CN113395367A - Https业务识别方法、装置、存储介质及电子设备 - Google Patents
Https业务识别方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN113395367A CN113395367A CN202010177133.1A CN202010177133A CN113395367A CN 113395367 A CN113395367 A CN 113395367A CN 202010177133 A CN202010177133 A CN 202010177133A CN 113395367 A CN113395367 A CN 113395367A
- Authority
- CN
- China
- Prior art keywords
- service
- address
- domain name
- service server
- recorded
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明实施例提供一种HTTPS业务识别方法、装置、存储介质及电子设备,HTTPS业务识别方法包括:当用户设备通过移动网络访问第一业务时,建立与第一业务对应的三方校验数据表,三方校验数据表记录有第一业务对应的业务服务器IP地址、位置信息以及业务类型;采用自身预设的识别规则对用户设备访问第一业务时采集到的网络数据流进行解析,得到对应的业务解析数据,业务解析数据包括业务服务器IP地址、业务类型及位置信息;判断业务解析数据中的业务类型与三方校验数据表中记录的业务类型是否一致;如果不一致,则将业务解析数据中的业务类型更新为三方校验数据表中记录的业务类型,上述方法可以增加业务识别的精确性。
Description
技术领域
本发明涉及移动通信领域,具体涉及一种HTTPS业务识别方法、装置、存储介质及电子设备。
背景技术
当前常见的流量识别技术有基于五元组、流特征、深度报文检测(DPI,DeepPacket Inspection)、深度学习等方法。深度报文检测通过检测L7层的报文结构特征,具备高精度的特点,该方法也是当前流量识别产品最常用的检测手段。但目前随着网络通讯安全要求的逐渐提高,承载用户业务的加密协议业务量在逐渐增加,目前HTTPS协议的流量占所有协议的比例已经达到了20+%。即通过传统的解析L7层报文特征达到识别业务的手段,已经不足以支撑HTTPS协议承载的业务类型的识别精度要求。
发明内容
本发明实施例提供一种HTTPS业务识别方法、装置、存储介质及电子设备,用于解决现有技术中的深度报文检测方法对业务类型的识别精度低的问题。
第一方面,本发明实施例提供一种HTTPS业务识别方法,应用于深度报文检测装置,所述方法包括:
当用户设备通过移动网络访问第一业务时,识别关键网络数据,并基于所述关键网络数据建立与所述第一业务对应的三方校验数据表,所述三方校验数据表记录有所述第一业务对应的业务服务器IP地址、位置信息以及业务类型;
采用自身预设的识别规则对所述用户设备访问所述第一业务时采集到的网络数据流进行解析,得到对应的业务解析数据,所述业务解析数据包括业务服务器IP地址、业务类型及位置信息;
判断所述业务解析数据中的业务服务器IP地址以及位置信息与所述三方校验数据表中记录的业务服务器IP地址以及位置信息是否都一致;
如果都一致,判断所述业务解析数据中的业务类型与所述三方校验数据表中记录的业务类型是否一致;
如果所述业务解析数据中的业务类型与所述三方校验数据表中记录的业务类型不一致,则将所述业务解析数据中的业务类型更新为所述三方校验数据表中记录的业务类型。
可选地,所述当用户设备通过移动网络访问第一业务时,识别关键网络数据,并基于所述关键网络数据建立与所述第一业务对应的三方校验数据表,包括:
预先建立记录有业务服务器IP地址和域名关联关系的第一关系记录表以及记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表;
当所述用户设备访问所述第一业务时,通过触发的DNS过程解析出所述第一业务所对应的业务服务器IP地址,根据所述业务服务器IP地址从所述第一关系记录表和所述第二关系记录表中分别获取所述业务服务器IP地址所对应的域名以及域名关键信息;
计算所述业务服务器IP地址所对应的域名和域名关键信息之间的相似度,当相似度满足预设条件时,确定所述业务服务器IP地址所对应的域名和域名关键信息对应同一业务;
建立所述第一业务对应的三方校验数据表,所述三方校验数据表记录有所述第一业务对应的业务服务器IP地址、位置信息以及业务类型。
可选地,所述预先建立记录有业务服务器IP地址和域名关联关系的第一关系记录表以及记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表,包括:
采集DNS过程中的交互信息,并从DNS过程中的交互信息提取出业务服务器IP地址和域名,以及建立记录有业务服务器IP地址和域名关联关系的所述第一关系记录表;
采集HTTPS连接建立过程中的交互信息,并从HTTPS连接建立过程的交互信息中提取域名关键信息以及业务服务器IP地址,以及建立记录有域名关键信息和业务服务器IP地址关联关系的所述第二关系记录表。
可选地,所述计算所述业务服务器IP地址所对应的域名和域名关键信息之间的相似度,包括:
利用jaccard算法计算所述业务服务器IP地址所对应的域名和域名关键信息之间的相似度。
可选地,所述采用自身预设的识别规则对所述用户设备访问所述第一业务时采集到的网络数据流进行解析,包括:
采用自身预设的识别规则对所述用户设备开始进行DNS解析请求以及之后的预设时间范围内的网络数据流进行解析。
第二方面,本发明实施例提供了一种HTTPS业务识别装置,包括:
建立模块,用于当用户设备通过移动网络访问第一业务时,识别关键网络数据,并基于所述关键网络数据建立与所述第一业务对应的三方校验数据表,所述三方校验数据表记录有所述第一业务对应的业务服务器IP地址、位置信息以及业务类型;
解析模块,用于采用自身预设的识别规则对所述用户设备访问所述第一业务时采集到的网络数据流进行解析,得到对应的业务解析数据,所述业务解析数据包括业务服务器IP地址、业务类型及位置信息;
第一判断模块,用于判断所述业务解析数据中的业务服务器IP地址以及位置信息与所述三方校验数据表中记录的业务服务器IP地址以及位置信息是否都一致;
第二判断模块,用于当所述业务解析数据中的业务服务器IP地址以及位置信息与所述三方校验数据表中记录的业务服务器IP地址以及位置信息都一致时,判断所述业务解析数据中的业务类型信息与所述三方校验数据表中记录的业务类型是否一致;及
更新模块,用于当所述业务解析数据中的业务类型信息与所述三方校验数据表中记录的业务类型不一致时,将所述业务解析数据中的业务类型更新为所述三方校验数据表中记录的业务类型。
可选地,所述建立模块包括:
第一建立单元,用于预先建立记录有业务服务器IP地址和域名关联关系的第一关系记录表以及记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表;
第一获取单元,用于当所述用户设备访问所述第一业务时,通过触发的DNS过程解析出所述第一业务所对应的业务服务器IP地址,根据所述业务服务器IP地址从所述第一关系记录表和所述第二关系记录表中分别获取所述业务服务器IP地址所对应的域名以及域名关键信息;
第一计算单元,用于计算所述业务服务器IP地址所对应的域名和域名关键信息之间的相似度,当相似度满足预设条件时,确定所述业务服务器IP地址所对应的域名和域名关键信息对应同一业务;及
第二建立单元,用于建立所述第一业务对应的三方校验数据表,所述三方校验数据表记录有所述第一业务对应的业务服务器IP地址、位置信息以及业务类型。
可选地,所述第一建立单元包括:
第一子单元,用于采集DNS过程中的交互信息,并从DNS过程中的交互信息提取出业务服务器IP地址和域名,以及建立记录有业务服务器IP地址和域名关联关系的所述第一关系记录表;及
第二子单元,用于采集HTTPS连接建立过程中的交互信息,并从HTTPS连接建立过程的交互信息中提取域名关键信息以及业务服务器IP地址,以及建立记录有域名关键信息和业务服务器IP地址关联关系的所述第二关系记录表。
第三方面,本发明实施例提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述方法。
第四方面,本发明实施例提供了一种电子设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,所述程序指令被处理器加载并执行时实现上述方法的步骤。
可以理解,本发明实施例基于深度报文检测装置采集到的网络数据识别关键网络数据,并基于所述关键网络数据建立与所述第一业务对应的三方校验数据表,使用三方校验数据表对传统的数据流的业务识别进行校准。区别于现有的深度报文检测装置针对HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议)数据的识别方式,一方面提供了支撑业务识别的更多的有效信息获取方式,另一方面获取到的多维数据通过关联性算法实现了业务类型的唯一性识别,避免了多维数据造成的业务识别因参与因素过多,造成了业务类型的不聚焦,提升了HTTPS业务识别的准确度。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1为本发明实施例提供的一种HTTPS业务识别方法的流程图;
图2为本发明实施例提供的一种serverip与domainname的对应关系示意图;
图3为本发明实施例提供的一种HTTPS业务识别装置的示意框图;
图4为本发明实施例提供的一种电子设备的示意框图。
具体实施例
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
请参阅附图1,本发明实施例提供一种HTTPS业务识别方法,该方法用于深度报文检测(DPI,Deep Packet Inspection)装置中,HTTPS业务识别方法包括:
步骤S01:当用户设备通过移动网络访问第一业务时,识别关键网络数据,并基于关键网络数据建立与第一业务对应的三方校验数据表,三方校验数据表记录有第一业务对应的业务服务器IP地址、位置信息以及业务类型。
步骤S02:采用自身预设的识别规则对用户设备访问第一业务时采集到的网络数据流进行解析,得到对应的业务解析数据,业务解析数据包括业务服务器IP地址、业务类型及位置信息。
步骤S03:判断业务解析数据中的业务服务器IP地址以及位置信息与三方校验数据表中记录的业务服务器IP地址以及位置信息是否都一致。
步骤S04:如果都一致,判断业务解析数据中的业务类型信息与三方校验数据表中记录的业务类型是否一致。
步骤S05:如果业务解析数据中的业务类型与三方校验数据表中记录的业务类型不一致,则将业务解析数据中的业务类型更新为三方校验数据表中记录的业务类型。
可以理解,本发明实施例基于深度报文检测装置采集到的网络数据识别关键网络数据,并基于关键网络数据建立与第一业务对应的三方校验数据表,使用三方校验数据表对传统的数据流的业务识别进行校准。区别于现有的深度报文检测装置针对HTTPS(HyperText Transfer Protocol over Secure Socket Layer,超文本传输安全协议)数据的识别方式,一方面提供了支撑业务识别的更多的有效信息获取方式,另一方面获取到的多维数据通过关联性算法实现了业务类型的唯一性识别,避免了多维数据造成的业务识别因参与因素过多,造成了业务类型的不聚焦,提升了HTTPS业务识别的准确度。
下面再次结合附图1对本实施例提供的HTTPS业务识别方法的具体技术方案进行详细的说明。
首先,执行步骤S01:当用户设备通过移动网络访问第一业务时,识别关键网络数据,并基于关键网络数据建立与第一业务对应的三方校验数据表,三方校验数据表记录有第一业务对应的业务服务器IP地址、位置信息以及业务类型。
进一步地,步骤S01,具体包括:
步骤S011:预先建立记录有业务服务器IP地址和域名关联关系的第一关系记录表以及记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表;
具体地,步骤S011:预先建立记录有业务服务器IP地址和域名关联关系的第一关系记录表以及记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表,具体包括:
步骤S0111:采集DNS(Domain Name System,域名系统(服务)协议)过程中的交互信息,并从DNS过程中的交互信息提取出业务服务器IP地址(serverip)和域名(domainname),以及建立记录有业务服务器IP地址(serverip)和域名(domainname)关联关系的第一关系记录表,例如,第一关系记录表可以如下:
表(一)
如第一关系记录表所示,第一关系记录表记录的信息包括但不限于协议类型、DNS过程的开始时间、用户信息、域名(domainname)、DNS服务器地址及解析业务地址(即业务服务器IP地址(serverip))等等。
步骤S0112:采集HTTPS连接建立过程中的交互信息,并从HTTPS连接建立过程的交互信息中提取域名关键信息(servername)以及业务服务器IP地址(serverip),以及建立记录有域名关键信息(servername)和业务服务器IP地址(serverip)关联关系的第二关系记录表,例如,第二关系记录表可以如下:
| 协议类型 | 开始时间 | 用户信息 | servername | serverip |
| HTTPS | 2019:07:28:19:00:48.134 | XXXX | douyin.com/ | 120.221.210.103 |
表(二)
如第二关系记录表所示,第二关系记录表记录的信息包括但不限于协议类型、HTTPS连接的开始时间、用户信息、域名关键信息(servername)、业务服务器IP地址(serverip)等等。
其中,业务服务器IP地址(serverip)从HTTPS连接建立过程中的“client hello”数据中提取。
步骤S012:当用户设备访问第一业务时,通过触发的DNS过程解析出第一业务所对应的业务服务器IP地址,根据业务服务器IP地址从第一关系记录表和第二关系记录表中分别获取业务服务器IP地址所对应的域名(domainname)以及域名关键信息(servername);
具体地,如附图2所示,当用户设备通过移动网络访问某个业务时,触发的DNS过程能够解析出承载该业务的一个或者多个业务服务器IP地址(serverip)。基于业务服务器IP地址(serverip)去反查domainname,如果是一一对应的关系,即只有这一个业务服务器IP地址承载了此domainname的业务,同时根据该业务服务器IP地址在第二关系记录表中的查找业务服务器IP地址(serverip)与此一致的记录,同时获取业务服务器IP地址(serverip)一致的第二关系记录表中记录的域名关键信息(servername)。
步骤S013:计算业务服务器IP地址所对应的域名和域名关键信息之间的相似度,当相似度满足预设条件时,确定业务服务器IP地址所对应的域名和域名关键信息对应同一业务;
具体地,本发明实施例采用jaccard算法进行业务服务器IP地址所对应的域名(domainname)以及域名关键信息(servername)的相似度计算,计算公式如下:
其中,J(domainname,servername)表示业务服务器IP地址所对应的域名(domainname)以及域名关键信息(servername)的相似度。
在本发明实施例中,相似度所到达预设条件例如可以是:当相似度到达某一预设值时,例如2/3时,确定为同一业务类型;在其它实施方式中,预设值还可以是3/4,5/6等等,可以根据实际情况灵活设置,本发明对此不做限制。
步骤S014:建立第一业务对应的三方校验数据表,三方校验数据表记录有第一业务对应的业务服务器IP地址、位置信息以及业务类型。例如,三方校验数据表可以如下:
表(三)
如三方校验数据表所示,三方校验数据表的信息可以包括但不限于业务请求的开始时间、用户信息、业务服务器IP地址(serverip)、业务类型及位置信息等等。
可以理解,当确定上述的域名(domainname)以及域名关键信息(servername)对应同一业务时,将一一对应的业务服务器IP地址(serverip)作为辅助数据记录的键值。深度报文检测装置可通过相关脚本实现DNS过程的和HTTPS过程的三方数据的整合,并标识业务类型,形成三方校验数据表。
接下来,执行步骤S02:采用自身预设的识别规则对用户设备访问第一业务时采集到的网络数据流进行解析,得到对应的业务解析数据,业务解析数据包括业务服务器IP地址、业务类型及位置信息;
具体地,深度报文检测装置自身是数据实时采集,在深度报文检测装置的S1-U口(基站与核心网直接)探针进行数据分流,通过结合预设的识别规则并在分流模块嵌入业务识别功能进行业务的实时识别,得到业务解析数据并填写在在基于码流识别的数据记录里面,结合预设的识别规则进行业务的实时识别,主要有如下两种:
1、基于SSL会话ID关联匹配(ClientHello/ServerHello消息Ses sionID),即ClientHello数据中的servername。
2、基于流量统计特征匹配(例如字符特征、带宽、速率、交互),如在TCP负载包中的固定位置有固定序列长度的字符串,则代表某一种业务类型。
举例说明,用户通过手机终端访问了腾讯视频业务,通过第一步能够获取“qq.com”信息,但此信息不足以知道用户是在访问QQ业务,还是在看腾讯新闻,需要结合DPI采集到的TCP包中的data数据中的字符特征,如在数据报文开头偏移4个字符后有“1B56 4D D8 32”则认为是流媒体业务,通过第一点信息结合第二点则认为是腾讯的视频业务。
当移动网络中用户面原始码流(即用户发生业务时的网络数据流)经过DPI系统解析入库后,得到的业务解析数据的话单字段如以下表(四):
表(四)
如表(四)所示,业务解析数据可以包括但不限于用户信息、开始时间、业务类型、上行流量、下行流量、域名关键信息(serverna me)、业务时长、用户IP、业务服务器IP地址(serverip)、数据日期、数据日期、数据小时及位置信息等。
接下来,执行步骤S03:判断业务解析数据中的业务服务器IP地址以及位置信息与三方校验数据表中记录的业务服务器IP地址以及位置信息是否都一致;
具体地,可以利用用户信息作为键值,在预设时间范围内核实位置信息及业务服务器IP地址(serverip)与三方校验数据表所记录是否一致。其中,预设时间范围可以为DNS解析请求时间及之后的500毫秒以内。当然,预设时间范围也可以根据业务需求灵活设置,本发明实施例对此不做限定。
接下来,执行步骤S04:如果均一致,则进一步判断业务解析数据中的业务类型信息与三方校验数据表中记录的业务类型是否一致;
接下来,执行步骤S05:如果业务解析数据中的业务类型信息与三方校验数据表中记录的业务类型不一致,则将业务解析数据中的业务类型更新为三方校验数据表中记录的业务类型。
进一步地,如果判断业务解析数据中的业务类型信息与三方校验数据表中记录的业务类型一致,则说明当前的业务类型识别较为精确,不必进行更正。
可以理解,本发明实施例结合用户数据业务流程,识别流程中的关键步骤提取携带的关键网络数据。基于深度报文检测装置采集到的数据,将含带有关键网络数据连同其他网络信息,录入数据库作为三方校验数据存储。通过DNS过程的域名(domainname)以及解析的业务服务器IP地址(serverip),连同HTTPS秘钥协商过程中的域名关键信息(servername),三者通过关联和映射算法实现DPI数据流中涉及HTTPS协议的流量识别;本发明实施例提出一种基于移动业务发生初始DNS解析过程中通过深度报文监测功能能够识别到的关键网络数据,并关联后续业务的数据话单,同时结合HTTPS秘钥协商过程中传递的域名关键信息(servername)相互印证,实现HTTPS业务的流量类别的有效识别,提升HTTPS业务类型的识别准确度。
请参阅附图3,本发明实施例提供一种HTTPS业务识别装置1,包括:
建立模块11,用于当用户设备通过移动网络访问第一业务时,识别关键网络数据,并基于关键网络数据建立与第一业务对应的三方校验数据表,三方校验数据表记录有第一业务对应的业务服务器IP地址、位置信息以及业务类型;
解析模块12,用于采用自身预设的识别规则对用户设备访问第一业务时采集到的网络数据流进行解析,得到对应的业务解析数据,业务解析数据包括业务服务器IP地址、业务类型及位置信息;
第一判断模块13,用于判断业务解析数据中的业务服务器IP地址以及位置信息与三方校验数据表中记录的业务服务器IP地址以及位置信息是否都一致;
第二判断模块14,用于当业务解析数据中的业务服务器IP地址以及位置信息与三方校验数据表中记录的业务服务器IP地址以及位置信息都一致时,判断业务解析数据中的业务类型信息与三方校验数据表中记录的业务类型是否一致;及
更新模块15,用于当业务解析数据中的业务类型信息与三方校验数据表中记录的业务类型不一致时,将业务解析数据中的业务类型更新为三方校验数据表中记录的业务类型。
可选地,建立模块11包括:
第一建立单元,用于预先建立记录有业务服务器IP地址和域名关联关系的第一关系记录表以及记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表;
第一获取单元,用于当用户设备访问第一业务时,通过触发的DNS过程解析出第一业务所对应的业务服务器IP地址,根据业务服务器IP地址从第一关系记录表和第二关系记录表中分别获取业务服务器IP地址所对应的域名以及域名关键信息;
第一计算单元,用于计算业务服务器IP地址所对应的域名和域名关键信息之间的相似度,当相似度满足预设条件时,确定业务服务器IP地址所对应的域名和域名关键信息对应同一业务;及
第二建立单元,用于建立第一业务对应的三方校验数据表,三方校验数据表记录有第一业务对应的业务服务器IP地址、位置信息以及业务类型。
可选地,第一建立单元包括:
第一子单元,用于采集DNS过程中的交互信息,并从DNS过程中的交互信息提取出业务服务器IP地址和域名,以及建立记录有业务服务器IP地址和域名关联关系的第一关系记录表;及
第二子单元,用于采集HTTPS连接建立过程中的交互信息,并从HTTPS连接建立过程的交互信息中提取域名关键信息以及业务服务器IP地址,以及建立记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表。
可选地,第一计算单元具体用于利用jaccard算法计算业务服务器IP地址所对应的域名和域名关键信息之间的相似度。
可选地,解析模块12具体用于采用自身预设的识别规则对用户设备开始进行DNS解析请求以及之后的预设时间范围内的网络数据流进行解析。
应该知道,为避免重复,本发明实施例中提供的HTTPS业务识别装置中的其它实现方式可以参考本发明中其它实施例例如方法实施例的相应内容。
本发明实施例提供了一种存储介质,该存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行实现实施例中的HTTPS业务识别方法。
请参阅附图4,本发明实施例提供了一种电子设备50,该实施例的电子设备50包括:处理器51、存储器52以及存储在存储器52中并可在处理器51上运行的计算机程序53,该计算机程序53被处理器51执行时实现实施例中的HTTPS业务识别方法,为避免重复,此处不一一赘述。或者,该计算机程序被处理器51执行时实现实施例中HTTPS业务识别装置1中各模型/单元的功能,为避免重复,此处不一一赘述。
电子设备50可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。电子设备50可包括但不仅限于处理器51、存储器52。本领域技术人员可以理解,图4仅仅是电子设备50的示例,并不构成对电子设备50的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如电子设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器51可以是中央处理单元(Central Processing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器52可以是电子设备50的内部存储单元,例如电子设备50的硬盘或内存。存储器52也可以是电子设备50的外部存储设备,例如电子设备50上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器52还可以既包括电子设备50的内部存储单元也包括外部存储设备。存储器52用于存储计算机程序以及电子设备所需的其它程序和数据。存储器52还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种HTTPS业务识别方法,应用于深度报文检测装置,其特征在于,所述方法包括:
当用户设备通过移动网络访问第一业务时,识别关键网络数据,并基于所述关键网络数据建立与所述第一业务对应的三方校验数据表,所述三方校验数据表记录有所述第一业务对应的业务服务器IP地址、位置信息以及业务类型;
采用自身预设的识别规则对所述用户设备访问所述第一业务时采集到的网络数据流进行解析,得到对应的业务解析数据,所述业务解析数据包括业务服务器IP地址、业务类型及位置信息;
判断所述业务解析数据中的业务服务器IP地址以及位置信息与所述三方校验数据表中记录的业务服务器IP地址以及位置信息是否都一致;
如果都一致,判断所述业务解析数据中的业务类型与所述三方校验数据表中记录的业务类型是否一致;
如果所述业务解析数据中的业务类型与所述三方校验数据表中记录的业务类型不一致,则将所述业务解析数据中的业务类型更新为所述三方校验数据表中记录的业务类型。
2.如权利要求1所述的方法,其特征在于,所述当用户设备通过移动网络访问第一业务时,识别关键网络数据,并基于所述关键网络数据建立与所述第一业务对应的三方校验数据表,包括:
预先建立记录有业务服务器IP地址和域名关联关系的第一关系记录表以及记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表;
当所述用户设备访问所述第一业务时,通过触发的DNS过程解析出所述第一业务所对应的业务服务器IP地址,根据所述业务服务器IP地址从所述第一关系记录表和所述第二关系记录表中分别获取所述业务服务器IP地址所对应的域名以及域名关键信息;
计算所述业务服务器IP地址所对应的域名和域名关键信息之间的相似度,当相似度满足预设条件时,确定所述业务服务器IP地址所对应的域名和域名关键信息对应同一业务;
建立所述第一业务对应的三方校验数据表,所述三方校验数据表记录有所述第一业务对应的业务服务器IP地址、位置信息以及业务类型。
3.如权利要求2所述的方法,其特征在于,所述预先建立记录有业务服务器IP地址和域名关联关系的第一关系记录表以及记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表,包括:
采集DNS过程中的交互信息,并从DNS过程中的交互信息提取出业务服务器IP地址和域名,以及建立记录有业务服务器IP地址和域名关联关系的所述第一关系记录表;
采集HTTPS连接建立过程中的交互信息,并从HTTPS连接建立过程的交互信息中提取域名关键信息以及业务服务器IP地址,以及建立记录有域名关键信息和业务服务器IP地址关联关系的所述第二关系记录表。
4.如权利要求2所述的方法,其特征在于,所述计算所述业务服务器IP地址所对应的域名和域名关键信息之间的相似度,包括:
利用jaccard算法计算所述业务服务器IP地址所对应的域名和域名关键信息之间的相似度。
5.如权利要求1所述的方法,其特征在于,所述采用自身预设的识别规则对所述用户设备访问所述第一业务时采集到的网络数据流进行解析,包括:
采用自身预设的识别规则对所述用户设备开始进行DNS解析请求以及之后的预设时间范围内的网络数据流进行解析。
6.一种HTTPS业务识别装置,其特征在于,包括:
建立模块,用于当用户设备通过移动网络访问第一业务时,识别关键网络数据,并基于所述关键网络数据建立与所述第一业务对应的三方校验数据表,所述三方校验数据表记录有所述第一业务对应的业务服务器IP地址、位置信息以及业务类型;
解析模块,用于采用自身预设的识别规则对所述用户设备访问所述第一业务时采集到的网络数据流进行解析,得到对应的业务解析数据,所述业务解析数据包括业务服务器IP地址、业务类型及位置信息;
第一判断模块,用于判断所述业务解析数据中的业务服务器IP地址以及位置信息与所述三方校验数据表中记录的业务服务器IP地址以及位置信息是否都一致;
第二判断模块,用于当所述业务解析数据中的业务服务器IP地址以及位置信息与所述三方校验数据表中记录的业务服务器IP地址以及位置信息都一致时,判断所述业务解析数据中的业务类型信息与所述三方校验数据表中记录的业务类型是否一致;及
更新模块,用于当所述业务解析数据中的业务类型信息与所述三方校验数据表中记录的业务类型不一致时,将所述业务解析数据中的业务类型更新为所述三方校验数据表中记录的业务类型。
7.如权利要求6所述的装置,其特征在于,所述建立模块包括:
第一建立单元,用于预先建立记录有业务服务器IP地址和域名关联关系的第一关系记录表以及记录有域名关键信息和业务服务器IP地址关联关系的第二关系记录表;
第一获取单元,用于当所述用户设备访问所述第一业务时,通过触发的DNS过程解析出所述第一业务所对应的业务服务器IP地址,根据所述业务服务器IP地址从所述第一关系记录表和所述第二关系记录表中分别获取所述业务服务器IP地址所对应的域名以及域名关键信息;
第一计算单元,用于计算所述业务服务器IP地址所对应的域名和域名关键信息之间的相似度,当相似度满足预设条件时,确定所述业务服务器IP地址所对应的域名和域名关键信息对应同一业务;及
第二建立单元,用于建立所述第一业务对应的三方校验数据表,所述三方校验数据表记录有所述第一业务对应的业务服务器IP地址、位置信息以及业务类型。
8.如权利要求7所述的装置,其特征在于,所述第一建立单元包括:
第一子单元,用于采集DNS过程中的交互信息,并从DNS过程中的交互信息提取出业务服务器IP地址和域名,以及建立记录有业务服务器IP地址和域名关联关系的所述第一关系记录表;及
第二子单元,用于采集HTTPS连接建立过程中的交互信息,并从HTTPS连接建立过程的交互信息中提取域名关键信息以及业务服务器IP地址,以及建立记录有域名关键信息和业务服务器IP地址关联关系的所述第二关系记录表。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至5中任意一项所述的方法。
10.一种电子设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,其特征在于:所述程序指令被处理器加载并执行时实现权利要求1至5任意一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010177133.1A CN113395367B (zh) | 2020-03-13 | 2020-03-13 | Https业务识别方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010177133.1A CN113395367B (zh) | 2020-03-13 | 2020-03-13 | Https业务识别方法、装置、存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113395367A true CN113395367A (zh) | 2021-09-14 |
| CN113395367B CN113395367B (zh) | 2023-04-28 |
Family
ID=77616207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010177133.1A Active CN113395367B (zh) | 2020-03-13 | 2020-03-13 | Https业务识别方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113395367B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900360A (zh) * | 2022-05-12 | 2022-08-12 | 国家计算机网络与信息安全管理中心山西分中心 | 一种检测HTTPS流量中的DoH流量方法 |
| WO2024001557A1 (zh) * | 2022-06-28 | 2024-01-04 | 中兴通讯股份有限公司 | 业务识别方法、系统、装置、存储介质及程序产品 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997007A (zh) * | 2006-09-30 | 2007-07-11 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
| CN102884764A (zh) * | 2012-06-30 | 2013-01-16 | 华为技术有限公司 | 一种报文接收方法、深度包检测设备及系统 |
| CN104301180A (zh) * | 2014-10-16 | 2015-01-21 | 杭州华三通信技术有限公司 | 一种业务报文处理方法和设备 |
| CN108881392A (zh) * | 2018-05-22 | 2018-11-23 | 中国联合网络通信集团有限公司 | 业务特征数据库的更新方法及装置 |
-
2020
- 2020-03-13 CN CN202010177133.1A patent/CN113395367B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997007A (zh) * | 2006-09-30 | 2007-07-11 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
| CN102884764A (zh) * | 2012-06-30 | 2013-01-16 | 华为技术有限公司 | 一种报文接收方法、深度包检测设备及系统 |
| CN104301180A (zh) * | 2014-10-16 | 2015-01-21 | 杭州华三通信技术有限公司 | 一种业务报文处理方法和设备 |
| CN108881392A (zh) * | 2018-05-22 | 2018-11-23 | 中国联合网络通信集团有限公司 | 业务特征数据库的更新方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900360A (zh) * | 2022-05-12 | 2022-08-12 | 国家计算机网络与信息安全管理中心山西分中心 | 一种检测HTTPS流量中的DoH流量方法 |
| CN114900360B (zh) * | 2022-05-12 | 2023-09-22 | 国家计算机网络与信息安全管理中心山西分中心 | 一种检测HTTPS流量中的DoH流量方法 |
| WO2024001557A1 (zh) * | 2022-06-28 | 2024-01-04 | 中兴通讯股份有限公司 | 业务识别方法、系统、装置、存储介质及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113395367B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103259795B (zh) | 执行自动注册登录的方法、移动终端以及服务器 | |
| CN110083789B (zh) | 一种小程序页面获取方法、服务器、客户端及电子设备 | |
| CN107888605B (zh) | 一种物联网云平台流量安全分析方法和系统 | |
| US20130191890A1 (en) | Method and system for user identity recognition based on specific information | |
| EP3211825B1 (en) | Trusted terminal verification method and apparatus | |
| CN109218457B (zh) | 网络数据处理方法、装置和系统 | |
| CN108234345B (zh) | 一种终端网络应用的流量特征识别方法、装置和系统 | |
| EP2899956A1 (en) | Terminal pairing method, terminal and system | |
| CN113395367B (zh) | Https业务识别方法、装置、存储介质及电子设备 | |
| CN109450733B (zh) | 一种基于机器学习的网络终端设备识别方法及系统 | |
| CN107911398B (zh) | 身份信息的认证方法、装置以及系统 | |
| CN106656998B (zh) | 服务器通信方法及装置 | |
| WO2018010396A1 (zh) | 一种实现无线接入点连接认证的方法与设备 | |
| CN108111472A (zh) | 一种攻击特征检测方法及装置 | |
| CN112580730A (zh) | 一种终端类型的识别方法及装置 | |
| WO2017054307A1 (zh) | 用户信息的识别方法及装置 | |
| CN113055420B (zh) | Https业务识别方法、装置及计算设备 | |
| CN103997437A (zh) | 一种测试云服务器注册功能的方法 | |
| CN112073512B (zh) | 数据处理方法及设备 | |
| CN107592299B (zh) | 代理上网识别方法、计算机装置及计算机可读存储介质 | |
| CN113676926B (zh) | 用户网络感知画像方法及装置 | |
| CN110401626B (zh) | 一种黑客攻击分级检测方法及装置 | |
| CN109413049B (zh) | 一种基于web地图传输的数据安全通讯方法及系统 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| CN111225389B (zh) | 一种移动数据流量处理的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |