基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測方法、裝置、設(shè)備以及介質(zhì)與流程

本技術(shù)涉及一種人工智能，可應(yīng)用于金融以及醫(yī)療健康領(lǐng)域，特別是涉及一種基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測方法、裝置、設(shè)備以及介質(zhì)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)技術(shù)的深度普及與攻擊手段的隱蔽化演進(jìn)，域名系統(tǒng)（dns）作為網(wǎng)絡(luò)通信的核心基礎(chǔ)設(shè)施，已成為惡意行為的重要載體與隱蔽通道。尤其在醫(yī)療、金融這兩大對數(shù)據(jù)安全與業(yè)務(wù)連續(xù)性要求極高的關(guān)鍵領(lǐng)域，dns層面的安全隱患更具破壞性。在醫(yī)療領(lǐng)域中，惡意域名常被用于竊取患者隱私、篡改診療數(shù)據(jù)、攻擊醫(yī)院信息系統(tǒng)，直接威脅醫(yī)患權(quán)益與醫(yī)療秩序。在金融領(lǐng)域中，攻擊者會通過偽造域名、dns劫持等方式，實(shí)施釣魚詐騙、竊取用戶賬戶信息、非法轉(zhuǎn)移資金，嚴(yán)重?fù)p害金融機(jī)構(gòu)公信力與用戶財(cái)產(chǎn)安全，因此，基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測技術(shù)應(yīng)運(yùn)而生并成為網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵支撐。

2、目前，現(xiàn)有針對域名分析的風(fēng)險(xiǎn)預(yù)測通常采用域名特征提取與異常檢測進(jìn)行結(jié)合，以進(jìn)行具有風(fēng)險(xiǎn)預(yù)測功能的域名管理系統(tǒng)。其中，在特征層面，可以通過解析域名長度、熵值、子域多樣性等結(jié)構(gòu)特征，結(jié)合?dns?請求頻率、解析失敗率、ip?關(guān)聯(lián)關(guān)系等行為特征，構(gòu)建多維度風(fēng)險(xiǎn)識別指標(biāo)。在檢測方法上，采用機(jī)器學(xué)習(xí)算法協(xié)同的技術(shù)路徑，既通過預(yù)定義規(guī)則快速過濾已知惡意域名，又借助決策樹、xgboost、lstm?等模型實(shí)現(xiàn)對域名生成算法（dga）域名、仿冒域名（look-like）等未知威脅的智能識別。但是，現(xiàn)有的風(fēng)險(xiǎn)域名管理系統(tǒng)仍然依賴于靜態(tài)的黑名單或白名單配置，無法動態(tài)更新，導(dǎo)致響應(yīng)速度慢，對于域名的監(jiān)控?zé)o法實(shí)時(shí)檢測和攔截風(fēng)險(xiǎn)域名，并且，域名配置管理通常分散在多個(gè)系統(tǒng)中，缺乏統(tǒng)一的管理接口和工具，域名的分析多基于簡單的關(guān)鍵詞匹配，缺乏對域名行為的精準(zhǔn)分析和預(yù)測，因此，亟需一種基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測方法來解決上述問題。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本技術(shù)提供一種基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測方法、裝置、設(shè)備以及介質(zhì)，主要目的在于解決現(xiàn)有互聯(lián)網(wǎng)域名風(fēng)險(xiǎn)預(yù)測準(zhǔn)確性差的問題。

2、依據(jù)本技術(shù)一個(gè)方面，提供了一種基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測方法，包括：

3、響應(yīng)于互聯(lián)網(wǎng)數(shù)據(jù)訪問請求，調(diào)取監(jiān)控線程；

4、基于所述監(jiān)控線程中的黑名單規(guī)則、白名單規(guī)則以及風(fēng)險(xiǎn)分級規(guī)則中至少一項(xiàng)確定用戶訪問域名的風(fēng)險(xiǎn)等級；

5、若所述風(fēng)險(xiǎn)等級為低風(fēng)險(xiǎn)或中風(fēng)險(xiǎn)，則調(diào)取與所述風(fēng)險(xiǎn)等級對應(yīng)的風(fēng)險(xiǎn)預(yù)測模型，并基于所述風(fēng)險(xiǎn)預(yù)測模型對所述用戶訪問域名關(guān)聯(lián)的域名信譽(yù)、歷史行為、ip地址進(jìn)行預(yù)測，得到風(fēng)險(xiǎn)預(yù)測結(jié)果，所述風(fēng)險(xiǎn)預(yù)測模型為基于卷積神經(jīng)網(wǎng)絡(luò)與循環(huán)神經(jīng)網(wǎng)絡(luò)混合構(gòu)建的。

6、進(jìn)一步地，所述調(diào)取監(jiān)控線程之前，所述方法還包括：

7、獲取不同域名業(yè)務(wù)對應(yīng)的黑名單規(guī)則、白名單規(guī)則以及風(fēng)險(xiǎn)分級規(guī)則，并創(chuàng)建至少一個(gè)監(jiān)控線程；

8、將所述黑名單規(guī)則、所述白名單規(guī)則以及所述風(fēng)險(xiǎn)分級規(guī)則與所述監(jiān)控線程進(jìn)行對應(yīng)配置；

9、所述調(diào)取監(jiān)控線程包括：

10、基于所述互聯(lián)網(wǎng)數(shù)據(jù)訪問請求攜帶的業(yè)務(wù)信息與所述黑名單規(guī)則、所述白名單規(guī)則以及所述風(fēng)險(xiǎn)分級規(guī)則進(jìn)行匹配，確定調(diào)取的監(jiān)控線程。

11、進(jìn)一步地，所述方法還包括：

12、將所述監(jiān)控線程與域名接口關(guān)聯(lián)配置，以便通過所述域名接口對所述監(jiān)控線程中的黑名單規(guī)則、白名單規(guī)則以及風(fēng)險(xiǎn)分級規(guī)則中至少一項(xiàng)進(jìn)行配置或更新。

13、進(jìn)一步地，所述基于所述監(jiān)控線程中的黑名單規(guī)則、白名單規(guī)則以及風(fēng)險(xiǎn)分級規(guī)則中至少一項(xiàng)確定用戶訪問域名的風(fēng)險(xiǎn)等級包括：

14、判斷所述用戶訪問域名是否與所述黑名單規(guī)則匹配；

15、若匹配所述黑名單規(guī)則，則判斷所述用戶訪問域名與所述白名單規(guī)則匹配；

16、若不匹配所述黑名單規(guī)則，則確定所述風(fēng)險(xiǎn)等級為高風(fēng)險(xiǎn)；

17、若匹配所述白名單規(guī)則，則確定所述風(fēng)險(xiǎn)等級為低風(fēng)險(xiǎn)；

18、若不匹配所述白名單規(guī)則，則基于所述風(fēng)險(xiǎn)分級規(guī)則確定所述用戶訪問域名對應(yīng)的風(fēng)險(xiǎn)等級，所述風(fēng)險(xiǎn)分級規(guī)則用于表征基于域名特征、請求特征、用戶特征中至少一項(xiàng)進(jìn)行風(fēng)險(xiǎn)分級的規(guī)則內(nèi)容；

19、其中，所述風(fēng)險(xiǎn)等級包括低風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)以及中風(fēng)險(xiǎn)。

20、進(jìn)一步地，所述調(diào)取與所述風(fēng)險(xiǎn)等級對應(yīng)的風(fēng)險(xiǎn)預(yù)測模型之前，所述方法還包括：

21、獲取標(biāo)記不同風(fēng)險(xiǎn)的域名信譽(yù)樣本、歷史行為樣本以及ip地址樣本，并創(chuàng)建包括卷積神經(jīng)網(wǎng)絡(luò)與循環(huán)神經(jīng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)預(yù)測模型，所述卷積神經(jīng)網(wǎng)絡(luò)包括輸入層以及特征提取層，所述循環(huán)神經(jīng)網(wǎng)絡(luò)包括特征融合層以及輸出層；

22、將所述域名信譽(yù)樣本、所述歷史行為樣本以及所述ip地址樣本作為輸入?yún)?shù)，依次輸入至所述卷積神經(jīng)網(wǎng)絡(luò)與所述循環(huán)神經(jīng)網(wǎng)絡(luò)中，以完成對所述風(fēng)險(xiǎn)預(yù)測模型的模型訓(xùn)練。

23、進(jìn)一步地，所述方法還包括：

24、若所述風(fēng)險(xiǎn)等級為高等級，則對所述互聯(lián)網(wǎng)數(shù)據(jù)訪問請求進(jìn)行攔截，并基于所述用戶訪問域名對所述域名信譽(yù)樣本、歷史行為樣本以及ip地址樣本進(jìn)行更新。

25、進(jìn)一步地，所述基于所述風(fēng)險(xiǎn)預(yù)測模型對所述用戶訪問域名關(guān)聯(lián)的域名信譽(yù)、歷史行為、ip地址進(jìn)行預(yù)測，得到風(fēng)險(xiǎn)預(yù)測結(jié)果之后，所述方法還包括：

26、若所述風(fēng)險(xiǎn)預(yù)測結(jié)果為惡意域名風(fēng)險(xiǎn)結(jié)果，則對所述互聯(lián)網(wǎng)數(shù)據(jù)訪問請求進(jìn)行攔截，并根據(jù)所述惡意域名風(fēng)險(xiǎn)結(jié)果對所述黑名單規(guī)則以及所述風(fēng)險(xiǎn)分級規(guī)則進(jìn)行更新；

27、若所述風(fēng)險(xiǎn)預(yù)測結(jié)果為正常域名風(fēng)險(xiǎn)結(jié)果，則對所述互聯(lián)網(wǎng)數(shù)據(jù)訪問請求進(jìn)行放行，并根據(jù)所述正常域名風(fēng)險(xiǎn)結(jié)果對所述白名單規(guī)則以及所述風(fēng)險(xiǎn)分級規(guī)則進(jìn)行更新。

28、依據(jù)本技術(shù)另一個(gè)方面，提供了一種基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測裝置，包括：

29、調(diào)取模塊，用于響應(yīng)于互聯(lián)網(wǎng)數(shù)據(jù)訪問請求，調(diào)取監(jiān)控線程；

30、確定模塊，用于基于所述監(jiān)控線程中的黑名單規(guī)則、白名單規(guī)則以及風(fēng)險(xiǎn)分級規(guī)則中至少一項(xiàng)確定用戶訪問域名的風(fēng)險(xiǎn)等級；

31、預(yù)測模塊，用于若所述風(fēng)險(xiǎn)等級為低風(fēng)險(xiǎn)或中風(fēng)險(xiǎn)，則調(diào)取與所述風(fēng)險(xiǎn)等級對應(yīng)的風(fēng)險(xiǎn)預(yù)測模型，并基于所述風(fēng)險(xiǎn)預(yù)測模型對所述用戶訪問域名關(guān)聯(lián)的域名信譽(yù)、歷史行為、ip地址進(jìn)行預(yù)測，得到風(fēng)險(xiǎn)預(yù)測結(jié)果，所述風(fēng)險(xiǎn)預(yù)測模型為基于卷積神經(jīng)網(wǎng)絡(luò)與循環(huán)神經(jīng)網(wǎng)絡(luò)混合構(gòu)建的。

32、進(jìn)一步地，所述裝置還包括：獲取模塊，配置模塊，

33、所述獲取模塊，用于獲取不同域名業(yè)務(wù)對應(yīng)的黑名單規(guī)則、白名單規(guī)則以及風(fēng)險(xiǎn)分級規(guī)則，并創(chuàng)建至少一個(gè)監(jiān)控線程；

34、所述配置模塊，用于將所述黑名單規(guī)則、所述白名單規(guī)則以及所述風(fēng)險(xiǎn)分級規(guī)則與所述監(jiān)控線程進(jìn)行對應(yīng)配置；

35、所述調(diào)取模塊，具體用于基于所述互聯(lián)網(wǎng)數(shù)據(jù)訪問請求攜帶的業(yè)務(wù)信息與所述黑名單規(guī)則、所述白名單規(guī)則以及所述風(fēng)險(xiǎn)分級規(guī)則進(jìn)行匹配，確定調(diào)取的監(jiān)控線程。

36、進(jìn)一步地，

37、所述配置模塊，還用于將所述監(jiān)控線程與域名接口關(guān)聯(lián)配置，以便通過所述域名接口對所述監(jiān)控線程中的黑名單規(guī)則、白名單規(guī)則以及風(fēng)險(xiǎn)分級規(guī)則中至少一項(xiàng)進(jìn)行配置或更新。

38、進(jìn)一步地，

39、所述確定模塊，具體用于判斷所述用戶訪問域名是否與所述黑名單規(guī)則匹配；若匹配所述黑名單規(guī)則，則判斷所述用戶訪問域名與所述白名單規(guī)則匹配；若不匹配所述黑名單規(guī)則，則確定所述風(fēng)險(xiǎn)等級為高風(fēng)險(xiǎn)；若匹配所述白名單規(guī)則，則確定所述風(fēng)險(xiǎn)等級為低風(fēng)險(xiǎn)；若不匹配所述白名單規(guī)則，則基于所述風(fēng)險(xiǎn)分級規(guī)則確定所述用戶訪問域名對應(yīng)的風(fēng)險(xiǎn)等級，所述風(fēng)險(xiǎn)分級規(guī)則用于表征基于域名特征、請求特征、用戶特征中至少一項(xiàng)進(jìn)行風(fēng)險(xiǎn)分級的規(guī)則內(nèi)容；其中，所述風(fēng)險(xiǎn)等級包括低風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)以及中風(fēng)險(xiǎn)。

40、進(jìn)一步地，所述裝置還包括：

41、創(chuàng)建模塊，用于獲取標(biāo)記不同風(fēng)險(xiǎn)的域名信譽(yù)樣本、歷史行為樣本以及ip地址樣本，并創(chuàng)建包括卷積神經(jīng)網(wǎng)絡(luò)與循環(huán)神經(jīng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)預(yù)測模型，所述卷積神經(jīng)網(wǎng)絡(luò)包括輸入層以及特征提取層，所述循環(huán)神經(jīng)網(wǎng)絡(luò)包括特征融合層以及輸出層；

42、訓(xùn)練模塊，用于將所述域名信譽(yù)樣本、所述歷史行為樣本以及所述ip地址樣本作為輸入?yún)?shù)，依次輸入至所述卷積神經(jīng)網(wǎng)絡(luò)與所述循環(huán)神經(jīng)網(wǎng)絡(luò)中，以完成對所述風(fēng)險(xiǎn)預(yù)測模型的模型訓(xùn)練。

43、進(jìn)一步地，所述裝置還包括：

44、更新模塊，用于若所述風(fēng)險(xiǎn)等級為高等級，則對所述互聯(lián)網(wǎng)數(shù)據(jù)訪問請求進(jìn)行攔截，并基于所述用戶訪問域名對所述域名信譽(yù)樣本、歷史行為樣本以及ip地址樣本進(jìn)行更新。

45、進(jìn)一步地，

46、所述更新模塊，還用于若所述風(fēng)險(xiǎn)預(yù)測結(jié)果為惡意域名風(fēng)險(xiǎn)結(jié)果，則對所述互聯(lián)網(wǎng)數(shù)據(jù)訪問請求進(jìn)行攔截，并根據(jù)所述惡意域名風(fēng)險(xiǎn)結(jié)果對所述黑名單規(guī)則以及所述風(fēng)險(xiǎn)分級規(guī)則進(jìn)行更新；若所述風(fēng)險(xiǎn)預(yù)測結(jié)果為正常域名風(fēng)險(xiǎn)結(jié)果，則對所述互聯(lián)網(wǎng)數(shù)據(jù)訪問請求進(jìn)行放行，并根據(jù)所述正常域名風(fēng)險(xiǎn)結(jié)果對所述白名單規(guī)則以及所述風(fēng)險(xiǎn)分級規(guī)則進(jìn)行更新。

47、根據(jù)本技術(shù)的又一方面，提供了一種計(jì)算機(jī)可讀存儲介質(zhì)，所述存儲介質(zhì)中存儲有至少一可執(zhí)行指令，所述可執(zhí)行指令使處理器執(zhí)行如上述基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測方法對應(yīng)的操作。

48、根據(jù)本技術(shù)的再一方面，提供了一種計(jì)算機(jī)設(shè)備，包括：處理器、存儲器、通信接口和通信總線，所述處理器、所述存儲器和所述通信接口通過所述通信總線完成相互間的通信；

49、所述存儲器用于存放至少一可執(zhí)行指令，所述可執(zhí)行指令使所述處理器執(zhí)行上述基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測方法對應(yīng)的操作。

50、借由上述技術(shù)方案，本技術(shù)實(shí)施例提供的技術(shù)方案至少具有下列優(yōu)點(diǎn)：

51、本技術(shù)提供了一種基于域名分析的互聯(lián)網(wǎng)風(fēng)險(xiǎn)預(yù)測方法、裝置、設(shè)備以及介質(zhì)，與現(xiàn)有技術(shù)相比，本技術(shù)實(shí)施例通過響應(yīng)于互聯(lián)網(wǎng)數(shù)據(jù)訪問請求，調(diào)取監(jiān)控線程；基于所述監(jiān)控線程中的黑名單規(guī)則、白名單規(guī)則以及風(fēng)險(xiǎn)分級規(guī)則中至少一項(xiàng)確定用戶訪問域名的風(fēng)險(xiǎn)等級；若所述風(fēng)險(xiǎn)等級為低風(fēng)險(xiǎn)或中風(fēng)險(xiǎn)，則調(diào)取與所述風(fēng)險(xiǎn)等級對應(yīng)的風(fēng)險(xiǎn)預(yù)測模型，并基于所述風(fēng)險(xiǎn)預(yù)測模型對所述用戶訪問域名關(guān)聯(lián)的域名信譽(yù)、歷史行為、ip地址進(jìn)行預(yù)測，得到風(fēng)險(xiǎn)預(yù)測結(jié)果，所述風(fēng)險(xiǎn)預(yù)測模型為基于卷積神經(jīng)網(wǎng)絡(luò)與循環(huán)神經(jīng)網(wǎng)絡(luò)混合構(gòu)建的，實(shí)現(xiàn)結(jié)合機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析技術(shù)目的，對域名行為進(jìn)行智能分析和預(yù)測，提高風(fēng)險(xiǎn)識別的準(zhǔn)確性。

52、上述說明僅是本技術(shù)技術(shù)方案的概述，為了能夠更清楚了解本技術(shù)的技術(shù)手段，而可依照說明書的內(nèi)容予以實(shí)施，并且為了讓本技術(shù)的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本技術(shù)的具體實(shí)施方式。