CN113079034A

CN113079034A - 互联网基础资源及其关系模型、及模型的构建、应用方法

Info

Publication number: CN113079034A
Application number: CN202110261760.8A
Authority: CN
Inventors: 惠榛; 张鸿; 马秉楠; 王大伟; 党向磊; 燕敬博; 周润林; 周波
Original assignee: National Computer Network and Information Security Management Center
Current assignee: National Computer Network and Information Security Management Center
Priority date: 2021-03-10
Filing date: 2021-03-10
Publication date: 2021-07-06
Anticipated expiration: 2041-03-10
Also published as: CN113079034B

Abstract

本发明公开了一种互联网基础资源及其关系模型、及模型的构建、应用方法。互联网基础资源及其关系模型构建方法，包括：将相同类型的互联网基础资源以集合的形式表示，以获得多个集合；获取每个互联网基础资源的属性以及各个互联网基础资源之间的关系；基于多个集合、每个互联网基础资源的属性以及各个互联网基础资源之间的关系，构建互联网基础资源及其关系模型。本发明为互联网基础资源提供一种描述方法，包括资源、资源之间的关系以及资源属性的定义，并在此基础上提供多个互联网资源之间的操作，用以支持对互联网上常用行为进行研究的支撑。

Description

互联网基础资源及其关系模型、及模型的构建、应用方法

技术领域

本发明涉及互联网技术领域，尤其涉及一种互联网基础资源及其关系模型、及模型的构建、应用方法。

背景技术

互联网基础资源是网络空间中各类节点的抽象标识，这些基础资源构成互联网的基石，起着标识节点、定位资源、寻址访问等基础作用。各类基础资源之间也存在一定的关联关系。互联网基础资源及其关系的研究对于分析互联网结构、发现处置网络安全事件以及支撑互联网治理等都有着非常重要的意义。

典型的互联网基础资源包括互联网协议地址(Internet Protocol Address)，即IP地址——是分配给网络上使用互联网协议的设备的数字标签；域名(Domain Name)——是由一串用点分隔的名字组成的互联网上某一台计算机或计算机组的名称；数字证书(Digital Certificate)——是经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。这些资源之间存在着多种显性或者隐性的关系，例如IP地址之间的通联关系、IP地址和域名之间的解析关系、证书和域名之间的对应关系。同时，通过采集互联网公开信息，例如WHOIS信息、网站备案信息等，还可以将网络空间中的基础资源和现实世界中的注册人或注册组织建立联系，例如注册人和其使用的IP地址之间的关系、组织和其申请的域名之间的关系等等。

一般情况下，针对互联网基础资源的使用通常只关注某类特定的关系，如IP地址，并基于这类资源进行关联分析(如《基于互联网基础资源的IP地址关联分析方法和分析系统,CN109151090A》)。然而网络空间中的用户行为通常涉及多种资源，这就使得在进行多资源之间关联关系挖掘分析时，需要对不同模型中的资源和关系进行相互映射、统一，这也为互联网资源的研究及利用制造了额外的困难。

随着互联网的日益成熟及互联网使用的日益频繁，对互联网世界中基础资源的使用行为研究也随之增加。例如在网络安全领域，需要根据获取的线索在整个网络空间中进行探索和追溯。而对于互联网基础资源的研究缺乏统一的描述模型和操作示例。现有的模型多关注特定资源或特定关系，在多资源统一表述方面所有不足。

发明内容

本发明实施例提供一种互联网基础资源及其关系模型、及模型的构建、应用方法，用以解决现有技术中互联网基础资源模型多关注特定资源或特定关系，在多资源统一表述方面不足的问题。

根据本发明实施例的互联网基础资源及其关系模型构建方法，包括：

将相同类型的互联网基础资源以集合的形式表示，以获得多个集合；

获取每个所述互联网基础资源的属性以及各个所述互联网基础资源之间的关系；

基于所述多个集合、每个所述互联网基础资源的属性以及各个所述互联网基础资源之间的关系，构建互联网基础资源及其关系模型。

根据本发明的一些实施例，所述将相同类型的互联网基础资源以集合的形式表示，以确定多个集合，包括：

将所有IP地址以集合的形式表示，以获得IP地址的集合；

将所有域名以集合的形式表示，以获得域名的集合；

将所有证书以集合的形式表示，以获得证书的集合；

将所有实体以集合的形式表示，以获得实体的集合。

根据本发明的一些实施例，所述获取每个所述互联网基础资源的属性，包括：

获取每个IP地址的IP地址信息、HTTPS域名集合、证书MD5集合、首次出现时间、最后出现时间、IP地址所在地理位置的国家信息、与IP地址相关的分区或区域信息、与IP地址相关的城市信息、IP地址所在地理位置的街道信息、与IP地址相关的邮政编码、与地点相关的时区信息、与IP地址相关的最精细位置元素的纬度和经度、与IP地址相关的运营商信息、与IP地址相关的自治系统号、与IP地址相关的域名、IP所在的网络设备信息、IP所在设备的网络设备接入方式信息；

获取每个域名的域名信息、cname记录集合、ns记录集合、当前解析IP地址、域名上的URL、域名服务商；

获取每个证书的MD5、服务器名称server_name、证书链md5、证书链信息、颁发者国家、颁发者省份、颁发者地区、颁发者组织、颁发者单位、颁发者通用名、颁发者邮箱、证书拥有者国家、证书拥有者省份、证书拥有者地区、证书拥有者组织、证书拥有者单位、证书拥有者通用名、证书拥有者邮箱、证书序列号、证书生效时间、证书过期时间、备用域名、首次出现时间、最后出现时间；

获取每个实体的名称、所属国家、所属省份、所属城市、所属组织、邮箱、电话。

根据本发明的一些实施例，各个所述互联网基础资源之间的关系包括：静态关系和动态关系；

所述静态关系包括：域名之间的层次关系、域名和IP地址之间的关系、域名和证书之间的关系、IP地址和实体之间的关系、域名和实体之间的关系、证书和实体之间的关系；

所述动态关系包括：IP地址之间的关系。

根据本发明的一些实施例，各个所述互联网基础资源之间的关系还包括：属性交叉关系；

所述属性交叉关系包括：注册者交叉关系和承载域名交叉关系。

根据本发明实施例的互联网基础资源及其关系模型，所述互联网基础资源及其关系模型基于上述的互联网基础资源及其关系模型构建方法构建而成。

根据本发明实施例的互联网基础资源及其关系模型的应用方法，所述互联网基础资源及其关系模型为如上所述的互联网基础资源及其关系模型，所述应用方法，包括：

根据输入的两个互联网基础资源以及最长路径阈值n，基于所述互联网基础资源及其关系模型，判断这两个互联网基础资源是否通过至多n个关系构成的关系链相互连接，并输出这条关系链作为这两个互联网基础资源之间的路径。

根据本发明的一些实施例，所述应用方法，还包括：

根据输入的互联网基础资源，基于所述互联网基础资源及其关系模型，获取与其相关联的互联网基础资源和关系。

根据本发明的一些实施例，所述应用方法，还包括：

基于所述互联网基础资源及其关系模型，判断同一集合中的不同互联网基础资源实际上是否为同一互联网基础资源。

根据本发明的一些实施例，所述应用方法，还包括：

根据输入的多个IP地址和聚集阈值m，基于所述互联网基础资源及其关系模型，对所述多个IP地址进行聚类运算，以获得m个IP地址聚类集合。

采用本发明实施例，为互联网基础资源提供一种描述方法，包括资源、资源之间的关系以及资源属性的定义，并在此基础上提供多个互联网资源之间的操作，用以支持对互联网上常用行为进行研究的支撑。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。在附图中：

图1是本发明实施例中互联网基础资源及其关系模型构建方法流程图；

图2是本发明实施例中互联网基础资源及其关系模型示意图；

图3是本发明实施例中互联网基础资源及其关系模型示意图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

本发明第一方面实施例提出一种互联网基础资源及其关系模型构建方法，如图1所示，所述方法包括：

S11，将相同类型的互联网基础资源以集合的形式表示，以获得多个集合；

S12，获取每个所述互联网基础资源的属性以及各个所述互联网基础资源之间的关系；

S13，基于所述多个集合、每个所述互联网基础资源的属性以及各个所述互联网基础资源之间的关系，构建互联网基础资源及其关系模型。

在上述实施例的基础上，进一步提出各变型实施例，在此需要说明的是，为了使描述简要，在各变型实施例中仅描述与上述实施例的不同之处。

将所有IP地址以集合的形式表示，以获得IP地址的集合；

将所有域名以集合的形式表示，以获得域名的集合；

将所有证书以集合的形式表示，以获得证书的集合；

将所有实体以集合的形式表示，以获得实体的集合。

所述动态关系包括：IP地址之间的关系。

本发明第二方面实施例提出一种互联网基础资源及其关系模型，所述互联网基础资源及其关系模型基于上述第一方面各实施例中的互联网基础资源及其关系模型构建方法构建而成。

本发明第三方面实施例提出一种互联网基础资源及其关系模型的应用方法，所述互联网基础资源及其关系模型为如上所述第二方面各实施例的互联网基础资源及其关系模型，所述应用方法，包括：

根据本发明的一些实施例，所述应用方法，还包括：

下面参照图2和图3以一个具体的实施例详细描述根据本发明实施例的互联网基础资源及其关系模型及其应用方法。值得理解的是，下述描述仅是示例性说明，而不是对本发明的具体限制。凡是采用本发明的相似结构及其相似变化，均应列入本发明的保护范围。

本发明实施例的目的就是提出一种互联网基础资源及其关系模型，包括互联网基础资源、各互联网基础资源之间的关系以及互联网基础资源属性的定义，并在此基础上提供多个互联网资源之间的操作，用以支持对互联网上常用行为进行研究的支撑。

图2为互联网基础资源及其关系模型示意图，如图2所示，将相同类型的互联网基础资源以集合的形式进行表示。例如：P表示IP地址的集合；D表示域名的集合；C表示证书的集合；E表示实体(注册人或注册组织)的集合。通过带有箭头的边表示互联网基础资源之间的关系。例如：边的两个箭头都指向P，表示一个多对多的IP地址之间的关系，表示通联关系，可以用表达式表示为：

边的两个箭头都指向D，表示一个多对多的域名之间的关系，表示父子域名之间的继承关系，以及不同域名的等价关系，可以用表达式表示为：

边的两个箭头分别指向D和P，表示一个多对多的IP地址和域名之间的关系，通示域名解析到的IP地址(或IP地址承载的域名)，可以用表达式表示为：

边的两个箭头分别指向D和C，表示一个多对一的证书和域名的对应关系，表示域名和相应证书之间的对应，可以用表达式表示为：

边的两个箭头分别指向P和E，表示一个多对多的IP地址和实体的关系，表示实体使用的IP地址，可以用表达式表示为：

边的两个箭头分别指向D和E，表示一个一对多的域名和实体的关系，表示实体和其申请的域名之间的对应，可以用表达式表示为：

边的两个箭头分别指向C和E，表示一个一对多的证书和实体的关系，表示实体和其申请的证书之间的对应，可以用表达式表示为：

实际上，也可以根据空间的不同，对互联网基础资源的集合进行划分，同时对同类互联网基础资源之间的关系进行细化。如图3所示，依据互联网基础资源存在空间的不同，可以将模型划分为两个空间：物理空间和网络空间。实体的集合属于物理空间，IP地址的集合、域名的集合、以及证书的集合均属于网络空间。细化描述相同资源之间的内在关系和不同资源之间的外在关系。每个集合中的点表示该集合中的一个成员(互联网基础资源)。例如，实体的集合中的点表示一个实体。图3中点与点之间的连线表示不同互联网基础资源之间关系。

对于一个实体而言，它可能与另外的一个或多个实体存在关系、可能与一个或多个IP地址存在关系、可能与一个或多个证书存在关系、可能与一个或多个域名存在关系；

对于一个IP地址而言，它可能与另外的一个或多个IP地址存在关系、可能与一个或多个实体存在关系、可能与一个或多个证书存在关系、可能与一个或多个域名存在关系；

对于一个域名而言，它可能与另外的一个或多个域名存在关系、可能与一个或多个实体存在关系、可能与一个或多个证书存在关系、可能与一个或多个IP地址存在关系；

对于一个证书而言，它可能与一个或多个实体存在关系、可能与一个或多个IP地址存在关系、可能与一个或多个域名存在关系。

不同主体间的连接关系，包括：静态关系和动态关系。静态关系是指在一定时间窗口内通常不发生变化的关系，例如域名和IP地址之间的对应；动态关系是指关系的建立频繁变化的关系，例如IP地址之间的通联关系。对于此类关系而言，可以看做是关系的建立与关系的撤销都在比较短的时间内完成，例如IP通联关系，仅在两个IP进行通信时存在，建立于二者通信开始，撤销与二者通信结束。

此外，还考虑一种特别的关系，交叉关联——即不同实体之间能够通过属性来描述的关系，例如：当某个实体e的邮箱和某个域名d的注册邮箱一致时，可以建立二者间的联系。

1、静态关系

静态关系和动态关系相对应，是在一定时间窗口内通常不发生变化的关系。这类关系通常是稳定的，且关系的改变能够明显的探知。域名和IP地址之间的关系、域名之间的关系、域名和实体之间的关系都属于此类。

DD关系：域名之间的层次关系，各级域名之间的关系可以从语法上直接分析获得。例如，www.baidu.com和map.baidu.com都是baidu.com的子域名。通过域名之间的层次关系，可以获得：父域名可以直接或者间接管理子域名及其更低层次的子域名。

属性	意义
		TYPE	DD关系的类型(层次关系)
SUPDOMAIN(HEAD)	父域名
		SUBDOMAIN(TAIL)	子域名

此外，域名间还存在等价关系(CNAME)，表示不同域名都指向相同的主机。

DP关系：域名和IP地址之间的关系，其构建通常依赖于DNS解析信息获取。

属性	意义
		TYPE	DP关系的类型(解析关系)
DOMAIN(HEAD)	域名
		IP(TAIL)	域名解析结果
TIME	解析时间

DC关系：域名和证书之间的关系，通常证书信息中包含有其对应的域名，以此进行关系的构建。

属性	意义
		TYPE	DC关系的类型(对应关系)
DOMAIN(HEAD)	域名
		CERT(TAIL)	证书MD5

PE关系：IP地址和实体的关系。实体申请接入互联网时，在运营商登记的信息。

属性	意义
		TYPE	PE关系的类型(对应关系)
ENTITY(HEAD)	实体
		IP(TAIL)	IP地址
RTIME	实体注册IP的时间

DE关系：域名和实体的关系。实体申请域名时，在信息中心或云服务器提供商登记的信息。

属性	意义
		TYPE	DE关系的类型(注册关系)
ENTITY(HEAD)	实体
		DOMAIN(TAIL)	域名
RTIME	注册时间
		ETIME	过期时间
UTIME	更新时间

CE关系：证书和实体的关系。实体申请证书时，在服务提供上登记的信息。

属性	意义
		TYPE	CE关系的类型(对应关系)
Entity(head)	实体注册证书的时间
		Cert(tail)	证书MD5
ISSUER	颁发者
		EFTIME	生效时间
EXTIME	失效时间

2、动态关系

动态关系是指在一定时间窗口内，变化较快的一种不稳定的关系。这种关系的特点决定了关系连接的两方可能在历史上有多次的该改关系的建立与撤销，从而导致此类关系的历史记录数量十分庞大。

PP关系：IP地址之间的关系，通过IP报文中的源IP和目的IP两个字段可以判定，两个IP地址之间有无通信。PP关系可以采用属性进行描述。

属性	意义
		TYPE	PP关系的类型(通联关系)
SIP(head)	发起关系建立的IP地址
		DIP(tail)	被发起关系建立的IP地址
PROTOCOL	使用的上层协议(如TCP、ICMP等)
		STIME	通信开始时间
ETIME	通信结束时间
		SPORT	源端口
DPORT	目的端口
		PACKETS	包数

3、属性交叉关系

上文描述的动态关系和静态关系是能够从网络各资源之间的通信中直接获取的关系，本节所描的属性交叉是另一个维度上的关系，是基于以上直接关系和实体属性，经过计算、推理之后可确认的关系，即通过对不同主体的属性进行判断，确定两个主体之间的其他关系，例如以下两类。

注册者交叉：如果某个域名d的注册者和某个IP地址p的注册者是相关的实体e，那么d和p之间可以建立潜在的联系，比如可以用来预测d在未来某个时刻可能解析到p。

承载域名交叉：如果某个IP地址p曾承载过不同的域名d₁,d₂,…,那么可以建立这些域名之间的联系。

网络基础资源通常拥有多项信息作为资源属性。例如对于IP地址而言，可以通过分配规则、已有的IP定位库等信息判定特定IP地址所在的物理位置(精确到国家、地区)；对于域名，可以根据WHOIS信息获得其申请人信息；对于其证书，可以通过证书内部标准信息获证书的颁发者或拥有者。对于

p具有如下的属性：

对于

d具有如下的属性：

属性	意义
		DOMAIN	域名
CNAME	cname记录集合
		NS	ns记录集合
IP	当前解析IP地址
		URL	域名上的URL
PROVIDER	域名服务商

对于

c具有如下的属性：

对于

e具有如下的属性：

属性	意义
		NAME	名称
COUNTRY	所属国家
		PROVINCE	所属省份
CITY	所属城市
		ORGANIZATION	所属组织
EMAIL	邮箱
		PHONE	电话

基于上述构建的模型，能够定义对于该模型中多种操作。这些操作包括依赖于已建立的节点和关系进行的查找，也包括了根据上述信息进行更近一步的挖掘。

1、路径查找

路径查找操作的目标是根据输入的2个资源，从模型中判断这2个资源是否通过至多n个关系构成的关系链相互连接，并输出这条关系链作为两者之间的路径。这个操作可以被用来分析资源间是否存在关联链条，比如某资源是否遭到了一些恶意资源的攻击等。

其输入为：2个资源及最长路径阈值n。

其输出为：以这2个资源为两端的，经过0～(n-1)个其他节点的子图。

ClueExt(a,b∈P∪C∪D∪E,n∈N⁺)→(a,R₁,r₁,…,R_k,b)，

其中，r_i∈P∪C∪D∪E,R_j∈DD∪DP∪DC∪PE∪DE∪CE,k<n,i,j<k。

2、扩展搜索

扩展搜索操作其目标是根据输入的IP地址、域名、证书、实体信息，从模型中获取与其相关联的所有信息。扩展搜索的过程是根据输入的信息，在模型中查找所有与该信息n跳内的节点和之间的连接关系。其结果是这些节点和关系构成的以线索为中心，n跳的图。该图是整个模型的一个子图。

其输入为：一条信息，如一个IP地址p或一个域名d或一个证书c或一个实体e。

其输出为：以该线索为中心，包括与其n跳内关联节点和关系的图。

ClueExt(clue∈P∪C∪D∪E,n∈N⁺)→graph(clue,n)

扩展搜索操作的执行依赖于已有关系进行查找，是对已有数据的检索。

3、节点相似性判断

节点相似性判断在模型中判断同类型不同节点实际上是否为同一个节点。比如，这个操作可以用来判断两个实体组织是否为同一个组织或者有密切联系。节点合并算法主要针对于实体进行，其操作执行逻辑为对于每个实体，确定其使用的IP地址、域名、证书等信息。根据上述信息查询其通联、访问的节点信息，通过计算行为的相似性，判断不同的实体是否可能有密切联系。

其输入为：一个实体集合；

其输出为：空集或者输入实体集合的一个或子集；

4、IP聚类

互联网上，某些IP地址之间通信较多，这些IP地址构成一个IP的聚集，不同的IP的聚集之间通信不如聚集内部通信的频率高。例如，中国的用户大部分是访问国内的网站，那么如果建立了不同国家的IP聚集，对于没有IP定位库信息的地址，也能够预测所属的国家。

IP聚类操作的执行可以依赖社区发现(Community Detection)算法等相关的聚类算法进行实现。

其输入为：一个IP地址集合，即感兴趣的IP地址范围；和希望产生的聚集数目。

其输出为：n个IP地址集合，这些集合两两互不相交，且其并集为输入的IP地址集合。

采用本发明实施例，为互联网基础资源提供了一种描述模型，包括资源实体的定义和资源实体之间关系的定义，能够将常见的互联网资源进行统一描述；同时，提出基于此模型的典型操作，能够用于解决互联网资源处理的相关问题。

需要说明的是，以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

在此提供的方法不与任何特定计算机、虚拟系统或者其它设备固有相关。本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

Claims

1.一种互联网基础资源及其关系模型构建方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述将相同类型的互联网基础资源以集合的形式表示，以确定多个集合，包括：

将所有IP地址以集合的形式表示，以获得IP地址的集合；

将所有域名以集合的形式表示，以获得域名的集合；

将所有证书以集合的形式表示，以获得证书的集合；

将所有实体以集合的形式表示，以获得实体的集合。

3.如权利要求2所述的方法，其特征在于，所述获取每个所述互联网基础资源的属性，包括：

4.如权利要求3所述的方法，其特征在于，各个所述互联网基础资源之间的关系包括：静态关系和动态关系；

所述动态关系包括：IP地址之间的关系。

5.如权利要求4所述的方法，其特征在于，各个所述互联网基础资源之间的关系还包括：属性交叉关系；

6.一种互联网基础资源及其关系模型，其特征在于，所述互联网基础资源及其关系模型基于权利要求5所述的方法构建而成。

7.一种互联网基础资源及其关系模型的应用方法，其特征在于，所述互联网基础资源及其关系模型为权利要求6所述的互联网基础资源及其关系模型，所述应用方法，包括：

8.如权利要求7所述的方法，其特征在于，所述应用方法，还包括：

9.如权利要求7所述的方法，其特征在于，所述应用方法，还包括：

10.如权利要求7所述的方法，其特征在于，所述应用方法，还包括：