网站可以包括客户端在所述待检测网络中访问的任一网站。在实际应用中，所述第一签名证书可以包括客户端访问某一网站获取到的网站的签名证书，还可以包括客户端访问某一网站获取到的网站的签名证书进行加密处理后的签名证书；具体的，这里加密处理所采用的方式可以为服务器与客户端约定好的加密方式，以使服务器可以进行解密，得到原始的签名证书。具体的，所述加密处理可以包括但不限于采用消息摘要算法md5(message-digestalgorithm)进行加密处理。

s411：服务器基于所述第二网站的域名访问所述第二网站，得到所述第二网站的第二签名证书。

本说明书实施例中，所述第二签名证书可以为服务器基于所述第二网站的域名访问所述第二网站，得到的所述第二网站的签名证书。具体的，服务器可以根据所述第二网站的域名确定所述第二网站的ip地址，进而实现访问所述第二网站。

s413：服务器判断所述第一签名证书与所述第二签名证书是否一致。

s415：当判断的结果为否时，服务器确定所述待检测网络存在域名劫持。

在实际应用中，若当前的待检测网络所对应的域名服务器未遭遇域名劫持，客户端和服务器从域名服务器获取的同一域名的ip地址是相同；反之，若当前的待检测网络所对应的域名服务器遭遇域名劫持，客户端和服务器从域名服务器获取的同一域名的ip地址可以为不同的ip地址，相应的，访问从域名服务器得到的ip地址所对应网站后获取的签名证书不一致。

在一些实施例中，如图5所示，在确定所述待检测网络存在域名劫持之后，所述方法还可以包括：

s417：服务器向所述客户端发送域名劫持提示信息。

由以上本说明书实施例提供的技术方案可见，本说明书实施例中，通过在服务器中维护一个域名劫持ip地址库，在接收到客户端发送的待检测网络所对应的域名服务器的ip地址后，可以通过查询域名劫持ip地址库中是否存在该待检测网络所对应的域名服务器的ip地址的方式来进行服务器侧的域名劫持识别；相应的，当在域名劫持ip地址库中查询到该待检测网络所对应的域名服务器的ip地址时，可以确定检测网络存在域名劫持；当在域名劫持ip地址库中未查询到该待检测网络所对应的域名服务器的ip地址时，服务器可以向客户端发送网站签名证书获取请求；然后，客户端将访问网站获取到的第一签名证书和访问的网站的域名发送至所述服务器，服务器基于所述网站的域名访问所述网站，得到所述网站的第二签名证书；接着，通过判断所述第一签名证书与所述第二签名证书是否一致的方式来进行服务器侧的域名劫持识别；当判断的结果为否时，服务器可以确定所述待检测网络存在域名劫持。利用本说明书实施例提供的技术方案可以实现服务器与客户端共同进行域名劫持现象的识别，提高网络通信中的域名劫持现象的识别率，提升网络通信安全。

以下以服务器为执行主体介绍本说明书一种域名劫持识别方法的具体实施例，图6是本发明实施例提供的一种域名劫持识别方法的流程示意图，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图6所示，所述方法可以包括：

s601：接收客户端发送的待检测网络所对应的域名服务器的网络协议ip地址。

s603：查询域名劫持ip地址库中是否存在所述待检测网络所对应的域名服务器的ip地址，所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

s605：当查询的结果为是时，确定所述待检测网络存在域名劫持；

s607：当查询的结果为否时，向所述客户端发送域名劫持识别指令，以使所述客户端响应于所述域名劫持识别指令执行域名劫持识别操作，所述客户端基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。

本发明实施例还提供了一种域名劫持识别服务器，该域名劫持识别服务器包括处理器和存储器，该存储器中存储有至少一条指令、至少一段程序、代码集或指令集，该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现如上述方法实施例所提供的域名劫持识别方法。

以下以客户端为执行主体介绍本说明书一种域名劫持识别方法的具体实施例，图7是本发明实施例提供的一种域名劫持识别方法的流程示意图，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图7所示，所述方法可以包括：

s701：向服务器发送待检测网络所对应的域名服务器的ip地址。

s703：在服务器查询到域名劫持ip地址库中不存在所述待检测网络所对应的域名服务器的ip地址时，接收服务器发送的域名劫持识别指令；所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

s705：响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。

本发明实施例还提供了一种域名劫持识别客户端，该域名劫持识别客户端包括处理器和存储器，该存储器中存储有至少一条指令、至少一段程序、代码集或指令集，该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现如上述方法实施例所提供的域名劫持识别方法。

以下以客户端为执行主体介绍本说明书另一种域名劫持识别方法的具体实施例，图8是本发明实施例提供的一种域名劫持识别方法的流程示意图，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图8所示，所述方法可以包括：

s801：向服务器发送待检测网络所对应的域名服务器的网络协议ip地址；

s803：在服务器查询到域名劫持ip地址库中不存在所述待检测网络所对应的域名服务器的ip地址时，接收服务器发送的网站签名证书获取请求；所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

s805：向服务器发送访问第二网站获取到的第一签名证书和所述第二网站的域名，以使所述服务器基于所述第二网站的域名访问所述第二网站，得到所述第二网站的第二签名证书，基于所述第一签名证书与所述第二签名证书是否一致确定所述待检测网络是否存在域名劫持；

其中，当所述第一签名证书与所述第二签名证书不一致时，确定所述待检测网络存在域名劫持。

本说明书实施例中，所述存储器可用于存储软件程序以及模块，处理器通过运行存储在存储器的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、功能所需的应用程序等；存储数据区可存储根据所述设备的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器还可以包括存储器控制器，以提供处理器对存储器的访问。

本发明实施例还提供了一种域名劫持识别装置，如图9所示，所述装置包括：

网络协议地址接收模块910，可以用于接收客户端发送的待检测网络所对应的域名服务器的网络协议ip地址；

数据查询模块920，可以用于查询域名劫持ip地址库中是否存在所述待检测网络所对应的域名服务器的ip地址，所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

第一域名劫持确定模块930，可以用于当所述数据查询模块查询的结果为是时，确定所述待检测网络存在域名劫持；

域名劫持识别指令发送模块940，可以用于当所述数据查询模块查询的结果为否时，向所述客户端发送域名劫持识别指令，以使所述客户端响应于所述域名劫持识别指令执行域名劫持识别操作，所述客户端基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。

另一实施例中，所述域名劫持识别指令可以包括：预设虚假域名；

相应的，所述向所述客户端发送域名劫持识别指令，以使所述客户端响应于所述域名劫持识别指令执行域名劫持识别操作，所述客户端基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持包括：

向所述客户端发送包括预设虚假域名的域名劫持识别指令，以使所述客户端根据是否正常访问所述预设虚假域名所对应的网站来确定所述待检测网络是否存在域名劫持；

其中，当客户端正常访问所述预设虚假域名所对应的网站时，确定所述待检测网络存在域名劫持。

另一实施例中，所述域名劫持识别指令可以包括：预设访问网站的域名和验证信息；

相应的，所述向所述客户端发送域名劫持识别指令，以使所述客户端响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持包括：

向所述客户端发送包括预设访问网站的域名和验证信息的域名劫持识别指令，以使所述客户端根据所述预设访问网站的域名访问所述预设访问网站，并根据所述预设访问网站返回的访问信息与所述验证信息是否一致来确定所述待检测网络是否存在域名劫持；

其中，当所述预设访问网站返回的访问信息与所述验证信息不一致时，确定所述待检测网络存在域名劫持。

另一实施例中，所述域名劫持识别指令可以包括：网络协议重定向指令；

向所述待检测网络中的客户端发送网络协议重定向指令，以使所述客户端响应于所述网络协议重定向指令，在判断出访问的第一网站是以网络协议https进行访问时，通过超文本传输协议http方式访问所述第一网站，根据访问过程中是否重定向到https方式访问确定所述待检测网络是否存在域名劫持；

其中，当访问过程中未重定向到https方式访问时，确定所述待检测网络存在域名劫持。

另一实施例中，所述装置还可以包括：

证书获取请求模块，用于当所述数据查询模块查询的结果为否时，向所述客户端发送网站签名证书获取请求；

数据接收模块，用于接收所述客户端发送的访问第二网站获取到的第一签名证书和所述第二网站的域名；

证书获取模块，用于基于所述第二网站的域名访问所述第二网站，得到所述第二网站的第二签名证书；

判断模块，用于判断所述第一签名证书与所述第二签名证书是否一致；

第二域名劫持确定模块，用于当所述判断模块判断的结果为否时，确定所述待检测网络存在域名劫持。

所述的装置实施例中的装置与方法实施例基于同样地发明构思。

本发明实施例还提供了另一种域名劫持识别装置，如图10所示，所述装置包括：

第一网络协议地址发送模块1010，可以用于向服务器发送待检测网络所对应的域名服务器的网络协议ip地址；

域名劫持识别指令接收模块1020，可以用于在服务器查询到域名劫持ip地址库中不存在所述待检测网络所对应的域名服务器的ip地址时，接收服务器发送的域名劫持识别指令；所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

第三域名劫持确定模块1030，可以用于响应于所述域名劫持识别指令执行域名劫持识别操作，基于所述域名劫持识别操作的结果确定所述待检测网络是否存在域名劫持。

另一实施例中，所述域名劫持识别指令可以包括：预设虚假域名；

相应的，所述第三域名劫持确定模块1030可以包括：

第一域名劫持确定单元，用于响应于包括所述预设虚假域名的域名劫持识别指令，检测是否正常访问所述预设虚假域名所对应的网站；

其中，当检测出正常访问所述预设虚假域名所对应的网站时，确定所述待检测网络存在域名劫持。

另一实施例中，所述域名劫持识别指令可以包括：预设访问网站的域名和验证信息；

相应的，所述第三域名劫持确定模块1030可以包括：

第二域名劫持确定单元，用于响应于包括所述预设访问网站的域名和所述验证信息的域名劫持识别指令，根据所述预设访问网站的域名访问所述预设访问网站，并检测所述预设访问网站返回的访问信息与所述验证信息是否一致；

其中，当检测出所述预设访问网站返回的访问信息与所述验证信息不一致时，确定所述待检测网络存在域名劫持。

另一实施例中，所述域名劫持识别指令可以包括：网络协议重定向指令；

相应的，所述第三域名劫持确定模块1030可以包括：

第三域名劫持确定单元，用于响应于所述待检测网络中的客户端发送网络协议重定向指令，判断访问的第一网站是否以网络协议https进行访问；当判断的结果为是时，通过超文本传输协议http方式访问所述第一网站，检测访问过程中是否重定向到https方式访问；

其中，当检测出访问过程中未重定向到https方式访问时，确定所述待检测网络存在域名劫持。

所述的装置实施例中的装置与方法实施例基于同样地发明构思。

本发明实施例还提供了另一种域名劫持识别装置，如图11所示，所述装置包括：

第二网络协议地址发送模块1110，可以用于向服务器发送待检测网络所对应的域名服务器的网络协议ip地址；

证书获取请求接收模块1120，可以用于在服务器查询到域名劫持ip地址库中不存在所述待检测网络所对应的域名服务器的ip地址时，接收服务器发送的网站签名证书获取请求；所述域名劫持ip地址库包括历史域名劫持事件中被劫持的域名服务器的ip地址；

数据发送模块1130，可以用于向服务器发送访问第二网站获取到的第一签名证书和所述第二网站的域名，以使所述服务器基于所述第二网站的域名访问所述第二网站，得到所述第二网站的第二签名证书，基于所述第一签名证书与所述第二签名证书是否一致确定所述待检测网络是否存在域名劫持；

其中，当所述第一签名证书与所述第二签名证书不一致时，确定所述待检测网络存在域名劫持。

所述的装置实施例中的装置与方法实施例基于同样地发明构思。

本发明的实施例还提供了一种存储介质，所述存储介质可设置于服务器之中以保存用于实现方法实施例中一种域名劫持识别方法相关的至少一条指令、至少一段程序、代码集或指令集，该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述方法实施例提供的域名劫持识别方法。

本发明的实施例还提供了一种存储介质，所述存储介质可设置于客户端之中以保存用于实现方法实施例中一种域名劫持识别方法相关的至少一条指令、至少一段程序、代码集或指令集，该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述方法实施例提供的域名劫持识别方法。

可选地，在本实施例中，上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

本发明还提供了一种域名劫持识别系统，所述系统包括：客户端和服务器；

其中，当所述第一签名证书与所述第二签名证书不一致时，确定所述待检测网络存在域名劫持。

由上述本发明提供的域名劫持识别方法、装置、服务器、客户端或系统的实施例可见，本发明能够实现服务器与客户端共同进行域名劫持现象的识别，提高网络通信中的域名劫持现象的识别率，避免用户的敏感信息泄露、财产被盗等风险，提升网络通信安全。

需要说明的是：上述本发明实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、服务器、客户端和系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：江沛合
技术所有人：腾讯科技（深圳）有限公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。