[发明专利]基于域名请求风险管控的域名解析方法及装置

权利要求书

1.一种基于域名请求风险管控的域名解析方法，其特征在于，所述方法包括：

基于域名解析集群接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库；其中，所述域名访问行为数据库包含若干个用户的用户域名访问行为数据集合；

根据所述用户域名访问行为数据库中数据的密度分布情况，确定用户安全评级数量，继而根据所述用户域名访问行为数据集合与异常域名关联强弱，评估用户所属的安全评级与用户的安全评分；

基于所述用户域名访问行为数据集合，预测高概率访问的正常域名，形成域名资源列表；其中，所述域名资源列表用于在所述用户的安全评级高于设定阈值的情况下，根据所述用户的安全评级与地理位置信息，选择与所述用户级别相对应的DNS服务器子集群中的一个或多个DNS服务器，将所述的域名资源列表加载到所述DNS服务器中，以提高域名解析缓存命中率与解析效率；

根据所述用户的安全评级，将不同安全评级用户发起的正常域名请求发送到与其级别相对应的DNS服务器子集群中，以使所述级别的DNS服务器子集群基于所述安全评分，依照高安全评分优先的原则依次响应所述正常域名请求；其中，所述DNS服务器子集群的级别依据用户安全评级进行划分，各子集群的计算能力与安全防护水平随着级别的上升或下降而提高或降低，同时对不同评级用户间的计算资源相互隔离。

2.如权利要求1所述的方法，其特征在于，所述基于域名解析集群接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库，包括：

通过布隆过滤器使用的k个哈希函数对所述域名请求的域名数据进行过滤，筛选出正常域名请求和疑似异常域名请求；

通过对疑似异常域名请求中的域名进行向量化编码，将疑似异常域名表示为二维张量序列；

针对所述二维张量序列，通过多个卷积核分别提取不同尺度的信息，并将所述不同尺度的信息通过Concatenation进行融合，以得到融合表征；其中，每次卷积之后通过ReLU激活函数进行非线性化，且通过最大池化进行下采样；

将融合之后的多维张量通过Flatten形成一维向量，输入到多个全连接层，并对该多个全连接层的输出结果使用ReLU非线性化之后，输入全连接层，得到一个包含若干个节点的层；

采用argmax函数，判别所述疑似异常域名为正常域名请求或异常域名请求。

收集所述正常域名请求和异常域名请求的用户域名访问行为数据，并存储至域名访问行为数据库。

3.如权利要求1所述的方法，其特征在于，所述基于域名解析集群接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库，还包括：

拦截异常域名请求。

4.如权利要求1所述的方法，其特征在于，所述根据所述用户域名访问行为数据集合与异常域名关联强弱，评估用户所属的安全评级与用户的安全评分，包括：

获取所述用户域名访问行为数据集合中的用户行为数据；其中，所述用户行为数据包括：IP、区域、访问域名和访问时间；

根据所述用户行为数据，获取用户对异常域名的访问频率以及所访问域名的特征；基于所述用户对所述异常域名的访问频率以及所访问域名的特征，构建基于随机森林的用户安全评估模型；

将用户对异常域名的访问频率与所访问异常域名特征输入所述用户安全评估模型，得到所述用户的安全评分和安全评级。