(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111485567.9 (22)申请日 2021.12.07 (71)申请人 上海观安信息技 术股份有限公司 地址 200333 上海市浦东 新区泥城镇云端 路1412弄 15号二层1室 (72)发明人 刘鑫　夏玉明　 (74)专利代理 机构 合肥市浩智运专利代理事务 所(普通合伙) 34124 代理人 丁瑞瑞 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) H04L 41/142(2022.01) G06F 16/2458(2019.01) G06K 9/62(2022.01) (54)发明名称 DNS劫持监测方法及装置 (57)摘要 本发明公开一种DNS劫持监测方法及装置， 所述方法包 括获取DNS清单信息， DNS清单信息包 括正常DNS清单和异常DNS清单； 将待 监测的目标 资产与DNS清单信息进行对比， 反向查询得到DNS 线路结果； 对于DNS线路结果中需要对同一网站 域名解析监测的DNS线路进行解析， 得到解析结 果； 对解析结果进行聚类分析， 确定异常的DNS 线 路。 通过反向查询DNS线路结果， 并进行域名解 析， 将解析结果进行聚类分析， 确定异常的DNS 线 路， 通过在反向查询之后， 对查询结果进行解析 并聚类分析， 最终确定异常结果， 可以保持原信 息的完整性， 比如异常DNS信息等不会发生变化， 以此提高监测准确度、 效率和性能。 权利要求书2页 说明书7页 附图2页 CN 114244590 A 2022.03.25 CN 114244590 A 1.一种DNS劫持监测方法， 其特 征在于， 所述方法包括： 获取DNS清单信息， 所述DNS清单信息包括 正常DNS清单和异常DNS清单； 将待监测的目标资产与所述DNS清单信息进行对比， 反向查询得到DNS线路结果； 对于所述DNS线路结果进行域名解析， 得到解析 结果； 对所述解析结果进行聚类分析， 确定异常的DNS线路。 2.如权利要求1所述的DNS劫持监测方法， 其特 征在于， 所述方法还 包括： 实时收集 风险DNS信息； 将所述风险DNS信息添加至所述异常DNS清单。 3.如权利要求1所述的DNS劫持监测方法， 其特征在于， 所述将待监测的目标资产与所 述DNS清单信息进行对比， 反向查询得到DNS线路结果， 包括： 将所述正常DNS清单中的DNS服务器信息与所述目标资产进行反向查询， 得到查询结 果； 将所述查询结果与所述异常DNS清单中的DNS服务器信息进行比对筛选， 得到所述DNS 线路结果。 4.如权利要求1所述的DNS劫持监测方法， 其特征在于， 所述对所述解析结果进行聚类 分析， 确定异常的DNS线路， 包括： 对所述解析结果中为相同结果的记录进行聚类分析， 得到聚类结果； 判断所述聚类结果是否大于设定阈值； 若是， 则确定所述网站域名未被劫持； 若否， 则确定所述网站域名被劫持。 5.如权利要求 4所述的DNS劫持监测方法， 其特 征在于， 所述聚类分析的公式表示 为： 其中， f1,f2,…fn分别表示需要对同一网站域名解析监测的n个DNS线路， x1,x2,…xn分 别表示n个DNS线路对应的解析 结果。 6.一种DNS劫持监测装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取DNS清单信息， 所述DNS清单信息包括 正常DNS清单和异常DNS清单； 反向查询模块， 用于将待监测的目标资产与所述DNS清单信 息进行对比， 反向查询得到 DNS线路结果； 解析模块， 用于对于所述DNS线路结果进行域名解析， 得到解析 结果； 确定模块， 用于对所述 解析结果进行聚类分析， 确定异常的DNS线路。 7.如权利要求6所述的DNS劫持监测装置， 其特 征在于， 所述装置还 包括： 收集模块， 用于实时收集 风险DNS信息； 添加模块， 用于将所述 风险DNS信息添加至所述异常DNS清单。 8.如权利要求6所述的DNS劫持监测装置， 其特 征在于， 所述反向查询模块， 包括： 查询单元， 用于将所述正常DNS清单中的DNS服务器信息与所述目标资产进行反向查 询， 得到查询结果； 筛选单元， 用于将所述查询结果与所述异常DNS清单中的DNS服务器信息进行比对筛 选， 得到所述DNS线路结果。权　利　要　求　书 1/2 页 2 CN 114244590 A 29.如权利要求6所述的DNS劫持监测装置， 其特 征在于， 所述确定模块包括： 处理单元， 用于对所述 解析结果中为相同结果的记录进行聚类分析， 得到聚类结果； 判断单元， 用于判断所述聚类结果是否大于设定阈值； 确定单元用于在所述判断单元输出结果为是时， 确定所述网站域名未被劫持， 以及用 于在所述判断单 元输出结果为否时， 确定所述网站域名被劫持。 10.如权利要求9所述的DNS劫持监测装置， 其特 征在于， 所述聚类分析的公式表示 为： 其中， f1,f2,…fn分别表示需要对同一网站域名解析监测的n个DNS线路， x1,x2,…xn分 别表示n个DNS线路对应的解析 结果。权　利　要　求　书 2/2 页 3 CN 114244590 A 3