本發明的實施例公開一種域名系統劫持的識別方法、裝置、電子設備及存儲介質，涉及網絡安全領域，能夠及時發現對于不在威脅檢測庫里的DNS劫持威脅，增強威脅檢測能力。所述識別方法應用于旁路檢測設備，所述識別方法包括：記錄用戶接收到的與所述用戶的域名系統訪問對應的第一域名系統應答信息；訪問與所述用戶的域名系統訪問的域名同樣的域名，接收與所述訪問對應的第二域名系統應答信息；根據所述第一域名系統應答信息和所述第二域名系統應答信息，確定所述用戶的域名系統訪問是否被劫持，本發明適用于計算機網絡安全的防護。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種域名系統劫持的識別方法、裝置、電子設備及存儲介質。

背景技術

DNS(Domain Name System，DNS)劫持又稱域名劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，返回假的IP地址，其效果就是被劫持的用戶訪問到假網址。

在實現本發明的過程中，發明人發現旁路檢測設備對流量進行DNS劫持威脅檢測時，只對用戶的DNS訪問做記錄，根據威脅規則庫里的規則進行檢測，對一些不在規則庫里的DNS劫持威脅不能及時發現，這樣一來，勢必對網絡的安全造成影響。

發明內容

有鑒于此，本發明實施例提供一種域名系統劫持的識別方法及其裝置、電子設備及存儲介質，能夠對于不在威脅檢測庫里的DNS劫持威脅做到及時發現，增強威脅檢測能力以提高網絡安全。

第一方面，本發明實施例提供一種域名系統劫持的識別方法，所述識別方法應用于旁路檢測設備，所述方法包括：

記錄用戶接收到的與所述用戶的域名系統訪問對應的第一域名系統應答信息；

訪問與所述用戶的域名系統訪問的域名同樣的域名，接收與所述訪問對應的第二域名系統應答信息；

根據所述第一域名系統應答信息和所述第二域名系統應答信息，確定所述用戶的域名系統訪問是否被劫持。

結合第一方面，在第一方面的第一種實施方式中，所述根據所述第一域名系統應答信息和所述第二域名系統應答信息，確定所述用戶的域名系統訪問是否被劫持包括：將所述第一域名系統應答信息和所述第二域名系統應答信息進行對比，當所述第一域名系統應答信息和所述第二域名系統應答信息不一致時，確定所述用戶的域名系統被劫持。

結合第一方面，在第一方面的第二種實施方式中，所述訪問與所述用戶的域名系統訪問的域名同樣的域名，接收所述訪問對應的第二域名系統應答信息包括：在不同時刻多次訪問與所述用戶的域名系統訪問的域名同樣的域名，接收每次所述訪問對應的第二域名系統應答信息；

其中，所述根據所述第一域名系統應答信息和所述第二域名系統應答信息，確定所述用戶的域名系統訪問是否被劫持包括：

將每次所述訪問接收到的第二域名系統應答信息與所述記錄的第一域名系統應答信息進行對比，以確定每次所述訪問接收到的第二域名系統應答信息與所述記錄的第一域名系統應答信息是否一致，并記錄對比結果不一致的次數；以及，如果所述不一致的次數大于預設次數，則確定所述用戶的域名系統訪問被劫持。

結合第一方面，在第一方面的第三種實施方式中，所述訪問與所述用戶的域名系統訪問的域名同樣的域名包括：通過和所述用戶不同的或同樣的網關訪問與所述用戶的域名系統訪問的域名同樣的域名。

結合第一方面，在第一方面的第四種實施方式中，所述旁路檢測設備設置在網關與內網相連的交換機鏡像口處。

結合第一方面，在第一方面的第五種可能的實現方式中，所述旁路檢測設備設置在核心交換機鏡像口處。

第二方面，本發明實施例提供一種域名系統劫持的識別裝置，其中，所述裝置包括：