CN105684380B - 域名和因特网协议地址经核准和未经核准隶属度推理 - Google Patents

域名和因特网协议地址经核准和未经核准隶属度推理 Download PDF

Info

Publication number
CN105684380B
CN105684380B CN201380080594.5A CN201380080594A CN105684380B CN 105684380 B CN105684380 B CN 105684380B CN 201380080594 A CN201380080594 A CN 201380080594A CN 105684380 B CN105684380 B CN 105684380B
Authority
CN
China
Prior art keywords
address
domain name
unknown
approved
unlicensed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201380080594.5A
Other languages
English (en)
Other versions
CN105684380A (zh
Inventor
普拉尤萨·马纳德哈塔
阿姆鲁塔·戈卡莱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of CN105684380A publication Critical patent/CN105684380A/zh
Application granted granted Critical
Publication of CN105684380B publication Critical patent/CN105684380B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

根据示例,域名和IP地址经核准和未经核准隶属度推理可包括接收域名和IP地址,并且将域名映射至IP地址。属于经核准域名列表或属于未经核准域名列表的域名可被识别。属于经核准IP地址列表或属于未经核准IP地址列表的IP地址可被识别。对于未知IP地址和映射至该未知IP地址的域名,确定在映射至该未知IP地址的域名中是否超过预定百分比的域名处于所述经核准域名列表中。基于该确定,未知IP地址可被指定为经核准的,并且被分配给经核准IP地址列表,或者可替代地,被指定为未经核准的,并且被分配给未经核准IP地址列表。

Description

域名和因特网协议地址经核准和未经核准隶属度推理
背景技术
域名系统(DNS)是提供翻译服务以将域名翻译成其相应的数字因特网协议(IP)地址的分层分布式命名系统。对于域名和其相应的IP地址,良性域名和恶性域名及其对应的IP地址通常通过将所访问的域名或IP地址分别与经核准和未经核准的域名列表或IP地址列表相比较来识别。
附图说明
本公开的特征通过示例来说明并且不限于以下附图,其中相同的附图标记表示相同的元件,其中:
图1图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理装置的体系结构;
图2图示了根据本公开示例的图1的装置的应用示例的二分图;
图3图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理的方法;
图4图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理的方法的更多细节;以及
图5图示了根据本公开示例的计算机系统。
具体实施方式
为了简化和说明目的,通过主要参考示例来描述本公开。在以下描述中,给出许多具体细节以提供对本公开的透彻理解。然而,很显然,本公开可以实施而不受限于这些具体细节。在其他实例中,某些方法和结构未被详细描述从而避免不必要地使本公开不清楚。
在整个本公开中,术语“一个”意在表示特点元件中的至少一个。如本文中所使用的,术语“包括”意思是包括但不限于,术语“包含”意思是包括但不限于。术语“基于”意思是至少部分基于。
通常,企业网络中的传染源会大量产生并且在企业网络的主机或用户所访问的整个网域传播。因此,对企业网络的主机或用户所访问的良性网域与恶性网域的识别能够改善这种企业网络的安全性。如果一个域名不存于经核准和未经核准的域名列表中的任何一个中,则与该域名对应的IP地址可以与经核准和未经核准的IP地址列表比较。基于对该域名或相应的IP地址是否在经核准或未经核准的域名列表或IP地址列表上的确定,可允许或防止对该域的访问。
经核准和未经核准的域名列表和IP地址列表的方法可用于评价包括一对一映射的域名和相应的IP地址,并且因此可通过静态映射识别。然而,域名和它们相应的IP地址可包括多对多映射。例如,单个IP地址可映射至域名集,反之亦然。域名与IP地址之间的多对多映射还可由于例如动态主机配置协议(DHCP)、负载均衡、云托管以及内容分发网(CDN),而随时间而变化。对于域名与IP地址之间的多对多映射,静态映射会引起对恶性域名与良性域名及其对应的IP地址的不准确识别。
在企业环境中可在几种情形中遭遇多对多映射。例如,域名“lookoutsoft.com”可映射至三个IP地址,一个是64.4.6.100。例如,对IP地址64.4.6.100的反向查找可返回例如超过400个域名。对于对IP地址64.4.6.100的反向DNS查询,如果该IP地址不在经核准和未经核准的IP地址列表上,则对与该IP地址对应的超过400个域名的进一步分析可能导致在经核准域名列表上的某些域名和不在经核准域名列表上的其他域名。因此,关于IP地址64.4.6.100是良性的或恶性的,这样的分析可能是不可信的。
根据另一示例,许多良性和恶性域名可指向单个IP地址,例如,212.154.192.92。然而,假设对IP地址212.154.192.92的反向DNS查询引起重定向域名,则关于IP地址或相关联的域名是否是良性的或恶性的,这样的分析可能是不可信的。
根据示例,本文公开了域名和IP地址经核准和未经核准隶属度推理装置以及用于域名和IP地址经核准和未经核准隶属度推理装置的方法。本文所公开的装置和方法通常可应用基于概率的分析,以在存在多对多映射的情况下推理在经核准和未经核准的域名列表和IP地址列表中的隶属度以及与域名或IP地址的良性状态或恶性状态有关的不完全信息。例如,该不完全信息可表示与IP地址对应的全部数量的域名之外的域名子集的良性状态或恶性状态。因此,本文所公开的装置和方法可使用有限的先验知识和多对多域名至IP地址映射来预测经核准和未经核准的域名列表和IP地址列表中的隶属度。
本文所公开的装置和方法可与例如使用域名和/或IP地址经核准和未经核准列表的安全系统一起使用。该安全系统可包括例如入侵检测系统(IDS)、入侵防止系统(IPS)、垃圾邮件过滤器、防火墙、超文本传输协议(HTTP)代理以及安全信息和事件管理(SIEM)系统。本文所公开的基于概率的分析可易于扩展至相对大的企业环境。本文所公开的装置和方法还可以利用相对少量的数据。例如,本文所公开的装置和方法可以依赖于通常由企业例如以DNS请求和响应的形式收集的<a name="_GoBack"></a>域名至IP地址映射以及通常由企业使用的经核准和未经核准的域名列表和IP地址列表。本文所公开的装置和方法还可以被用于扩展现有的经核准和未经核准的域名列表和IP地址列表。如本文所公开的,对是良性或是恶性具有高可信度的域名和IP地址可在现有经核准和未经核准的域名列表和IP地址列表中相应地识别。此外,如本文所公开的,以前未识别为是良性或是恶性的任意域名和IP地址也可以被识别为是良性的或是恶性的。
本文所公开的装置和方法的应用的示例可包括可扩展DNS日志收集系统的实现方式。例如,DNS日志收集系统可使用经核准的列表方法,以忽略对良性网域的DNS请求并且记录有潜在风险的剩余DNS请求。本文所公开的装置和方法可用于增大用在DNS日志收集系统中的经核准和未经核准的域名列表和IP地址列表,并且还可提供对不在经核准和未经核准的域名列表和IP地址列表上的域名和IP地址的属性的推理。
图1图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理装置100(下文中称为“装置100”)的体系结构。参考图1,装置100被描绘为包括域名和IP地址接收模块102,以接收域名104和/或IP地址106的集合。按照从DNS服务器108获得的DNS映射,域名104中的特定域名可映射至IP地址106中的特定IP地址,反之亦然。由于域名至IP地址映射可随时间而变化,因此映射时间识别模块110可识别与对域名104和IP地址106的映射和/或接收相关联的时间。绘图模块112可将域名104和IP地址106中的每一个表示为在二分图114(例如,参见图2的示例)中的节点。如果域名104中的一个域名映射至IP地址106中的一个IP地址,则绘图模块112可分配被映射至该IP地址的特定域名之间的边缘。
经核准列表概率赋值模块116可将概率118分配给以前已确定属于经核准域名列表120的域名104中的域名以及以前已确定属于经核准IP地址列表122的IP地址106中的IP地址。此外,未经核准概率赋值模块124可将概率126分配给以前已确定属于未经核准域名列表128的域名104中的域名以及以前已确定属于未经核准IP地址列表130的IP地址106中的IP地址。
概率推理模块132可使用本文所公开的阈值处理来推理剩余未知域名和IP地址(即,在经核准域名列表120、经核准IP地址列表122、未经核准域名列表128、或未经核准IP地址列表130中未出现的未知域名和IP地址)的概率。替代地或附加地,概率推理模块132可通过使用由经核准列表概率赋值模块116和未经核准列表概率赋值模块124分配的概率,而使用本文所公开的图形推理处理来推理在二分图114中剩余未知节点(即,未知域名和IP地址)的概率。
隶属度赋值模块134可使用来自概率推理模块132的结果,以将未知域名和IP地址的隶属度分配给经核准域名列表120、经核准IP地址列表122、未经核准域名列表128以及未经核准IP地址列表130。
如本文所描述的,装置100的模块和其他元件可以是被存储在非暂时性计算机可读介质上的机器可读指令。此外或替代地,装置100的模块和其他元件可以是硬件或机器可读指令和硬件的结合。
参考图1,根据其示例进一步详细描述绘图模块112、经核准列表概率赋值模块116、未经核准列表概率赋值模块124以及概率推理模块132。
域名和IP地址接收模块102可接收域名104和/或IP地址106的集合。根据示例,概率推理模块132可使用如本文所公开的阈值处理,来推理剩余未知域名和IP地址(即,在经核准域名列表120、经核准IP地址列表122、未经核准域名列表128以及未经核准IP地址列表130中未出现的未知域名和IP地址)的概率。通常,关于阈值处理,给定未知IP地址以及该IP地址被映射至的域名集合,如果超过预定分数(即,百分数)的域名在经核准域名列表120中,则IP地址还可以被认为是良性的并且被分配给经核准IP地址列表122。类似地,对于给定的未知IP地址和该IP地址被映射至的域名集合,如果少于或等于预定分数(即,百分数)的域名在经核准域名列表120中,则该IP地址可以被认为是恶性的并且被分配给未经核准IP地址列表130。类似分析可被应用于未知域名和该域名被映射至的IP地址集合。因此,关于阈值处理,概率推理模块132可考虑在经核准域名列表120和未经核准域名列表128中未出现的域名,以因此将该域名识别为良性的(即核准的)或恶性的(即未经核准)。类似地,概率推理模块132可考虑在经核准IP地址列表122和未经核准IP地址列表130中未出现的IP地址,以因此将IP地址识别为良性的或恶性的。因此,当评价未知域名时,概率推理模块132可考虑未知域名D解析成n个IP地址,其中的m个IP地址在未经核准IP地址列表130(或者基于该分析观点的经核准IP地址列表122)中。当评价未知IP地址时,概率推理模块132可考虑未知IP地址解析成n个域名,其中m个域名在未经核准域名列表128(或者基于该分析观点的经核准域名列表120)中。
根据阈值处理的实现方式的示例,m/n被指定为已知为经核准的IP地址的分数。如果m/n大于阈值t(即,预定百分数),则概率推理模块132可将与IP地址对应的未知域名标记为良性的。否则(即m/n小于或等于阈值t),概率推理模块132可将域名D标记为恶性的。例如,t可以是0.8或更高值。相同阈值处理可以被应用于未知IP地址。此外,概率推理模块132可从训练数据集得知t的值,使得失误的数目最小化。
根据阈值处理的另一实现方式的示例,概率推理模块132可分配将域名标记为良性或恶性的可信度(并且类似地对待IP地址)。例如,关于与分数m/n的确定有关的前述阈值方法,如果两个域名具有相同的分数但其中m和n的值不同,例如,8/10和80/100,则概率推理模块132可将相同的标记(例如,良性的或恶性的)分配给这两个域名。然而,分配给80/100的标记上的可信度相对于分配给8/10的可信度更高。例如,概率推理模块132可能不知道针对被解析为10个IP地址的一个域名的所有IP地址。在这一点上,概率推理模块132可使用可信区间来实现在标记上的可信度。例如,对于可信区间,可信区间越小,可信度越高。概率推理模块132所使用的可信区间的示例可包括经调节的Wald可信区间。例如,对于8/10,95%经调节Wald可信区间是[0.47,0.95],而对于80/100,是[0.71,0.87]。因此,80/100比8/10更有可能是0.8,因此在80/100中存在更高的可信度。概率推理模块132所使用的可信区间的其他示例可以包括Wilson区间或Clopper-Pearson区间。因此,给定一域名,概率推理模块132可计算分数和可信区间。如果可信区间大于可信区间阈值(例如,大于0.3),则概率推理模块132可将域名标记为未知。然而,如果可信区间小于可信区间阈值(例如,小于等于0.3),则概率推理模块132可使用该分数和阈值以适当地标记域名(例如,恶性的或良性的)。
根据阈值处理的另一实现方式的示例,概率推理模块132可使用来自推荐系统和/或其他机器学习系统的自举处理(bootstrapping process),这些系统依赖于系统可得的一定量数据以适当操作。自举过程可用于概率推理模块132可能不知道域名解析成的所有IP地址(和IP地址解析成的所有域名)的情况。关于自举处理,并不是计算如m/n的分数,概率推理模块132可计算如下经调节的分数:
(m+C*avg)/(n+N) 等式(1)
对于等式(1),当评价未知IP地址以及该IP地址被映射至的域名集合时,N可以表示目前为止所看到域名的总数,avg可表示全部N个节点(即,在如本文所公开的二分图114中的节点)的分数的平均值,以及C可以表示一个常数。类似地,当评价未知域名以及该域名被映射至的IP地址集合时,N可以表示目前为止所看到的IP地址的总数,avg可表示全部N个节点的分数的平均值,以及C可以表示一个常数。关于等式(1),如果域名解析成C个或更多个IP地址,则域名的分数上的可信度可增大(以及,对于IP地址分数,反之亦然)。此外,如果m小于C,则经调节分数可接近于平均分数avg。如果存在关于节点的足够信息,则节点的分数可影响使用等式(1)的分析。因此,给定一域名,概率推理模块132可计算出其经调节分数(并且,对于给定IP地址是类似的)。概率推理模块132还可以将经调节分数与该阈值进行比较,以将域名标记为良性的或恶性的。
隶属度赋值模块134可使用来自概率推理模块132的基于阈值的结果,以将未知域名和IP地址的隶属度分配给经核准域名列表120、经核准IP地址列表122、未经核准域名列表128以及未经核准IP地址列表130。
图2图示了根据本公开示例的针对装置100的应用示例的二分图114。如二分图114的示例中所示,域名104和IP地址106可以被表示为二分图114中的节点。对于图2中的示例,命名为D1的域名“bad-domain.com”可事先确定为属于未经核准的域名列表128。命名为D2的域名“example.com”可事先确定为属于经核准域名列表120。命名为D3的域名“unknow1.com”和命名为D4的域名“unknown2.com”可在二分图114中被命名为未知域名。命名为IP1的IP地址“12.56.45.127”和命名为IP2的IP地址“33.57.218.82”可事先被确定为属于未经核准IP地址列表130。命名为IP3的IP地址“212.19.2.42”和命名为IP4的IP地址“110.31.64.28”可被命名为二分图114中的未知IP地址。
经核准列表概率赋值模块116可将例如为0.99的概率118分配给以前已确定属于经核准域名列表120或属于经核准IP地址列表122的域名104和IP地址106。此外,未经核准列表概率赋值模块124可将例如为0.01(例如,1-概率118)的概率126分配给以前已确定属于未经核准域名列表128或属于未经核准IP地址列表130的域名104和IP地址106。
为了推理二分图114中的未知节点(例如,针对图2的示例的未知域名D3和D4以及IP地址IP3和IP4)的概率,概率推理模块132可通过使用由经核准列表概率赋值模块116和未经核准列表概率赋值模块124所分配的概率,而使用如本文所公开的图形推理处理,以推理二分图114中剩余未知节点(即,未知域名D3和D4以及IP地址IP3和IP4)的概率。关于图形推理处理,绘图模块112可通过添加域名与该域名解析成的IP地址之间的边缘来生成二分图114。对于图2的示例,绘图模块112可通过添加分别在D1和IP1以及D1和IP1之间的边缘200、202来生成二分图114。可针对二分图114类似地生成其他边缘。如图2中所图示,域名(和IP地址)中的一些会是良性的(例如D2),这是因为它们在经核准的域名列表120中,而域名(和IP地址)中的一些可能是恶性的(例如D1、IP1和IP2),这是因为它们在未经核准域名列表128和未经核准IP地址列表130中。概率推理模块132可使用例如Bayesian推理、置信传播(belief propagation)或D-S(Dempster-Shafer)处理,来推理未知节点(例如,图2的示例中的D3、D4、IP3以及IP4)的概率。
关于Bayesian推理处理,概率推理模块132可推理其余未知域名和IP地址(例如,图2的示例中的D3、D4、IP3以及IP4)的边际(marginal)概率(即,在经核准域名列表120、经核准IP地址列表122、未经核准域名列表128以及未经核准IP地址列表130中的给定域名和IP地址是恶性的(良性的)可能性)。如果二分图114不包括循环,则Bayesian推理处理可用于确定未知节点的确切概率。通常,随机变量X(给定变量的集合)的边际概率可被表示为遍布在不包括X的集合中在所有变量的所有可能值的所有变量的联合概率分布的总和。例如,参考图2,为了确定D3的边际概率在经核准域名列表120中,属于经核准域名列表120或经核准IP地址列表122的域名和IP地址的概率可表示为相应节点的概率。因此,为了确定D3的边际概率在经核准域名列表120中,概率推理模块132可以确定D3的等于1的概率,如下:
Pr(D3=1)∑D1,D2,D4,IP1,IP2,IP3,IP4Pr(D3=1,D1,D2,D4,IP1,IP2,IP3,IP4)等式(2)参考图2,能够看出某些概率(例如,D1、D2、IP1以及IP2)是已知的先验值。例如,可以看出,通过D1表示的域名“bad-domain.com”属于未经核准域名列表128。因此,D1的是0的概率可以是1,并且D1具有非0的任何值的概率是0。在图2的示例中,尽管概率被表示为1和0,但为了解释与域名和IP地址的先验状态有关的误算,概率推理模块132可以使用概率值,例如0.99和0.01。因此,对于图2的示例,对于被表示为1和0的概率,D1、D2、IP1和IP2的概率可以被表示如下:Pr(D1=0)=1;Pr(D2=1)=1;Pr(IP1=0)=1;以及Pr(IP2=0)=1。
概率推理模块132可替代等式(2)中的已知概率值,如下:
Pr(D3=1)=∑D4,IP3,IP4Pr(D3=1,D1=0,D2=1,D4,IP1=0,IP2=0,IP3,IP4) 等式(3)
Pr(D3=1)=∑D4,IP3,IP4Pr(D3=1,D4,IP3,IP4) 等式(4)
以此方式,概率推理模块132可替代其他变量的概率的已知值,以确定给定变量的边际概率。
关于置信传播,如果二分图114包括循环,则概率推理模块132可确定未知节点的近似概率。通常,概率推理模块132可将例如先验概率0.5分配给未知节点(例如,图2示例中的D3、D4、IP3以及IP4),然后通过在相邻节点之间传送消息来更新概率或置信度。因此,概率推理模块132可通过确定每个未知节点(例如,图2示例中的D3、D4、IP3或IP4)的边际分布,关于任意未知节点(例如,图2示例中的D1、D2、IP1以及IP2)的条件来确定近似概率。
关于置信传播,给定一无向图形(即,二分图114),G=(V,E),其中V是n个节点的集合,E是边缘的集合,概率推理模块132可以将每个节点i∈V建模为可以是状态的有限集合S的随机变量xi。图形模型可用于定义在G的节点上的联合概率分布P(x1,x2,…,xn)。概率推理模块132所使用的推理处理可计算每个随机变量xi的边际概率分布P(xi)。节点的边际概率可以根据二分图114中的所用其他节点的所用可能状态上的联合概率分布的总和方面被定义,如下:
求和中的项的数量可以是节点数目n的指数。概率推理模块132可使用置信传播,以在边缘数量上以时间线性近似所用节点的边际概率分布,其最多是O(n2)。
概率推理模块132可使用置信传播,以根据与二分图114的节点和它们的统计相关性有关的先验知识来估计节点的边际概率。节点i的置信度bi(xi)是i的在状态xi的边际概率。对于节点i,bi(xi)的计算可取决于二分图114的节点的先验值。节点i的先验值φi(xi)是i的在状态xi的初始(或先验)概率。节点的先验值可以指示节点为恶性状态和良性状态的初始可能性。概率推理模块132可使用地面实况信息来估计节点的先验值。对于节点i,bi(xi)的计算还可取决于用于对相邻节点之间的统计相关性建模的边缘势函数。两个相邻节点i和j之间的边缘势Ψij(xi,xj)可表示节点i处于状态xi的概率和节点j处于状态xj的概率。
例如,给定一域名(例如,i),如果假设域名是良性的,则域名解析成的IP地址(例如,j)(被表示为图形边缘)可被认为是良性的概率为A(例如,0.51)。如果域名被假定为是良性的,则域名解析成的IP地址可被认为是恶性的概率是A’,其中A’小于A(例如,在某些情况中,1-A,其中A>0.5)。如果域名被假定为恶性的,则域名解析成的IP地址被认为是恶性的概率是B(例如,0.51)。如果域名被假定为是恶性的,则域名解析成的IP地址被认为是良性的概率是B’,其中B’小于B(例如,在某些情况中,1-B,其中B>0.5)。在某些示例中,A和B可等于0.51,A’和B’可等于0.49。可基于域名的行为状态对IP地址的行为状态进行类似的推理。
概率推理模块132可使用置信传播,来通过根据每个节点处的更小局部计算来组织全局边际概率计算,而实现计算效率。这可以通过在相邻节点之间传送的迭代消息来执行。例如,对于一个节点i以及其邻节点N(i),在置信传播的每个迭代中,节点i将消息矢量mij传送至其每个邻节点,j∈N。消息矢量的每个分量mij(xj)可正比于节点i感知的节点j处于状态xj的可能性。节点i向其邻节点j输出的输出消息矢量可取决于节点i的来自其其他邻节点的输入消息矢量,并且被确定如下:
对于等式(6),k可表示i的不包括j的所有邻节点。
置信传播的消息可以以任意顺序传送。在同步更新顺序中,节点i的在迭代t中的输出消息可以根据i的在迭代t-1中的输入消息来计算。在同步更新顺序中,一旦可获得输入消息就可以使用他们。当这些消息收敛在预定阈值内时,可停止对置信传播的迭代。然后,概率推理模块132可根据节点i的在收敛的迭代中的输入消息来计算节点n的置信值,如下:
bi(xi)=Cφ(xi) Πk∈N(i)mki(xi) 等式(7)
对于等式(7),C可表示归一化常数以确保节点i的置信度加至1,如下:
关于D-S处理,概率推理模块132可使用此处理通过结合来自多个源的证据来计算置信程度。参考在图2的示例中的二分图114,概率推理模块132可计算节点(即,IP地址或域名)是良性的、是恶性的或是未知的置信度。所使用的证据可根据在经核准域名列表120、在经核准IP地址列表122、在未经核准域名列表128以及未经核准IP地址列表130中的节点(例如,在图2的示例中的节点D1、D2、IP1以及IP2)来确定。例如,如果域名在经核准域名列表120中,则下面的初始置信度可分配给该域名:{良性=0.99,恶性=0.00,未知=0.01}。如果域名在未经核准域名列表128中,则下面的初始置信度可分配给该域名:{良性=0.00,恶性=0.99,未知=0.01}。如果域名不在经核准域名列表120或未经核准域名列表128中,则下面的初始置信度可分配给该域名:{良性=0.00,恶性=0.00,未知=1.01}。可根据经核准IP地址列表122和未经核准IP地址列表130对IP地址的初始置信度进行类似分配。概率推理模块132可通过结合来自域名解析成的IP地址的证据来计算该域名(或IP地址)的置信度,其中该结合通过以下Dempster的结合规则来执行。因此,概率推理模块132可使用来自经核准域名列表120、经核准IP地址列表122、未经核准域名列表128以及未经核准IP地址列表130(例如,图2的示例中的节点D1、D2、IP1以及IP2)的初始信息将置信度量分配给状态,然后,使用结合规则来计算未知节点(例如,图2的示例中的节点D3、D4、IP3以及IP4)的概率。
隶属度赋值模块134可使用来自概率推理模块132的基于图形推理的结果,来将未知域名和IP地址的隶属度分配给经核准域名列表120、经核准IP地址列表122、未经核准域名列表128以及未经核准IP地址列表130。
由于二分图114的属性是动态的(即,时间相关),所以绘图模块112可更新二分图114,并且可以计算与阈值和图形推理有关的前述计算。根据示例,如果装置100包括对DNS请求的访问以及来自网络中的DNS服务器108的响应,则绘图模块112可实时更新二分图114。此外,对于二分图114,节点的概率可并行地并且根据需要独立更新。例如,概率推理模块132可重新计算在已添加新边缘和/或已删除一边缘的那些节点中的概率。
图3和图4分别图示了与域名和IP地址经核准和未经核准隶属度推理装置100的示例(其构造在上面详细描述)对应的域名和IP地址经核准和未经核准隶属度推理的方法300和400的流程图。作为示例而非限制性的,方法300和400可在参考图1和图2的域名和IP地址经核准和未经核准隶属度推理装置100上实现。方法300和400可以在其他装置中实施。
参考图3,对于方法300,在框302,该方法可包括接收多个域名104和多个IP地址106。
在框304,该方法可包括确定所接收的多个域名104至所接收的多个IP地址106的映射。例如,按照从DNS服务器108获得的DNS映射,域名104中的特定域名可映射至IP地址106中的特定IP地址,反之IP地址106中的特定IP地址可映射至域名104中的特定域名。
在框306。该方法可包括识别所接收的多个域名104中属于经核准域名列表120或属于未经核准域名列表128的域名。
在框308,该方法可包括识别所接收的多个IP地址中属于经核准IP地址列表122或属于未经核准IP地址列表130的IP地址。
在框310,针对所接收的多个IP地址106中的未知IP地址和映射至该未知IP地址的域名,该方法可包括,例如通过使用概率推理模块132的阈值处理来确定在映射至未知IP地址的域名中是否超过预定百分比的域名处于经核准域名列表120中。确定在映射至未知IP地址的域名中是否超过预定百分比的域名处于经核准域名列表120中还可包括通过考虑所接收的多个域名104的总数并且考虑用于表示所接收的多个域名104至所接收的多个IP地址106的映射的二分图114中的节点的所有分数的平均值,来计算与映射至未知IP地址的域名有关的经调节分数,并且将所计算的经调节分数与阈值比较,以确定未知IP地址是否被指定为经核准的或指定为未经核准的。
在框312,该方法可包括:响应于确定在映射至未知IP地址的域名中超过预定百分比的域名处于经核准域名列表120中,将该未知IP地址指定为经核准的,并且将该未知IP地址分配给经核准IP地址列表122。
在框314,该方法可包括:响应于确定在映射至未知IP地址的域名中小于或等于预定百分比的域名处于经核准域名列表120中,将该未知IP地址指定为未经核准,并且将该未知IP地址分配给未经核准IP地址列表130。
根据示例,针对所接收的多个域名104中的未知域名和映射至该未知域名的IP地址,方法300可包括确定在映射至未知域名的IP地址中是否超过预定百分比的IP地址在经核准IP地址列表122中。方法300可包括:响应于确定在映射至未知域名的IP地址中超过预定百分比的IP地址处于经核准IP地址列表122中,将该未知域名指定为经核准,并且将该未知域名分配给经核准域名列表120。方法300可包括:响应于确定出在映射至未知域名的IP地址中小于或等于预定百分比的IP地址处于经核准IP地址列表122中,将该未知域名指定为未经核准,并且将该未知域名分配给未经核准域名列表128。确定在映射至未知域名的IP地址中是否超过预定百分比的IP地址处于经核准IP地址列表122中还可进一步包括通过考虑所接收的多个IP地址106的总数并且考虑用于表示所接收的多个域名104至所接收的多个IP地址106的映射的二分图114中的节点的所有分数的平均值,来计算与映射至未知域名的IP地址有关的经调节分数,并且将所计算的经调节分数与阈值比较,以确定未知域名是否被指定为经核准的或指定为未经核准的。
根据示例,方法300还包括分配可信区间,用于未知IP地址作为经核准的或未经核准的指定,并且确定该可信区间是否大于预定可信区间阈值。方法300可以包括:响应于确定该可信区间大于预定的可信区间阈值,将未知IP地址指定为未知。方法300可以包括:响应于确定该可信区间小于或等于预定的可信区间阈值,基于确定出在映射至未知IP地址的域名中超过或小于或等于预定百分比的域名处于经核准域名列表120中,来将未知IP地址指定为经核准的或未经核准的。
根据示例,方法300可包括分配可信区间,用于未知域名作为经核准的或未经核准的指定,并且确定该可信区间是否大于预定可信区间阈值。方法300可以包括:响应于确定该可信区间大于预定的可信区间阈值,将未知域名指定为未知。方法300可以包括:响应于确定该可信区间小于或等于预定可信区间阈值,基于确定在映射至未知域名的IP地址中超过或小于或等于预定百分比的IP地址处于经核准IP地址列表122中,来将未知域名指定为经核准的或未经核准的。
根据示例,方法300可包括:例如通过使用映射时间识别模块110来标记与多个域名104的接收和多个IP地址106的接收相关联的时间,并且确定与多个域名104的接收和多个IP地址106的接收相关联的时间是否超过基于当前时间的预定时间间隔。该方法300可包括:响应于确定出与多个域名104的接收和多个IP地址106的接收相关联的时间超过基于当前时间的预定时间间隔,更新所接收的多个域名104至所接收的多个IP地址106的映射。该方法300可包括:响应于确定出与多个域名104的接收和多个IP地址106的接收相关联的时间小于或等于基于当前时间的预定时间间隔,在更新所接收的多个域名104至所接收的多个IP地址106的映射之前,等待与多个域名104的接收和多个IP地址106的接收相关联的时间超过预定时间间隔。
参考图4,对于方法400,在框402,该方法可包括接收多个域名104和多个IP地址106。
在框404,该方法可包括确定所接收的多个域名104至所接收的多个IP地址106的映射。
在框406,该方法可包括生成包括所接收的多个域名104至所接收的多个IP地址106的映射的二分图114。
在框408,该方法可包括将第一概率值分配给二分图114的经核准域名和经核准IP地址。第一概率值可小于1.0,以考虑与经核准域名和经核准IP地址的经核准状态有关的误算。
在框410,该方法可包括将第二概率值分配给二分图114的未经核准域名和未经核准IP地址。第二概率值可以是1.0减去第一概率值。
在框412,该方法可包括使用边际概率估计技术,来确定所接收的多个域名104的未知域名和所接收的多个IP地址106的未知IP地址的概率。使用边际概率估计技术来确定所接收的多个域名104的未知域名和所接收的多个IP地址106的未知IP地址的概率还可包括:响应于确定出二分图不包括循环,使用第一概率值和第二概率值以通过对第一概率值和第二概率值的求和,来确定所接收的多个域名104的未知域名和所接收的多个IP地址106的未知IP地址的边际概率。
在框414,该方法可包括使用所确定的未知域名和未知IP地址的概率来将未知域名和未知IP地址识别为经核准的或未经核准的。
根据示例,方法400可以包括使用置信传播来确定所接收的多个域名104的未知域名和所接收的多个IP地址106的未知IP地址的概率。
根据示例,方法400可以包括使用D-S处理来确定所接收的多个域名104的未知域名和所接收的多个IP地址106的未知IP地址的概率。
根据示例,方法400可包括(例如,通过使用映射时间识别模块110)标记与多个域名104的接收和多个IP地址106的接收相关联的时间,并且确定与多个域名104的接收和多个IP地址106的接收相关联的时间是否超过基于当前时间的预定时间间隔。该方法400可包括:响应于确定出与多个域名104的接收和多个IP地址106的接收相关联的时间超过基于当前时间的预定时间间隔,更新二分图114以更新所接收的多个域名104至所接收的多个IP地址106的映射。该方法400可包括:响应于确定出与多个域名104的接收和多个IP地址106的接收相关联的时间小于或等于基于当前时间的预定时间间隔,在更新二分图114以更新所接收的多个域名104至所接收的多个IP地址106的映射之前,等待与多个域名104的接收和多个IP地址106的接收相关联的时间超过预定时间间隔。
根据示例,用于域名和IP地址经核准和未经核准隶属度推理的方法可包括接收多个域名104和多个IP地址106。该方法还包括(例如,通过使用DNS服务器108)确定所接收的多个域名104至所接收的多个IP地址104的映射,并且生成包括所接收的多个域名104至所接收的多个IP地址106的映射的二分图114。该方法还包括(例如,通过使用经核准列表概率赋值模块116)将第一概率值分配给二分图114的经核准域名和经核准IP地址,并且(例如,通过使用未经核准列表概率赋值模块124)将第二概率值分配给二分图114的未经核准域名和未经核准IP地址。边际概率估计技术可用于确定所接收的多个域名104的未知域名和所接收的多个IP地址106的未知IP地址的概率。所确定的未知域名和未知IP地址的概率可用于将未知域名和未知IP地址识别为经核准的或未经核准的。该方法还可以包括(例如,通过使用映射时间识别模块110)标记与多个域名104的接收和多个IP地址106的接收相关联的时间,并且确定与多个域名104的接收和多个IP地址106的接收相关联的时间是否超过基于当前时间的预定时间间隔。响应于确定出与多个域名104的接收和多个IP地址106的接收相关联的时间超过基于当前时间的预定时间间隔,可以更新对所接收的多个域名104至所接收的多个IP地址106的映射的确定。此外,针对二分图114中的映射已改变的节点,可以更新对未知域名和未知IP地址的概率的确定,而针对二分图114中的映射未改变的节点,不更新对未知域名和未知IP地址的概率的确定。
图5示出了可与本文所描述的示例一起使用的计算机系统500。计算机系统可表示包括可位于服务器或其他计算机系统中的部件的通用平台。计算机系统500可用作装置100的平台。计算机系统500可通过处理器(例如,单个或多个处理器)或其他硬件处理电路来执行本文所述的方法、功能以及其他处理。这些方法、功能以及其他处理可体现为被存储在计算机可读介质上的机器可读指令,该计算机可读介质可以是非暂时性的,例如硬件存储设备(例如,RAM(随机存储器)),ROM(只读存储器)、EPROM(可擦除可编程ROM)、EEPROM(电可擦除可编程ROM)、硬驱动以及闪存)。
计算机系统500可包括可执行或实现执行本文所描述的方法、功能以及其他处理中的一些或全部的机器可读指令的处理器502。来自处理器502的命令和数据可通过通信总线504传输。计算机系统还可以包括:主存储器506,例如随机存取存储器(RAM),其中在运行期间其上可驻留用于处理器502的机器可读指令和数据;以及第二数据存储器508,其可以是非易失性的并且存储机器可读指令和数据。存储器和数据存储器是计算机可读介质的示例。存储器506可包括域名和IP地址经核准和未经核准隶属度推理模块520,该模块包括在运行期间驻留在存储器506中并且由处理器502执行的机器可读指令。域名和IP地址经核准和未经核准隶属度推理模块520可包括图1中所示的装置100的模块。
计算机系统500可包括I/O设备510,例如键盘、鼠标、显示器等。计算机系统可包括用于连接至网络的网络接口512。可在计算机系统中添加或替换其他已知电子部件。
本文所描述并且图示的内容以及其某些变化是示例性的。本文所使用的术语、描述和附图仅以例示的方式给出并且并不意味着限制。在主题的思想和范围内可以存在各种变化,主题的范围旨在由以下权利要求和其等价物的限制,其中所有术语意思为其最广泛合理的含义,除非另外指出。

Claims (14)

1.一种用于域名和因特网协议(IP)地址经核准和未经核准隶属度推理的方法,所述方法包括:
接收多个域名和多个IP地址;
确定所接收的多个域名至所接收的多个IP地址的映射;
识别所接收的多个域名中属于经核准域名列表或属于未经核准域名列表的域名;
识别所接收的多个IP地址中属于经核准IP地址列表或属于未经核准IP地址列表的IP地址;
针对所接收的多个域名中的未知域名以及映射至所述未知域名的IP地址,确定映射至所述未知域名的IP地址中是否超过预定百分比的IP地址处于所述经核准IP地址列表中;
针对所接收的多个IP地址中的未知IP地址以及映射至所述未知IP地址的域名,由至少一个处理器确定映射至所述未知IP地址的域名中是否超过预定百分比的域名处于所述经核准域名列表中;
响应于确定映射至所述未知域名的IP地址中超过预定百分比的IP地址处于所述经核准IP地址列表中,将所述未知域名指定为经核准的,并且将所述未知域名分配给所述经核准域名列表;
响应于确定映射至所述未知IP地址的域名中超过预定百分比的域名处于所述经核准域名列表中,将所述未知IP地址指定为经核准的,并且将所述未知IP地址分配给所述经核准IP地址列表;
响应于确定映射至所述未知域名的IP地址中小于或等于预定百分比的IP地址处于所述经核准IP地址列表中,将所述未知域名指定为未经核准的,并且将所述未知域名分配给所述未经核准域名列表;以及
响应于确定映射至所述未知IP地址的域名中小于或等于预定百分比的域名处于所述经核准域名列表中,将所述未知IP地址指定为未经核准的,并且将所述未知IP地址分配给所述未经核准IP地址列表,
其中,所述未知IP地址是所述经核准IP地址列表或所述未经核准IP地址列表中未出现的给定IP地址,所述未知域名是所述经核准域名列表或所述未经核准域名列表中未出现的给定域名。
2.根据权利要求1所述的方法,进一步包括:
分配可信区间,用于所述未知IP地址作为经核准的或未经核准的指定;
确定所述可信区间是否大于预定可信区间阈值;
响应于确定所述可信区间大于所述预定可信区间阈值,将所述未知IP地址指定为未知的;以及
响应于确定所述可信区间小于或等于所述预定可信区间阈值,基于确定映射至所述未知IP地址的域名中超过或小于或等于预定百分比的域名处于所述经核准域名列表中,将所未知IP地址指定为经核准的或未经核准的。
3.根据权利要求1所述的方法,进一步包括:
分配可信区间,用于所述未知域名作为经核准的或未经核准的指定;
确定所述可信区间是否大于预定可信区间阈值;
响应于确定所述可信区间大于所述预定可信区间阈值,将所述未知域名指定为未知的;以及
响应于确定所述可信区间小于或等于所述预定可信区间阈值,基于确定映射至所述未知域名的IP地址中超过或小于或等于预定百分比的IP地址处于所述经核准IP地址列表中,将所未知域名指定为经核准的或未经核准的。
4.根据权利要求1所述的方法,其中确定映射至所述未知IP地址的域名中是否超过预定百分比的域名处于所述经核准域名列表中进一步包括:
通过以下操作来计算与映射至所述未知IP地址的域名有关的经调节分数:
考虑所接收的多个域名的总数,和
考虑用于表示所接收的多个域名至所接收的多个IP地址的映射的二分图中的节点的所有分数的平均值;以及
将所计算的经调节分数与阈值比较,以确定所述未知IP地址被指定为经核准的或指定为未经核准的。
5.根据权利要求1所述的方法,其中确定映射至所述未知域名的IP地址中是否超过预定百分比的IP地址处于所述经核准IP地址列表中进一步包括:
通过以下操作来计算与映射至所述未知域名的IP地址有关的经调节分数:
考虑所接收的多个IP地址的总数,和
考虑用于表示所接收的多个域名至所接收的多个IP地址的映射的二分图中的节点的所有分数的平均值;以及
将所计算的经调节分数与阈值比较,以确定所述未知域名被指定为经核准的或指定为未经核准的。
6.根据权利要求1所述的方法,进一步包括:
标记与所述多个域名的接收和所述多个IP地址的接收相关联的时间;
确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间是否超过基于当前时间的预定时间间隔;
响应于确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间超过基于所述当前时间的所述预定时间间隔,更新所接收的多个域名至所接收的多个IP地址的映射;以及
响应于确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间小于或等于基于所述当前时间的所述预定时间间隔,在更新所接收的多个域名映射至所接收的多个IP地址的映射之前,等待与所述多个域名的接收和所述多个IP地址的接收相关联的时间超过所述预定时间间隔。
7.一种域名和因特网协议(IP)地址经核准和未经核准隶属度推理装置,包括:
至少一个处理器;以及
存储器,用于存储机器可读指令,所述机器可读指令在由所述至少一个处理器执行时使所述至少一个处理器:
接收多个域名和多个IP地址;
确定所接收的多个域名至所接收的多个IP地址的映射;
生成二分图,所述二分图包括所接收的多个域名至所接收的多个IP地址的映射;
将第一概率值分配给所述二分图的经核准域名和经核准IP地址;
将第二概率值分配给所述二分图的未经核准域名和未经核准IP地址;
使用边际概率估计技术,来确定所接收的多个域名的未知域名和所接收的多个IP地址的未知IP地址的概率;以及
使用所确定的所述未知域名和所述未知IP地址的概率来将所述未知域名和所述未知IP地址识别为经核准的或未经核准的,其中,在所述概率大于预定值时,所述未知域名和所述未知IP地址识别为经核准的,在所述概率小于或等于所述预定值时,所述未知域名和所述未知IP地址识别为未经核准的,
其中,所述未知IP地址是经核准IP地址列表或未经核准IP地址列表中未出现的给定IP地址,所述未知域名是经核准域名列表或未经核准域名列表中未出现的给定域名。
8.根据权利要求7所述的域名和IP地址经核准和未经核准隶属度推理装置,其中,为了使用边际概率估计技术来确定所接收的多个域名的未知域名和所接收的多个IP地址的未知IP地址的概率,所述机器可读指令进一步使所述至少一个处理器:
响应于确定所述二分图不包括循环,使用所述第一概率值和所述第二概率值,来通过对所述第一概率值和所述第二概率值进行求和,而确定所接收的多个域名的未知域名和所接收的多个IP地址的未知IP地址的边际概率。
9.根据权利要求7所述的域名和IP地址经核准和未经核准隶属度推理装置,其中所述第二概率值是1.0减去所述第一概率值。
10.根据权利要求7所述的域名和IP地址经核准和未经核准隶属度推理装置,其中所述第一概率值小于1.0,以考虑与经核准域名和经核准IP地址的经核准状态有关的误算。
11.根据权利要求7所述的域名和IP地址经核准和未经核准隶属度推理装置,进一步包括机器可读指令以使所述至少一个处理器:
使用置信传播来确定所接收的多个域名的未知域名和所接收的多个IP地址的未知IP地址的概率。
12.根据权利要求7所述的域名和IP地址经核准和未经核准隶属度推理装置,进一步包括机器可读指令以使所述至少一个处理器:
使用D-S处理来确定所接收的多个域名的未知域名和所接收的多个IP地址的未知IP地址的概率。
13.根据权利要求7所述的域名和IP地址经核准和未经核准隶属度推理装置,进一步包括机器可读指令以使所述至少一个处理器:
标记与所述多个域名的接收和所述多个IP地址的接收相关联的时间;
确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间是否超过基于当前时间的预定时间间隔;
响应于确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间超过基于所述当前时间的所述预定时间间隔,更新所述二分图,以更新所接收的多个域名至所接收的多个IP地址的映射;以及
响应于确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间小于或等于基于所述当前时间的所述预定时间间隔,在更新所述二分图以更新所接收的多个域名至所接收的多个IP地址的映射之前,等待与所述多个域名的接收和所述多个IP地址的接收相关联的时间超过所述预定时间间隔。
14.一种非暂时性计算机可读介质,其上存储有用于提供域名和因特网协议(IP)地址经核准和未经核准隶属度推理的机器可读指令,所述机器可读指令在被执行时使至少一个处理器:
接收多个域名和多个IP地址;
确定所接收的多个域名至所接收的多个IP地址的映射;
生成二分图,所述二分图包括所接收的多个域名至所接收的多个IP地址的映射;
将第一概率值分配给所述二分图的经核准域名和经核准IP地址;
将第二概率值分配给所述二分图的未经核准域名和未经核准IP地址;
使用边际概率估计技术来确定所接收的多个域名的未知域名和所接收的多个IP地址的未知IP地址的概率;
使用所确定的所述未知域名和所述未知IP地址的概率来将所述未知域名和所述未知IP地址识别为经核准的或未经核准的,其中,在所述概率大于预定值时,所述未知域名和所述未知IP地址识别为经核准的,在所述概率小于或等于预定值时,所述未知域名和所述未知IP地址识别为未经核准的;
标记与所述多个域名的接收和所述多个IP地址的接收相关联的时间;
确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间是否超过基于当前时间的预定时间间隔;以及
响应于确定与所述多个域名的接收和所述多个IP地址的接收相关联的时间超过基于所述当前时间的所述预定时间间隔,来:
更新对所述所接收的多个域名至所述所接收的多个IP地址的映射的确定;和
针对所述二分图中的映射已改变的节点,更新对所述未知域名和所述未知IP地址的概率的确定,而针对所述二分图中的映射未改变的节点,不更新对所述未知域名和所述未知IP地址的概率的确定,
其中,所述未知IP地址是经核准IP地址列表或未经核准IP地址列表中未出现的给定IP地址,所述未知域名是经核准域名列表或未经核准域名列表中未出现的给定域名。
CN201380080594.5A 2013-10-30 2013-10-30 域名和因特网协议地址经核准和未经核准隶属度推理 Expired - Fee Related CN105684380B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2013/067540 WO2015065380A1 (en) 2013-10-30 2013-10-30 Domain name and internet protocol address approved and disapproved membership inference

Publications (2)

Publication Number Publication Date
CN105684380A CN105684380A (zh) 2016-06-15
CN105684380B true CN105684380B (zh) 2019-06-14

Family

ID=53004797

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380080594.5A Expired - Fee Related CN105684380B (zh) 2013-10-30 2013-10-30 域名和因特网协议地址经核准和未经核准隶属度推理

Country Status (4)

Country Link
US (1) US10389680B2 (zh)
EP (1) EP3063915B1 (zh)
CN (1) CN105684380B (zh)
WO (1) WO2015065380A1 (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3143543A4 (en) * 2014-05-12 2018-01-17 Michael C. Wood Firewall security for computers with internet access and method
US10423972B2 (en) * 2015-03-03 2019-09-24 Go Daddy Operating Company, LLC System and method for domain name community network
WO2017039602A1 (en) 2015-08-31 2017-03-09 Hewlett Packard Enterprise Development Lp Collecting domain name system traffic
US10594728B2 (en) * 2016-06-29 2020-03-17 AVAST Software s.r.o. Detection of domain name system hijacking
US10193915B2 (en) 2016-09-30 2019-01-29 Oath Inc. Computerized system and method for automatically determining malicious IP clusters using network activity data
US10382478B2 (en) * 2016-12-20 2019-08-13 Cisco Technology, Inc. Detecting malicious domains and client addresses in DNS traffic
US10523691B2 (en) * 2017-01-06 2019-12-31 Cisco Technology, Inc. Graph prioritization for improving precision of threat propagation algorithms
CN107239707B (zh) * 2017-06-06 2020-09-29 国家电投集团河南电力有限公司 一种用于信息系统的威胁数据处理方法
US10887323B2 (en) * 2017-06-19 2021-01-05 International Business Machines Corporation Detecting malicious beaconing communities using lockstep detection and co-occurrence graph
US10812352B2 (en) * 2019-02-17 2020-10-20 International Business Machines Corporation System and method for associating network domain names with a content distribution network
US11153350B2 (en) * 2019-09-16 2021-10-19 Fortinet, Inc. Determining on-net/off-net status of a client device
US20220116782A1 (en) * 2020-10-08 2022-04-14 Qatar Foundation For Education, Science And Community Development Compromised mobile device detection system and method
US11689500B2 (en) * 2021-01-26 2023-06-27 Proofpoint, Inc. Systems and methods for IP mass host verification
CN112965872A (zh) * 2021-02-24 2021-06-15 刘志欣 系统集群节点的风险预测方法、装置、终端及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1760872A (zh) * 2004-10-13 2006-04-19 国际商业机器公司 处理目的地址的方法和系统
US8572731B1 (en) * 2011-11-17 2013-10-29 Symantec Corporation Systems and methods for blocking a domain based on the internet protocol address serving the domain

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6757740B1 (en) * 1999-05-03 2004-06-29 Digital Envoy, Inc. Systems and methods for determining collecting and using geographic locations of internet users
US20040073707A1 (en) * 2001-05-23 2004-04-15 Hughes Electronics Corporation Generating a list of network addresses for pre-loading a network address cache via multicast
US20080177994A1 (en) * 2003-01-12 2008-07-24 Yaron Mayer System and method for improving the efficiency, comfort, and/or reliability in Operating Systems, such as for example Windows
US8856239B1 (en) * 2004-02-10 2014-10-07 Sonicwall, Inc. Message classification based on likelihood of spoofing
EP1782241A4 (en) * 2004-07-27 2008-04-09 U S Telecom Inc METHOD FOR BLOCKING UNWANTED E-MAILS BASED ON PROBLEMATION DETECTION
WO2006018647A1 (en) * 2004-08-20 2006-02-23 Rhoderick John Kennedy Pugh Server authentication
US7849507B1 (en) 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for filtering server responses
US7747780B2 (en) * 2007-08-27 2010-06-29 DNSStuff, INC. Method, system and apparatus for discovering user agent DNS settings
US20090113016A1 (en) * 2007-10-24 2009-04-30 Subhabrata Sen Managing email servers by prioritizing emails
US10027688B2 (en) * 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
SG172048A1 (en) * 2008-12-12 2011-07-28 Boxsentry Pte Ltd Electronic messaging integrity engine
US20100161537A1 (en) 2008-12-23 2010-06-24 At&T Intellectual Property I, L.P. System and Method for Detecting Email Spammers
EP2222048A1 (en) * 2009-02-24 2010-08-25 BRITISH TELECOMMUNICATIONS public limited company Detecting malicious behaviour on a computer network
US8387145B2 (en) 2009-06-08 2013-02-26 Microsoft Corporation Blocking malicious activity using blacklist
US8347394B1 (en) * 2009-07-15 2013-01-01 Trend Micro, Inc. Detection of downloaded malware using DNS information
US8510411B2 (en) * 2010-05-06 2013-08-13 Desvio, Inc. Method and system for monitoring and redirecting HTTP requests away from unintended web sites
EP2569711A4 (en) 2010-05-13 2017-03-15 VeriSign, Inc. Systems and methods for identifying malicious domains using internet-wide dns lookup patterns
US8719900B2 (en) * 2010-05-18 2014-05-06 Amazon Technologies, Inc. Validating updates to domain name system records
US8260914B1 (en) 2010-06-22 2012-09-04 Narus, Inc. Detecting DNS fast-flux anomalies
US9003518B2 (en) * 2010-09-01 2015-04-07 Raytheon Bbn Technologies Corp. Systems and methods for detecting covert DNS tunnels
US20120089745A1 (en) * 2010-10-06 2012-04-12 Bhavin Turakhia Computer enabled method and system for associating an ip address to a domain name
US8631489B2 (en) * 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
US8214365B1 (en) 2011-02-28 2012-07-03 Symantec Corporation Measuring confidence of file clustering and clustering based file classification
US9032527B2 (en) * 2012-01-11 2015-05-12 Hewlett-Packard Development Company, L.P. Inferring a state of behavior through marginal probability estimation
US9426049B1 (en) * 2013-01-07 2016-08-23 Zettics, Inc. Domain name resolution
WO2014184711A2 (en) * 2013-05-13 2014-11-20 Yandex Europe Ag Method of and system for providing a client device with an automatic update of an ip address associated with a domain name
US10084791B2 (en) * 2013-08-14 2018-09-25 Daniel Chien Evaluating a questionable network communication
CN103701804A (zh) * 2013-12-26 2014-04-02 北京奇虎科技有限公司 网络购物环境安全性检测方法及装置
US10229683B2 (en) * 2017-03-10 2019-03-12 Soundhound, Inc. Speech-enabled system with domain disambiguation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1760872A (zh) * 2004-10-13 2006-04-19 国际商业机器公司 处理目的地址的方法和系统
US8572731B1 (en) * 2011-11-17 2013-10-29 Symantec Corporation Systems and methods for blocking a domain based on the internet protocol address serving the domain

Also Published As

Publication number Publication date
WO2015065380A1 (en) 2015-05-07
EP3063915A4 (en) 2017-05-31
US20160226819A1 (en) 2016-08-04
CN105684380A (zh) 2016-06-15
EP3063915B1 (en) 2019-03-13
US10389680B2 (en) 2019-08-20
EP3063915A1 (en) 2016-09-07

Similar Documents

Publication Publication Date Title
CN105684380B (zh) 域名和因特网协议地址经核准和未经核准隶属度推理
US10572381B2 (en) Updating cache using two bloom filters
AU2017202596C1 (en) Querying features based on user actions in online systems
Fang et al. Multi-faceted trust and distrust prediction for recommender systems
JP6013653B2 (ja) オンライン・ソーシャル・ネットワークにおけるネットワーク指向の製品ロールアウト
US9690871B2 (en) Updating features based on user actions in online systems
US20140156360A1 (en) Dynamic expressions for representing features in an online system
US11188667B2 (en) Monitoring and preventing unauthorized data access
JP2020503590A (ja) ディープラーニングモデルを使用した推奨の生成
US20170076178A1 (en) System, method, and recording medium for efficient cohesive subgraph identification in entity collections for inlier and outlier detection
CN110555172A (zh) 用户关系挖掘方法及装置、电子设备和存储介质
Fu et al. Measuring the impact of influence on individuals: Roadmap to quantifying attitude
JP6683681B2 (ja) コンバージョンに対する様々なユーザ・インタラクションの貢献度の決定
US11200284B1 (en) Optimization of feature embeddings for deep learning models
US20230076391A1 (en) Scoring domains and ips using domain resolution data to identify malicious domains and ips
US20230012202A1 (en) Graph computing over micro-level and macro-level views
US20230177385A1 (en) Federated machine learning based on partially secured spatio-temporal data
JP2023549009A (ja) セキュアマルチパーティ計算を使用した暗号学的に安全な制御
WO2022197304A1 (en) Privacy preserving cross-domain machine learning
Pavlovic Quantifying and qualifying trust: Spectral decomposition of trust networks
US10922335B1 (en) User targeting using an unresolved graph
CN111882415A (zh) 一种质量检测模型的训练方法和相关装置
US20220405386A1 (en) Privacy preserving ensemble learning as a service
Heo et al. Blockchain and differential privacy-based data processing system for data security and privacy in urban computing
WO2024025744A1 (en) Integration of anonymized, member-driven cloud-based groups and content delivery services that collect individual information about content interactions without compromising identities of group members

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20190614

Termination date: 20201030

CF01 Termination of patent right due to non-payment of annual fee