CN104301180A - 一种业务报文处理方法和设备 - Google Patents
一种业务报文处理方法和设备 Download PDFInfo
- Publication number
- CN104301180A CN104301180A CN201410548561.5A CN201410548561A CN104301180A CN 104301180 A CN104301180 A CN 104301180A CN 201410548561 A CN201410548561 A CN 201410548561A CN 104301180 A CN104301180 A CN 104301180A
- Authority
- CN
- China
- Prior art keywords
- address
- user terminal
- message
- service message
- flow analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种业务报文处理方法和设备,该方法包括:流量分析设备在三元关联表项中记录用户终端的IP地址、业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系;所述流量分析设备在接收到业务报文时,利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项;如果三元关联表项中有对应的记录,则判定所述业务报文为合规业务报文;如果三元关联表项中没有对应的记录,则所述流量分析设备判定所述业务报文为不合规业务报文。本发明实施例中,通过用户终端的域名解析行为实现检测,不依赖特征码,并能检测网络带宽资源滥用或者未知的网络风险。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种业务报文处理方法和设备。
背景技术
随着计算机与网络的普及,信息技术正在改变着、影响着人类的生活方式,各种网络应用层出不穷,而且安全威胁和网络滥用也与日俱增,给网络监管机构对各种网络流量进行识别、分类和控制提出了新的要求。目前对流量进行识别与检测的技术具体包括:DPI(Deep Packet Inspection,深层数据包检测)技术和基于流量特征的行为识别技术。其中,DPI技术主要是通过对业务报文的负载,进行特征匹配来识别流量。基于流量特征的行为识别技术主要是针对网络流量在一段时间内的某些统计特征,进行检测和分析。
在使用DPI技术时,存在特征码提取滞后,特征码规模急速膨胀,对加密流量无效等缺点。在使用基于流量特征的行为识别技术时,存在记录数据庞大,统计识别速度慢,精确度不高,在大流量高速网络下难以部署等缺点。
发明内容
本发明实施例提供一种业务报文处理方法,所述方法包括以下步骤:
流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系;
所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时,利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项;
如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为合规业务报文;
如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为不合规业务报文。
所述流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系,具体包括:所述流量分析设备接收所述用户终端向域名服务DNS服务器发送的DNS请求报文,所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息,并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文,所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址;如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系,则在所述关联关系中记录所述业务服务器的IP地址。
所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文之后,所述方法还包括:
如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系,则所述流量分析设备丢弃所述DNS响应报文。
所述流量分析设备接收所述用户终端向DNS服务器发送的DNS请求报文之后,所述方法还包括:
所述流量分析设备利用所述DNS请求报文中携带的域名信息查询域名白名单;如果所述域名白名单中记录了所述域名信息,则允许所述流量分析设备在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;如果所述域名白名单中没有记录所述域名信息,则所述流量分析设备丢弃所述DNS请求报文。
所述方法进一步包括:
所述流量分析设备在判定所述业务报文为合规业务报文之后,所述流量分析设备将所述业务报文发送给Web应用防火墙WAF,由所述WAF继续处理所述业务报文;或者,所述流量分析设备在判定所述业务报文为不合规业务报文之后,所述流量分析设备丢弃所述业务报文或者将所述业务报文发送给入侵防御系统IPS,由所述IPS对所述业务报文进行深层数据包检测DPI技术的检测或进行基于流量特征的行为识别技术的检测。
本发明实施例提供一种流量分析设备,所述流量分析设备具体包括:
记录模块,用于在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系;
查询模块,用于在接收到所述用户终端发送给所述业务服务器的业务报文时,利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项;
判定模块,用于当查询结果为所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录时,则判定所述业务报文为合规业务报文;
当查询结果为所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录时,则判定所述业务报文为不合规业务报文。
所述记录模块,具体用于接收所述用户终端向域名服务DNS服务器发送的DNS请求报文,所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息,并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;以及,接收所述DNS服务器向所述用户终端发送的DNS响应报文,所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址;如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系,则在所述关联关系中记录所述业务服务器的IP地址。
还包括:动作模块,用于在接收到所述DNS服务器向所述用户终端发送的DNS响应报文之后,如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系,则丢弃所述DNS响应报文。
所述查询模块,还用于在接收到所述用户终端向DNS服务器发送的DNS请求报文之后,利用所述DNS请求报文中携带的域名信息查询域名白名单;如果所述域名白名单中记录了所述域名信息,则允许所述记录模块在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;所述动作模块,还用于当所述域名白名单中没有记录所述域名信息时,则丢弃所述DNS请求报文。
所述动作模块,还用于在判定所述业务报文为合规业务报文后,将所述业务报文发送给Web应用防火墙WAF,由所述WAF继续处理所述业务报文;或者,在判定所述业务报文为不合规业务报文后,丢弃所述业务报文或者将所述业务报文发送给入侵防御系统IPS,由所述IPS对所述业务报文进行深层数据包检测DPI技术的检测或进行基于流量特征的行为识别技术的检测。
基于上述技术方案,本发明实施例中,通过在三元关联表项中记录用户终端的IP地址、业务服务器的域名信息、业务服务器的IP地址之间的关联关系,在接收到用户终端发送给业务服务器的业务报文时,可以通过三元关联表项检测出业务报文为合规业务报文或者不合规业务报文。上述方式通过用户终端的域名解析行为实现检测,不依赖特征码,并能检测网络带宽资源滥用或者未知的网络风险,对加密流量同样有效,在避免特征码提取滞后,特征码规模急速膨胀,对加密流量无效,记录数据庞大,统计识别速度慢,精确度不高,在大流量高速网络下难以部署等缺点的同时,解决识别网络滥用和潜在网络风险的问题,实现对网络带宽资源滥用和异常网络的访问检测,实现对流量基于网络行为的智能负载分担检测。
附图说明
图1是本发明实施例中提出的应用场景示意图;
图2是本发明实施例中提出的一种业务报文处理方法流程示意图;
图3是本发明实施例中提出的一种流量分析设备的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种业务报文处理方法,该方法应用于包括用户终端、流量分析设备、DNS(Domain Name service,域名服务)服务器和业务服务器的系统中。本发明实施例中,流量分析设备可以作为独立的设备,并与各用户终端连接。流量分析设备可以作为功能模块集成在现有设备上,如:流量分析设备作为功能模块集成在各用户终端的出口网关上,或者,流量分析设备作为功能模块集成在内网与外网之间的网络设备上,或者,流量分析设备作为功能模块集成在WAF(Web ApplicationFirewall,Web应用防火墙)上,或者,流量分析设备作为功能模块集成在IPS(Intrusion Prevention System,入侵防御系统)上。本发明实施例中,流量分析设备用于基于用户终端的域名解析行为判定业务报文是合规业务报文还是不合规业务报文。其中,合规业务报文是指:符合域名解析行为的业务报文。不合规业务报文是指:不符合域名解析行为的业务报文。
为了方便描述,以流量分析设备作为独立的设备,并与各用户终端连接为例进行说明。基于此,以图1为本发明实施例的应用场景示意图,用户终端1、用户终端2、用户终端3均与流量分析设备连接,流量分析设备通过互联网连接到DNS服务器,且流量分析设备通过互联网连接到业务服务器。在此应用场景下,假设业务服务器为业务服务器A。
如图2所示,该业务报文处理方法具体包括以下步骤:
步骤201,流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、业务服务器的IP地址之间的关联关系。
本发明实施例中,流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、业务服务器的IP地址之间的关联关系,具体包括但不限于:流量分析设备接收用户终端向DNS服务器发送的DNS请求报文,该DNS请求报文中携带了用户终端的IP地址和该用户终端访问的业务服务器的域名信息。之后,流量分析设备在三元关联表项中记录该用户终端的IP地址与该用户终端访问的业务服务器的域名信息之间的关联关系。之后,流量分析设备接收DNS服务器向用户终端发送的DNS响应报文,该DNS响应报文中携带了域名信息以及该域名信息对应的业务服务器的IP地址。进一步的,如果三元关联表项中记录了该域名信息与用户终端的IP地址之间的关联关系,则流量分析设备在该关联关系中记录DNS响应报文中携带的业务服务器的IP地址。如果三元关联表项中没有记录该域名信息与用户终端的IP地址之间的关联关系,则流量分析设备丢弃该DNS响应报文。
以用户终端1需要访问业务服务器A为例对上述过程进行详细说明。
步骤1、当用户需要使用浏览器打开业务服务器A的页面时,则用户在浏览器地址栏中输入业务服务器A的域名信息(如http://www.news.com/)。基于此,用户终端1的操作系统可以通过DNS协议向DNS服务器发送DNS请求报文,该DNS请求报文中至少携带了用户终端1的IP地址(假设为IP地址1)和用户终端1访问的业务服务器A的域名信息,如http://www.news.com/。
步骤2、流量分析设备拦截用户终端1向DNS服务器发送的DNS请求报文,并在三元关联表项中记录DNS请求报文中携带的用户终端1的IP地址(IP地址1)与用户终端1访问的业务服务器A的域名信息(http://www.news.com/)之间的关联关系,如表1所示,为记录关联关系之后的三元关联表项。
表1
| 用户终端的IP地址 | 业务服务器的域名信息 | 业务服务器的IP地址 |
| IP地址1 | http://www.news.com/ |
步骤3、流量分析设备将DNS请求报文发送给DNS服务器,DNS服务器向用户终端1返回DNS响应报文,该DNS响应报文中至少携带了域名信息(http://www.news.com/)和该域名信息对应的业务服务器的IP地址,假设业务服务器A的IP地址为IP地址A,则DNS响应报文中携带IP地址A。
步骤4、流量分析设备拦截DNS服务器向用户终端1发送的DNS响应报文,并判断三元关联表项中是否记录了DNS响应报文中携带的域名信息与用户终端的IP地址之间的关联关系;如果是,则流量分析设备在该关联关系中记录DNS响应报文中携带的业务服务器的IP地址;如果否,则流量分析设备丢弃DNS响应报文。具体的,由于表1所示的三元关联表项中记录了DNS响应报文中携带的域名信息(http://www.news.com/)与用户终端的IP地址(IP地址1)之间的关联关系,因此,流量分析设备在该关联关系中记录DNS响应报文中携带的业务服务器A的IP地址(IP地址A),如表2所示。
表2
| 用户终端的IP地址 | 业务服务器的域名信息 | 业务服务器的IP地址 |
| IP地址1 | http://www.news.com/ | IP地址A |
步骤5、流量分析设备将DNS响应报文发送给用户终端1,并由用户终端1利用该DNS响应报文中携带的IP地址A访问业务服务器A。
本发明实施例中,在实际应用中,流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、业务服务器的IP地址之间的关联关系时,还可以由用户手动在流量分析设备的三元关联表项中添加用户终端的IP地址(如:能够访问业务服务器的IP地址网段)、外部网络中的业务服务器的域名信息、业务服务器的IP地址之间的关联关系。
本发明实施例中,流量分析设备在接收到用户终端向DNS服务器发送的DNS请求报文之后,还可以利用DNS请求报文中携带的域名信息查询域名白名单;其中,域名白名单中记录了所有合法的域名信息。如果域名白名单中记录了DNS请求报文中携带的域名信息,则流量分析设备允许本流量分析设备在三元关联表项中记录用户终端的IP地址与用户终端访问的业务服务器的域名信息之间的关联关系,即流量分析设备可以执行上述步骤2-步骤5。如果域名白名单中没有记录DNS请求报文中携带的域名信息,则流量分析设备将丢弃DNS请求报文,即流量分析设备不再执行上述步骤2-步骤5。
本发明实施例中,流量分析设备在三元关联表项中记录业务服务器的域名信息的过程中,如果该DNS请求报文中携带的是业务服务器的根域名信息(如http://www.news.com/),则流量分析设备在三元关联表项中记录业务服务器的根域名信息(http://www.news.com/)。如果该DNS请求报文中携带的是业务服务器的子域名信息(如http://www.aa.news.com/),则流量分析设备可以在三元关联表项中记录业务服务器的根域名信息(http://www.news.com/),也可以在三元关联表项中记录业务服务器的子域名信息(如http://www.aa.news.com/)。
步骤202,流量分析设备在接收到用户终端发送给业务服务器的业务报文时,利用业务报文的源IP地址和目的IP地址查询三元关联表项。如果三元关联表项中有源IP地址和目的IP地址对应的记录,执行步骤203;如果三元关联表项中没有源IP地址和目的IP地址对应的记录,执行步骤204。其中,业务报文为基于HTTP(Hyper Text Transfer Protocol,超文本传送协议)报文。
例如,用户终端1在接收到携带了IP地址A的DNS响应报文之后,如果用户终端1需要访问业务服务器A,则用户终端1可以利用DNS响应报文中携带的IP地址A发送业务报文,即该业务报文的源IP地址为用户终端1的IP地址1,且该业务报文的目的IP地址为业务服务器A的IP地址A。流量分析设备在接收到该业务报文之后,可以利用该业务报文的源IP地址(IP地址1)和目的IP地址(IP地址A)查询表2所示的三元关联表项,且该三元关联表项中有该业务报文的源IP地址和目的IP地址对应的记录。
步骤203,流量分析设备判定业务报文为合规业务报文。其中,合规业务报文是指:符合域名解析行为的业务报文。
步骤204,流量分析设备判定业务报文为不合规业务报文。其中,不合规业务报文是指:不符合域名解析行为的业务报文。
本发明实施例中,流量分析设备在判定业务报文为合规业务报文后,流量分析设备将该合规业务报文发送给WAF,由WAF继续处理该合规业务报文。或者,流量分析设备在判定业务报文为不合规业务报文后,流量分析设备丢弃该不合规业务报文或将该不合规业务报文发送给IPS,由IPS对该不合规业务报文进行DPI技术的检测或进行基于流量特征的行为识别技术的检测。
在判定业务报文为合规业务报文之后,流量分析设备允许合规业务报文通过,并将合规业务报文分流至WAF继续处理,WAF的处理方式与现有技术相同,本发明实施例中对此不再赘述。在判定业务报文为不合规业务报文之后,流量分析设备可以直接丢弃不合规业务报文,或者,流量分析设备可以将不合规业务报文发送给IPS,并记录异常日志或镜像存储业务报文。之后,IPS对不合规业务报文进行DPI技术的检测或进行基于流量特征的行为识别技术的检测,IPS的处理方式与现有技术相同,本发明实施例中对此不再赘述。
以下结合具体的应用场景对上述过程进行进一步的说明。
应用场景A:用户终端1正常使用网络,用户在浏览器地址栏中输入域名http://www.news.com/,在此应用场景下,流量分析设备将在三元关联表项中记录用户终端1的IP地址、业务服务器的域名信息(http://www.news.com/)、业务服务器(业务服务器A)的IP地址之间的关联关系,因此用户终端1发送给业务服务器A的业务报文被流量分析设备判定为合规业务报文。
应用场景B:如果用户所在的企业环境通过使用URL(Uniform ResourceLocator,统一资源定位符)过滤或DNS拦截方式,阻止员工在工作时间访问业务服务器A,则用户终端2可能会非正常使用网络,即用户终端2可以通过IP地址直接访问,如用户在浏览器地址栏中直接输入http://61.172.201.30,以绕过企业的网络限制,滥用企业带宽资源。在此应用场景下,流量分析设备将不会在三元关联表项中记录用户终端2的IP地址、业务服务器的域名信息(http://www.news.com/)、业务服务器(业务服务器A)的IP地址之间的关联关系,因此用户终端2发送给业务服务器A的业务报文被流量分析设备判定为不合规业务报文,避免不合规业务报文对网络带宽资源的滥用。
应用场景C:用户终端3打开包含未知漏洞的word文件,触发恶意指令,并连接攻击者指定的服务器的IP地址。该word文件在解析异常文件时触发攻击者精心构造的恶意指令,如从网络某处下载并执行可执行文件,由于漏洞利用需要严格控制恶意指令的长度,因此攻击者在恶意指令中设置的下载地址通常是四字节的整型数值,即恶意指令中为IP地址。在此应用场景下,流量分析设备不会在三元关联表项中记录用户终端3的IP地址、业务服务器的域名信息、业务服务器的IP地址(即攻击者指定的服务器的IP地址)间的关联关系,因此用户终端3发送给攻击者指定的服务器的业务报文被流量分析设备判定为不合规业务报文,避免不合规业务报文对网络带宽资源的滥用。
基于上述技术方案,本发明实施例中,通过在三元关联表项中记录用户终端的IP地址、业务服务器的域名信息、业务服务器的IP地址之间的关联关系,在接收到用户终端发送给业务服务器的业务报文时,可以通过三元关联表项检测出业务报文为合规业务报文或者不合规业务报文。上述方式通过用户终端的域名解析行为实现检测,不依赖特征码,并能检测网络带宽资源滥用或者未知的网络风险,对加密流量同样有效,在避免特征码提取滞后,特征码规模急速膨胀,对加密流量无效,记录数据庞大,统计识别速度慢,精确度不高,在大流量高速网络下难以部署等缺点的同时,解决识别网络滥用和潜在网络风险的问题,实现对网络带宽资源滥用和异常网络的访问检测,实现对流量基于网络行为的智能负载分担检测。
基于与上述方法同样的发明构思,本发明实施例中提供一种流量分析设备,如图3所示,所述流量分析设备具体包括:
记录模块11,用于在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系;
查询模块12,用于在接收到所述用户终端发送给所述业务服务器的业务报文时,利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项;
判定模块13,用于当查询结果为所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录时,则判定所述业务报文为合规业务报文;
当查询结果为所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录时,则判定所述业务报文为不合规业务报文。
所述记录模块11,具体用于接收所述用户终端向域名服务DNS服务器发送的DNS请求报文,所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息,并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;以及,接收所述DNS服务器向所述用户终端发送的DNS响应报文,所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址;如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系,则在所述关联关系中记录所述业务服务器的IP地址。
本发明实施例中,所述流量分析设备,还包括:
动作模块14,用于在接收到所述DNS服务器向所述用户终端发送的DNS响应报文之后,如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系,则丢弃所述DNS响应报文。
所述查询模块12,还用于在接收到所述用户终端向DNS服务器发送的DNS请求报文之后,利用所述DNS请求报文中携带的域名信息查询域名白名单;如果所述域名白名单中记录了所述域名信息,则允许所述记录模块在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;所述动作模块14,还用于当所述域名白名单中没有记录所述域名信息时,则丢弃所述DNS请求报文。
所述动作模块14,还用于在判定所述业务报文为合规业务报文后,将所述业务报文发送给Web应用防火墙WAF,由所述WAF继续处理所述业务报文;或者,在判定所述业务报文为不合规业务报文后,丢弃所述业务报文或者将所述业务报文发送给入侵防御系统IPS,由所述IPS对所述业务报文进行深层数据包检测DPI技术的检测或进行基于流量特征的行为识别技术的检测。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种业务报文处理方法,其特征在于,所述方法包括以下步骤:
流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系;
所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时,利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项;
如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为合规业务报文;
如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为不合规业务报文。
2.如权利要求1所述的方法,其特征在于,所述流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系的过程,具体包括:
所述流量分析设备接收所述用户终端向域名服务DNS服务器发送的DNS请求报文,所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息,并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;
所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文,所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址;如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系,则在所述关联关系中记录所述业务服务器的IP地址。
3.如权利要求2所述的方法,其特征在于,所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文之后,所述方法还包括:
如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系,则所述流量分析设备丢弃所述DNS响应报文。
4.如权利要求2所述的方法,其特征在于,所述流量分析设备接收所述用户终端向DNS服务器发送的DNS请求报文之后,所述方法还包括:
所述流量分析设备利用所述DNS请求报文中携带的域名信息查询域名白名单;如果所述域名白名单中记录了所述域名信息,则允许所述流量分析设备在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;如果所述域名白名单中没有记录所述域名信息,则所述流量分析设备丢弃所述DNS请求报文。
5.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述流量分析设备在判定所述业务报文为合规业务报文之后,所述流量分析设备将所述业务报文发送给Web应用防火墙WAF,由所述WAF继续处理所述业务报文;或者,所述流量分析设备在判定所述业务报文为不合规业务报文之后,所述流量分析设备丢弃所述业务报文或者将所述业务报文发送给入侵防御系统IPS,由所述IPS对所述业务报文进行深层数据包检测DPI技术的检测或进行基于流量特征的行为识别技术的检测。
6.一种流量分析设备,其特征在于,所述流量分析设备具体包括:
记录模块,用于在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系;
查询模块,用于在接收到所述用户终端发送给所述业务服务器的业务报文时,利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项;
判定模块,用于当查询结果为所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录时,则判定所述业务报文为合规业务报文;
当查询结果为所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录时,则判定所述业务报文为不合规业务报文。
7.如权利要求6所述的流量分析设备,其特征在于,
所述记录模块,具体用于接收所述用户终端向域名服务DNS服务器发送的DNS请求报文,所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息,并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;以及,接收所述DNS服务器向所述用户终端发送的DNS响应报文,所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址;如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系,则在所述关联关系中记录所述业务服务器的IP地址。
8.如权利要求7所述的流量分析设备,其特征在于,还包括:
动作模块,用于在接收到所述DNS服务器向所述用户终端发送的DNS响应报文之后,如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系,则丢弃所述DNS响应报文。
9.如权利要求8所述的流量分析设备,其特征在于,
所述查询模块,还用于在接收到所述用户终端向DNS服务器发送的DNS请求报文之后,利用所述DNS请求报文中携带的域名信息查询域名白名单;如果所述域名白名单中记录了所述域名信息,则允许所述记录模块在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;所述动作模块,还用于当所述域名白名单中没有记录所述域名信息时,则丢弃所述DNS请求报文。
10.如权利要求8所述的流量分析设备,其特征在于,
所述动作模块,还用于在判定所述业务报文为合规业务报文后,将所述业务报文发送给Web应用防火墙WAF,由所述WAF继续处理所述业务报文;或者,在判定所述业务报文为不合规业务报文后,丢弃所述业务报文或者将所述业务报文发送给入侵防御系统IPS,由所述IPS对所述业务报文进行深层数据包检测DPI技术的检测或进行基于流量特征的行为识别技术的检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410548561.5A CN104301180B (zh) | 2014-10-16 | 2014-10-16 | 一种业务报文处理方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410548561.5A CN104301180B (zh) | 2014-10-16 | 2014-10-16 | 一种业务报文处理方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104301180A true CN104301180A (zh) | 2015-01-21 |
| CN104301180B CN104301180B (zh) | 2018-05-15 |
Family
ID=52320758
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410548561.5A Active CN104301180B (zh) | 2014-10-16 | 2014-10-16 | 一种业务报文处理方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104301180B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105491045A (zh) * | 2015-12-09 | 2016-04-13 | 福建星网锐捷网络有限公司 | 一种免认证接入控制方法、装置、设备和系统 |
| CN106034116A (zh) * | 2015-03-13 | 2016-10-19 | 国家计算机网络与信息安全管理中心 | 减少恶意网络流量的方法和系统 |
| CN106685951A (zh) * | 2016-12-26 | 2017-05-17 | 北京奇虎科技有限公司 | 一种基于域名规则的网络流量过滤系统与方法 |
| CN107948150A (zh) * | 2017-11-22 | 2018-04-20 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
| CN111404765A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种报文处理方法、装置、设备及计算机可读存储介质 |
| CN113395367A (zh) * | 2020-03-13 | 2021-09-14 | 中国移动通信集团山东有限公司 | Https业务识别方法、装置、存储介质及电子设备 |
| CN113727350A (zh) * | 2021-09-26 | 2021-11-30 | 北京恒安嘉新安全技术有限公司 | 恶意网址处理方法、装置、计算机设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025713A (zh) * | 2010-02-09 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种访问控制方法、系统及dns服务器 |
| CN102571956A (zh) * | 2012-01-09 | 2012-07-11 | 华为技术有限公司 | 关联识别表更新方法、关联识别方法、装置及系统 |
| US20130269042A1 (en) * | 2010-05-13 | 2013-10-10 | Symantec Corporation | Optimizing security seals on web pages |
| CN103546434A (zh) * | 2012-07-13 | 2014-01-29 | 中国电信股份有限公司 | 网络访问控制的方法、装置和系统 |
-
2014
- 2014-10-16 CN CN201410548561.5A patent/CN104301180B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025713A (zh) * | 2010-02-09 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种访问控制方法、系统及dns服务器 |
| US20130269042A1 (en) * | 2010-05-13 | 2013-10-10 | Symantec Corporation | Optimizing security seals on web pages |
| CN102571956A (zh) * | 2012-01-09 | 2012-07-11 | 华为技术有限公司 | 关联识别表更新方法、关联识别方法、装置及系统 |
| CN103546434A (zh) * | 2012-07-13 | 2014-01-29 | 中国电信股份有限公司 | 网络访问控制的方法、装置和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 杜跃进等: ""一种应对APT攻击的安全架构:异常发现"", 《计算机研究与发展》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106034116A (zh) * | 2015-03-13 | 2016-10-19 | 国家计算机网络与信息安全管理中心 | 减少恶意网络流量的方法和系统 |
| CN105491045A (zh) * | 2015-12-09 | 2016-04-13 | 福建星网锐捷网络有限公司 | 一种免认证接入控制方法、装置、设备和系统 |
| CN106685951A (zh) * | 2016-12-26 | 2017-05-17 | 北京奇虎科技有限公司 | 一种基于域名规则的网络流量过滤系统与方法 |
| CN107948150A (zh) * | 2017-11-22 | 2018-04-20 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN107948150B (zh) * | 2017-11-22 | 2020-12-01 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN111404765A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种报文处理方法、装置、设备及计算机可读存储介质 |
| CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
| CN113395367A (zh) * | 2020-03-13 | 2021-09-14 | 中国移动通信集团山东有限公司 | Https业务识别方法、装置、存储介质及电子设备 |
| CN113395367B (zh) * | 2020-03-13 | 2023-04-28 | 中国移动通信集团山东有限公司 | Https业务识别方法、装置、存储介质及电子设备 |
| CN113727350A (zh) * | 2021-09-26 | 2021-11-30 | 北京恒安嘉新安全技术有限公司 | 恶意网址处理方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104301180B (zh) | 2018-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104301180A (zh) | 一种业务报文处理方法和设备 | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| Torabi et al. | Detecting Internet abuse by analyzing passive DNS traffic: A survey of implemented systems | |
| CN113228585B (zh) | 具有基于反馈回路的增强流量分析的网络安全系统 | |
| KR101662605B1 (ko) | 모바일 네트워크 환경에서 네트워크 정보를 가입자 정보와 상관시키는 시스템 및 방법 | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| US20230224232A1 (en) | System and method for extracting identifiers from traffic of an unknown protocol | |
| US11537751B2 (en) | Using machine learning algorithm to ascertain network devices used with anonymous identifiers | |
| US20170134957A1 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| JP2018513592A (ja) | ネットワークセキュリティのための行動解析ベースのdnsトンネリング検出・分類フレームワーク | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
| US10122722B2 (en) | Resource classification using resource requests | |
| Papadogiannaki et al. | Otter: A scalable high-resolution encrypted traffic identification engine | |
| CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
| CN110313161B (zh) | 对数据库上的放大攻击的基于ipfix的检测 | |
| CN114244564A (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| US10747525B2 (en) | Distribution of a software upgrade via a network | |
| CN113794731B (zh) | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 | |
| EP3361405B1 (en) | Enhancement of intrusion detection systems | |
| Firoz et al. | Performance optimization of layered signature based intrusion detection system using snort | |
| CN114417198A (zh) | 一种网络诈骗预警方法、装置、预警设备、系统 | |
| Wang et al. | Identification of MEEK-Based TOR Hidden Service Access Using the Key Packet Sequence | |
| Deng et al. | Malware behavior through network trace analysis | |
| CN110868482A (zh) | 绕过cdn查找真实ip方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |