一种无关节点确定方法、装置及电子设备制造方法及图纸

本发明专利技术的实施例公开一种无关节点确定方法、装置及电子设备。该方法包括：获取域名系统DNS服务器对可疑节点的域名的解析记录；根据所述解析记录，计算所述DNS服务器对所述域名的解析频次；获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录；根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次；获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数；计算所述解析频次、所述匹配频次及所述第一个数的加权平均值；若所述加权平均值大于预设阈值，则确定所述可疑节点为无关节点。该方法可以自动智能识别可疑节点是否为无关节点，并且可以保证时效性，提高鉴别结果的准确性。

A Method, Device and Electronic Equipment for Determining Independent Nodes

Embodiments of the present invention disclose a method, device and electronic device for determining irrelevant nodes. The method includes: acquiring the domain name analysis record of the DNS server of the domain name system for suspicious nodes; calculating the frequency of the DNS server's analysis of the domain name according to the analysis record; acquiring the detection record of the virus Trojan Horse malicious library for the said domain name; and calculating the office according to the detection record. The matching frequency of malicious domain names in the viral Trojan horse malicious database is described; the first number of virus Trojan horse sample identities corresponding to the domain names in the viral Trojan horse malicious database is obtained; the weighted average of the parsing frequency, the matching frequency and the first number is calculated; if the weighted average value is greater than that of the viral Trojan horse malicious database. A preset threshold determines that the suspected node is an irrelevant node. This method can automatically and intelligently identify whether suspicious nodes are irrelevant nodes, and can ensure timeliness and improve the accuracy of identification results.

【技术实现步骤摘要】
一种无关节点确定方法、装置及电子设备
本专利技术涉及通信
，尤其涉及一种无关节点确定方法、装置及电子设备。
技术介绍
随着近年来互联网的攻击事件频发，需要对互联网攻击事件进行分析，即对可疑节点进行分析，以进行攻击防范。目前，通常是先确定出可疑节点，对所有确定出的可疑节点进行分析，但是在可疑节点中通常存在一些官网组织或其他公司设置的用于实验用的节点，这些节点通常存在多种网络攻击事件，对这一类节点进行防攻击分析意义不大，可以将这一类用于实验的节点称为无关节点。因此，在对可疑节点进行防攻击分析时，通常要将无关节点排除，以避免无意义的分析。目前，针对无关节点的鉴别通常采用人工鉴别的方式，并且仅仅基于官方组织或其他公司通过互联网发布的白名单来确定哪些可疑节点是无关节点，哪些节点是需要进行防攻击分析的可疑节点。这种方式可能存在官方组织未能及时更新白名单的情况，这样白名单的时效性便不能得到保证，从而导致鉴别结果不准确。
技术实现思路
有鉴于此，本专利技术实施例提供一种无关节点确定方法、装置及电子设备，可以自动智能识别可疑节点是否为无关节点，并且可以保证时效性，提高鉴别结果的准确性。在第一方面，本专利技术实施例提供一种无关节点确定方法，所述方法包括：获取域名系统DNS服务器对可疑节点的域名的解析记录；根据所述解析记录，计算所述DNS服务器对所述域名的解析频次；获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录；根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次；获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数；计算所述解析频次、所述匹配频次及所述第一个数的加权平均值；若所述加权平均值大于预设阈值，则确定所述可疑节点为无关节点。优选的，所述解析记录包括：所述DNS服务器对所述域名在过去一段时间内的解析记录和/或在当前之后的一段时间内的解析记录；所述检测记录包括：利用病毒木马恶意库对所述域名在过去一段时间内进行病毒木马检测的检测记录。优选的，所述方法还包括：获取所述病毒木马恶意库中所述可疑节点的互联网协议IP地址对应的病毒木马样本标识的第二个数；所述计算所述解析频次、所述匹配频次及所述第一个数的加权平均值，包括：计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值。优选的，所述方法还包括：获取所述IP地址对应的可信度值；所述计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值，包括：计算所述解析频次、所述匹配频次、所述第一个数、所述第二个数及所述可信度值的加权平均值。优选的，所述获取所述IP地址对应的可信度值，包括：从云服务器获取所述IP地址对应的可信度值；或，根据预设的IP地址与可信度值的对应关系，确定所述IP地址对应的可信度值。在第二方面，本专利技术实施例提供一种无关节点确定装置，该装置包括：第一获取单元，用于获取域名系统DNS服务器对可疑节点的域名的解析记录；第一计算单元，用于根据所述解析记录，计算所述DNS服务器对所述域名的解析频次；第二获取单元，用于获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录；第二计算单元，用于根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次；第三获取单元，用于获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数；第三计算单元，用于计算所述解析频次、所述匹配频次及所述第一个数的加权平均值；确定单元，用于若所述加权平均值大于预设阈值，则确定所述可疑节点为无关节点。优选的，所述解析记录包括：所述DNS服务器对所述域名在过去一段时间内的解析记录和/或在当前之后的一段时间内的解析记录；所述检测记录包括：利用病毒木马恶意库对所述域名在过去一段时间内进行病毒木马检测的检测记录。优选的，所述装置还包括：第四获取单元，用于获取所述病毒木马恶意库中所述可疑节点的互联网协议IP地址对应的病毒木马样本标识的第二个数；所述第三计算单元具体用于：计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值。优选的，所述装置还包括：第五获取单元，用于获取所述IP地址对应的可信度值；所述第三计算单元具体用于：计算所述解析频次、所述匹配频次、所述第一个数、所述第二个数及所述可信度值的加权平均值。优选的，所述第五获取单元具体用于：从云服务器获取所述IP地址对应的可信度值；或，根据预设的IP地址与可信度值的对应关系，确定所述IP地址对应的可信度值。在第三方面，本专利技术实施例提供一种电子设备，其特征在于，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述第一方面所述的无关节点确定方法。本专利技术实施例提供的一种无关节点确定方法、装置及电子设备，可以根据DNS服务器对可疑节点的域名的解析频次、可疑节点的域名匹配病毒木马恶意库中的恶意域名的匹配频次，及在病毒木马恶意库中可疑节点的域名对应的病毒木马样本标识的个数，确定该可疑节点是否为无关节点，无需人工参与，自动智能的识别可疑节点是否为无关节点，并且可以保证时效性，提高鉴别结果的准确性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1为本专利技术的实施例提供的一种无关节点确定方法的流程示意图；图2为本专利技术的实施例提供的另一种无关节点确定方法的流程示意图；图3为本专利技术的实施例提供的又一种无关节点确定方法的流程示意图；图4为本专利技术的实施例提供的一种无关节点确定装置的结构示意图；图5为本专利技术的实施例提供的另一种无关节点确定装置的结构示意图；图6为本专利技术的实施例提供的又一种无关节点确定装置的结构示意图；图7为本专利技术电子设备一个实施例的结构示意图。具体实施方式下面结合附图对本专利技术实施例进行详细描述。应当明确，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。图1为本专利技术的实施例提供的一种无关节点确定方法的流程示意图。该无关节点确定方法可以应用于电子设备。如图1所示，本实施例的无关节点确定方法可以包括：步骤101，获取域名系统DNS服务器对可疑节点的域名的解析记录。在一个例子中，该解析记录可以包括：DNS服务器对可疑节点的域名在过去一段时间(为方便描述，后续将该一段时间段称为第一时间段)内的解析记录和/或在当前之后的一段时间(为方便描述，后续将该一段时间称为第二时间段)内的解析记录。例如，过去一段时间可以为开始执行本方法之前的两年。当前之后的一段时间可以为开始执行本方法之后的一周内)。相应的，步骤101，获取域名系统DNS服务器对可疑节点的域名的解析记录，可以包括：从DNS服务器获取DNS本文档来自技高网...

【技术保护点】
1.一种无关节点确定方法，其特征在于，所述方法包括：获取域名系统DNS服务器对可疑节点的域名的解析记录；根据所述解析记录，计算所述DNS服务器对所述域名的解析频次；获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录；根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次；获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数；计算所述解析频次、所述匹配频次及所述第一个数的加权平均值；若所述加权平均值大于预设阈值，则确定所述可疑节点为无关节点。

【技术特征摘要】
1.一种无关节点确定方法，其特征在于，所述方法包括：获取域名系统DNS服务器对可疑节点的域名的解析记录；根据所述解析记录，计算所述DNS服务器对所述域名的解析频次；获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录；根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次；获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数；计算所述解析频次、所述匹配频次及所述第一个数的加权平均值；若所述加权平均值大于预设阈值，则确定所述可疑节点为无关节点。2.根据权利要求1所述的方法，其特征在于，所述解析记录包括：所述DNS服务器对所述域名在过去一段时间内的解析记录和/或在当前之后的一段时间内的解析记录；所述检测记录包括：利用病毒木马恶意库对所述域名在过去一段时间内进行病毒木马检测的检测记录。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取所述病毒木马恶意库中所述可疑节点的互联网协议IP地址对应的病毒木马样本标识的第二个数；所述计算所述解析频次、所述匹配频次及所述第一个数的加权平均值，包括：计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：获取所述IP地址对应的可信度值；所述计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值，包括：计算所述解析频次、所述匹配频次、所述第一个数、所述第二个数及所述可信度值的加权平均值。5.根据权利要求4所述的方法，其特征在于，所述获取所述IP地址对应的可信度值，包括：从云服务器获取所述IP地址对应的可信度值；或，根据预设的IP地址与可信度值的对应关系，确定所述IP地址对应的可信度值。6.一种无关节点确定装置，其特征在于，所述装置包括：第一获取单元，用于获取域名系统DNS服务器对可疑节点的域名的解析记录；第一计算单元，用于根据所述解析记录，计算所述DNS服务器对所述域名的解析频次；第二获...

【专利技术属性】
技术研发人员：康学斌，邓琮，王小丰，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江,23