CN117376307B

CN117376307B - 域名处理方法、装置及设备

Info

Publication number: CN117376307B
Application number: CN202311435288.0A
Authority: CN
Inventors: 邹立刚; 陈鹭; 董明舟
Original assignee: Beijing Guoke Cloud Computing Technology Co ltd
Current assignee: Beijing Guoke Cloud Computing Technology Co ltd
Priority date: 2023-10-31
Filing date: 2023-10-31
Publication date: 2024-04-02
Anticipated expiration: 2043-10-31
Also published as: CN117376307A

Abstract

本申请实施例提供一种域名处理方法、装置及设备，涉及计算机技术领域。该方法包括：获取域名解析请求，并对域名解析请求中的目标域名进行字符分段处理，得到字符信息，字符信息中包括多个字符串；通过自然语言处理NLP模型对字符信息进行处理，得到目标域名为异常域名的第一概率，NLP模型中包括多头注意力机制层；根据第一概率和NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使域名解析服务根据策略名单对域名解析请求进行处理；通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型，并根据目标域名类型更新策略名单，目标域名类型为正常类型或者异常类型，行为分类模型包括多个弱分类器。提高了域名处理的准确性。

Description

域名处理方法、装置及设备

技术领域

本申请实施例涉及计算机技术领域，尤其涉及一种域名处理方法、装置及设备。

背景技术

通信设备(例如，终端设备、服务器等)在通过网络进行数据传输时，需要根据域名确定进行数据传输的至少一个通信设备以及通信设备的网际互连协议(InternetProtocol，IP)地址。

为了防止数据传输时存在带有攻击的恶意域名，可以在进行数据传输之前，对对应的域名进行处理。避免恶意域名对应的设备对其他通信设备进行攻击，导致其他通信设备信息泄露。在相关技术中，可以通过如下方式进行域名处理：获取域名对应的数据包，并对域名对应的数据包进行解析处理，得到域名对应的至少一个字段。通过神经网络模型、决策树模型等自然语言处理(Natural Language Processing，NLP)模型，对域名对应的至少一个字段进行语义识别处理，得到域名对应的至少一个字段的语义特征信息。根据语义特征信息，确定域名对应的域名类型。域名类型为正常类型或者异常类型。若域名类型为异常类型，对对应的域名进行拦截处理，避免域名对应的设备对其他通信设备进行攻击。

在上述过程中，由于NLP模型处理得到的语义特征信息维度较少，语义特征信息不能全面准确的反应域名的特征，导致域名处理的准确性较低。

发明内容

本申请实施例提供一种域名处理方法、装置及设备，用以解决域名处理的准确性较低的问题。

第一方面，本申请实施例提供一种域名处理方法，包括：

获取域名解析请求，并对所述域名解析请求中的目标域名进行字符分段处理，得到字符信息，所述字符信息中包括多个字符串；

通过自然语言处理NLP模型对所述字符信息进行处理，得到所述目标域名为异常域名的第一概率，所述NLP模型中包括多头注意力机制层；

根据所述第一概率和所述NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使所述域名解析服务根据所述策略名单对所述域名解析请求进行处理，所述策略名单包括多个域名、以及每个域名对应的域名权重；

通过行为分类模型对所述域名解析请求进行处理，得到所述目标域名的目标域名类型，并根据所述目标域名类型更新所述策略名单，所述目标域名类型为正常类型或者异常类型，所述行为分类模型包括多个弱分类器。

在一种可能的实施方式中，对所述域名解析请求中的目标域名进行字符分段处理，得到字符信息，包括：

将所述域名解析请求中二进制格式的目标域名，转换为初始字符串，所述初始字符串的格式为字符串格式；

通过后缀标签库对所述初始字符串进行分割处理，以在所述初始字符串中确定主域名对应的目标字符串；

按照目标长度，对所述目标字符串进行字符分段处理，得到所述字符信息。

在一种可能的实施方式中，所述目标长度为2；按照目标长度，对所述目标字符串进行字符分段处理，得到所述字符信息，包括：

根据马尔科夫链确定多个预设字符长度对应的频率特征，并根据所述多个预设字符长度对应的频率特征，在所述多个预设字符长度中确定所述目标长度；

将所述目标字符串中的第一个字符确定为第一个字符串；

将所述目标字符串中的第i个和第i+1个字符确定为第i个字符串，所述i依次取2、3、……、N-1，所述N为所述目标字符串的长度；

将所述目标字符串中的第N个字符确定为第N个字符串；

确定所述字符信息包括所述第一个字符串至所述第N个字符串。

在一种可能的实施方式中，通过NLP模型对所述字符信息进行处理，得到所述目标域名为异常域名的第一概率，包括：

对所述字符信息中的每个字符串进行位置编码处理，得到每个字符串对应的位置编码向量，得到多个位置编码向量，所述位置编码向量包括所述字符串的文本特征、以及所述字符串在所述字符信息中的位置特征；

通过所述NLP模型对所述多个位置编码向量进行处理，得到所述第一概率。

在一种可能的实施方式中，对所述字符信息中的每个字符串进行位置编码处理，得到每个字符串对应的位置编码向量，得到多个位置编码向量，包括：

确定所述字符信息中每个字符串对应的字符串向量，得到多个字符串向量；

对所述多个字符串向量进行内积运算，得到内积向量；

针对任意一个字符串，将所述字符串对应的字符串向量与所述内积向量进行相加处理，得到所述字符串对应的位置编码向量；

确定所述多个位置编码向量包括每个字符串对应的位置编码向量。

在一种可能的实施方式中，所述NLP模型还包括第一残差链接及归一化层、线性变换特征提取层和第二残差链接及归一化层；通过所NLP模型对所述多个位置编码向量进行处理，得到所述第一概率，包括：

通过所述多头注意力机制层对所述多个位置编码向量进行处理，得到每个位置编码向量对应的注意力权重；

针对任意一个位置编码向量，通过所述位置编码向量对应的注意力权重对所述位置编码向量进行处理，得到所述位置编码向量对应的目标向量；

通过所述第一残差链接及归一化层、所述线性变换特征提取层、以及所述第二残差链接及归一化层对每个位置编码向量对应的目标向量进行处理，得到所述第一概率。

在一种可能的实施方式中，根据所述第一概率和所述NLP模型对应的期望概率，更新域名解析服务器中的策略名单，包括：

获取所述第一概率与所述期望概率之间的概率差值；

若所述概率差值大于或等于预设差值，向所述域名解析服务器发送更新指令，所述更新指令中包括所述目标域名；其中，更新指令用于指示所述域名解析服务器将所述目标域名添加至所述策略名单，或者更新所述策略名单中对应的域名权重。

在一种可能的实施方式中，通过行为分类模型对所述域名解析请求进行处理，得到所述目标域名的域名类型，包括：

对所述域名解析请求进行解析处理，得到所述域名解析请求对应的网络协议特征，所述网络协议特征包括如下至少一种：源互联网协议IP地址、源端口号、目的IP地址、目的端口号、协议类型和时间戳；

对历史域名解析日志进行特征提取处理，得到多个日志特征，所述日志特征包括如下至少两种：周期内域名解析的不同IP数量、周期内相同域名被解析的总次数、周期内域名解析的返回值；

在所述多个网络协议特征和多个日志特征中，确定每个弱分类器对应的目标特征；

针对任意一个弱分类器，通过所述弱分类器对应的目标特征进行处理，得到所述弱分类器检测得到的初始域名类型；

根据每个弱分类器对应的初始域名类型，确定所述目标域名类型。

在一种可能的实施方式中，根据每个弱分类器对应的初始域名类型，确定所述目标域名类型，包括：

通过训练集对每个弱分类器进行训练，更新每个弱分类器的分类器权重；

针对任意一次对每个弱分类器的训练，将分类器权重为中位数的弱分类器，确定为第一分类器，得到多个第一分类器，并将所述多个第一分类器确定强分类器；

根据所述每个弱分类器对应的初始域名类型和所述强分类器，确定所述目标域名类型。

在一种可能的实施方式中，所述方法还包括：

所述域名解析服务器确定处理模式，所述处理模式为业务优先模式或者安全优先模式；

若所述处理模式为所述安全优先模式，则判断所述策略名单中是否存在所述目标域名；

若是，则对所述域名解析请求进行丢包处理，或者，根据所述策略名单中对应的域名权重，对所述域名解析请求对应的目标设备进行限速处理。

第二方面，本申请实施例提供一种域名处理装置，所述装置包括：

获取模块，用于获取域名解析请求，并对所述域名解析请求中的目标域名进行字符分段处理，得到字符信息，所述字符信息中包括多个字符串；

第一处理模块，用于通过自然语言处理NLP模型对所述字符信息进行处理，得到所述目标域名为异常域名的第一概率，所述NLP模型中包括多头注意力机制层；

更新模块，用于根据所述第一概率和所述NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使所述域名解析服务根据所述策略名单对所述域名解析请求进行处理，所述策略名单包括多个域名、以及每个域名对应的域名权重；

第二处理模块，用于通过行为分类模型对所述域名解析请求进行处理，得到所述目标域名的目标域名类型，并根据所述目标域名类型更新所述策略名单，所述目标域名类型为正常类型或者异常类型，所述行为分类模型包括多个弱分类器。

在一种可能的实施方式中，所述获取模块具体用于：

将所述目标字符串中的第一个字符确定为第一个字符串；

将所述目标字符串中的第N个字符确定为第N个字符串；

在一种可能的实施方式中，所述第一处理模块具体用于：

对所述多个字符串向量进行内积运算，得到内积向量；

在一种可能的实施方式中，所述第一处理模块具体用于：

在一种可能的实施方式中，所述更新模块具体用于：

获取所述第一概率与所述期望概率之间的概率差值；

在一种可能的实施方式中，所述第二处理模块具体用于：

在一种可能的实施方式中，所述装置还包括第三处理模块。

其中，所述第三处理模块用于：

第三方面，本申请实施例提供一种域名处理设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行第一方面任一项所述的方法。

第四方面，本申请实施例提供一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行第一方面中任一项所述的方法。

第五方面，本申请实施例提供一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现第一方面中任一项所述的方法。

本申请实施例提供的域名处理方法、装置及设备，获取域名解析请求，并对域名解析请求中的目标域名进行字符分段处理，得到字符信息。通过NLP模型对字符信息进行处理，得到目标域名为异常域名的第一概率。根据第一概率和NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使域名解析服务根据策略名单对域名解析请求进行处理。通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型。根据目标域名类型更新策略名单。在上述过程中，可以通过NLP模型对域名对应的字符信息进行处理，得到目标域名为异常域名的第一概率。并更新域名解析服务器中的策略名单。且在NLP模型进行处理之后，域名解析服务根据策略名单通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型。通过两个模型进行处理，可以更加全面的反应域名的特征信息。并在两次处理过程中实时更新策略名单，以调整域名权重。调整过后的域名权重可以更加准确的确定目标域名类型，从而提高了域名处理的准确性。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请实施例提供的应用场景的示意图；

图2为本申请实施例提供的一种域名处理方法的流程示意图；

图3为本申请实施例提供的另一种域名处理方法的流程示意图；

图4为本申请实施例提供的多个预设字符长度对应的频率特征的示意图；

图5为本申请实施例提供的NLP模型对域名进行识别处理的结果示意图；

图6为本申请实施例提供的NLP模型处理多个位置编码向量的过程示意图；

图7为本申请实施例提供的设置挂载点的位置示意图；

图8为本申请实施例提供的域名处理的过程示意图；

图9为本申请实施例提供的一种域名处理装置的结构示意图；

图10为本申请实施例提供的另一种域名处理装置的结构示意图；

图11为本申请实施例提供的域名处理设备的结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

需要说明的是，本申请域名处理的方法和装置可用于计算机领域，也可用于除计算机之外的任意领域，本申请域名处理的方法和装置的应用领域不作限定。

为了便于理解，下面，结合图1，对本申请实施例所适用的应用场景进行说明。

图1为本申请实施例提供的应用场景的示意图。请参见图1，包括终端设备101、服务器102以及域名处理设备103。终端设备101可以为手机、平板电脑、电脑等。服务器102中设置有数据库。域名处理设备103中设置有域名处理系统，域名处理系统用于确定域名类型。终端设备101通过应用程序获取服务器102的数据库中的数据之前，域名处理设备103接收终端设备101发送的域名数据包。域名处理设备103的域名处理系统对域名数据包识别处理，确定终端设备101的域名类型。当确定终端设备101的域名类型为正常类型时，终端设备101可以从服务器102的数据库中获取数据。

在相关技术中，可以通过如下方式进行域名处理：获取域名对应的数据包，并对域名对应的数据包进行解析处理，得到域名对应的至少一个字段。通过神经网络模型、决策树模型等自然语言处理(Natural Language Processing，NLP)模型，对域名对应的至少一个字段进行语义识别处理，得到域名对应的至少一个字段的语义特征信息。根据语义特征信息，确定域名对应的域名类型。域名类型为正常类型或者异常类型。若域名类型为异常类型，对对应的域名进行拦截处理，避免域名对应的设备对其他通信设备进行攻击。在上述过程中，由于NLP模型处理得到的语义特征信息维度较少，语义特征信息不能全面准确的反应域名的特征，导致域名处理的准确性较低。

本申请实施例中，获取域名解析请求，并对域名解析请求中的目标域名进行字符分段处理，得到字符信息。通过NLP模型对字符信息进行处理，得到目标域名为异常域名的第一概率。根据第一概率和NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使域名解析服务根据策略名单对域名解析请求进行处理。通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型。根据目标域名类型更新策略名单。在上述过程中，可以通过NLP模型对域名对应的字符信息进行处理，得到目标域名为异常域名的第一概率。并更新域名解析服务器中的策略名单。且在NLP模型进行处理之后，域名解析服务根据策略名单通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型。通过两个模型进行处理，可以更加全面的反应域名的特征信息。并在两次处理过程中实时更新策略名单，以调整域名权重。调整过后的域名权重可以更加准确的确定目标域名类型，从而提高了域名处理的准确性。

下面，通过具体实施例对本申请所示的方法进行说明。需要说明的是，下面几个实施例可以单独存在，也可以互相结合，对于相同或相似的内容，在不同的实施例中不再重复说明。

图2为本申请实施例提供的一种域名处理方法的流程示意图。请参见图2，该方法可以包括：

S201、获取域名解析请求，并对域名解析请求中的目标域名进行字符分段处理，得到字符信息。

本申请实施例的执行主体可以为域名处理设备，也可以为设置在域名处理设备中的域名处理装置。域名处理装置可以通过软件实现，也可以通过软件和硬件的结合实现。域名处理设备可以为服务器。

字符信息中包括多个字符串。

当终端设备与其他通信设备进行数据传输之前，域名处理设备可以通过监控程序获取域名解析请求。域名解析请求中包括目标域名。

可以通过如下方式，对域名解析请求中的目标域名进行字符分段处理，得到字符信息：将域名解析请求中二进制格式的目标域名，转换为初始字符串，初始字符串的格式为字符串格式；通过后缀标签库对初始字符串进行分割处理，以在初始字符串中确定主域名对应的目标字符串；按照目标长度，对目标字符串进行字符分段处理，得到字符信息。目标长度为2。

在将目标域名转换为初始字符串之后，可以根据gTLD/ccTLD/newgTLD后缀标签库，确定初始字符串中主域名对应的目标字符串。通过后缀标签库对初始字符串进行匹配处理。以在初始字符串中，确定与后缀标签库中的字符串相同的至少一个第一字符串。并在目标域名对应的多个字符串中，将除至少一个第一字符串之外的字符串，确定为主域名对应的目标字符串。

例如，域名处理设备获取到的域名解析请求包括目标域名为wwwabc145com。域名处理设备将二进制格式的目标域名，转换为初始字符串www.abc145.com。域名处理设备将www.abc145.com与缀标签库进行匹配处理，在初始字符串www.abc145.com中确定与后缀标签库中的字符串相同的至少一个第一字符串为www以及com。因此，域名处理设备确定目标字符串为#abc145#。域名处理设备按照目标长度2，对目标字符串#abc145#进行字符分段处理，得到字符信息包括”#a”、”ab”、”bc”、”c1”、”14”、”45”、”5#”。

S202、通过NLP模型对字符信息进行处理，得到目标域名为异常域名的第一概率。

NLP模型中包括多头注意力机制层。

可以通过如下方式通过NLP模型对字符信息进行处理，得到目标域名为异常域名的第一概率：对字符信息中的每个字符串进行位置编码处理，得到每个字符串对应的位置编码向量，得到多个位置编码向量，位置编码向量包括字符串的文本特征、以及字符串在字符信息中的位置特征；通过NLP模型对多个位置编码向量进行处理，得到第一概率。

可以通过三角式绝对位置编码函数，对字符信息中的每个字符串进行位置编码处理，得到每个字符串对应的位置编码向量，得到多个位置编码向量。

在进行位置编码处理之前，可以根据Bi-gram算法确定字符信息对应的初始向量。初始向量包括至少一个元素，每个元素对应字符信息中的一个字符串。

应用自注意力机制，计算每个位置编码向量的查询(Query，Q)值、键值(key)和值(Value)来计算注意力权重。多个位置编码向量的Q值生成查询矩阵，多个位置编码向量的键值生成键值矩阵，多个位置编码向量的V值生成V值矩阵。查询矩阵与键值矩阵相乘得到权重向量，然后将权重向量与V值矩阵相乘，得到每个位置编码向量对应的注意力权重。注意力权重用于指示字符信息中多个位置编码向量与注意力权重之间的相关性。之后，将注意力权重分配给多个位置编码向量中的每个字符串对应的位置编码向量，得到中间向量。中间向量的每个字符串对应的位置编码向量与注意力权重之间的相关性信息。将原始向量与对应的位置编码向量的注意力权重进行加权求和，得到目标向量。目标向量包括每个字符串的文本特征、字符串在字符信息中的位置特征以及对应的注意力权重的信息。将目标向量输入到NLP模型中后续的网络结构中进行进一步处理，从而得到第一概率。

例如，字符信息对应的初始向量为([0，0，0]、[1，1，1]、[2，2，2])，初始向量中每个字符串对应的子向量分别用(V1，V2，V3)表示。对于每个位置，将V1，V2，V3这三个子向量进行内积运算，得到内积向量W。将内积向量W与初始向量(V1，V2，V3)进行逐元素相加，得到多个位置编码向量U。位置编码向量的长度等于初始向量的长度。通过NLP模型对多个位置编码向量U进行处理，得到第一概率为0.2。

S203、根据第一概率和NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使域名解析服务根据策略名单对域名解析请求进行处理。

策略名单包括多个域名、以及每个域名对应的域名权重。

可以通过如下方式根据第一概率和NLP模型对应的期望概率，更新域名解析服务器中的策略名单：获取第一概率与期望概率之间的概率差值；若概率差值大于或等于预设差值，向域名解析服务器发送更新指令，更新指令中包括目标域名；其中，更新指令用于指示域名解析服务上次器将目标域名添加至策略名单，或者更新策略名单中对应的域名权重。

可以提前设置NLP模型对应的期望概率与预设差值，并将NLP模型对应的期望概率与预设差值存储至域名处理设备的预设存储空间中。

例如，根据上述举例所示，确定目标域名为域名A，确定目标字符串对应的字符信息包括”#a”、”ab”、”bc”、”c1”、”14”、”45”、”5#”。通过NLP模型对字符信息进行处理，得到目标域名为异常域名的第一概率为0.8。假设NLP模型对应的期望概率为0.5，预设差值为0。则可以确定第一概率与期望概率之间的概率差值为0.8-0.5＝0.3，第一概率与期望概率之间的概率差值大于等于预设差值0。因此，域名处理设备向域名解析服务器发送更新指令，更新指令中包括域名A。解析服务器接收到域名处理设备发送的更新指令之后，根据目标域名更新解析服务器存储的策略名单。以使域名处理设备再次接收到目标域名对应的目标设备发送的数据时，根据策略名单对目标域名对目标设备发送的数据进行拦截处理，或者限速处理。

解析服务器在接收到更新指令之后，在策略名单中确定是否存在更新指令中的目标域名。若存在，则通过xml配置中加载的子域名的归属主域名确定处理模式。若处理模式为安全优先模式，则更新策略名单，并对目标域名对应的目标设备进行拦截处理。同时返回NF_DROP指令，以使协议栈根据NF_DROP指令丢弃目标设备发送的数据。解析服务器向域名处理设备发送处理后的数据，以使域名处理设备继续通过行为分类模型对处理后的数据进行处理。如果设置了限速阈值，则根据限速阈值，向域名处理设备发送响应信息。通过设置的发送规则，将处理后的数据修改UDP报文源端口。若处理模式为业务优先模式，则返回NF_ACCEPT指令。不对目标设备发送的数据不做任何处理，向域名处理设备发送未处理的数据，以使域名处理设备继续通过行为分类模型对处理后的数据进行处理。

S204、通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型，并根据目标域名类型更新策略名单。

目标域名类型为正常类型或者异常类型，行为分类模型包括多个弱分类器。

弱分类器可以为支持向量机(Support Vector Machine，SVM)。对于每个分类器，根据提取出的网络协议栈信息和域名后缀，确定目标域名对应的目标设备发送的数据包是正常类型或者异常类型的概率。在确定概率时，对于特征向量中的每个元素，使用卡方检验或者t检验等方法，确定该元素是否为显著特征。并计算该特征对于分类结果的贡献度。最终，将每个数据包被分类到正常类型或者异常类型的概率作为输出结果。

在通过弱分类器进行处理之后，通过adaboost算法进行强分类，增大特征信息的增益，降低正常类型的域名被错误判定为异常类型的概率。

域名处理设备在确定目标域名的类型为异常类型之后，向解析服务器发送更新指令。解析服务器在接收到更新指令之后，在策略名单中确定是否存在更新指令中的目标域名。若否，则根据处理模型，对目标域名对应的目标设备进行对应的处理。若处理模式为业务优先模式，且小于等于设定的拦截阈值，则对目标设备发送的数据进行放行处理。同时通过行为训练模型进行训练，对目标域名对应的域名权重进行升权或降权处理。若处理模式为业务优先模式，且大于拦截阈值。则通过Netfilter对目标设备发送的数据包进行丢包处理。若处理模式为安全优先模式，则通过Netfilter进行丢包处理。同时通过行为训练模型进行训练，对目标域名对应的域名权重进行升权或降权处理。

在对目标域名进行处理的过程中，可以根据处理过程中的环境和条件，实时更新策略名单。策略名单包括多个域名、以及每个域名对应的域名权重。在每次进行处理时，不断更新策略名单，可以避免误判的情况，提高了域名处理的准确性。且可以根据处理模式，对目标设备发送的数据进行对应的处理。在保证正常进行业务的情况下，避免异常域名对业务处理设备受到攻击，提高了数据传输的安全性。

本申请实施例提供的域名处理方法，获取域名解析请求，并对域名解析请求中的目标域名进行字符分段处理，得到字符信息。通过NLP模型对字符信息进行处理，得到目标域名为异常域名的第一概率。根据第一概率和NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使域名解析服务根据策略名单对域名解析请求进行处理。通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型。根据目标域名类型更新策略名单。在上述过程中，可以通过NLP模型对域名对应的字符信息进行处理，得到目标域名为异常域名的第一概率。并更新域名解析服务器中的策略名单。且在NLP模型进行处理之后，域名解析服务根据策略名单通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型。通过两个模型进行处理，可以更加全面的反应域名的特征信息。并在两次处理过程中实时更新策略名单，以调整域名权重。调整过后的域名权重可以更加准确的确定目标域名类型，从而提高了域名处理的准确性。

在上述任意一个实施例基础上，下面，结合图3，对域名处理的详细过程进行说明。

图3为本申请实施例提供的另一种域名处理方法的流程示意图。请参见图3，该方法包括：

S301、获取域名解析请求。

可以根据Netfilter框架，通过监控网卡eth0获取域名系统(Domain NameSystem，DNS)流量，根据DNS流量，获取得到域名解析请求。

S302、将域名解析请求中二进制格式的目标域名，转换为初始字符串。

可以通过NF_IP_PRE_ROUTING挂载点的钩子函数，对目标域名进行格式转换处理，将二进制有线型格式(wire format)的字符串转化为string类型的字符串。

例如，域名处理设备获取的域名解析请求中，目标域名为域名B。域名处理设备通过NF_IP_PRE_ROUTING挂载点的钩子函数，对域名B进行格式转换处理，得到初始字符串为www.abcdef.cn。

S303、通过后缀标签库对初始字符串进行分割处理，以在初始字符串中确定主域名对应的目标字符串。

可以通过字散列(word-hashing)技术对初始字符串进行处理。在自然语言处理过程中，需要将待识别和处理的文本信息转化为深度学习所需要的字符向量，为了避免生成的向量过于稀疏，需要将稀疏矩阵转换为稠密矩阵。通用的方法是通过高维映射，将高维度矩阵通过算法映射为低维度矩阵，传统的word2vec方法用来处理自然语言，尤其是长短句的语义环境，而对于通过DGA生成的恶意域名，本身的域名标签具有无上下文、无连接语义等特性，通过传统的word2vec去转化词向量，会破坏恶意域名的特征信息。因此，本申请通过word-hashing技术不仅可以降低词袋向量维度，并且可以通过调整N-gram的N参数值，在减少输入向量维度的同时，调整词袋向量的冲突。

例如，根据上述举例所示，确定初始字符串为www.abcdef.cn。域名处理设备通过后缀标签库对字符串www.abcdef.cn中确定第一字符串包括www以及cn。因此，域名处理设备确定目标字符串为#abcdef#。

S304、按照目标长度，对目标字符串进行字符分段处理，得到字符信息。

可以通过如下方式按照目标长度，对目标字符串进行字符分段处理，得到字符信息：根据马尔科夫链确定多个预设字符长度对应的频率特征，并根据多个预设字符长度对应的频率特征，在多个预设字符长度中确定目标长度；将目标字符串中的第一个字符确定为第一个字符串；将目标字符串中的第i个和第i+1个字符确定为第i个字符串，i依次取2、3、……、N-1，N为目标字符串的长度；将目标字符串中的第N个字符确定为第N个字符串；确定字符信息包括第一个字符串至第N个字符串。

目标长度为2。

本申请通过基于马尔可夫假设的N-gram语言模型联合概率链，确定语句中第n个字符与前n-1个字符的关系。通过如下公式1，确定多个预设字符长度对应的频率特征：

P(x₁,x₂,x₃,...x_n)＝P(x₁)P(x₂|x₁)P(x₃|x₂)...P(x_n|x_n-1)

其中，P为频率特征；x_n为第n个字符；n为语句中字符的数量。

下面，结合图4，对确定目标长度的过程进行说明。图4为本申请实施例提供的多个预设字符长度对应的频率特征的示意图。请参见图4，包括预设字符长度为2和3时，各字符串对应的词根的频率特征。其中，每个词根对应的左侧柱状图的预设字符长度为2，每个词根对应的右侧柱状图的预设字符长度为3。通过对正常类型的域名和异常类型的域名进行N-gram(N＝2，3)进行算法处理后，词组元素的数字特征具体可以如表1所示：

表1

根据表1所示的数字特征，在预设字符长度为2和3的参数设定下，异常类型的域名方差和偏度均显著低于正常类型的域名。因此，通过域名生成算法(Domain GenerationAlgorithm，DGA)生成算法产生的随机域名与正常类型的域名具有显著区别，异常类型的域名相比于正常类型的域名，更加明显的服从正态分布。且随着预设字符长度的增大，异常类型的域名方差和偏度显著性明显下降，从而导致过拟合现象出现，造成概率失真，并且产生维数灾难。综合模型性能、提取特征能力度的加权衡量，确定目标长度为2的Bi-gram算法为词袋向量转化算法模型。第n个字符串x_n与第n-1个字符串相关，可以通过如下公式2，确定第n个字符串x_n与第n-1个字符串的相关性：

P(x_n-1,x_n)＝P(x_n-1)P(x_n|x_n-1)

其中参数的解释见上文。

例如，根据上述举例所示，确定目标字符串为#abcdef#。按照目标长度2，对目标字符串进行字符分段处理，得到字符信息包括”#a”、”ab”、”bc”、”cd”、”de”、”ef”、”f#”。

S305、对字符信息中的每个字符串进行位置编码处理，得到每个字符串对应的位置编码向量，得到多个位置编码向量。

可以通过如下方式，得到多个位置编码向量：确定字符信息中每个字符串对应的字符串向量，得到多个字符串向量；对多个字符串向量进行内积运算，得到内积向量；针对任意一个字符串，将字符串对应的字符串向量与内积向量进行相加处理，得到字符串对应的位置编码向量；确定多个位置编码向量包括每个字符串对应的位置编码向量。

可以通过如下公式3，对字符串进行位置编码处理，得到字符串对应的字符串向量：

其中，P为pos对应的位置向量；pos为目标文本序列中字符信息的位置；2i或者2i+1代表位置编码向量的一个分量；d_model为向量的维度。

S306、通过NLP模型对多个位置编码向量进行处理，得到第一概率。

在对字符信息中的每个字符串进行位置编码处理之前，需要确定处理字符信息的NLP模型。NLP模型可以为卷积神经网络(Convolutional Neural Network，CNN)模型、循环神经网络(Recurrent Neural Network，RNN)模型、长短期记忆(Long Short-Term Memory，LSTM)模型以及转换器(Transformer)模型。在多个NLP模型中，本申请确定NLP模型为Transformer模型。下面，结合图5，对确定NLP模型的过程进行说明。图5为本申请实施例提供的NLP模型对域名进行识别处理的结果示意图。请参见图5，包括CNN模型、RNN模型、LSTM模型以及Transformer模型对对域名进行识别处理，得到的识别结果的准确率(Accuracy)和召回率(recall)。根据图5所示的折线图可以确定，Transformer模型的准确率和召回率都比其他三个模型的准确率和召回率大。因此，确定NLP模型为Transformer模型。

NLP模型还包括第一残差链接及归一化层、线性变换特征提取层和第二残差链接及归一化层。

可以通过如下方式通过NLP模型对多个位置编码向量进行处理，得到第一概率：通过多头注意力机制层对多个位置编码向量进行处理，得到每个位置编码向量对应的注意力权重；针对任意一个位置编码向量，通过位置编码向量对应的注意力权重对位置编码向量进行处理，得到位置编码向量对应的目标向量；通过第一残差链接及归一化层、线性变换特征提取层、以及第二残差链接及归一化层对每个位置编码向量对应的目标向量进行处理，得到第一概率。

例如，针对长度为L的目标字符串X，目标字符串X中任意一个字符串为x_i。多头自注意力层的计算过程如下：对目标字符串X进行缩放处理，得到长度为缩放目标字符串。其中，d_k是注意力头的维度，L是目标字符串X的长度。将缩放目标字符串通过三个线性变换分别得到三个线性映射矩阵W^Q、W^K和W^V。其中，Q为每个位置编码向量的查询值，K为每个位置编码向量的键值，V为每个位置编码向量的值。三个线性映射矩阵将目标字符串X的每个字符串映射到一个新的维度。

针对第i个注意力头，可以通过如下公式4，确定查询向量的点积：

Q_i＝W^Qx_i

其中，Q_i为查询向量。其他参数的解释见上文。

可以通过如下公式5，确定键向量的点积：

K_i＝W^Kx_i

其中，Q_i为键向量。其他参数的解释见上文。

可以通过如下公式6，确定查询向量和键向量的乘积：

K_i＝W^KQ_i

参数的解释见上文。

可以通过如下公式7，对每个键向量进行缩放处理，得到缩放键向量：

其中，K_si为缩放键向量；为缩放因子。其他参数的解释见上文。

可以通过如下公式8，通过softmax函数对缩放键向量进行处理，得到目标键向量：

K_mi＝K_i·exp(W^VK_si)

其中，K_mi为目标键向量。其他参数的解释见上文。

可以通过如下公式9，确定查询向量和对应的目标键向量的内积：

h_i＝W^VQ_iK_si

其中，h_i为查询向量和对应的目标键向量的内积。其他参数的解释见上文。

可以通过如下公式10，确定第i个注意力头的输出数据：

H_i＝h_i·exp(W^Qh_i)

其中，为第i个注意力头的输出数据。其他参数的解释见上文。

可以通过如下公式11，确定注意力权重：

/>

其中，W^QH_i为注意力权重；j为向量角标参数。其他参数的解释见上文。

下面，结合图6，对NLP模型处理多个位置编码向量的过程进行说明。图6为本申请实施例提供的NLP模型处理多个位置编码向量的过程示意图。请参见图6，包括NLP模型601。NLP模型601可以为Transformer模型。NLP模型601包括输入层、多头自注意力层、第一残差链接及归一化层、线性变换特征提取层、第二残差链接及归一化层以及输出层。根据上述举例所示，确定字符信息包括”#a”、”ab”、”bc”、”cd”、”de”、”ef”、”f#”。对字符信息中的每个字符串进行位置编码处理，得到每个字符串对应的位置编码向量，得到多个位置编码向量为向量X。通过多头注意力机制层对多个位置编码向量X进行处理，得到每个位置编码向量对应的注意力权重为权重1。针对任意一个位置编码向量，通过位置编码向量对应的注意力权重对位置编码向量进行处理，得到位置编码向量对应的目标向量为向量M。通过第一残差链接及归一化层、线性变换特征提取层、以及第二残差链接及归一化层对每个位置编码向量对应的目标向量进行处理，通过输出层得到第一概率为0.2。

S307、根据第一概率和NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使域名解析服务根据策略名单对域名解析请求进行处理。

获取第一概率与期望概率之间的概率差值。若概率差值小于预设差值，则对目标域名的目标设备发送的数据进行放行处理，以使目标设备与接收设备进行数据传输。若概率差值大于或等于预设差值，向域名解析服务器发送更新指令，以使域名解析服务根据策略名单对域名解析请求进行处理。

例如，根据上述举例所示，确定第一概率为0.2。域名处理设备在预设存储空间中获取期望概率为0.5，预设差值为0。因此，可以确定概率差值小于预设差值0。此时，域名处理设备对域名B对应的设备B进行放行处理，以使设备B与接收设备之间进行数据传输。

若概率差值大于或等于预设差值，解析服务器接收域名处理设备发送的域名更新指令。解析服务器在策略名单中确定是否存在更新指令中的目标域名。若是，则根据处理模式，对目标域名对应的域名权重进行更新处理，并对目标域名对应的目标设备进行拦截或限速处理。若否，则在策略名单中添加目标域名。并根据处理模式，对目标域名对应的域名权重进行更新处理，并对目标域名对应的目标设备进行拦截或限速处理。

由于解析服务器实时根据域名处理服务器在NLP模型处理、以及行为分类模型处理后发送的更新指令，更新策略名单。若目标域名为异常类型的概率较大，在处理模式为安全优先模式时，直接对目标域名对应的目标设备进行拦截处理。在处理模式为业务优先模式时，根据每次更新策略名单，对目标域名的域名权重进行升权处理。在此过程中，对目标域名对应的目标设备限速处理，直至对目标设备进行拦截。在保证业务正常运行的情况下，提高了接收设备的安全性。

S308、对域名解析请求进行解析处理，得到域名解析请求对应的网络协议特征。

网络协议特征包括如下至少一种：源IP地址、源端口号、目的IP地址、目的端口号、协议类型和时间戳。

可以根据NLP模型及行为分类器模型得到的概率权重，提前设置对目标设备的过滤及放行规则。并将对目标设备的过滤及放行规则存储至域名处理设备的预设存储空间中。确定Netfilter框架作为解析分析处理装置的过滤底座。通过设置在内核协议栈的Netfilter框架的挂载点，注册对应的钩子函数。钩子函数可以为NF_IP_PRE_ROUTING，NF_IP_LOCAL_IN以及NF_IP_FORWARD。

通过向挂载点注册钩子函数，解析服务器可以对处于不同阶段目标设备发送的数据包进行过滤及修改操作。钩子函数可以注册一个或者多个，挂载点通过链表链接。

下面，结合图7，对设置挂载点的位置进行说明。图7为本申请实施例提供的设置挂载点的位置示意图。请参见图7，包括多个挂载点和路由。用户可以通过应用程序，在挂载点注册钩子函数。当IP包进行传输时，可以通过对应的钩子函数获取数据包，并对数据包进行解析处理，得到域名解析请求对应的网络协议特征。

例如，可以通过NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING处理源地址为IPv4发送的数据包。通过NF_IP6_PRE_ROUTING、NF_IP6_POST_ROUTING处理源地址为IPv6发送的数据包。

由于KO模块接收或发送数据包时，原始的数据包存储在系统内核的SKB结构体中。结构体中存储的内容需要根据DNS解析协议的网络序进行存储。因此，需要对数据包的查询名格式转换处理，得到通用的字符串格式的数据包。此时，需要为钩子函数的输入输出挂载点分配处理DNS报文变量。例如，DNS报文变量可以为_s_dname_in_pkt_per_cpu和_s_dname_out_pkt_per_cpu。

S309、对历史域名解析日志进行特征提取处理，得到多个日志特征。

日志特征包括如下至少两种：周期内域名解析的不同IP数量、周期内相同域名被解析的总次数、周期内域名解析的返回值。

若目标域名为正常类型，周期内域名解析的不同IP数量会较大。周期内相同域名被解析的次数越多，目标域名为异常类型的概率越小。若周期内域名解析返回值为NXDOMAIN，则确定目标域名可能为异常类型。且两次以上返回NXDOMAIN，则目标域名为异常类型的概率增大。

S310、在多个网络协议特征和多个日志特征中，确定每个弱分类器对应的目标特征。

针对多个日志特征，用Aho-Corasick算法自动识别。根据域名后缀将数据包分类到相应的分类器中，从而确定每个弱分类器对应的目标特征。

例如，针对域名B，对域名解析请求进行解析处理，得到域名解析请求对应的网络协议特征。网络协议特征包括源IP地址111.256.35、源端口号50、目的IP地址112.546.36。对历史域名解析日志进行特征提取处理，得到多个日志特征包括周期内相同域名被解析的总次数3、周期内域名解析的返回值NXDOMAIN。在多个网络协议特征和多个日志特征中，确定每个弱分类器对应的目标特征具体可以如表2所示：

表2

S311、针对任意一个弱分类器，通过弱分类器对应的目标特征进行处理，得到弱分类器检测得到的初始域名类型。

例如，根据上述表2所示的目标特征，通过弱分类器对应的目标特征进行处理，得到弱分类器检测得到的初始域名类型为异常类型。

S312、根据每个弱分类器对应的初始域名类型，确定目标域名类型。

可以通过如下方式根据每个弱分类器对应的初始域名类型，确定目标域名类型：通过训练集对每个弱分类器进行训练，更新每个弱分类器的分类器权重；针对任意一次对每个弱分类器的训练，将分类器权重为中位数的弱分类器，确定为第一分类器，得到多个第一分类器，并将多个第一分类器确定强分类器；根据每个弱分类器对应的初始域名类型和强分类器，确定目标域名类型。

在行为分类模型进行处理的过程中，更新每个弱分类器的分类器权重，避免弱分类器判断错误的情况，提高了行为分类模型确定域名类型的准确性。

例如，通过训练集对每个弱分类器进行训练，更新上述表2所示的每个弱分类器的分类器权重。针对任意一次对每个弱分类器的训练，将分类器权重为中位数的弱分类器，确定为第一分类器，得到多个第一分类器，并将多个第一分类器确定强分类器。强分类器包括第一分类器1、第一分类器2、第一分类器3以及第一分类器4。根据每个弱分类器对应的初始域名类型和强分类器，确定目标域名类型为异常类型。

S313、根据目标域名类型更新策略名单。

解析服务器可以通过NF_IP_PRE_ROUTING挂载点的钩子函数，处理接收到的域名解析请求。TDNS KO模块被加载后，收到数据包且传输至挂载点时，挂载点的钩子函数被自动触发调用。钩子函数处理的数据包，由内核通过struct sk_buff*pskb参数传入。并经过参数化处理之后，解析服务器在策略名单中确定是否存在更新指令中的目标域名。并根据处理模式，对目标设备进行对应的处理。

例如，根据上述举例所示，确定域名B的目标域名类型为异常类型。此时，解析服务器在策略名单中确定是否存在域名B。若是，则对域名B的域名权重进行升权处理。若否，则根据第一概率，确定域名B的域名权重。并将域名B和对应的域名权重添加至策略名单中。

需要说明的是，本申请在NLP模型处理得到第一概率，以及行为分类模型得到目标域名类型之后，解析服务器都需要根据模型的处理结果，更新策略名单。

可以通过如下方式，对目标设备进行处理：域名解析服务器确定处理模式，处理模式为业务优先模式或者安全优先模式；若处理模式为安全优先模式，则判断策略名单中是否存在目标域名；若是，则对域名解析请求进行丢包处理，或者，根据策略名单中对应的域名权重，对域名解析请求对应的目标设备进行限速处理。

本申请实施例提供的域名处理方法，获取域名解析请求，并对域名解析请求中的目标域名进行字符分段处理，得到字符信息。通过NLP模型对字符信息进行处理，得到目标域名为异常域名的第一概率。根据第一概率和NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使域名解析服务根据策略名单对域名解析请求进行处理。通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型。根据目标域名类型更新策略名单。在上述过程中，可以根据处理模式，对目标设备发送的数据进行对应的处理。在保证正常进行业务的情况下，避免异常域名对业务处理设备受到攻击，提高了数据传输的安全性。且可以通过NLP模型对域名对应的字符信息进行处理，得到目标域名为异常域名的第一概率。并更新域名解析服务器中的策略名单。且在NLP模型进行处理之后，域名解析服务根据策略名单通过行为分类模型对域名解析请求进行处理，得到目标域名的目标域名类型。通过两个模型进行处理，可以更加全面的反应域名的特征信息。并在两次处理过程中实时更新策略名单，以调整域名权重。调整过后的域名权重可以更加准确的确定目标域名类型，从而提高了域名处理的准确性。

在上述任意一个实施例基础上，下面，结合图8，对域名处理的过程进行举例说明。

图8为本申请实施例提供的域名处理的过程示意图。请参见图8，包括域名处理设备801以及解析服务器802。域名处理设备801可以为服务器。域名处理设备801包括数据处理模块、NLP模型处理模块以及行为分类模型处理模块。解析服务器802中存储有策略名单，策略名单包括多个域名、以及每个域名对应的域名权重。解析服务器802中还包括解析分析处理模块以及设备处理模块。

域名处理设备801根据Netfilter框架，通过监控网卡获取域名解析请求。域名解析请求包括域名C。域名处理设备801的数据处理模块将域名解析请求中二进制格式的域名C，转换为初始字符串www.asdfgf.cn。域名处理设备801的数据处理模块通过word-hashing技术对初始字符串进行分割处理，以在初始字符串中确定主域名对应的目标字符串为asdfgf。域名处理设备801的数据处理模块按照目标长度2，对目标字符串进行字符分段处理，得到字符信息包括”#a”、”as”、”sd”、”df”、”fg”、”gf”、”f#”。域名处理设备801的数据处理模块确定字符信息中每个字符串对应的字符串向量，得到多个字符串向量包括向量a、向量d以及向量g。对多个字符串向量进行内积运算，得到内积向量J。针对任意一个字符串，将字符串对应的字符串向量与内积向量进行相加处理，得到字符串对应的位置编码向量为向量B。向量B包括每个字符串对应的位置编码向量。

域名处理设备801的NLP模型处理模块通过Transformer模型对向量B进行处理，得到第一概率为0.6。域名处理设备801的NLP模型处理模块在预设存储空间中获取期望概率为0.5，预设差值为0。域名处理设备801的NLP模型处理模块确定第一概率与期望概率之间的概率差值为0.1。则可以确定概率差值大于预设差值，域名处理设备801的NLP模型处理模块向解析服务器802发送更新指令。解析服务器802接收到更新指令后，解析服务器802的解析分析处理模块在策略名单中确定存在域名C。此时，解析服务器802的解析分析处理模块确定处理模式为业务优先模式。解析服务器802的解析分析处理模块根据第一概率更新策略名单中域名C对应的域名权重。将当前域名权重60更新为70。同时解析服务器802的设备处理模块根据域名权重，对域名C对应的目标设备C进行限速处理。解析服务器802向域名处理设备801发送设备处理结果。

域名处理设备801接收到设备处理结果之后，域名处理设备801行为分类模型处理模块对域名解析请求进行解析处理，得到域名解析请求对应的网络协议特征包括源IP地址125.658.35、源端口号45、目的IP地址165.325.85。域名处理设备801行为分类模型处理模块对历史域名解析日志进行特征提取处理，得到日志特征包括周期内域名解析的不同IP数量5、周期内相同域名被解析的总次数4。域名处理设备801行为分类模型处理模块在多个网络协议特征和多个日志特征中，确定每个弱分类器对应的目标特征。并通过弱分类器对应的目标特征进行处理，得到弱分类器检测得到的初始域名类型为异常类型。域名处理设备801行为分类模型根据每个弱分类器对应的初始域名类型，确定目标域名类型为异常类型。此时，域名处理设备801向解析服务器802发送更新请求。

解析服务器802接收到更新指令后，解析服务器802的解析分析处理模块在策略名单中确定存在域名C。此时，解析服务器802的解析分析处理模块确定处理模式为业务优先模式。解析服务器802的解析分析处理模块根据目标域名类型更新策略名单中域名C对应的域名权重。将当前域名权重70更新为80。同时解析服务器802的设备处理模块根据域名权重，对域名C对应的目标设备C进行限速处理。通过多次循环，直至对目标设备C进行完全限速，即拦截处理。

图9为本申请实施例提供的一种域名处理装置的结构示意图。请参见图9，该域名处理装置10可以包括：

获取模块11，用于获取域名解析请求，并对所述域名解析请求中的目标域名进行字符分段处理，得到字符信息，所述字符信息中包括多个字符串；

第一处理模块12，用于通过自然语言处理NLP模型对所述字符信息进行处理，得到所述目标域名为异常域名的第一概率，所述NLP模型中包括多头注意力机制层；

更新模块13，用于根据所述第一概率和所述NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使所述域名解析服务根据所述策略名单对所述域名解析请求进行处理，所述策略名单包括多个域名、以及每个域名对应的域名权重；

第二处理模块14，用于通过行为分类模型对所述域名解析请求进行处理，得到所述目标域名的目标域名类型，并根据所述目标域名类型更新所述策略名单，所述目标域名类型为正常类型或者异常类型，所述行为分类模型包括多个弱分类器。

在一种可能的实施方式中，所述获取模块11具体用于：

将所述目标字符串中的第一个字符确定为第一个字符串；

将所述目标字符串中的第N个字符确定为第N个字符串；

在一种可能的实施方式中，所述第一处理模块12具体用于：

对所述多个字符串向量进行内积运算，得到内积向量；

在一种可能的实施方式中，所述第一处理模块12具体用于：

在一种可能的实施方式中，所述更新模块13具体用于：

获取所述第一概率与所述期望概率之间的概率差值；

在一种可能的实施方式中，所述第二处理模块14具体用于：

本申请实施例提供的域名处理装置可以执行上述方法实施例所示的技术方案，其实现原理以及有益效果类似，此处不再进行赘述。

图10为本申请实施例提供的另一种域名处理装置的结构示意图。在图9实施例所示的基础上，请参见图10。域名处理装置10还包括第三处理模块15。

其中，所述第三处理模块15用于：

图11为本申请实施例提供的域名处理设备的结构示意图。请参见图11，该域名处理设备20可以包括：存储器21、处理器22。示例性地，存储器21、处理器22，各部分之间通过总线23相互连接。

存储器21用于存储程序指令；

处理器22用于执行该存储器所存储的程序指令，用以使得域名处理设备20执行上述方法实施例所示的方法。

本申请实施例提供的域名处理设备可以执行上述方法实施例所示的技术方案，其实现原理以及有益效果类似，此处不再进行赘述。

本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当所述计算机执行指令被处理器执行时用于实现上述方法。

本申请实施例还可提供一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时，可实现上述方法。

实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储器中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储器(存储介质)包括：只读存储器(read-only memory，ROM)、随机存取存储器(Random Access Memory，RAM)、快闪存储器、硬盘、固态硬盘、磁带(magnetictape)、软盘(floppy disk)、光盘(optical disc)及其任意组合。

本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理单元以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理单元执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

在本申请中，术语“包括”及其变形可以指非限制性的包括；术语“或”及其变形可以指“和/或”。本申请中术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。本申请中，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

Claims

1.一种域名处理方法，其特征在于，包括：

根据所述第一概率和所述NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使所述域名解析服务器根据所述策略名单对所述域名解析请求进行处理，所述策略名单包括多个域名、以及每个域名对应的域名权重；

2.根据权利要求1所述的方法，其特征在于，对所述域名解析请求中的目标域名进行字符分段处理，得到字符信息，包括：

3.根据权利要求2所述的方法，其特征在于，所述目标长度为2；按照目标长度，对所述目标字符串进行字符分段处理，得到所述字符信息，包括：

将所述目标字符串中的第一个字符确定为第一个字符串；

将所述目标字符串中的第N个字符确定为第N个字符串；

4.根据权利要求1所述的方法，其特征在于，通过NLP模型对所述字符信息进行处理，得到所述目标域名为异常域名的第一概率，包括：

5.根据权利要求4所述的方法，其特征在于，对所述字符信息中的每个字符串进行位置编码处理，得到每个字符串对应的位置编码向量，得到多个位置编码向量，包括：

对所述多个字符串向量进行内积运算，得到内积向量；

6.根据权利要求4或5所述的方法，其特征在于，所述NLP模型还包括第一残差链接及归一化层、线性变换特征提取层和第二残差链接及归一化层；通过所述NLP模型对所述多个位置编码向量进行处理，得到所述第一概率，包括：

7.根据权利要求1-5任一项所述的方法，其特征在于，根据所述第一概率和所述NLP模型对应的期望概率，更新域名解析服务器中的策略名单，包括：

获取所述第一概率与所述期望概率之间的概率差值；

8.根据权利要求1-5任一项所述的方法，其特征在于，通过行为分类模型对所述域名解析请求进行处理，得到所述目标域名的目标域名类型，包括：

在多个网络协议特征和多个日志特征中，确定每个弱分类器对应的目标特征；

9.根据权利要求8所述的方法，其特征在于，根据每个弱分类器对应的初始域名类型，确定所述目标域名类型，包括：

针对任意一次对每个弱分类器的训练，将分类器权重为中位数的弱分类器，确定为第一分类器，得到多个第一分类器，并将所述多个第一分类器确定为强分类器；

10.根据权利要求1-5、9任一项所述的方法，其特征在于，所述方法还包括：

11.一种域名处理装置，其特征在于，所述装置包括：

更新模块，用于根据所述第一概率和所述NLP模型对应的期望概率，更新域名解析服务器中的策略名单，以使所述域名解析服务器根据所述策略名单对所述域名解析请求进行处理，所述策略名单包括多个域名、以及每个域名对应的域名权重；

12.一种域名处理设备，其特征在于，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1至10中任一项所述的方法。

13.一种存储有计算机指令的非瞬时计算机可读存储介质，其特征在于，其中，所述计算机指令用于使计算机执行根据权利要求1至10中任一项所述的方法。

14.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法。