域名和因特网协议地址经核准和未经核准隶属度推理制造技术

根据示例，域名和IP地址经核准和未经核准隶属度推理可包括接收域名和IP地址，并且将域名映射至IP地址。属于经核准域名列表或属于未经核准域名列表的域名可被识别。属于经核准IP地址列表或属于未经核准IP地址列表的IP地址可被识别。对于未知IP地址和映射至该未知IP地址的域名，确定在映射至该未知IP地址的域名中是否超过预定百分比的域名处于所述经核准域名列表中。基于该确定，未知IP地址可被指定为经核准的，并且被分配给经核准IP地址列表，或者可替代地，被指定为未经核准的，并且被分配给未经核准IP地址列表。

【技术实现步骤摘要】
【国外来华专利技术】域名和因特网协议地址经核准和未经核准隶属度推理
技术介绍
域名系统(DNS)是提供翻译服务以将域名翻译成其相应的数字因特网协议(IP)地址的分层分布式命名系统。对于域名和其相应的IP地址，良性域名和恶性域名及其对应的IP地址通常通过将所访问的域名或IP地址分别与经核准和未经核准的域名列表或IP地址列表相比较来识别。附图说明本公开的特征通过示例来说明并且不限于以下附图，其中相同的附图标记表示相同的元件，其中：图1图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理装置的体系结构；图2图示了根据本公开示例的图1的装置的应用示例的二分图；图3图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理的方法；图4图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理的方法的更多细节；以及图5图示了根据本公开示例的计算机系统。具体实施方式为了简化和说明目的，通过主要参考示例来描述本公开。在以下描述中，给出许多具体细节以提供对本公开的透彻理解。然而，很显然，本公开可以实施而不受限于这些具体细节。在其他实例中，某些方法和结构未被详细描述从而避免不必要地使本公开不清楚。在整个本公开中，术语“一个”意在表示特点元件中的至少一个。如本文中所使用的，术语“包括”意思是包括但不限于，术语“包含”意思是包括但不限于。术语“基于”意思是至少部分基于。通常，企业网络中的传染源会大量产生并且在企业网络的主机或用户所访问的整个网域传播。因此，对企业网络的主机或用户所访问的良性网域与恶性网域的识别能够改善这种企业网络的安全性。如果一个域名不存于经核准和未经核准的域名列表中的任何一个中，则与该域名对应的IP地址可以与经核准和未经核准的IP地址列表比较。基于对该域名或相应的IP地址是否在经核准或未经核准的域名列表或IP地址列表上的确定，可允许或防止对该域的访问。经核准和未经核准的域名列表和IP地址列表的方法可用于评价包括一对一映射的域名和相应的IP地址，并且因此可通过静态映射识别。然而，域名和它们相应的IP地址可包括多对多映射。例如，单个IP地址可映射至域名集，反之亦然。域名与IP地址之间的多对多映射还可由于例如动态主机配置协议(DHCP)、负载均衡、云托管以及内容分发网(CDN)，而随时间而变化。对于域名与IP地址之间的多对多映射，静态映射会引起对恶性域名与良性域名及其对应的IP地址的不准确识别。在企业环境中可在几种情形中遭遇多对多映射。例如，域名“lookoutsoft.com”可映射至三个IP地址，一个是64.4.6.100。例如，对IP地址64.4.6.100的反向查找可返回例如超过400个域名。对于对IP地址64.4.6.100的反向DNS查询，如果该IP地址不在经核准和未经核准的IP地址列表上，则对与该IP地址对应的超过400个域名的进一步分析可能导致在经核准域名列表上的某些域名和不在经核准域名列表上的其他域名。因此，关于IP地址64.4.6.100是良性的或恶性的，这样的分析可能是不可信的。根据另一示例，许多良性和恶性域名可指向单个IP地址，例如，212.154.192.92。然而，假设对IP地址212.154.192.92的反向DNS查询引起重定向域名，则关于IP地址或相关联的域名是否是良性的或恶性的，这样的分析可能是不可信的。根据示例，本文公开了域名和IP地址经核准和未经核准隶属度推理装置以及用于域名和IP地址经核准和未经核准隶属度推理装置的方法。本文所公开的装置和方法通常可应用基于概率的分析，以在存在多对多映射的情况下推理在经核准和未经核准的域名列表和IP地址列表中的隶属度以及与域名或IP地址的良性状态或恶性状态有关的不完全信息。例如，该不完全信息可表示与IP地址对应的全部数量的域名之外的域名子集的良性状态或恶性状态。因此，本文所公开的装置和方法可使用有限的先验知识和多对多域名至IP地址映射来预测经核准和未经核准的域名列表和IP地址列表中的隶属度。本文所公开的装置和方法可与例如使用域名和/或IP地址经核准和未经核准列表的安全系统一起使用。该安全系统可包括例如入侵检测系统(IDS)、入侵防止系统(IPS)、垃圾邮件过滤器、防火墙、超文本传输协议(HTTP)代理以及安全信息和事件管理(SIEM)系统。本文所公开的基于概率的分析可易于扩展至相对大的企业环境。本文所公开的装置和方法还可以利用相对少量的数据。例如，本文所公开的装置和方法可以依赖于通常由企业例如以DNS请求和响应的形式收集的<aname＝"_GoBack"></a>域名至IP地址映射以及通常由企业使用的经核准和未经核准的域名列表和IP地址列表。本文所公开的装置和方法还可以被用于扩展现有的经核准和未经核准的域名列表和IP地址列表。如本文所公开的，对是良性或是恶性具有高可信度的域名和IP地址可在现有经核准和未经核准的域名列表和IP地址列表中相应地识别。此外，如本文所公开的，以前未识别为是良性或是恶性的任意域名和IP地址也可以被识别为是良性的或是恶性的。本文所公开的装置和方法的应用的示例可包括可扩展DNS日志收集系统的实现方式。例如，DNS日志收集系统可使用经核准的列表方法，以忽略对良性网域的DNS请求并且记录有潜在风险的剩余DNS请求。本文所公开的装置和方法可用于增大用在DNS日志收集系统中的经核准和未经核准的域名列表和IP地址列表，并且还可提供对不在经核准和未经核准的域名列表和IP地址列表上的域名和IP地址的属性的推理。图1图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理装置100(下文中称为“装置100”)的体系结构。参考图1，装置100被描绘为包括域名和IP地址接收模块102，以接收域名104和/或IP地址106的集合。按照从DNS服务器108获得的DNS映射，域名104中的特定域名可映射至IP地址106中的特定IP地址，反之亦然。由于域名至IP地址映射可随时间而变化，因此映射时间识别模块110可识别与对域名104和IP地址106的映射和/或接收相关联的时间。绘图模块112可将域名104和IP地址106中的每一个表示为在二分图114(例如，参见图2的示例)中的节点。如果域名104中的一个域名映射至IP地址106中的一个IP地址，则绘图模块112可分配被映射至该IP地址的特定域名之间的边缘。经核准列表概率赋值模块116可将概率118分配给以前已确定属于经核准域名列表120的域名104中的域名以及以前已确定属于经核准IP地址列表122的IP地址106中的IP地址。此外，未经核准概率赋值模块124可将概率126分配给以前已确定属于未经核准域名列表128的域名104中的域名以及以前已确定属于未经核准IP地址列表130的IP地址106中的IP地址。概率推理模块132可使用本文所公开的阈值处理来推理剩余未知域名和IP地址(即，在经核准域名列表120、经核准IP地址列表122、未经核准域名列表128、或未经核准IP地址列表130中未出现的未知域名和IP地址)的概率。替代地或附加地，概率推理模块132可通过使用由经核准列表概率赋值模块116和未经核准列表概率赋值模块124分配的概率，而使用本文所公开的图形推理本文档来自技高网...

【技术保护点】
一种用于域名和因特网协议(IP)地址经核准和未经核准隶属度推理的方法，所述方法包括：接收多个域名和多个IP地址；确定所接收的多个域名至所接收的多个IP地址的映射；识别所接收的多个域名中属于经核准域名列表或属于未经核准域名列表的域名；识别所接收的多个IP地址中属于经核准IP地址列表或属于未经核准IP地址列表的IP地址；针对所接收的多个IP地址中的未知IP地址以及映射至所述未知IP地址的域名，由至少一个处理器确定映射至所述未知IP地址的域名中是否超过预定百分比的域名处于所述经核准域名列表中；响应于确定映射至所述未知IP地址的域名中超过预定百分比的域名处于所述经核准域名列表中，将所述未知IP地址指定为经核准的，并且将所述未知IP地址分配给所述经核准IP地址列表；以及响应于确定映射至所述未知IP地址的域名中小于或等于预定百分比的域名处于所述经核准域名列表中，将所述未知IP地址指定为未经核准的，并且将所述未知IP地址分配给所述未经核准IP地址列表。

【技术特征摘要】
【国外来华专利技术】1.一种用于域名和因特网协议(IP)地址经核准和未经核准隶属度推理的方法，所述方法包括：接收多个域名和多个IP地址；确定所接收的多个域名至所接收的多个IP地址的映射；识别所接收的多个域名中属于经核准域名列表或属于未经核准域名列表的域名；识别所接收的多个IP地址中属于经核准IP地址列表或属于未经核准IP地址列表的IP地址；针对所接收的多个域名中的未知域名以及映射至所述未知域名的IP地址，确定映射至所述未知域名的IP地址中是否超过预定百分比的IP地址处于所述经核准IP地址列表中；针对所接收的多个IP地址中的未知IP地址以及映射至所述未知IP地址的域名，由至少一个处理器确定映射至所述未知IP地址的域名中是否超过预定百分比的域名处于所述经核准域名列表中；响应于确定映射至所述未知域名的IP地址中超过预定百分比的IP地址处于所述经核准IP地址列表中，将所述未知域名指定为经核准的，并且将所述未知域名分配给所述经核准域名列表；响应于确定映射至所述未知IP地址的域名中超过预定百分比的域名处于所述经核准域名列表中，将所述未知IP地址指定为经核准的，并且将所述未知IP地址分配给所述经核准IP地址列表；响应于确定映射至所述未知域名的IP地址中小于或等于预定百分比的IP地址处于所述经核准IP地址列表中，将所述未知域名指定为未经核准的，并且将所述未知域名分配给所述未经核准域名列表；以及响应于确定映射至所述未知IP地址的域名中小于或等于预定百分比的域名处于所述经核准域名列表中，将所述未知IP地址指定为未经核准的，并且将所述未知IP地址分配给所述未经核准IP地址列表，其中，所述未知IP地址是所述经核准IP地址列表或所述未经核准IP地址列表中未出现的给定IP地址，所述未知域名是所述经核准域名列表或所述未经核准域名列表中未出现的给定域名。2.根据权利要求1所述的方法，进一步包括：分配可信区间，用于所述未知IP地址作为经核准的或未经核准的指定；确定所述可信区间是否大于预定可信区间阈值；响应于确定所述可信区间大于所述预定可信区间阈值，将所述未知IP地址指定为未知的；以及响应于确定所述可信区间小于或等于所述预定可信区间阈值，基于确定映射至所述未知IP地址的域名中超过或小于或等于预定百分比的域名处于所述经核准域名列表中，将所未知IP地址指定为经核准的或未经核准的。3.根据权利要求1所述的方法，进一步包括：分配可信区间，用于所述未知域名作为经核准的或未经核准的指定；确定所述可信区间是否大于预定可信区间阈值；响应于确定所述可信区间大于所述预定可信区间阈值，将所述未知域名指定为未知的；以及响应于确定所述可信区间小于或等于所述预定可信区间阈值，基于确定映射至所述未知域名的IP地址中超过或小于或等于预定百分比的IP地址处于所述经核准IP地址列表中，将所未知域名指定为经核准的或未经核准的。4.根据权利要求1所述的方法，其中确定映射至所述未知IP地址的域名中是否超过预定百分比的域名处于所述经核准域名列表中进一步包括：通过以下操作来计算与映射至所述未知IP地址的域名有关的经调节分数：考虑所接收的多个域名的总数，和考虑用于表示所接收的多个域名至所接收的多个IP地址的映射的二分图中的节点的所有分数的平均值；以及将所计算的经调节分数与阈值比较，以确定所述未知IP地址被指定为经核准的或指定为未经核准的。5.根据权利要求1所述的方法，其中确定映射至所述未知域名的IP地址中是否超过预定百分比的IP地址处于所述经核准IP地址列表中进一步包括：通过以下操作来计算与映射至所述未知域名的IP地址有关的经调节分数：考虑所接收的多个IP地址的总数，和考虑用于表示所接收的多个域名至所接收的多个IP地址的映射的二分图中的节点的所有分数的平均值；以及将所计算的经调节分数与阈值比较，以确定所述未知域名被指定为经核准的或指定为未经核准的。6.根据权利要求1所述的方法，进一步包括：标记与所述多个域名的接收和所述多个IP地址的接收相关联的时间；确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间是否超过基于当前时间的预定时间间隔；响应于确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间超过基于所述当前时间的所述预定时间间隔，更新所接收的多个域名至所接收的多个IP地址的映射；以及响应于确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间小于或等于基于所述当前时间的所述预定时间间隔，在更新所接收的多个域名映射至所接收的多个IP地址的映射之前，等待与所述多个域名的接收和所述多个IP地址的接收相关联的时间超过所述预定时间间隔。7.一种域名和因特网协议(IP)地址经核准和未经核准隶属度推理装置，包括：至少一个处理器；以及存储器，用于存储机器可读指令，所述机器可读指令在由所述至少一个处理器执行时使所述至少一个处理器：接收多个域名和多个IP地址；确定所接收...

【专利技术属性】
技术研发人员：普拉尤萨·马纳德哈塔，阿姆鲁塔·戈卡莱，
申请(专利权)人：慧与发展有限责任合伙企业，
类型：发明
国别省市：美国;US