域名和因特网协议地址经核准和未经核准隶属度推理的制作方法

域名和因特网协议地址经核准和未经核准隶属度推理的制作方法
【专利说明】域名和因特网协议地址经核准和未经核准隶属度推理
【背景技术】
[0001] 域名系统(DNS)是提供翻译服务以将域名翻译成其相应的数字因特网协议(IP)地 址的分层分布式命名系统。对于域名和其相应的IP地址，良性域名和恶性域名及其对应的 IP地址通常通过将所访问的域名或IP地址分别与经核准和未经核准的域名列表或IP地址 列表相比较来识别。
【附图说明】
[0002] 本公开的特征通过示例来说明并且不限于以下附图，其中相同的附图标记表示相 同的元件，其中：
[0003] 图1图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理装置的 体系结构；
[0004] 图2图示了根据本公开示例的图1的装置的应用示例的二分图；
[0005] 图3图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理的方 法；
[0006] 图4图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理的方法 的更多细节；以及
[0007] 图5图示了根据本公开示例的计算机系统。
【具体实施方式】
[0008] 为了简化和说明目的，通过主要参考示例来描述本公开。在以下描述中，给出许多 具体细节以提供对本公开的透彻理解。然而，很显然，本公开可以实施而不受限于这些具体 细节。在其他实例中，某些方法和结构未被详细描述从而避免不必要地使本公开不清楚。
[0009] 在整个本公开中，术语"一个"意在表示特点元件中的至少一个。如本文中所使用 的，术语"包括"意思是包括但不限于，术语"包含"意思是包括但不限于。术语"基于"意思是 至少部分基于。
[0010]通常，企业网络中的传染源会大量产生并且在企业网络的主机或用户所访问的整 个网域传播。因此，对企业网络的主机或用户所访问的良性网域与恶性网域的识别能够改 善这种企业网络的安全性。如果一个域名不存于经核准和未经核准的域名列表中的任何一 个中，则与该域名对应的IP地址可以与经核准和未经核准的IP地址列表比较。基于对该域 名或相应的IP地址是否在经核准或未经核准的域名列表或IP地址列表上的确定，可允许或 防止对该域的访问。
[0011] 经核准和未经核准的域名列表和IP地址列表的方法可用于评价包括一对一映射 的域名和相应的IP地址，并且因此可通过静态映射识别。然而，域名和它们相应的IP地址可 包括多对多映射。例如，单个IP地址可映射至域名集，反之亦然。域名与IP地址之间的多对 多映射还可由于例如动态主机配置协议(DHCP)、负载均衡、云托管以及内容分发网（CDN)， 而随时间而变化。对于域名与IP地址之间的多对多映射，静态映射会引起对恶性域名与良 性域名及其对应的IP地址的不准确识别。
[0012] 在企业环境中可在几种情形中遭遇多对多映射。例如，域名"lookoutsoft.com"可 映射至三个IP地址，一个是64.4.6.100。例如，对IP地址64.4.6.100的反向查找可返回例如 超过400个域名。对于对IP地址64.4.6.100的反向DNS查询，如果该IP地址不在经核准和未 经核准的IP地址列表上，则对与该IP地址对应的超过400个域名的进一步分析可能导致在 经核准域名列表上的某些域名和不在经核准域名列表上的其他域名。因此，关于IP地址 64.4.6.100是良性的或恶性的，这样的分析可能是不可信的。
[0013] 根据另一示例，许多良性和恶性域名可指向单个IP地址，例如，212.154.192.92。 然而，假设对IP地址212.154.192.92的反向DNS查询引起重定向域名，则关于IP地址或相关 联的域名是否是良性的或恶性的，这样的分析可能是不可信的。
[0014] 根据示例，本文公开了域名和IP地址经核准和未经核准隶属度推理装置以及用于 域名和IP地址经核准和未经核准隶属度推理装置的方法。本文所公开的装置和方法通常可 应用基于概率的分析，以在存在多对多映射的情况下推理在经核准和未经核准的域名列表 和IP地址列表中的隶属度以及与域名或IP地址的良性状态或恶性状态有关的不完全信息。 例如，该不完全信息可表示与IP地址对应的全部数量的域名之外的域名子集的良性状态或 恶性状态。因此，本文所公开的装置和方法可使用有限的先验知识和多对多域名至IP地址 映射来预测经核准和未经核准的域名列表和IP地址列表中的隶属度。
[0015] 本文所公开的装置和方法可与例如使用域名和/或IP地址经核准和未经核准列表 的安全系统一起使用。该安全系统可包括例如入侵检测系统（IDS)、入侵防止系统（IPS)、垃 圾邮件过滤器、防火墙、超文本传输协议(HTTP)代理以及安全信息和事件管理(SIEM)系统。 本文所公开的基于概率的分析可易于扩展至相对大的企业环境。本文所公开的装置和方法 还可以利用相对少量的数据。例如，本文所公开的装置和方法可以依赖于通常由企业例如 以DNS请求和响应的形式收集的〈a name = 〃_GoBack〃X/a>域名至IP地址映射以及通常由 企业使用的经核准和未经核准的域名列表和IP地址列表。本文所公开的装置和方法还可以 被用于扩展现有的经核准和未经核准的域名列表和IP地址列表。如本文所公开的，对是良 性或是恶性具有高可信度的域名和IP地址可在现有经核准和未经核准的域名列表和IP地 址列表中相应地识别。此外，如本文所公开的，以前未识别为是良性或是恶性的任意域名和 IP地址也可以被识别为是良性的或是恶性的。
[0016] 本文所公开的装置和方法的应用的示例可包括可扩展DNS日志收集系统的实现方 式。例如，DNS日志收集系统可使用经核准的列表方法，以忽略对良性网域的DNS请求并且记 录有潜在风险的剩余DNS请求。本文所公开的装置和方法可用于增大用在DNS日志收集系统 中的经核准和未经核准的域名列表和IP地址列表，并且还可提供对不在经核准和未经核准 的域名列表和IP地址列表上的域名和IP地址的属性的推理。
[0017] 图1图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理装置 1〇〇(下文中称为"装置100"）的体系结构。参考图1，装置100被描绘为包括域名和IP地址接 收模块102,以接收域名104和/或IP地址106的集合。按照从DNS服务器108获得的DNS映射， 域名104中的特定域名可映射至IP地址106中的特定IP地址，反之亦然。由于域名至IP地址 映射可随时间而变化，因此映射时间识别模块110可识别与对域名104和IP地址106的映射 和/或接收相关联的时间。绘图模块112可将域名104和IP地址106中的每一个表示为在二分 图114(例如，参见图2的示例）中的节点。如果域名104中的一个域名映射至IP地址106中的 一个IP地址，则绘图模块112可分配被映射至该IP地址的特定域名之间的边缘。
[0018] 经核准列表概率赋值模块116可将概率118分配给以前已确定属于经核准域名列 表120的域名104中的域名以及以前已确定属于经核准IP地址列表122的IP地址106中的IP 地址。此外，未经核准概率赋值模块124可将概率126分配给以前已确定属于未经核准域名 列表128的域名104中的域名以及以前已确定属于未经核准IP地址列表130的IP地址106中 的IP地址。
[0019] 概率推理模块132可使用本文所公开的阈值处理来推理剩余未知域名和IP地址 (即，在经核准域名列表120、经核准IP地址列表122、未经核准域名列表128、或未经核准IP 地址列表130中未出现的未知域名和IP地址）的概率。替代地或附加地，概率推理模块132可 通过使用由经核准列表概率赋值模块116和未经核准列表概率赋值模块124分配的概率，而 使用本文所公开的图形推理处理来推理在二分图114中剩余未知节点（即，未知域名和IP地 址)的概率。
[0020] 隶属度赋值模块134可使用来自概率推理模块132的结果，以将未知域名和IP地址 的隶属度分配给经核准域名列表120、经核准IP地址列表122、未经核准域名列表128以及未 经核准IP地址列表130。
[0021] 如本文所描述的，装置100的模块和其他元件可以是被存储在非暂时性计算机可 读介质上的机器可读指令。此外或替代地，装置100的模块和其他元件可以是硬件或机器可 读指令和硬件的结合。
[0022] 参考图1，根据其示例进一步详细描述绘图模块112、经核准列表概率赋值模块 116、未经核准列表概率赋值模块124以及概率推理模块132。
[0023] 域名和IP地址接收模块102可接收域名104和/或IP地址106的集合。根据示例，概 率推理模块132可使用如本文所公开的阈值处理，来推理剩余未知域名和IP地址（即，在经 核准域名列表120、经核准IP地址列表12 2、未经核准域名列表128以及未经核准IP地址列表 130中未出现的未知域名和IP地址）的概率。通常，关于阈值处理，给定未知IP地址以及该IP 地址被映射至的域名集合，如果超过预定分数（即，百分数）的域名在经核准域名列表120 中，则IP地址还可以被认为是良性的并且被分配给经核准IP地址列表122。类似地，对于给 定的未知IP地址和该IP地址被映射至的域名集合，如果少于或等于预定分数（即，百分数） 的域名在经核准域名列表120中，则该IP地址可以被认为是恶性的并且被分配给未经核准 IP地址列表130。类似分析可被应用于未知域名和该域名被映射至的IP地址集合。因此，关 于阈值处理，概率推理模块132可考虑在经核