一种ip白名单确定方法、装置、设备及存储介质制造方法及图纸

本公开提供了一种ip白名单确定方法、装置、设备及存储介质，所述方法包括：针对从ip数据库中获取的各个ip数据进行DNS域名解析得到DNS域名解析数据；按照预设过滤条件对DNS域名解析数据进行过滤处理，得到DNS域名解析数据中多个过滤剩余域名，并确定多个过滤剩余域名的一级域名；确定预设威胁情报库中各个动态域名的一级域名和各个白域名的一级域名和子域名；对过滤剩余域名的一级域名和白域名的一级域名进行关联得到第一白域名名单，以及对各个动态域名的一级域名和白域名的子域名进行关联得到第二白域名名单；确定目标ip白名单。采用该方法利用ip白名单过滤掉生产的威胁情报中不存在威胁的ip，降低了ip误报率。降低了ip误报率。降低了ip误报率。

【技术实现步骤摘要】
一种ip白名单确定方法、装置、设备及存储介质


[0001]本公开涉及网络安全
，尤其涉及一种ip白名单确定方法、装置、设备及存储介质。

技术介绍

[0002]威胁情报是指针对潜在的网络安全威胁所收集的数据，以及通过收集、处理和分析该数据识别网络安全威胁的过程。在网络安全
，为了保证网络安全通常需要进行情报检测。而利用多源威胁情报进行网络安全威胁分析就是一种常用的情报检测方式。
[0003]目前，为了情报检测通常需要生产威胁情报。而威胁情报的生产方式主要为基于不同数据源对应的统一生产方式。然而，这种威胁情报的生产方式存在大量ip误报的问题，从而导致威胁情报的生产质量较低。
[0004]因此，如何提升威胁情报的生产质量成为了一个亟待解决的问题。

技术实现思路

[0005]本公开提供了一种ip白名单确定方法、装置、设备及存储介质，以至少解决现有技术中存在的以上技术问题。
[0006]根据本公开的第一方面，提供了一种ip白名单确定方法，所述方法包括：
[0007]针对从ip数据库中获取的各个ip数据进行DNS域名解析，得到DNS域名解析数据；
[0008]按照预设过滤条件对所述DNS域名解析数据进行过滤处理，得到所述DNS域名解析数据中多个过滤剩余域名，并确定所述多个过滤剩余域名的一级域名；
[0009]确定预设威胁情报库中各个动态域名的一级域名和各个白域名的一级域名和子域名；
[0010]对所述过滤剩余域名的一级域名和所述白域名的一级域名进行关联，得到第一白域名名单，以及，对各个所述动态域名的一级域名和所述白域名的子域名进行关联，得到第二白域名名单；
[0011]基于所述第一白域名名单和所述第一白域名名单确定目标ip白名单。
[0012]在一可实施方式中，所述预设过滤条件包括以下条件中的至少一种：
[0013]过滤字节长度大于预设字节长度的域名；
[0014]过滤域名前缀为预设前缀的域名；
[0015]过滤具有相同父域名且前缀不同的域名；
[0016]过滤四级域名以上的域名；
[0017]过滤关联IP数量大于第一预设数量的域名；
[0018]过滤第一预设字符或第二预设字符出现次数大于预设次数的域名；
[0019]过滤按照第三预设字符分割后所得到的域名段的三级域名和四级域名为数字，且数字长度大于等于第二预设数量的域名；
[0020]过滤按照所述第三预设字符分割后所得到的域名段中最长字节段的字符数小于
等于第三预设数量的域名；
[0021]过滤按照所述第三预设字符分割后所得到的域名段中最高级域名包含预设位数的哈希字符串的域名；
[0022]过滤按照所述第一预设字符、所述第二预设字符或所述第三预设字符分割后所得到的域名段中，存在字符串长度小于等于预设字符串长度的域名。
[0023]在一可实施方式中，所述对所述过滤剩余域名的一级域名和所述白域名的一级域名进行关联，得到第一白域名名单，包括：
[0024]将所述白域名的一级域名确定为所述过滤剩余域名的一级域名的父域名，并将得到的各个新域名的名单作为第一白域名名单。
[0025]在一可实施方式中，所述对所述各个动态域名的一级域名和所述白域名的子域名进行关联，得到第二白域名名单，包括：
[0026]将各个所述动态域名的一级域名确定为所述白域名的子域名的父域名，并将得到的各个新域名的名单作为第二白域名名单。
[0027]在一可实施方式中，所述方法还包括：
[0028]当用户生产出威胁情报后，将所述威胁情报中的ip与所述目标ip白名单中的ip进行比对；
[0029]过滤所述威胁情报的ip中，在所述目标ip白名单里出现过的ip，得到修正后的威胁情报。
[0030]根据本公开的第二方面，提供了一种ip白名单确定装置，所述装置包括：
[0031]域名解析模块，用于针对从ip数据库中获取的各个ip数据进行DNS域名解析，得到DNS域名解析数据；
[0032]域名过滤模块，用于按照预设过滤条件对所述DNS域名解析数据进行过滤处理，得到所述DNS域名解析数据中多个过滤剩余域名，并确定所述多个过滤剩余域名的一级域名；
[0033]一级域名确定模块，用于确定预设威胁情报库中各个动态域名的一级域名和各个白域名的一级域名和子域名；
[0034]白名单确定模块，用于对所述过滤剩余域名的一级域名和所述白域名的一级域名进行关联，得到第一白域名名单，以及，对各个所述动态域名的一级域名和所述白域名的子域名进行关联，得到第二白域名名单；基于所述第一白域名名单和所述第一白域名名单确定目标ip白名单。
[0035]在一可实施方式中，所述白名单确定模块还包括：第一白域名名单确定模块，用于将所述白域名的一级域名确定为所述过滤剩余域名的一级域名的父域名，并将得到的各个新域名的名单作为第一白域名名单；
[0036]第二将白域名名单确定模块，用于各个所述动态域名的一级域名确定为所述白域名的子域名的父域名，并将得到的各个新域名的名单作为第二白域名名单。
[0037]在一可实施方式中，所述装置还包括：
[0038]威胁情报修正模块，用于当用户生产出威胁情报后，将所述威胁情报中的ip与所述目标ip白名单中的ip进行比对；过滤所述威胁情报的ip中，在所述目标ip白名单里出现过的ip，得到修正后的威胁情报。
[0039]根据本公开的第三方面，提供了一种电子设备，包括：
[0040]至少一个处理器；以及
[0041]与所述至少一个处理器通信连接的存储器；其中，
[0042]所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本公开所述的方法。
[0043]根据本公开的第四方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使计算机执行本公开所述的方法。
[0044]采用本公开实施例提供的方法，针对从ip数据库中获取的各个ip数据进行DNS域名解析，得到DNS域名解析数据；按照预设过滤条件对DNS域名解析数据进行过滤处理，得到DNS域名解析数据中多个过滤剩余域名，并确定多个过滤剩余域名的一级域名；确定预设威胁情报库中各个动态域名的一级域名和各个白域名的一级域名和子域名；对过滤剩余域名的一级域名和白域名的一级域名进行关联，得到第一白域名名单，以及，对各个动态域名的一级域名和白域名的子域名进行关联，得到第二白域名名单；基于第一白域名名单和第一白域名名单确定目标ip白名单。即利用预设威胁情报库中的动态域名和白域名，对ip数据库中海量的ip进行关联，得到ip数据库中的ip白名单，然后可以在生产威胁情报时，利用ip白名单过滤掉生产的威胁情报中不存在威胁的ip，降低了威胁情报的ip误报率，从而实现威胁情报生产质量的提升。
[0045]应当理解本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种ip白名单确定方法，其特征在于，所述方法包括：针对从ip数据库中获取的各个ip数据进行DNS域名解析，得到DNS域名解析数据；按照预设过滤条件对所述DNS域名解析数据进行过滤处理，得到所述DNS域名解析数据中多个过滤剩余域名，并确定所述多个过滤剩余域名的一级域名；确定预设威胁情报库中各个动态域名的一级域名和各个白域名的一级域名和子域名；对所述过滤剩余域名的一级域名和所述白域名的一级域名进行关联，得到第一白域名名单，以及，对各个所述动态域名的一级域名和所述白域名的子域名进行关联，得到第二白域名名单；基于所述第一白域名名单和所述第一白域名名单确定目标ip白名单。2.根据权利要求1所述的方法，其特征在于，所述预设过滤条件包括以下条件中的至少一种：过滤字节长度大于预设字节长度的域名；过滤域名前缀为预设前缀的域名；过滤具有相同父域名且前缀不同的域名；过滤四级域名以上的域名；过滤关联IP数量大于第一预设数量的域名；过滤第一预设字符或第二预设字符出现次数大于预设次数的域名；过滤按照第三预设字符分割后所得到的域名段的三级域名和四级域名为数字，且数字长度大于等于第二预设数量的域名；过滤按照所述第三预设字符分割后所得到的域名段中最长字节段的字符数小于等于第三预设数量的域名；过滤按照所述第三预设字符分割后所得到的域名段中最高级域名包含预设位数的哈希字符串的域名；过滤按照所述第一预设字符、所述第二预设字符或所述第三预设字符分割后所得到的域名段中，存在字符串长度小于等于预设字符串长度的域名。3.根据权利要求1所述的方法，其特征在于，所述对所述过滤剩余域名的一级域名和所述白域名的一级域名进行关联，得到第一白域名名单，包括：将所述白域名的一级域名确定为所述过滤剩余域名的一级域名的父域名，并将得到的各个新域名的名单作为第一白域名名单。4.根据权利要求1所述的方法，其特征在于，所述对所述各个动态域名的一级域名和所述白域名的子域名进行关联，得到第二白域名名单，包括：将各个所述动态域名的一级域名确定为所述白域名的子域名的父域名，并将得到的各个新域名的名单作为第二白域名名单。5.根据权利要求1
‑
4任一项所述的方法，其特征在于，所述方法还包括：当用...

【专利技术属性】
技术研发人员：陈楷仁，沈长伟，肖新光，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：