【技术实现步骤摘要】
一种DNS劫持的监测方法、装置及电子设备
[0001]本申请涉及网络安全
,尤其涉及一种DNS劫持的监测方法、装置及电子设备。
技术介绍
[0002]在网络安全领域中,有一种网络攻击的方式是DNS劫持,通过攻击DNS服务器,或伪造DNS服务器的方法,把目标网站域名解析到错误的IP地址,从而实现用户无法访问目标网站的目的或者恶意要求用户访问指定IP地址的目的。
[0003]目前,为了监测DNS劫持事件,采用的方法是检测引擎向指定单个DNS服务器发送一个DNS请求报文,DNS请求报文中包含了域名解析请求,检测引擎接收DNS服务器回复的一个DNS回复报文,检测引擎根据DNS回复报文获得一个IP地址,判断IP地址是否在预先设置的白名单中,若否,则存在DNS劫持。
[0004]由于是向单个DNS服务器发送DNS请求报文,所以进行检测时一个DNS请求报文只有一个IP地址,进行DNS劫持事件判断时,没有其他的IP地址进行参考,只能判断该IP地址是否在白名单中,若白名单中记录的域名的IP地址发生变更时,白名单在人为更新...
【技术保护点】
【技术特征摘要】
1.一种DNS劫持的监测方法,其特征在于,包括:接收N个DNS服务器根据DNS请求报文回复的N个DNS回复报文,确定出DNS回复报文对应的IP主体信息,其中,所述IP主体信息为DNS请求报文中请求访问的域名的特征信息,N为大于等于2的整数;在M个IP主体信息中确定出第一IP主体信息,将M个IP主体信息中除第一IP主体信息之外的IP主体信息作为第二IP主体信息,其中,所述M为小于等于N的整数;用第一预设规则计算出第一IP主体信息的疑似等级;用第二预设规则计算出第二IP主体信息的疑似等级。2.如权利要求1所述的方法,其特征在于,在M个IP主体信息中确定出第一IP主体信息之前,包括:将N个IP主体信息依次与白名单、黑名单中的IP主体信息进行匹配;将匹配一致的IP主体信息在N个IP主体信息中删除,得到M个IP主体信息,其中,白名单包含了正常的IP主体信息,黑名单包含了异常的IP主体信息。3.如权利要求1所述的方法,其特征在于,在M个主体信息中确定出第一IP主体信息,包括:将M个IP主体信息分为J个IP主体信息集合,读取每个集合中IP主体信息的数量值,获得J个数量值,其中,J为小于M且大于等于2的整数,IP主体信息集合中的IP主体信息相同;选出数量值最大对应的集合,将所述集合中的IP主体信息作为第一IP主体信息。4.如权利要求1所述的方法,其特征在于,在M个主体信息中确定出第一IP主体信息,包括:将M个IP主体信息与历史记录的IP主体信息进行匹配,将与历史记录的IP主体信息相同的IP主体信息作为第一IP主体信息。5.如权利要求1所述的方法,其特征在于,用第一预设规则计算出第一IP主体信息的疑似等级,包括:判断第一IP主体信息是否在疑似DNS劫持名单中;若是,则读取与第一IP主体信息相同的IP主体信息在DNS劫持名单中对应的第一疑似等级,将第一疑似等级带入第一预设规则中的第一算法中,计算出第一IP主体信息的疑似等级;若否,则用第一预设规则中的第二算法计算出第一IP主体信息的疑似等级。6.如权利要求1所述的方法,其特征在于,用第二预设规则计算出第二IP主体信息的疑似等级,包括:判断第二IP主体信息是否在疑似DNS劫持名单中;若是,则读取与第二IP主体信息相同的IP主体信息在DNS劫持名单中对应的第二疑似等级,将第二疑似...
【专利技术属性】
技术研发人员:喻学鹏,舒民,陈奇宇,徐俊杰,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。