Embodiments of the present invention disclose a method, device and electronic device for determining irrelevant nodes. The method includes: acquiring the domain name analysis record of the DNS server of the domain name system for suspicious nodes; calculating the frequency of the DNS server's analysis of the domain name according to the analysis record; acquiring the detection record of the virus Trojan Horse malicious library for the said domain name; and calculating the office according to the detection record. The matching frequency of malicious domain names in the viral Trojan horse malicious database is described; the first number of virus Trojan horse sample identities corresponding to the domain names in the viral Trojan horse malicious database is obtained; the weighted average of the parsing frequency, the matching frequency and the first number is calculated; if the weighted average value is greater than that of the viral Trojan horse malicious database. A preset threshold determines that the suspected node is an irrelevant node. This method can automatically and intelligently identify whether suspicious nodes are irrelevant nodes, and can ensure timeliness and improve the accuracy of identification results.
【技术实现步骤摘要】
一种无关节点确定方法、装置及电子设备
本专利技术涉及通信
,尤其涉及一种无关节点确定方法、装置及电子设备。
技术介绍
随着近年来互联网的攻击事件频发,需要对互联网攻击事件进行分析,即对可疑节点进行分析,以进行攻击防范。目前,通常是先确定出可疑节点,对所有确定出的可疑节点进行分析,但是在可疑节点中通常存在一些官网组织或其他公司设置的用于实验用的节点,这些节点通常存在多种网络攻击事件,对这一类节点进行防攻击分析意义不大,可以将这一类用于实验的节点称为无关节点。因此,在对可疑节点进行防攻击分析时,通常要将无关节点排除,以避免无意义的分析。目前,针对无关节点的鉴别通常采用人工鉴别的方式,并且仅仅基于官方组织或其他公司通过互联网发布的白名单来确定哪些可疑节点是无关节点,哪些节点是需要进行防攻击分析的可疑节点。这种方式可能存在官方组织未能及时更新白名单的情况,这样白名单的时效性便不能得到保证,从而导致鉴别结果不准确。
技术实现思路
有鉴于此,本专利技术实施例提供一种无关节点确定方法、装置及电子设备,可以自动智能识别可疑节点是否为无关节点,并且可以保证时效性,提高鉴别结果的准确性。在第一方面,本专利技术实施例提供一种无关节点确定方法,所述方法包括:获取域名系统DNS服务器对可疑节点的域名的解析记录;根据所述解析记录,计算所述DNS服务器对所述域名的解析频次;获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录;根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次;获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数;计算所述解析 ...
【技术保护点】
1.一种无关节点确定方法,其特征在于,所述方法包括:获取域名系统DNS服务器对可疑节点的域名的解析记录;根据所述解析记录,计算所述DNS服务器对所述域名的解析频次;获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录;根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次;获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数;计算所述解析频次、所述匹配频次及所述第一个数的加权平均值;若所述加权平均值大于预设阈值,则确定所述可疑节点为无关节点。
【技术特征摘要】
1.一种无关节点确定方法,其特征在于,所述方法包括:获取域名系统DNS服务器对可疑节点的域名的解析记录;根据所述解析记录,计算所述DNS服务器对所述域名的解析频次;获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录;根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次;获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数;计算所述解析频次、所述匹配频次及所述第一个数的加权平均值;若所述加权平均值大于预设阈值,则确定所述可疑节点为无关节点。2.根据权利要求1所述的方法,其特征在于,所述解析记录包括:所述DNS服务器对所述域名在过去一段时间内的解析记录和/或在当前之后的一段时间内的解析记录;所述检测记录包括:利用病毒木马恶意库对所述域名在过去一段时间内进行病毒木马检测的检测记录。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取所述病毒木马恶意库中所述可疑节点的互联网协议IP地址对应的病毒木马样本标识的第二个数;所述计算所述解析频次、所述匹配频次及所述第一个数的加权平均值,包括:计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:获取所述IP地址对应的可信度值;所述计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值,包括:计算所述解析频次、所述匹配频次、所述第一个数、所述第二个数及所述可信度值的加权平均值。5.根据权利要求4所述的方法,其特征在于,所述获取所述IP地址对应的可信度值,包括:从云服务器获取所述IP地址对应的可信度值;或,根据预设的IP地址与可信度值的对应关系,确定所述IP地址对应的可信度值。6.一种无关节点确定装置,其特征在于,所述装置包括:第一获取单元,用于获取域名系统DNS服务器对可疑节点的域名的解析记录;第一计算单元,用于根据所述解析记录,计算所述DNS服务器对所述域名的解析频次;第二获...
【专利技术属性】
技术研发人员:康学斌,邓琮,王小丰,肖新光,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江,23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。