域名解析系統(tǒng)dns的安全性識別方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域���,特別是一種域名解析系統(tǒng)DNS的安全性識別方法和
目.ο
【背景技術(shù)】
[0002]DNS全稱Domain Name System,即域名解析系統(tǒng),是一種把域名解析成IP(Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)地址的服務(wù)����。黑客通過把計算機、路由器或其他設(shè)備上的DNS設(shè)置篡改為惡意DNS�,就可以把正常網(wǎng)址解析到釣魚網(wǎng)站或受黑客控制的主機上,以騙取用戶錢財或竊取隱私等���。
[0003]目前識別一個DNS是否為惡意DNS����,主要是判斷這個DNS是否存在域名劫持行為��。這就需要使用一個或多個域名進行查詢�,然后把查詢結(jié)果與預(yù)期結(jié)果進行比對,判斷是否有劫持嫌疑�。假設(shè)要識別一個DNS (其IP地址為Q)是否劫持了域名D,首先到該DNS上請求域名D的解析信息��,這時會返回域名D對應(yīng)的解析結(jié)果,把返回的解析結(jié)果與域名D合法解析信息進行比對���,判斷是否一致。如果不一致的話����,那么該DNS上可能存在劫持域名D的情況。這種方法的前提是���,必須事先知道域名D的各項信息��,比如有哪些合法的A記錄(用來指定主機名或域名對應(yīng)的IP地址記錄)或CNAME(別名記錄)等�。但是�,這個條件不容易滿足,比如對于那些使用了⑶N(Content Delivery Network,內(nèi)容分發(fā)網(wǎng)絡(luò))加速的大型網(wǎng)站���,針對一個域名返回的合法解析信息經(jīng)常會有變動��,因此目前的這種識別方法不易實施��。
[0004]綜上所述�����,亟需提供一種有效且易于實施的識別DNS的安全性的方案����,從而有效遏制黑客通過篡改DNS給網(wǎng)絡(luò)帶來的安全風(fēng)險,給用戶提供一個安全的網(wǎng)絡(luò)環(huán)境��。
【發(fā)明內(nèi)容】
[0005]鑒于上述問題��,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的域名解析系統(tǒng)DNS的安全性識別方法和相應(yīng)的裝置�。
[0006]依據(jù)本發(fā)明的一個方面,提供了一種域名解析系統(tǒng)DNS的安全性識別方法����,包括:獲取網(wǎng)絡(luò)上各終端設(shè)備的IP地址與其被配置的DNS之間的映射關(guān)系;對于每一個DNS���,獲取根據(jù)所述映射關(guān)系確定的該DNS對應(yīng)的一個或多個IP地址的歸屬地�,并統(tǒng)計出各歸屬地的終端設(shè)備的數(shù)量�����;根據(jù)預(yù)設(shè)的安全性策略對統(tǒng)計出的該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量進行處理�����,并根據(jù)處理結(jié)果識別出該DNS的安全性。
[0007]可選地����,所述各終端設(shè)備的IP地址是指各終端設(shè)備的公網(wǎng)出口 IP地址。
[0008]可選地,所述DNS是指本地Local DNS��。
[0009]可選地��,所述IP地址的歸屬地是指IP地址所屬的地區(qū)和運營商����。
[0010]可選地��,根據(jù)處理結(jié)果識別出該DNS的安全性�,進一步包括:將處理結(jié)果與所述安全性策略的判斷規(guī)則進行比較,識別出該DNS的安全性����。
[0011]可選地,根據(jù)預(yù)設(shè)的安全性策略對統(tǒng)計出的該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量進行處理���,進一步包括:根據(jù)統(tǒng)計出的該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量���,計算該DNS對應(yīng)的歸屬地的分散度,其中,所述分散度用于衡量該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量分布情況���;
[0012]將處理結(jié)果與所述安全性策略的判斷規(guī)則進行比較���,識別出該DNS的安全性,進一步包括:判斷計算的分散度是否大于第一預(yù)設(shè)閾值����;若是,則確定該DNS不安全��;若否�����,則確定該DNS安全����。
[0013]可選地,根據(jù)統(tǒng)計出的該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量��,計算該DNS對應(yīng)的歸屬地的分散度��,包括:將該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量作為一個數(shù)據(jù)集的數(shù)據(jù)元素�;確定至少從該數(shù)據(jù)集中取出的數(shù)據(jù)元素的個數(shù)�,以使取出的數(shù)據(jù)元素的總和大于或等于該數(shù)據(jù)集中所有數(shù)據(jù)元素的總和與第二預(yù)設(shè)閾值的乘積�����,其中�,所述第二預(yù)設(shè)閾值的取值范圍為(0,100%);將確定的個數(shù)作為該DNS對應(yīng)的歸屬地的分散度�����。
[0014]可選地�����,所述第二預(yù)設(shè)閾值的取值范圍為[80%�����,90% ]�����。
[0015]可選地����,若所述第二預(yù)設(shè)閾值為80%,所述第一預(yù)設(shè)閾值為2�����。
[0016]可選地�����,根據(jù)預(yù)設(shè)的安全性策略對統(tǒng)計出的該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量進行處理���,進一步包括:確定該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量中終端設(shè)備的數(shù)量最多的歸屬地���;
[0017]將處理結(jié)果與所述安全性策略的判斷規(guī)則進行比較,識別出該DNS的安全性�����,進一步包括:獲取該DNS的IP地址的歸屬地�����,判斷確定的歸屬地與獲取的該DNS的IP地址的歸屬地是否相同�;若相同,則確定該DNS安全����;若不相同����,則確定該DNS不安全�����。
[0018]依據(jù)本發(fā)明的另一個方面���,還提供了一種域名解析系統(tǒng)DNS的安全性識別裝置��,包括:
[0019]獲取模塊����,適于獲取網(wǎng)絡(luò)上各終端設(shè)備的IP地址與其被配置的DNS之間的映射關(guān)系;
[0020]統(tǒng)計模塊����,適于對于每一個DNS����,獲取根據(jù)所述映射關(guān)系確定的該DNS對應(yīng)的一個或多個IP地址的歸屬地,并統(tǒng)計出各歸屬地的終端設(shè)備的數(shù)量����;
[0021]識別模塊���,適于根據(jù)預(yù)設(shè)的安全性策略對統(tǒng)計出的該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量進行處理,并根據(jù)處理結(jié)果識別出該DNS的安全性�����。
[0022]可選地��,所述各終端設(shè)備的IP地址是指各終端設(shè)備的公網(wǎng)出口 IP地址�����。
[0023]可選地,所述DNS是指本地Local DNS��。
[0024]可選地���,所述IP地址的歸屬地是指IP地址所屬的地區(qū)和運營商�。
[0025]可選地�,所述識別模塊還適于:將處理結(jié)果與所述安全性策略的判斷規(guī)則進行比較,識別出該DNS的安全性��。
[0026]可選地��,所述識別模塊還適于:根據(jù)統(tǒng)計出的該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量,計算該DNS對應(yīng)的歸屬地的分散度���,其中�,所述分散度用于衡量該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量分布情況�;判斷計算的分散度是否大于第一預(yù)設(shè)閾值;若是�����,則確定該DNS不安全��;若否����,則確定該DNS安全。
[0027]可選地���,所述識別模塊還適于:將該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量作為一個數(shù)據(jù)集的數(shù)據(jù)元素�;確定至少從該數(shù)據(jù)集中取出的數(shù)據(jù)元素的個數(shù)�����,以使取出的數(shù)據(jù)元素的總和大于或等于該數(shù)據(jù)集中所有數(shù)據(jù)元素的總和與第二預(yù)設(shè)閾值的乘積����,其中,所述第二預(yù)設(shè)閾值的取值范圍為(0�,100% );將確定的個數(shù)作為該DNS對應(yīng)的歸屬地的分散度。
[0028]可選地����,所述第二預(yù)設(shè)閾值的取值范圍為[80%,90% ]����。
[0029]可選地,若所述第二預(yù)設(shè)閾值為80%�����,所述第一預(yù)設(shè)閾值為2����。
[0030]可選地,所述識別模塊還適于:確定該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量中終端設(shè)備的數(shù)量最多的歸屬地���;獲取該DNS的IP地址的歸屬地����,判斷確定的歸屬地與獲取的該DNS的IP地址的歸屬地是否相同;若相同��,則確定該DNS安全�;若不相同,則確定該DNS不安全�����。
[0031]依據(jù)本發(fā)明提供的技術(shù)方案���,可以通過各種途徑方便���、快捷地獲取網(wǎng)絡(luò)上各終端設(shè)備的IP地址、以及被配置的DNS�,進而對于每一個DNS,可以基于該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量來識別該DNS的安全性���,從而解決相關(guān)技術(shù)中提供的識別方法不易實施的問題����。并且�����,一般而言�,一個不安全DNS (即黑DNS,也稱惡意DNS或存在劫持行為的DNS)的終端設(shè)備的IP地址的歸屬地分布較分散�,而一個安全DNS的終端設(shè)備的IP地址的歸屬地分布較集中,本發(fā)明基于DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量來識別該DNS的安全性�,能夠準確、客觀地反映該DNS是否安全���。綜上����,本發(fā)明提供了一種有效且易于實施的識別DNS的安全性的方案�����,且得到的識別結(jié)果更加準確��、客觀�����。
[0032]上述說明僅是本發(fā)明技術(shù)方案的概述�,為了能夠更清楚了解本發(fā)明的技術(shù)手段���,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的���、特征和優(yōu)點能夠更明顯易懂���,以下特舉本發(fā)明的【具體實施方式】。
[0033]根據(jù)下文結(jié)合附圖對本發(fā)明具體實施例的詳細描述�����,本領(lǐng)域技術(shù)人員將會更加明了本發(fā)明的上述以及其他目的����、優(yōu)點和特征。
【附圖說明】
[0034]通過閱讀下文優(yōu)選實施方式的詳細描述���,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了�。附圖僅用于示出優(yōu)選實施方式的目的��,而并不認為是對本發(fā)明的限制�����。而且在整個附圖中,用相同的參考符號表示相同的部件��。在附圖中:
[0035]圖1示出了根據(jù)本發(fā)明一個實施例的DNS的安全性識別方法的流程圖�;以及
[0036]圖2示出了根據(jù)本發(fā)明一個實施例的DNS的安全性識別裝置的結(jié)構(gòu)示意圖�。
【具體實施方式】
[0037]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例�����,然而應(yīng)當(dāng)理解��,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制��。相反����,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達給本領(lǐng)域的技術(shù)人員�����。
[0038]為解決上述技術(shù)問題��,本發(fā)明實施例提供了一種域名解析系統(tǒng)(DNS)的安全性識別方法���,圖1示出了根據(jù)本發(fā)明一個實施例的DNS的安全性識別方法的流程圖����。如圖1所示,該方法至少包括以下步驟S102至步驟S106����。
[0039]步驟S102、獲取網(wǎng)絡(luò)上各終端設(shè)備的IP地址與其被配置的DNS之間的映射關(guān)系��。
[0040]步驟S104�����、對于每一個DNS����,獲取根據(jù)映射關(guān)系確定的該DNS對應(yīng)的一個或多個IP地址的歸屬地,并統(tǒng)計出各歸屬地的終端設(shè)備的數(shù)量�。
[0041]步驟S106、根據(jù)預(yù)設(shè)的安全性策略對統(tǒng)計出的該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量進行處理���,并根據(jù)處理結(jié)果識別出該DNS的安全性���。
[0042]依據(jù)本發(fā)明提供的技術(shù)方案��,可以通過各種途徑方便��、快捷地獲取網(wǎng)絡(luò)上各終端設(shè)備的IP地址��、以及被配置的DNS�,進而對于每一個DNS�,可以基于該DNS對應(yīng)的各歸屬地的終端設(shè)備的數(shù)量來識別該DNS的安全性��,從而解決相關(guān)技術(shù)中提供的識別方法不易實施的問題�。并且,一般而言���,一個不安全DNS (即黑DNS��,也稱惡意DNS或存在劫持行為的DNS)的終端設(shè)備的IP地址的歸屬地分布較分