一种恶意域名确定方法、装置、设备及介质与流程

1.本技术涉及数据安全技术领域，尤其涉及一种恶意域名确定方法、装置、设备及介质。


背景技术：

2.随着社会的发展，恶意域名的出现也越来越频繁，恶意域名是指一类具有恶意链接的网址，这种网址通常利用应用软件或浏览器的漏洞，在网站内植入木马、病毒程序等恶意代码，并利用伪装的网站服务内容来诱导用户访问，用户若操作计算机访问这些网站，就有可能“中招”，导致计算机被恶意代码感染，进而引发安全问题。
3.以恶意域名的攻击方式，将恶意域名链接的网页分为两类：钓鱼网站和恶意软件网站。钓鱼网站是指伪装成银行或网上商店等合法机构网站的一类网站，它试图诱骗用户在其网站中输入用户名、密码或其他私人信息，这类网站对个人隐私和财产安全可造成一定威胁。恶意软件网站包含恶意代码，通过在用户计算机上安装恶意软件，黑客可利用该软件来获取和传输用户的隐私或敏感信息。
4.现有仅知道国内外几个知名的恶意网络互连协议(internet protocol，ip)地址及知名的恶意域名，现有技术中确定恶意域名的方式只是采用知名的恶意ip地址及知名的恶意域名，进行匹配来确定恶意域名，此种方式所确定出的恶意域名并不准确。


技术实现要素：

5.本技术实施例提供了一种恶意域名确定方法、装置、设备及介质，用以提高恶意域名确定的准确性。
6.第一方面，本技术实施例提供了一种恶意域名确定方法，所述方法包括：
7.根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定每个候选ip地址；
8.针对所述每个候选ip地址，获取预设时间段内该候选ip地址的网络流(netflow)数据对应的预设类型的子数据，通过嵌入式(embedded)方法，提取该预设特征类型的子数据中异常的子数据对应的特征类型，将所述特征类型输入预先训练完成的识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址；
9.根据预先保存的域名与ip地址的对应关系，将所确定的每个恶意ip地址对应的每个域名，确定为恶意域名。
10.进一步地，所述根据预先保存的黑名单中的ip地址，确定每个候选ip地址包括：
11.根据预先保存的域名解析协议dns日志中的域名与ip地址的对应关系，确定预先保存的黑名单中的ip地址对应的每个候选域名，确定所述每个候选域名对应的每个候选ip地址。
12.进一步地，所述根据预先保存的黑名单中的域名，确定每个候选ip地址包括：
13.根据预先保存的dns日志中的域名与ip地址的对应关系，确定黑名单中的域名对应的每个候选ip地址。
14.进一步地，所述方法还包括：
15.针对每个候选ip地址循环执行以下步骤：
16.确定每个候选ip地址，对应的每个域名；
17.将所述每个域名对应的ip地址确定为候选ip地址；
18.直至获取到的每个域名对应的ip地址均为候选ip地址，或每个候选ip地址对应的域名均被获取到。
19.进一步地，所述确定每个候选ip地址之后，所述将所述特征类型输入识别模型中，获取所述识别模型输出的，该候选ip地址是否为恶意ip地址之前，所述方法还包括：
20.针对每个候选ip地址，将该候选ip地址对应的域名的数量，确定为第一数量，并获取该候选ip地址对应的域名作为目标域名，确定所述目标域名对应的每个ip地址，统计所述每个ip地址存在于所述黑名单中的第二数量；
21.根据所述第二数量与所述第一数量的比值，确定该候选ip地址为恶意ip地址的置信度；
22.所述将所述特征类型输入识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址包括：
23.将该候选ip地址对应的置信度及所述特征类型输入识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址。
24.第二方面，本技术实施例还提供了一种恶意域名确定装置，所述装置包括：
25.确定模块，用于根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定每个候选ip地址；
26.处理模块，用于针对所述每个候选ip地址，获取预设时间段内该候选ip地址的网络流netflow数据对应的预设类型的子数据，通过嵌入式embedded方法，提取该预设特征类型的子数据中异常的子数据对应的特征类型，将所述特征类型输入预先训练完成的识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址；
27.所述确定模块，还用于根据预先保存的域名与ip地址的对应关系，将所确定的每个恶意ip地址对应的每个域名，确定为恶意域名。
28.进一步地，所述确定模块，具体用于根据预先保存的域名解析协议dns日志中的域名与ip地址的对应关系，确定预先保存的黑名单中的ip地址对应的每个候选域名，确定所述每个候选域名对应的每个候选ip地址。
29.进一步地，所述确定模块，具体用于根据预先保存的dns日志中的域名与ip地址的对应关系，确定黑名单中的域名对应的每个候选ip地址。
30.进一步地，所述确定模块，还用于针对每个候选ip地址循环执行以下步骤：确定每个候选ip地址，对应的每个域名；将所述每个域名对应的ip地址确定为候选ip地址；直至获取到的每个域名对应的ip地址均为候选ip地址，或每个候选ip地址对应的域名均被获取到。
31.进一步地，所述处理模块，还用于针对每个候选ip地址，将该候选ip地址对应的域名的数量，确定为第一数量，并获取该候选ip地址对应的域名作为目标域名，确定所述目标域名对应的每个ip地址，统计所述每个ip地址存在于所述黑名单中的第二数量；根据所述第二数量与所述第一数量的比值，确定该候选ip地址为恶意ip地址的置信度；
32.所述处理模块，具体用于将该候选ip地址对应的置信度及所述特征类型输入识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址。
33.第三方面，本技术实施例还提供了一种电子设备，所述电子设备至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时执行上述任一项所述恶意域名确定方法的步骤。
34.第四方面，本技术实施例还提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时执行上述任一项所述恶意域名确定方法的步骤。
35.在本技术实施例中，电子设备根据预先保存的黑名单中的ip地址及黑名单中的域名，确定每个候选ip地址，在确定每个候选ip地址后，电子设备针对所确定的每个候选ip地址，获取预设时间段内该候选ip地址的netflow数据对应的预设类型的子数据，通过embedded方法，提取该候选ip地址对应的预设类型的子数据异常的子数据对应的特征类型，将该特征类型输入预先训练完成的识别模型中，获取识别模型输出的该候选ip地址是否为恶意ip地址。在获取到每个恶意ip地址后，电子设备根据预先保存的域名与ip地址的对应关系，将所确定的每个恶意ip地址对应的每个域名，确定为恶意域名。由于在本技术实施例中，电子设备根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定每个候选ip地址，在确定每个候选ip地址后，电子设备获取预设时间段内候选ip地址的netflow数据对应的预设类型的子数据，并通过embedded方法，提取候选ip地址对应的预设类型的子数据中，异常的子数据对应的特征类型，将特征类型输入预先训练完成的识别模型中，获取识别模型输出的该候选ip地址是否为恶意ip地址，从而避免了恶意ip地址的误识别，并根据预先保存的域名与ip地址的对应关系，将每个恶意ip地址对应的每个域名，确定为恶意域名，从而提高恶意域名确定的准确性。
附图说明
36.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
37.图1为本技术实施例提供的一种恶意域名确定过程示意图；
38.图2为本技术实施例提供的一种黑名单中的ip地址示意图；
39.图3为本技术实施例提供的一种确定候选ip地址的过程示意图；
40.图4为本技术实施例提供的一种对原始识别模型训练的过程示意图；
41.图5为本技术实施例提供的一种确定恶意域名的详细示意图；
42.图6为本技术实施例提供的一种恶意域名确定装置结构示意图；
43.图7为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
44.下面将结合附图对本技术作进一步地详细描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
45.在本技术实施例中，电子设备根据预先保存的黑名单中的ip地址及黑名单中的域名，确定每个候选ip地址，在确定每个候选ip地址后，电子设备针对所确定的每个候选ip地址，获取预设时间段内该候选ip地址的netflow数据对应的预设类型的子数据，通过embedded方法，提取该候选ip地址对应的预设类型的子数据异常的子数据对应的特征类型，将该特征类型输入预先训练完成的识别模型中，获取识别模型输出的该候选ip地址是否为恶意ip地址。在获取到每个恶意ip地址后，电子设备根据预先保存的域名与ip地址的对应关系，将所确定的每个恶意ip地址对应的每个域名，确定为恶意域名。
46.为了准确地确定恶意域名，本技术实施例提供了一种恶意域名确定方法、装置、设备及介质。
47.实施例1：
48.图1为本技术实施例提供的一种恶意域名确定过程示意图，该过程包括以下步骤：
49.s101：根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定每个候选ip地址。
50.本技术实施例提供的恶意域名确定方法应用于电子设备，该电子设备可以为pc或服务器等设备。
51.在本技术实施例中，为了确定恶意域名，电子设备中预先保存有黑名单，黑名单中包括ip地址及域名，其中，黑名单中包括的ip地址及域名为国内外知名且相对固定的恶意ip地址，及国内外知名且相对固定的恶意域名。电子设备可以根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定可能为恶意ip地址的每个候选ip地址。其中，黑名单中包括的ip地址的数量并不固定，可能包含一个，也可能不止一个，黑名单中包括的域名的数量也并不固定。在本技术实施例中可以将黑名单中的ip地址及域名称为精准威胁情报种子数据。
52.在本技术实施例中，电子设备本地可以保存有ip地址与域名的对应关系，根据本地保存的ip地址与域名的对应关系，确定黑名单中的ip地址及域名对应的每个候选ip地址，值得说明的是，某一个ip地址可能对应多个域名，也可能不存在对应的域名，某一个域名可能对应多个ip地址，也可能不存在对应的ip地址。具体的，电子设备可以确定黑名单中的域名对应的每个ip地址为候选ip地址，并确定黑名单中的ip地址对应的每个域名，将该每个域名对应的ip地址确定为候选ip地址。
53.例如，黑名单中的域名包括a.b.com，并且a.b.com对应的ip地址为1.1.1.2和1.1.1.3，则1.1.1.2和1.1.1.3这两个ip地址即为候选ip地址。
54.s102：针对所述每个候选ip地址，获取预设时间段内该候选ip地址的netflow数据对应的预设类型的子数据，通过embedded方法，提取该预设类型的子数据中异常子数据对应的特征类型，将所述特征类型输入预先训练完成的识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址。
55.在获取到每个候选ip地址后，电子设备确定该每个候选ip地址是否为恶意ip地址。具体的，电子设备针对获取到的每个候选ip地址，获取预设时间段内该候选ip地址的netflow数据，并获取该netflow数据对应的预设类型的子数据，其中，所获取的预设类型的子数据可以为上下行流量包比例、常用端口、对端通信端口范围以及上行数据包字节数等中的一个或几个，其中。在本技术实施例中，如何获取预设时间段内某一ip地址的netflow
数据为现有技术，在此不再赘述。
56.其中，netflow数据中包括不同的特征类型，及各特征类型对应的子数据，在本技术实施例中，电子设备可以获取netflow数据中对应的类型为预设类型的子数据。例如预设类型为上下行流量包比例，则电子设备可以在获取到的netflow数据中，获取对应的类型为上下行流量包比例的子数据，该子数据可以为具体的比例值。例如预设类型为常用端口，则电子设备可以在获取到的netflow数据中，获取对应的类型为常用端口的子数据，该子数据为具体的端口。例如预设类型为对端通信端口范围，则电子设备可以在获取到的netflow数据中，获取对应的类型为对端通信端口范围的子数据，该子数据为具体的端口范围。
57.在获取到预设时间段内每个候选ip地址的netflow数据对应的预设类型的子数据后，电子设备可以针对每个候选ip地址，通过embedded方法，提取该候选ip地址对应的预设类型的子数据中，异常的子数据对应的特征类型。例如，所提取出的特征类型可以为上下行流量包比例，在本技术实施例中，通过embedded方法，在几个类型的子数据中提取异常的子数据对应的特征类型为现有技术，在此不再赘述。其中，所确定出的特征类型可以为上下行流量包比例、常用端口、对端通信端口范围及上行数据包字节数中一个或几个。
58.在本技术实施例中，为了进一步确定候选ip地址是否为恶意ip地址，电子设备中预先保存有预先训练完成的识别模型，电子设备针对每个候选ip地址，在确定该候选ip地址的异常子数据对应的特征类型后，将该候选ip地址对应的特征类型输入该识别模型中，获取该识别模型的输出，该识别模型的输出即为该候选ip地址是否为恶意ip地址。通过该方式电子设备即可确定出每个候选ip地址中的恶意ip地址。
59.例如，所获取到的候选ip地址包括1.1.1.1、1.1.1.2、1.1.1.3，则电子设备分别获取预设时间段内1.1.1.1、1.1.1.2、1.1.1.3对应的上下行流量包比例的子数据、常用端口的子数据、对端通信端口范围的子数据、上行数据包字节数的子数据，并通过embedded方法提取获取到的子数据中异常的子数据对应的特征类型，针对该每个候选ip地址，将该候选ip地址对应的特征类型输入预先训练完成的识别模型中，获取识别模型该识别模型输出的该候选ip地址是否为恶意ip地址。
60.在本技术实施例中，仅获取到候选ip地址是不够的，需要结合预设类型的子数据进行辅助研判，本技术实施例中，获取候选ip地址对应的预设类型的子数据，并利用embedded方法进行特征筛选，获取对应的特征类型，并通过预先训练完成的识别模型，进一步识别候选ip地址是否为恶意ip地址，从而可以提高恶意ip地址识别的准确性。
61.s103：根据预先保存的域名与ip地址的对应关系，将所确定的每个恶意ip地址对应的每个域名，确定为恶意域名。
62.在本技术实施例中，电子设备中预先保存有域名与ip地址的对应关系，电子设备在确定每个恶意ip地址后，针对每个恶意ip地址，根据预先保存的域名与ip地址的对应关系，确定该恶意ip地址对应的每个域名为恶意域名，通过该方式，电子设备即可确定出每个恶意ip地址对应的恶意域名。
63.由于在本技术实施例中，电子设备根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定每个候选ip地址，在确定每个候选ip地址后，电子设备获取预设时间段内候选ip地址的netflow数据对应的预设类型的子数据，并通过embedded方法，提取候选ip地址对应的预设类型的子数据中，异常的子数据对应的特征类型，将特征类型输入预先训练完
成的识别模型中，获取识别模型输出的该候选ip地址是否为恶意ip地址，从而避免了恶意ip地址的误识别，并根据预先保存的域名与ip地址的对应关系，将每个恶意ip地址对应的每个域名，确定为恶意域名，从而提高恶意域名确定的准确性。
64.实施例2：
65.为了确定每个候选ip地址，在上述各实施例的基础上，在本技术实施例中，所述根据预先保存的黑名单中的ip地址，确定每个候选ip地址包括：
66.根据预先保存的域名解析协议(domain name system，dns)日志中的域名与ip地址的对应关系，确定预先保存的黑名单中的ip地址对应的每个候选域名，将所述每个候选域名对应的ip地址确定为候选ip地址。
67.在实际应用场景中，域名与ip地址的对应关系中，某一域名可能对应多个ip地址，某一ip地址可能对应多个域名，具体若恶意域名对应单一ip地址，则该单一ip地址可能被拦截，导致恶意域名无法被访问，恶意域名会对应多个ip地址，并且通常为了防止恶意域名被检测到，违规方会通过域名生成(domain generation algorithm，dga)算法等方式不断生成新的域名，从而使得某一ip地址对应的多个域名均为恶意域名。在本技术实施例中，电子设备可以确定黑名单中的ip地址对应的每个候选域名，并将每个候选域名对应的ip地址均确定为候选ip地址。
68.具体在本技术实施例中，电子设备中预先保存有dns日志，dns日志中保存有域名与ip地址的对应关系，电子设备根据dns日志中的域名与ip地址的对应关系，确定黑名单中的ip地址对应的每个域名为候选域名，该步骤可以被称为ip dns日志反解，在获取到每个候选域名后，电子设备可以针对获取到的每个候选域名，根据dns日志中保存的域名与ip地址的对应关系，确定该候选域名对应的每个ip地址为候选ip地址，通过该方式电子设备即可确定出该每个候选域名对应的每个候选ip地址，该步骤可以被称为域名dns日志解析，该每个候选ip地址可能是恶意ip地址。
69.具体在本技术实施例中，在获取到每个候选ip地址后，由于黑名单中的ip地址为恶意ip地址，因此无需对黑名单中的ip地址进行是否为恶意ip地址的确定，因此在本技术实施例中，将候选ip地址中存在于黑名单中的ip地址删除。
70.例如，黑名单中的ip地址包括1.1.1.1，获取到的该ip地址对应的每个域名为a.b.com和c.b.com，a.b.com对应的ip地址为1.1.1.1和1.1.1.2，c.b.com对应的ip地址1.1.1.1和1.1.1.3，则对应的候选ip地址为1.1.1.2和1.1.1.3。
71.图2为本技术实施例提供的一种黑名单中的ip地址示意图。
72.由图2可知，黑名单中保存有ip地址，并且黑名单中可以保存有不止一个ip地址。
73.其中，在本技术实施例中，在确定每个恶意ip地址后，电子设备可以是根据dns日志中域名与ip地址的对应关系，确定每个恶意ip地址对应的每个域名为恶意域名。
74.实施例3：
75.为了准确地确定每个候选ip地址，在上述各实施例的基础上，在本技术实施例中，所述根据预先保存的黑名单中的域名，确定每个候选ip地址包括：
76.根据预先保存的dns日志中的域名与ip地址的对应关系，确定黑名单中的域名对应的每个候选ip地址。
77.在本技术实施例中，电子设备针对黑名单中的每个域名，在预先保存的dns日志中
域名与ip地址的对应关系中，确定该域名对应的每个ip地址为候选ip地址，电子设备通过该方式即可确定黑名单中每个域名对应的候选ip地址。
78.在本技术实施例中，黑名单中的域名对应的每个候选ip地址中，可能存在与黑名单中的ip地址相同的ip地址，由于黑名单中的ip地址本身就是恶意ip地址，为了节省时间，提高效率，无需再进行是否为恶意ip地址的确定，因此在获取到每个候选ip地址后，电子设备可以针对每个候选ip地址，若该候选ip地址与黑名单中某一ip地址相同，则将该候选ip地址从候选ip地址中删除。
79.实施例4：
80.为了提高恶意ip地址确定的准确性，在上述各实施例的基础上，在本技术实施例中，所述方法还包括：
81.针对每个候选ip地址循环执行以下步骤：
82.确定每个候选ip地址，对应的每个域名；
83.将所述每个域名对应的ip地址确定为候选ip地址；
84.直至获取到的每个域名对应的ip地址均为候选ip地址，或每个候选ip地址对应的域名均被获取到。
85.在实际应用场景中，某些恶意ip地址可能对应并非恶意的域名，因此需要利用dns日志反复解析获取每个候选ip地址。为了防止某一候选ip地址未被获取到，导致存在某些恶意ip地址未被获取到，在本技术实施例中，在获取到候选ip地址后，针对所确定的每个候选ip地址循环执行以下步骤：根据预先保存的dns日志中域名与ip地址的对应关系，确定每个候选ip地址对应的每个域名，根据dns日志中域名与ip地址的对应关系，确定该每个域名对应的ip地址为候选ip地址，判断获取到的每个域名对应的ip地址是否均为候选ip地址，或每个候选ip地址对应的域名均被获取到，若该每个域名对应的ip地址均为候选ip地址，或每个候选ip地址对应的域名均被获取到，则无需继续确定候选ip地址，若获取到的每个域名对应的任一ip地址不是候选ip地址，则将该ip地址确定为候选ip地址，并确定该ip地址对应的每个域名；若存在所确定的某一候选ip地址对应的某一域名未被获取到，则确定该域名对应的每个ip地址，确定该每个ip地址中是否存在并非候选ip地址的ip地址。
86.以黑名单中某一域名为a.b.com为例，通过dns日志反复对该域名进行解析，第一次a.b.com解析，获取到该域名对应ip地址为1.1.1.1和1.1.1.2，利用这两个ip反解析得到对应域名为a.b.com和c.b.com，由于c.b.com为新增的域名，继续使用dns日志对c.b.com进行解析，得到1.1.1.2和1.1.1.3，由于1.1.1.3为新增的ip地址，继续对该ip地址进行反解析，得到对应的域名a.b.com和c.b.com，无新增域名出现，则无需继续确定，则所确定出的候选ip地址为1.1.1.1、1.1.1.2和1.1.1.3。
87.图3为本技术实施例提供的一种确定候选ip地址的过程示意图，该过程包括以下步骤：
88.其中，图3中为确定黑名单中某一域名对应的每个候选ip地址的过程示意图。
89.s301：确定该域名对应的每个ip地址为候选ip地址。
90.s302：确定每个候选ip地址对应的域名。
91.s303：确定每个域名对应的每个ip地址。
92.s304：判断该每个ip地址是否均为候选ip地址，若是，则执行s305，若否，则执行
s306。
93.s305：结束。
94.s306：将该每个ip地址均确定为候选ip地址，并获取新增的每个新增候选ip地址。
95.s307：确定每个新增候选ip地址对应的每个域名。
96.s308：判断该每个域名是否存在新增的域名，若是，则执行s303，若否，则执行s305。
97.实施例5：
98.为了提高恶意ip地址确定的准确性，在上述各实施例的基础上，在本技术实施例中，所述确定每个候选ip地址之后，所述将所述特征类型输入识别模型中，获取所述识别模型输出的，该候选ip地址是否为恶意ip地址之前，所述方法还包括：
99.针对每个候选ip地址，将该候选ip地址对应的域名的数量，确定为第一数量，并获取该候选ip地址对应的域名作为目标域名，确定所述目标域名对应的每个ip地址，统计所述每个ip地址存在于所述黑名单中的第二数量；
100.根据所述第二数量与所述第一数量的比值，确定该候选ip地址为恶意ip地址的置信度；
101.所述将所述特征类型输入识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址包括：
102.将该候选ip地址对应的置信度及所述特征类型输入识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址。
103.在本技术实施例中，若仅将某一候选ip地址对应的特征类型输入识别模型中，获取识别模型输出的该候选ip地址是否为恶意ip地址，则识别模型输出的结果可能不够准确。因此在本技术实施例中，电子设备针对每个候选ip地址，根据该候选ip地址对应的域名的数量确定该候选ip地址对应的置信度，将该候选ip地址对应的置信度及该候选ip地址对应的特征类型输入识别模型中，从而进一步提高识别模型确定该ip地址是否为恶意ip地址的准确性。
104.在本技术实施例中，电子设备在获取到每个候选ip地址后，针对获取到的每个候选ip地址，根据dns日志中域名与ip地址的对应关系，确定该候选ip地址对应的每个域名，并将该每个域名的数量确定为第一数量，电子设备还将该每个域名作为目标域名，根据dns日志中域名与ip地址的对应关系，确定该每个目标域名对应的每个ip地址，确定该每个ip地址存在于黑名单中的数量为第二数量，在确定第一数量及第二数量之后，电子设备可以获取第二数量与第一数量的比值，电子设备可以将该比值确定为该候选ip地址对应的置信度，也可以将该比值与预设数值的乘积确定为该候选ip地址对应的置信度。在本技术实施例中，该第二数量越大，则说明该候选ip地址对应的每个目标域名，对应的黑名单中的ip地址的数量越多，则说明该候选ip地址为恶意ip地址的可能性越大，且对应的置信度越大，因此通过置信度可以增加识别模型识别ip地址是否为恶意ip地址的准确性。
105.其中，电子设备某一候选ip地址对应的置信度的公式为：
106.score＝100*(cevil/ctotal)
107.其中，score指的是候选ip地址对应的置信度，100指的是预设数值，cevil指的是第二数量，ctotal指的是第一数量。
108.针对每个候选ip地址，电子设备在获取到该候选ip地址为恶意ip地址对应的置信度，及该候选ip地址对应的特征类型之后，将该候选ip地址对应的置信度及特征类型输入预先训练完成的识别模型中，获取该识别模型的输出，该识别模型的输出即为该候选ip地址是否为恶意ip地址。
109.在本技术实施例中，电子设备在通过预先训练完成的识别模型确定候选ip地址是否为恶意ip地址时，通过候选ip地址对应的置信度及特征类型进行确定，从而提高了输入的信息的多样性，进一步提高模型识别的准确性。
110.在本技术实施例中，在对该识别模型进行训练时，电子设备中预先保存有样本集，样本集中保存有多个ip地址，并针对每个ip地址标注有其是否为恶意ip地址，电子设备针对该样本集中的每个ip地址，获取预设时间段内该ip地址对应的预设类型的子数据，通过embedding方法，提取预设类型的子数据中异常的子数据对应的特征类型，并确定该ip地址对应的域名的第三数量，确定该ip地址对应的每个域名，确定该每个域名对应的每个ip地址，统计该每个ip地址存在于黑名单中的第四数量，根据该第四数量与第三数量的比值确定该ip地址为恶意ip地址的置信度，将该置信度及该特征类型输入原始识别模型中，获取原始识别模型输出的该ip地址是否为恶意ip地址，根据原始识别模型输出的结果，及预先针对该ip地址标注的其是否为恶意ip地址对该原始识别模型进行训练。
111.对识别模型采用上述方式进行训练，当满足预设的条件时，得到训练完成的识别模型。其中，该预设的条件可以是，样本集中的ip地址对应的特征类型及置信度通过原始识别模型训练后得到的训练结果及标注的ip地址是否为恶意ip地址的结果一致的数量大于设定数量；也可以是对原始识别模型进行训练的迭代次数达到设置的最大迭代次数等。具体的，本技术实施例对此不做限制。
112.图4为本技术实施例提供的一种对原始识别模型训练的过程示意图。
113.由图4可知，在对原始识别模型进行训练时，保存有样本集，其中每个ip地址对应保存有其是否为恶意ip地址，电子设备针对样本集中的每个ip地址，分别确定对应的特征类型及置信度，将对应的特征类型及置信度输入原始识别模型中，获取原始识别模型输出的结果，根据原始识别模型输出的结果及针对每个ip地址保存的其是否为恶意ip地址，对原始识别模型进行训练。
114.图5为本技术实施例提供的一种确定恶意域名的详细示意图，该过程包括以下步骤：
115.其中，图5中以先确定候选ip地址对应的置信度，后确定ip地址对应的特征类型为例进行说明。
116.s501：根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定每个候选ip地址。
117.s502：针对每个候选ip地址，将该候选ip地址对应的域名的数量，确定为第一数量，并获取该候选ip地址对应的域名作为目标域名，确定目标域名对应的每个ip地址，统计每个ip地址存在于黑名单中的第二数量。
118.s503：针对每个候选ip地址，确定该候选ip地址对应的第二数量与第一数量的比值，为该候选ip地址对应的置信度。
119.s504：获取预设时间段内每个候选ip地址对应的预设类型的子数据。
120.s505：通过embedded方法，提取每个候选ip地址对应的预设特征类型的子数据中异常的子数据对应的特征类型。
121.s506：针对每个候选ip地址，将该候选ip地址对应的特征类型输入预先训练完成的识别模型中，获取识别模型输出的该候选ip地址是否为恶意ip地址。
122.s507：根据dns日志中域名与ip地址的对应关系，确定每个恶意ip地址对应的每个恶意域名。
123.实施例6：
124.图6为本技术实施例提供的一种恶意域名确定装置结构示意图，该装置包括：
125.确定模块601，用于根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定每个候选ip地址；
126.处理模块602，用于针对所述每个候选ip地址，获取预设时间段内该候选ip地址的网络流netflow数据对应的预设类型的子数据，通过嵌入式embedded方法，提取该预设特征类型的子数据中异常的子数据对应的特征类型，将所述特征类型输入预先训练完成的识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址；
127.所述确定模块601，还用于根据预先保存的域名与ip地址的对应关系，将所确定的每个恶意ip地址对应的每个域名，确定为恶意域名。
128.在一种可能的实施方式中，所述确定模块601，具体用于根据预先保存的域名解析协议dns日志中的域名与ip地址的对应关系，确定预先保存的黑名单中的ip地址对应的每个候选域名，确定所述每个候选域名对应的每个候选ip地址。
129.在一种可能的实施方式中，所述确定模块601，具体用于根据预先保存的dns日志中的域名与ip地址的对应关系，确定黑名单中的域名对应的每个候选ip地址。
130.在一种可能的实施方式中，所述确定模块601，还用于针对每个候选ip地址循环执行以下步骤：确定每个候选ip地址，对应的每个域名；将所述每个域名对应的ip地址确定为候选ip地址；直至获取到的每个域名对应的ip地址均为候选ip地址，或每个候选ip地址对应的域名均被获取到。
131.在一种可能的实施方式中，所述处理模块602，还用于针对每个候选ip地址，将该候选ip地址对应的域名的数量，确定为第一数量，并获取该候选ip地址对应的域名作为目标域名，确定所述目标域名对应的每个ip地址，统计所述每个ip地址存在于所述黑名单中的第二数量；根据所述第二数量与所述第一数量的比值，确定该候选ip地址为恶意ip地址的置信度；
132.所述处理模块602，具体用于将该候选ip地址对应的置信度及所述特征类型输入识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址。
133.实施例7：
134.在上述各实施例的基础上，图7为本技术实施例提供的一种电子设备的结构示意图，如图7所示，包括：处理器701、通信接口702、存储器703和通信总线704，其中，处理器701，通信接口702，存储器703通过通信总线704完成相互间的通信。
135.所述存储器703中存储有计算机程序，当所述程序被所述处理器701执行时，使得所述处理器701执行如下步骤：
136.根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定每个候选ip地址；
137.针对所述每个候选ip地址，获取预设时间段内该候选ip地址的netflow数据对应的预设类型的子数据，通过embedded方法，提取该预设特征类型的子数据中异常的子数据对应的特征类型，将所述特征类型输入预先训练完成的识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址；
138.根据预先保存的域名与ip地址的对应关系，将所确定的每个恶意ip地址对应的每个域名，确定为恶意域名。
139.进一步地，所述处理器701，具体用于根据预先保存的域名解析协议dns日志中的域名与ip地址的对应关系，确定预先保存的黑名单中的ip地址对应的每个候选域名，确定所述每个候选域名对应的每个候选ip地址。
140.进一步地，所述处理器701，具体用于根据预先保存的dns日志中的域名与ip地址的对应关系，确定黑名单中的域名对应的每个候选ip地址。
141.进一步地，所述处理器701，还用于针对每个候选ip地址循环执行以下步骤：
142.确定每个候选ip地址，对应的每个域名；
143.将所述每个域名对应的ip地址确定为候选ip地址；
144.直至获取到的每个域名对应的ip地址均为候选ip地址，或每个候选ip地址对应的域名均被获取到。
145.进一步地，所述处理器701，还用于针对每个候选ip地址，将该候选ip地址对应的域名的数量，确定为第一数量，并获取该候选ip地址对应的域名作为目标域名，确定所述目标域名对应的每个ip地址，统计所述每个ip地址存在于所述黑名单中的第二数量；
146.根据所述第二数量与所述第一数量的比值，确定该候选ip地址为恶意ip地址的置信度；
147.所述处理器701，具体用于将该候选ip地址对应的置信度及所述特征类型输入识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址。
148.上述服务器提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
149.通信接口702用于上述电子设备与其他设备之间的通信。
150.存储器可以包括随机存取存储器(random access memory，ram)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选地，存储器还可以是至少一个位于远离前述处理器的存储装置。
151.上述处理器可以是通用处理器，包括中央处理器、网络处理器(network processor，np)等；还可以是数字指令处理器(digital signal processing，dsp)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
152.实施例8：
153.在上述各实施例的基础上，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有可由电子设备执行的计算机程序，当所述程序在所述电子设备上运行时，使得所述电子设备执行时实现如下步骤：
154.所述存储器中存储有计算机程序，当所述程序被所述处理器执行时，使得所述处理器执行如下步骤：
155.根据预先保存的黑名单中的ip地址以及黑名单中的域名，确定每个候选ip地址；
156.针对所述每个候选ip地址，获取预设时间段内该候选ip地址的netflow数据对应的预设类型的子数据，通过embedded方法，提取该预设特征类型的子数据中异常的子数据对应的特征类型，将所述特征类型输入预先训练完成的识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址；
157.根据预先保存的域名与ip地址的对应关系，将所确定的每个恶意ip地址对应的每个域名，确定为恶意域名。
158.在一种可能的实施方式中，所述根据预先保存的黑名单中的ip地址，确定每个候选ip地址包括：
159.根据预先保存的域名解析协议dns日志中的域名与ip地址的对应关系，确定预先保存的黑名单中的ip地址对应的每个候选域名，确定所述每个候选域名对应的每个候选ip地址。
160.在一种可能的实施方式中，所述根据预先保存的黑名单中的域名，确定每个候选ip地址包括：
161.根据预先保存的dns日志中的域名与ip地址的对应关系，确定黑名单中的域名对应的每个候选ip地址。
162.在一种可能的实施方式中，所述方法还包括：
163.针对每个候选ip地址循环执行以下步骤：
164.确定每个候选ip地址，对应的每个域名；
165.将所述每个域名对应的ip地址确定为候选ip地址；
166.直至获取到的每个域名对应的ip地址均为候选ip地址，或每个候选ip地址对应的域名均被获取到。
167.在一种可能的实施方式中，所述确定每个候选ip地址之后，所述将所述特征类型输入识别模型中，获取所述识别模型输出的，该候选ip地址是否为恶意ip地址之前，所述方法还包括：
168.针对每个候选ip地址，将该候选ip地址对应的域名的数量，确定为第一数量，并获取该候选ip地址对应的域名作为目标域名，确定所述目标域名对应的每个ip地址，统计所述每个ip地址存在于所述黑名单中的第二数量；
169.根据所述第二数量与所述第一数量的比值，确定该候选ip地址为恶意ip地址的置信度；
170.所述将所述特征类型输入识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址包括：
171.将该候选ip地址对应的置信度及所述特征类型输入识别模型中，获取所述识别模型输出的该候选ip地址是否为恶意ip地址。
172.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机
可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
173.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
174.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
175.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
176.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。