域名和因特网协议地址经核准和未经核准隶属度推理

摘要

根据示例，域名和IP地址经核准和未经核准隶属度推理可包括接收域名和IP地址，并且将域名映射至IP地址。属于经核准域名列表或属于未经核准域名列表的域名可被识别。属于经核准IP地址列表或属于未经核准IP地址列表的IP地址可被识别。对于未知IP地址和映射至该未知IP地址的域名，确定在映射至该未知IP地址的域名中是否超过预定百分比的域名处于所述经核准域名列表中。基于该确定，未知IP地址可被指定为经核准的，并且被分配给经核准IP地址列表，或者可替代地，被指定为未经核准的，并且被分配给未经核准IP地址列表。

说明书

背景技术

域名系统(DNS)是提供翻译服务以将域名翻译成其相应的数字因特网协议(IP) 地址的分层分布式命名系统。对于域名和其相应的IP地址，良性域名和恶性域名及其 对应的IP地址通常通过将所访问的域名或IP地址分别与经核准和未经核准的域名列 表或IP地址列表相比较来识别。

附图说明

本公开的特征通过示例来说明并且不限于以下附图，其中相同的附图标记表示相 同的元件，其中：

图1图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理装置的 体系结构；

图2图示了根据本公开示例的图1的装置的应用示例的二分图；

图3图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理的方法；

图4图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理的方法 的更多细节；以及

图5图示了根据本公开示例的计算机系统。

具体实施方式

为了简化和说明目的，通过主要参考示例来描述本公开。在以下描述中，给出许 多具体细节以提供对本公开的透彻理解。然而，很显然，本公开可以实施而不受限于 这些具体细节。在其他实例中，某些方法和结构未被详细描述从而避免不必要地使本 公开不清楚。

在整个本公开中，术语“一个”意在表示特点元件中的至少一个。如本文中所使 用的，术语“包括”意思是包括但不限于，术语“包含”意思是包括但不限于。术语 “基于”意思是至少部分基于。

通常，企业网络中的传染源会大量产生并且在企业网络的主机或用户所访问的整 个网域传播。因此，对企业网络的主机或用户所访问的良性网域与恶性网域的识别能 够改善这种企业网络的安全性。如果一个域名不存于经核准和未经核准的域名列表中 的任何一个中，则与该域名对应的IP地址可以与经核准和未经核准的IP地址列表比较。 基于对该域名或相应的IP地址是否在经核准或未经核准的域名列表或IP地址列表上的 确定，可允许或防止对该域的访问。

经核准和未经核准的域名列表和IP地址列表的方法可用于评价包括一对一映射的 域名和相应的IP地址，并且因此可通过静态映射识别。然而，域名和它们相应的IP地 址可包括多对多映射。例如，单个IP地址可映射至域名集，反之亦然。域名与IP地址 之间的多对多映射还可由于例如动态主机配置协议(DHCP)、负载均衡、云托管以 及内容分发网(CDN)，而随时间而变化。对于域名与IP地址之间的多对多映射，静 态映射会引起对恶性域名与良性域名及其对应的IP地址的不准确识别。

在企业环境中可在几种情形中遭遇多对多映射。例如，域名“lookoutsoft.com”可 映射至三个IP地址，一个是64.4.6.100。例如，对IP地址64.4.6.100的反向查找可返回例 如超过400个域名。对于对IP地址64.4.6.100的反向DNS查询，如果该IP地址不在经核准 和未经核准的IP地址列表上，则对与该IP地址对应的超过400个域名的进一步分析可能 导致在经核准域名列表上的某些域名和不在经核准域名列表上的其他域名。因此，关 于IP地址64.4.6.100是良性的或恶性的，这样的分析可能是不可信的。

根据另一示例，许多良性和恶性域名可指向单个IP地址，例如，212.154.192.92。 然而，假设对IP地址212.154.192.92的反向DNS查询引起重定向域名，则关于IP地址或 相关联的域名是否是良性的或恶性的，这样的分析可能是不可信的。

根据示例，本文公开了域名和IP地址经核准和未经核准隶属度推理装置以及用于 域名和IP地址经核准和未经核准隶属度推理装置的方法。本文所公开的装置和方法通 常可应用基于概率的分析，以在存在多对多映射的情况下推理在经核准和未经核准的 域名列表和IP地址列表中的隶属度以及与域名或IP地址的良性状态或恶性状态有关的 不完全信息。例如，该不完全信息可表示与IP地址对应的全部数量的域名之外的域名 子集的良性状态或恶性状态。因此，本文所公开的装置和方法可使用有限的先验知识 和多对多域名至IP地址映射来预测经核准和未经核准的域名列表和IP地址列表中的隶 属度。

本文所公开的装置和方法可与例如使用域名和/或IP地址经核准和未经核准列表 的安全系统一起使用。该安全系统可包括例如入侵检测系统(IDS)、入侵防止系统 (IPS)、垃圾邮件过滤器、防火墙、超文本传输协议(HTTP)代理以及安全信息和 事件管理(SIEM)系统。本文所公开的基于概率的分析可易于扩展至相对大的企业环 境。本文所公开的装置和方法还可以利用相对少量的数据。例如，本文所公开的装置 和方法可以依赖于通常由企业例如以DNS请求和响应的形式收集的<a name＝"_GoBack"></a>域名至IP地址映射以及通常由企业使用的经核准和未经核准的 域名列表和IP地址列表。本文所公开的装置和方法还可以被用于扩展现有的经核准和 未经核准的域名列表和IP地址列表。如本文所公开的，对是良性或是恶性具有高可信 度的域名和IP地址可在现有经核准和未经核准的域名列表和IP地址列表中相应地识 别。此外，如本文所公开的，以前未识别为是良性或是恶性的任意域名和IP地址也可 以被识别为是良性的或是恶性的。

本文所公开的装置和方法的应用的示例可包括可扩展DNS日志收集系统的实现方 式。例如，DNS日志收集系统可使用经核准的列表方法，以忽略对良性网域的DNS请 求并且记录有潜在风险的剩余DNS请求。本文所公开的装置和方法可用于增大用在 DNS日志收集系统中的经核准和未经核准的域名列表和IP地址列表，并且还可提供对 不在经核准和未经核准的域名列表和IP地址列表上的域名和IP地址的属性的推理。

图1图示了根据本公开示例的域名和IP地址经核准和未经核准隶属度推理装置100 (下文中称为“装置100”)的体系结构。参考图1，装置100被描绘为包括域名和IP 地址接收模块102，以接收域名104和/或IP地址106的集合。按照从DNS服务器108获得 的DNS映射，域名104中的特定域名可映射至IP地址106中的特定IP地址，反之亦然。 由于域名至IP地址映射可随时间而变化，因此映射时间识别模块110可识别与对域名 104和IP地址106的映射和/或接收相关联的时间。绘图模块112可将域名104和IP地址106 中的每一个表示为在二分图114(例如，参见图2的示例)中的节点。如果域名104中的 一个域名映射至IP地址106中的一个IP地址，则绘图模块112可分配被映射至该IP地址 的特定域名之间的边缘。

经核准列表概率赋值模块116可将概率118分配给以前已确定属于经核准域名列表 120的域名104中的域名以及以前已确定属于经核准IP地址列表122的IP地址106中的IP 地址。此外，未经核准概率赋值模块124可将概率126分配给以前已确定属于未经核准 域名列表128的域名104中的域名以及以前已确定属于未经核准IP地址列表130的IP地 址106中的IP地址。

概率推理模块132可使用本文所公开的阈值处理来推理剩余未知域名和IP地址 (即，在经核准域名列表120、经核准IP地址列表122、未经核准域名列表128、或未经 核准IP地址列表130中未出现的未知域名和IP地址)的概率。替代地或附加地，概率推 理模块132可通过使用由经核准列表概率赋值模块116和未经核准列表概率赋值模块 124分配的概率，而使用本文所公开的图形推理处理来推理在二分图114中剩余未知节 点(即，未知域名和IP地址)的概率。

隶属度赋值模块134可使用来自概率推理模块132的结果，以将未知域名和IP地址 的隶属度分配给经核准域名列表120、经核准IP地址列表122、未经核准域名列表128 以及未经核准IP地址列表130。

如本文所描述的，装置100的模块和其他元件可以是被存储在非暂时性计算机可读 介质上的机器可读指令。此外或替代地，装置100的模块和其他元件可以是硬件或机器 可读指令和硬件的结合。

参考图1，根据其示例进一步详细描述绘图模块112、经核准列表概率赋值模块116、 未经核准列表概率赋值模块124以及概率推理模块132。

域名和IP地址接收模块102可接收域名104和/或IP地址106的集合。根据示例，概率 推理模块132可使用如本文所公开的阈值处理，来推理剩余未知域名和IP地址(即，在 经核准域名列表120、经核准IP地址列表122、未经核准域名列表128以及未经核准IP地 址列表130中未出现的未知域名和IP地址)的概率。通常，关于阈值处理，给定未知IP 地址以及该IP地址被映射至的域名集合，如果超过预定分数(即，百分数)的域名在 经核准域名列表120中，则IP地址还可以被认为是良性的并且被分配给经核准IP地址列 表122。类似地，对于给定的未知IP地址和该IP地址被映射至的域名集合，如果少于或 等于预定分数(即，百分数)的域名在经核准域名列表120中，则该IP地址可以被认为 是恶性的并且被分配给未经核准IP地址列表130。类似分析可被应用于未知域名和该域 名被映射至的IP地址集合。因此，关于阈值处理，概率推理模块132可考虑在经核准域 名列表120和未经核准域名列表128中未出现的域名，以因此将该域名识别为良性的(即 核准的)或恶性的(即未经核准)。类似地，概率推理模块132可考虑在经核准IP地址 列表122和未经核准IP地址列表130中未出现的IP地址，以因此将IP地址识别为良性的 或恶性的。因此，当评价未知域名时，概率推理模块132可考虑未知域名D解析成n个IP 地址，其中的m个IP地址在未经核准IP地址列表130(或者基于该分析观点的经核准IP 地址列表122)中。当评价未知IP地址时，概率推理模块132可考虑未知IP地址解析成n 个域名，其中m个域名在未经核准域名列表128(或者基于该分析观点的经核准域名列 表120)中。

根据阈值处理的实现方式的示例，m/n被指定为已知为经核准的IP地址的分数。如 果m/n大于阈值t(即，预定百分数)，则概率推理模块132可将与IP地址对应的未知域 名标记为良性的。否则(即m/n小于或等于阈值t)，概率推理模块132可将域名D标记 为恶性的。例如，t可以是0.8或更高值。相同阈值处理可以被应用于未知IP地址。此外， 概率推理模块132可从训练数据集得知t的值，使得失误的数目最小化。

根据阈值处理的另一实现方式的示例，概率推理模块132可分配将域名标记为良性 或恶性的可信度(并且类似地对待IP地址)。例如，关于与分数m/n的确定有关的前述 阈值方法，如果两个域名具有相同的分数但其中m和n的值不同，例如，8/10和80/100， 则概率推理模块132可将相同的标记(例如，良性的或恶性的)分配给这两个域名。然 而，分配给80/100的标记上的可信度相对于分配给8/10的可信度更高。例如，概率推理 模块132可能不知道针对被解析为10个IP地址的一个域名的所有IP地址。在这一点上， 概率推理模块132可使用可信区间来实现在标记上的可信度。例如，对于可信区间，可 信区间越小，可信度越高。概率推理模块132所使用的可信区间的示例可包括经调节的 Wald可信区间。例如，对于8/10，95％经调节Wald可信区间是[0.47，0.95]，而对于80/100， 是[0.71，0.87]。因此，80/100比8/10更有可能是0.8，因此在80/100中存在更高的可信 度。概率推理模块132所使用的可信区间的其他示例可以包括Wilson区间或 Clopper-Pearson区间。因此，给定一域名，概率推理模块132可计算分数和可信区间。 如果可信区间大于可信区间阈值(例如，大于0.3)，则概率推理模块132可将域名标 记为未知。然而，如果可信区间小于可信区间阈值(例如，小于等于0.3)，则概率推 理模块132可使用该分数和阈值以适当地标记域名(例如，恶性的或良性的)。

根据阈值处理的另一实现方式的示例，概率推理模块132可使用来自推荐系统和/ 或其他机器学习系统的自举处理(bootstrappingprocess)，这些系统依赖于系统可得 的一定量数据以适当操作。自举过程可用于概率推理模块132可能不知道域名解析成的 所有IP地址(和IP地址解析成的所有域名)的情况。关于自举处理，并不是计算如m/n 的分数，概率推理模块132可计算如下经调节的分数：

(m+C＊avg)/(n+N)等式(1)

对于等式(1)，当评价未知IP地址以及该IP地址被映射至的域名集合时，N可以表示 目前为止所看到域名的总数，avg可表示全部N个节点(即，在如本文所公开的二分图 114中的节点)的分数的平均值，以及C可以表示一个常数。类似地，当评价未知域名 以及该域名被映射至的IP地址集合时，N可以表示目前为止所看到的IP地址的总数，avg 可表示全部N个节点的分数的平均值，以及C可以表示一个常数。关于等式(1)，如 果域名解析成C个或更多个IP地址，则域名的分数上的可信度可增大(以及，对于IP 地址分数，反之亦然)。此外，如果m小于C，则经调节分数可接近于平均分数avg。 如果存在关于节点的足够信息，则节点的分数可影响使用等式(1)的分析。因此，给 定一域名，概率推理模块132可计算出其经调节分数(并且，对于给定IP地址是类似的)。 概率推理模块132还可以将经调节分数与该阈值进行比较，以将域名标记为良性的或恶 性的。

隶属度赋值模块134可使用来自概率推理模块132的基于阈值的结果，以将未知域 名和IP地址的隶属度分配给经核准域名列表120、经核准IP地址列表122、未经核准域 名列表128以及未经核准IP地址列表130。

图2图示了根据本公开示例的针对装置100的应用示例的二分图114。如二分图114 的示例中所示，域名104和IP地址106可以被表示为二分图114中的节点。对于图2中的 示例，命名为D1的域名“bad-domain.com”可事先确定为属于未经核准的域名列表128。 命名为D2的域名“example.com”可事先确定为属于经核准域名列表120。命名为D3的 域名“unknow1.com”和命名为D4的域名“unknown2.com”可在二分图114中被命名 为未知域名。命名为IP1的IP地址“12.56.45.127”和命名为IP2的IP地址“33.57.218.82” 可事先被确定为属于未经核准IP地址列表130。命名为IP3的IP地址“212.19.2.42”和命 名为IP4的IP地址“110.31.64.28”可被命名为二分图114中的未知IP地址。

经核准列表概率赋值模块116可将例如为0.99的概率118分配给以前已确定属于经 核准域名列表120或属于经核准IP地址列表122的域名104和IP地址106。此外，未经核 准列表概率赋值模块124可将例如为0.01(例如，1-概率118)的概率126分配给以前已 确定属于未经核准域名列表128或属于未经核准IP地址列表130的域名104和IP地址 106。

为了推理二分图114中的未知节点(例如，针对图2的示例的未知域名D3和D4以及 IP地址IP3和IP4)的概率，概率推理模块132可通过使用由经核准列表概率赋值模块116 和未经核准列表概率赋值模块124所分配的概率，而使用如本文所公开的图形推理处 理，以推理二分图114中剩余未知节点(即，未知域名D3和D4以及IP地址IP3和IP4) 的概率。关于图形推理处理，绘图模块112可通过添加域名与该域名解析成的IP地址之 间的边缘来生成二分图114。对于图2的示例，绘图模块112可通过添加分别在D1和IP1 以及D1和IP1之间的边缘200、202来生成二分图114。可针对二分图114类似地生成其 他边缘。如图2中所图示，域名(和IP地址)中的一些会是良性的(例如D2)，这是 因为它们在经核准的域名列表120中，而域名(和IP地址)中的一些可能是恶性的(例 如D1、IP1和IP2)，这是因为它们在未经核准域名列表128和未经核准IP地址列表130 中。概率推理模块132可使用例如Bayesian推理、置信传播(beliefpropagation)或D-S (Dempster-Shafer)处理，来推理未知节点(例如，图2的示例中的D3、D4、IP3以及 IP4)的概率。

关于Bayesian推理处理，概率推理模块132可推理其余未知域名和IP地址(例如， 图2的示例中的D3、D4、IP3以及IP4)的边际(marginal)概率(即，在经核准域名列 表120、经核准IP地址列表122、未经核准域名列表128以及未经核准IP地址列表130中 的给定域名和IP地址是恶性的(良性的)可能性)。如果二分图114不包括循环，则 Bayesian推理处理可用于确定未知节点的确切概率。通常，随机变量X(给定变量的集 合)的边际概率可被表示为遍布在不包括X的集合中在所有变量的所有可能值的所有 变量的联合概率分布的总和。例如，参考图2，为了确定D3的边际概率在经核准域名 列表120中，属于经核准域名列表120或经核准IP地址列表122的域名和IP地址的概率可 表示为相应节点的概率。因此，为了确定D3的边际概率在经核准域名列表120中，概 率推理模块132可以确定D3的等于1的概率，如下：

Pr(D3＝1)∑_{D1，D2，D4，IP1，IP2，IP3，IP4}Pr(D3＝1，D1，D2，D4，IP1，IP2，IP3，IP4)等式(2) 参考图2，能够看出某些概率(例如，D1、D2、IP1以及IP2)是已知的先验值。例如， 可以看出，通过D1表示的域名“bad-domain.com”属于未经核准域名列表128。因此， D1的是0的概率可以是1，并且D1具有非0的任何值的概率是0。在图2的示例中，尽管 概率被表示为1和0，但为了解释与域名和IP地址的先验状态有关的误算，概率推理模 块132可以使用概率值，例如0.99和0.01。因此，对于图2的示例，对于被表示为1和0 的概率，D1、D2、IP1和IP2的概率可以被表示如下：Pr(D1＝0)＝1；Pr(D2＝1)＝1； Pr(IP1＝0)＝1；以及Pr(IP2＝0)＝1。

概率推理模块132可替代等式(2)中的已知概率值，如下：

Pr(D3＝1)＝∑_{D4，IP3，IP4}Pr(D3＝1，D1＝0，D2＝1，D4，IP1＝0，IP2＝0，IP3，IP4）

等式(3)

Pr(D3＝1)=∑_{D4，IP3，IP4}Pr(D3＝1，D4，IP3，IP4)等式(4)

以此方式，概率推理模块132可替代其他变量的概率的已知值，以确定给定变量的边际 概率。

关于置信传播，如果二分图114包括循环，则概率推理模块132可确定未知节点的 近似概率。通常，概率推理模块132可将例如先验概率0.5分配给未知节点(例如，图2 示例中的D3、D4、IP3以及IP4)，然后通过在相邻节点之间传送消息来更新概率或置 信度。因此，概率推理模块132可通过确定每个未知节点(例如，图2示例中的D3、D4、 IP3或IP4)的边际分布，关于任意未知节点(例如，图2示例中的D1、D2、IP1以及IP2) 的条件来确定近似概率。

关于置信传播，给定一无向图形(即，二分图114)，G＝(V,E)，其中V是n个节点 的集合，E是边缘的集合，概率推理模块132可以将每个节点i∈V建模为可以是状态 的有限集合S的随机变量x_i。图形模型可用于定义在G的节点上的联合概率分布 P(x₁,x₂,…,x_n)。概率推理模块132所使用的推理处理可计算每个随机变量x_i的边际概率分 布P(x_i)。节点的边际概率可以根据二分图114中的所用其他节点的所用可能状态上的联 合概率分布的总和方面被定义，如下：

求和中的项的数量可以是节点数目n的指数。概率推理模块132可使用置信传播，以在 边缘数量上以时间线性近似所用节点的边际概率分布，其最多是O(n²)。

概率推理模块132可使用置信传播，以根据与二分图114的节点和它们的统计相关 性有关的先验知识来估计节点的边际概率。节点i的置信度b_i(x_i)是i的在状态x_i的边际概 率。对于节点i，b_i(x_i)的计算可取决于二分图114的节点的先验值。节点i的先验值φ_i(x_i) 是i的在状态x_i的初始(或先验)概率。节点的先验值可以指示节点为恶性状态和良性 状态的初始可能性。概率推理模块132可使用地面实况信息来估计节点的先验值。对于 节点i，bi(x_i)的计算还可取决于用于对相邻节点之间的统计相关性建模的边缘势函数。 两个相邻节点i和j之间的边缘势Ψij(x_i,x_j)可表示节点i处于状态x_i的概率和节点j处于状 态x_j的概率。

例如，给定一域名(例如，i)，如果假设域名是良性的，则域名解析成的IP地址 (例如，j)(被表示为图形边缘)可被认为是良性的概率为A(例如，0.51)。如果 域名被假定为是良性的，则域名解析成的IP地址可被认为是恶性的概率是A’，其中A’ 小于A(例如，在某些情况中，1-A，其中A>0.5)。如果域名被假定为恶性的，则域 名解析成的IP地址被认为是恶性的概率是B(例如，0.51)。如果域名被假定为是恶性 的，则域名解析成的IP地址被认为是良性的概率是B’，其中B’小于B(例如，在某 些情况中，1-B，其中B>0.5)。在某些示例中，A和B可等于0.51，A’和B’可等于0.49。 可基于域名的行为状态对IP地址的行为状态进行类似的推理。

概率推理模块132可使用置信传播，来通过根据每个节点处的更小局部计算来组织 全局边际概率计算，而实现计算效率。这可以通过在相邻节点之间传送的迭代消息来 执行。例如，对于一个节点i以及其邻节点N(i)，在置信传播的每个迭代中，节点i将消 息矢量m_ij传送至其每个邻节点，j∈N。消息矢量的每个分量m_ij(x_j)可正比于节点i感知 的节点j处于状态x_j的可能性。节点i向其邻节点j输出的输出消息矢量可取决于节点i的 来自其其他邻节点的输入消息矢量，并且被确定如下：

对于等式(6)，k可表示i的不包括j的所有邻节点。

置信传播的消息可以以任意顺序传送。在同步更新顺序中，节点i的在迭代t中的输 出消息可以根据i的在迭代t-1中的输入消息来计算。在同步更新顺序中，一旦可获得输 入消息就可以使用他们。当这些消息收敛在预定阈值内时，可停止对置信传播的迭代。 然后，概率推理模块132可根据节点i的在收敛的迭代中的输入消息来计算节点n的置信 值，如下：

b_i(x_i)＝Cφ(x_i)Π_k∈N(i)m_ki(x_i)等式(7)

对于等式(7)，C可表示归一化常数以确保节点i的置信度加至1，如下：

关于D-S处理，概率推理模块132可使用此处理通过结合来自多个源的证据来计算 置信程度。参考在图2的示例中的二分图114，概率推理模块132可计算节点(即，IP 地址或域名)是良性的、是恶性的或是未知的置信度。所使用的证据可根据在经核准 域名列表120、在经核准IP地址列表122、在未经核准域名列表128以及未经核准IP地址 列表130中的节点(例如，在图2的示例中的节点D1、D2、IP1以及IP2)来确定。例如， 如果域名在经核准域名列表120中，则下面的初始置信度可分配给该域名：{良性＝0.99， 恶性＝0.00，未知＝0.01}。如果域名在未经核准域名列表128中，则下面的初始置信度 可分配给该域名：{良性＝0.00，恶性＝0.99，未知＝0.01}。如果域名不在经核准域名列 表120或未经核准域名列表128中，则下面的初始置信度可分配给该域名：{良性＝0.00， 恶性＝0.00，未知＝1.01}。可根据经核准IP地址列表122和未经核准IP地址列表130对IP 地址的初始置信度进行类似分配。概率推理模块132可通过结合来自域名解析成的IP 地址的证据来计算该域名(或IP地址)的置信度，其中该结合通过以下Dempster的结 合规则来执行。因此，概率推理模块132可使用来自经核准域名列表120、经核准IP地 址列表122、未经核准域名列表128以及未经核准IP地址列表130(例如，图2的示例中 的节点D1、D2、IP1以及IP2)的初始信息将置信度量分配给状态，然后，使用结合规 则来计算未知节点(例如，图2的示例中的节点D3、D4、IP3以及IP4)的概率。

隶属度赋值模块134可使用来自概率推理模块132的基于图形推理的结果，来将未 知域名和IP地址的隶属度分配给经核准域名列表120、经核准IP地址列表122、未经核 准域名列表128以及未经核准IP地址列表130。

由于二分图114的属性是动态的(即，时间相关)，所以绘图模块112可更新二分 图114，并且可以计算与阈值和图形推理有关的前述计算。根据示例，如果装置100包 括对DNS请求的访问以及来自网络中的DNS服务器108的响应，则绘图模块112可实时 更新二分图114。此外，对于二分图114，节点的概率可并行地并且根据需要独立更新。 例如，概率推理模块132可重新计算在已添加新边缘和/或已删除一边缘的那些节点中 的概率。

图3和图4分别图示了与域名和IP地址经核准和未经核准隶属度推理装置100的示 例(其构造在上面详细描述)对应的域名和IP地址经核准和未经核准隶属度推理的方 法300和400的流程图。作为示例而非限制性的，方法300和400可在参考图1和图2的域 名和IP地址经核准和未经核准隶属度推理装置100上实现。方法300和400可以在其他装 置中实施。

参考图3，对于方法300，在框302，该方法可包括接收多个域名104和多个IP地址 106。

在框304，该方法可包括确定所接收的多个域名104至所接收的多个IP地址106的映 射。例如，按照从DNS服务器108获得的DNS映射，域名104中的特定域名可映射至IP 地址106中的特定IP地址，反之IP地址106中的特定IP地址可映射至域名104中的特定域 名。

在框306。该方法可包括识别所接收的多个域名104中属于经核准域名列表120或属 于未经核准域名列表128的域名。

在框308，该方法可包括识别所接收的多个IP地址中属于经核准IP地址列表122或 属于未经核准IP地址列表130的IP地址。

在框310，针对所接收的多个IP地址106中的未知IP地址和映射至该未知IP地址的 域名，该方法可包括，例如通过使用概率推理模块132的阈值处理来确定在映射至未知 IP地址的域名中是否超过预定百分比的域名处于经核准域名列表120中。确定在映射至 未知IP地址的域名中是否超过预定百分比的域名处于经核准域名列表120中还可包括 通过考虑所接收的多个域名104的总数并且考虑用于表示所接收的多个域名104至所接 收的多个IP地址106的映射的二分图114中的节点的所有分数的平均值，来计算与映射 至未知IP地址的域名有关的经调节分数，并且将所计算的经调节分数与阈值比较，以 确定未知IP地址是否被指定为经核准的或指定为未经核准的。

在框312，该方法可包括：响应于确定在映射至未知IP地址的域名中超过预定百分 比的域名处于经核准域名列表120中，将该未知IP地址指定为经核准的，并且将该未知 IP地址分配给经核准IP地址列表122。

在框314，该方法可包括：响应于确定在映射至未知IP地址的域名中小于或等于预 定百分比的域名处于经核准域名列表120中，将该未知IP地址指定为未经核准，并且将 该未知IP地址分配给未经核准IP地址列表130。

根据示例，针对所接收的多个域名104中的未知域名和映射至该未知域名的IP地 址，方法300可包括确定在映射至未知域名的IP地址中是否超过预定百分比的IP地址在 经核准IP地址列表122中。方法300可包括：响应于确定在映射至未知域名的IP地址中 超过预定百分比的IP地址处于经核准IP地址列表122中，将该未知域名指定为经核准， 并且将该未知域名分配给经核准域名列表120。方法300可包括：响应于确定出在映射 至未知域名的IP地址中小于或等于预定百分比的IP地址处于经核准IP地址列表122中， 将该未知域名指定为未经核准，并且将该未知域名分配给未经核准域名列表128。确定 在映射至未知域名的IP地址中是否超过预定百分比的IP地址处于经核准IP地址列表 122中还可进一步包括通过考虑所接收的多个IP地址106的总数并且考虑用于表示所接 收的多个域名104至所接收的多个IP地址106的映射的二分图114中的节点的所有分数 的平均值，来计算与映射至未知域名的IP地址有关的经调节分数，并且将所计算的经 调节分数与阈值比较，以确定未知域名是否被指定为经核准的或指定为未经核准的。

根据示例，方法300还包括分配可信区间，用于未知IP地址作为经核准的或未经核 准的指定，并且确定该可信区间是否大于预定可信区间阈值。方法300可以包括：响应 于确定该可信区间大于预定的可信区间阈值，将未知IP地址指定为未知。方法300可以 包括：响应于确定该可信区间小于或等于预定的可信区间阈值，基于确定出在映射至 未知IP地址的域名中超过或小于或等于预定百分比的域名处于经核准域名列表120中， 来将未知IP地址指定为经核准的或未经核准的。

根据示例，方法300可包括分配可信区间，用于未知域名作为经核准的或未经核准 的指定，并且确定该可信区间是否大于预定可信区间阈值。方法300可以包括：响应于 确定该可信区间大于预定的可信区间阈值，将未知域名指定为未知。方法300可以包括： 响应于确定该可信区间小于或等于预定可信区间阈值，基于确定在映射至未知域名的 IP地址中超过或小于或等于预定百分比的IP地址处于经核准IP地址列表122中，来将未 知域名指定为经核准的或未经核准的。

根据示例，方法300可包括：例如通过使用映射时间识别模块110来标记与多个域 名104的接收和多个IP地址106的接收相关联的时间，并且确定与多个域名104的接收和 多个IP地址106的接收相关联的时间是否超过基于当前时间的预定时间间隔。该方法 300可包括：响应于确定出与多个域名104的接收和多个IP地址106的接收相关联的时间 超过基于当前时间的预定时间间隔，更新所接收的多个域名104至所接收的多个IP地址 106的映射。该方法300可包括：响应于确定出与多个域名104的接收和多个IP地址106 的接收相关联的时间小于或等于基于当前时间的预定时间间隔，在更新所接收的多个 域名104至所接收的多个IP地址106的映射之前，等待与多个域名104的接收和多个IP地 址106的接收相关联的时间超过预定时间间隔。

参考图4，对于方法400，在框402，该方法可包括接收多个域名104和多个IP地址 106。

在框404，该方法可包括确定所接收的多个域名104至所接收的多个IP地址106的映 射。

在框406，该方法可包括生成包括所接收的多个域名104至所接收的多个IP地址106 的映射的二分图114。

在框408，该方法可包括将第一概率值分配给二分图114的经核准域名和经核准IP 地址。第一概率值可小于1.0，以考虑与经核准域名和经核准IP地址的经核准状态有关 的误算。

在框410，该方法可包括将第二概率值分配给二分图114的未经核准域名和未经核 准IP地址。第二概率值可以是1.0减去第一概率值。

在框412，该方法可包括使用边际概率估计技术，来确定所接收的多个域名104的 未知域名和所接收的多个IP地址106的未知IP地址的概率。使用边际概率估计技术来确 定所接收的多个域名104的未知域名和所接收的多个IP地址106的未知IP地址的概率还 可包括：响应于确定出二分图不包括循环，使用第一概率值和第二概率值以通过对第 一概率值和第二概率值的求和，来确定所接收的多个域名104的未知域名和所接收的多 个IP地址106的未知IP地址的边际概率。

在框414，该方法可包括使用所确定的未知域名和未知IP地址的概率来将未知域名 和未知IP地址识别为经核准的或未经核准的。

根据示例，方法400可以包括使用置信传播来确定所接收的多个域名104的未知域 名和所接收的多个IP地址106的未知IP地址的概率。

根据示例，方法400可以包括使用D-S处理来确定所接收的多个域名104的未知域名 和所接收的多个IP地址106的未知IP地址的概率。

根据示例，方法400可包括(例如，通过使用映射时间识别模块110)标记与多个 域名104的接收和多个IP地址106的接收相关联的时间，并且确定与多个域名104的接收 和多个IP地址106的接收相关联的时间是否超过基于当前时间的预定时间间隔。该方法 400可包括：响应于确定出与多个域名104的接收和多个IP地址106的接收相关联的时间 超过基于当前时间的预定时间间隔，更新二分图114以更新所接收的多个域名104至所 接收的多个IP地址106的映射。该方法400可包括：响应于确定出与多个域名104的接收 和多个IP地址106的接收相关联的时间小于或等于基于当前时间的预定时间间隔，在更 新二分图114以更新所接收的多个域名104至所接收的多个IP地址106的映射之前，等待 与多个域名104的接收和多个IP地址106的接收相关联的时间超过预定时间间隔。

根据示例，用于域名和IP地址经核准和未经核准隶属度推理的方法可包括接收多 个域名104和多个IP地址106。该方法还包括(例如，通过使用DNS服务器108)确定所 接收的多个域名104至所接收的多个IP地址104的映射，并且生成包括所接收的多个域 名104至所接收的多个IP地址106的映射的二分图114。该方法还包括(例如，通过使用 经核准列表概率赋值模块116)将第一概率值分配给二分图114的经核准域名和经核准 IP地址，并且(例如，通过使用未经核准列表概率赋值模块124)将第二概率值分配给 二分图114的未经核准域名和未经核准IP地址。边际概率估计技术可用于确定所接收的 多个域名104的未知域名和所接收的多个IP地址106的未知IP地址的概率。所确定的未 知域名和未知IP地址的概率可用于将未知域名和未知IP地址识别为经核准的或未经核 准的。该方法还可以包括(例如，通过使用映射时间识别模块110)标记与多个域名104 的接收和多个IP地址106的接收相关联的时间，并且确定与多个域名104的接收和多个 IP地址106的接收相关联的时间是否超过基于当前时间的预定时间间隔。响应于确定出 与多个域名104的接收和多个IP地址106的接收相关联的时间超过基于当前时间的预定 时间间隔，可以更新对所接收的多个域名104至所接收的多个IP地址106的映射的确定。 此外，针对二分图114中的映射已改变的节点，可以更新对未知域名和未知IP地址的概 率的确定，而针对二分图114中的映射未改变的节点，不更新对未知域名和未知IP地址 的概率的确定。

图5示出了可与本文所描述的示例一起使用的计算机系统500。计算机系统可表示 包括可位于服务器或其他计算机系统中的部件的通用平台。计算机系统500可用作装置 100的平台。计算机系统500可通过处理器(例如，单个或多个处理器)或其他硬件处 理电路来执行本文所述的方法、功能以及其他处理。这些方法、功能以及其他处理可 体现为被存储在计算机可读介质上的机器可读指令，该计算机可读介质可以是非暂时 性的，例如硬件存储设备(例如，RAM(随机存储器))，ROM(只读存储器)、 EPROM(可擦除可编程ROM)、EEPROM(电可擦除可编程ROM)、硬驱动以及闪 存)。

计算机系统500可包括可执行或实现执行本文所描述的方法、功能以及其他处理中 的一些或全部的机器可读指令的处理器502。来自处理器502的命令和数据可通过通信 总线504传输。计算机系统还可以包括：主存储器506，例如随机存取存储器(RAM)， 其中在运行期间其上可驻留用于处理器502的机器可读指令和数据；以及第二数据存储 器508，其可以是非易失性的并且存储机器可读指令和数据。存储器和数据存储器是计 算机可读介质的示例。存储器506可包括域名和IP地址经核准和未经核准隶属度推理模 块520，该模块包括在运行期间驻留在存储器506中并且由处理器502执行的机器可读指 令。域名和IP地址经核准和未经核准隶属度推理模块520可包括图1中所示的装置100 的模块。

计算机系统500可包括I/O设备510，例如键盘、鼠标、显示器等。计算机系统可包 括用于连接至网络的网络接口512。可在计算机系统中添加或替换其他已知电子部件。

本文所描述并且图示的内容以及其某些变化是示例性的。本文所使用的术语、描 述和附图仅以例示的方式给出并且并不意味着限制。在主题的思想和范围内可以存在 各种变化，主题的范围旨在由以下权利要求和其等价物的限制，其中所有术语意思为 其最广泛合理的含义，除非另外指出。