一种基于HTTP探测信息的DNS监测方法、设备及存储介质与流程

一种基于http探测信息的dns监测方法、设备及存储介质
技术领域
1.本发明涉及网络监测技术域，尤其是涉及一种基于http探测信息的dns监测方法、设备及存储介质。


背景技术：

2.域名系统dns（domain name system）是网络连接中的重要一环，作为可以将域名和ip地址相互映射的一个分布式数据库，是因特网的一项核心服务，作为将域名和ip地址相互映射的一个分布式数据库，能够使人更方便地访问互联网在网络安全建设过程中，预防dns攻击成为不可忽视的一个重要节点。dns攻击的原理为利用dns将网络用户引导到恶意网站并将它们纳入攻击的节点，主要包括通过修改本地host文件重定向路径到指定地址、对user的dns查询进行欺骗攻击、在同一局域网下对dns服务器的dns的查询进行欺骗攻击与在不同局域网下对dns服务器的dns查询进行欺骗攻击等方式。
3.为了有效防范dns攻击，当本服务器存在web服务时，需要在本服务器的dns层实时监测对应的访问服务器的域名，在形成恶意连接之前将威胁扼杀在摇篮里，或协助连接各个节点以确定攻击类型和源头，帮助连接各个节点确定攻击所用基础设置的类型和源头。
4.cdn（content delivery network）是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率，传统对dns的监控方式为采用白名单机制，该方式的白名单固定，当服务器运营商调整服务器负载通过cdn服务器将不同服务器的ip地址修改时，较容易被认为是域名对应的ip地址被修改导致产生误报，特别是当访问服务器的操作或请求较多时，因此而产生的误报也同步较多，容易影响工作效率，甚至有可能因为误报而造成后续的误操作。


技术实现要素：

5.为了改善产生误报对工作效率的影响的问题，本技术提供一种基于http探测信息的dns监测方法、设备及存储介质。
6.本技术提供的一种基于http探测信息的dns监测方法采用如下的技术方案：一种基于http探测信息的dns监测方法，包括：基于待监测web网站的域名获取对应的ip地址；判断所述ip地址是否处于白名单内；若是，确定所述ip地址未被篡改；若否，采取http复验判断所述web网站是否被修改；若是，发送域名修改告警；若否，将所述ip地址加入所述白名单。
7.通过采用上述技术方案：对web网站进行实时监测过程中，通过待监测web网站的域名获取访问服务器的ip地址，判断判断ip地址是否处于白名单内，若ip地址不处于白名
单内，采取http复验判断web网站是否被修改，若是，发送域名修改告警，从而对用户进行提醒，使用户能得知自己的域名对应ip地址已被恶意修改，使用户能及时作出调整，若否，则表示ip地址的修改是服务器提供商进行的修改，将被修改后的ip地址加入白名单，减少因服务器提供商对ip地址的修改产生的误报，降低对工作效率的影响。
8.可选的，所述基于待监测web网站的域名获取对应的ip地址包括：获取待监测web网站的域名；获取域名解析服务器的所述ip地址；所述域名解析服务器将所述web网站的域名解析为对应所述ip地址。
9.通过采用上述技术方案，获取待监测web网站的域名，获取域名解析服务器的ip地址，使能进入至域名解析服务器中，将待监测web网站的域名发送至域名解析服务器内，域名解析服务器将对应web网站域名的ip地址进行解析并将解析出的ip地址返回。
10.可选的，所述采取http复验判断所述web网站是否被修改包括：保存所述域名对应的原始网页的html静态数据；通过http请求获取所述域名对应的实时网页的html静态数据；将所述原始网页的html静态数据与所述实时网页的html静态数据进行对比；基于对比结果判断所述web网站是否被修改。
11.通过采用上述技术方案，保存域名对应的原始网页的html静态数据，通过http请求获取域名对应的实时网页的html静态数据，将原始网页的html静态数据与实时网页的html静态数据进行对比，若对比原始网页的html静态数据与实时网页的html静态数据之间相似度很大，则说明实时网页只是在原有网页上做了一些修改，证明ip地址没有被篡改，若原始网页的html静态数据与实时网页的html静态数据之间的差别很大，则可表明域名对应的ip地址被人恶意修改，指向了不同的web网站。
12.可选的，所述基于对比结果判断所述web网站是否被修改具体为：分别解析并保存所述原始网页的静态dom树与所述实时网页的静态dom树；将所述原始网页的静态dom树与所述实时网页的静态dom树进行对比，获得对比相似度值；根据对比相似度值判断所述web网站是否被修改。
13.通过采用上述技术方案，由于网页为实时变化的，所以为了将原始网页与实时网页进行对比，需将原始网页的静态dom树与实时网页的静态dom树之间进行对比，通过对比产生的相似度值来对原始网页与实时网页进行对比判断，相似度值较大时即可认为实时网页是在原始网页上经过修改与版本替换来的，相似度较小时则可认为原始网页不是对应实时网页的前置版本。
14.可选的，所述根据对比相似度值判断所述web网站是否被修改包括：设置对比策略阈值；将所述策略阈值与所述对比相似度值进行比较；根据所述策略阈值与所述对比相似度值之间的比较结果判断是否发出域名修改告警。
15.通过采用上述技术方案，将策略阈值与对比相似度进行比较，根据策略阈值与对比相似度之间的比较结果判断是否发出域名修改告警，对应不同的用户需求可灵活对策略
阈值进行设置，使能对不同的策略阈值进行修改。
16.可选的，所述根据所述策略阈值与所述对比相似度值之间的比较结果判断是否发出域名修改告警包括：若所述对比相似度值大于或等于所述策略阈值则表示web网站域名处于安全状态；若所述对比相似度值小于所述策略阈值则发出域名修改告警。
17.通过采用上述技术方案，当策略阈值大于相似度值时代表对应域名的实时web网站修改的范围过大，即域名对应实时网页与原始网页不同，代表ip地址已经被修改，当策略阈值小于或等于相似度值时，代表对应域名的实时网页由原始网页迭代而来，即对应的ip地址未被篡改。
18.可选的，所述分别解析并保存所述原始网页的静态dom树与所述实时网页的静态dom树包括：分别对所述web网站对应的所述原始网页与所述实时网页发起http请求；分别获取所述原始网页的html静态页面数据与所述实时网页的静态页面数据并保存；抽离所述原始网页的html静态页面数据的标签与所述实时网页的静态页面数据的标签获得所述原始网页的静态dom树与所述实时网页的静态dom树。
19.通过采用上述技术方案，分别抽取原始网页的html静态页面数据与实时网页的html静态页面数据并保存，将保存的html静态页面数据的标签进行抽离从而获得对应的静态dom树，减少标签内容对静态dom树之间的影响。
20.一种计算机设备，包括存储器、处理器及存储在处理器并可在处理器上运行的计算机程序，所述处理器执行所述程序时能实现一种基于http探测信息的dns监测方法的步骤。
21.通过采用上述技术方案，处理器内的计算机程序被执行时，实现一种基于http探测信息的dns监测方法，通过待监测web网站的域名获取访问服务器的ip地址，判断判断ip地址是否处于白名单内，若ip地址不处于白名单内，采取http复验判断web网站是否被修改，若是，发送域名修改告警，从而对用户进行提醒，使用户能得知自己的域名对应ip地址已被恶意修改，使用户能及时作出调整，若否，则表示ip地址的修改是服务器提供商进行的修改，将被修改后的ip地址加入白名单，减少因服务器提供商对ip地址的修改产生的误报，降低对工作效率的影响。
22.一种计算机存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现一种基于http探测信息的dns监测方法的步骤。
23.通过采用上述技术方案，计算机程序被执行时，实现一种基于http探测信息的dns监测方法，通过待监测web网站的域名获取访问服务器的ip地址，判断判断ip地址是否处于白名单内，若ip地址不处于白名单内，采取http复验判断web网站是否被修改，若是，发送域名修改告警，从而对用户进行提醒，使用户能得知自己的域名对应ip地址已被恶意修改，使用户能及时作出调整，若否，则表示ip地址的修改是服务器提供商进行的修改，将被修改后的ip地址加入白名单，减少因服务器提供商对ip地址的修改产生的误报，降低对工作效率的影响。
24.综上所述，本技术包括以下至少一种有益技术效果：1.当监测到ip地址被修改但web网站对应的实时网页并未被修改时，将修改后的ip地址加入白名单，当监测到域名对应的的web网站被修改时能对用户进行告警，使用户能及时进行修改；2.通过http请求将对应的获取实时网页的html静态数据，并将实时网页的html静态数据与原始网页的html静态数据进行对比，验证ip地址改变后web网站是否发生改变；3.解析原始网页的html静态数据与实时网页的html静态数据分别获得对应的dom树，通过对比原始网页的静态dom树与实时网页的静态dom树获得相似度值，将相似度值与策略阈值进行比较，小于策略阈值的即代表实时网页不是原始网页迭代而来，对应域名的ip地址被篡改。
附图说明
25.图1是本技术其中一实施例的基于http探测信息的dns监测方法的流程示意图；图2是本技术其中一实施例的基于待监测web网站的域名获取访问服务器的ip地址的流程示意图；图3是本技术其中一实施例的采取http复验判断web网站是否被修改的流程示意图；图4是本技术其中一实施例的基于对比结果判断web网站是否被修改的流程示意图；图5是本技术其中一实施例的根据对比相似度值判断web网站是否被修改的流程示意图。
具体实施方式
26.以下结合附图对本技术作进一步详细说明。
27.本技术实施例公开一种基于http探测信息的dns监测方法。参照图1，该方法包括：s1000、基于待监测web网站的域名获取对应的ip地址。
28.其中，将对应待监测web网站的域名输入第三方服务，第三方服务通过域名获取待监测web网站的ip地址，并将对应的ip地址回传，使能获取对应web网站域名的ip地址，域名解析中包含有a记录，a记录为记录指定域名对应的ip地址记录，用户可将该域名下的网站服务器指向到自己的网络服务器web server上，也可设置域名的子域名，即一个ip地址可以对应多个域名，每个域名只对应一个ip地址。
29.s2000、判断ip地址是否处于白名单内。
30.其中，原始白名单内预设有对应的ip地址列表，即白名单内设置有对应域名的a记录，白名单的ip地址可进行增减，白名单的ip地址列表由用户自行设置，当服务器提供商的内容分发网络cdn的地址发生改变时，导致新的域名对应的ip地址与a记录上的域名与ip地址之间的对应关系改变，此时通过监测判断这种改变是服务器提供商做出的cdn改变还是黑客进行恶意修改；其中内容分发网络cdn的基本原理为广泛采用各种缓存服务器，将这些缓存服务器分布到用户访问相对集中的地区或网络中，在用户访问网站时，利用全局负载技术将用
户的访问指向距离最近的工作正常的缓存服务器上，由缓存服务器直接响应用户请求。
31.s3000、若是，确定ip地址未被篡改。
32.其中，确定ip地址未被篡改包括两种情况，情况一：网站的ip地址始终对应白名单内的唯一地址，未进行修改；情况二：由于cdn服务器变更或者基于高可用因素的主备或灰度升级等对白名单的设置，白名单内存在有大于一个的对应网站的ip地址作为预备ip地址，当网站ip地址指向白名单内不同于当前地址的预备ip地址时，也可确定ip地址未被篡改。
33.s4000、若否，采取http复验判断web网站是否被修改。
34.其中，当判断结果为否时，代表域名对应的ip地址发生改变，即代表a记录发生改变，此时还不能确定是由cdn地址发生改变导致域名指向的ip地址改变，还是由黑客恶意进行dns劫持，将域名对应的ip地址进行修改，导致由该域名进入的服务器为黑客修改后的ip地址对应的服务器，此时需要采用http网页进行复验，验证改变ip地址后域名对应web网站本身是否发生改变。
35.s5000、若是，发送域名修改告警。
36.其中，若采用http验证后发现域名对应的web网站发生改变，即代表域名对应的服务器端发生改变，域名被劫持，ip地址遭到恶意修改，需及时向用户发送修改告警，警示域名被劫持、ip地址被修改、域名对应的web网站发生改变，通常的告警方式为电话、网络或邮件告警等形式，及时将恶意劫持的消息发送给用户。
37.s6000、若否，将ip地址加入白名单。
38.其中，当采用http验证验证web网站并未发生改变时，认定为cdn地址改变导致a记录发生改变，为了减少每次对该web网站进行监控均产生误报，将域名对应的新的ip地址加入白名单，减少误报的产生，降低对工作效率的影响。
39.本技术实施例一种基于http探测信息的dns监测方法的实施原理为：对web网站进行实时监测过程中，通过待监测web网站的域名获取访问服务器的ip地址，判断判断ip地址是否处于白名单内，若ip地址不处于白名单内，采取http复验判断web网站是否被修改，若是，发送域名修改告警，从而对用户进行提醒，使用户能得知自己的域名对应ip地址已被恶意修改，使用户能及时作出调整，若否，则表示ip地址的修改是服务器提供商进行的修改，将被修改后的ip地址加入白名单，减少因服务器提供商对ip地址的修改产生的误报，降低对工作效率的影响。
40.参照图2、在图1实施例的步骤s1000中，域名为已知状态，域名对应的ip地址处于未知是否被修改的状态，为了能获得对应域名的ip地址，基于待监测web网站的域名获取访问服务器的ip地址，包括如下步骤：s2100、获取待监测web网站的域名。
41.其中，待监测web网站均事先保存于对应的服务器中，当需进行监测时，将监测的对应的web网站的域名进行调用，同时域名也可进行增减，使对用户域名的调用较为方便。
42.s2200、获取域名解析服务器的ip地址。
43.其中，解析服务器为第三方服务器，解析服务器用于将域名解析为对应的ip地址。
44.s2300、域名解析服务器将web网站的域名解析为对应ip地址。
45.其中，通过域名解析服务器将web网站的域名进行解析，并将解析出的ip地址进行
回传，每一域名对应有唯一的ip地址。
46.本技术实施例基于待监测web网站的域名获取对应的ip地址的实施原理为：将域名传输至域名解析服务器，域名解析服务器将对应解析出的唯一ip地址进行回传，使能获得对应的web网站的ip地址。
47.参照图3、当域名对应的ip地址被修改时，需确定ip地址是被恶意修改还是因为服务器cdn网络改变导致a记录修改，当被恶意修改时会将域名对应的ip地址修改为对应不同的web网站，但如果是因为服务器cdn网络改变导致的a记录修改，对应的web网站还是处于完好状态，为了确定web网站是否被修改，采取http复验判断web网站是否被修改，包括如下步骤：s4100、保存域名对应的原始网页的html静态数据。
48.其中，原始网页的html静态数据为迭代保存，即每隔一段时间将保存的原始网页进行更新，尽量避免与实时网页的html数据差别过大。
49.s4200、通过http请求获取域名对应的实时网页的html静态数据。
50.其中，http请求是指从客户端到服务器端的请求消息，利用爬虫从服务端获取对应的实时网页的html静态数据。
51.s4300、将原始网页的html静态数据与实时网页的html静态数据进行对比。
52.其中，对比为对比静态数据之间的差别，而不是实时动态数据之间的差别。
53.s4400、基于对比结果判断web网站是否被修改。
54.其中，当将原始网页的html静态数据与实时网页的html静态数据进行对比时，由于原始网页与实时网页之间的版本差异较小，当进行对比时，如果实时网页的html静态数据为原始网页的html静态数据经过迭代产生，则差别较小，如果实时网页html静态数据不为原始网页的html静态数据迭代产生，则差别较大。
55.本技术实施例采取http复验判断web网站是否被修改的实施原理为：保存原始网页的静态html数据，并通过http请求获得实时网页的静态html数据，将原始网页的静态html数据与实时网页的静态html数据进行对比，从而通过原始网页的静态html数据与实时网页的静态html数据之间的差别得知实时网页是否由原始网页经过迭代生成的。
56.参照图4、通过html静态数据进行对比范围较为宽泛，在本实施例中可具体到通过静态数据中的什么结构来对html静态数据进行对比，即基于对比结果判断web网站是否被修改具体为：s4410、分别解析并保存原始网页的静态dom树与实时网页的静态dom树。
57.其中，分别将原始网页的静态html数据与实时网页的html静态html数据进行保存，并将保存后的数据html数据进行解析，得到原始网页对应的静态dom树与实时网页对应的静态dom树并分别进行保存。
58.分别解析并保存原始网页的静态dom树与实时网页的静态dom树包括：分别对web网站对应的原始网页与实时网页发起http请求；分别获取原始网页的html静态页面数据与实时网页的静态页面数据并保存；抽离原始网页的html静态页面数据的标签与实时网页的静态页面数据的标签获得原始网页的静态dom树与实时网页的静态dom树。
59.其中，文档对象模型dom（document object model）是一种树形的应用程序接口文
档，dom提供了对整个文档的访问模型，将文档作为一个树形结构，树的每个结点表示了一个html标签或标签内的文本项，dom模型不仅描述了文档的结构，还定义了结点对象的行为，利用对象的方法和属性，可以方便地访问、修改、添加和删除dom树的结点和内容，根据w3c的定义，dom树结点的属性包括标记名(node name)、结点类型(node type，取值为tag txt)、结点内容(data)、父结点对象集合(parent node)、子结点对象集合(firstchild，lastchild)、兄弟结点对象集合(previous sibling，nextsibling)等。dom树结点的这些属性给出了页面的基本内容和结构信息，但不能反映标签、属性以及内容等与主题的相关程度，因而缺乏主题提取所需的语义。
60.抽离html静态页面数据的标签为通过抽离算法，将html静态页面的标签抽离，减少html静态页面上标签内容对静态dom树的影响。
61.s4420、将原始网页的静态dom树与实时网页的静态dom树进行对比，获得对比相似度值。
62.其中，在本实施例中原始网页的静态dom树与实时网页的静态dom树之间进行对比获得的是对比相似度值，相似度值为通过具体的数值来描述相似的程度，在其他实施例中也可通过对比获得差异度，通过差异度进行描述，即为通过具体的数值来描述差异程度。
63.s4430、根据对比相似度值判断web网站是否被修改。
64.其中，当对比相似度值较小时，表示实时网页不为原始网页经过迭代生成，判断web网站被修改，当对比相似度值较大时，表示实时网页为原始网页经过迭代生成，判断web网站未被修改。
65.本技术实施例基于对比结果判断web网站是否被修改的实施原理为：通过设置一个具体的数值即对比相似度来对原始网页的静态dom树与实时网页的静态dom树之间的相似程度进行量化，当对比相似度值较小时，表示实时网页不为原始网页经过迭代生成，判断web网站被修改，当对比相似度值较大时，表示实时网页为原始网页经过迭代生成，判断web网站未被修改。
66.参照图5、为了将对比相似度值进行具体的对比，根据对比相似度值判断web网站是否被修改，包括如下步骤：s4431、设置对比策略阈值。
67.其中，策略阈值为对应不同的需求进行设置，当web网站的迭代速度较快时，策略阈值可进行较低的设置，例如可设置为60%，当web网站的迭代速度较慢时，策略阈值可进行较高的设置，例如可设置为90%。
68.s4432、将策略阈值与对比相似度值进行比较。
69.其中，通过两个数值之间进行比较，使对比结果更加直观。
70.s4433、根据策略阈值与对比相似度值之间的比较结果判断是否发出域名修改告警。
71.根据策略阈值与对比相似度值之间的比较结果判断是否发出域名修改告警包括：若对比相似度值大于或等于策略阈值则表示web网站域名处于安全状态；其中，当相似度值大于或等于策略阈值时表示web网站域名处于安全状态，处于代表ip地址的修改仅为cdn为了均衡服务器的负载将ip地址进行修改，此时通过更改a记录并将修改后的ip地址加入白名单内即可。
72.若对比相似度值小于策略阈值则发出域名修改告警。
73.本技术实施例根据对比相似度值判断web网站是否被修改的实施原理为：通过将策略阈值与对比相似度值进行对比，当相似度值大于或等于策略阈值时判断web网站未被修改，当相似度值小于策略阈值时判断web网站被修改，及时对用户进行告警。
74.一种计算机设备，包括存储器、处理器及存储在处理器并可在处理器上运行的计算机程序，处理器执行程序时能实现一种基于http探测信息的dns监测方法的步骤。
75.一种计算机存储介质，其上存储有计算机程序，计算机程序被处理器执行时，实现一种基于http探测信息的dns监测方法的步骤。
76.以上均为本技术的较佳实施例，并非依此限制本技术的保护范围，故：凡依本技术的结构、形状、原理所做的等效变化，均应涵盖于本技术的保护范围之内。