本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法及裝置。

背景技術(shù)：

商超、門(mén)店、咖啡廳、機(jī)場(chǎng)等公共場(chǎng)所，往往架設(shè)有公用無(wú)線網(wǎng)絡(luò)，其中最常用的就是wifi，公共場(chǎng)所通過(guò)一個(gè)或多個(gè)ap(accesspoint，接入點(diǎn))實(shí)現(xiàn)預(yù)設(shè)范圍內(nèi)的wifi覆蓋，為用戶提供了方便的上網(wǎng)環(huán)境。

然而，公共場(chǎng)所wifi的安全性一般較差，一些惡意wifi很容易導(dǎo)致用戶的個(gè)人信息泄露。比如，攻擊者通過(guò)搭建惡意ap，并通過(guò)惡意ap的dhcp(dynamichostconfigurationprotocol，動(dòng)態(tài)主機(jī)配置協(xié)議)服務(wù)器為客戶端分配惡意dns(domainnamesystem，域名系統(tǒng))代理的ip地址，這樣，用戶通過(guò)客戶端上網(wǎng)時(shí)，惡意dns代理會(huì)將客戶端的域名請(qǐng)求解析到惡意web代理，惡意web代理植入惡意腳本到相應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包，從而將用戶引誘到非法網(wǎng)站上，實(shí)施抓包嗅探、網(wǎng)絡(luò)釣魚(yú)等非法竊取用戶個(gè)人信息的行為，這將導(dǎo)致用戶在不經(jīng)意間泄露個(gè)人信息，嚴(yán)重威脅了用戶的上網(wǎng)安全，目前還缺乏一種有效檢測(cè)wifi惡意性的方法。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的主要目的在于提出一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法及裝置，旨在實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)惡意性的主動(dòng)檢測(cè)，提高用戶使用無(wú)線網(wǎng)絡(luò)上網(wǎng)的安全性。

為實(shí)現(xiàn)上述目的，本發(fā)明提供一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法，所述方法包括如下步驟：

在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求，所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù)；

獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址，判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配，記錄第一判斷結(jié)果；

根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，記錄第二判斷結(jié)果；

根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。

可選地，所述根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本，記錄第二判斷結(jié)果的步驟之后，還包括：

根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本，并記錄第三判斷結(jié)果；

所述根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性的步驟包括：

根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。

可選地，所述判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本的步驟包括：

將響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本進(jìn)行對(duì)比；

若響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本不匹配，則判定響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本。

可選地，所述根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性的步驟包括：

對(duì)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果進(jìn)行分析，得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí)；

若所述風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí)，則判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)。

可選地，所述根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性的步驟之后，還包括：

在判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí)，發(fā)出相應(yīng)告警信息。

此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提供一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置，所述裝置包括：

發(fā)送模塊，用于在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求，所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù)；

第一判斷模塊，用于獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址，判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配，記錄第一判斷結(jié)果；

第二判斷模塊，用于根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，記錄第二判斷結(jié)果；

分析模塊，用于根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。

可選地，所述裝置還包括：

第三判斷模塊，用于根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本，并記錄第三判斷結(jié)果；

所述分析模塊還用于根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。

可選地，所述第三判斷模塊還用于：

將響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本進(jìn)行對(duì)比；

若響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本不匹配，則判定響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本。

可選地，所述分析模塊還用于：

對(duì)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果進(jìn)行分析，得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí)；

若所述風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí)，則判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)。

可選地，所述裝置還包括：

告警模塊，用于在判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí)，發(fā)出相應(yīng)告警信息。

本發(fā)明在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求，所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù)；獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址，判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配，記錄第一判斷結(jié)果；根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，記錄第二判斷結(jié)果；根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。通過(guò)上述方式，本發(fā)明能夠判斷dns服務(wù)器是否被劫持，以及判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，從而能夠?qū)崿F(xiàn)無(wú)線網(wǎng)絡(luò)惡意性的主動(dòng)檢測(cè)，提高用戶使用無(wú)線網(wǎng)絡(luò)上網(wǎng)的安全性。

附圖說(shuō)明

圖1為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第一實(shí)施例的流程示意圖；

圖2為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第二實(shí)施例的流程示意圖；

圖3為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第三實(shí)施例的流程示意圖；

圖4為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第一實(shí)施例的功能模塊示意圖；

圖5為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第二實(shí)施例的功能模塊示意圖；

圖6為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第三實(shí)施例的功能模塊示意圖。

本發(fā)明目的的實(shí)現(xiàn)、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例，參照附圖做進(jìn)一步說(shuō)明。

具體實(shí)施方式

應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本發(fā)明提供一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法。

參照?qǐng)D1，圖1為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第一實(shí)施例的流程示意圖。所述方法包括如下步驟：

步驟s10，在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求，所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù)；

在本實(shí)施例中，移動(dòng)終端包括智能手機(jī)、平板電腦、筆記本等具有無(wú)線網(wǎng)絡(luò)接入功能的設(shè)備，無(wú)線網(wǎng)絡(luò)即wlan(wirelesslocalareanetworks，無(wú)線局域網(wǎng)絡(luò))，是一種利用射頻技術(shù)進(jìn)行據(jù)傳輸?shù)南到y(tǒng)，常見(jiàn)的wlan熱點(diǎn)信號(hào)包括cmcc(中國(guó)移動(dòng))、chinanet(中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng))等。wifi作為無(wú)線聯(lián)網(wǎng)的技術(shù)之一，被廣泛應(yīng)用于各種場(chǎng)合，通常情況下，用戶通過(guò)移動(dòng)終端的wifi連接功能即可實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的接入。

本實(shí)施例的應(yīng)用場(chǎng)景可以為：用戶將手機(jī)攜帶進(jìn)商超、門(mén)店、咖啡廳或機(jī)場(chǎng)等公共場(chǎng)所，該公共場(chǎng)所通過(guò)一個(gè)或多個(gè)ap(如無(wú)線路由器)實(shí)現(xiàn)預(yù)設(shè)范圍內(nèi)的wifi覆蓋，用戶使用手機(jī)接入wifi，并啟用手機(jī)上的相關(guān)應(yīng)用程序?qū)Ξ?dāng)前接入的wifi進(jìn)行安全檢測(cè)，相關(guān)檢測(cè)程序在一個(gè)隔離的環(huán)境中運(yùn)行，以保證在當(dāng)前wifi為惡意wifi時(shí)，用戶的手機(jī)系統(tǒng)不會(huì)受到攻擊。

具體地，在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，首先通過(guò)無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求，該域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù)，且該域名數(shù)據(jù)對(duì)應(yīng)的ip地址是已知的。比如，已知域名數(shù)據(jù)為：xxx.com，其對(duì)應(yīng)的ip地址為202.108.22.5，移動(dòng)終端通過(guò)ap向dns服務(wù)器發(fā)送xxx.com的域名解析請(qǐng)求，以使dns服務(wù)器將域名解析為ip地址，若該ap本身是惡意的，則會(huì)將域名解析請(qǐng)求發(fā)送到惡意dns服務(wù)器，若該ap是合法的，其所對(duì)應(yīng)的dns服務(wù)器也可能遭遇劫持而變?yōu)閻阂鈊ns服務(wù)器。

步驟s20，獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址，判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配，記錄第一判斷結(jié)果；

移動(dòng)終端獲取dns服務(wù)器解析域名數(shù)據(jù)得到的ip地址，判斷獲取到的ip地址是否與預(yù)設(shè)的ip地址匹配，并記錄第一判斷結(jié)果。

在dns服務(wù)器是惡意的情況下，其解析得到的ip地址將會(huì)是一個(gè)虛假的ip地址，比如解析上述域名xxx.com得到的ip地址將不會(huì)是202.108.22.5，移動(dòng)終端通過(guò)判斷dns服務(wù)器解析域名數(shù)據(jù)得到的ip地址是否與預(yù)設(shè)的ip地址匹配，從而可以獲知dns服務(wù)器的劫持狀態(tài)，若dns服務(wù)器返回的ip地址與預(yù)設(shè)的ip地址不匹配，則判定dns服務(wù)器被劫持，此時(shí)移動(dòng)終端記錄下dns服務(wù)器的劫持狀態(tài)。

步驟s30，根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，記錄第二判斷結(jié)果；

該步驟中，移動(dòng)終端根據(jù)dns服務(wù)器返回的ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，記錄第二判斷結(jié)果。

若dns服務(wù)器返回的ip地址是虛假的，則網(wǎng)絡(luò)訪問(wèn)請(qǐng)求將發(fā)送到惡意web服務(wù)器，惡意web服務(wù)器會(huì)將網(wǎng)絡(luò)訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)網(wǎng)站，并在真實(shí)網(wǎng)站的http響應(yīng)中注入http、js(javascript，一種腳本語(yǔ)言)等攻擊腳本，比如攻擊腳本為http://www.yyy.com/xxx/a.js，此時(shí)客戶端向http://www.yyy.com/xxx/a.js的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求同樣會(huì)被惡意web服務(wù)器劫持，此時(shí)惡意web服務(wù)器根本不向真實(shí)的yyy服務(wù)器發(fā)起請(qǐng)求，只是返回其預(yù)先準(zhǔn)備的“樁”文件，該“樁”文件包含黑客的惡意代碼且有很長(zhǎng)的緩存時(shí)間。很長(zhǎng)時(shí)間之后，即使用戶連接的不是該惡意wifi而是正常wifi，但是由于攻擊者已經(jīng)將“樁”文件緩存到受害者的手機(jī)，當(dāng)受害者訪問(wèn)www.yyy.com的時(shí)候，就會(huì)觸發(fā)惡意代碼的執(zhí)行，造成信息泄露。

由于惡意腳本一般具有明顯的特征，因而移動(dòng)終端可以將響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本數(shù)據(jù)與預(yù)先設(shè)置的常見(jiàn)惡意腳本數(shù)據(jù)進(jìn)行對(duì)比，若兩者相同，則判定響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入了惡意腳本，此時(shí)移動(dòng)終端記錄下http響應(yīng)的腳本注入狀態(tài)。

步驟s40，根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。

移動(dòng)終端在記錄下第一判斷結(jié)果和第二判斷結(jié)果后，再根據(jù)第一判斷結(jié)果和第二判斷結(jié)果分析并判斷無(wú)線網(wǎng)絡(luò)的惡意性。具體地，如果dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址與預(yù)設(shè)的ip地址不匹配，或者響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本，則移動(dòng)終端可以判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)，當(dāng)然，移動(dòng)終端也可以只在響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本時(shí)判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)，具體實(shí)施時(shí)可進(jìn)行靈活設(shè)置。

進(jìn)一步地，在步驟s40之后，還可以包括：在判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí)，發(fā)出相應(yīng)告警信息。

在判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí)，移動(dòng)終端可向用戶發(fā)出告警信息，告警信息包括危險(xiǎn)類(lèi)型、危險(xiǎn)程度等，告警方式包括文字、語(yǔ)音、震動(dòng)等，用戶在接收到告警信息后，可手動(dòng)斷開(kāi)與該無(wú)線網(wǎng)絡(luò)的連接，以方式個(gè)人信息泄露。

在本實(shí)施例中，在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求，所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù)；獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址，判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配，記錄第一判斷結(jié)果；根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，記錄第二判斷結(jié)果；根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。通過(guò)上述方式，本實(shí)施例能夠判斷dns服務(wù)器是否被劫持，以及判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，從而能夠?qū)崿F(xiàn)無(wú)線網(wǎng)絡(luò)惡意性的主動(dòng)檢測(cè)，提高用戶使用無(wú)線網(wǎng)絡(luò)上網(wǎng)的安全性。

進(jìn)一步地，參照?qǐng)D2，圖2為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第二實(shí)施例的流程示意圖?；谏鲜鰣D1所示的實(shí)施例，在步驟s30之后，還可以包括：

步驟s50，根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本，并記錄第三判斷結(jié)果；

此時(shí)步驟s40可以替換為：

步驟s60，根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。

在本實(shí)施例中，為進(jìn)一步準(zhǔn)確判斷當(dāng)前無(wú)線網(wǎng)絡(luò)的惡意性，移動(dòng)終端可以預(yù)先設(shè)置幾個(gè)知名網(wǎng)站的ip地址，然后根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本，并記錄第三判斷結(jié)果。

進(jìn)一步地，判斷響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本的步驟可以包括：

步驟s51，將響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本進(jìn)行對(duì)比；

步驟s52，若響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本不匹配，則判定響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本。

作為一種實(shí)施方式，移動(dòng)終端可預(yù)先調(diào)查并保存預(yù)設(shè)知名網(wǎng)站的正常響應(yīng)頁(yè)面，頁(yè)面中包含正常的腳本，移動(dòng)終端將響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)先保存的正常腳本進(jìn)行對(duì)比，若兩者不匹配，則可判定無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)，此時(shí)移動(dòng)終端可將該無(wú)線網(wǎng)絡(luò)歸類(lèi)為高風(fēng)險(xiǎn)，并強(qiáng)制斷開(kāi)與該無(wú)線網(wǎng)絡(luò)的連接。

需要說(shuō)明的是，向知名網(wǎng)站發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的原因在于：相對(duì)于普通網(wǎng)站，知名網(wǎng)站往往訪問(wèn)流量大，在用戶駐留公共場(chǎng)所的短暫時(shí)間內(nèi)，網(wǎng)絡(luò)攻擊者以知名網(wǎng)站如百度、新浪、網(wǎng)易等為主要腳本注入對(duì)象，向客戶端注入惡意代碼的可能性就更大。

本實(shí)施例考慮了惡意無(wú)線網(wǎng)絡(luò)的上述攻擊特點(diǎn)，通過(guò)向知名網(wǎng)站發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本，結(jié)合之前的判斷結(jié)果綜合分析無(wú)線網(wǎng)絡(luò)的惡意性，提高了判斷結(jié)果的準(zhǔn)確性。

進(jìn)一步地，參照?qǐng)D3，圖3為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的方法第三實(shí)施例的流程示意圖。基于上述圖2所示的實(shí)施例，步驟s60可以包括：

步驟s61，對(duì)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果進(jìn)行分析，得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí)；

步驟s62，若所述風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí)，則判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)。

在本實(shí)施中，判斷無(wú)線網(wǎng)絡(luò)惡意性的方法可以為：綜合分析第一判斷結(jié)果、第二判斷結(jié)果和第三判斷結(jié)果，得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí)。比如，可預(yù)先為每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)設(shè)置權(quán)重，比如，可將dns服務(wù)器被劫持設(shè)置為低風(fēng)險(xiǎn)權(quán)重，將網(wǎng)絡(luò)訪問(wèn)請(qǐng)求被注入惡意腳本設(shè)置為高風(fēng)險(xiǎn)權(quán)重等，具體實(shí)施時(shí)可進(jìn)行靈活設(shè)置。之后，移動(dòng)終端分別檢測(cè)每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)，并根據(jù)檢測(cè)結(jié)果和預(yù)先設(shè)置的權(quán)重評(píng)估此次網(wǎng)絡(luò)惡意性檢測(cè)的風(fēng)險(xiǎn)等級(jí)，若評(píng)估得到的風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí)，則判定無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)，否則判定無(wú)線網(wǎng)絡(luò)是安全的。

本實(shí)施例通過(guò)設(shè)置風(fēng)險(xiǎn)等級(jí)，能夠使用戶清楚獲知無(wú)線網(wǎng)絡(luò)的安全程度，從而在無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)較低時(shí)不影響用戶的正常上網(wǎng)，而在風(fēng)險(xiǎn)較高時(shí)發(fā)出告警信息，以防止用戶敏感信息的泄露。

本發(fā)明還提供一種檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置。

參照?qǐng)D4，圖4為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第一實(shí)施例的功能模塊示意圖。所述裝置包括：

發(fā)送模塊10，用于在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求，所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù)；

在本實(shí)施例中，移動(dòng)終端包括智能手機(jī)、平板電腦、筆記本等具有無(wú)線網(wǎng)絡(luò)接入功能的設(shè)備，無(wú)線網(wǎng)絡(luò)即wlan(wirelesslocalareanetworks，無(wú)線局域網(wǎng)絡(luò))，是一種利用射頻技術(shù)進(jìn)行據(jù)傳輸?shù)南到y(tǒng)，常見(jiàn)的wlan熱點(diǎn)信號(hào)包括cmcc(中國(guó)移動(dòng))、chinanet(中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng))等。wifi作為無(wú)線聯(lián)網(wǎng)的技術(shù)之一，被廣泛應(yīng)用于各種場(chǎng)合，通常情況下，用戶通過(guò)移動(dòng)終端的wifi連接功能即可實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的接入。

本實(shí)施例的應(yīng)用場(chǎng)景可以為：用戶將手機(jī)攜帶進(jìn)商超、門(mén)店、咖啡廳或機(jī)場(chǎng)等公共場(chǎng)所，該公共場(chǎng)所通過(guò)一個(gè)或多個(gè)ap(如無(wú)線路由器)實(shí)現(xiàn)預(yù)設(shè)范圍內(nèi)的wifi覆蓋，用戶使用手機(jī)接入wifi，并啟用手機(jī)上的相關(guān)應(yīng)用程序?qū)Ξ?dāng)前接入的wifi進(jìn)行安全檢測(cè)，相關(guān)檢測(cè)程序在一個(gè)隔離的環(huán)境中運(yùn)行，以保證在當(dāng)前wifi為惡意wifi時(shí)，用戶的手機(jī)系統(tǒng)不會(huì)受到攻擊。

具體地，在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，首先發(fā)送模塊10通過(guò)無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求，該域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù)，且該域名數(shù)據(jù)對(duì)應(yīng)的ip地址是已知的。比如，已知域名數(shù)據(jù)為：xxx.com，其對(duì)應(yīng)的ip地址為202.108.22.5，移動(dòng)終端通過(guò)ap向dns服務(wù)器發(fā)送xxx.com的域名解析請(qǐng)求，以使dns服務(wù)器將域名解析為ip地址，若該ap本身是惡意的，則會(huì)將域名解析請(qǐng)求發(fā)送到惡意dns服務(wù)器，若該ap是合法的，其所對(duì)應(yīng)的dns服務(wù)器也可能遭遇劫持而變?yōu)閻阂鈊ns服務(wù)器。

第一判斷模塊20，用于獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址，判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配，記錄第一判斷結(jié)果；

第一判斷模塊20獲取dns服務(wù)器解析域名數(shù)據(jù)得到的ip地址，判斷獲取到的ip地址是否與預(yù)設(shè)的ip地址匹配，并記錄第一判斷結(jié)果。

在dns服務(wù)器是惡意的情況下，其解析得到的ip地址將會(huì)是一個(gè)虛假的ip地址，比如解析上述域名xxx.com得到的ip地址將不會(huì)是202.108.22.5，移動(dòng)終端通過(guò)判斷dns服務(wù)器解析域名數(shù)據(jù)得到的ip地址是否與預(yù)設(shè)的ip地址匹配，從而可以獲知dns服務(wù)器的劫持狀態(tài)，若dns服務(wù)器返回的ip地址與預(yù)設(shè)的ip地址不匹配，則第一判斷模塊20判定dns服務(wù)器被劫持，并記錄下dns服務(wù)器的劫持狀態(tài)。

第二判斷模塊30，用于根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，記錄第二判斷結(jié)果；

第二判斷模塊30根據(jù)dns服務(wù)器返回的ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，記錄第二判斷結(jié)果。

若dns服務(wù)器返回的ip地址是虛假的，則網(wǎng)絡(luò)訪問(wèn)請(qǐng)求將發(fā)送到惡意web服務(wù)器，惡意web服務(wù)器會(huì)將網(wǎng)絡(luò)訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)網(wǎng)站，并在真實(shí)網(wǎng)站的http響應(yīng)中注入http、js(javascript，一種腳本語(yǔ)言)等攻擊腳本，比如攻擊腳本為http://www.yyy.com/xxx/a.js，此時(shí)客戶端向http://www.yyy.com/xxx/a.js的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求同樣會(huì)被惡意web服務(wù)器劫持，此時(shí)惡意web服務(wù)器根本不向真實(shí)的yyy服務(wù)器發(fā)起請(qǐng)求，只是返回其預(yù)先準(zhǔn)備的“樁”文件，該“樁”文件包含黑客的惡意代碼且有很長(zhǎng)的緩存時(shí)間。很長(zhǎng)時(shí)間之后，即使用戶連接的不是該惡意wifi而是正常wifi，但是由于攻擊者已經(jīng)將“樁”文件緩存到受害者的手機(jī)，當(dāng)受害者訪問(wèn)www.yyy.com的時(shí)候，就會(huì)觸發(fā)惡意代碼的執(zhí)行，造成信息泄露。

由于惡意腳本一般具有明顯的特征，因而第二判斷模塊30可以將響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本數(shù)據(jù)與預(yù)先設(shè)置的常見(jiàn)惡意腳本數(shù)據(jù)進(jìn)行對(duì)比，若兩者相同，則判定響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入了惡意腳本，此時(shí)記錄下http響應(yīng)的腳本注入狀態(tài)。

分析模塊40，用于根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。

在記錄下第一判斷結(jié)果和第二判斷結(jié)果后，分析模塊40再根據(jù)第一判斷結(jié)果和第二判斷結(jié)果分析并判斷無(wú)線網(wǎng)絡(luò)的惡意性。具體地，如果dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址與預(yù)設(shè)的ip地址不匹配，或者響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本，則分析模塊40可以判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)，當(dāng)然，分析模塊40也可以只在響應(yīng)的第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本時(shí)判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)，具體實(shí)施時(shí)可進(jìn)行靈活設(shè)置。

在本實(shí)施例中，在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)，發(fā)送模塊10通過(guò)所述無(wú)線網(wǎng)絡(luò)的接入點(diǎn)向dns服務(wù)器發(fā)送域名解析請(qǐng)求，所述域名解析請(qǐng)求攜帶預(yù)設(shè)的域名數(shù)據(jù)；第一判斷模塊20獲取所述dns服務(wù)器解析所述域名數(shù)據(jù)得到的ip地址，判斷所述ip地址是否與預(yù)設(shè)的ip地址匹配，記錄第一判斷結(jié)果；第二判斷模塊30根據(jù)所述ip地址發(fā)起第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第一網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，記錄第二判斷結(jié)果；分析模塊40根據(jù)所述第一判斷結(jié)果和所述第二判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。通過(guò)上述方式，本實(shí)施例能夠判斷dns服務(wù)器是否被劫持，以及判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入惡意腳本，從而能夠?qū)崿F(xiàn)無(wú)線網(wǎng)絡(luò)惡意性的主動(dòng)檢測(cè)，提高用戶使用無(wú)線網(wǎng)絡(luò)上網(wǎng)的安全性。

進(jìn)一步地，參照?qǐng)D5，圖5為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第二實(shí)施例的功能模塊示意圖?；谏鲜鰣D4所示的實(shí)施例，所述裝置還可以包括：

第三判斷模塊50，用于根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本，并記錄第三判斷結(jié)果；

所述分析模塊40還用于根據(jù)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果分析并判斷所述無(wú)線網(wǎng)絡(luò)的惡意性。

在本實(shí)施例中，為進(jìn)一步準(zhǔn)確判斷當(dāng)前無(wú)線網(wǎng)絡(luò)的惡意性，可以預(yù)先設(shè)置幾個(gè)知名網(wǎng)站的ip地址，然后第三判斷模塊50根據(jù)預(yù)設(shè)知名網(wǎng)站的ip地址發(fā)起第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本，并記錄第三判斷結(jié)果。

第三判斷模塊50還用于：將響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本進(jìn)行對(duì)比；若響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)設(shè)的所述知名網(wǎng)站的腳本不匹配，則判定響應(yīng)的所述第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中被注入惡意腳本。

作為一種實(shí)施方式，可預(yù)先調(diào)查并保存預(yù)設(shè)知名網(wǎng)站的正常響應(yīng)頁(yè)面，頁(yè)面中包含正常的腳本，第三判斷模塊50將響應(yīng)的第二網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中的腳本與預(yù)先保存的正常腳本進(jìn)行對(duì)比，若兩者不匹配，則可判定無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)，此時(shí)可將該無(wú)線網(wǎng)絡(luò)歸類(lèi)為高風(fēng)險(xiǎn)，并強(qiáng)制斷開(kāi)與該無(wú)線網(wǎng)絡(luò)的連接。

需要說(shuō)明的是，向知名網(wǎng)站發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的原因在于：相對(duì)于普通網(wǎng)站，知名網(wǎng)站往往訪問(wèn)流量大，在用戶駐留公共場(chǎng)所的短暫時(shí)間內(nèi)，網(wǎng)絡(luò)攻擊者以知名網(wǎng)站如百度、新浪、網(wǎng)易等為主要腳本注入對(duì)象，向客戶端注入惡意代碼的可能性就更大。

本實(shí)施例考慮了惡意無(wú)線網(wǎng)絡(luò)的上述攻擊特點(diǎn)，通過(guò)向知名網(wǎng)站發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，判斷響應(yīng)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求中是否被注入腳本，結(jié)合之前的判斷結(jié)果綜合分析無(wú)線網(wǎng)絡(luò)的惡意性，提高了判斷結(jié)果的準(zhǔn)確性。

進(jìn)一步地，繼續(xù)參照?qǐng)D5，所述分析模塊40還用于：對(duì)所述第一判斷結(jié)果、所述第二判斷結(jié)果和所述第三判斷結(jié)果進(jìn)行分析，得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí)；若所述風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí)，則判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)。

在本實(shí)施中，分析模塊40判斷無(wú)線網(wǎng)絡(luò)惡意性的方法可以為：綜合分析第一判斷結(jié)果、第二判斷結(jié)果和第三判斷結(jié)果，得到所述無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級(jí)。比如，可預(yù)先為每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)設(shè)置權(quán)重，比如，可將dns服務(wù)器被劫持設(shè)置為低風(fēng)險(xiǎn)權(quán)重，將網(wǎng)絡(luò)訪問(wèn)請(qǐng)求被注入惡意腳本設(shè)置為高風(fēng)險(xiǎn)權(quán)重等，具體實(shí)施時(shí)可進(jìn)行靈活設(shè)置。之后，分析模塊40分別檢測(cè)每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)，并根據(jù)檢測(cè)結(jié)果和預(yù)先設(shè)置的權(quán)重評(píng)估此次網(wǎng)絡(luò)惡意性檢測(cè)的風(fēng)險(xiǎn)等級(jí)，若評(píng)估得到的風(fēng)險(xiǎn)等級(jí)大于或等于預(yù)設(shè)的風(fēng)險(xiǎn)等級(jí)，則判定無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)，否則判定無(wú)線網(wǎng)絡(luò)是安全的。

本實(shí)施例通過(guò)設(shè)置風(fēng)險(xiǎn)等級(jí)，能夠使用戶清楚獲知無(wú)線網(wǎng)絡(luò)的安全程度，從而在無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)較低時(shí)不影響用戶的正常上網(wǎng)，而在風(fēng)險(xiǎn)較高時(shí)發(fā)出告警信息，以防止用戶敏感信息的泄露。

進(jìn)一步地，參照?qǐng)D6，圖6為本發(fā)明檢測(cè)無(wú)線網(wǎng)絡(luò)惡意性的裝置第三實(shí)施例的功能模塊示意圖?；谏鲜龅膶?shí)施例，所述裝置還可以包括：

告警模塊60，用于在判定所述無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí)，發(fā)出相應(yīng)告警信息。

在判定當(dāng)前連接的無(wú)線網(wǎng)絡(luò)為惡意無(wú)線網(wǎng)絡(luò)時(shí)，告警模塊50可向用戶發(fā)出告警信息，告警信息包括危險(xiǎn)類(lèi)型、危險(xiǎn)程度等，告警方式包括文字、語(yǔ)音、震動(dòng)等，用戶在接收到告警信息后，可手動(dòng)斷開(kāi)與該無(wú)線網(wǎng)絡(luò)的連接，以方式個(gè)人信息泄露。

以上僅為本發(fā)明的優(yōu)選實(shí)施例，并非因此限制本發(fā)明的專(zhuān)利范圍，凡是利用本發(fā)明說(shuō)明書(shū)及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專(zhuān)利保護(hù)范圍內(nèi)。