设备类别的识别方法、装置及计算机可读存储介质与流程

1.本技术涉及网络技术领域，尤其涉及一种设备类别的识别方法、装置及计算机可读存储介质。


背景技术：

2.资产是对组织具有价值的信息或资源，是安全策略保护的对象。随着网络的普及和业务的发展，各行各业中催生了大量的网络资产，网络资产是指计算机网络或通讯网络中使用的各种设备，主要包括主机、网络设备(例如路由器和交换机)和安全设备(例如防火墙)等设备。
3.但是，由于不同类别的资产受到同等程度破坏时对网络造成的影响程度不同，因此需要准确地识别网络资产的类别，以便于对网络资产进行资产测绘，从而保证网络安全。


技术实现要素：

4.本技术提供一种设备类别的识别方法、装置及计算机可读存储介质，以期解决识别网络资产类别的问题。
5.第一方面，本技术提供一种设备类别的识别方法，包括：获取多条日志记录，所述多条日志记录中的每条日志记录包括请求访问的域名、请求地址、目的地址以及解析时间；其中，所述请求地址为请求访问所述域名的设备的地址，所述目的地址为解析所述域名的设备的地址；所述解析时间为获取到解析结果的时间，所述解析结果为对所述域名解析得到的地址；基于每条日志记录中域名、请求地址、目的地址和解析时间，识别每个地址对应的设备的设备类别，所述设备类别包括：域名服务器和访问终端；记录所述每条日志记录中的每个地址与设备类别的对应关系。
6.本技术中，通过分析获取的多条日志记录中每条日志记录中的域名、请求地址、目的地址以及解析时间，以确定请求地址以及目的地址对应的设备所属的设备类别，实现了对网络资产类别的准确识别，此外通过记录各地址与其对应的设备类别的对应关系，以便于后续对网络资产进行测绘。
7.结合第一方面，在第一方面的某些实现方式中，所述基于每条日志记录中的域名、请求地址、目的地址和解析时间，识别每个地址所对应的设备的设备类别，包括：采用图计算方式，基于所述多条日志记录，确定关联关系图，所述关联关系图包括用于标识不同域名的多个点、用于标识不同地址的多个点以及用于连接同一条日志记录中的域名、请求地址和目的地址的多条带箭头的边，以用于描述所述多条日志记录中的域名、请求地址和目的地址之间的指向关系；其中，同一条日志记录中的域名是指向请求地址的，且请求地址是指向目的地址的，同一个地址存在于多条日志记录中时，解析时间靠前的日志记录中的地址处于解析时间靠后的日志记录中的地址的上游；基于所述关联关系图，识别每个地址所对应的设备的设备类别。
8.结合第一方面，在第一方面的某些实现方式中，所述基于所述关联关系图，识别每
个地址所对应的设备的设备类别，包括：所述关联关系图中的第一目标点所标识的地址对应的设备的设备类别为所述域名服务器，所述第一目标点是被一个或多个标识地址的点指向的点；所述关联关系图中的第二目标点所标识的地址对应的设备的设备类别为所述访问终端，所述第二目标点是被标识域名的点指向的点。
9.结合第一方面，在第一方面的某些实现方式中，所述域名服务器包括跨域域名服务器和级联域名服务器；所述第一目标点中被一个标识地址的点指向且不再指向其他标识地址的点所标识的地址对应的设备的设备类别为所述跨域域名服务器；或所述第一目标点中被多个标识地址的点指向的点所标识的地址对应的设备的设备的设备类别为所述级联域名服务器；或所述第一目标点中被一个或多个标识地址的点指向且同时指向其他一个或多个标识地址的点所标识的地址对应的设备的设备类别为所述级联域名服务器。
10.结合第一方面，在第一方面的某些实现方式中，在所述获取多条日志记录之前，包括：从网络中获取多条原始日志记录；基于所述多条原始日志记录中各原始日志记录的解析时间，对所述多条原始日志记录分组，得到至少一个日志记录组，每个日志记录组包括多条日志记录，所述多条日志记录中任意两条日志记录的解析时间的时间间隔不超过预设值；所述获取多条日志记录，包括：获取所述至少一个日志记录组中任意一个日志记录组中的多条日志记录。
11.结合第一方面，在第一方面的某些实现方式中，在所述对所述多条原始日志记录分组之前，所述方法还包括：从所述多条原始日志记录中筛除目标日志记录，所述目标日志记录中的请求地址或目的地址所对应的设备的设备类别是跨域域名服务器；以及所述对所述多条原始日志记录分组，包括：对筛除了所述目标日志记录的多条原始日志记录分组。
12.结合第一方面，在第一方面的某些实现方式中，所述每条日志记录中还包括所述解析结果。
13.第二方面，本技术提供一种设备类别的识别装置，包括：获取模块，处理模块和存储模块。
14.获取模块用于：获取多条日志记录，所述多条日志记录中的每条日志记录包括请求访问的域名、请求地址、目的地址以及解析时间；其中，所述请求地址为请求访问所述域名的设备的地址，所述目的地址为解析所述域名的设备的地址；所述解析时间为获取到解析结果的时间，所述解析结果为对所述域名解析得到的地址；处理模块用于：基于对每条日志记录中的域名、请求地址、目的地址和解析时间，识别每个地址对应的设备的设备类别，所述设备类别包括：域名服务器和访问终端；存储模块用于：记录所述每条日志记录中的每个地址与设备类别的对应关系。
15.结合第二方面，在第二方面的某些实现方式中，所述处理模块具体用于：采用图计算方式，基于所述多条日志记录，确定关联关系图，所述关联关系图包括用于标识不同域名的多个点、用于标识不同地址的多个点以及用于连接同一条日志记录中的域名、请求地址和目的地址的多条带箭头的边，以用于描述所述多条日志记录中的域名、请求地址和目的地址之间的指向关系；其中，同一条日志记录中的域名是指向请求地址的，且请求地址是指向目的地址的，同一个地址存在于多条日志记录中时，解析时间靠前的日志记录中的地址处于解析时间靠后的日志记录中的地址的上游；以及，基于所述关联关系图，识别每个地址所对应的设备的设备类别。
16.结合第二方面，在第二方面的某些实现方式中，所述处理模块具体用于：关联关系图中的第一目标点所标识的地址对应的设备的设备类别为所述域名服务器，所述第一目标点是被一个或多个标识地址的点指向的点；以及，所述关联关系图中的第二目标点所标识的地址对应的设备的设备类别为所述访问终端，所述第二目标点是被标识域名的点指向的点。
17.结合第二方面，在第二方面的某些实现方式中，所述域名服务器包括跨域域名服务器和级联域名服务器；所述第一目标点中被一个标识地址的点指向且不再指向其他标识地址的点所标识的地址对应的设备的设备类别为所述跨域域名服务器；或所述第一目标点中被多个标识地址的点指向的点所标识的地址对应的设备的设备的设备类别为所述级联域名服务器；或所述第一目标点中被一个或多个标识地址的点指向且同时指向其他一个或多个标识地址的点所标识的地址对应的设备的设备类别为所述级联域名服务器。
18.结合第二方面，在第二方面的某些实现方式中，所述获取模块还用于：从网络中获取的多条原始日志记录；处理模块还用于：基于所述多条原始日志记录中各原始日志记录的解析时间，对所述多条原始日志记录分组，得到至少一个日志记录组，每个日志记录组包括多条日志记录，所述多条日志记录中解析时间的最大值与最小值的间隔不超过预设值；所述获取模块具体用于：获取所述至少一个日志记录组中任意一个日志记录组中的多条日志记录。
19.结合第二方面，在第二方面的某些实现方式中，所述处理模块还用于：从所述多条原始日志记录中筛除目标日志记录，所述目标日志记录中的目的地址所对应的设备的设备类别是跨域域名服务器；以及，对筛除了所述目标日志记录的多条原始日志记录分组。
20.第三方面，本技术提供一种设备类别的识别装置，包括处理器，所述处理器用于执行第一方面以及第一方面中任一种可能实现方式中所述的方法。
21.所述装置还可以包括存储器，用于存储指令和数据。所述存储器与所述处理器耦合，所述处理器执行所述存储器中存储的指令时，可以实现上述各方面中描述的方法。
22.所述装置还可以包括通信接口，所述通信接口用于该装置与其它设备进行通信，示例性地，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。
23.第四方面，本技术提供一种芯片系统，该芯片系统包括至少一个处理器，用于支持实现上述第一方面以及第一方面中任一种可能实现方式中所涉及的功能。
24.在一种可能的设计中，所述芯片系统还包括存储器，所述存储器用于保存程序指令和数据，存储器位于处理器之内或处理器之外。
25.该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。
26.第五方面，本技术提供一种计算机可读存储介质，包括计算机程序，当其在计算机上运行时，使得计算机实现第一方面以及第一方面中任一种可能实现方式中的方法。
27.第六方面，本技术提供一种计算机程序产品，所述计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当计算机程序被运行时，使得计算机执行第一方面以及以及第一方面中任一种可能实现方式中的方法。
28.应当理解的是，本技术的第二方面至第六方面与本技术的第一方面的技术方案相对应，各方面及对应的可行实施方式所取得的有益效果相似，不再赘述。
附图说明
29.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
30.图1是本技术提供的设备类别的识别方法的示意性流程图；
31.图2是本技术实施例提供的一种关联关系图；
32.图3是本技术实施例提供的另一种关联关系图；
33.图4是本技术提供的设备类别的识别方法的另一示意性流程图；
34.图5是本技术提供的一种设备类别的识别装置的示意性框图；
35.图6是本技术提供的设备类别的识别装置的另一示意性框图。
36.通过上述附图，已示出本技术明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本技术构思的范围，而是通过参考特定实施例为本领域技术人员说明本技术的概念。
具体实施方式
37.下面将结合附图，对本技术中的技术方案进行描述。
38.在介绍本技术实施例提供的方法之前，先做出以下几点说明。
39.第一，在下文示出的实施例中，各术语及英文缩略语，如级联域名服务器、跨域域名服务器等，均为方便描述而给出的示例性举例，不应对本技术构成任何限定。本技术并不排除已有或未来定义其它能够实现相同或相似功能的术语的可能。
40.第二，在下文示出的实施例中，“第一”、“第二”等前缀字样的使用仅仅为了便于对归属于同一个名称类别下的不同事物进行区分描述，不对事物的次序、大小或者数量进行约束。例如，“第一目标点”和“第二目标点”仅仅为不同的点，二者没有时间先后关系、大小关系或优先级高低关系。
41.第三，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b的情况，其中a，b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a、b和c中的至少一项(个)，可以表示：a，或b，或c，或a和b，或a和c，或b和c，或a、b和c，其中a，b，c可以是单个，也可以是多个。
42.资产是对组织具有价值的信息或资源，是安全策略保护的对象。随着网络的普及和业务的发展，各行各业中催生了大量的网络资产。网络资产是指计算机网络或通讯网络中使用的各种设备，主要包括主机、网络设备(例如路由器和交换机)和安全设备(例如防火墙)等设备。
43.但是，由于不同类别的资产受到同等程度破坏时对网络造成的影响程度不同，因此需要准确地识别网络资产的类别，以便于对网络资产进行资产测绘，从而保证网络安全。
44.其中，资产测绘是对全网的网络资产进行统计，分析，获取信息。通过对网络中的资产进行资产测绘，能够帮助客户时刻洞察网络资产，主动及时掌控资产动态，以缓解企业安全风险。
45.有鉴于此，本技术实施例提供了一种设备类别的识别方法、装置及计算机可读存
储介质。该方法中，通过分析获取的多条域名解析日志记录中请求地址、目的地址以及域名之间的关联关系，以确定请求地址以及目的地址对应的设备所属的设备类别，实现了网络资产类别的准确识别。
46.下面结合附图，对本技术实施例提供的设备类别的识别方法进行详细说明。本技术实施例的方法可以由数据处理设备执行，也可以由数据处理设备中的芯片执行，本技术实施例对此不作限定。
47.图1是本技术实施例提供的设备类别的识别方法100的示意性流程图。该方法100可以包括s101至s103。下面详细描述图1所示的各步骤。
48.s101，获取多条日志记录，该多条日志记录中的每条日志记录包括请求访问的域名、请求地址、目的地址以及解析时间。
49.其中，请求地址为请求访问该域名的设备的地址，目的地址为解析该域名的设备的地址，解析时间为获取到解析结果的时间，解析结果为对该域名解析得到的地址。
50.可选地，每条日志记录中还可以包括：解析结果。
51.应理解，上述地址可以是ip地址或者是其他可以区分不同设备的地址。下文中为方便理解和说明，以ip地址作为请求地址和目的地址的示例来对日志记录进行说明。
52.表一
53.请求地址目的地址解析时间域名解析结果333.10.10.10222.10.10.1020230111223343a.111.com111.111.111.111222.10.10.10111.10.10.1020230111223344a.111.com111.111.111.111333.10.10.10111.10.10.1020230111223345a.111.com111.111.111.111
54.表一示出了三条日志记录。如表一所示，三条日志记录中的请求地址对应的设备请求访问的域名均为：a.111.com，域名a.111.com对应的ip地址为111.111.111.111。
55.对于第一条日志记录而言，请求访问域名a.111.com的设备的ip地址(即，请求地址的示例)为333.10.10.10，解析域名a.111.com的设备的ip地址(即，目的地址的示例)为222.10.10.10，请求地址333.10.10.10对应的设备获取到解析结果111.111.111.111的时间为20230111223343。
56.对于第二条日志记录而言，请求访问域名a.111.com的设备的ip地址为222.10.10.10，解析域名a.111.com的设备的ip地址为111.10.10.10，请求地址222.10.10.10对应的设备获取到解析结果111.111.111.111的时间为20230111223344。
57.对于第三条日志记录而言，请求访问域名a.111.com的设备的ip地址为333.10.10.10，解析域名a.111.com的设备的ip地址为111.10.10.10，请求地址333.10.10.10对应的设备获取到解析结果111.111.111.111的时间为20230111223343。
58.示例性地，解析时间20230111223343可以表示为2023年1月11日22点33分43秒，同理，解析时间20230111223344可以表示为2023年1月11日22点33分44秒，解析时间20230111223345可以表示为2023年1月11日22点33分45秒，由此得到，每条域名解析记录的记录间隔为1秒。
59.s102，基于每条日志记录中域名、请求地址、目的地址和解析时间，识别每个地址对应的设备的设备类别。该设备类别包括：域名服务器和访问终端。
60.其中，域名服务器是指具有域名解析功能的设备，即每条日志记录中的目的地址
对应的设备；访问终端是指可以请求访问域名的设备，即每条日志记录中请求地址对应的设备。
61.示例性地，基于每条日志记录中域名、请求地址、目的地址和解析时间，识别每个地址对应的设备的设备类别，包括：采用图计算方式，基于多条日志记录，确定关联关系图；基于该关联关系图，识别每个地址所对应的设备的设备类别。
62.图计算是指将数据按照图的方式建模，以此来表达问题并予以解决的过程。图被定义为一个由点和边组成的多元组，若干点由边连接，以表达点之间的关联和交互。
63.在本技术中，采用图计算，确定的关联关系图中包括用于标识不同域名的多个点、用于标识不同地址的多个点以及用于连接同一条日志记录中的域名、请求地址和目的地址的多条带箭头的边，以用于描述多条日志记录中的条日志记录中的域名、请求地址和目的地址之间的指向关系。
64.在关联关系图中，同一条日志记录中的域名是指向请求地址的，且请求地址是指向目的地址的。但需要说明的是，同一个地址存在于多条日志记录中时，解析时间靠前的日志记录中的地址处于解析时间靠后的日志记录中的地址的上游。
65.结合上述表一所示的例子，采用图计算方式，以标识域名的点为根节点，根据第一条日志记录得到：根节点指向用于标识333.10.10.10的点，进而指向用于标识222.10.10.10的点；根据第二条日志记录得到：根节点指向用于标识222.10.10.10的点，进而指向用于标识111.10.10.10的点；根据第三条日志记录得到：根节点指向用于标识333.10.10.10的点，进而指向用于标识111.10.10.10的点。由于第一条日志记录中的目的地址为第二日志记录中的请求地址，且第一条日志记录的解析时间在前，因此第一日志记录中的根节点指向用于标识333.10.10.10的点，进而指向用于标识222.10.10.10的点后，可以继续指向用于标识111.10.10.10的点，从而可以得到如图2所示的关联关系图。
66.应理解，若表一所示的例子中，第二条日志记录的解析时间在第一条日志记录的解析时间之前，则第一日志记录中的根节点指向用于标识333.10.10.10的点，进而指向用于标识222.10.10.10的点后，无法继续指向用于标识111.10.10.10的点。
67.下面结合示例一和示例二，介绍基于关联关系图，识别的每个地址所对应的设备的设备类别。
68.示例一，关联关系图中的第一目标点所标识的地址对应的设备的设备类别为域名服务器，该第一目标点是被一个或多个标识地址的点指向的点。
69.由于关联关系图中能够被一个或多个标识地址的点指向的点所标识的地址只能是目的地址，因此多条日志记录中目的地址对应的设备的设备类别为域名服务器。
70.可选地，上述域名服务器可以包括跨域域名服务器和级联域名服务器。因此，第一目标点所标识的地址对应的设备的设备类别可能是跨域域名服务器，也可能是级联域名服务器。
71.示例性地，第一目标点中被多个标识地址的点指向的点所标识的地址对应的设备的设备类别为级联域名服务器；或，第一目标点中被一个或多个标识地址的点指向且同时指向其他一个或多个标识地址的点所标识的地址对应的设备的设备类别为级联域名服务器。
72.结合上述图2所示的关联关系图可以得到：用于标识111.10.10.10的点被用于标
识333.10.10.10的点和被用于标识222.10.10.10的点指向，因此111.10.10.10对应的设备的设备类别为级联域名服务器；用于标识222.10.10.10的点被一个用于标识333.10.10.10的点指向且同时指向一个用于标识111.10.10.10的点，因此222.10.10.10对应的设备的设备类别为级联域名服务器。
73.示例性地，第一目标点中被一个标识地址的点指向且不再指向其他标识地址的点所标识的地址对应的设备的设备类别为跨域域名服务器。
74.表二
[0075][0076][0077]
表二示出了三条日志记录。以表二所示的三条日志记录为例，采用图计算方式，以标识域名的点为根节点，根据第一条日志记录得到：根节点指向用于标识333.10.10.10的点，进而指向用于标识222.10.10.10的点；根据第二条日志记录得到：根节点指向用于标识444.10.10.10的点，进而指向用于标识666.10.10.10的点；根据第三条日志记录得到：根节点指向用于标识555.10.10.10的点，进而指向用于标识111.10.10.10的点。从而可以得到如图3所示的关联关系图。
[0078]
如图3所示，用于标识222.10.10.10的点被用于标识333.10.10.10的点指向且不再指向其他用于标识地址的点，因此222.10.10.10对应的设备的设备类别为跨域域名服务器；用于标识666.10.10.10的点被用于标识444.10.10.10的点指向且不再指向其他用于标识地址的点，因此666.10.10.10对应的设备的设备类别为跨域域名服务器；用于标识111.10.10.10的点被用于标识555.10.10.10的点指向且不再指向其他用于标识地址的点，因此111.10.10.10对应的设备的设备类别为跨域域名服务器。
[0079]
示例二，关联关系图中的第二目标点所标识的地址对应的设备的设备类别为访问终端，第二目标点是被标识域名的点指向的点。
[0080]
由于关联关系图中标识域名的点指向的点用于标识请求地址，因此多条日志记录中请求地址对应的设备的设备类别为访问终端。
[0081]
结合上述图2所示的关联关系图可以得到：用于标识333.10.10.10的点被用于标识a.111.com的点指向，用于标识222.10.10.10的点被用于标识a.111.com的点指向，因此333.10.10.10和222.10.10.10对应的设备的设备类别为访问终端。
[0082]
s103，记录每条日志记录中的每个地址与设备类别的对应关系。
[0083]
本技术可以将多条日志记录中的每个地址与设备类别的对应关系更新在网络终端信息数据库中，以便于对网络资产进行资产测绘。
[0084]
本技术实施例中，通过分析获取的多条日志记录中每条日志记录中的域名、请求地址、目的地址以及解析时间，以确定请求地址以及目的地址对应的设备所属的设备类别，实现了网络资产类别的准确识别，此外通过记录各地址与其对应的设备类别的对应关系，以便于后续对网络资产进行测绘。
[0085]
可选地，在s102之前，该方法100还包括：从网络中获取多条原始日志记录；基于多条原始日志记录中各原始日志记录的解析时间，对多条原始日志记录分组，得到至少一个日志记录组。那么，上述s101可以替换为：获取至少一个日志记录组中任意一个日志记录组中的多条日志记录。
[0086]
其中，至少一个日志记录组中的每个日志记录组包括多条日志记录，多条日志记录中任意两条日志记录的解析时间的时间间隔不超过预设值。
[0087]
由于每条原始日志记录中均包括请求访问的域名、请求地址、目的地址以及解析时间，因此本技术可以基于多条原始日志记录中解析时间的时序关系，以预设值为时间单元，对多条原始日志记录进行分组。
[0088]
结合上述表一所示的例子，若预设值为两秒，则表一所示的三条日志记录可以记为一个日志记录组。
[0089]
可选地，在对多条原始日志记录分组之前，该方法100还包括：从多条原始日志记录中筛除目标日志记录。那么，对多条原始日志记录分组可以替换为：对筛除了目标日志记录的多条原始日志记录分组。
[0090]
其中，目标日志记录中的目的地址所对应的设备的设备类别是跨域域名服务器，目标日志记录中的请求地址所对应的设备是访问终端。
[0091]
同样，可以将目标日志记录中的各地址与设备类别的对应关系进行记录。
[0092]
下面以图1所示的实施例为基础，结合图4详细描述本技术实施例提供的设备类别的识别方法。应理解，在图1所示实施例中已介绍的内容不在赘述。
[0093]
图4是本技术实施例提供的设备类别的识别方法400的另一示意性流程图。该方法400可以包括s401至s408。下面详细描述图4所示的各步骤。
[0094]
s401，从网络中获取n条原始日志记录。
[0095]
其中，n条原始日志记录中的每条原始日志记录中包括：请求的域名、请求地址、目的地址以及解析时间，n为大于0的整数。
[0096]
可选地，每条原始日志记录中还包括：解析结果。
[0097]
关于请求地址、目的地址、解析时间以及解析结果的描述可参照前文描述，此处不再赘述。
[0098]
s402，判断n条原始日志记录中的目的地址是否为跨域域名服务器。
[0099]
由于网络中可能存在国内运营商的域名解析服务器、国内其他厂商的域名解析服务器、或海外域名解析服务器等多种域名解析服务器，因此，可以对n条原始日志记录中包括的目的地址进行判断，以确定目的地址对应的设备是否为跨域域名服务器。
[0100]
本技术中的跨域域名服务器可以是指其他运营商的域名解析服务器或是海外域名解析服务器等。
[0101]
1、若无法确定目的地址是否为跨域域名服务器时，可以继续执行s403以及s406至s408。
[0102]
2、若存在目的地址为跨域域名服务器时，可以继续执行s404至s408。
[0103]
s403，对n条原始日志记录分组，得到至少一个日志记录组。
[0104]
示例性地，至少一个日志记录组可以通过如下步骤1和步骤2得到。
[0105]
步骤1，确定n条原始日志记录中m个解析时间的时序关系。或者说，将n条原始日志
记录中的m个解析时间按照时间先后顺序进行排列，得到第一顺序下的m个解析时间。
[0106]
其中，m为大于0且小于或等于n的整数。m小于n时，表示n条原始日志记录中存在解析时间相同的多条原始日志记录。
[0107]
步骤2，基于步骤1确定的时序关系，以第一时长为单位时长将m个解析时间分为n组，得到n个日志记录组，每个日志记录组中包括多条日志记录。或者说，以第一时长为单位时长，将第一顺序下的m个解析时间依次划分为n组。
[0108]
其中，n为大于0且小于或等于n的整数。
[0109]
由于每条原始日志记录中均包括一个解析时间，因此对解析时间进行分组后，可以得到与解析时间对应的n个日志记录组。
[0110]
应理解，基于s403得到的至少一个日志记录组中任意两条日志记录的解析时间的时间间隔不超过第一时长。
[0111]
s404，从n条原始日志记录中筛除目标日志记录，得到z条原始日志记录。其中，z为大于0且小于n的整数。
[0112]
关于目标日志记录的描述可参照前文描述。
[0113]
s405，对z条原始日志记录分组，得到至少一个日志记录组。
[0114]
该过程可参照s403的描述，此处不再赘述。
[0115]
s406，采用图计算方式，基于至少一个日志记录组中每个日志记录组包括的多条日志记录，确定关联关系图。
[0116]
关于关联关系图的描述可参照前文描述，此处不再赘述。
[0117]
示例性地，s406中的至少一个日志记录组可以是通过s403得到的，或者是通过s405得到的。
[0118]
s407，基于关联关系图，识别每个地址所对应的设备的设备类别。
[0119]
该过程可参照s102中的相关描述，此处不再赘述。
[0120]
可选地，若识别到第一目标点所述标识的地址对应的设备的设备类别为跨域域名服务器时，可以再次对n条(或z条)原始日志记录分组，得到至少一个日志记录组；并采用采用图计算方式，基于再次分组得到的至少一个日志记录组中每个日志记录组包括的多条日志记录，确定关联关系图；再基于该关联关系图，识别每个地址所对应的设备的设备类别。
[0121]
需要说明的是，再次分组得到的至少一个日志记录组和通过s403(或s405)得到的至少一个日志记录组的区别在于：再次分组得到的至少一个日志记录组中任意两条日志记录的解析时间的时间间隔应不超过第二时长，且第二时长大于第一时长。
[0122]
应理解，第一时长和第二时长可以是两个不同的预设值。
[0123]
关于再次分组的过程可参照s403的描述，关于识别设备类别的描述可参照s406的描述，此处均不再赘述。
[0124]
s408，记录每条日志记录中的每个地址与设备类别的对应关系。
[0125]
该过程与s103相同，此处不再赘述。
[0126]
应理解，记录的对应关系中可以包括目标日志记录中的请求地址与设备类别的对应关系，以及目标日志记录中的目的地址与设备类别的对应关系。
[0127]
还应理解，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。
[0128]
上文中结合图1和图4，详细描述了本技术实施例的方法，下面将结合图5和图6，详细描述本技术实施例的装置。
[0129]
图5是本技术实施例提供的设备类别的识别装置500的示意性框图，该装置500包括：获取模块510、处理模块520以及存储模块530。
[0130]
其中，获取模块510用于：获取多条日志记录，该多条日志记录中的每条日志记录包括请求访问的域名、请求地址、目的地址以及解析时间；其中，请求地址为请求访问所述域名的设备的地址，目的地址为解析所述域名的设备的地址；解析时间为获取到解析结果的时间，解析结果为对所述域名解析得到的地址；处理模块520用于：基于每条日志记录中域名、请求地址、目的地址和解析时间，识别每个地址对应的设备的设备类别，设备类别包括：域名服务器和访问终端；存储模块530用于：用于记录每条日志记录中的每个地址与设备类别的对应关系。
[0131]
可选地，处理模块520具体用于：采用图计算方式，基于多条日志记录，确定关联关系图，该关联关系图包括用于标识不同域名的多个点、用于标识不同地址的多个点以及用于连接同一条日志记录中的域名、请求地址和目的地址的多条带箭头的边，以用于描述所述多条日志记录中的域名、请求地址和目的地址之间的指向关系；其中，同一条日志记录中的域名是指向请求地址的，且请求地址是指向目的地址的，同一个地址存在于多条日志记录中时，解析时间靠前的日志记录中的地址处于解析时间靠后的日志记录中的地址的上游；以及，基于关联关系图，识别每个地址所对应的设备的设备类别。
[0132]
可选地，处理模块520还用于：关联关系图中的第一目标点所标识的地址对应的设备的设备类别为域名服务器，第一目标点是被一个或多个标识地址的点指向的点；以及，关联关系图中的第二目标点所标识的地址对应的设备的设备类别为访问终端，第二目标点是被标识域名的点指向的点。
[0133]
可选地，域名服务器包括跨域域名服务器和级联域名服务器；第一目标点中被一个标识地址的点指向且不再指向其他标识地址的点所标识的地址对应的设备的设备类别为跨域域名服务器；或第一目标点中被多个标识地址的点指向的点所标识的地址对应的设备的设备的设备类别为级联域名服务器；或第一目标点中被一个或多个标识地址的点指向且同时指向其他一个或多个标识地址的点所标识的地址对应的设备的设备类别为级联域名服务器。
[0134]
可选地，获取模块510还用于：从网络中获取的多条原始日志记录；处理模块520还用于：基于多条原始日志记录中各原始日志记录的解析时间，对多条原始日志记录分组，得到至少一个日志记录组，每个日志记录组包括多条日志记录，多条日志记录中解析时间的最大值与最小值的间隔不超过预设值；获取模块510具体用于：获取至少一个日志记录组中任意一个日志记录组中的多条日志记录。
[0135]
可选地，处理模块520还用于：从多条原始日志记录中筛除目标日志记录，目标日志记录中的目的地址所对应的设备的设备类别是跨域域名服务器；以及，对筛除了目标日志记录的多条原始日志记录分组。
[0136]
应理解，上述获取模块还可以称为数据采集模块。示例性地，获取模块可以基于处理模块发送的请求信息，采集网络中的日志记录，并将采集到的日志记录发送给处理模块进行数据处理。
[0137]
还应理解，这里的装置500以功能模块的形式体现。这里的术语“模块”可以指应用特有集成电路(application specific integrated circuit，asic)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中，本领域技术人员可以理解，装置500可以具体为上述实施例中的数据处理设备，或者，上述实施例中数据处理设备的功能可以集成在装置500中，装置500可以用于执行上述方法实施例中与数据处理设备对应的各个流程和/或步骤，为避免重复，在此不再赘述。
[0138]
上述装置500具有实现上述方法中数据处理设备执行的相应步骤的功能；上述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。例如，上述获取模块510可以为通信接口，例如收发接口。
[0139]
在本技术的实施例，图5中的装置500也可以是芯片或者芯片系统，例如：片上系统(system on chip，soc)。对应的，获取模块510可以是该芯片的收发电路，在此不做限定。
[0140]
图6是本技术实施例提供的设备类别的识别装置600另一示意性框图。该装置600包括处理器610、通信接口620和存储器630。
[0141]
其中，处理器610、通信接口620和存储器630通过内部连接通路互相通信，该存储器630用于存储指令，该处理器610用于执行该存储器630存储的指令，以控制该通信接口620获取数据。
[0142]
应理解，数据处理设备600可以用于执行上述方法实施例中与数据处理设备对应的各个步骤和/或流程。可选地，该存储器630可以包括只读存储器和随机存取存储器，并向处理器610提供指令和数据。存储器630的一部分还可以包括非易失性随机存取存储器。例如，存储器还可以存储设备类别的信息。该处理器610可以用于执行存储器中存储的指令，并且该处理器610执行该指令时，该处理器610可以执行上述方法实施例中与数据处理设备对应的各个步骤和/或流程。
[0143]
应理解，在本技术实施例中，该处理器可以是中央处理单元(central processing unit，cpu)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processing，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0144]
本技术实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现前述实施例所述的方法。
[0145]
本技术实施例提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现前述实施例所述的方法。
[0146]
本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
[0147]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、
装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0148]
在本技术所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0149]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0150]
另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
[0151]
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0152]
以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。

技术特征：
1.一种设备类别的识别方法，其特征在于，包括：获取多条日志记录，所述多条日志记录中的每条日志记录包括请求访问的域名、请求地址、目的地址以及解析时间；其中，所述请求地址为请求访问所述域名的设备的地址，所述目的地址为解析所述域名的设备的地址；所述解析时间为获取到解析结果的时间，所述解析结果为对所述域名解析得到的地址；基于每条日志记录中的域名、请求地址、目的地址和解析时间，识别每个地址对应的设备的设备类别，所述设备类别包括：域名服务器和访问终端；记录所述每条日志记录中的每个地址与设备类别的对应关系。2.根据权利要求1所述的方法，其特征在于，所述基于每条日志记录中的域名、请求地址、目的地址和解析时间，识别每个地址所对应的设备的设备类别，包括：采用图计算方式，基于所述多条日志记录，确定关联关系图，所述关联关系图包括用于标识不同域名的多个点、用于标识不同地址的多个点以及用于连接同一条日志记录中的域名、请求地址和目的地址的多条带箭头的边，以用于描述所述多条日志记录中的域名、请求地址和目的地址之间的指向关系；其中，同一条日志记录中的域名是指向请求地址的，且请求地址是指向目的地址的，同一个地址存在于多条日志记录中时，解析时间靠前的日志记录中的地址处于解析时间靠后的日志记录中的地址的上游；基于所述关联关系图，识别每个地址所对应的设备的设备类别。3.根据权利要求2所述的方法，其特征在于，所述基于所述关联关系图，识别每个地址所对应的设备的设备类别，包括：所述关联关系图中的第一目标点所标识的地址对应的设备的设备类别为所述域名服务器，所述第一目标点是被一个或多个标识地址的点指向的点；所述关联关系图中的第二目标点所标识的地址对应的设备的设备类别为所述访问终端，所述第二目标点是被标识域名的点指向的点。4.根据权利要求3所述的方法，其特征在于，所述域名服务器包括跨域域名服务器和级联域名服务器；所述第一目标点中被一个标识地址的点指向且不再指向其他标识地址的点所标识的地址对应的设备的设备类别为所述跨域域名服务器；或所述第一目标点中被多个标识地址的点指向的点所标识的地址对应的设备的设备的设备类别为所述级联域名服务器；或所述第一目标点中被一个或多个标识地址的点指向且同时指向其他一个或多个标识地址的点所标识的地址对应的设备的设备类别为所述级联域名服务器。5.根据权利要求2至4中任一项所述的方法，其特征在于，在所述获取多条日志记录之前，所述方法还包括：从网络中获取多条原始日志记录；基于所述多条原始日志记录中各原始日志记录的解析时间，对所述多条原始日志记录分组，得到至少一个日志记录组，每个日志记录组包括多条日志记录，所述多条日志记录中任意两条日志记录的解析时间的时间间隔不超过预设值；所述获取多条日志记录，包括：获取所述至少一个日志记录组中任意一个日志记录组中的多条日志记录。
6.根据权利要求5所述的方法，其特征在于，在所述对所述多条原始日志记录分组之前，所述方法还包括：从所述多条原始日志记录中筛除目标日志记录，所述目标日志记录中的目的地址所对应的设备的设备类别是跨域域名服务器；以及所述对所述多条原始日志记录分组，包括：对筛除了所述目标日志记录的多条原始日志记录分组。7.根据权利要求1所述的方法，其特征在于，所述每条日志记录中还包括所述解析结果。8.一种设备类别的识别装置，其特征在于，包括：获取模块，用于获取多条日志记录，所述多条日志记录中的每条日志记录包括请求访问的域名、请求地址、目的地址以及解析时间；其中，所述请求地址为请求访问所述域名的设备的地址，所述目的地址为解析所述域名的设备的地址；所述解析时间为获取到解析结果的时间，所述解析结果为对所述域名解析得到的地址；处理模块，用于基于每条日志记录中的域名、请求地址、目的地址和解析时间，识别每个地址对应的设备的设备类别，所述设备类别包括：域名服务器和访问终端；存储模块，用于记录所述每条日志记录中的每个地址与设备类别的对应关系。9.一种设备类别的识别装置，其特征在于，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储计算机程序，当所述处理器调用所述计算机程序时，使得所述装置执行权利要求1至7中任一项所述的方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行权利要求1至7中任一项所述的方法。

技术总结
本申请提供了一种设备类别的识别方法、装置及计算机可读存储介质，可用于网络技术领域。该方法包括：获取多条日志记录，每条日志记录包括请求访问的域名、请求地址、目的地址以及解析时间；其中，请求地址为请求访问域名的设备的地址，目的地址为解析域名的设备的地址；解析时间为获取到解析结果的时间，解析结果为对域名解析得到的地址；基于每条日志记录中的域名、请求地址、目的地址和解析时间，识别每个地址对应的设备的设备类别，该设备类别包括：域名服务器和访问终端；记录每条日志记录中的每个地址与设备类别的对应关系。本申请的方法，可以准确识别网络资产的类别。可以准确识别网络资产的类别。可以准确识别网络资产的类别。


技术研发人员：于城 张建荣 周凯 史炳荣 王鑫妍 李思聪 杜飞 金刚 王智明 孙文雪 郏瑞琪 徐积森 李腾
受保护的技术使用者：联通数字科技有限公司
技术研发日：2023.07.05
技术公布日：2023/9/7