一种无关节点确定方法、装置及电子设备与流程

本发明涉及通信技术领域，尤其涉及一种无关节点确定方法、装置及电子设备。

背景技术

随着近年来互联网的攻击事件频发，需要对互联网攻击事件进行分析，即对可疑节点进行分析，以进行攻击防范。目前，通常是先确定出可疑节点，对所有确定出的可疑节点进行分析，但是在可疑节点中通常存在一些官网组织或其他公司设置的用于实验用的节点，这些节点通常存在多种网络攻击事件，对这一类节点进行防攻击分析意义不大，可以将这一类用于实验的节点称为无关节点。因此，在对可疑节点进行防攻击分析时，通常要将无关节点排除，以避免无意义的分析。

目前，针对无关节点的鉴别通常采用人工鉴别的方式，并且仅仅基于官方组织或其他公司通过互联网发布的白名单来确定哪些可疑节点是无关节点，哪些节点是需要进行防攻击分析的可疑节点。这种方式可能存在官方组织未能及时更新白名单的情况，这样白名单的时效性便不能得到保证，从而导致鉴别结果不准确。

技术实现要素：

有鉴于此，本发明实施例提供一种无关节点确定方法、装置及电子设备，可以自动智能识别可疑节点是否为无关节点，并且可以保证时效性，提高鉴别结果的准确性。

在第一方面，本发明实施例提供一种无关节点确定方法，所述方法包括：

获取域名系统dns服务器对可疑节点的域名的解析记录；

根据所述解析记录，计算所述dns服务器对所述域名的解析频次；

获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录；

根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次；

获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数；

计算所述解析频次、所述匹配频次及所述第一个数的加权平均值；

若所述加权平均值大于预设阈值，则确定所述可疑节点为无关节点。

优选的，所述解析记录包括：所述dns服务器对所述域名在过去一段时间内的解析记录和/或在当前之后的一段时间内的解析记录；所述检测记录包括：利用病毒木马恶意库对所述域名在过去一段时间内进行病毒木马检测的检测记录。

优选的，所述方法还包括：获取所述病毒木马恶意库中所述可疑节点的互联网协议ip地址对应的病毒木马样本标识的第二个数；所述计算所述解析频次、所述匹配频次及所述第一个数的加权平均值，包括：计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值。

优选的，所述方法还包括：获取所述ip地址对应的可信度值；所述计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值，包括：计算所述解析频次、所述匹配频次、所述第一个数、所述第二个数及所述可信度值的加权平均值。

优选的，所述获取所述ip地址对应的可信度值，包括：从云服务器获取所述ip地址对应的可信度值；或，根据预设的ip地址与可信度值的对应关系，确定所述ip地址对应的可信度值。

在第二方面，本发明实施例提供一种无关节点确定装置，该装置包括：

第一获取单元，用于获取域名系统dns服务器对可疑节点的域名的解析记录；

第一计算单元，用于根据所述解析记录，计算所述dns服务器对所述域名的解析频次；

第二获取单元，用于获取利用病毒木马恶意库对所述域名进行病毒木马检测的检测记录；

第二计算单元，用于根据所述检测记录计算所述域名匹配所述病毒木马恶意库中的恶意域名的匹配频次；

第三获取单元，用于获取在所述病毒木马恶意库中所述域名对应的病毒木马样本标识的第一个数；

第三计算单元，用于计算所述解析频次、所述匹配频次及所述第一个数的加权平均值；

确定单元，用于若所述加权平均值大于预设阈值，则确定所述可疑节点为无关节点。

优选的，所述解析记录包括：所述dns服务器对所述域名在过去一段时间内的解析记录和/或在当前之后的一段时间内的解析记录；所述检测记录包括：利用病毒木马恶意库对所述域名在过去一段时间内进行病毒木马检测的检测记录。

优选的，所述装置还包括：第四获取单元，用于获取所述病毒木马恶意库中所述可疑节点的互联网协议ip地址对应的病毒木马样本标识的第二个数；所述第三计算单元具体用于：计算所述解析频次、所述匹配频次、所述第一个数及所述第二个数的加权平均值。

优选的，所述装置还包括：第五获取单元，用于获取所述ip地址对应的可信度值；所述第三计算单元具体用于：计算所述解析频次、所述匹配频次、所述第一个数、所述第二个数及所述可信度值的加权平均值。

优选的，所述第五获取单元具体用于：从云服务器获取所述ip地址对应的可信度值；或，根据预设的ip地址与可信度值的对应关系，确定所述ip地址对应的可信度值。

在第三方面，本发明实施例提供一种电子设备，其特征在于，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述第一方面所述的无关节点确定方法。

本发明实施例提供的一种无关节点确定方法、装置及电子设备，可以根据dns服务器对可疑节点的域名的解析频次、可疑节点的域名匹配病毒木马恶意库中的恶意域名的匹配频次，及在病毒木马恶意库中可疑节点的域名对应的病毒木马样本标识的个数，确定该可疑节点是否为无关节点，无需人工参与，自动智能的识别可疑节点是否为无关节点，并且可以保证时效性，提高鉴别结果的准确性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明的实施例提供的一种无关节点确定方法的流程示意图；

图2为本发明的实施例提供的另一种无关节点确定方法的流程示意图；

图3为本发明的实施例提供的又一种无关节点确定方法的流程示意图；

图4为本发明的实施例提供的一种无关节点确定装置的结构示意图；

图5为本发明的实施例提供的另一种无关节点确定装置的结构示意图；

图6为本发明的实施例提供的又一种无关节点确定装置的结构示意图；

图7为本发明电子设备一个实施例的结构示意图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明的实施例提供的一种无关节点确定方法的流程示意图。该无关节点确定方法可以应用于电子设备。

如图1所示，本实施例的无关节点确定方法可以包括：

步骤101，获取域名系统dns服务器对可疑节点的域名的解析记录。

在一个例子中，该解析记录可以包括：dns服务器对可疑节点的域名在过去一段时间(为方便描述，后续将该一段时间段称为第一时间段)内的解析记录和/或在当前之后的一段时间(为方便描述，后续将该一段时间称为第二时间段)内的解析记录。例如，过去一段时间可以为开始执行本方法之前的两年。当前之后的一段时间可以为开始执行本方法之后的一周内)。

相应的，步骤101，获取域名系统dns服务器对可疑节点的域名的解析记录，可以包括：

从dns服务器获取dns服务器已记录的在第一时间段内dns服务器解析该域名的解析记录，并监测在第二时间段内dns服务器解析该域名的解析记录，以便实时更新第二时间段内dns服务器解析该域名的解析记录。

在一个例子中，dns服务器可以为一个也可以为多个，dns服务器的选取可以由人工确定，将可能解析该域名的dns服务器的地址以命令的方式输入该电子设备，从而执行步骤101。

步骤102，根据获取到的解析记录，计算dns服务器对可疑节点的域名的解析频次。

具体的，在获取到解析记录之后，统计该解析记录中记录的dns服务器解析可疑节点的域名的次数，然后用该次数除以该解析记录对应的时间段的长度，得到解析频次。

步骤103，获取利用病毒木马恶意库对可疑节点的域名进行病毒木马检测的检测记录。

在一个例子中，病毒木马恶意库可以包括：恶意域名(例如，曾经提供过病毒木马下载的域名)与该恶意域名提供过的病毒木马对应的病毒木马样本标识的对应关系。一个恶意域名可以对应多个病毒木马样本标识，每个病毒木马样本标识唯一对应一个病毒木马样本标识。基于此，利用该病毒木马恶意库进行病毒木马检测的设备(为方便描述，后续将该设备称为检测设备)根据该病毒木马恶意库来检测该域名是否为恶意域名。具体的，dns解析服务器每次解析该域名后，便会通知该检测设备对该域名进行病毒木马检测，如果与病毒木马恶意库中的任一恶意域名相同，则该域名匹配病毒木马恶意库中的恶意域名的次数加1。因此，可以从该检测设备中获取该检测记录。

在一个例子中，该检测记录包括：利用病毒木马恶意库对可疑节点的域名在过去一段时间(为方便描述，后续将该一段时间段称为第三时间段)内进行病毒木马检测的检测记录。其中，第三时间段可以与上述第一时间段相同，也可以不同。

步骤104，根据获取到的检测记录计算可疑节点的域名匹配病毒木马恶意库中的恶意域名的匹配频次。

具体的，在获取到检测记录之后，获取该检测记录中记录的域名匹配病毒木马恶意库中的恶意域名的次数，然后用该次数除以该检测记录对应的时间段的长度，得到匹配频次。

步骤105，获取在病毒木马恶意库中可疑节点的域名对应的病毒木马样本标识的第一个数。

具体的，可以从检测设备获取在病毒木马恶意库中可疑节点的域名对应的病毒木马样本标识的第一个数。

需要说明的是，若病毒木马恶意库中没有与该可疑节点的域名相同的恶意域名，则匹配频次和第一个数均为0。

需要说明的是，本实施例中并不对步骤101、步骤103和步骤105的顺序进行限定。

步骤106，计算解析频次、匹配频次及第一个数的加权平均值。

该加权平均值可以认为是表征可疑节点恶意程度的参数。

在一个例子中，为了更准确的判断可疑节点是否为无关节点，还可以增加一个维度的参数，来计算用于表征可疑节点恶意程度的加权平均值。这个参数可以为：在病毒木马恶意库中该可疑节点的ip地址对应的病毒木马样本标识的第二个数。相应的，如图2所示，本实施例提供的无关节点确定方法还可以包括：

步骤108，从利用病毒木马恶意库进行病毒木马检测的设备中获取在病毒木马恶意库中该可疑节点的ip地址对应的病毒木马样本标识的第二个数。

其中，病毒木马恶意库可以包括：恶意域名对应的ip地址与该恶意域名提供过的病毒木马对应的病毒木马样本标识的对应关系。基于此，将在该病毒木马恶意库中该ip地址对应的病毒木马样本标识的个数作为第二个数。

基于步骤108，步骤106，计算解析频次、匹配频次及第一个数的加权平均值，包括：

步骤1061，计算解析频次、匹配频次、第一个数及第二个数的加权平均值。

在另一个例子中，为了进一步提高判断可疑节点是否为无关节点的准确性，还可以增加另一个维度的参数，来计算用于表征可疑节点恶意程度的加权平均值。这个参数可以为：可疑节点的ip地址对应的可信度值。相应的，如图3所示，本实施例提供的无关节点确定方法还可以包括：

步骤109，获取该ip地址对应的可信度值。

在一个例子中，该步骤109可以包括：从云服务器获取该ip地址对应的可信度值；或，根据预设的ip地址与可信度值的对应关系，确定ip地址对应的可信度值。

基于步骤109，步骤1061，计算解析频次、匹配频次、第一个数及第二个数的加权平均值，包括：

步骤10611，计算解析频次、匹配频次、第一个数、第二个数及可信度值的加权平均值。

步骤107，若加权均值大干预设阈值，则确定该可疑节点为无关节点。

其中，该预设阈值可以有人工根据经验进行设置。若加权均值大于预设阈值，则确定该可疑节点为无关节点；若加权均值不大于预设阈值，则确定该可疑节点为需要进行防攻击分析的节点。

通过利用本发明实施例提供的无关节点确定方法，可以根据dns服务器对可疑节点的域名的解析频次、可疑节点的域名匹配病毒木马恶意库中的恶意域名的匹配频次，及在病毒木马恶意库中可疑节点的域名对应的病毒木马样本标识的个数，确定该可疑节点是否为无关节点，无需人工参与，自动智能的识别可疑节点是否为无关节点，并且可以保证时效性，提高鉴别结果的准确性。

下面通过一个具体例子，进一步说明本发明实施例提供的无关节点确定方法。

假设用于识别可疑节点x是否为无关节点的电子设备(为方便描述，本例中称为设备y)开始进行识别该可疑节点的时间为2017年12月10日12点整。第一时间段为开始识别可疑节点是否为无关节点之前的两年内，即第一时间段为2015年12月10日12点整到2017年12月10日12点整。第二时间段为开始识别可疑节点是否为无关节点之后的一周内，即第二时间段为2017年12月10日12点整到2017年12月17日12点整。第三时间段与第一时间段相同。

设备y确定首先确定该可疑节点x对应的ip地址1及域名2。然后从选取的dns服务器获取2015年12月10日12点整到2017年12月10日12点整这段时间内dns服务器解析可疑节点的域名2的解析记录1，并根据解析记录1计算出第一时间段对应的解析频次a1。并且，设备y监测在2017年12月10日12点整到2017年12月17日12点整这段时间内dns服务器解析域名2的解析记录2，根据解析记录2计算第二时间段对应的解析频次a2，计算a1与a2之和，该和为dns服务器对域名2的解析频次a。

设备y从利用病毒木马恶意库进行病毒木马检测的设备(为方便描述，本实施例中称为设备z)中获取在2017年12月10日12点整到2017年12月17日12点整这段时间内对域名2进行病毒木马检测的检测记录，并根据该检测记录计算域名2匹配病毒木马恶意库中的恶意域名的匹配频次b。

设备y从设备z获取在该病毒木马恶意库中该域名2对应的病毒木马样本标识的个数c。

设备y从设备z中获取在病毒木马恶意库中该ip地址1对应的病毒木马样本标识的个数d。

设备y从云服务器获取该ip地址1对应的可信度值e。

当设备y获取到a、b、c、d、e这五个值后，计算a、b、c、d、e的加权平均值h。若加权平均值h大于预设阈值，则确定该可疑节点x为无关节点；若加权平均值h不大于预设阈值，则确定该可疑节点x为需要进行防攻击分析的节点。

图4为本发明实施例提供的一种无关节点确定装置的结构示意图。该装置可以应用于电子设备。

如图4所示，本实施例的装置可以包括：第一获取单元401，第一计算单元402，第二获取单元403，第二计算单元404，第三获取单元405，第三计算单元406和确定单元407。

第一获取单元401用于获取域名系统dns服务器对可疑节点的域名的解析记录。

第一计算单元402用于根据该解析记录，计算该dns服务器对该域名的解析频次。

第二获取单元403用于获取利用病毒木马恶意库对该域名进行病毒木马检测的检测记录。

第二计算单元404用于根据该检测记录计算该域名匹配该病毒木马恶意库中的恶意域名的匹配频次。

第三获取单元405用于获取在该病毒木马恶意库中该域名对应的病毒木马样本标识的第一个数。

第三计算单元406用于计算该解析频次、该匹配频次及该第一个数的加权平均值。

确定单元407用于若该加权平均值大于预设阈值，则确定该可疑节点为无关节点。

优选的，该解析记录包括：该dns服务器对该域名在过去一段时间内的解析记录和/或在当前之后的一段时间内的解析记录；该检测记录包括：利用病毒木马恶意库对该域名在过去一段时间内进行病毒木马检测的检测记录。

优选的，如图5所示，该装置还包括：第四获取单元408。

第四获取单元408用于获取该病毒木马恶意库中该可疑节点的ip地址对应的病毒木马样本标识的第二个数。

相应的，第三计算单元406具体用于：计算该解析频次、该匹配频次、该第一个数及该第二个数的加权平均值。

优选的，如图6所示，该装置还包括：第五获取单元409。

第五获取单元409用于获取所述ip地址对应的可信度值。

相应的，第三计算单元406具体用于：计算该解析频次、该匹配频次、该第一个数、该第二个数及该可信度值的加权平均值。

优选的，第五获取单元409具体用于：从云服务器获取所述ip地址对应的可信度值；或，根据预设的ip地址与可信度值的对应关系，确定所述ip地址对应的可信度值。

本发明实施例提供的一种无关节点确定装置，可以根据dns服务器对可疑节点的域名的解析频次、可疑节点的域名匹配病毒木马恶意库中的恶意域名的匹配频次，及在病毒木马恶意库中可疑节点的域名对应的病毒木马样本标识的个数，确定该可疑节点是否为无关节点，无需人工参与，自动智能的识别可疑节点是否为无关节点，并且可以保证时效性，提高鉴别结果的准确性。

本发明实施例还提供一种电子设备。图7为本发明电子设备一个实施例的结构示意图，可以实现本发明图1、图2和图3所示实施例的流程，如图5所示，上述电子设备可以包括：壳体71、处理器72、存储器73、电路板74和电源电路75，其中，电路板74安置在壳体71围成的空间内部，处理器72和存储器73设置在电路板74上；电源电路75，用于为上述电子设备的各个电路或器件供电；存储器73用于存储可执行程序代码；处理器72通过读取存储器73中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的无关节点确定方法。

该电子设备以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放模块(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子设备。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。