本發明涉及網絡安全技術領域，尤其涉及一種基于域名的HTTP訪問劫持檢測與凈化裝置及方法，本發明能夠自定義域名與IP的對應解析規則，直接由用戶指定域名與IP的解析關系，解決了一般性企業或集群網絡管理人員對公司員工上網行為、集群服務連網的控制。另外，能夠基于域名智能檢測出DNS污染或DNS劫持行為，自動檢測和解決DNS污染或DNS劫持問題，使用戶在遭受到DNS惡意劫持時候，智能友好的提示用戶處于的惡意的上網環境，避免被蒙蔽在惡意的上網行為監控之中，同時避免用戶受到廣告或導航頁面等劫持頁面的干擾，避免遭受不必要的經濟損失和精神損失。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于域名的HTTP訪問劫持檢測與凈化裝置及方法。

背景技術

隨著互聯網時代的進入，互聯網的運用越加普及，用戶對網絡的需求越來越大。用戶在日常訪問網站時最常見的方法是通過域名方式訪問，而網絡報文尋址過程中識別的還是需要真實主機的IP地址，此時就會涉及到一個域名解析問題，它是由用戶指定的域名服務器負責解析。其中，域名服務器是保存在網絡中所有主機的域名和對應的IP地址，并具有將域名轉換為特定IP地址的功能。

在實際中，經常會出現域名無法正常解析的情況。當域名無法正常訪問，運營商便可能會執行DNS劫持，同時向用戶展示一個廣告頁面或是導航頁面等替換正常應該訪問的頁面。當用戶訪問的域名遭受到惡意破壞者的惡意攻擊或惡意干擾時，給用戶帶來日常生活的干擾，影響日常工作和生活，造成用戶反感，嚴重情況，賬號密碼遺失，造成經濟損失，并且很多時候普通用戶都未感知訪問網站已被DNS污染。

網絡被劫持的原因通常包括：用戶計算機被植入病毒或木馬導致主機hosts文件或注冊表被篡改；系統服務或是瀏覽器被植入惡意代碼；運營商使用篡改DNS、重定向HTTP請求、修改HTTP數據包導致正常網站無法正常訪問。

如今存在的一些基于域名的HTTP劫持檢測方法更多的依賴于對DNS通信協議類型(UDP轉變成TCP)、通信端口(使用非53的端口)的改變，甚至是對DNS通信報文進行加密處理；或者是在DNS解析之后的HTTP請求數據報文做二次分析，通過URI的關鍵字符串進行字典匹配。這樣的一些操作一定程度、一定時間內能確保DNS解析免受DNS污染，但不是根本解決方法，而且不通用；同時依賴于與URI的關鍵字匹配的字典庫，增加維護代價的同時，帶來了更多的不準確性因素。

因此，迫切需要一種基于域名的HTTP訪問劫持方法檢測和凈化的技術，解決用戶在訪問網頁的遭受的DNS污染或DNS感染，智能檢測DNS劫持或DNS污染行為，并主動凈化上網行為。

發明內容

本發明的目的是克服現有技術存在的缺陷，提供一種基于域名的HTTP訪問劫持檢測與凈化裝置及方法，能夠人工增添、自動檢測、凈化及緩存DNS解析IP的技術方案，解決網絡管理員對上網行為的控制，自定義不同域名的劫持頁面，避免用戶遭受到廣告商或運營商導航等劫持頁面的干擾。

實現本發明目的的技術方案是：一種基于域名的HTTP訪問劫持檢測與凈化裝置，包括監聽模塊、匹配模塊和DNS糾正模塊，

監聽模塊：監聽客戶端發起的DNS查詢請求，抓取DNS服務器解析的DNS查詢請求響應報文中的IP地址；

匹配模塊：匹配模塊包括黑名單表和白名單表，匹配模塊將監聽模塊抓取的IP地址和黑名單表進行匹配，如果匹配成功，則將黑名單表中記錄的域名對應的正確IP作為客戶端發起的DNS查詢請求的解析IP；如果匹配失敗，則將監聽模塊抓取的DNS查詢請求響應報文傳遞給DNS糾正模塊進行處理；

DNS糾正模塊：DNS糾正模塊包括DNS同步檢測模塊和DNS統計分析模塊，