[发明专利]基于域名请求风险管控的域名解析方法及装置

说明书

本发明公开了一种基于域名请求风险管控的域名解析方法及装置，所述方法包括：将域名请求标识为正常域名请求或异常域名请求；根据用户域名访问行为数据集合与异常域名关联强弱，评估用户的安全评级与安全评分；将不同安全评级用户发起的正常域名请求发送到与其级别相对应的DNS服务器子集群中，以使所述级别的DNS服务器子集群基于安全评分按照顺序响应正常域名请求；预测高概率访问的正常域名，形成域名资源列表，用于在用户的安全评级高于设定阈值的情况下，将域名资源列表缓存到选择的DNS服务器，以此提高域名解析缓存命中率与解析效率。本发明解决了常规DNS服务器因遭受僵尸网络攻击与缓存利用率低下导致的域名服务器性能降低问题。

技术领域

本文涉及域名解析技术领域，尤其涉及一种基于域名请求风险管控的域名解析方法及装置。

背景技术

域名系统的稳定运行重点依赖于域名解析服务的安全可靠性，因此DNS服务器的解析工作多与入侵检测技术相结合。目前，入侵检测系统通过对网络传输流量的监视，使其对背后的域名解析系统起到一定的保护作用。但由于域名系统的体量庞大，面对僵尸网络等攻击手段时，入侵检测系统会逐渐消耗可用的处理能力，导致请求流量的误判或漏判，影响后续正常请求的域名解析服务。

RFC 4732文件中详细示出拒绝服务攻击及其可能造成的危害。其中，网络攻击试图利用在DNS服务器的链路上造成网络拥塞，使得DNS服务器无法获得应答。此类网络攻击会造成拒绝向合法用户提供正常服务、以及严重降低DNS服务器的利用率等后果。因此，为了有效应对基于域名请求的攻击隐患，不仅需要前期对于请求流量的监测，更需要后续对于解析服务的风险管控，以此保障域名解析系统的服务器性能与解析服务质量。

发明内容

本发明公开了一种基于域名请求风险管控的域名解析方法及装置，以解决常规DNS服务器因遭受僵尸网络攻击与缓存利用率低下导致的域名服务器性能降低问题，并给出工程实施架构。

为达到上述目的，本发明的技术内容包括：

根据本申请实施例的第一方面，提供一种基于域名请求风险管控的域名解析方法，所述方法包括：

基于域名解析集群接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库；其中，所述域名访问行为数据库包含若干个用户的用户域名访问行为数据集合；

根据所述用户域名访问行为数据库中数据的密度分布情况，确定用户安全评级数量，继而根据所述用户域名访问行为数据集合与异常域名关联强弱，评估用户所属的安全评级与用户的安全评分；

基于所述用户域名访问行为数据集合，预测高概率访问的正常域名，形成域名资源列表；其中，所述域名资源列表用于在所述用户的安全评级高于设定阈值的情况下，根据所述用户的安全评级与地理位置信息，选择与所述用户级别相对应的DNS服务器子集群中的一个或多个DNS服务器，将所述的域名资源列表加载到所述DNS服务器中，以提高域名解析缓存命中率与解析效率；

根据所述用户的安全评级，将不同安全评级用户发起的正常域名请求发送到与其级别相对应的DNS服务器子集群中，以使所述级别的DNS服务器子集群基于所述安全评分，依照高安全评分优先的原则依次响应所述正常域名请求；其中，所述DNS服务器子集群的级别依据用户安全评级进行划分，各子集群的计算能力与安全防护水平随着级别的上升或下降而提高或降低，同时对不同评级用户间的计算资源相互隔离。

进一步地，所述基于域名解析集群接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库，包括：

通过布隆过滤器使用的k个哈希函数对所述域名请求的域名数据进行过滤，筛选出正常域名请求和疑似异常域名请求；

通过对疑似异常域名请求中的域名进行向量化编码，将疑似异常域名表示为二维张量序列；