一种网络安全处理方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及计算机网络安全技术领域,尤其涉及一种网络安全处理方法、装置及系统。
【背景技术】
[0002]DNS (Domain Name System,域名系统),是指在Internet上,域名与IP地址之间是一一对应的,基于IP地址与域名的对应关系,可以通过访问请求中的域名找到对应的站点的IP地址,域名解析需要由专门的域名解析系统来完成,DNS就是进行域名解析的系统。
[0003]DNS劫持,又称域名劫持,通过修改用户的DNS,改变用户业务原有的域名指向,将用户引导到劫持者指定的IP地址,从而改变业务希望呈现在用户面前的信息,降低用户体验,使业务和用户的利益都受到损失。DNS劫持的手段是通过将路由器原有的正常DNS修改为特定的恶意DNS实现。
[0004]目前对一个DNS修改是否为恶意的判断主要依靠人工收集用户反馈,当用户上网体验出现异常时,反向查找发现是原因是DNS被修改,再通过人工验证,确定该DNS为恶意。
[0005]现有技术的缺陷在于,对DNS的识别发生在用户上网体验出现异常之后,并且识别周期较长,从一个恶意DNS出现到有用户反馈,往往需要经历一个很长的过程。
【发明内容】
[0006]本发明实施例所要解决的技术问题在于,提供一种网络安全处理方法、装置及系统,可及时、快捷地对DNS的修改事件进行检测以确保用户的网络安全。
[0007]为了解决上述技术问题,本发明实施例提供了一种网络安全处理方法,包括:
[0008]客户端在检测到客户端路由器的域名系统DNS修改事件时,获取该修改事件对应的修改链接信息和所访问的站点链接信息,并发送给服务器;
[0009]所述服务器从所述修改链接信息中提取出访问站点标识,并根据所述访问的站点链接信息获取该访问的站点所在的目标DNS标识;
[0010]所述服务器根据所述访问站点标识和所述目标DNS标识,检测确定对所述客户端路由器的DNS修改事件的合法性。
[0011]本发明实施例还提供了另一种网络安全处理方法,包括:
[0012]接收客户端的修改链接信息和访问的站点链接信息;
[0013]从所述站点链接信息中提取出访问站点标识,并根据所述修改链接信息获取该修改链接对应站点所在的目标DNS标识;
[0014]根据所述访问站点标识和所述目标DNS标识,检测确定对所述客户端路由器的DNS修改事件的合法性;
[0015]所述修改链接信息和访问的站点链接信息是所述客户端在检测到客户端路由器的域名系统DNS的修改事件时获取并发送的。
[0016]本发明实施例的还提供了再一种网络安全处理方法,包括:
[0017]在访问网络站点的过程中,检测本端路由器的域名系统DNS的修改事件;
[0018]当检测到DNS的修改事件时,获取该修改事件对应的修改链接信息和所访问的站点链接信息;
[0019]将获取的修改链接信息和所访问的站点链接信息发送给服务器。
[0020]相应地,本发明实施例的还提供了一种网络安全处理装置,包括:
[0021]接收模块,用于接收客户端的修改链接信息和访问的站点链接信息,所述修改链接信息和访问的站点链接信息是所述客户端在检测到客户端路由器的域名系统DNS的修改事件时获取并发送的;
[0022]处理模块,用于从所述站点链接信息中提取出访问站点标识,并根据所述修改链接信息获取该修改链接对应站点所在的目标DNS标识;
[0023]检测模块,用于根据所述访问站点标识和所述目标DNS标识,检测确定对所述客户端路由器的DNS修改事件的合法性。
[0024]本发明实施例还提供了另一种网络安全处理装置,包括:
[0025]事件检测模块,用于在访问网络站点的过程中,检测本端路由器的域名系统DNS的修改事件;
[0026]获取模块,用于当检测到DNS的修改事件时,获取该修改事件对应的修改链接信息和所访问的站点链接信息;
[0027]发送模块,用于将获取的修改链接信息和所访问的站点链接信息发送给服务器。
[0028]相应地,本发明实施例的还提供了一种网络安全处理系统,包括:客户端和服务器,其中,
[0029]所述客户端,用于在检测到客户端路由器的域名系统DNS修改事件时,获取该修改事件对应的修改链接信息和所访问的站点链接信息,并发送给所述服务器;
[0030]所述服务器,用于从所述修改链接信息中提取出访问站点标识,并根据所述访问的站点链接信息获取该访问的站点所在的目标DNS标识;并根据所述访问站点标识和所述目标DNS标识,检测确定对所述客户端路由器的DNS修改事件的合法性。
[0031]本发明实施例通过客户端在产生DNS修改事件时采集修改链接信息和所访问的站点链接信息,由服务器基于修改链接信息和所访问的站点链接信息来检测对所述客户端路由器的DNS修改事件的合法性,从而能够较为及时、全面地确定非法的DNS修改事件,确定可疑的DNS,在一定程度上确保了网络安全。
【附图说明】
[0032]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0033]图1是本发明实施例的一种网络安全处理方法的流程示意图;
[0034]图2是本发明实施例的另一种网络安全处理方法的流程示意图;
[0035]图3是本发明实施例的又一种网络安全处理方法的流程示意图;
[0036]图4是本发明实施例的再一种网络安全处理方法的流程示意图;
[0037]图5是本发明实施例的一种网络安全处理装置的结构示意图;
[0038]图6是本发明实施例的一种服务器的结构示意图;
[0039]图7是本发明实施例的另一种网络安全处理装置;
[0040]图8是本发明实施例的一种用户终端的结构示意图;
[0041]图9是本发明实施例的一种网络安全处理系统的结构示意图。
【具体实施方式】
[0042]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0043]请参见图1,是本发明实施例的一种网络安全处理方法的流程示意图,本发明实施例的所述方法可应用在客户端与各类型的网络安全监控的服务器之间,具体的,所述方法包括:
[0044]SlOl:客户端在检测到客户端路由器的域名系统DNS修改事件时,获取该修改事件对应的修改链接信息和所访问的站点链接信息,并发送给服务器。
[0045]客户端对网络中某些网络站点的访问,是通过DNS (Domain Name System,域名系统)服务器执行域名到IP地址的转换过程后实现的。在正常情况下,对于一些已经出现问题的DNS服务器,相关站点可以通过对客户端中DNS的修复来提高访问速度。对于DNS修改事件的检测,一种实现方式可以是客户端在检测到本端的DNS的IP地址被修改成异常的IP地址时,可以确定产生了路由器的DNS修改事件。
[0046]具体例如,某用户访问站点www.XX.com即所访问的站点链接信息(以下简称A), A跳转到 http://192.168.1.l/hello?dns_server=114.114.114.114 即修改链接信息(以下简称B),那么B的referer就包括A。客户端会对用户访问的所有URL都进行检测,检测其是不是本地IP地址访问(比如192.168开头),当客户端对B进行检测时,发现是192.168开头的URL,认为这可能是一次DNS修改事件。
[0047]在检测到修改事件后,客户端即可获取发起