一种业务报文处理方法和设备的制作方法

一种业务报文处理方法和设备的制作方法
【专利摘要】本发明公开了一种业务报文处理方法和设备，该方法包括：流量分析设备在三元关联表项中记录用户终端的IP地址、业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系；所述流量分析设备在接收到业务报文时，利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项；如果三元关联表项中有对应的记录，则判定所述业务报文为合规业务报文；如果三元关联表项中没有对应的记录，则所述流量分析设备判定所述业务报文为不合规业务报文。本发明实施例中，通过用户终端的域名解析行为实现检测，不依赖特征码，并能检测网络带宽资源滥用或者未知的网络风险。
【专利说明】一种业务报文处理方法和设备

【技术领域】
[0001] 本发明涉及通信【技术领域】，尤其是涉及一种业务报文处理方法和设备。

【背景技术】
[0002] 随着计算机与网络的普及，信息技术正在改变着、影响着人类的生活方式，各种 网络应用层出不穷，而且安全威胁和网络滥用也与日俱增，给网络监管机构对各种网络流 量进行识别、分类和控制提出了新的要求。目前对流量进行识别与检测的技术具体包括： DPI (Deep Packet Inspection,深层数据包检测）技术和基于流量特征的行为识别技术。其 中，DPI技术主要是通过对业务报文的负载，进行特征匹配来识别流量。基于流量特征的行 为识别技术主要是针对网络流量在一段时间内的某些统计特征，进行检测和分析。
[0003] 在使用DPI技术时，存在特征码提取滞后，特征码规模急速膨胀，对加密流量无效 等缺点。在使用基于流量特征的行为识别技术时，存在记录数据庞大，统计识别速度慢，精 确度不高，在大流量高速网络下难以部署等缺点。


【发明内容】

[0004] 本发明实施例提供一种业务报文处理方法，所述方法包括以下步骤：
[0005] 流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服 务器的域名信息、所述业务服务器的IP地址之间的关联关系；
[0006] 所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时， 利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项；
[0007] 如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录，则所 述流量分析设备判定所述业务报文为合规业务报文；
[0008] 如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录，则 所述流量分析设备判定所述业务报文为不合规业务报文。
[0009] 所述流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业 务服务器的域名信息、所述业务服务器的IP地址之间的关联关系，具体包括：所述流量分 析设备接收所述用户终端向域名服务DNS服务器发送的DNS请求报文，所述DNS请求报文 中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息，并在所述 三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信 息之间的关联关系；所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响 应报文，所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址； 如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系，则 在所述关联关系中记录所述业务服务器的IP地址。
[0010] 所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文之 后，所述方法还包括：
[0011] 如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关 联关系，则所述流量分析设备丢弃所述DNS响应报文。
[0012] 所述流量分析设备接收所述用户终端向DNS服务器发送的DNS请求报文之后，所 述方法还包括：
[0013] 所述流量分析设备利用所述DNS请求报文中携带的域名信息查询域名白名单；如 果所述域名白名单中记录了所述域名信息，则允许所述流量分析设备在所述三元关联表项 中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联 关系；如果所述域名白名单中没有记录所述域名信息，则所述流量分析设备丢弃所述DNS 请求报文。
[0014] 所述方法进一步包括：
[0015] 所述流量分析设备在判定所述业务报文为合规业务报文之后，所述流量分析设备 将所述业务报文发送给Web应用防火墙WAF，由所述WAF继续处理所述业务报文；或者，所 述流量分析设备在判定所述业务报文为不合规业务报文之后，所述流量分析设备丢弃所述 业务报文或者将所述业务报文发送给入侵防御系统IPS，由所述IPS对所述业务报文进行 深层数据包检测DPI技术的检测或进行基于流量特征的行为识别技术的检测。
[0016] 本发明实施例提供一种流量分析设备，所述流量分析设备具体包括：
[0017] 记录模块，用于在三元关联表项中记录用户终端的IP地址、外部网络中的业务服 务器的域名信息、所述业务服务器的IP地址之间的关联关系；
[0018] 查询模块，用于在接收到所述用户终端发送给所述业务服务器的业务报文时，利 用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项；
[0019] 判定模块，用于当查询结果为所述三元关联表项中有所述源IP地址和所述目的 IP地址对应的记录时，则判定所述业务报文为合规业务报文；
[0020] 当查询结果为所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的 记录时，则判定所述业务报文为不合规业务报文。
[0021] 所述记录模块，具体用于接收所述用户终端向域名服务DNS服务器发送的DNS请 求报文，所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务 器的域名信息，并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访 问的业务服务器的域名信息之间的关联关系；以及，接收所述DNS服务器向所述用户终端 发送的DNS响应报文，所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务 器的IP地址；如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的 关联关系，则在所述关联关系中记录所述业务服务器的IP地址。
[0022] 还包括：动作模块，用于在接收到所述DNS服务器向所述用户终端发送的DNS响应 报文之后，如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的 关联关系，则丢弃所述DNS响应报文。
[0023] 所述查询模块，还用于在接收到所述用户终端向DNS服务器发送的DNS请求报文 之后，利用所述DNS请求报文中携带的域名信息查询域名白名单；如果所述域名白名单中 记录了所述域名信息，则允许所述记录模块在所述三元关联表项中记录所述用户终端的IP 地址与所述用户终端访问的业务服务器的域名信息之间的关联关系；所述动作模块，还用 于当所述域名白名单中没有记录所述域名信息时，则丢弃所述DNS请求报文。
[0024] 所述动作模块，还用于在判定所述业务报文为合规业务报文后，将所述业务报文 发送给Web应用防火墙WAF，由所述WAF继续处理所述业务报文；或者，在判定所述业务报 文为不合规业务报文后，丢弃所述业务报文或者将所述业务报文发送给入侵防御系统IPS， 由所述IPS对所述业务报文进行深层数据包检测DPI技术的检测或进行基于流量特征的行 为识别技术的检测。
[0025] 基于上述技术方案，本发明实施例中，通过在三元关联表项中记录用户终端的IP 地址、业务服务器的域名信息、业务服务器的IP地址之间的关联关系，在接收到用户终端 发送给业务服务器的业务报文时，可以通过三元关联表项检测出业务报文为合规业务报文 或者不合规业务报文。上述方式通过用户终端的域名解析行为实现检测，不依赖特征码， 并能检测网络带宽资源滥用或者未知的网络风险，对加密流量同样有效，在避免特征码提 取滞后，特征码规模急速膨胀，对加密流量无效，记录数据庞大，统计识别速度慢，精确度不 高，在大流量高速网络下难以部署等缺点的同时，解决识别网络滥用和潜在网络风险的问 题，实现对网络带宽资源滥用和异常网络的访问检测，实现对流量基于网络行为的智能负 载分担检测。

【专利附图】

【附图说明】
[0026] 图1是本发明实施例中提出的应用场景示意图；
[0027] 图2是本发明实施例中提出的一种业务报文处理方法流程示意图；
[0028] 图3是本发明实施例中提出的一种流量分析设备的结构示意图。

【具体实施方式】
[0029] 针对现有技术中存在的问题，本发明实施例提供一种业务报文处理方法，该方法 应用于包括用户终端、流量分析设备、DNS(Domain Name service,域名服务）服务器和业务 服务器的系统中。本发明实施例中，流量分析设备可以作为独立的设备，并与各用户终端连 接。流量分析设备可以作为功能模块集成在现有设备上，如：流量分析设备作为功能模块集 成在各用户终端的出口网关上，或者，流量分析设备作为功能模块集成在内网与外网之间 的网络设备上，或者，流量分析设备作为功能模块集成在WAF (Web Application Firewall， Web应用防火墙）上，或者，流量分析设备作为功能模块集成在IPS (Intrusion Prevention System，入侵防御系统）上。本发明实施例中，流量分析设备用于基于用户终端的域名解析 行为判定业务报文是合规业务报文还是不合规业务报文。其中，合规业务报文是指：符合域 名解析行为的业务报文。不合规业务报文是指：不符合域名解析行为的业务报文。
[0030] 为了方便描述，以流量分析设备作为独立的设备，并与各用户终端连接为例进行 说明。基于此，以图1为本发明实施例的应用场景示意图，用户终端1、用户终端2、用户终 端3均与流量分析设备连接，流量分析设备通过互联网连接到DNS服务器，且流量分析设备 通过互联网连接到业务服务器。在此应用场景下，假设业务服务器为业务服务器A。
[0031] 如图2所示，该业务报文处理方法具体包括以下步骤：
[0032] 步骤201，流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中 的业务服务器的域名信息、业务服务器的IP地址之间的关联关系。
[0033] 本发明实施例中，流量分析设备在三元关联表项中记录用户终端的IP地址、外部 网络中的业务服务器的域名信息、业务服务器的IP地址之间的关联关系，具体包括但不限 于：流量分析设备接收用户终端向DNS服务器发送的DNS请求报文，该DNS请求报文中携带 了用户终端的IP地址和该用户终端访问的业务服务器的域名信息。之后，流量分析设备在 三元关联表项中记录该用户终端的IP地址与该用户终端访问的业务服务器的域名信息之 间的关联关系。之后，流量分析设备接收DNS服务器向用户终端发送的DNS响应报文，该DNS 响应报文中携带了域名信息以及该域名信息对应的业务服务器的IP地址。进一步的，如果 三元关联表项中记录了该域名信息与用户终端的IP地址之间的关联关系，则流量分析设 备在该关联关系中记录DNS响应报文中携带的业务服务器的IP地址。如果三元关联表项 中没有记录该域名信息与用户终端的IP地址之间的关联关系，则流量分析设备丢弃该DNS 响应报文。
[0034] 以用户终端1需要访问业务服务器A为例对上述过程进行详细说明。
[0035] 步骤1、当用户需要使用浏览器打开业务服务器A的页面时，则用户在浏览器地址 栏中输入业务服务器A的域名信息（如http://www.news. com/)。基于此，用户终端1的操 作系统可以通过DNS协议向DNS服务器发送DNS请求报文，该DNS请求报文中至少携带了 用户终端1的IP地址（假设为IP地址1)和用户终端1访问的业务服务器A的域名信息， 如 http://www. news, com/〇
[0036] 步骤2、流量分析设备拦截用户终端1向DNS服务器发送的DNS请求报文，并在三 元关联表项中记录DNS请求报文中携带的用户终端1的IP地址（IP地址1)与用户终端1 访问的业务服务器A的域名信息（http://www. news, com/)之间的关联关系，如表1所示， 为记录关联关系之后的二兀关联表项。
[0037] 表 1
[0038]

【权利要求】
1. 一种业务报文处理方法，其特征在于，所述方法包括以下步骤： 流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器 的域名信息、所述业务服务器的IP地址之间的关联关系； 所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时，利用 所述业务报文的源IP地址和目的IP地址查询所述三元关联表项； 如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录，则所述流 量分析设备判定所述业务报文为合规业务报文； 如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录，则所述 流量分析设备判定所述业务报文为不合规业务报文。
2. 如权利要求1所述的方法，其特征在于，所述流量分析设备在三元关联表项中记录 用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间 的关联关系的过程，具体包括： 所述流量分析设备接收所述用户终端向域名服务DNS服务器发送的DNS请求报文，所 述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名 信息，并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务 服务器的域名信息之间的关联关系； 所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文，所述DNS 响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址；如果所述三元关 联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系，则在所述关联关系 中记录所述业务服务器的IP地址。
3. 如权利要求2所述的方法，其特征在于，所述流量分析设备接收所述DNS服务器向所 述用户终端发送的DNS响应报文之后，所述方法还包括： 如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关 系，则所述流量分析设备丢弃所述DNS响应报文。
4. 如权利要求2所述的方法，其特征在于，所述流量分析设备接收所述用户终端向DNS 服务器发送的DNS请求报文之后，所述方法还包括： 所述流量分析设备利用所述DNS请求报文中携带的域名信息查询域名白名单；如果 所述域名白名单中记录了所述域名信息，则允许所述流量分析设备在所述三元关联表项中 记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关 系；如果所述域名白名单中没有记录所述域名信息，则所述流量分析设备丢弃所述DNS请 求报文。
5. 如权利要求1所述的方法，其特征在于，所述方法进一步包括： 所述流量分析设备在判定所述业务报文为合规业务报文之后，所述流量分析设备将所 述业务报文发送给Web应用防火墙WAF，由所述WAF继续处理所述业务报文；或者，所述流 量分析设备在判定所述业务报文为不合规业务报文之后，所述流量分析设备丢弃所述业务 报文或者将所述业务报文发送给入侵防御系统IPS，由所述IPS对所述业务报文进行深层 数据包检测DPI技术的检测或进行基于流量特征的行为识别技术的检测。
6. -种流量分析设备，其特征在于，所述流量分析设备具体包括： 记录模块，用于在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器 的域名信息、所述业务服务器的IP地址之间的关联关系； 查询模块，用于在接收到所述用户终端发送给所述业务服务器的业务报文时，利用所 述业务报文的源IP地址和目的IP地址查询所述三元关联表项； 判定模块，用于当查询结果为所述三元关联表项中有所述源IP地址和所述目的IP地 址对应的记录时，则判定所述业务报文为合规业务报文； 当查询结果为所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录 时，则判定所述业务报文为不合规业务报文。
7. 如权利要求6所述的流量分析设备，其特征在于， 所述记录模块，具体用于接收所述用户终端向域名服务DNS服务器发送的DNS请求报 文，所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的 域名信息，并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的 业务服务器的域名信息之间的关联关系；以及，接收所述DNS服务器向所述用户终端发送 的DNS响应报文，所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的 IP地址；如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联 关系，则在所述关联关系中记录所述业务服务器的IP地址。
8. 如权利要求7所述的流量分析设备，其特征在于，还包括： 动作模块，用于在接收到所述DNS服务器向所述用户终端发送的DNS响应报文之后，如 果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系，则 丢弃所述DNS响应报文。
9. 如权利要求8所述的流量分析设备，其特征在于， 所述查询模块，还用于在接收到所述用户终端向DNS服务器发送的DNS请求报文之后， 利用所述DNS请求报文中携带的域名信息查询域名白名单；如果所述域名白名单中记录了 所述域名信息，则允许所述记录模块在所述三元关联表项中记录所述用户终端的IP地址 与所述用户终端访问的业务服务器的域名信息之间的关联关系；所述动作模块，还用于当 所述域名白名单中没有记录所述域名信息时，则丢弃所述DNS请求报文。
10. 如权利要求8所述的流量分析设备，其特征在于， 所述动作模块，还用于在判定所述业务报文为合规业务报文后，将所述业务报文发送 给Web应用防火墙WAF，由所述WAF继续处理所述业务报文；或者，在判定所述业务报文为 不合规业务报文后，丢弃所述业务报文或者将所述业务报文发送给入侵防御系统IPS，由所 述IPS对所述业务报文进行深层数据包检测DPI技术的检测或进行基于流量特征的行为识 别技术的检测。
【文档编号】H04L12/803GK104301180SQ201410548561
【公开日】2015年1月21日 申请日期:2014年10月16日 优先权日:2014年10月16日
【发明者】任方英, 张惊申 申请人:杭州华三通信技术有限公司