基于域名请求风险管控的域名解析方法及装置

1.本文涉及域名解析技术领域，尤其涉及一种基于域名请求风险管控的域名解析方法及装置。

背景技术：

2.域名系统的稳定运行重点依赖于域名解析服务的安全可靠性，因此dns服务器的解析工作多与入侵检测技术相结合。目前，入侵检测系统通过对网络传输流量的监视，使其对背后的域名解析系统起到一定的保护作用。但由于域名系统的体量庞大，面对僵尸网络等攻击手段时，入侵检测系统会逐渐消耗可用的处理能力，导致请求流量的误判或漏判，影响后续正常请求的域名解析服务。
3.rfc 4732文件中详细示出拒绝服务攻击及其可能造成的危害。其中，网络攻击试图利用在dns服务器的链路上造成网络拥塞，使得dns服务器无法获得应答。此类网络攻击会造成拒绝向合法用户提供正常服务、以及严重降低dns服务器的利用率等后果。因此，为了有效应对基于域名请求的攻击隐患，不仅需要前期对于请求流量的监测，更需要后续对于解析服务的风险管控，以此保障域名解析系统的服务器性能与解析服务质量。

技术实现要素：

4.本发明公开了一种基于域名请求风险管控的域名解析方法及装置，以解决常规dns服务器因遭受僵尸网络攻击与缓存利用率低下导致的域名服务器性能降低问题，并给出工程实施架构。
5.为达到上述目的，本发明的技术内容包括：
6.根据本技术实施例的第一方面，提供一种基于域名请求风险管控的域名解析方法，所述方法包括：
7.基于域名解析集接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库；其中，所述域名访问行为数据库包含若干个用户的用户域名访问行为数据集合；
8.根据所述用户域名访问行为数据库中数据的密度分布情况，确定用户安全评级数量，继而根据所述用户域名访问行为数据集合与异常域名关联强弱，评估用户所属的安全评级与用户的安全评分；
9.基于所述用户域名访问行为数据集合，预测高概率访问的正常域名，形成域名资源列表；其中，所述域名资源列表用于在所述用户的安全评级高于设定阈值的情况下，根据所述用户的安全评级与地理位置信息，选择与所述用户级别相对应的dns服务器子集中的一个或多个dns服务器，将所述的域名资源列表加载到所述dns服务器中，以提高域名解析缓存命中率与解析效率；
10.根据所述用户的安全评级，将不同安全评级用户发起的正常域名请求发送到与其级别相对应的dns服务器子集中，以使所述级别的dns服务器子集基于所述安全评分，
依照高安全评分优先的原则依次响应所述正常域名请求；其中，所述dns服务器子集的级别依据用户安全评级进行划分，各子集的计算能力与安全防护水平随着级别的上升或下降而提高或降低，同时对不同评级用户间的计算资源相互隔离。
11.进一步地，所述基于域名解析集接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库，包括：
12.通过布隆过滤器使用的k个哈希函数对所述域名请求的域名数据进行过滤，筛选出正常域名请求和疑似异常域名请求；
13.通过对疑似异常域名请求中的域名进行向量化编码，将疑似异常域名表示为二维张量序列；
14.针对所述二维张量序列，通过多个卷积核分别提取不同尺度的信息，并将所述不同尺度的信息通过concatenation进行融合，以得到融合表征；其中，每次卷积之后通过relu激活函数进行非线性化，且通过最大池化进行下采样；
15.将融合之后的多维张量通过flatten形成一维向量，输入到多个全连接层，并对该多个全连接层的输出结果使用relu非线性化之后，输入全连接层，得到一个包含若干个节点的层；
16.采用argmax函数，判别所述疑似异常域名为正常域名请求或异常域名请求。
17.收集所述正常域名请求和异常域名请求的用户域名访问行为数据，并存储至域名访问行为数据库。
18.进一步地，所述基于域名解析集接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库，还包括：
19.拦截异常域名请求。
20.进一步地，所述根据所述用户域名访问行为数据集合与异常域名关联强弱，评估用户所属的安全评级与用户的安全评分，包括：
21.获取所述用户域名访问行为数据集合中的用户行为数据；其中，所述用户行为数据包括：ip、区域、访问域名和访问时间；
22.根据所述用户行为数据，获取用户对异常域名的访问频率以及所访问域名的特征；基于所述用户对所述异常域名的访问频率以及所访问域名的特征，构建基于随机森林的用户安全评估模型；
23.将用户对异常域名的访问频率与所访问异常域名特征输入所述用户安全评估模型，得到所述用户的安全评分和安全评级。
24.进一步地，所述基于所述用户域名访问行为数据集合，预测高概率访问的正常域名，形成域名资源列表，包括：
25.根据所述用户域名访问行为数据集合中正常域名请求对应的访问行为数据，构建用户域名访问行为矩阵；
26.采用交替最小二乘als矩阵分解法对所述用户域名访问行为矩阵进行分解，得到用户特征矩阵与域名特征矩阵；
27.整理所述域名特征矩阵，得到发出dns请求的ip+端口号、请求的域名和请求的次
数；
28.将发出dns请求的ip+端口号视为用户，请求的域名视为物品，请求的次数视为评分，并使用协同过滤推荐算法，预测高概率访问的正常域名；
29.基于所述高概率访问的正常域名，形成域名资源列表。
30.根据本技术实施例的第二方面，提供一种基于域名请求风险管控的域名解析装置，所述装置包括：
31.域名检测模块，用于基于域名解析集接收到的用户的域名请求，收集用户域名访问行为数据并将所述域名请求标识正常域名请求或异常域名请求之后，存储至域名访问行为数据库；其中，所述域名访问行为数据库包含若干个用户的用户域名访问行为数据集合；
32.用户安全评估模块，用于根据所述用户域名访问行为数据库中数据的密度分布情况，确定用户安全评级数量，继而根据所述用户域名访问行为数据集合与异常域名关联强弱，评估用户所属的安全评级与用户的安全评分；
33.域名访问预测模块，用于根据所述用户域名访问行为数据集合，预测高概率访问的正常域名，形成域名资源列表；
34.域名资源调度模块，用于：
35.根据用户安全评估模块所给出的用户评估结果，将不同安全评级用户发起的正常域名请求发送到与其级别相对应的dns服务器子集中，以使所述dns服务器子集依据高安全评分优先的原则依次响应所述正常域名请求；其中，所述dns服务器子集的级别基于用户安全评级进行划分，各子集的计算能力与安全防护水平随着级别的上升而提高，同时对不同评级用户间的计算资源相互隔离。
36.根据域名访问预测模块给出的域名资源列表，在所述用户的安全评级高于设定阈值的情况下，基于所述用户的安全评级与地理位置信息，选择与所述用户地理位置较近，且与所述用户级别相对应的dns服务器子集中的一个或多个dns服务器，将所述的域名资源列表加载到所述dns服务器中，以提高域名解析缓存命中率与解析效率。
37.本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一所述方法。
38.本发明还提供一种电子装置，所述电子装置包括存储器和处理器，所述存储器中存储有计算机程序，所述计算机程序由所述处理器加载并执行，以实现上述任一所述方法。
39.本发明实施例提供的技术方案具备以下有益效果：
40.1.区别于传统单一的dga域名检测模型，本发明将布隆过滤器与dga域名检测模型相结合，利用布隆过滤器快速过滤特点，基于白名单信息，可快速从海量域名请求中将占多数的正常域名筛出，仅将疑似异常向后传递，大幅减小后续dga域名检测模型负载压力，提高系统性能。因此，能更能好地处理实际生产环境中，海量dns请求并发问题。
41.2.本发明提出了基于用户安全评估的dns服务器集隔离划分策略，将不同安全评级的用户匹配到不同的dns服务器子集中，能有效将高危用户与安全用户使用的域名解析资源隔离开来，降低dns服务器集整体遭受外部攻击的风险，提高系统安全性。
42.3.本发明将广泛应用在搜索推荐领域的协同过滤模型用于用户域名访问预测，将高可能被访问的域名资源提前调度到dns服务器缓存中，有利于提高域名解析缓存命中率，
帮助更好挖掘dns服务器性能，解决因缓存利用率低下导致的dns服务器性能降低的问题。
43.4.本发明提出了基于用户安全评估的域名解析分级响应策略，不同于传统dns服务器集“一视同仁”的做法，本策略优先保障高安全用户的域名解析需求，在解析资源紧张时，帮助减少高安全用户域名解析服务使用体验所受影响，提高服务质量。
44.5.本发明从域名数据安全、用户安全、系统安全、系统性能与服务质量保障五个维度出发，提出了一种基于域名请求风险管控的域名解析方法，能更好地应对实际生产环境中dns服务器集可能面对的僵尸网络、网络攻击、缓存命中率低下、服务器利用率低下、危险用户挤占正常用户资源等问题，多维度地提升dns集安全与性能。
附图说明
45.图1是本技术实施例提出的一种基于域名请求风险管控的域名解析方法的流程示意图。
46.图2是本技术实施例提出的一种基于域名请求风险管控的域名解析系统的架构图。
47.图3是本技术实施例提出的域名检测模块的流程示意图。
48.图4是本技术实施例提出的一种dga域名检测模型的工作流程图。
49.图5是本技术实施例提出的用户安全评估模块的流程示意图。
50.图6是本技术实施例提出的域名访问预测模块的流程示意图。
51.图7是本技术实施例提出的域名资源调度模块的流程示意图。
具体实施方式
52.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行完整地描述。
53.本发明的域名解析方法将用户终端发送的域名请求数据进行异常检测，标识正常域名请求与异常域名请求，并将用户域名访问行为数据记录到数据库；其次，基于用户域名访问行为数据，建立用户安全评估模型，对用户进行安全评级与评分；然后，将dns服务器集划分为多级子集，构建基于用户安全评级的域名解析服务能力分配算法，将各用户发起的正常域名请求发送到与其安全评级所匹配的dns服务器子集中，并基于用户高安全评分优先的原则进行解析响应；此外，建立用户域名资源访问预测模型，预测用户高概率可能访问的域名；最后，建立域名缓存资源调度模型，将高安全评级用户高概率访问的域名资源预先缓存到该用户附近的域名服务器中，提高缓存命中率。
54.具体来说，如图1所示，本发明包括如下过程：步骤s110将用户终端发送的域名请求数据进行异常检测，标识正常域名请求与异常域名请求。
55.一示例中，本发明对于用户终端发送的域名请求数据进行异常检测，通过基于白名单的布隆过滤器，将域名请求分为正常域名请求与疑似异常域名请求，后续利用基于深度学习的dga域名检测模型对疑似异常域名请求进行二次判断，划分为正常域名与14类dga异常域名，
56.步骤s120：正常域名请求返回dns服务器进行解析，拦截异常域名请求，并将用户域名访问行为数据记录到数据库。
57.步骤s130：获取用户域名访问行为数据，评估用户所属的安全评级与用户的安全评分。
58.一示例中，本发明获取数据库中用户行为数据，通过用户对异常域名的访问频率以及所访问域名的特征构建基于随机森林的用户安全评估模型，对用户的情况进行安全评级与用户安全评分。
59.步骤s140：将用户发起的正常域名请求发送到与其安全评级所匹配的dns服务器集，并进行解析响应。
60.一示例中，本发明将dns服务器集分为多级子，基于用户安全评级结果构建域名解析服务能力分配算法，将不同级别的用户划分到与其安全评级所匹配的dns服务器子集中进行服务，同时对于各dns服务器，基于用户安全评分结果，依照高安全评分优先的原则依次响应用户发起的正常域名请求。
61.步骤s150：基于用户域名访问行为数据集合预测高概率访问的正常域名资源列表。
62.一示例中，本发明通过用户域名访问行为数据，包括ip地址段、区域、用户、访问目标、资源消耗等多维信息，构建用户域名资源访问预测模型，预测用户高概率访问的正常域名，并形成域名资源列表。
63.步骤s160:当用户的安全评级高于设定阈值时，将该用户的域名资源列表加载到该用户附近的dns服务器中。
64.一示例中，在用户的安全评级高于设定阈值的情况下，通过域名缓存资源调度算法，将该用户高概率访问的域名资源列表调度缓存到该用户附近的dns服务器中，在保障高安全评级用户服务质量的同时，提高解析命中率与解析效率。
65.本领域技术人员应当理解的是，图1的流程图中的s110至s160步骤顺序并不是必然按照箭头指示依次执行，这些步骤的执行不是严格的依次进行。并且，图1中的各个步骤可以包含多个子部分，这些子部分并不限制在同一时刻执行完成，子部分的执行也没有严格的顺序限制。
66.与上述方法相对应的，如图2所示，本发明的另一实施例还同时提供一种基于域名请求风险管控的域名解析装置，包括：域名检测模块、用户安全评估模块、域名访问预测模块、域名资源调度模块，其中，
67.所述域名检测模块，收到用户终端发送的域名请求数据后，对域名进行异常检测，判别出正常域名请求与异常域名请求，将正常域名请求返回dns服务器继续解析，拦截异常域名请求。并将用户域名访问行为数据记录到数据库中；
68.所述用户安全评估模块，获取并处理数据库中的用户域名访问行为数据，定时地对用户进行安全评级与评分，并将评估结果发放到dns服务器集与域名资源调度模块。
69.所述域名访问预测模块，获取用户域名访问行为数据集合，通过用户对于正常域名请求的访问行为数据计算其未来设定时间窗口内高概率访问的正常域名，定时地形成域名资源列表推送给域名资源调度模块。
70.所述域名资源调度模块，一方面，基于用户安全评级与评分结果，通过域名解析服务能力分配算法将用户发起的正常域名请求划分到与其安全评级相对应的dns服务器子集中获得解析服务，dns服务器基于高安全评分用户优先的原则进行解析响应；另一方面，
基于用户的安全评级与地理位置信息，将用户高概率访问的域名资源表，缓存到该用户附近且与其安全评级所匹配的dns服务器中，以此提高域名解析缓存命中率与解析效率。
71.下面对域名检测模块、用户安全评估模块、域名访问预测模块以及域名资源调度模块的工作原理分别进行详细描述。
72.域名检测模块如图3所示：将用户发送域名请求消息中的域名数据，采用布隆过滤器和基于深度学习的dga域名检测模型双层架构进行验证。步骤s220具体包括，布隆过滤器是一种基于哈希函数的数据结构，在时间和空间方面有巨大优势，拥有常数级别的查询时间复杂度，可作为先行验证来提升域名检测的效率。另一方面，alexa提供的高频访问域名往往被认为是正常域名，因此采用alexa常被访问top10000域名作为白名单，对于获取到的域名请求消息，通过布隆过滤器使用的k个哈希函数对域名数据进行快速过滤。当判断一个域名数据是否为正常域名请求时，若布隆过滤器判定在该白名单中，则直接判断为正常域名请求，不作任何处理，反之，则为疑似异常域名请求，用后续的dga域名检测模型进行再判断；
73.步骤s230具体包括，通过域名字符特征判别dga域名是现有dga域名检测的主要方法之一。为获取dga域名字符间的结构化特征，本方法采用自然语言处理(nlp)中常用的n-gram模型对域名进行向量化编码。ngram是一种统计语言模型，依据n-1个语言元素来预测第n个语言元素，可以轻量化地捕捉语言元素之间地共现关系与序列关系特征。n的大小往往在1-5之间。由于域名字符串的长度往往在20字内，因此选用bigram作为编码方式，可在抽取域名词内字符相对关系的同时，一定程度保留域名的结构化信息。域名中字符的可能取值共有38种('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z','-','.')即bigram表示的取值共有38*38＝144种。考虑到dns域名长度都远小于255，因此每个域名都被表示为一个1444*64到二维张量。
74.卷积神经网络被广泛应用于图像识别中，可以有效抽取图片的局部特征且不受图片放置方向影响。如图4所示，本方法中dga域名检测模型以基于bigram编码的二维张量作为输入，使用卷积神经网络从域名序列中提取词内局部特征，同时，卷积神经网络的局部平移不变性可帮助模型的判断不受特征在域名字符中出现位置的影响。在使用卷积操作提起特征的阶段，并非是多个卷基层的堆叠，而是通过多个卷积核分别提取不同尺度的信息，然后将这几部分的信息进行通过concatenation进行融合，以得到更好的表征。在每次卷积之后都通过relu激活函数使模型非线性化，并通过最大池化对其进行下采样，以进行特征筛选与数据降维。融合之后多维张量被flatten“压平”成一维向量，输入到一系列全连接层中，将采集到的域名特征进行整合分类。其中每一个全连接层后都包含一个dropout以防止过拟合。多层全连接的输出结果使用relu非线性化，再输入到一个全连接层，得到一个包含15个节点的层(分别对应正常域名和14种dga域名)。最后，采用argmax函数，判别得到输入域名最有可能归属的类别的标签(其中0表示正常域名，1-14表示dga域名)。
75.域名检测模块对收到的域名数据进行异常检测，通过布隆过滤器筛选出的正常域名不做任何处理，将其请求返回dns服务器继续解析。对于dga域名检测模型分类结果中标签为0标识为正常域名，标签为1-14的dga域名标识为异常域名，将正常域名请求发送到dns服务器进行解析，拦截异常域名请求，同时将用户域名访问行为数据记录到数据库中。
76.用户安全评估模块，用于根据行为数据中用户与异常域名关联强弱等信息评估用户所属安全评级以及安全评分。为更好地适应场景需要，本发明在计算用户安全之前，先根据所述用户域名访问行为数据集合中数据的密度分布情况计算用户安全评级数量。通过k均值聚类中的手肘法，将安全评级等级数量k从1开始取值，直到取到合适的上限，对每一个k值进行聚类并且记下对于的sse((sum of the squared errors误差平方和))，然后画出k和sse的关系图，最后选取肘部对应的k作为最佳全评级等级数量。在得到用户安全评级数量之后，如图5所示，该用户安全评估模块包括：
77.步骤s310：读取数据库中记录的用户域名访问行为数据。
78.步骤s320：具体包括，通过域名类别、域名特征、用户访问域名类别以及访问频率等信息构建用户安全评估模型，对记录中的用户安全情况进行评分与评级。用户安全评估模型的训练过程主要包括以下步骤：首先，选取用户域名访问行为数据中，用户对各类域名的访问频率以及所访问域名的特征作为模型的训练数据；其中所选用的异常域名特征，包括布隆过滤器判定的疑似异常域名，后续dga域名检测模型判定的异常以及所属dga类别域名；由于需要对大规模的用户实现无监督的评级划分，因此采用功能强大的轻量无监督模型随机森林；随机森林是一种以决策树为估计器的bagging算法，通过有放回地随机选取数据子集与随机选择部分特征来构造多个决策树，综合各决策树分类结果来输出最终分类的模型。因此，对设有n个评级级别的用户安全评级模型，基于用户行为数据(ip，区域，访问域名、访问时间等)、对异常域名的访问频率与所访问异常域名特征(仅布隆过滤器判断异常，二层架构模型判定异常以及所属dga类别)，构造随机森林模型。
79.步骤s330：定时地对数据库中的用户进行安全评分与评级。
80.步骤s340：将评估结果推送给dns服务器集与域名资源调度模块。
81.域名访问预测模块如图6所示：读取数据库中记录的用户域名访问行为数据。步骤s350具体包括，通过ip地址段、区域、用户、访问目标、资源消耗等信息数据构建用户域名资源访问预测模型，为用户预测未来高概率可能访问的域名。其中，用户域名资源访问预测模型的训练过程主要包括以下步骤：首先，读取用户域名访问行为数据中安全用户对于正常域名的请求记录，将其整理为用户域名访问行为矩阵(用户对域名的访问次数)；其次，介于用户域名访问行为矩阵的稀疏性，采用交替最小二乘als矩阵分解法，抽取用户特征矩阵与域名特征矩阵；然后，由于用户对于域名的访问偏好往往是稳定的，无须帮助用户发掘更多其可能感兴趣的域名，只需预测可能访问的域名，因此采用基于域名特征相似度的协同过滤推荐算法(itemcf)。通过整理数据，将发出dns请求的ip+端口号视为用户，请求的域名视为物品，请求的次数视为评分，使用协同过滤推荐算法(itemcf)计算出用户最有可能请求的域名资源列表。最后基于处理的数据量，定时地将域名资源列表数据推送给域名资源调度模块。
82.域名资源调度模块如图7所示：一方面，基于用户安全评估模块推送的安全评级与安全评分结果，构建域名解析服务能力分配算法。其中步骤s420、s430具体包括，为了保障系统在解析能力分配过程中的安全性，基于用户安全评级数量将dns服务器集分为多级子，使得各子集与各用户安全评级相对应，其计算能力随着级别的上升而提高，并且对不同评级用户间的计算资源相互隔离。其中对解析请求响应的优先级进行排列，对于各集的dns服务器，当同时收到高评分用户与低评分用户的解析请求时，基于高评分优先原
则，使用与其所匹配的dns服务器子集优先对安全评分高的用户进行解析响应；
83.另一方面，基于用户安全评估模块与域名访问预测模块给出的用户评级结果与域名资源列表，构建域名缓存资源调度模型，对用户调度其高概率访问的域名资源。其中步骤s450、s460具体包括，当用户的安全评级高于设定阈值的情况下，通过域名缓存资源调度模型优先将该用户的域名资源列表缓存到该用户附近且与其安全评级所匹配的dns服务器中，因此在保障高安全评级用户服务质量的同时，提高解析命中率与解析效率。
84.上述说明示出并描述了本发明的若干优选实施例，但如前所述并非限制本发明的专利范围，应当理解本发明的各部分可以用多个组合来实现，在本发明说明书及附图示出多个步骤或方法由指令执行系统执行合适的软件或硬件来实现。以上所述均包括在本发明的专利保护范围内。

技术特征：

1.一种基于域名请求风险管控的域名解析方法，其特征在于，所述方法包括：基于域名解析集接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库；其中，所述域名访问行为数据库包含若干个用户的用户域名访问行为数据集合；根据所述用户域名访问行为数据库中数据的密度分布情况，确定用户安全评级数量，继而根据所述用户域名访问行为数据集合与异常域名关联强弱，评估用户所属的安全评级与用户的安全评分；基于所述用户域名访问行为数据集合，预测高概率访问的正常域名，形成域名资源列表；其中，所述域名资源列表用于在所述用户的安全评级高于设定阈值的情况下，根据所述用户的安全评级与地理位置信息，选择与所述用户级别相对应的dns服务器子集中的一个或多个dns服务器，将所述的域名资源列表加载到所述dns服务器中，以提高域名解析缓存命中率与解析效率；根据所述用户的安全评级，将不同安全评级用户发起的正常域名请求发送到与其级别相对应的dns服务器子集中，以使所述级别的dns服务器子集基于所述安全评分，依照高安全评分优先的原则依次响应所述正常域名请求；其中，所述dns服务器子集的级别依据用户安全评级进行划分，各子集的计算能力与安全防护水平随着级别的上升或下降而提高或降低，同时对不同评级用户间的计算资源相互隔离。2.如权利要求1所述的方法，其特征在于，所述基于域名解析集接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库，包括：通过布隆过滤器使用的k个哈希函数对所述域名请求的域名数据进行过滤，筛选出正常域名请求和疑似异常域名请求；通过对疑似异常域名请求中的域名进行向量化编码，将疑似异常域名表示为二维张量序列；针对所述二维张量序列，通过多个卷积核分别提取不同尺度的信息，并将所述不同尺度的信息通过concatenation进行融合，以得到融合表征；其中，每次卷积之后通过relu激活函数进行非线性化，且通过最大池化进行下采样；将融合之后的多维张量通过flatten形成一维向量，输入到多个全连接层，并对该多个全连接层的输出结果使用relu非线性化之后，输入全连接层，得到一个包含若干个节点的层；采用argmax函数，判别所述疑似异常域名为正常域名请求或异常域名请求。收集所述正常域名请求和异常域名请求的用户域名访问行为数据，并存储至域名访问行为数据库。3.如权利要求1所述的方法，其特征在于，所述基于域名解析集接收到的用户的域名请求，将所述域名请求标识为正常域名请求或异常域名请求，收集用户域名访问行为数据并存储至域名访问行为数据库，还包括：拦截异常域名请求。4.如权利要求1所述的方法，其特征在于，所述根据所述用户域名访问行为数据集合与异常域名关联强弱，评估用户所属的安全评级与用户的安全评分，包括：
获取所述用户域名访问行为数据集合中的用户行为数据；其中，所述用户行为数据包括：ip、区域、访问域名和访问时间；根据所述用户行为数据，获取用户对异常域名的访问频率以及所访问域名的特征；基于所述用户对所述异常域名的访问频率以及所访问域名的特征，构建基于随机森林的用户安全评估模型；将用户对异常域名的访问频率与所访问异常域名特征输入所述用户安全评估模型，得到所述用户的安全评分和安全评级。5.如权利要求1所述的方法，其特征在于，所述基于所述用户域名访问行为数据集合，预测高概率访问的正常域名，形成域名资源列表，包括：根据所述用户域名访问行为数据集合中正常域名请求对应的访问行为数据，构建用户域名访问行为矩阵；采用交替最小二乘als矩阵分解法对所述用户域名访问行为矩阵进行分解，得到用户特征矩阵与域名特征矩阵；整理所述域名特征矩阵，得到发出dns请求的ip+端口号、请求的域名和请求的次数；将发出dns请求的ip+端口号视为用户，请求的域名视为物品，请求的次数视为评分，并使用协同过滤推荐算法，预测高概率访问的正常域名；基于所述高概率访问的正常域名，形成域名资源列表。6.一种基于域名请求风险管控的域名解析装置，其特征在于，所述装置包括：域名检测模块，用于基于域名解析集接收到的用户的域名请求，收集用户域名访问行为数据并将所述域名请求标识正常域名请求或异常域名请求之后，存储至域名访问行为数据库；其中，所述域名访问行为数据库包含若干个用户的用户域名访问行为数据集合；用户安全评估模块，用于根据所述用户域名访问行为数据库中数据的密度分布情况，确定用户安全评级数量，继而根据所述用户域名访问行为数据集合与异常域名关联强弱，评估用户所属的安全评级与用户的安全评分；域名访问预测模块，用于根据所述用户域名访问行为数据集合，预测高概率访问的正常域名，形成域名资源列表；域名资源调度模块，用于：根据用户安全评估模块所给出的用户评估结果，将不同安全评级用户发起的正常域名请求发送到与其级别相对应的dns服务器子集中，以使所述dns服务器子集依据高安全评分优先的原则依次响应所述正常域名请求；其中，所述dns服务器子集的级别基于用户安全评级进行划分，各子集的计算能力与安全防护水平随着级别的上升而提高，同时对不同评级用户间的计算资源相互隔离。根据域名访问预测模块给出的域名资源列表，在所述用户的安全评级高于设定阈值的情况下，基于所述用户的安全评级与地理位置信息，选择与所述用户地理位置较近，且与所述用户级别相对应的dns服务器子集中的一个或多个dns服务器，将所述的域名资源列表加载到所述dns服务器中，以提高域名解析缓存命中率与解析效率。7.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-5中任一所述方法。8.一种电子装置，所述电子装置包括存储器和处理器，所述存储器中存储有计算机程
序，所述计算机程序由所述处理器加载并执行，以实现权利要求1-5中任一所述方法。

技术总结

本发明公开了一种基于域名请求风险管控的域名解析方法及装置，所述方法包括：将域名请求标识为正常域名请求或异常域名请求；根据用户域名访问行为数据集合与异常域名关联强弱，评估用户的安全评级与安全评分；将不同安全评级用户发起的正常域名请求发送到与其级别相对应的DNS服务器子集中，以使所述级别的DNS服务器子集基于安全评分按照顺序响应正常域名请求；预测高概率访问的正常域名，形成域名资源列表，用于在用户的安全评级高于设定阈值的情况下，将域名资源列表缓存到选择的DNS服务器，以此提高域名解析缓存命中率与解析效率。本发明解决了常规DNS服务器因遭受僵尸网络攻击与缓存利用率低下导致的域名服务器性能降低问题。器性能降低问题。器性能降低问题。