知財求人 - 知財ポータルサイト「IP Force」
▶ エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドの特許一覧 ▶ エヌエスフォーカス テクノロジーズ インクの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2020-516187(P2020-516187A)
(43)【公表日】2020年5月28日
(54)【発明の名称】DNSを評価するための方法及び装置
(51)【国際特許分類】
H04L 12/70 20130101AFI20200501BHJP
【FI】
H04L12/70 B
【審査請求】有
【予備審査請求】未請求
【全頁数】61
(21)【出願番号】特願2019-553903(P2019-553903)
(86)(22)【出願日】2017年11月27日
(85)【翻訳文提出日】2019年9月30日
(86)【国際出願番号】CN2017113183
(87)【国際公開番号】WO2018176874
(87)【国際公開日】20181004
(31)【優先権主張番号】201710214360.5
(32)【優先日】2017年4月1日
(33)【優先権主張国】CN
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,ST,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DJ,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IR,IS,JO,JP,KE,KG,KH,KN,KP,KR,KW,KZ,LA,LC,LK,LR,LS,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WCDMA
(71)【出願人】
【識別番号】511273078
【氏名又は名称】エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッド
【氏名又は名称原語表記】NSFOCUS INFORMATION TECHNOLOGY CO.,LTD
(71)【出願人】
【識別番号】515056130
【氏名又は名称】エヌエスフォーカス テクノロジーズ インク
【氏名又は名称原語表記】NSFOCUS TECHNOLOGIES,INC.
(74)【代理人】
【識別番号】110000671
【氏名又は名称】八田国際特許業務法人
(72)【発明者】
【氏名】リウ,ウェイシン
(72)【発明者】
【氏名】シ,ユチャオ
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030HA08
5K030HD09
5K030KA07
5K030LE16
5K030MD06
(57)【要約】
本発明はDNSを評価する方法及び装置を提供する。DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、M個のドメインネームのそれぞれに対応する所定のカテゴリの各々複数のカテゴリの複数の特徴次元情報とを決定することを含む。Mは1以上の整数であり、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定することと、アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含む。前記M個のドメインネームと、前記M個のドメインネームのそれぞれの属性情報と関連するアソシエーション識別子との対応関係に従って、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアを決定するステップと、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアを決定する。このようにして、DNS評価の精度を向上させる。
【特許請求の範囲】
【請求項1】
DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定するステップと、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定するステップと、
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報に基づいて、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップと、
DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、前記DNSシステムの総合システムスコアを決定するステップとを備え、
前記Mは1以上の整数であり、
前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含むことを特徴とするドメインネームシステム(DNS)の評価方法。
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定するステップと、
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報に基づいて、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップと、
DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、前記DNSシステムの総合システムスコアを決定するステップとを備え、
前記Mは1以上の整数であり、
前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含むことを特徴とするドメインネームシステム(DNS)の評価方法。
【請求項2】
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報に基づいて、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップでは、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記N個の第1のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、Nは1以上M以下の整数であり、
前記M個のドメインネームの属性情報の差異が所定の属性閾値より小さいドメインネームと前記ドメインネームに関連するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、前記K個の第2のエンティティ要素グループによって、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、Kは1以上の整数であり、
また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアとに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記N個の第1のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、Nは1以上M以下の整数であり、
前記M個のドメインネームの属性情報の差異が所定の属性閾値より小さいドメインネームと前記ドメインネームに関連するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、前記K個の第2のエンティティ要素グループによって、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、Kは1以上の整数であり、
また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアとに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
【請求項3】
前記N個の第1のエンティティ要素グループに従って、DNSシステムの第1のクラスタースコアを決定するステップでは、
前記N個の第1のエンティティ要素グループのそれぞれの第1のエンティティ要素グループに対し、
前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報のそれぞれを正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、
前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定するステップと、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された前記複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第1のクラスタースコアを決定し、
前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの第2のクラスタースコアを決定するステップでは、
前記K個の第2のエンティティ要素グループのそれぞれに対し、
前記第2のエンティティ要素グループに含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化し、
前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された前記複数の属性情報の各属性情報と、前記第2のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
前記N個の第1のエンティティ要素グループのそれぞれの第1のエンティティ要素グループに対し、
前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報のそれぞれを正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、
前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定するステップと、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された前記複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第1のクラスタースコアを決定し、
前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの第2のクラスタースコアを決定するステップでは、
前記K個の第2のエンティティ要素グループのそれぞれに対し、
前記第2のエンティティ要素グループに含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化し、
前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された前記複数の属性情報の各属性情報と、前記第2のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
【請求項4】
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定するステップでは、
ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する所定のカテゴリの正規化された前記複数の特徴次元情報に基づいて、前記DNSシステムの所定のカテゴリの個別スコアを決定し、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアと前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいてDNSシステムの総合システムスコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する所定のカテゴリの正規化された前記複数の特徴次元情報に基づいて、前記DNSシステムの所定のカテゴリの個別スコアを決定し、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアと前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいてDNSシステムの総合システムスコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
【請求項5】
前記所定のカテゴリは、悪意度、人気度又は異常度を含み、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、
前記DNSシステムの悪意度のクラスタースコアとDNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、
前記DNSシステムの人気度のクラスタースコアとDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度度のシステムスコアを決定し、
前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアとに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて、前記DNSシステムの総合システムスコアを決定することを特徴とする請求項4に記載のドメインネームシステム(DNS)の評価方法。
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、
前記DNSシステムの悪意度のクラスタースコアとDNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、
前記DNSシステムの人気度のクラスタースコアとDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度度のシステムスコアを決定し、
前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアとに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて、前記DNSシステムの総合システムスコアを決定することを特徴とする請求項4に記載のドメインネームシステム(DNS)の評価方法。
【請求項6】
DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定し、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又はM個のドメインネームの各ドメインネームの属性情報に基づいて、前記DNSシステムの各所定のカテゴリのクラスタースコアを決定するための決定ユニットと、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定するためのスコアリングユニットとを備え、
前記Mは、1以上の整数であり、
前記アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含むことを特徴とするドメインネームシステム(DNS)の評価装置。
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又はM個のドメインネームの各ドメインネームの属性情報に基づいて、前記DNSシステムの各所定のカテゴリのクラスタースコアを決定するための決定ユニットと、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定するためのスコアリングユニットとを備え、
前記Mは、1以上の整数であり、
前記アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含むことを特徴とするドメインネームシステム(DNS)の評価装置。
【請求項7】
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を、第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、Nは、1以上M以下の整数であり、M個のドメインネームの属性情報の差異が所定の属性閾値よりも小さいドメインネームと、前記ドメインネームに関連するアソシエーション識別子情報を第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得する処理ユニットをさらに備え、
前記スコアリングユニットは、
前記N個の第1のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定し、前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリを決定し、前記Kは1以上の整数であり、前記所定のカテゴリの第1クラスタースコア及び前記所定のカテゴリの第2クラスタースコアに従って、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項6に記載のドメインネームシステム(DNS)の評価装置。
前記スコアリングユニットは、
前記N個の第1のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定し、前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリを決定し、前記Kは1以上の整数であり、前記所定のカテゴリの第1クラスタースコア及び前記所定のカテゴリの第2クラスタースコアに従って、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項6に記載のドメインネームシステム(DNS)の評価装置。
【請求項8】
前記スコアリングユニットは、
前記N個の第1のエンティティ要素グループのそれぞれについて、前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報に対して正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、前記第1のエンティティ要素グループ内の前記関連アソシエーション情報に対応する特徴次元情報を決定し、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特アイデンティティ情報徴次元情報に基づいて、DNSシステムの第一クラスタースコアを決定すし、
前記K個の第2のエンティティ要素グループのそれぞれに従って、前記DNSシステムの第2のクラスタースコアを決定する場合、
前記K個の第2のエンティティ要素グループのそれぞれに含まれる前記ドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応するフィーチャ次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定することを特徴とする請求項6に記載のドメインネームシステム(DNS)の評価装置。
前記N個の第1のエンティティ要素グループのそれぞれについて、前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報に対して正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、前記第1のエンティティ要素グループ内の前記関連アソシエーション情報に対応する特徴次元情報を決定し、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特アイデンティティ情報徴次元情報に基づいて、DNSシステムの第一クラスタースコアを決定すし、
前記K個の第2のエンティティ要素グループのそれぞれに従って、前記DNSシステムの第2のクラスタースコアを決定する場合、
前記K個の第2のエンティティ要素グループのそれぞれに含まれる前記ドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応するフィーチャ次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定することを特徴とする請求項6に記載のドメインネームシステム(DNS)の評価装置。
【請求項9】
前記スコアリングユニットは、ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、前記ターゲットドメインネームに対応する所定のカテゴリの正規化された複数の特徴次元情報に従って、前記DNSシステムの所定のカテゴリの個別スコアを決定し、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアと前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいて、前記DNSシステムの総合システムスコアを決定することを特徴とする請求項6に記載のドメインネームシステム(DNS)の評価装置。
【請求項10】
前記所定のカテゴリは、悪意度、人気度又は異常度を含み、
前記スコアリングユニットは、
前記DNSシステムの悪意度度のクラスタースコアと前記DNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、前記DNSシステムの人気度度のクラスタースコアと前記DNSシステム人気度の個別スコアに基づいて、前記DNSシステムの人気度のシステムスコアを決定し、前記DNSシステムの異常度度のクラスタースコアと前記DNSシステムの異常度の個別スコアに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて前記DNSシステムの総合システムスコアを決定することを特徴とする請求項9に記載のドメインネームシステム(DNS)の評価装置。
前記スコアリングユニットは、
前記DNSシステムの悪意度度のクラスタースコアと前記DNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、前記DNSシステムの人気度度のクラスタースコアと前記DNSシステム人気度の個別スコアに基づいて、前記DNSシステムの人気度のシステムスコアを決定し、前記DNSシステムの異常度度のクラスタースコアと前記DNSシステムの異常度の個別スコアに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて前記DNSシステムの総合システムスコアを決定することを特徴とする請求項9に記載のドメインネームシステム(DNS)の評価装置。
【請求項11】
プロセッサと、メモリと、バスインターフェースとを備え、前記プロセッサと、前記メモリと、トランシーバとの間に、バスによって接続されており、
前記プロセッサは、前記メモリ内のプログラムを読み取り、
前記DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定し、前記Mは1以上の整数であり、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個ドメインネームの各ドメインネームの属性情報に基づいて、前記DNSシステムの各所定のカテゴリのカテゴリごとのクラスタースコアを決定し、
前記DNSシステムの前記所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定し、
前記メモリは、1つ又は複数の実行可能プログラムを格納するように構成され、動作を実行するときにプロセッサによって使用されるデータを格納することができることを特徴とする電子デバイス。
前記プロセッサは、前記メモリ内のプログラムを読み取り、
前記DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定し、前記Mは1以上の整数であり、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個ドメインネームの各ドメインネームの属性情報に基づいて、前記DNSシステムの各所定のカテゴリのカテゴリごとのクラスタースコアを決定し、
前記DNSシステムの前記所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定し、
前記メモリは、1つ又は複数の実行可能プログラムを格納するように構成され、動作を実行するときにプロセッサによって使用されるデータを格納することができることを特徴とする電子デバイス。
【請求項12】
前記プロセッサは、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記Nは、1以上M以下の整数であり、前記M個のドメインネームの属性情報の差異が所定の属性閾値よりも小さいドメインネームと、前記ドメインネームに関連するアソシエーション識別子情報を1つの第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、
前記N個の第1のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定し、前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、
前記Kは1以上の整数であり、前記所定のカテゴリの第1クラスタースコアと、前記所定のカテゴリの第2クラスタースコアに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項11に記載の電子デバイス。
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記Nは、1以上M以下の整数であり、前記M個のドメインネームの属性情報の差異が所定の属性閾値よりも小さいドメインネームと、前記ドメインネームに関連するアソシエーション識別子情報を1つの第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、
前記N個の第1のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定し、前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、
前記Kは1以上の整数であり、前記所定のカテゴリの第1クラスタースコアと、前記所定のカテゴリの第2クラスタースコアに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項11に記載の電子デバイス。
【請求項13】
前記プロセッサは、
前記N個の第1のエンティティ要素グループのそれぞれについ、前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報に対して正規化し、前記ターゲットドメインネームが前記M個のドメインネームのいずれかであり、前記第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴アイデンティティ情報に基づいて、前記DNSシステムの第1クラスタースコアを決定し、
前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの第2クラスタースコアを決定する場合、前記K個の第2のエンティティ要素グループのそれぞれに含まれるドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴、及び前記第2のエンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの第2クラスタースコアを決定することを特徴とする請求項11に記載の電子デバイス。
前記N個の第1のエンティティ要素グループのそれぞれについ、前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報に対して正規化し、前記ターゲットドメインネームが前記M個のドメインネームのいずれかであり、前記第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴アイデンティティ情報に基づいて、前記DNSシステムの第1クラスタースコアを決定し、
前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの第2クラスタースコアを決定する場合、前記K個の第2のエンティティ要素グループのそれぞれに含まれるドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴、及び前記第2のエンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの第2クラスタースコアを決定することを特徴とする請求項11に記載の電子デバイス。
【請求項14】
前記プロセッサは、
ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する前記所定のカテゴリの正規化された複数の特徴次元情報に従って、前記DNSシステムの所定のカテゴリの個別スコアを決定し、前記DNSシステムのカテゴリごとのクラスタースコア、及び前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアによって、前記DNSシステムの総合システムスコアを決定することを特徴とする請求項11に記載の電子デバイス。
ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する前記所定のカテゴリの正規化された複数の特徴次元情報に従って、前記DNSシステムの所定のカテゴリの個別スコアを決定し、前記DNSシステムのカテゴリごとのクラスタースコア、及び前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアによって、前記DNSシステムの総合システムスコアを決定することを特徴とする請求項11に記載の電子デバイス。
【請求項15】
前記所定のカテゴリは、悪意度、人気度、又は異常度を含み、
前記プロセッサは、前記DNSシステムの悪意度のクラスタースコア及び前記DNSシステムの悪意度の個別スコアに従って、前記DNSシステムの悪意度度のシステムスコアを決定し、前記DNSシステムの人気度のクラスタースコアと前記DNSシステムの人気度の個別スコアに基づいて、前記DNSシステムの人気度度のシステムスコアを決定し、前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて前記DNSシステムの総合システムスコアを決定することを特徴とする請求項14に記載の電子デバイス。
前記プロセッサは、前記DNSシステムの悪意度のクラスタースコア及び前記DNSシステムの悪意度の個別スコアに従って、前記DNSシステムの悪意度度のシステムスコアを決定し、前記DNSシステムの人気度のクラスタースコアと前記DNSシステムの人気度の個別スコアに基づいて、前記DNSシステムの人気度度のシステムスコアを決定し、前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて前記DNSシステムの総合システムスコアを決定することを特徴とする請求項14に記載の電子デバイス。
【請求項16】
コンピュータに請求項1ないし請求項5のいずれか1項に記載の方法を実行させるためのコンピュータ命令を記憶することを特徴とする非一時的なコンピュータ可読記憶媒体。
【請求項17】
非一時的なコンピュータ可読記憶媒体に格納されたコンピュータプログラムを含み、コンピュータプログラムがプログラム命令を含み、前記プログラム命令がコンピュータによって実行されるとき、コンピュータが、請求項1ないし請求項5のいずれか1項に記載の方法を実行することを特徴とするコンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、ネットワークセキュリティの分野に関し、特に、DNSを評価するための方法及び装置に関する。
【背景技術】
【0002】
関連出願の相互参照本出願は、2017年4月1日に中国特許庁に提出し、出願番号が201710214360.5であり、発明の名称「DNSを評価するための方法及び装置」との中国特許出願を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
【0003】
ネットワーク通信では、IPサーバーへのアクセスは、IPアドレスを使用する必要があるが、IPアドレスは覚えにくいため、通常はサーバーへアクセスする際にドメインネームが入力され、ドメインネームを対応するIPアドレスに転換する必要がある。クライアント・サーバがドメインネームに対応するIPアドレスを取得した後、クライアント・サーバは、そのドメインネームに対応するサーバーにアクセスすることができ、ドメインネームからIPアドレスへのマッピング関係はドメインネームシステムによって実行される。
【0004】
ドメインネームサービス(Domain Name Service,DNS)は、インターネット上のドメインネームとIPアドレスの間でマッピングするための分散型データベースである。ドメインネームシステムは、IPアドレスマッピングの問題を解決するだけでなく、様々なアプリケーションやネットワーク構築の基礎となり、インターネット全体の可用性に関係しているので、DNS自体のセキュリティは非常に重要である。
【0005】
実際の使用では、ハッカーが、コンピュータやルータのDNS設定を改ざんし、通常のネットワークアドレスをフィッシングウェブサイト又はハッカーによって制御されているホストに転送することで、ユーザーからお金を奪ったり、プライバシーを侵害したりする。悪意度のあるDNSは非常に有害であるため、ユーザーの財産が失われる可能性があり、さらにWebサイトやネットワークさえも破壊される可能性がある。
【0006】
DNSはドメインネームごとに評価されている。すなわち、DNSは、クライアントによるドメイン名へのアクセス数によってのみ悪性度について評価されており、悪意度このように、DNSに対する評価は単にドメインネームのみに基づいているため、評価結果の信頼性が低下する可能性がある悪意度。
【0007】
要約すると、DNSを評価する精度を改善するためにDNSを評価するための解決策を提供することが非常に望ましい。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の実施形態は、DNS評価の精度を向上させるためにDNSの評価方法及び装置を提供する。
【課題を解決するための手段】
【0009】
第1の態様によれば、本発明の実施形態に係るDNSの評価方法は、DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定するステップと、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定するステップと、
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報に基づいて、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップと、
DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、前記DNSシステムの総合システムスコアを決定するステップとを備え、前記Mは1以上の整数であり、前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含む。
【0010】
本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報(DNS評価を行う際に評価基準の特徴ディメンションが追加される)に基づいて評価するため、DNS評価の精度が向上し、さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0011】
任意選択的に、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報に基づいて、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップでは、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記N個の第1のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、Nは1以上M以下の整数であり、
前記M個のドメインネームの属性情報の差異が所定の属性閾値より小さいドメインネームと前記ドメインネームに関連するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、前記K個の第2のエンティティ要素グループによって、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、Kは1以上の整数であり、
また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアとに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0012】
任意選択的に、前記N個の第1のエンティティ要素グループに従って、DNSシステムの第1のクラスタースコアを決定するステップでは、
前記N個の第1のエンティティ要素グループのそれぞれの第1のエンティティ要素グループに対し、
前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報のそれぞれを正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、
前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定するステップと、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された前記複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第1のクラスタースコアを決定し、
前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの第2のクラスタースコアを決定するステップでは、
前記K個の第2のエンティティ要素グループのそれぞれに対し、
前記第2のエンティティ要素グループに含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化し、
前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された前記複数の属性情報の各属性情報と、前記第2のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定する。
【0013】
任意選択的に、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定するステップでは、ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する所定のカテゴリの正規化された前記複数の特徴次元情報に基づいて、前記DNSシステムの所定のカテゴリの個別スコアを決定し、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアと前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいてDNSシステムの総合システムスコアを決定する。
【0014】
任意選択的に、前記所定のカテゴリは、悪意度、人気度又は異常度を含み、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、
前記DNSシステムの悪意度のクラスタースコアとDNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、
前記DNSシステムの人気度のクラスタースコアとDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度度のシステムスコアを決定し、
前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアとに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて、前記DNSシステムの総合システムスコアを決定する。
【0015】
第2の態様によれば、DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定し、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又はM個のドメインネームの各ドメインネームの属性情報に基づいて、前記DNSシステムの各所定のカテゴリのクラスタースコアを決定するための決定ユニットと、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定するためのスコアリングユニットとを備え、前記Mは、1以上の整数であり、前記アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含む。
【0016】
任意選択的に、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を、第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、Nは、1以上M以下の整数であり、M個のドメインネームの属性情報の差異が所定の属性閾値よりも小さいドメインネームと、前記ドメインネームに関連するアソシエーション識別子情報を第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得する処理ユニットをさらに備え、前記スコアリングユニットは、
前記N個の第1のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定し、前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリを決定し、前記Kは1以上の整数であり、前記所定のカテゴリの第1クラスタースコア及び前記所定のカテゴリの第2クラスタースコアに従って、前記DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0017】
任意選択的に、前記スコアリングユニットは、前記N個の第1のエンティティ要素グループのそれぞれについて、前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報に対して正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、前記第1のエンティティ要素グループ内の前記関連アソシエーション情報に対応する特徴次元情報を決定し、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、DNSシステムの第一クラスタースコアを決定すし、
前記K個の第2のエンティティ要素グループのそれぞれに従って、前記DNSシステムの第2のクラスタースコアを決定する場合、
前記K個の第2のエンティティ要素グループのそれぞれに含まれる前記ドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応するフィーチャ次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定する。
【0018】
任意選択的に、前記スコアリングユニットは、ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、前記ターゲットドメインネームに対応する所定のカテゴリの正規化された複数の特徴次元情報に従って、前記DNSシステムの所定のカテゴリの個別スコアを決定し、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアと前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいて、前記DNSシステムの総合システムスコアを決定する。
【0019】
任意選択的に、前記所定のカテゴリは、悪意度、人気度又は異常度を含み、前記スコアリングユニットは、
前記DNSシステムの悪意度度のクラスタースコアと前記DNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、前記DNSシステムの人気度度のクラスタースコアと前記DNSシステム人気度の個別スコアに基づいて、前記DNSシステムの人気度のシステムスコアを決定し、前記DNSシステムの異常度度のクラスタースコアと前記DNSシステムの異常度の個別スコアに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて前記DNSシステムの総合システムスコアを決定する。
【0020】
第3の態様によれば、本発明の実施形態に係る電子デバイスは、プロセッサと、メモリと、バスインターフェースとを備え、前記プロセッサと、前記メモリと、トランシーバとの間に、バスによって接続されており、前記プロセッサは、前記メモリ内のプログラムを読み取り、
前記DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定し、前記Mは1以上の整数であり、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個ドメインネームの各ドメインネームの属性情報に基づいて、前記DNSシステムの各所定のカテゴリのカテゴリごとのクラスタースコアを決定し、
前記DNSシステムの前記所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定し、
前記メモリは、1つ又は複数の実行可能プログラムを格納するように構成され、動作を実行するときにプロセッサによって使用されるデータを格納することができること。
【0021】
第4の態様は、コンピュータに態様1又は態様1のいずれかの実施可能な方法を実行させるためのコンピュータ命令を記憶することを特徴とする非一時的なコンピュータ可読記憶媒体を提供する。
【0022】
第5の態様は、非一時的なコンピュータ可読記憶媒体に格納されたコンピュータプログラムを含み、前記プログラム命令がコンピュータによって実行されるときにコンピュータが、態様1又は態様1のいずれかの実施可能な方法を実行することを特徴とするコンピュータプログラム製品を提供する。
【発明の効果】
【0023】
本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報(DNS評価を行う際に評価基準の特徴ディメンションが追加される)に基づいて評価するため、DNS評価の精度が向上し、さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上される。
【0024】
本発明の実施形態における技術的解決策をより明確に説明するために、以下では、実施形態の説明で使用される図面について簡単に説明する。
【図面の簡単な説明】
【0025】
【図1】本発明の実施形態に係る通信システムのアーキテクチャの概略図である。
【図2】本発明の実施形態に係るDNSを評価するための方法の概略フローチャートである。
【図3】本発明の実施形態に係るドメインネームと、IPアドレスと、電子メールアドレスとの間の関連つけを示すサブグラフである。
【図4】本発明の実施形態に係るDNS評価装置の概略構成図である。
【図5】本発明の実施形態に係る電子デバイスの概略構成図である。
【発明を実施するための形態】
【0026】
本発明の目的、技術的解決法及び有益な効果をより明確にするために、以下で添付の図面及び実施形態を参照してさらに詳細に説明する。本明細書に記載の特定の実施形態は、単に本発明の例示であり、本発明を限定するものではないことが理解されたい。
【0027】
本発明の実施形態の技術的解決策は、様々な通信システム、例えばグローバル移動通信(GSM)システム、符号分割多元接続(CDMA)システム、広帯域符号分割多元接続(WCDMA)、GPRS(General Packet Radio Service)システム、(LTE(long Term Evolution)システム、LTE周波数分割複信(FDD)システム、LTE時分割複信(TDD)システム、UMTS(Universal Mobile Telecommunication System)、WiMAX(Worldwide Interoperability for Microwave Access)通信システム、及び将来の5G通信システムなどに適用することができる。
【0028】
図1は、本発明の実施形態に係る通信システムアーキテクチャの概略図である。図1に示すように、当該システムアーキテクチャは、クライアント101、ローカルドメインネームサーバ102、ドメインネームサーバー103、及びドメインネームサーバー104を含むことができる。クライアントとドメインネームサーバーは、無線又は有線又はその他の手段で接続されている。
【0029】
各クライアントは、ユーザーにより入力されたドメインネーム解析要求を受信するように構成され、クライアント101は、受信したドメインネーム解析要求をローカルドメインネームサーバ102に送る。ローカルドメインネームサーバ102がドメインネームを解析できる場合、ローカルドメインネームサーバ102は結果をクライアントに直接返す。ローカルドメインネームサーバ102がドメインネームを解析できない場合、ローカルドメインネームサーバ102は、上位ドメインネームサーバー103にドメインネーム解析要求を送信する。ドメインネームサーバー103が解析できる場合、解析結果をクライアントに送信する。ドメインネームサーバー103が解析できない場合、ドメインネーム解析要求はより上位のドメインネームサーバー104に送信され、このように、ドメインネームのIPアドレスが解析されるまで続く。
【0030】
各ドメインネームサーバーは、受信したドメインネーム解析要求を解析するために使用され、各ドメインネームサーバーは、管理するDNSネームスペースのすべてのリソースレコードを含む。リソースレコードは、タイプ、分類、及び存続時間フィールドを含むドメインネームと値の間のバインディングである。
【0031】
ドメインネームフィールドと値フィールドは、解析されたコンテンツと解析結果のそれぞれを表すために使用される。タイプフィールドは値のタイプを示す。タイプAは、値フィールドがIPアドレス、つまりユーザーが希望する最終的な回答であり、タイプはネームサーバー(Name Server、略してNS)であり、値フィールドは別のドメインネームサーバーのドメインネームであることを表す。前記メインネームサーバーは、ドメインネームフィールドで示されたドメインネームを解析する方法を知ることができる。エイリアスレコード(CNAME)であるタイプは、値フィールドがドメインネームで示されたホストのエイリアスであることを表す。メールMX(Mail Exchanger)であるタイプは、値フィールドが、メールサーバのドメインネームであることを表す。メールサーバは、ドメインネームフィールドで示されたドメインのメールを受信する。タイプPTRは、ドメインネームの逆解析などに使用される。カテゴリフィールドでは、追加のレコードタイプを指定できる。存続時間フィールドは、リソースレコードの有効期間を示すために使用される。
【0032】
ドメインネーム解析の時間を短縮するために、ドメインネームサーバーは、照会された他のドメインネームサーバーからのリソースレコードをキャッシュする。これらのリソースレコードは変更により無効になるため、ドメインネームサーバーは有効期間を設定し、期限切れのリソースレコードはキャッシュからクリアされる。
【0034】
ステップS201において、DNSトラフィックログに基づいて、DNSシステムのM個のドメインネームと、M個のドメインネームの各ドメインネームに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報とを決定する。Mは1以上の整数である。
【0035】
ステップS202において、M個のドメインネームの各ドメインネームに関連するアソシエーション識別子情報を決定する。アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含む。
【0036】
ステップS203において、M個のドメインネームとアソシエーション識別子情報との関連つけ、又はM個のドメインネームの各ドメインネームの属性情報に従って、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアを決定する。
【0037】
ステップS204において、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定する。
【0038】
本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報(DNS評価を行う際に評価基準の特徴次元が追加される)に基づいて評価するため、DNS評価の精度が向上し、さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0039】
任意選択的に、本発明の実施形態では、ステップS201の前に、所定期間内にDNSトラフィックログを取得する。
【0040】
DNSトラフィックログには、DNS要求メッセージの解析ログとDNS応答メッセージの解析ログを含めることができる。DNS要求メッセージとDNS応答メッセージは、DNSヘッダーセクション(Header Section)と質問セクション(Question Section)、回答セクション(Answer Section)、権限セクション(Authority Section)及び追加セクション(Additional Section)の5つの部分から構成される。
【0041】
DNS要求メッセージの解析ログ及びDNS応答メッセージの解析ログには、ホスト(Address a)レコード、AAAAレコード、NSレコード、CNAMEレコードなど、DNSのリソースレコードが含まれる。ここで、Aレコードはドメインネーム解析の重要な記録であり、特定のホスト名を対応するホストのIPアドレスにマッピングするために使用される。NSはDNSエリアを担当する権限ネームサーバーを指定する。CNAMEレコードは、DNSサーバーによってドメインネームが解析されることを指定するために使用されるドメインネームサーバーレコードである。
【0042】
本発明の実施形態では、DNSトラフィックログが取得された後、無駄な無効なDNSトラフィックログをフィルタリングすることを含むDNSトラフィックログのデータ前処理が実行される。
【0043】
例えば、イントラネットのDNSレコードに表示されるドメインネーム、イントラネットホスト名などの情報の交換に使用されるドメインネーム、「localhost」、「bogon」、「arpa」、「localdom」などのキャラクタで終了するドメインネームなどをフィルタリングする。このタイプのドメインネームはイントラネットに表示されるため、インターネットの動作には関係しない。
【0044】
ホワイトリストのドメインネームをフィルタリングする。ホワイトリストのドメインネームは、通常大企業や組織が所有しているが、トラフィックは大きく、セキュリティは高く、異常度の確率は低い。ホワイトリストのドメインネームは例えばAlexaTop 100Mのプライマリドメインネームとしては、例えば、baidu.com、google.com、qq.comなどである。DNSトラフィックログのデータを前処理することで、有効なDNSトラフィックログを取得できるため、データ処理量を削減できる。
【0045】
任意選択的に、本発明の実施形態では、DNSシステム内のM個のドメインネームは、DNSトラフィックログに従って決定され、M個のドメインネームは、単一のドメインネーム、特定のルールによって集約されたドメインネームの集合、及び特定のキャラクタを含むドメインネームの集合を含むことができる。
【0046】
M個のドメインネームの各々に対応する前記所定のカテゴリの各々の複数の特徴次元情報を決定する。前記複数の特徴次元は、ドメインネームの長さ、TTL(time to live)の統計値、例えばTTLの最大値、TTLの最小値、TTLの平均値、TTLの分散、ドメインネームレベルの数、要求送信時間間隔、クライアントIPアドレス数に対する要求、応答ステータス、ドメインネームに対応する解析IPアドレスの数、ヌルドメインネームの周期性、解析IPの数、初期出現時間、アクセス周期、ドメインネームのキャラクタの特性(例えば異なる母音の数、子音の数、母音と子音と交替の頻度)、桁数、ドメインネームのトピック特性(例えば電気通信、情報、ポータル、ゲームなど)、国の範囲、緯度及び経度の範囲、行政区の範囲(中国の省、市)などのクライアントアクセスエリア特性、アクセス頻度、解析の結果としてnullであるドメイン名へのクライアントのアクセスの統計的特徴(例えば要求数、異なるドメインネームの数、アクセスの周期性、アクセスの頻度など)が含まれる。
【0047】
任意選択的に、本発明の実施形態では、M個のドメインネームのそれぞれのドメインネームとアソシエーション識別子情報との関連つけ、又はM個のドメインネームの各ドメインネームの属性情報に基づいて、DNSシステムのクラスタースコアを決定する。本方法は、M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得する。N個の第1のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定する。前記M個のドメインネームの属性情報の差異が所定の属性閾値より小さいドメインネームと前記ドメインネームに関連するアソシエーション識別子情報を第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得する。前記K個の第2のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定する。所定のカテゴリの第1のクラスタースコア、及び所定のカテゴリの第2のクラスタに従って、DNSシステムの所定のカテゴリのクラスタースコアを決定することが含まれる。
【0048】
任意選択的に、本発明の実施形態では、M個のドメインネーム及びアソシエーション識別子情報の各ドメインネームが決定され、各ドメインネームに関連するアソシエーション識別子情報は、クライアントIP、解析IP、アイデンティティ情報などであってもよい。各ドメインネームと関連するアソシエーション識別子情報との関連付けには、クライアントIPとドメインネームとの関連付け、ドメインネームとアイデンティティ情報との関連付け、ドメインネームと解決IPとの関連付け、クライアントIPとDNSサーバーIPとの関連付けが含まれる。関連付けは、DNSトラフィックログとアイデンティティ情報データベースから4種類の関連付けを取得できる。
【0049】
ここで、ドメインネームとアイデンティティ情報との間の関連付けは、DNS要求メッセージの質問セクションのQNAMEに基づいているか、又はDNS応答メッセージ内の回答セクションからNAMEを抽出して、クライアントIPとドメインネームとの間の関連付けを決定する。ドメインネームと解析IPとの関連付けは、DNS応答メッセージ内の応答セクション、権限セクション、及び追加セクションのリソースレコード(RR)に基づいてドメインネームと解析IPの間の関連付けを取得する。クライアントIPとDNSサーバーIPとの関連付けは、DNS要求メッセージとDNS応答メッセージのUDPヘッダに基づいて、クライアントIPとDNSサーバーIPとの関連付けを取得する。
【0050】
ドメインネームとアイデンティティ情報との関連付けは、アイデンティティ情報データベースから取得され、アイデンティティ情報は、Whois情報であってもよい。Whoisは、ドメインネームが登録されているかどうかの照会、およびと登録されているドメインネームの詳細情報、例えばドメインネーム所有者、ドメインネームレジストラ及び他の情報などを照会することができる。アイデンティティ情報には、RegistrantName、RegistrantOrganization、RegistrantEmail、Admin Name、Admin Organization、Admin Emailなどが含まれる。本発明の実施形態におけるDNSの評価は、DNSトラフィックログに基づいているだけでなく、実際のアイデンティティ情報のような現実的な要件も考慮するため、得られたDNS評価はより正確で実用的である。また、関連付けグルーピング及び属性情報からグルーピングすることにより、手動分析及び検索ワークロードが削減され、ドメインネーム関連におけるクラスタリングの特徴を、関連付けグルーピングによって発見することができる。
【0051】
任意選択的に、本発明の実施形態は、M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割する方法を提供し、特定のプロセスは以下のとおりである。
【0052】
M個のドメインネームと関連アイデンティティ情報との4種類の関連付けに基づいて、知識マップを構築し、形成された知識マップをG(V、E)とする。Vは知識マップのノードを表し、Eは知識マップのエッジを表す。V={vi(ID、値、タイプ、当該ノードの属性}を表し、viは知識マップ内の任意のノードを表し、IDは知識マップ内のノードによって割り当てられた唯一の番号を表し、1つのノードは複数の集合に属することができる。E={ei(ソースノード、ターゲットノード、タイプ、当該エッジの属性集合)、eiは知識マップ内の任意のエッジを表す。知識マップ内の任意のノードviは、4つのタイプの関連付け係のうちのいずれか1つを表し、知識マップ内の各ノードは、2つの属性、すなわち、エンティティ要素のタイプ及びエンティティ要素に対応する値を含む。
【0053】
エンティティ要素のタイプには、ドメインネーム、クライアントIP、DNSサーバーIP、解析IP、アイデンティティ情報が含まれる。値は異なるタイプのエンティティ要素に対応する値であり、例えば、ドメインネームはbaidu.com(type=ドメインネーム、value= baidu.com)に対応するノードでる。例えば、Googleが提供する無料DNSサーバーのIPアドレス:8.8.8.8、当該ノードは(タイプ=ドメインネームサーバー、値=8.8.8.8)である。知識マップ内のエッジは、エンティティ要素ノード間の関連付け及びエッジ関連属性情報を表す。
【0054】
ここで関連する属性情報には、タイプ:ドメインネーム→IP、クライアント→ドメインネーム、クライアント→DNSサーバー、ドメインネーム→アイデンティティ情報、時間間隔、初期発生時間、発生頻度、発生回数が含まれる。baidu.comへのクライアントのDNS要求が、12:00〜14:00の間に発生されると、時間間隔は12:00〜14:00である。
【0055】
具体的な例を使用して知識マップの構築方法を説明する。例えば、所定の時間内に取得されたDNSトラフィックログによると、ドメインネームbaidu.comが2016.10.17 23:00−2016.10.18 09:00の間の解析結果には、220.181.57.217の解析IP、発生数が1000、発生頻度が10である。当該DNSトラフィックログに従って構成された知識マップのノードVは、v1(type=ドメインネーム、value= baidu.com)、v2(タイプ=ドメインネームサーバー、値=8.8.8.8)、知識マップのエッジEはe1(type=ドメインネーム→IP、開始時刻=2016.10.17 23:00、終了時刻=2016.10.18 09:00、発生回数=1000、発生頻度=10)である。
【0056】
任意選択的に、M個のドメインネームのそれぞれに関連するアソシエーション識別子情報は、第1のエンティティ要素グループに分割される。
【0057】
本発明の実施形態は、形成された知識マップに従ってグループ化する実装方法を提供する。知識マップ内のノードは、関連付けにおけるエンティティ要素を表し、ノードタイプは、主にドメインネーム、IP、及びアイデンティティ情報を含む。従って、第1のエンティティ要素グループの組み合わせは、ドメインネームとIP、ドメインネームとアイデンティティ情報、ドメインネーム、IPとアイデンティティ情報のような3つの組み合わせを持つことができる。ドメインネームとIPのグループはグループ内のエンティティ要素ドメインネームとIP間の関連付けを示す。ドメインネーム及びアイデンティティ情報のグループは、グループ内のエンティティ要素ドメインネームとアイデンティティ情報との間の関連付けを表す。ドメインネーム、IP及びアイデンティティ情報のグループは、グループ内のエンティティ要素ドメインネーム、IP及びアイデンティティ情報間の関連付けを表す。
【0058】
任意選択的に、M個のドメインネームのそれぞれに関連するアソシエーション識別子情報は、第1のエンティティ要素グループに分割される。本発明の実施形態は、以下のような1つの実装方法を提供する。
【0059】
例えば、ドメインネーム、IPアドレス、電子メールアドレスを集約する必要があるとする。
【0060】
まず、(ノード/エッジ)の初期フィルタリング条件を定義ずる。ノードviの初期フィルタリング条件は、type=ドメインネーム又はtype=IP又はtype= mailboxである。edge eiの初期フィルタ条件はtype=ドメインネーム→IP又はdomain name→mailboxである。DNSの解析タイプを以下のように定義する:解析タイプ=A、又は解析タイプ=AAAAである。
【0061】
上記で定義した2つの初期フィルタリング条件に従って、エンティティ要素ドメインネーム、IP、メールボックス、及びそれらの間の関連付けを含むサブグラフを知識マップからフィルタリングすることにより取得することができる。
【0062】
説明の便宜のために、図3は、本発明の実施形態に係るドメインネーム、IPアドレス、メールボックス及びそれらの間の関連付けのサブグラフを例示的に示す。
【0063】
図3に示すように、カンマの前の1,2,3,4,5,6は、対応するノードのサブグラフにおけるIDを示しており、これは、割り当てられた対応するノードの固有の番号である。例えば、1,メールボックス1では、カンマの前の1は、メールボックス1のノードのサブグラフにおけるIDがノードに割り当てられた唯一の番号であることを示し、メールボックス1はサブグラフ内のノードを示す。ドメインネーム、IPアドレス、メールボックス及びそれらの関連付けのサブグラフをグループ化したが、本発明の実施の形態では、マルチテーブルジョイン法、SparkのGraphXグラフ計算スイート、又はGraphLabグラフ計算ライブラリを用い関連付けをグループ化してもよい。
【0064】
本発明の実施形態は、最も一般的なマルチテーブルジョイン法を例として、特定のグループ化の仕方を例示する。図3で説明したサブグラフによれば、ドメインネームとメールボックスとの関連付け、ドメインネームとIPとの関連付けを2つのテーブルにまとめることができる。ドメインネームとメールボックスの関連付けを表A、ドメインネームとIPの関係を表Bに示す。
【0065】
【表1】
【0066】
【表2】
【0067】
表A及び表Bでは、ドメインネームIDはサブグラフ内のドメインネームの唯一の番号を示し、メールボックスIDはサブグラフ内のメールボックスの唯一の番号を示し、IPIDはサブグラフ内のIPの唯一の番号を示す。
【0068】
表Aと表Bを、ドメインネームを主キーとして右接続させて表Cを形成する。
【0069】
【表3】
【0070】
表Cに基づいて、ドメインネーム&IPグループ(ドメインネーム&IP)、ドメインネーム&メールボックスグループ(ドメインネーム&メールボックス)、ドメインネームとメールボックス&IPグループ(ドメインネーム&メールボックス&IP)との3つのグループに分ける。
【0071】
ドメインネーム&IPグループを例にとると、同じドメインネームのIPを第1のエンティティエレメントグループに分け、グループ化した後、ドメインネームIDとIPIDの最小値でグループドメインネームを表記し、groupドメインネーム&IP=MIN(ドメインネームID、IPID)とする。例えば、表Cに示すように、ドメインネーム1はIP1とIP2に対応し、グループ化する場合、同じドメインネーム(ドメインネーム1)を有するP(IP1、IP2)は1つのグループ{2、ドメインネーム1;4;IP1;5、IP2}とする。
【0072】
任意選択的に、グループ識別子groupドメインネーム&IP=MIN(ドメインネームID、IPID)を決定する。まず、IP(IP1groupドメインネーム&メールボックスIP2)に対応するドメインネームID(2,2)とIPID(4,5)の最小値が2であると判断し、2を当該グループ識別子groupドメインネーム&IP(2)とする。すなわち、同じドメインネームを持つIPグループは、groupドメインネーム&IP(2)={2,ドメインネーム1;4groupドメインネーム&メールボックスIP1;5groupドメインネーム&メールボックスIP2}、groupドメインネーム&IP(3)={3、ドメインネーム2;6groupドメインネーム&メールボックスIP3}である。
【0073】
同じ方法でドメインネーム&メールボックスでグループ化された第1のエンティティ要素グループを取得することができる。つまり同じドメインネームのメールボックスをグループ化し、サブグラフによれば、groupドメインネーム&メールボックス(1)={2,ドメインネーム1;メールボックス1}、groupドメインネーム&メールボックス(1)={3,ドメインネーム2;1,メールボックス1}を決定することができる。
【0074】
ドメインネーム&メールボックス&IPでグループ化された第1のエンティティ要素グループgroupドメインネーム&メールボックス&IPを取得することができる。同じドメインネームを持つメールボックスとIPを1つのグループに分ける。つまり、ドメインネームがメールボックスとIPの両方に接続されている場合に対してグループ化する。
【0075】
サブグラフによって、groupドメインネーム&メールボックス&IP(1)={2,ドメインネーム1;メールボックス1;4;IP1;5,IP2}、groupドメインネーム&メールボックス&IP(1)={2,ドメインネーム2;1,メールボックス1;6,IP3}を決定することができる。
【0076】
任意選択的に、本発明の実施形態では、前記M個のドメインネームにおける属性情報の差異が所定の属性閾値より小さいドメインネームと、そのドメインネームに関連するアソシエーション識別子情報とを第2のエンティティ要素グループに分割する。K個の第2エンティティ要素グループを得る。
【0077】
任意選択的に、本発明の実施形態では、M個のドメインネームのそれぞれの属性情報に基づいてグループ化し、属性情報の一つ又は属性情報の組み合わせに応じてグループ化してもよい。
【0078】
M個のドメインネームの各々の属性情報は、解析IPの数、最初の発生時間、アクセス周期、ドメインネームキャラクタの特性(異なる母音の数、異なる子音の数、可読性及び母音子音交替の頻度など)、桁数、ドメインネームトピック特性(電気通信、情報、ポータル、ゲームなどのドメインネームトピックなど)、国の範囲、緯度及び経度の範囲、行政区の範囲(中国の省、市)などのクライアントアクセスエリア特性、アクセス頻度、解析の結果としてnullであるドメイン名へのクライアントのアクセスの統計的特徴(例えば要求数、異なるドメインネームの数、アクセスの周期性、アクセスの頻度、解析期間など)を含む。
【0079】
特徴ベクトルは、異なる属性情報又は属性情報の組み合わせに基づいて形成されてもよい。そして、属性情報又は属性情報の組み合わせを正規化した後、Xmeans/Kmeansなどのクラスタリングアルゴリズムによって、グループ化させ、グループ化後に各第2のエンティティ要素グループに唯一のラベルを割り当てる。
【0080】
具体例として、ドメインネームの属性情報の組み合わせ、すなわち、クライアントからのドメインネームへのアクセス動作をグループ化し、グループ1={クライアント1のアクセスドメイン1、クライアント1のアクセスドメイン3}、グループ2={クライアント1のアクセスドメイン2}、を取得する。
【0081】
そして、クライアント1のグループラベルの集合は{グループ1、グループ2}であり、ドメインネーム1のグループラベルの集合は{グループ1}であり、ドメインネーム2のグループラベルの集合は{グループ2}であり、ドメインネーム3のグループラベルは{グループ1}である。すなわち、ドメインネームがグループ化される場合、各ドメインネームは1つの第2のエンティティ要素に従属し、そのグループのラベルはドメインネームのグループラベルである。
【0082】
任意選択的に、N個の第1のエンティティ要素グループに従って、前記DNSシステムの第1のクラスタースコアを決定する場合、前記N個の第1のエンティティ要素グループのそれぞれに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元を正規化する。前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定する。前記ターゲットドメインネームは、前記M個のドメインネームのうちのいずれか1つである。
【0083】
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された前記複数の特徴次元情報の各特徴次元情報と、第1のエンティティ要素グループ内のソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの第1クラスタースコアを決定する。前記K個の第2のエンティティ要素グループに従って前記DNSシステムの第2のクラスタースコアを決定する場合、前記K個の第2エンティティ要素グループのそれぞれについて含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化し、前記第2のエンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報を決定し、前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の属性情報の各属性情報と、第2のエンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に従って、前記DNSシステムの第2クラスタースコアを決定する。
【0084】
本発明の実施形態では、前記N個の第1のエンティティ要素グループのそれぞれについて、各第1のエンティティグループに含まれるドメインネームに対応する複数の特徴次元情報の各次元情報を正規化する。本発明の実施形態は、選択可能の正規化方法を提供する。第1のエンティティ要素グループの各々における前記複数の特徴次元情報の最大値と最小値を決定し、前記第1のエンティティ要素グループの各々における前記特徴次元情報を式(1)に従って正規化する。
【0085】
χ’=(χ−min)/(max−min) 式(1)ここで、χ’は正規化された特徴次元情報を示し、χは現在の特徴次元情報を示し、minはグループ内の特徴次元情報の最小値、maxはグループ内の特徴次元情報の最大値を表す。
【0086】
前記第1のエンティティ要素グループのそれぞれのアソシエーション識別子情報に対応する特徴次元情報を決定する場合、IP及び/又はアイデンティティ情報に対応する特徴次元情報を決定する。アイデンティティ情報に対応する特徴次元情報は、外部の脅威情報データベースに基づいて取得することができる。例えば、ユーザーのフィードバックに応じて脅威情報データベースにIPの特徴次元情報を格納し、ユーザーがフィードバックした統計結果に応じて該当するIPを外部脅威情報データベースに記録することができる。特性次元情報は、0又は1で表すことができ、0はIPセキュリティを意味し、1はIP危険を意味する。アイデンティティ情報データベースに基づいて、アイデンティティ情報に対応する特徴次元情報を取得することができる。
【0087】
第1のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報に従って、前記DNSシステムの第1のクラスタースコアを決定する。任意選択的に、本発明の実施形態では、DNSシステムの第1クラスタースコアを決定するための方法が提供される。前記第1のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報と、そして各特徴次元情報のプリセットされた高から低へ順序に基づいて、式(2)に従って、第1のエンティティ要素グループのそれぞれの第1クラスタースコアを決定する。所定のカテゴリの各カテゴリにおける複数の特徴次元情報の高から低への順番は、研究の重要度に応じて決定される。
【0088】
【数1】
【0089】
式(2)において、mgは第1のエンティティ要素グループの第1クラスタースコアを表し、m1、mi、mjは所定のカテゴリの各カテゴリに対応する複数の特徴次元情報を高から低への順番で正規化された複数の特徴次元情報を表し、m1は複数の特徴次元の中の最高の1つを表し、mi、mjは複数の特徴次元のいずれかを表し、Nは全部でN個の特徴次元情報を有することを表す。
【0090】
決定されたN個の第1のエンティティ要素グループの各々の第1クラスタースコアに従って、最大の第1クラスタースコアをDNSシステムの第1クラスタースコアとする。
【0091】
本発明の実施形態では、前記K個の第2エンティティ要素グループに従ってDNSシステムの第2クラスタースコアが決定されル場合、前記K個のエンティティ要素グループのそれぞれに含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化する。本発明の実施形態は、代替可能の正規化方法を提供する。第2エンティティ要素グループ内の複数の属性情報の最大値と最小値を決定し、前記K個の第2エンティティ要素グループの属性情報ごとに、式(1)に従って、各エンティティ要素グループの各属性情報を正規化する。
【0092】
前記第2エンティティ要素グループの各々のアソシエーション識別子情報に対応する特徴次元情報を決定し、前記IP及び/又はアイデンティティ情報に対応する特徴次元情報が含まれる。アソシエーション識別子情報アソシエーション識別子情報の特徴次元情報は、外部の脅威情報データに従って取得され、例えば、IPの特徴次元情報は、ユーザフィードバックによって脅威情報データベースに保存され、ユーザフィードバックの統計結果によって、外部の脅威情報データベースに対応するIPの特徴的な次元情報をマークし、特性次元情報は、0又は1で表すことができ、0はIPセキュリティを意味し、1はIP危険を意味する。
【0093】
アイデンティティ情報データベースに基づいて、アイデンティティ情報に対応する特徴次元情報を取得することができる。第2エンティティ要素グループのドメインネームに対応する正規化された複数の属性情報の各属性情報と、第2エンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に基づいて、DNSシステムの第2のクラスタースコアが決定される。
【0094】
任意選択的に、本発明の実施形態では、DNSシステムの第2ラスタースコアを決定するためのオプションの方法が提供される。第2エンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、第2エンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報と、そして各特徴次元情報のプリセットされた順序は、高から低へ、式(2)に従って、第2エンティティ要素グループのそれぞれの第2クラスタースコアを決定する。所定のカテゴリの各カテゴリにおける複数の特徴次元情報の高から低への順番は、研究の重要度に応じて決定される。
【0095】
決定されたK個の第2のエンティティ要素グループの第2クラスタースコアに従って、最大の第2クラスタースコアをDNSシステムの第2クラスタースコアとする。
【0096】
任意選択的に、本発明の実施形態では、DNSシステムの第1のクラスタースコア及びDNSシステムの第2のクラスタースコア中の最大値が、DNSシステムのクラスタースコアであると決定される。
【0097】
任意選択的に、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、ターゲットドメインネームに対応する所定のカテゴリの複数の各特徴次元情報を正規化する。ここで、前記ターゲットドメインネームはM個のドメインネームのいずれかであり、ターゲットドメインネームに対応する所定のカテゴリの正規化された複数の特徴次元情報に基づいて、DNSシステムのプリセットの個別スコアを決定する。前記DNSシステムの所定のカテゴリの各カテゴリのクラスタースコアとDNSシステムの所定のカテゴリの各カテゴリの個別スコアとに基づいてDNSシステムの総合システムスコアを決定する。
【0098】
任意選択的に、本発明の実施形態では、複数のドメインネームのそれぞれに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化する別の方法を提供する。所定のカテゴリのうちの1つの対応する複数の特徴次元を正規化することを一例として説明する。例えば、所定のカテゴリ中の1つの所定のカテゴリに対応する複数の特徴次元情報は、{a=2.5、b=3.5、c=0.5、d=1.5}であり、当該4つの特徴次元情報を正規化するプロセスは次のとおりである。
【0099】
4つの特徴次元情報を合計すると、2.5+3.5+0.5+1.5=8であり、4つの特徴次元情報に対する各特徴次元情報の合計の割合を求めると、2.5/8=0.3125,3.5/8=0.4375,0.5/8=0.0625,1.5/8=0.1875である。正規化された4つの特徴次元情報は、{a=0.3125,b=0.4375,c=0.0625,d=0.1875}であり、式(3)とプリセットの各特徴次元情報の高いものから低いものへの順位に従って、DNSシステムの所定のカテゴリの個別スコアを決定する。
【0100】
【数2】
【0101】
式(3)において、mdは個別スコアを表し、m1,mi,mjは予め所定のカテゴリの各カテゴリに対応する複数の特徴次元情報の高いものから低いものへの正規化された複数の特徴次元情報を表す。m1は複数の特徴次元の中で最高ものを表し、mi,mjは複数の特徴次元のいずれかを表し、NはN個の特徴次元情報の合計を表す。
【0102】
任意選択的に、DNSシステムの所定のカテゴリの個別スコアが目標ドメインネームに対するものであると判定された場合、当該ドメインネームに関連する情報及び/又はドメインネームに関連する特徴次元に関連する情報が計算され、各統計的特徴次元情報は、正規化され、式(3)及びプリセットされた各特徴次元情報の高い順から低い順に従って、DNSシステムの所定のカテゴリの個別スコアを決定する。
【0103】
任意選択的に、DNSシステムの所定のカテゴリの個別スコアを決定する際に、外部脅威情報データに基づいて関連情報の特徴次元情報を取得するので、外部脅威情報データの情報源と評価基準が異なることがあり、1つの関連情報の特徴次元は、複数の情報に対応すること、すなわち、1つの特徴次元は、複数の値に対応することがあるだろう。このとき、特徴次元のすべての情報の中央値又は平均値を求め、求めた中央値又は平均値を特徴次元の特徴次元情報として用いる。
【0104】
任意選択的に、本発明の実施形態では、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコア及びDNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいて、式(4)に従ってDNSシステムの総合システムスコアが決定される方法を提供する。
【0105】
m=mg+αmd 式(4)式(4)において、mはDNSシステムの総合システムスコア、mgはカテゴリごとのクラスタースコア、mdは各カテゴリの個別スコア、αは任意の数である。
【0106】
任意選択的に、所定のカテゴリには、悪意度、人気度又は異常度が含まれる。前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、前記DNSシステムの悪意度度のクラスタースコア及びDNSシステムの悪意度の個別スコアに従って、DNSシステムの悪意度度のシステムスコアを決定する。DNSシステムの人気度度のクラスタースコアとDNSシステムの人気度の個別スコアとに基づいてDNSシステムの人気度度のシステムスコアを決定する。DNSシステムの異常度度のクラスタースコア及びDNSシステムの異常度の個別スコアに従って、DNSシステムの異常度度のシステムスコアを決定する。DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいてDNSシステムの総合システムスコアを決定する。
【0107】
任意選択的に、本発明の実施形態における所定のカテゴリは、悪意度、人気度、又は異常度を含む。悪意度の特徴次元は、ドメインネームの長さ、TTL(time−to−live)値、ドメインレベル、要求送信の時間間隔、応答状態、ドメインネームに対応するIPアドレスの数、空ドメインネームの周期性、IP悪意度及びアイデンティティ情報の悪意度が含まれる。人気度の特徴次元は、DNS要求の数、別個の要求クライアントIPの数、同じクラスタ内のドメインネームの数、同じクラスタ内のドメインネームターゲットトラッキング(TLD)の数、別個の要求クライアントの地理的数、IPの悪意度、及びアイデンティティ情報の悪意度が含まれる。人気度の特徴的な次元情報は、取得されたDNSトラフィックログ、アイデンティティ情報データベース、及び脅威情報に基づいて統計処理により取得される。
【0108】
異常度の特徴的な次元情報は、同じドメインネーム要求数の異常度、同じドメインネームのサブドメインネームの数の異常度、解析IPの数の異常度、同じIPの指すドメインネームの異常度、IPの悪性度、アイデンティティ情報の悪意度が含まれる。人気度の特徴的な次元情報は、取得したDNSトラフィックログ、アイデンティティ情報データベース、及び脅威情報に従って統計処理により取得される。ここで、IPの悪意度とアイデンティティ情報の悪意度は、脅威情報データとアイデンティティ情報データベースによって得られる。
【0109】
任意選択的に、本発明の実施形態では、DNSシステムを評価することは、悪意度、人気度及び異常度の3つの所定のカテゴリのうちの1つ又は複数のカテゴリを評価することを含む。複数の評価を行う場合には、DNSシステムの悪性度のシステムスコア、人気度のシステムスコア、異常度のシステムスコアの加重値に基づいて、DNSシステムの総合システムスコアを決定することができる。これによれば、DNS評価の精度をさらに高めることができる。
【0110】
本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報に基づいているため、DNS評価では、評価基準の特徴次元を追加した。このようにして、DNS評価の精度が向上し、さらに、DNSシステムの予め所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0111】
図4は、本発明の実施形態に係るDNS評価装置の概略構成図である。
【0112】
同じ発明思想に基づいて、本発明の実施形態に係るDNS評価装置は、図4に示すように、DNS評価装置400は、決定ユニット401とスコアリングユニット402を備えている。また、処理ユニット403がさらに含まれている。
【0113】
前記決定ユニットは、前記DNSトラフィックログに基づいて、前記DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する前記所定のカテゴリ内の各カテゴリの前記複数の特徴次元情報とを決定する前記Mは1以上の整数であり、前記M個のドメインネームのそれぞれに関連する前記アソシエーション識別子情報を決定し、前記アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネーム中の各ドメインネームと関連するアイデンティティ情報との関連付け、又はM個のドメインネームそれぞれの属性情報に基づいて、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアを決定する。前記スコアリングユニットは、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定する。
【0114】
任意選択的に、前記処理ユニットは、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得する。ここでNは、1以上M以下の整数であり、M個のドメインネームの属性情報の差異がプリセットされた属性閾値より小さいドメインネーム、及びドメインネームに関連するアソシエーション識別子情報を第2のエンティティ要素グループに分割し、K個の第2エンティティ要素グループを得る。Kは1以上の整数である。
【0115】
前記スコアリングユニットは、前記N個の第1のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、K個の第2のエンティティ要素グループに従って、前記DNSシステムの所定のカテゴリの第2のクラスタースコアを決定する。また、前記所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアに基づいて、DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0116】
任意選択的に、スコアリングユニットは、N個の第1のエンティティ要素グループのそれぞれに含まれる複数のターゲットドメインネームに対応する特徴次元情報の各特徴次元情報に対して正規化する。前記ターゲットドメインネームは、前記M個のドメインネームのいずれかである。前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の特徴次元情報と、前記第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの第1クラスタースコアを決定する。
【0117】
前記K個の第2のエンティティ要素グループに従って、前記DNSシステムの第2のクラスタ−スコアを決定する場合、前記K個の第2のエンティティ要素グループのそれぞれについて、前記第2のエンティティ要素グループに含まれる前記ドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定する。前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報における各特徴次元情報と第2のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に従って、DNSシステムの第2のクラスタースコアを決定する。
【0118】
任意選択的に、前記スコアリングユニットは、ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化する。前記ターゲットドメインネームはM個のドメインネーム中のいずれかである。前記ターゲットドメインネームに対応する前記所定のカテゴリの正規化された複数の特徴次元情報に従って、DNSシステムの所定のカテゴリの個別スコアを決定する。DNSシステムの前記所定のカテゴリのカテゴリごとのクラスタースコア及びDNSシステムの前記所定のカテゴリの各カテゴリの個別スコアに従って、DNSシステムの総合システムスコアを決定する。
【0119】
任意選択的に、前記所定のカテゴリは、悪意度、人気度又は異常度を含み、スコアリングユニットは、前記DNSシステムの悪意度のクラスタースコア及びDNSシステムの個々の悪意度スコアに従って、DNSシステムの悪意度度のシステムスコアを決定する。前記DNSシステムの人気度のクラスタースコアとDNSシステムの個々の人気度スコアに従って、DNSシステムの人気度度のシステムスコアを決定する。前記DNSシステムの異常度のクラスタースコアとDNSシステムの個々の異常度スコアに従って、DNSシステムの異常度度のシステムスコアを決定する。またDNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアによって、DNSシステムの総合システムスコアを決定する。
【0120】
以上のことから、本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリのそれぞれのカテゴリの複数の特徴次元情報に基づいて評価するため、DNS評価では、評価基準とする特徴量次元を追加し、DNS評価の精度が向上する。さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0121】
同じ発明思想に基づいて、本出願は、上述したバックグラウンドシステム側の方法のフローを実行するために使用できる電子デバイスを提供する。
【0122】
図5は、本願によって提供される電子デバイスの概略構成図である。前記電子デバイスは、プロセッサ501と、メモリ502と、バスインターフェース503とを含み、プロセッサ501、メモリ502、及びバスインターフェース503は、バス504を介して相互に接続されている。
【0123】
メモリ502は、プログラムを格納するためのものであり、具体的には、プログラムはプログラムコードを含み、プログラムコードはコンピュータ動作命令を含む。メモリ502は、ランダムアクセスメモリ(RAM)などの揮発性メモリ(volatile memory)を含むことができる。また、メモリは、フラッシュメモリ(フラッシュ)などの不揮発性メモリ(non−volatile memory)、ハードディスクドライブ(HDD)又はソリッドステートドライブ(SSD)であり、メモリ502はまた、上記タイプのメモリの組み合わせを含むことができる。
【0124】
メモリ502は、以下の要素、実行可能モジュールもしくはデータ構造、又はそれらのサブセットもしくは拡張セットを格納する。
【0125】
操作指示:各種操作を実行するための各種操作指示を含む。
【0126】
オペレーティングシステム:様々な基本サービスを実装し、ハードウェアベースのタスクを処理するための様々なシステムプログラムが含まれている。
【0127】
バス504は、周辺コンポーネント相互接続(Peripheral Component Interconnect, PCI)バス又は拡張業界標準アーキテクチャ(Extended Industry Standard Architecture, EISA)バスであってもよい。
【0128】
バスは、アドレスバス、データバス、制御バス等に分けることができる。説明の便宜のために、図5には1本の太い線しか示されていないが、1本のバス又は1種類のバスしか存在しないことを意味するものではない。
【0129】
バスインターフェース503は、有線通信インターフェース、無線通信インターフェース、又はそれらの組み合わせであってもよい。ここで、有線通信インターフェースは、例えば、イーサネット(登録商標)インターフェースであり得る。イーサネットインターフェイスは、光インターフェース、電気インターフェース、又はそれらの組み合わせとすることができる。無線通信インターフェースは、WLANインターフェースとすることができる。
【0130】
プロセッサ501は、中央処理装置(CPU)、ネットワークプロセッサ(NP)、又はCPUとNPの組み合わせとすることができる。また、ハードウェアチップであってもよいです。ハードウェアチップは、特定用途向け集積回路(ASIC)、プログラマブルロジックデバイス(PLD)、又はそれらの組み合わせであってもよい。PLDは、複合プログラマブルロジックデバイス(CPLD)、フィールドプログラマブルゲートアレイ(FPGA)、汎用アレイロジック(GAL)、又は任意の組み合わせであってもよい。
【0131】
プロセッサ501は、メモリ502内のプログラムを読み出し、以下の方法を実行するように構成される。DNSトラフィックログに基づいて、前記DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する前記所定のカテゴリ内の各カテゴリの前記複数の特徴次元情報を決定する。前記Mは1以上の整数であり、前記M個のドメインネームのそれぞれに関連する前記アソシエーション識別子情報が決定され、前記アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネーム中の各ドメインネームと関連するアイデンティティ情報との対応関係、又はM個のドメインネームそれぞれの属性情報に基づいて、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアを決定するステップと、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定する。
【0132】
メモリ502は、1つ又は複数の実行可能プログラムを格納するように構成され、動作を実行するときにプロセッサ501によって使用されるデータを格納することができる。
【0133】
任意選択的に、プロセッサは、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得する。ここでNは1以上M以下の整数である。前記M個のドメインネームの属性情報の差異がプリセットされた属性閾値より小さいドメインネームと、ドメインネームとドメインネームに対応するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2エンティティ要素グループを得る。Kは1以上の整数であり、N個の第1のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、K個の第2のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定する。また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアに基づいて、DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0134】
任意選択的に、プロセッサは、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得する。ここでNは1以上M以下の整数である。M個のドメインネームの属性情報の差異がプリセットされた属性閾値より小さいドメインネームと、ドメインネームとドメインネームに対応するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2エンティティ要素グループを得る。Kは1以上の整数であり、N個の第1のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、K個の第2のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定する。また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアに基づいて、DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0135】
任意選択的に、プロセッサは、N個の第1のエンティティ要素グループのそれぞれに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化する。前記ターゲットドメインネームは、M個のドメインネームのいずれかであり、第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報が決定される。そして、第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報と、第1のエンティティ要素グループ内のアソシエーション識別子情報に関連する特徴次元情報に従って、DNSシステムの第1クラスタースコアを決定する。
【0136】
前記K個の第2のエンティティ要素グループに従って、DNSシステムの第2のクラスタースコアを決定する場合、K個の第2エンティティ要素グループのそれぞれに含まれるドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2エンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定する。第2エンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、第2エンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に従って、DNSシステムの第2クラスタースコアを決定する。
【0137】
任意選択的に、プロセッサは、ターゲットドメインネームに対応する所定のカテゴリの複数の各特徴次元情報を正規化されていることを含む。ターゲットドメインネームはM個のドメインネームのいずれかであり、ターゲットドメインネームに対応する所定のカテゴリの正規化された複数の特徴次元情報に基づいて、DNSシステムのプリセットの個別スコアが決定される。DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアとDNSシステムの所定のカテゴリの各カテゴリの個別スコアとに基づいてDNSシステムの総合システムスコアを決定する。
【0138】
任意選択的に、前記所定のカテゴリは、悪意度、人気度又は異常度を含み、前記プロセッサは、DNSシステムの悪意度度のクラスタースコアとDNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度度のシステムスコアを決定するステップと、DNSシステムの人気度のクラスタースコア及びDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度のシステムスコアを決定する。DNSシステムの人気度のクラスタースコア及びDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度のシステムスコアを決定するステップと。DNSシステムの異常度のクラスタースコア及びDNSシステムの異常度の個別スコアに基づいて、DNSシステムの異常度のシステムスコアを決定するステップを含む。またDNSシステムの悪意度のシステムスコア、人気度のシステムスコアと異常度のシステムスコアに基づいて、DNSシステムの総合システムスコアを決定する。
【0139】
以上のことから、本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリのそれぞれのカテゴリの複数の特徴次元情報に基づいて評価するため、DNS評価では、評価基準の特徴次元が追加され、DNS評価の精度が向上し、さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0140】
当業者であれば、本発明の実施形態は、方法、システム、又はコンピュータプログラム製品として提供されることを理解できるであろう。従って、本発明の実施形態は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、又はソフトウェアとハードウェアの組み合わせの形態であってもよい。さらに、本発明の実施形態は、コンピュータ使用可能プログラムコードを含む1つ又は複数のコンピュータ使用可能な記憶媒体(ディスク記憶装置、CD−ROM、光学記憶装置などを含むが、これに限定されない)上で実施されるコンピュータプログラム製品の形態をとってもよい。
【0141】
本発明の実施形態は、本発明の実施形態による方法、装置(システム)、及びコンピュータプログラム製品のフローチャート図及び/又はブロック図を参照して説明される。
【0142】
フローチャートは、コンピュータプログラム命令によって実施することができ、フローチャート及び/又はブロック図の各フロー及び/又はブロック、及びフローチャート及び/又はブロック図のフロー及び/又はブロックの結合は、コンピュータプログラム命令によって実施できることが理解される。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、又は他のプログラマブルデータ処理装置のプロセッサに提供し機械を製造する。こうしてコンピュータ又は他のプログラムデータ処理装置のプロセッサによって実行される命令は、フローチャートの1つ又は複数のブロック又はフローチャートのブロックに指定された機能のデバイスに実装する。
【0143】
これらのコンピュータプログラム命令は、コンピュータ又は他のプログラマブルデータ処理装置を特定の方法で動作させることができるコンピュータ可読メモリに格納することもできる。こうして該当コンピュータ可読メモリに格納された命令は、命令装置を含む製品を製造させ、命令装置は、フローの1つ又は複数のブロック、又はフローチャートのフロー図及び/又はブロック図に指定された機能を実装する。
【0144】
これらのコンピュータプログラム命令は、コンピュータ又は他のプログラム可能なデータ処理装置にロードされて、コンピュータ又は他のプログラム可能な装置上で実行されるコンピュータ実装の処理を生成させ、コンピュータ又は他のプログラマブルデバイス上で実行される命令は、フローの1つ又は複数のブロック、又はフローチャートのフロー図及び/又はブロック図に指定された機能を実装するステップに用いる。
【0145】
当業者であれば、本発明の精神及び範囲から逸脱することなく、本発明の実施形態に対して様々な変更及び変形を行うことができることは明らかである。従って、本発明は、本発明の実施形態の修正及び変形を包含することが意図される。
【手続補正書】
【提出日】2019年10月1日
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定するステップと、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定するステップと、
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップと、
DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、前記DNSシステムの総合システムスコアを決定するステップとを備え、
前記Mは1以上の整数であり、
前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含むことを特徴とするドメインネームシステム(DNS)の評価方法。
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定するステップと、
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップと、
DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、前記DNSシステムの総合システムスコアを決定するステップとを備え、
前記Mは1以上の整数であり、
前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含むことを特徴とするドメインネームシステム(DNS)の評価方法。
【請求項2】
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づいて、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップでは、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、Nは1以上M以下の整数であり、
前記M個のドメインネームの属性情報の差異が所定の属性閾値より小さいドメインネームと前記ドメインネームに関連するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、前記K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、Kは1以上の整数であり、
また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアとに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、Nは1以上M以下の整数であり、
前記M個のドメインネームの属性情報の差異が所定の属性閾値より小さいドメインネームと前記ドメインネームに関連するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、前記K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、Kは1以上の整数であり、
また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアとに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
【請求項3】
前記N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、DNSシステムの第1のクラスタースコアを決定するステップでは、
前記N個の第1のエンティティ要素グループのそれぞれの第1のエンティティ要素グループに対し、
前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報のそれぞれを正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、
前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定するステップと、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された前記複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第1のクラスタースコアを決定し、
前記K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの第2のクラスタースコアを決定するステップでは、
前記K個の第2のエンティティ要素グループのそれぞれに対し、
前記第2のエンティティ要素グループに含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化し、
前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された前記複数の属性情報の各属性情報と、前記第2のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
前記N個の第1のエンティティ要素グループのそれぞれの第1のエンティティ要素グループに対し、
前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報のそれぞれを正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、
前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定するステップと、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された前記複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第1のクラスタースコアを決定し、
前記K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの第2のクラスタースコアを決定するステップでは、
前記K個の第2のエンティティ要素グループのそれぞれに対し、
前記第2のエンティティ要素グループに含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化し、
前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された前記複数の属性情報の各属性情報と、前記第2のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
【請求項4】
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定するステップでは、
ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する所定のカテゴリの正規化された前記複数の特徴次元情報に基づいて、前記DNSシステムの所定のカテゴリの個別スコアを決定し、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアと前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいてDNSシステムの総合システムスコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する所定のカテゴリの正規化された前記複数の特徴次元情報に基づいて、前記DNSシステムの所定のカテゴリの個別スコアを決定し、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアと前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいてDNSシステムの総合システムスコアを決定することを特徴とする請求項1に記載のドメインネームシステム(DNS)の評価方法。
【請求項5】
前記所定のカテゴリは、悪意度、人気度又は異常度を含み、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、
前記DNSシステムの悪意度のクラスタースコアとDNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、
前記DNSシステムの人気度のクラスタースコアとDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度度のシステムスコアを決定し、
前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアとに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて、前記DNSシステムの総合システムスコアを決定することを特徴とする請求項4に記載のドメインネームシステム(DNS)の評価方法。
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、
前記DNSシステムの悪意度のクラスタースコアとDNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、
前記DNSシステムの人気度のクラスタースコアとDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度度のシステムスコアを決定し、
前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアとに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて、前記DNSシステムの総合システムスコアを決定することを特徴とする請求項4に記載のドメインネームシステム(DNS)の評価方法。
【請求項6】
プロセッサと、メモリと、バスインターフェースとを備え、前記プロセッサと、前記メモリと、トランシーバとの間に、バスによって接続されており、
前記プロセッサは、前記メモリ内のプログラムを読み取り、
前記DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定し、前記Mは1以上の整数であり、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個ドメインネームの各ドメインネームの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、前記DNSシステムの各所定のカテゴリのカテゴリごとのクラスタースコアを決定し、
前記DNSシステムの前記所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定し、
前記メモリは、1つ又は複数の実行可能プログラムを格納するように構成され、動作を実行するときにプロセッサによって使用されるデータを格納することができることを特徴とする電子デバイス。
前記プロセッサは、前記メモリ内のプログラムを読み取り、
前記DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定し、前記Mは1以上の整数であり、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個ドメインネームの各ドメインネームの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、前記DNSシステムの各所定のカテゴリのカテゴリごとのクラスタースコアを決定し、
前記DNSシステムの前記所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定し、
前記メモリは、1つ又は複数の実行可能プログラムを格納するように構成され、動作を実行するときにプロセッサによって使用されるデータを格納することができることを特徴とする電子デバイス。
【請求項7】
前記プロセッサは、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記Nは、1以上M以下の整数であり、前記M個のドメインネームの属性情報の差異が所定の属性閾値よりも小さいドメインネームと、前記ドメインネームに関連するアソシエーション識別子情報を1つの第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、
前記N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定し、前記K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、
前記Kは1以上の整数であり、前記所定のカテゴリの第1クラスタースコアと、前記所定のカテゴリの第2クラスタースコアに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項6に記載の電子デバイス。
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記Nは、1以上M以下の整数であり、前記M個のドメインネームの属性情報の差異が所定の属性閾値よりも小さいドメインネームと、前記ドメインネームに関連するアソシエーション識別子情報を1つの第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、
前記N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定し、前記K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、
前記Kは1以上の整数であり、前記所定のカテゴリの第1クラスタースコアと、前記所定のカテゴリの第2クラスタースコアに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定することを特徴とする請求項6に記載の電子デバイス。
【請求項8】
前記プロセッサは、
前記N個の第1のエンティティ要素グループのそれぞれについ、前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報に対して正規化し、前記ターゲットドメインネームが前記M個のドメインネームのいずれかであり、前記第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴アイデンティティ情報に基づいて、前記DNSシステムの第1クラスタースコアを決定し、
前記K個の第2のエンティティ要素グループのそれぞれに含まれるドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴、及び前記第2のエンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの第2クラスタースコアを決定することを特徴とする請求項6に記載の電子デバイス。
前記N個の第1のエンティティ要素グループのそれぞれについ、前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報に対して正規化し、前記ターゲットドメインネームが前記M個のドメインネームのいずれかであり、前記第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴アイデンティティ情報に基づいて、前記DNSシステムの第1クラスタースコアを決定し、
前記K個の第2のエンティティ要素グループのそれぞれに含まれるドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴、及び前記第2のエンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの第2クラスタースコアを決定することを特徴とする請求項6に記載の電子デバイス。
【請求項9】
前記プロセッサは、
ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する前記所定のカテゴリの正規化された複数の特徴次元情報に従って、前記DNSシステムの所定のカテゴリの個別スコアを決定し、前記DNSシステムのカテゴリごとのクラスタースコア、及び前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアによって、前記DNSシステムの総合システムスコアを決定することを特徴とする請求項6に記載の電子デバイス。
ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する前記所定のカテゴリの正規化された複数の特徴次元情報に従って、前記DNSシステムの所定のカテゴリの個別スコアを決定し、前記DNSシステムのカテゴリごとのクラスタースコア、及び前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアによって、前記DNSシステムの総合システムスコアを決定することを特徴とする請求項6に記載の電子デバイス。
【請求項10】
前記所定のカテゴリは、悪意度、人気度、又は異常度を含み、
前記プロセッサは、前記DNSシステムの悪意度のクラスタースコア及び前記DNSシステムの悪意度の個別スコアに従って、前記DNSシステムの悪意度度のシステムスコアを決定し、前記DNSシステムの人気度のクラスタースコアと前記DNSシステムの人気度の個別スコアに基づいて、前記DNSシステムの人気度度のシステムスコアを決定し、前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて前記DNSシステムの総合システムスコアを決定することを特徴とする請求項9に記載の電子デバイス。
前記プロセッサは、前記DNSシステムの悪意度のクラスタースコア及び前記DNSシステムの悪意度の個別スコアに従って、前記DNSシステムの悪意度度のシステムスコアを決定し、前記DNSシステムの人気度のクラスタースコアと前記DNSシステムの人気度の個別スコアに基づいて、前記DNSシステムの人気度度のシステムスコアを決定し、前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて前記DNSシステムの総合システムスコアを決定することを特徴とする請求項9に記載の電子デバイス。
【請求項11】
コンピュータに請求項1ないし請求項5のいずれか1項に記載の方法を実行させるためのコンピュータ命令を記憶することを特徴とする非一時的なコンピュータ可読記憶媒体。
【請求項12】
非一時的なコンピュータ可読記憶媒体に格納されたコンピュータプログラムを含み、コンピュータプログラムがプログラム命令を含み、前記プログラム命令がコンピュータによって実行されるとき、コンピュータが、請求項1ないし請求項5のいずれか1項に記載の方法を実行することを特徴とするコンピュータプログラム製品。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、ネットワークセキュリティの分野に関し、特に、DNSを評価するための方法及び装置に関する。
【背景技術】
【0002】
関連出願の相互参照本出願は、2017年4月1日に中国特許庁に提出し、出願番号が201710214360.5であり、発明の名称「DNSを評価するための方法及び装置」との中国特許出願を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
【0003】
ネットワーク通信では、IPサーバーへのアクセスは、IPアドレスを使用する必要があるが、IPアドレスは覚えにくいため、通常はサーバーへアクセスする際にドメインネームが入力され、ドメインネームを対応するIPアドレスに転換する必要がある。クライアント・サーバーがドメインネームに対応するIPアドレスを取得した後、クライアント・サーバーは、そのドメインネームに対応するサーバーにアクセスすることができ、ドメインネームからIPアドレスへのマッピング関係はドメインネームシステムによって実行される。
【0004】
ドメインネームサービス(Domain Name Service,DNS)は、インターネット上のドメインネームとIPアドレスの間でマッピングするための分散型データベースである。ドメインネームサービスシステムは、IPアドレスマッピングの問題を解決するだけでなく、様々なアプリケーションやネットワーク構築の基礎となり、インターネット全体の可用性に関係しているので、DNS自体のセキュリティは非常に重要である。実際の使用では、ハッカーが、コンピュータやルータのDNS設定を改ざんし、通常のネットワークアドレスをフィッシングウェブサイト又はハッカーによって制御されているホストに転送することで、ユーザーからお金を奪ったり、プライバシーを侵害したりする。る。悪意度のあるDNSは非常に有害であるため、ユーザーの財産が失われる可能性があり、さらにWebサイトやネットワークさえも破壊される可能性がある。
【0005】
DNSはドメインネームごとに評価されている。すなわち、DNSは、クライアントによるドメイン名へのアクセス数によってのみ悪性度について評価されており、悪意度このように、DNSに対する評価は単にドメインネームのみに基づいているため、評価結果の信頼性が低下する可能性がある悪意度。
【0006】
要約すると、DNSを評価する精度を改善するためにDNSを評価するための解決策を提供することが非常に望ましい。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の実施形態は、DNS評価の精度を向上させるためにDNSの評価方法及び装置を提供する。
【課題を解決するための手段】
【0008】
第1の態様によれば、本発明の実施形態に係るDNSの評価方法は、DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定するステップと、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定するステップと、
前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップと、
DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、前記DNSシステムの総合システムスコアを決定するステップとを備え、前記Mは1以上の整数であり、前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含む。
【0009】
本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報(DNS評価を行う際に評価基準の特徴ディメンションが追加される)に基づいて評価するため、DNS評価の精度が向上し、さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0010】
任意選択的に、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個のドメインネームの各ドメインネームの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、DNSシステムの各所定のカテゴリ中のカテゴリごとのクラスタースコアを決定するステップでは、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、前記N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、Nは1以上M以下の整数であり、
前記M個のドメインネームの属性情報の差異が所定の属性閾値より小さいドメインネームと前記ドメインネームに関連するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、前記K個の第2のエンティティ要素グループ及び前記特徴次元情報によって、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定し、Kは1以上の整数であり、
また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアとに基づいて、前記DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0011】
任意選択的に、前記N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、DNSシステムの第1のクラスタースコアを決定するステップでは、
前記N個の第1のエンティティ要素グループのそれぞれの第1のエンティティ要素グループに対し、
前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報のそれぞれを正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、
前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定するステップと、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された前記複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第1のクラスタースコアを決定し、
前記K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの第2のクラスタースコアを決定するステップでは、
前記K個の第2のエンティティ要素グループのそれぞれに対し、
前記第2のエンティティ要素グループに含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化し、
前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された前記複数の属性情報の各属性情報と、前記第2のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定する。
【0012】
任意選択的に、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定するステップでは、ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、
前記ターゲットドメインネームに対応する所定のカテゴリの正規化された前記複数の特徴次元情報に基づいて、前記DNSシステムの所定のカテゴリの個別スコアを決定し、
前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアと前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいてDNSシステムの総合システムスコアを決定する。
【0013】
任意選択的に、前記所定のカテゴリは、悪意度、人気度又は異常度を含み、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、
前記DNSシステムの悪意度のクラスタースコアとDNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、
前記DNSシステムの人気度のクラスタースコアとDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度度のシステムスコアを決定し、
前記DNSシステムの異常度のクラスタースコアと前記DNSシステムの異常度の個別スコアとに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて、前記DNSシステムの総合システムスコアを決定する。
【0014】
第2の態様によれば、DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定し、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又はM個のドメインネームの各ドメインネームの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、前記DNSシステムの各所定のカテゴリのクラスタースコアを決定するための決定ユニットと、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定するためのスコアリングユニットとを備え、前記Mは、1以上の整数であり、前記アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含む。
【0015】
任意選択的に、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を、第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得し、Nは、1以上M以下の整数であり、M個のドメインネームの属性情報の差異が所定の属性閾値よりも小さいドメインネームと、前記ドメインネームに関連するアソシエーション識別子情報を第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得し、前記スコアリングユニットは、前記N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定し、前記K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの所定のカテゴリを決定し、前記Kは1以上の整数であり、前記所定のカテゴリの第1クラスタースコア及び前記所定のカテゴリの第2クラスタースコアに従って、前記DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0016】
及び任意選択的に、前記スコアリングユニットは、
前記N個の第1のエンティティ要素グループのそれぞれについて、前記第1のエンティティ要素グループに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報に対して正規化し、前記ターゲットドメインネームは、前記M個のドメインネームのいずれかであり、前記第1のエンティティ要素グループ内の前記関連アソシエーション情報に対応する特徴次元情報を決定し、
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、DNSシステムの第一クラスタースコアを決定すし、
前記K個の第2のエンティティ要素グループのそれぞれに含まれる前記ドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応するフィーチャ次元情報を決定し、
前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの前記第2のクラスタースコアを決定する。
【0017】
任意選択的に、前記スコアリングユニットは、ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化し、前記ターゲットドメインネームは前記M個のドメインネームのいずれかであり、前記ターゲットドメインネームに対応する所定のカテゴリの正規化された複数の特徴次元情報に従って、前記DNSシステムの所定のカテゴリの個別スコアを決定し、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアと前記DNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいて、前記DNSシステムの総合システムスコアを決定する。
【0018】
任意選択的に、前記所定のカテゴリは、悪意度、人気度又は異常度を含み、前記スコアリングユニットは、
前記DNSシステムの悪意度度のクラスタースコアと前記DNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度のシステムスコアを決定し、前記DNSシステムの人気度度のクラスタースコアと前記DNSシステム人気度の個別スコアに基づいて、前記DNSシステムの人気度のシステムスコアを決定し、前記DNSシステムの異常度度のクラスタースコアと前記DNSシステムの異常度の個別スコアに基づいて、前記DNSシステムの異常度度のシステムスコアを決定し、
前記DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいて前記DNSシステムの総合システムスコアを決定する。
【0019】
第3の態様によれば、本発明の実施形態に係る電子デバイスは、プロセッサと、メモリと、バスインターフェースとを備え、前記プロセッサと、前記メモリと、トランシーバとの間に、バスによって接続されており、前記プロセッサは、前記メモリ内のプログラムを読み取り、
前記DNSトラフィックログに基づいて、DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報を決定し、前記Mは1以上の整数であり、
前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を決定し、前記アソシエーション識別子情報はIPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネームそれぞれとアソシエーション識別子情報との関連付け、又は前記M個ドメインネームの各ドメインネームの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、前記DNSシステムの各所定のカテゴリのカテゴリごとのクラスタースコアを決定し、
前記DNSシステムの前記所定のカテゴリのカテゴリごとのクラスタースコアに基づいて前記DNSシステムの総合システムスコアを決定し、
前記メモリは、1つ又は複数の実行可能プログラムを格納するように構成され、動作を実行するときにプロセッサによって使用されるデータを格納することができること。
【0020】
第4の態様は、コンピュータに態様1又は態様1のいずれかの実施可能な方法を実行させるためのコンピュータ命令を記憶することを特徴とする非一時的なコンピュータ可読記憶媒体を提供する。
【0021】
第5の態様は、非一時的なコンピュータ可読記憶媒体に格納されたコンピュータプログラムを含み、前記プログラム命令がコンピュータによって実行されるときにコンピュータが、態様1又は態様1のいずれかの実施可能な方法を実行することを特徴とするコンピュータプログラム製品を提供する。
【発明の効果】
【0022】
本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報(DNS評価を行う際に評価基準の特徴ディメンションが追加される)に基づいて評価するため、DNS評価の精度が向上し、さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上される。
【0023】
本発明の実施形態における技術的解決策をより明確に説明するために、以下では、実施形態の説明で使用される図面について簡単に説明する。
【図面の簡単な説明】
【0024】
【図1】本発明の実施形態に係る通信システムのアーキテクチャの概略図である。
【図2】本発明の実施形態に係るDNSを評価するための方法の概略フローチャートである。
【図3】本発明の実施形態に係るドメインネームと、IPアドレスと、電子メールアドレスとの間の関連つけを示すサブグラフである。
【図4】本発明の実施形態に係るDNS評価装置の概略構成図である。
【図5】本発明の実施形態に係る電子デバイスの概略構成図である。
【発明を実施するための形態】
【0025】
本発明の目的、技術的解決法及び有益な効果をより明確にするために、以下で添付の図面及び実施形態を参照してさらに詳細に説明する。本明細書に記載の特定の実施形態は、単に本発明の例示であり、本発明を限定するものではないことが理解されたい。
【0026】
本発明の実施形態の技術的解決策は、様々な通信システム、例えばグローバル移動通信(GSM)システム、符号分割多元接続(CDMA)システム、広帯域符号分割多元接続(WCDMA)、GPRS(General Packet Radio Service)システム、(LTE(long Term Evolution)システム、LTE周波数分割複信(FDD)システム、LTE時分割複信(TDD)システム、UMTS(Universal Mobile Telecommunication System)、WiMAX(Worldwide Interoperability for Microwave Access)通信システム、及び将来の5G通信システムなどに適用することができる。
【0027】
図1は、本発明の実施形態に係る通信システムアーキテクチャの概略図である。図1に示すように、当該システムアーキテクチャは、クライアント101、ローカルドメインネームサーバー102、ドメインネームサーバー103、及びドメインネームサーバー104を含むことができる。クライアントとドメインネームサーバーは、無線又は有線又はその他の手段で接続されている。
【0028】
各クライアントは、ユーザーにより入力されたドメインネーム解析要求を受信するように構成され、クライアント101は、受信したドメインネーム解析要求をローカルドメインネームサーバー102に送る。ローカルドメインネームサーバー102がドメインネームを解析できる場合、ローカルドメインネームサーバー102は結果をクライアントに直接返す。ローカルドメインネームサーバー102がドメインネームを解析できない場合、ローカルドメインネームサーバー102は、上位ドメインネームサーバー103にドメインネーム解析要求を送信する。ドメインネームサーバー103が解析できる場合、解析結果をクライアントに送信する。ドメインネームサーバー103が解析できない場合、ドメインネーム解析要求はより上位のドメインネームサーバー104に送信され、このように、ドメインネームのIPアドレスが解析されるまで続く。
【0029】
各ドメインネームサーバーは、受信したドメインネーム解析要求を解析するために使用され、各ドメインネームサーバーは、管理するDNSネームスペースのすべてのリソースレコードを含む。リソースレコードは、タイプ、分類、及び存続時間フィールドを含むドメインネームと値の間のバインディングである。
【0030】
ドメインネームフィールドと値フィールドは、解析されたコンテンツと解析結果のそれぞれを表すために使用される。タイプフィールドは値のタイプを示す。タイプAは、値フィールドがIPアドレス、つまりユーザーが希望する最終的な回答であり、タイプはネームサーバー(Name Server、略してNS)であり、値フィールドは別のドメインネームサーバーのドメインネームであることを表す。前記メインネームサーバーは、ドメインネームフィールドで示されたドメインネームを解析する方法を知ることができる。エイリアスレコード(CNAME)であるタイプは、値フィールドがドメインネームで示されたホストのエイリアスであることを表す。メールMX(Mail Exchanger)であるタイプは、値フィールドが、メールサーバーのドメインネームであることを表す。メールサーバーは、ドメインネームフィールドで示されたドメインのメールを受信する。タイプPTRは、ドメインネームの逆解析などに使用される。カテゴリフィールドでは、追加のレコードタイプを指定できる。存続時間フィールドは、リソースレコードの有効期間を示すために使用される。
【0031】
ドメインネーム解析の時間を短縮するために、ドメインネームサーバーは、照会された他のドメインネームサーバーからのリソースレコードをキャッシュする。これらのリソースレコードは変更により無効になるため、ドメインネームサーバーは有効期間を設定し、期限切れのリソースレコードはキャッシュからクリアされる。
【0033】
ステップS201において、DNSトラフィックログに基づいて、DNSシステムのM個のドメインネームと、M個のドメインネームの各ドメインネームに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報とを決定する。Mは1以上の整数である。
【0034】
ステップS202において、M個のドメインネームの各ドメインネームに関連するアソシエーション識別子情報を決定する。アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含む。
【0035】
ステップS203において、M個のドメインネームとアソシエーション識別子情報との関連つけ、又はM個のドメインネームの各ドメインネームの属性情報に従って、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアを決定する。
【0036】
ステップS204において、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定する。
【0037】
本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報(DNS評価を行う際に評価基準の特徴次元が追加される)に基づいて評価するため、DNS評価の精度が向上し、さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0038】
任意選択的に、本発明の実施形態では、ステップS201の前に、所定期間内にDNSトラフィックログを取得する。
【0039】
DNSトラフィックログには、DNS要求メッセージの解析ログとDNS応答メッセージの解析ログを含めることができる。DNS要求メッセージとDNS応答メッセージは、DNSヘッダーセクション(Header Section)と質問セクション(Question Section)、回答セクション(Answer Section)、権限セクション(Authority Section)及び追加セクション(Additional Section)の5つの部分から構成される。
【0040】
DNS要求メッセージの解析ログ及びDNS応答メッセージの解析ログには、ホスト(Address,Aとして略称する)レコード、AAAAレコード、NSレコード、CNAMEレコードなど、DNSのリソースレコードが含まれる。ここで、Aレコードはドメインネーム解析の重要な記録であり、特定のホスト名を対応するホストのIPアドレスにマッピングするために使用される。NSはDNSエリアを担当する権限ネームサーバーを指定する。CNAMEレコードは、DNSサーバーによってドメインネームが解析されることを指定するために使用されるドメインネームサーバーレコードである。
【0041】
本発明の実施形態では、DNSトラフィックログが取得された後、無駄な無効なDNSトラフィックログをフィルタリングすることを含むDNSトラフィックログのデータ前処理が実行される。
【0042】
例えば、イントラネットのDNSレコードに表示されるドメインネーム、イントラネットホスト名などの情報の交換に使用されるドメインネーム、「localhost」、「bogon」、「arpa」、「localdom」などのキャラクタで終了するドメインネームなどをフィルタリングする。このタイプのドメインネームはイントラネットに表示されるため、インターネットの動作には関係しない。
【0043】
ホワイトリストのドメインネームをフィルタリングする。ホワイトリストのドメインネームは、通常大企業や組織が所有しているが、トラフィックは大きく、セキュリティは高く、異常度の確率は低い。ホワイトリストのドメインネームは例えばAlexaTop 100Mのプライマリドメインネームとしては、例えば、baidu.com、google.com、qq.comなどである。DNSトラフィックログのデータを前処理することで、有効なDNSトラフィックログを取得できるため、データ処理量を削減できる。
【0044】
任意選択的に、本発明の実施形態では、DNSシステム内のM個のドメインネームは、DNSトラフィックログに従って決定され、M個のドメインネームは、単一のドメインネーム、特定のルールによって集約されたドメインネームの集合、及び特定のキャラクタを含むドメインネームの集合を含むことができる。
【0045】
M個のドメインネームの各々に対応する前記所定のカテゴリの各々の複数の特徴次元情報を決定する。前記複数の特徴次元は、ドメインネームの長さ、TTL(time to live)の統計値、例えばTTLの最大値、TTLの最小値、TTLの平均値、TTLの分散、ドメインネームレベルの数、要求送信時間間隔、クライアントIPアドレス数に対する要求、応答ステータス、ドメインネームに対応する解析IPアドレスの数、ヌルドメインネームの周期性、解析IPの数、初期出現時間、アクセス周期、ドメインネームのキャラクタの特性(例えば異なる母音の数、子音の数、母音と子音と交替の頻度)、桁数、ドメインネームのトピック特性(例えば電気通信、情報、ポータル、ゲームなど)、国の範囲、緯度及び経度の範囲、行政区の範囲(中国の省、市)などのクライアントアクセスエリア特性、アクセス頻度、解析の結果としてnullであるドメイン名へのクライアントのアクセスの統計的特徴(例えば要求数、異なるドメインネームの数、アクセスの周期性、アクセスの頻度など)が含まれる。
【0046】
任意選択的に、本発明の実施形態では、M個のドメインネームのそれぞれのドメインネームとアソシエーション識別子情報との関連つけ、又はM個のドメインネームの各ドメインネームの属性情報に基づいて、DNSシステムのクラスタースコアを決定する。本方法は、M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得する。N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの所定のカテゴリの第1のクラスタースコアを決定する。前記M個のドメインネームの属性情報の差異が所定の属性閾値より小さいドメインネームと前記ドメインネームに関連するアソシエーション識別子情報を第2のエンティティ要素グループに分割し、K個の第2のエンティティ要素グループを取得する。前記K個の第2のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定する。所定のカテゴリの第1のクラスタースコア、及び所定のカテゴリの第2のクラスタに従って、DNSシステムの所定のカテゴリのクラスタースコアを決定することが含まれる。
【0047】
任意選択的に、本発明の実施形態では、M個のドメインネーム及びアソシエーション識別子情報の各ドメインネームが決定され、各ドメインネームに関連するアソシエーション識別子情報は、クライアントIP、解析IP、アイデンティティ情報などであってもよい。各ドメインネームと関連するアソシエーション識別子情報との関連付けには、クライアントIPとドメインネームとの関連付け、ドメインネームとアイデンティティ情報との関連付け、ドメインネームと解決IPとの関連付け、クライアントIPとDNSサーバーIPとの関連付けが含まれる。関連付けは、DNSトラフィックログとアイデンティティ情報データベースから4種類の関連付けを取得できる。
【0048】
ここで、ドメインネームとアイデンティティ情報との間の関連付けは、DNS要求メッセージの質問セクションのQNAMEに基づいているか、又はDNS応答メッセージ内の回答セクションからNAMEを抽出して、クライアントIPとドメインネームとの間の関連付けを決定する。ドメインネームと解析IPとの関連付けは、DNS応答メッセージ内の応答セクション、権限セクション、及び追加セクションのリソースレコード(RR)に基づいてドメインネームと解析IPの間の関連付けを取得する。クライアントIPとDNSサーバーIPとの関連付けは、DNS要求メッセージとDNS応答メッセージのUDPヘッダに基づいて、クライアントIPとDNSサーバーIPとの関連付けを取得する。
【0049】
ドメインネームとアイデンティティ情報との関連付けは、アイデンティティ情報データベースから取得され、アイデンティティ情報は、Whois情報であってもよい。Whoisは、ドメインネームが登録されているかどうかの照会、及びと登録されているドメインネームの詳細情報、例えばドメインネーム所有者、ドメインネームレジストラ及び他の情報などを照会することができる。アイデンティティ情報には、RegistrantName、RegistrantOrganization、RegistrantEmail、Admin Name、Admin Organization、Admin Emailなどが含まれる。本発明の実施形態におけるDNSの評価は、DNSトラフィックログに基づいているだけでなく、実際のアイデンティティ情報のような現実的な要件も考慮するため、得られたDNS評価はより正確で実用的である。また、関連付けグルーピング及び属性情報からグルーピングすることにより、手動分析及び検索ワークロードが削減され、ドメインネーム関連におけるクラスタリングの特徴を、関連付けグルーピングによって発見することができる。
【0050】
任意選択的に、本発明の実施形態は、M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割する方法を提供し、特定のプロセスは以下のとおりである。
【0051】
M個のドメインネームと関連アイデンティティ情報との4種類の関連付けに基づいて、知識マップを構築し、形成された知識マップをG(V、E)とする。Vは知識マップのノードを表し、Eは知識マップのエッジを表す。V={vi(ID、値、タイプ、当該ノードの追加属性}を表し、viは知識マップ内の任意のノードを表し、IDは知識マップ内のノードによって割り当てられた唯一の番号を表し、1つのノードは複数の集合に属することができる。E={ei(ソースノード、ターゲットノード、タイプ、当該エッジの属性集合)、eiは知識マップ内の任意のエッジを表す。知識マップ内の任意のノードviは、4つのタイプの関連付け係のうちのいずれか1つを表し、知識マップ内の各ノードは、2つのデフォルト属性、すなわち、エンティティ要素のタイプ及びエンティティ要素に対応する値を含む。
【0052】
エンティティ要素のタイプには、ドメインネーム、クライアントIP、DNSサーバーIP、解析IP、アイデンティティ情報が含まれる。値は異なるタイプのエンティティ要素に対応する値であり、例えば、ドメインネームはbaidu.com(type=ドメインネーム、value= baidu.com)に対応するノードでる。例えば、Googleが提供する無料DNSサーバーのIPアドレス:8.8.8.8、当該ノードは(タイプ=ドメインネームサーバー、値=8.8.8.8)である。知識マップ内のエッジは、エンティティ要素ノード間の関連付け及びエッジ関連属性情報を表す。
【0053】
ここで関連する属性情報には、タイプ:ドメインネーム→IP、クライアント→ドメインネーム、クライアント→DNSサーバー、ドメインネーム→アイデンティティ情報、時間間隔、初期発生時間、発生頻度、発生回数が含まれる。baidu.comへのクライアントのDNS要求が、12:00〜14:00の間に発生されると、時間間隔は12:00〜14:00である。
【0054】
具体的な例を使用して知識マップの構築方法を説明する。例えば、所定の時間内に取得されたDNSトラフィックログによると、ドメインネームbaidu.comが2016.10.17 23:00−2016.10.18 09:00の間の解析結果には、220.181.57.217の解析IP、発生数が1000、発生頻度が10である。当該DNSトラフィックログに従って構成された知識マップのノードVは、v1(type=ドメインネーム、value= baidu.com)、v2(タイプ=ドメインネームサーバー、値=8.8.8.8)、知識マップのエッジEはe1(type=ドメインネーム→IP、開始時刻=2016.10.17 23:00、終了時刻=2016.10.18 09:00、発生回数=1000、発生頻度=10)である。
【0055】
任意選択的に、M個のドメインネームのそれぞれに関連するアソシエーション識別子情報は、第1のエンティティ要素グループに分割される。
【0056】
本発明の実施形態は、形成された知識マップに従ってグループ化する実装方法を提供する。知識マップ内のノードは、関連付けにおけるエンティティ要素を表し、ノードタイプは、主にドメインネーム、IP、及びアイデンティティ情報を含む。従って、第1のエンティティ要素グループの組み合わせは、ドメインネームとIP、ドメインネームとアイデンティティ情報、ドメインネーム、IPとアイデンティティ情報のような3つの組み合わせを持つことができる。ドメインネームとIPのグループはグループ内のエンティティ要素ドメインネームとIP間の関連付けを示す。ドメインネーム及びアイデンティティ情報のグループは、グループ内のエンティティ要素ドメインネームとアイデンティティ情報との間の関連付けを表す。ドメインネーム、IP及びアイデンティティ情報のグループは、グループ内のエンティティ要素ドメインネーム、IP及びアイデンティティ情報間の関連付けを表す。そして、関連付けに基づいてエンティティを集約する。
【0057】
任意選択的に、M個のドメインネームのそれぞれに関連するアソシエーション識別子情報は、第1のエンティティ要素グループに分割される。本発明の実施形態は、以下のような1つの実装方法を提供する。
【0058】
例えば、ドメインネーム、IPアドレス、電子メールアドレスを集約する必要があるとする。
【0059】
まず、(ノード/エッジ)の初期フィルタリング条件を定義ずる。ノードviの初期フィルタリング条件は、type=ドメインネーム又はtype=IP又はtype= mailboxである。edge eiの初期フィルタ条件はtype=ドメインネーム→IP又はdomain name→mailboxである。DNSの解析タイプを以下のように定義する:解析タイプ=A、又は解析タイプ=AAAAである。
【0060】
上記で定義した2つの初期フィルタリング条件に従って、エンティティ要素ドメインネーム、IP、メールボックス、及びそれらの間の関連付けを含むサブグラフを知識マップからフィルタリングすることにより取得することができる。
【0061】
説明の便宜のために、図3は、本発明の実施形態に係るドメインネーム、IPアドレス、メールボックス及びそれらの間の関連付けのサブグラフを例示的に示す。
【0062】
図3に示すように、カンマの前の1,2,3,4,5,6は、対応するノードのサブグラフにおけるIDを示しており、これは、割り当てられた対応するノードの固有の番号である。例えば、1,メールボックス1では、カンマの前の1は、メールボックス1のノードのサブグラフにおけるIDがノードに割り当てられた唯一の番号であることを示し、メールボックス1はサブグラフ内のノードを示す。ドメインネーム、IPアドレス、メールボックス及びそれらの関連付けのサブグラフをグループ化したが、本発明の実施の形態では、マルチテーブルジョイン法、SparkのGraphXグラフ計算スイート、又はGraphLabグラフ計算ライブラリを用い関連付けをグループ化してもよい。
【0063】
本発明の実施形態は、最も一般的なマルチテーブルジョイン法を例として、特定のグループ化の仕方を例示する。図3で説明したサブグラフによれば、ドメインネームとメールボックスとの関連付け、ドメインネームとIPとの関連付けを2つのテーブルにまとめることができる。ドメインネームとメールボックスの関連付けを表A、ドメインネームとIPの関係を表Bに示す。
【0064】
【表1】
【0065】
【表2】
【0066】
表A及び表Bでは、ドメインネームIDはサブグラフ内のドメインネームの唯一の番号を示し、メールボックスIDはサブグラフ内のメールボックスの唯一の番号を示し、IPIDはサブグラフ内のIPの唯一の番号を示す。
【0067】
表Aと表Bを、ドメインネームを主キーとして右接続させて表Cを形成する。
【0068】
【表3】
【0069】
表Cに基づいて、ドメインネーム&IPグループ(ドメインネーム&IP)、ドメインネーム&メールボックスグループ(ドメインネーム&メールボックス)、ドメインネームとメールボックス&IPグループ(ドメインネーム&メールボックス&IP)との3つのグループに分ける。
【0070】
ドメインネーム&IPグループを例にとると、同じドメインネームのIPを第1のエンティティエレメントグループに分け、グループ化した後、ドメインネームIDとIPIDの最小値でグループドメインネームを表記し、groupドメインネーム&IP=MIN(ドメインネームID、IPID)とする。例えば、表Cに示すように、ドメインネーム1はIP1とIP2に対応し、グループ化する場合、同じドメインネーム(ドメインネーム1)を有するP(IP1、IP2)は1つのグループ{2、ドメインネーム1;4;IP1;5、IP2}とする。
【0071】
任意選択的に、グループ識別子groupドメインネーム&IP=MIN(ドメインネームID、IPID)を決定する。まず、IP(IP1groupドメインネーム&メールボックスIP2)に対応するドメインネームID(2,2)とIPID(4,5)の最小値が2であると判断し、2を当該グループ識別子groupドメインネーム&IP(2)とする。すなわち、同じドメインネームを持つIPグループは、groupドメインネーム&IP(2)={2,ドメインネーム1;4groupドメインネーム&メールボックスIP1;5groupドメインネーム&メールボックスIP2}、groupドメインネーム&IP(3)={3、ドメインネーム2;6groupドメインネーム&メールボックスIP3}である。
【0072】
同じ方法でドメインネーム&メールボックスでグループ化された第1のエンティティ要素グループを取得することができる。つまり同じドメインネームのメールボックスをグループ化し、サブグラフによれば、groupドメインネーム&メールボックス(1)={2,ドメインネーム1;メールボックス1}、groupドメインネーム&メールボックス(1)={3,ドメインネーム2;1,メールボックス1}を決定することができる。
【0073】
ドメインネーム&メールボックス&IPでグループ化された第1のエンティティ要素グループgroupドメインネーム&メールボックス&IPを取得することができる。同じドメインネームを持つメールボックスとIPを1つのグループに分ける。つまり、ドメインネームがメールボックスとIPの両方に接続されている場合に対してグループ化する。
【0074】
サブグラフによって、groupドメインネーム&メールボックス&IP(1)={2,ドメインネーム1;メールボックス1;4;IP1;5,IP2}、groupドメインネーム&メールボックス&IP(1)={2,ドメインネーム2;1,メールボックス1;6,IP3}を決定することができる。
【0075】
任意選択的に、本発明の実施形態では、前記M個のドメインネームにおける属性情報の差異が所定の属性閾値より小さいドメインネームと、そのドメインネームに関連するアソシエーション識別子情報とを第2のエンティティ要素グループに分割する。K個の第2エンティティ要素グループを得る。
【0076】
任意選択的に、本発明の実施形態では、M個のドメインネームのそれぞれの属性情報に基づいてグループ化し、属性情報の一つ又は属性情報の組み合わせに応じてグループ化してもよい。
【0077】
M個のドメインネームの各々の属性情報は、解析IPの数、最初の発生時間、アクセス周期、ドメインネームキャラクタの特性(異なる母音の数、異なる子音の数、可読性及び母音子音交替の頻度など)、桁数、ドメインネームトピック特性(電気通信、情報、ポータル、ゲームなどのドメインネームトピックなど)、国の範囲、緯度及び経度の範囲、行政区の範囲(中国の省、市)などのクライアントアクセスエリア特性、アクセス頻度、解析の結果としてnullであるドメイン名へのクライアントのアクセスの統計的特徴(例えば要求数、異なるドメインネームの数、アクセスの周期性、アクセスの頻度、解析期間など)を含む。
【0078】
特徴ベクトルは、異なる属性情報又は属性情報の組み合わせに基づいて形成されてもよい。そして、属性情報又は属性情報の組み合わせを正規化した後、Xmeans/Kmeansなどのクラスタリングアルゴリズムによって、グループ化させ、グループ化後に各第2のエンティティ要素グループに唯一のラベルを割り当てる。
【0079】
具体例として、ドメインネームの属性情報の組み合わせ、すなわち、クライアントからのドメインネームへのアクセス動作をグループ化し、グループ1={クライアント1のアクセスドメイン1、クライアント1のアクセスドメイン3}、グループ2={クライアント1のアクセスドメイン2}、を取得する。
【0080】
そして、クライアント1のグループラベルの集合は{グループ1、グループ2}であり、ドメインネーム1のグループラベルの集合は{グループ1}であり、ドメインネーム2のグループラベルの集合は{グループ2}であり、ドメインネーム3のグループラベルは{グループ1}である。すなわち、ドメインネームがグループ化される場合、各ドメインネームは1つの第2のエンティティ要素に従属し、そのグループのラベルはドメインネームのグループラベルである。
【0081】
任意選択的に、N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの第1のクラスタースコアを決定する場合、前記N個の第1のエンティティ要素グループのそれぞれに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元を正規化する。前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定する。前記ターゲットドメインネームは、前記M個のドメインネームのうちのいずれか1つである。
【0082】
前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された前記複数の特徴次元情報の各特徴次元情報と、第1のエンティティ要素グループ内のソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの第1クラスタースコアを決定する。前記K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って前記DNSシステムの第2のクラスタースコアを決定する場合、前記K個の第2エンティティ要素グループのそれぞれについて含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化し、前記第2のエンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報を決定し、前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の属性情報の各属性情報と、第2のエンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に従って、前記DNSシステムの第2クラスタースコアを決定する。
【0083】
本発明の実施形態では、前記N個の第1のエンティティ要素グループのそれぞれについて、各第1のエンティティグループに含まれるドメインネームに対応する複数の特徴次元情報の各次元情報を正規化する。本発明の実施形態は、選択可能の正規化方法を提供する。第1のエンティティ要素グループの各々における前記複数の特徴次元情報の最大値と最小値を決定し、前記第1のエンティティ要素グループの各々における前記特徴次元情報を式(1)に従って正規化する。
【0084】
χ’=(χ−min)/(max−min) 式(1)ここで、χ’は正規化された特徴次元情報を示し、χは現在の特徴次元情報を示し、minはグループ内の特徴次元情報の最小値、maxはグループ内の特徴次元情報の最大値を表す。
【0085】
前記第1のエンティティ要素グループのそれぞれのアソシエーション識別子情報に対応する特徴次元情報を決定する場合、IP及び/又はアイデンティティ情報に対応する特徴次元情報を決定する。アイデンティティ情報に対応する特徴次元情報は、外部の脅威情報データベースに基づいて取得することができる。例えば、ユーザーのフィードバックに応じて脅威情報データベースにIPの特徴次元情報を格納し、ユーザーがフィードバックした統計結果に応じて該当するIPを外部脅威情報データベースに記録することができる。特性次元情報は、0又は1で表すことができ、0はIPセキュリティを意味し、1はIP危険を意味する。アイデンティティ情報データベースに基づいて、アイデンティティ情報に対応する特徴次元情報を取得することができる。
【0086】
第1のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報に従って、前記DNSシステムの第1のクラスタースコアを決定する。任意選択的に、本発明の実施形態では、DNSシステムの第1クラスタースコアを決定するための方法が提供される。前記第1のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報と、そして各特徴次元情報のプリセットされた高から低へ順序に基づいて、式(2)に従って、第1のエンティティ要素グループのそれぞれの第1クラスタースコアを決定する。所定のカテゴリの各カテゴリにおける複数の特徴次元情報の高から低への順番は、研究の重要度に応じて決定される。
【0087】
【数1】
【0088】
式(2)において、mgは第1のエンティティ要素グループの第1クラスタースコアを表し、m1、mi、mjは所定のカテゴリの各カテゴリに対応する複数の特徴次元情報を高から低への順番で正規化された複数の特徴次元情報を表し、m1は複数の特徴次元の最大値を表し、mi、mjは複数の特徴次元のいずれかを表し、Nは全部でN個の特徴次元情報を有することを表す。
【0089】
決定されたN個の第1のエンティティ要素グループの各々の第1クラスタースコアに従って、最大の第1クラスタースコアをDNSシステムの第1クラスタースコアとする。
【0090】
本発明の実施形態では、前記K個の第2エンティティ要素グループに従ってDNSシステムの第2クラスタースコアが決定されル場合、前記K個のエンティティ要素グループのそれぞれに含まれるドメインネームに対応する複数の属性情報の各属性情報を正規化する。本発明の実施形態は、代替可能の正規化方法を提供する。第2エンティティ要素グループ内の複数の属性情報の最大値と最小値を決定し、前記K個の第2エンティティ要素グループの属性情報ごとに、式(1)に従って、各エンティティ要素グループの各属性情報を正規化する。
【0091】
前記第2エンティティ要素グループの各々のアソシエーション識別子情報に対応する特徴次元情報を決定し、前記IP及び/又はアイデンティティ情報に対応する特徴次元情報が含まれる。アソシエーション識別子情報アソシエーション識別子情報の特徴次元情報は、外部の脅威情報データに従って取得され、例えば、IPの特徴次元情報は、ユーザフィードバックによって脅威情報データベースに保存され、ユーザフィードバックの統計結果によって、外部の脅威情報データベースに対応するIPの特徴的な次元情報をマークし、特性次元情報は、0又は1で表すことができ、0はIPセキュリティを意味し、1はIP危険を意味する。
【0092】
アイデンティティ情報データベースに基づいて、アイデンティティ情報に対応する特徴次元情報を取得することができる。第2エンティティ要素グループのドメインネームに対応する正規化された複数の属性情報の各属性情報と、第2エンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に基づいて、DNSシステムの第2のクラスタースコアが決定される。
【0093】
任意選択的に、本発明の実施形態では、DNSシステムの第2ラスタースコアを決定するためのオプションの方法が提供される。第2エンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、第2エンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報と、そして各特徴次元情報のプリセットされた順序は、高から低へ、式(2)に従って、第2エンティティ要素グループのそれぞれの第2クラスタースコアを決定する。所定のカテゴリの各カテゴリにおける複数の特徴次元情報の高から低への順番は、研究の重要度に応じて決定される。
【0094】
決定されたK個の第2のエンティティ要素グループの第2クラスタースコアに従って、最大の第2クラスタースコアをDNSシステムの第2クラスタースコアとする。
【0095】
任意選択的に、本発明の実施形態では、DNSシステムの第1のクラスタースコア及びDNSシステムの第2のクラスタースコア中の最大値が、DNSシステムのクラスタースコアであると決定される。
【0096】
任意選択的に、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、ターゲットドメインネームに対応する所定のカテゴリの複数の各特徴次元情報を正規化する。ここで、前記ターゲットドメインネームはM個のドメインネームのいずれかであり、ターゲットドメインネームに対応する所定のカテゴリの正規化された複数の特徴次元情報に基づいて、DNSシステムのプリセットの個別スコアを決定する。前記DNSシステムの所定のカテゴリの各カテゴリのクラスタースコアとDNSシステムの所定のカテゴリの各カテゴリの個別スコアとに基づいてDNSシステムの総合システムスコアを決定する。
【0097】
任意選択的に、本発明の実施形態では、複数のドメインネームのそれぞれに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化する別の方法を提供する。所定のカテゴリのうちの1つの対応する複数の特徴次元を正規化することを一例として説明する。例えば、所定のカテゴリ中の1つの所定のカテゴリに対応する複数の特徴次元情報は、{a=2.5、b=3.5、c=0.5、d=1.5}であり、当該4つの特徴次元情報を正規化するプロセスは次のとおりである。
【0098】
4つの特徴次元情報を合計すると、2.5+3.5+0.5+1.5=8であり、4つの特徴次元情報に対する各特徴次元情報の合計の割合を求めると、2.5/8=0.3125,3.5/8=0.4375,0.5/8=0.0625,1.5/8=0.1875である。正規化された4つの特徴次元情報は、{a=0.3125,b=0.4375,c=0.0625,d=0.1875}であり、式(3)とプリセットの各特徴次元情報の高いものから低いものへの順位に従って、DNSシステムの所定のカテゴリの個別スコアを決定する。
【0099】
【数2】
【0100】
式(3)において、mdは個別スコアを表し、m1,mi,mjは予め所定のカテゴリの各カテゴリに対応する複数の特徴次元情報の高いものから低いものへの正規化された複数の特徴次元情報を表す。m1は複数の特徴次元の最大値を表しmi,mjは複数の特徴次元のいずれかを表し、NはN個の特徴次元情報の合計を表す。
【0101】
任意選択的に、DNSシステムの所定のカテゴリの個別スコアが目標ドメインネームに対するものであると判定された場合、当該ドメインネームに関連する情報及び/又はドメインネームに関連する特徴次元に関連する情報が計算され、各統計的特徴次元情報は、正規化され、式(3)及びプリセットされた各特徴次元情報の高い順から低い順に従って、DNSシステムの所定のカテゴリの個別スコアを決定する。
【0102】
任意選択的に、DNSシステムの所定のカテゴリの個別スコアを決定する際に、外部脅威情報データに基づいて関連情報の特徴次元情報を取得するので、外部脅威情報データの情報源と評価基準が異なることがあり、1つの関連情報の特徴次元は、複数の情報に対応すること、すなわち、1つの特徴次元は、複数の値に対応することがあるだろう。このとき、特徴次元のすべての情報の中央値又は平均値を求め、求めた中央値又は平均値を特徴次元の特徴次元情報として用いる。
【0103】
任意選択的に、本発明の実施形態では、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコア及びDNSシステムの所定のカテゴリの各カテゴリの個別スコアに基づいて、式(4)に従ってDNSシステムの総合システムスコアが決定される方法を提供する。
【0104】
m=mg+αmd 式(4)式(4)において、mはDNSシステムの総合システムスコア、mgはカテゴリごとのクラスタースコア、mdは各カテゴリの個別スコア、αは任意の数である。
【0105】
任意選択的に、所定のカテゴリには、悪意度、人気度又は異常度が含まれる。前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに従って、DNSシステムの総合システムスコアを決定する場合、前記DNSシステムの悪意度度のクラスタースコア及びDNSシステムの悪意度の個別スコアに従って、DNSシステムの悪意度度のシステムスコアを決定する。DNSシステムの人気度度のクラスタースコアとDNSシステムの人気度の個別スコアとに基づいてDNSシステムの人気度度のシステムスコアを決定する。DNSシステムの異常度度のクラスタースコア及びDNSシステムの異常度の個別スコアに従って、DNSシステムの異常度度のシステムスコアを決定する。DNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアに基づいてDNSシステムの総合システムスコアを決定する。
【0106】
任意選択的に、本発明の実施形態における所定のカテゴリは、悪意度、人気度、又は異常度を含む。悪意度の特徴次元は、ドメインネームの長さ、TTL(time−to−live)値、ドメインレベル、要求送信の時間間隔、応答状態、ドメインネームに対応するIPアドレスの数、空ドメインネームの周期性、IP悪意度及びアイデンティティ情報の悪意度が含まれる。人気度の特徴次元は、DNS要求の数、別個の要求クライアントIPの数、同じクラスタ内のドメインネームの数、同じクラスタ内のドメインネームターゲットトラッキング(TLD)の数、別個の要求クライアントの地理的数、IPの悪意度、及びアイデンティティ情報の悪意度が含まれる。人気度の特徴的な次元情報は、取得されたDNSトラフィックログ、アイデンティティ情報データベース、及び脅威情報に基づいて統計処理により取得される。
【0107】
異常度の特徴的な次元情報は、同じドメインネーム要求数の異常度、同じドメインネームのサブドメインネームの数の異常度、解析IPの数の異常度、同じIPの指すドメインネームの異常度、IPの悪性度、アイデンティティ情報の悪意度が含まれる。人気度の特徴的な次元情報は、取得したDNSトラフィックログ、アイデンティティ情報データベース、及び脅威情報に従って統計処理により取得される。ここで、IPの悪意度とアイデンティティ情報の悪意度は、脅威情報データとアイデンティティ情報データベースによって得られる。
【0108】
任意選択的に、本発明の実施形態では、DNSシステムを評価することは、悪意度、人気度及び異常度の3つの所定のカテゴリのうちの1つ又は複数のカテゴリを評価することを含む。複数の評価を行う場合には、DNSシステムの悪性度のシステムスコア、人気度のシステムスコア、異常度のシステムスコアの加重値に基づいて、DNSシステムの総合システムスコアを決定することができる。これによれば、DNS評価の精度をさらに高めることができる。
【0109】
本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリの各カテゴリの複数の特徴次元情報に基づいているため、DNS評価では、評価基準の特徴次元を追加した。このようにして、DNS評価の精度が向上し、さらに、DNSシステムの予め所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0110】
図4は、本発明の実施形態に係るDNS評価装置の概略構成図である。
【0111】
同じ発明思想に基づいて、本発明の実施形態に係るDNS評価装置は、図4に示すように、DNS評価装置400は、決定ユニット401とスコアリングユニット402を備えている。また、処理ユニット403がさらに含まれている。
【0112】
前記決定ユニットは、前記DNSトラフィックログに基づいて、前記DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する前記所定のカテゴリ内の各カテゴリの前記複数の特徴次元情報とを決定する前記Mは1以上の整数であり、前記M個のドメインネームのそれぞれに関連する前記アソシエーション識別子情報を決定し、前記アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネーム中の各ドメインネームと関連するアイデンティティ情報との関連付け、又はM個のドメインネームそれぞれの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、前記DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアを決定する。前記スコアリングユニットは、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定する。
【0113】
任意選択的に、前記処理ユニットは、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得する。ここでNは1以上M以下の整数であり、M個のドメインネームの属性情報の差異がプリセットされた属性閾値より小さいドメインネーム、及びドメインネームに関連するアソシエーション識別子情報を第2のエンティティ要素グループに分割し、K個の第2エンティティ要素グループを得る。Kは1以上の整数である。
【0114】
前記スコアリングユニットは、前記N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、前記DNSシステムの所定のカテゴリの第2のクラスタースコアを決定する。また、前記所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアに基づいて、DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0115】
任意選択的に、スコアリングユニットは、N個の第1のエンティティ要素グループのそれぞれに含まれる複数のターゲットドメインネームに対応する特徴次元情報の各特徴次元情報に対して正規化する。前記ターゲットドメインネームは、前記M個のドメインネームのいずれかである。前記第1のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定し、前記第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報の特徴次元情報と、前記第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に基づいて、前記DNSシステムの第1クラスタースコアを決定する。
【0116】
前記K個の第2のエンティティ要素グループのそれぞれについて、前記第2のエンティティ要素グループに含まれる前記ドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2のエンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定する。前記第2のエンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報における各特徴次元情報と第2のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報に従って、DNSシステムの第2のクラスタースコアを決定する。
【0117】
任意選択的に、前記スコアリングユニットは、ターゲットドメインネームに対応する所定のカテゴリの複数の特徴次元情報の各特徴次元情報を正規化する。前記ターゲットドメインネームはM個のドメインネーム中のいずれかである。前記ターゲットドメインネームに対応する前記所定のカテゴリの正規化された複数の特徴次元情報に従って、DNSシステムの所定のカテゴリの個別スコアを決定する。DNSシステムの前記所定のカテゴリのカテゴリごとのクラスタースコア及びDNSシステムの前記所定のカテゴリの各カテゴリの個別スコアに従って、DNSシステムの総合システムスコアを決定する。
【0118】
任意選択的に、前記所定のカテゴリは、悪意度、人気度又は異常度を含み、スコアリングユニットは、前記DNSシステムの悪意度のクラスタースコア及びDNSシステムの個々の悪意度スコアに従って、DNSシステムの悪意度度のシステムスコアを決定する。前記DNSシステムの人気度のクラスタースコアとDNSシステムの個々の人気度スコアに従って、DNSシステムの人気度度のシステムスコアを決定する。前記DNSシステムの異常度のクラスタースコアとDNSシステムの個々の異常度スコアに従って、DNSシステムの異常度度のシステムスコアを決定する。またDNSシステムの悪意度度のシステムスコア、人気度度のシステムスコア、及び異常度度のシステムスコアによって、DNSシステムの総合システムスコアを決定する。
【0119】
以上のことから、本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリのそれぞれのカテゴリの複数の特徴次元情報に基づいて評価するため、DNS評価では、評価基準とする特徴量次元を追加し、DNS評価の精度が向上する。さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0120】
同じ発明思想に基づいて、本出願は、上述したバックグラウンドシステム側の方法のフローを実行するために使用できる電子デバイスを提供する。
【0121】
図5は、本願によって提供される電子デバイスの概略構成図である。前記電子デバイスは、プロセッサ501と、メモリ502と、バスインターフェース503とを含み、プロセッサ501、メモリ502、及びバスインターフェース503は、バス504を介して相互に接続されている。
【0122】
メモリ502は、プログラムを格納するためのものであり、具体的には、プログラムはプログラムコードを含み、プログラムコードはコンピュータ動作命令を含む。メモリ502は、ランダムアクセスメモリ(RAM)などの揮発性メモリ(volatile memory)を含むことができる。また、メモリは、フラッシュメモリ(フラッシュ)などの不揮発性メモリ(non−volatile memory)、ハードディスクドライブ(HDD)又はソリッドステートドライブ(SSD)であり、メモリ502はまた、上記タイプのメモリの組み合わせを含むことができる。
【0123】
メモリ502は、以下の要素、実行可能モジュールもしくはデータ構造、又はそれらのサブセットもしくは拡張セットを格納する。
【0124】
操作指示:各種操作を実行するための各種操作指示を含む。
【0125】
オペレーティングシステム:様々な基本サービスを実装し、ハードウェアベースのタスクを処理するための様々なシステムプログラムが含まれている。
【0126】
バス504は、周辺コンポーネント相互接続(Peripheral Component Interconnect, PCI)バス又は拡張業界標準アーキテクチャ(Extended Industry Standard Architecture, EISA)バスであってもよい。
【0127】
バスは、アドレスバス、データバス、制御バス等に分けることができる。説明の便宜のために、図5には1本の太い線しか示されていないが、1本のバス又は1種類のバスしか存在しないことを意味するものではない。
【0128】
バスインターフェース503は、有線通信インターフェース、無線通信インターフェース、又はそれらの組み合わせであってもよい。ここで、有線通信インターフェースは、例えば、イーサネット(登録商標)インターフェースであり得る。イーサネット(登録商標)インターフェイスは、光インターフェース、電気インターフェース、又はそれらの組み合わせとすることができる。無線通信インターフェースは、WLANインターフェースとすることができる。
【0129】
プロセッサ501は、中央処理装置(CPU)、ネットワークプロセッサ(NP)、又はCPUとNPの組み合わせとすることができる。また、ハードウェアチップであってもよいです。ハードウェアチップは、特定用途向け集積回路(ASIC)、プログラマブルロジックデバイス(PLD)、又はそれらの組み合わせであってもよい。PLDは、複合プログラマブルロジックデバイス(CPLD)、フィールドプログラマブルゲートアレイ(FPGA)、汎用アレイロジック(GAL)、又は任意の組み合わせであってもよい。
【0130】
プロセッサ501は、メモリ502内のプログラムを読み出し、以下の方法を実行するように構成される。DNSトラフィックログに基づいて、前記DNSシステムにおけるM個のドメインネームと、前記M個のドメインネームのそれぞれに対応する前記所定のカテゴリ内の各カテゴリの前記複数の特徴次元情報を決定する。前記Mは1以上の整数であり、前記M個のドメインネームのそれぞれに関連する前記アソシエーション識別子情報が決定され、前記アソシエーション識別子情報は、IPアドレス及び/又はアイデンティティ情報を含み、前記M個のドメインネーム中の各ドメインネームと関連するアイデンティティ情報との対応関係、又はM個のドメインネームそれぞれの属性情報に基づいて、及び前記M個のドメインネームのそれぞれに対応する所定のカテゴリ内の各カテゴリの複数の特徴次元情報に基づき、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアを決定するステップと、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいて、DNSシステムの総合システムスコアを決定する。
【0131】
メモリ502は、1つ又は複数の実行可能プログラムを格納するように構成され、動作を実行するときにプロセッサ501によって使用されるデータを格納することができる。
【0132】
任意選択的に、プロセッサは、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得する。ここでNは1以上M以下の整数である。前記M個のドメインネームの属性情報の差異がプリセットされた属性閾値より小さいドメインネームと、ドメインネームとドメインネームに対応するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2エンティティ要素グループを得る。Kは1以上の整数であり、N個の第1のエンティティ要素グループ及び前記特徴次元情報に従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、K個の第2のエンティティ要素グループ及び前記特徴次元情報に従って、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定する。また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアに基づいて、DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0133】
任意選択的に、プロセッサは、前記M個のドメインネームのそれぞれに関連するアソシエーション識別子情報を第1のエンティティ要素グループに分割し、N個の第1のエンティティ要素グループを取得する。ここでNは1以上M以下の整数である。M個のドメインネームの属性情報の差異がプリセットされた属性閾値より小さいドメインネームと、ドメインネームとドメインネームに対応するアソシエーション識別子情報とを第2のエンティティ要素グループに分割し、K個の第2エンティティ要素グループを得る。Kは1以上の整数であり、N個の第1のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第1クラスタースコアを決定し、K個の第2のエンティティ要素グループに従って、DNSシステムの所定のカテゴリの第2のクラスタースコアを決定する。また、所定のカテゴリの第1のクラスタースコアと、所定のカテゴリの第2のクラスタースコアに基づいて、DNSシステムの所定のカテゴリのクラスタースコアを決定する。
【0134】
任意選択的に、プロセッサは、N個の第1のエンティティ要素グループのそれぞれに含まれるターゲットドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化する。前記ターゲットドメインネームは、M個のドメインネームのいずれかであり、第1のエンティティ要素グループ内のアソシエーション識別子情報に対応する特徴次元情報が決定される。そして、第1のエンティティ要素グループのターゲットドメインネームに対応する正規化された複数の特徴次元情報と、第1のエンティティ要素グループ内のアソシエーション識別子情報に関連する特徴次元情報に従って、DNSシステムの第1クラスタースコアを決定する。
【0135】
K個の第2エンティティ要素グループのそれぞれに含まれるドメインネームに対応する複数の特徴次元情報の各特徴次元情報を正規化し、前記第2エンティティ要素グループ内の前記アソシエーション識別子情報に対応する特徴次元情報を決定する。第2エンティティ要素グループのドメインネームに対応する正規化された複数の特徴次元情報の各特徴次元情報と、第2エンティティ要素グループのアソシエーション識別子情報に対応する特徴次元情報に従って、DNSシステムの第2クラスタースコアを決定する。
【0136】
任意選択的に、プロセッサは、ターゲットドメインネームに対応する所定のカテゴリの複数の各特徴次元情報を正規化されていることを含む。ターゲットドメインネームはM個のドメインネームのいずれかであり、ターゲットドメインネームに対応する所定のカテゴリの正規化された複数の特徴次元情報に基づいて、DNSシステムのプリセットの個別スコアが決定される。DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアとDNSシステムの所定のカテゴリの各カテゴリの個別スコアとに基づいてDNSシステムの総合システムスコアを決定する。
【0137】
任意選択的に、前記所定のカテゴリは、悪意度、人気度又は異常度を含み、前記プロセッサは、DNSシステムの悪意度度のクラスタースコアとDNSシステムの悪意度の個別スコアに基づいて、DNSシステムの悪意度度のシステムスコアを決定するステップと、DNSシステムの人気度のクラスタースコア及びDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度のシステムスコアを決定する。DNSシステムの人気度のクラスタースコア及びDNSシステムの人気度の個別スコアに基づいて、DNSシステムの人気度のシステムスコアを決定するステップと。DNSシステムの異常度のクラスタースコア及びDNSシステムの異常度の個別スコアに基づいて、DNSシステムの異常度のシステムスコアを決定するステップを含む。またDNSシステムの悪意度のシステムスコア、人気度のシステムスコアと異常度のシステムスコアに基づいて、DNSシステムの総合システムスコアを決定する。
【0138】
以上のことから、本発明の実施形態では、M個のドメインネームとM個のドメインネームのそれぞれに対応する所定のカテゴリのそれぞれのカテゴリの複数の特徴次元情報に基づいて評価するため、DNS評価では、評価基準の特徴次元が追加され、DNS評価の精度が向上し、さらに、DNSシステムの所定のカテゴリのカテゴリごとのクラスタースコアに基づいてDNSシステムの総合システムスコアが決定されるため、DNS評価の精度がさらに向上する。
【0139】
当業者であれば、本発明の実施形態は、方法、システム、又はコンピュータプログラム製品として提供されることを理解できるであろう。従って、本発明の実施形態は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、又はソフトウェアとハードウェアの組み合わせの形態であってもよい。さらに、本発明の実施形態は、コンピュータ使用可能プログラムコードを含む1つ又は複数のコンピュータ使用可能な記憶媒体(ディスク記憶装置、CD−ROM、光学記憶装置などを含むが、これに限定されない)上で実施されるコンピュータプログラム製品の形態をとってもよい。
【0140】
本発明の実施形態は、本発明の実施形態による方法、装置(システム)、及びコンピュータプログラム製品のフローチャート図及び/又はブロック図を参照して説明される。
【0141】
フローチャートは、コンピュータプログラム命令によって実施することができ、フローチャート及び/又はブロック図の各フロー及び/又はブロック、及びフローチャート及び/又はブロック図のフロー及び/又はブロックの結合は、コンピュータプログラム命令によって実施できることが理解される。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、又は他のプログラマブルデータ処理装置のプロセッサに提供し機械を製造する。こうしてコンピュータ又は他のプログラムデータ処理装置のプロセッサによって実行される命令は、フローチャートの1つ又は複数のブロック又はフローチャートのブロックに指定された機能のデバイスに実装する。
【0142】
これらのコンピュータプログラム命令は、コンピュータ又は他のプログラマブルデータ処理装置を特定の方法で動作させることができるコンピュータ可読メモリに格納することもできる。こうして該当コンピュータ可読メモリに格納された命令は、命令装置を含む製品を製造させ、命令装置は、フローの1つ又は複数のブロック、又はフローチャートのフロー図及び/又はブロック図に指定された機能を実装する。
【0143】
これらのコンピュータプログラム命令は、コンピュータ又は他のプログラム可能なデータ処理装置にロードされて、コンピュータ又は他のプログラム可能な装置上で実行されるコンピュータ実装の処理を生成させ、コンピュータ又は他のプログラマブルデバイス上で実行される命令は、フローの1つ又は複数のブロック、又はフローチャートのフロー図及び/又はブロック図に指定された機能を実装するステップに用いる。
【0144】
当業者であれば、本発明の精神及び範囲から逸脱することなく、本発明の実施形態に対して様々な変更及び変形を行うことができることは明らかである。従って、本発明は、本発明の実施形態の修正及び変形を包含することが意図される。
【手続補正3】
【補正対象書類名】図面
【補正対象項目名】図2
【補正方法】変更
【補正の内容】
【図2】
【国際調査報告】