CN104639391A - 一种生成网络流量记录的方法及相应的流量检测设备 - Google Patents
一种生成网络流量记录的方法及相应的流量检测设备 Download PDFInfo
- Publication number
- CN104639391A CN104639391A CN201510002327.7A CN201510002327A CN104639391A CN 104639391 A CN104639391 A CN 104639391A CN 201510002327 A CN201510002327 A CN 201510002327A CN 104639391 A CN104639391 A CN 104639391A
- Authority
- CN
- China
- Prior art keywords
- domain name
- record
- address
- mapping relations
- service side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种生成网络流量记录的方法及相应的流量检测设备,该方法包括:监测网络流量,对承载在IP之上的用户业务应用数据流进行识别,生成包括服务侧IP地址的流量特征数据;通过查询确定所述服务侧IP地址对应的服务侧域名;根据所述流量特征数据生成流量记录时,在所述流量记录中加入所述服务侧域名。相应的流量检测设备包括特征提取模块、域名确定模块和记录生成模块。本发明将域名加入到网络流量记录中,可以更准确地识别出业务提供商和用户使用的应用类型,有利于数据分析和挖掘工作。
Description
技术领域
本发明涉及移动通信,更具体地,涉及一种生成网络流量记录的方法及相应的流量检测设备。
背景技术
随着互联网,包括移动互联网的迅猛发展,对网络流量信息进行识别、记录并进行数据分析挖掘成为一个热门领域。
目前在对网络上的数据流量进行分析时,通常需要识别出该流量是访问哪个互联网业务提供商提供的哪个应用,生成记录,以便进行后续的统计和分析挖掘处理。通常深度包检测技术(DPI:Deep Packet Inspection)设备可以通过流量指纹等特征匹配的方式进行识别,如根据访问的目的IP地址、端口号,以及对应用层协议中的特征字等,识别出业务提供商和用户使用的应用类型。生成的记录通常如下:
用户侧IP地址、用户侧端口号、服务侧IP地址、服务侧端口号、业务应用类型、访问地址(URL)、开始时间、结束时间等等。
但是,通过IP地址、端口号以及应用协议特征字等进行业务提供商和应用类型识别,需要事先收集和分析此类特征信息,而互联网上的业务提供商数以百万计,提供的业务应用数目更是难以穷举。可以事先收集和分析的特征极为有限,数目通常不过几十或者数百这样的量级。即使能够分析足够量的特征,庞大的特征库也将对DPI设备的性能产生极大的影响。
其次,业务提供商和应用类型的特征会经常发生变化。例如,如果业务提供商提供业务的IP地址发生变化,这样依赖IP地址来识别业务提供商和应用类型就会出现问题。
再次,目前很多互联网应用采用加密方式进行数据传输,如通过SSL或者TLS协议等,此时应用层协议和内容完全无法获取。在此种情况下,DPI设备可以用来进行业务提供商和应用类型识别的数据仅有3-4层协议中的目的IP地址、端口号等有限的信息,在此情况下DPI设备基本无能为力。
发明内容
有鉴于此,本发明提供了一种生成流量记录的方法,应用于流量检测设备,包括:
监测网络流量,对承载在IP之上的用户业务应用数据流进行识别,生成包括服务侧IP地址的流量特征数据;
通过查询确定所述服务侧IP地址对应的服务侧域名;
根据所述流量特征数据生成流量记录时,在所述流量记录中加入所述服务侧域名。
较佳地,
所述通过查询确定所述服务侧IP地址对应的服务侧域名,包括:
根据所述服务侧IP地址查询本地保存的IP地址和域名的映射关系表,确定所述服务侧IP地址对应的服务侧域名。
较佳地,
所述本地保存的IP地址和域名的映射关系表通过以下方式得到:
监测网络流量,如监测到DNS查询请求及DNS响应,解析所述DNS响应中的域名查询结果;
将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中,或者将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名。
较佳地,
将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中时,还将所述域名查询结果中的有效时间保存到所述记录中,同时在所述记录中添加记录生成时间;
将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名时,还将所述记录中的有效时间更新为所述域名查询结果中的有效时间,同时将所述记录中的记录生成时间更新为系统当前时间。
较佳地,
定期对所述映射关系表中的记录进行维护,如某一记载中记录生成时间到当前时间的时长超过了所述记录中的有效时间,则删除所述记录。
有鉴于此,本发明还提供了一种流量检测设备,包括:
特征提取模块,用于监测网络流量,对承载在IP之上的用户业务应用数据流进行识别,生成包括服务侧IP地址的流量特征数据;
域名确定模块,用于通过查询确定所述服务侧IP地址对应的服务侧域名;
记录生成模块,用于根据所述流量特征数据生成流量记录时,在所述流量记录中加入所述服务侧域名。
较佳地,
所述域名确定模块通过查询确定所述服务侧IP地址对应的服务侧域名,包括:根据所述服务侧IP地址查询本地保存的IP地址和域名的映射关系表,确定所述服务侧IP地址对应的服务侧域名。
较佳地,
所述流量检测设备还包括:映射管理模块;
所述特征提取模块还用于在监测网络流量时,如监测到DNS查询请求及DNS响应,解析所述DNS响应中的域名查询结果;
所述映射管理模块用于将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中,或者将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名。
较佳地,
所述映射管理模块将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中时,还将所述域名查询结果中的有效时间保存到所述记录中,同时在所述记录中添加记录生成时间;
所述映射管理模块将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名时,还将所述记录中的有效时间更新为所述域名查询结果中的有效时间,同时将所述记录中的记录生成时间更新为系统当前时间。
较佳地,
所述映射管理模块还用于定期对所述映射关系表中的记录进行维护,如某一记载中记录生成时间到系统当前时间的时长超过了所述记录中的有效时间,则删除所述记录。
上述方案将域名加入到网络流量记录中,可以更准确地识别出业务提供商和用户使用的应用类型,有利于数据分析和挖掘工作。进一步地,通过监测DNS查询请求和响应,从中获取IP地址和域名的对应关系,可以达到对流量记录中IP地址对应域名的广泛覆盖和实时更新,并且无需改变流量检测设备的网络连接。
附图说明
图1是本发明实施例生成网络流量记录的方法的流程图;
图2是本发明实施例流量检测设备的模块图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意组合。
提供互联网服务的业务提供商通常会申请域名。业务提供商提供服务的IP地址可以随时增加和变换(如根据业务访问量的增加,增加新的访问服务器等),但提供服务的域名却是稳定不变。域名可以直观反映业务提供商的信息,如chinaunicom.cn是中国联通,qq.com是腾讯,apple.com是苹果公司等。同时,域名还可以直观反映业务应用的信息,如mail.chinaunicom.cn是中国联通的企业邮箱,weixin.qq.com是微信,itunes.apple.com是苹果的应用商店等。而业务应用客户端在访问网络服务时,也通常是通过域名来进行访问,而少有直接通过IP地址访问的情况。在此情况下,业务应用客户端会首先发起DNS查询请求,获得该域名对应的IP地址,然后建立IP连接,访问网络服务。对DPI设备而言,上述访问(一次DNS查询、然后根据IP地址访问网络服务)各自是独立事件,并不进行关联。而如果可以进行关联,无疑会从普遍意义上解决业务提供商和业务应用的识别问题。
为此,本实施例提供了一种生成网络流量记录的方法,应用于流量检测设备,如图1所示,包括:
步骤110,监测网络流量,对承载在IP之上的用户业务应用数据流进行识别,生成包括服务侧IP地址的流量特征数据;
本步骤中,流量检测设备可以通过深度报文检测(DPI)或者深度流检测(DFI)等技术,对承载在IP之上的用户业务应用数据流进行识别,根据需要生成“流量特征数据记录”,如:用户侧IP地址(终端侧IP)、用户侧端口(终端侧端口)、服务侧IP地址(网络侧IP地址)、服务侧端口(网络侧端口)、业务应用类型、访问地址(URL)、开始时间、结束时间、上行流量、下行流量、等等。
步骤120,通过查询确定所述服务侧IP地址对应的服务侧域名;
IP地址和域名的对应关系可以通过实时的DNS查询获取,但是流量检测设备如果对每一IP地址都进行查询的话会额外形成很大的网络流量,浪费网络资源。因而本实施例的流量检测设备在本地保存一个IP地址和域名的映射关系表,根据服务侧IP地址查询该映射关系表,即可确定所述服务侧IP地址对应的服务侧域名。
流量检测设备可以定时或者根据DNS的域名更新通知,主动发起向DNS的域名查询请求,获取IP地址和域名的对应关系并保存在映射关系表中,但是这样可以获取到的IP地址和域名的对应关系在数量上很有限,而且实时性不强。不能够达到对流量记录中IP地址对应域名的广泛覆盖和实时更新。另外,还需要依赖外部设备并存在网络连接才能实现上述功能。
本实施例提出一种得到所述映射关系表的方式,包括:
监测网络流量,如监测到DNS查询请求及DNS响应,解析所述DNS响应中的域名查询结果;
将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中,或者将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名。
因为流量检测设备可以监测网络中所有DNS查询和响应请求,这意味着用户所有访问涉及的DNS访问都被监测到,从而能够达到流量记录中IP地址对应域名的广泛覆盖。另外,也不需要依赖外部DNS设备,无需与外部DNS设备进行网络连接。
域名查询结果中除了IP地址和域名外,还有有效时间的信息。较佳地,将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中时,还将所述域名查询结果中的有效时间保存到所述记录中,同时在所述记录中添加记录生成时间;及,将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名时,还将所述记录中的有效时间更新为所述域名查询结果中的有效时间,同时将所述记录中的记录生成时间更新为系统当前时间。这样就可以定期对所述映射关系表中的记录进行维护,如某一记载中记录生成时间到当前时间的时长超过了所述记录中的有效时间,则删除所述记录。
步骤130,根据所述流量特征数据生成流量记录时,在所述流量记录中加入所述服务侧域名。
相应地,本实施例还提供了一种流量检测设备(DPI设备),流量检测设备可以通过串接或者旁路的方式部署在网络上,采集并监测网络数据流。如图2所示,本实施例的流量检测设备包括:
特征提取模块10,用于监测网络流量,对承载在IP之上的用户业务应用数据流进行识别,生成包括服务侧IP地址的流量特征数据;
域名确定模块20,用于通过查询确定所述服务侧IP地址对应的服务侧域名;
记录生成模块30,用于根据所述流量特征数据生成流量记录时,在所述流量记录中加入所述服务侧域名。
较佳地,
所述域名确定模块通过查询确定所述服务侧IP地址对应的服务侧域名,包括:根据所述服务侧IP地址查询本地保存的IP地址和域名的映射关系表,确定所述服务侧IP地址对应的服务侧域名。
较佳地,
所述流量检测设备还包括:映射管理模块;
所述特征提取模块还用于在监测网络流量时,如监测到DNS查询请求及DNS响应,解析所述DNS响应中的域名查询结果;
所述映射管理模块用于将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中,或者将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名。
较佳地,
所述映射管理模块将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中时,还将所述域名查询结果中的有效时间保存到所述记录中,同时在所述记录中添加记录生成时间;
所述映射管理模块将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名时,还将所述记录中的有效时间更新为所述域名查询结果中的有效时间,同时将所述记录中的记录生成时间更新为系统当前时间。
较佳地,
所述映射管理模块还用于定期对所述映射关系表中的记录进行维护,如某一记载中记录生成时间到系统当前时间的时长超过了所述记录中的有效时间,则删除所述记录。
下面用一示例进行说明。
流量检测设备创建一个“IP地址-域名列表”(即IP地址和域名的映射关系表),用于保存IP地址和域名的映射关系,例如;
上表中,域名解析类型包括:A记录(主机地址)、MX记录(邮箱交换记录)等等;有效时间(Time to Live)为域名解析结果中的有效时间(如300秒);记录生成时间为相应记录的插入时间(插入记录时的系统当前时间)或者更新时间(更新记录时的系统当前时间)。
流量检测设备可以对“IP地址-域名列表”进行定期扫描,清除有效时间过期的记录,即如某一记载中记录生成时间到当前时间的时长超过了所述记录中的有效时间,则删除所述记录。
流量监测设备监测网络流量,当监测到DNS查询请求和DNS响应时,解析DNS响应中的域名查询结果,获取域名与IP地址的对应关系,即<IP地址,域名,域名记录类型,有效时间>;如果DNS应答消息有多条解析结果,则有多条对应关系,可按DNS应答消息中的顺序进行排序,即:
<IP地址1,域名,域名记录类型1,有效时间1>、
<IP地址2,域名,域名记录类型2,有效时间2>、
…。
之后做如下处理:
A,如果IP地址在“IP地址-域名列表”中不存在,则插入一条“IP地址-域名”记录来保存所述IP地址和域名的映射关系,还可以将域名查询结果中的有效时间和/或域名记录类型也保存在该记录中,同时在该记录中添加记录生成时间;
B,如果IP地址在“IP地址-域名列表”中存在,则将包含所述IP地址的记录中的域名更新为域名查询结果中的域名,如果列表中有有效时间和/或域名记录类型,也将记录中的有效时间和/或域名记录类型更新为域名查询结果中的有效时间和/或域名记录类型,更新后同时将记录生成时间更新为系统当前时间;
对于DNS应答消息有多条解析结果的情况,可以处理所有解析结果中的对应关系,也可以只处理第一条记录。
对于DNS查询请求和DNS响应之外的其他流量类型,流量监测设备完成如下处理:
通过深度报文检测(DPI)或者深度流检测(DFI)等技术,对承载在IP之上的用户业务应用数据流进行识别,根据需要生成“流量特征数据记录”,如:用户侧IP地址(终端侧IP)、用户侧端口(终端侧端口)、服务侧IP地址(网络侧IP地址)、服务侧端口(网络侧端口)、业务应用类型、访问地址(URL)、开始时间、结束时间、上行流量、下行流量、等等;
在“IP地址-域名列表”中查询IP地址为“服务侧IP地址(网络侧IP地址)”的记录,如果存在,则获取对应的域名,并与上述“流量特征数据记录”进行关联,生成最终的“流量记录”。同时,还可以根据“IP地址-域名记录”中的域名记录类型辅助进行业务应用类型判断。
最终生成流量记录形如:
<用户侧IP地址,用户侧端口,服务侧IP地址,服务侧端口,服务侧域名,业务应用类型,访问地址(URL),开始时间,结束时间,上行流量,下行流量,…>
对于DNS查询请求和响应本身,流量监测设备也可以生成流量记录,只不过无需与“IP地址-域名列表”进行关联。
流量检测设备可以将生成的“流量记录”写入文件,或者通过网络方式发送给其他处理设备/模块,以进行后续处理和使用。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种生成流量记录的方法,应用于流量检测设备,包括:
监测网络流量,对承载在IP之上的用户业务应用数据流进行识别,生成包括服务侧IP地址的流量特征数据;
通过查询确定所述服务侧IP地址对应的服务侧域名;
根据所述流量特征数据生成流量记录时,在所述流量记录中加入所述服务侧域名。
2.如权利要求1所述的方法,其特征在于:
所述通过查询确定所述服务侧IP地址对应的服务侧域名,包括:
根据所述服务侧IP地址查询本地保存的IP地址和域名的映射关系表,确定所述服务侧IP地址对应的服务侧域名。
3.如权利要求2所述的方法,其特征在于:
所述本地保存的IP地址和域名的映射关系表通过以下方式得到:
监测网络流量,如监测到DNS查询请求及DNS响应,解析所述DNS响应中的域名查询结果;
将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中,或者将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名。
4.如权利要求3所述的方法,其特征在于:
将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中时,还将所述域名查询结果中的有效时间保存到所述记录中,同时在所述记录中添加记录生成时间;
将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名时,还将所述记录中的有效时间更新为所述域名查询结果中的有效时间,同时将所述记录中的记录生成时间更新为系统当前时间。
5.如权利要求4所述的方法,其特征在于:
定期对所述映射关系表中的记录进行维护,如某一记载中记录生成时间到当前时间的时长超过了所述记录中的有效时间,则删除所述记录。
6.一种流量检测设备,其特征在于,包括:
特征提取模块,用于监测网络流量,对承载在IP之上的用户业务应用数据流进行识别,生成包括服务侧IP地址的流量特征数据;
域名确定模块,用于通过查询确定所述服务侧IP地址对应的服务侧域名;
记录生成模块,用于根据所述流量特征数据生成流量记录时,在所述流量记录中加入所述服务侧域名。
7.如权利要求6所述的流量检测设备,其特征在于:
所述域名确定模块通过查询确定所述服务侧IP地址对应的服务侧域名,包括:根据所述服务侧IP地址查询本地保存的IP地址和域名的映射关系表,确定所述服务侧IP地址对应的服务侧域名。
8.如权利要求7所述的流量检测设备,其特征在于:
所述流量检测设备还包括:映射管理模块;
所述特征提取模块还用于在监测网络流量时,如监测到DNS查询请求及DNS响应,解析所述DNS响应中的域名查询结果;
所述映射管理模块用于将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中,或者将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名。
9.如权利要求8所述的流量检测设备,其特征在于:
所述映射管理模块将所述域名查询结果中的IP地址和域名保存到所述映射关系表新插入的一记录中时,还将所述域名查询结果中的有效时间保存到所述记录中,同时在所述记录中添加记录生成时间;
所述映射管理模块将所述映射关系表中包含所述IP地址的一记录中的域名更新为所述域名查询结果中的域名时,还将所述记录中的有效时间更新为所述域名查询结果中的有效时间,同时将所述记录中的记录生成时间更新为系统当前时间。
10.如权利要求9所述的流量检测设备,其特征在于:
所述映射管理模块还用于定期对所述映射关系表中的记录进行维护,如某一记载中记录生成时间到系统当前时间的时长超过了所述记录中的有效时间,则删除所述记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510002327.7A CN104639391A (zh) | 2015-01-04 | 2015-01-04 | 一种生成网络流量记录的方法及相应的流量检测设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510002327.7A CN104639391A (zh) | 2015-01-04 | 2015-01-04 | 一种生成网络流量记录的方法及相应的流量检测设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104639391A true CN104639391A (zh) | 2015-05-20 |
Family
ID=53217734
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510002327.7A Pending CN104639391A (zh) | 2015-01-04 | 2015-01-04 | 一种生成网络流量记录的方法及相应的流量检测设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104639391A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450774A (zh) * | 2015-12-28 | 2016-03-30 | 曙光信息产业(北京)有限公司 | 用于dns的负载均衡方法和装置 |
| CN105516390A (zh) * | 2015-12-23 | 2016-04-20 | 北京奇虎科技有限公司 | 域名管理的方法和装置 |
| CN105610808A (zh) * | 2015-12-24 | 2016-05-25 | 成都科来软件有限公司 | 一种基于动态域名解析的网络流量识别方法及系统 |
| CN107426063A (zh) * | 2017-09-22 | 2017-12-01 | 中国联合网络通信集团有限公司 | 互联网应用流量的识别系统及方法 |
| CN107787003A (zh) * | 2016-08-24 | 2018-03-09 | 中兴通讯股份有限公司 | 一种流量检测的方法和装置 |
| CN109565453A (zh) * | 2016-06-06 | 2019-04-02 | 爱维士软件有限责任公司 | 用于扩充网络流量报告的方法及系统 |
| CN111030979A (zh) * | 2019-06-20 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种恶意域名检测方法、装置及存储设备 |
| CN111625359A (zh) * | 2020-05-25 | 2020-09-04 | 北京金山云网络技术有限公司 | 用户的cdn用量的确定方法、装置和终端设备 |
| CN111771364A (zh) * | 2018-01-10 | 2020-10-13 | 爱维士软件有限责任公司 | 经由dns属性在远程网络中进行基于云的异常流量检测和保护 |
| CN112565106A (zh) * | 2019-09-26 | 2021-03-26 | 中国移动通信集团河北有限公司 | 流量业务识别方法、装置、设备及计算机存储介质 |
| CN112714078A (zh) * | 2019-10-24 | 2021-04-27 | 中兴通讯股份有限公司 | 网络流量的识别方法、装置、存储介质及服务器 |
| CN115412366A (zh) * | 2022-10-28 | 2022-11-29 | 成都数默科技有限公司 | 基于服务提供商动态ip白名单的流量采集过滤方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800746A (zh) * | 2010-02-04 | 2010-08-11 | 成都市华为赛门铁克科技有限公司 | 检测僵尸网络中控制主机域名的方法、装置和系统 |
| CN102571956A (zh) * | 2012-01-09 | 2012-07-11 | 华为技术有限公司 | 关联识别表更新方法、关联识别方法、装置及系统 |
| CN103345475A (zh) * | 2013-06-06 | 2013-10-09 | 湖南神州祥网科技有限公司 | 一种基于被动方式的<ip,域名>信息获得和维护方法 |
| KR101428999B1 (ko) * | 2013-04-12 | 2014-08-12 | 주식회사 엑스게이트 | Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치 |
| CN104253875A (zh) * | 2013-06-28 | 2014-12-31 | 北京宽广电信高技术发展有限公司 | 一种dns流量分析方法 |
-
2015
- 2015-01-04 CN CN201510002327.7A patent/CN104639391A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800746A (zh) * | 2010-02-04 | 2010-08-11 | 成都市华为赛门铁克科技有限公司 | 检测僵尸网络中控制主机域名的方法、装置和系统 |
| CN102571956A (zh) * | 2012-01-09 | 2012-07-11 | 华为技术有限公司 | 关联识别表更新方法、关联识别方法、装置及系统 |
| KR101428999B1 (ko) * | 2013-04-12 | 2014-08-12 | 주식회사 엑스게이트 | Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치 |
| CN103345475A (zh) * | 2013-06-06 | 2013-10-09 | 湖南神州祥网科技有限公司 | 一种基于被动方式的<ip,域名>信息获得和维护方法 |
| CN104253875A (zh) * | 2013-06-28 | 2014-12-31 | 北京宽广电信高技术发展有限公司 | 一种dns流量分析方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516390A (zh) * | 2015-12-23 | 2016-04-20 | 北京奇虎科技有限公司 | 域名管理的方法和装置 |
| CN105610808A (zh) * | 2015-12-24 | 2016-05-25 | 成都科来软件有限公司 | 一种基于动态域名解析的网络流量识别方法及系统 |
| CN105450774A (zh) * | 2015-12-28 | 2016-03-30 | 曙光信息产业(北京)有限公司 | 用于dns的负载均衡方法和装置 |
| CN109565453A (zh) * | 2016-06-06 | 2019-04-02 | 爱维士软件有限责任公司 | 用于扩充网络流量报告的方法及系统 |
| CN107787003A (zh) * | 2016-08-24 | 2018-03-09 | 中兴通讯股份有限公司 | 一种流量检测的方法和装置 |
| CN107426063A (zh) * | 2017-09-22 | 2017-12-01 | 中国联合网络通信集团有限公司 | 互联网应用流量的识别系统及方法 |
| CN111771364A (zh) * | 2018-01-10 | 2020-10-13 | 爱维士软件有限责任公司 | 经由dns属性在远程网络中进行基于云的异常流量检测和保护 |
| CN111771364B (zh) * | 2018-01-10 | 2022-08-23 | 爱维士软件有限责任公司 | 经由dns属性在远程网络中进行基于云的异常流量检测和保护 |
| CN111030979A (zh) * | 2019-06-20 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种恶意域名检测方法、装置及存储设备 |
| CN112565106A (zh) * | 2019-09-26 | 2021-03-26 | 中国移动通信集团河北有限公司 | 流量业务识别方法、装置、设备及计算机存储介质 |
| CN112565106B (zh) * | 2019-09-26 | 2023-04-28 | 中国移动通信集团河北有限公司 | 流量业务识别方法、装置、设备及计算机存储介质 |
| CN112714078A (zh) * | 2019-10-24 | 2021-04-27 | 中兴通讯股份有限公司 | 网络流量的识别方法、装置、存储介质及服务器 |
| CN111625359A (zh) * | 2020-05-25 | 2020-09-04 | 北京金山云网络技术有限公司 | 用户的cdn用量的确定方法、装置和终端设备 |
| CN111625359B (zh) * | 2020-05-25 | 2023-04-18 | 北京金山云网络技术有限公司 | 用户的cdn用量的确定方法、装置和终端设备 |
| CN115412366A (zh) * | 2022-10-28 | 2022-11-29 | 成都数默科技有限公司 | 基于服务提供商动态ip白名单的流量采集过滤方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104639391A (zh) | 一种生成网络流量记录的方法及相应的流量检测设备 | |
| US10795992B2 (en) | Self-adaptive application programming interface level security monitoring | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
| CN110313147B (zh) | 数据处理方法、装置和系统 | |
| CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
| CN102833262B (zh) | 基于whois信息的钓鱼网站收集、鉴定方法和系统 | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| CN105103496A (zh) | 用于提取和保存用于分析网络通信的元数据的系统和方法 | |
| CN104038917B (zh) | 终端漫游认证的方法及装置 | |
| CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
| CN103036910B (zh) | 一种用户Web访问行为控制方法及装置 | |
| CN103731429A (zh) | web应用漏洞检测方法及装置 | |
| CN111241104A (zh) | 操作审计方法、装置及电子设备和计算机可读存储介质 | |
| US10142359B1 (en) | System and method for identifying security entities in a computing environment | |
| CN107995321A (zh) | 一种vpn客户端代理dns的方法及装置 | |
| US8296425B2 (en) | Method and system for lawful interception of internet service | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| CN101741745A (zh) | 识别对等网络应用流量的方法及其系统 | |
| CN114338600A (zh) | 一种设备指纹的推选方法、装置、电子设备和介质 | |
| US9917858B2 (en) | Honey user | |
| CN109803030A (zh) | 一种匿名中间代理服务器及其通信方法 | |
| CN109302406B (zh) | 一种分布式网页取证的方法及系统 | |
| US20090300206A1 (en) | Methods and systems for protecting e-mail addresses in publicly available network content |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150520 |