业务识别方法、系统、装置、存储介质及程序产品与流程

本申请实施例涉及通信，具体而言，涉及一种业务识别方法、系统、装置、存储介质及程序产品。

背景技术：

1、深度报文检测技术(deep packet inspection，dpi)用于识别用户上网流量中的业务类别，主要依赖于用户流量中的明文特征(如dns中的域名、http中的host、https/tls/quic中的sni)来快速区分识别业务类别，从而让网元设备或网管系统具备按业务类别进行统计、计费、质差分析等多种功能。

2、然而，对于采取完全加密方式的网络业务，例如采用基于doh(dns over https)、doq(dns over quic)的dns协议以及基于ech(encrypted clienthello)的https协议及quic协议进行加密的网络业务，网络流量中的dns域名和sni(service name indication)都加密不可见，致使dpi难以获取dns域名、sni等常见的明文流量特征信息，导致对业务类型的识别能力下降。因此，如何使dpi能够实现对完全加密用户流量的业务的识别，是当下亟待讨论和解决的问题。

技术实现思路

1、本申请实施例提供一种业务识别方法、系统、装置、存储介质及程序产品，旨在提高dpi系统对加密业务的识别能力。

2、第一方面，本申请实施例提供一种业务识别方法，所述方法包括：获取第一域名系统消息；根据所述第一域名系统消息，得到目标业务的第一流量信息，所述第一流量信息包括域名信息；根据所述第一流量信息，得到所述目标业务与所述域名信息的第一映射关系与目标业务的第一流量统计特征；根据所述域名信息获取第二域名系统消息，根据所述第二域名系统消息得到第二流量信息，并根据所述第二流量信息，得到所述域名信息的相关ip地址；根据所述第一映射关系、所述相关ip地址与所述第一流量统计特征进行时序统计特征匹配，对当前业务进行业务识别。

3、第二方面，本申请实施例提供一种业务识别系统，包括：采样模块，用于获取第一域名系统消息，根据所述第一域名系统消息，得到目标业务的第一流量信息，所述第一流量信息包括域名信息；训练模块，用于根据所述第一流量信息，得到所述目标业务与所述域名信息的第一映射关系与目标业务的第一流量统计特征；匹配模块，用于根据所述域名信息获取第二域名系统消息，根据所述第二域名系统消息得到第二流量信息，并根据所述第二流量信息，得到所述域名信息的相关ip地址，根据所述第一映射关系、所述相关ip地址与所述第一流量统计特征进行时序统计特征匹配，对当前业务进行业务识别。

4、第三方面，本申请实施例提供一种业务识别装置，包括包括存储器和处理器，所述存储器存储有程序，所述程序在被所述处理器读取执行时，实现第一方面的业务识别方法。

5、第四方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于执行如第一方面的业务识别方法。

6、第五方面，本申请实施例提供一种计算机程序产品，包括计算机程序或计算机指令，所述计算机程序或所述计算机指令存储在计算机可读存储介质中，计算机设备的处理器从所述计算机可读存储介质读取所述计算机程序或所述计算机指令，所述处理器执行所述计算机程序或所述计算机指令，使得所述计算机设备执行如第一方面的业务识别方法。

技术特征：

1.一种业务识别方法，所述方法包括：

2.如权利要求1所述的业务识别方法，其特征在于，所述第一流量信息包括业务信息，所述根据所述第一流量信息，得到所述目标业务与所述域名信息的第一映射关系，包括：

3.如权利要求2所述的业务识别方法，其特征在于，所述根据所述第一映射关系、所述相关ip地址与所述第一流量统计特征，对当前业务进行业务识别，包括：

4.如权利要求3所述的业务识别方法，其特征在于，所述根据所述第一映射关系、所述相关ip地址确定所述当前业务的相关业务，包括：

5.如权利要求4所述的业务识别方法，其特征在于，所述根据所述域名信息获取第二域名系统消息，根据所述第二域名系统消息得到第二流量信息，并根据所述第二流量信息，得到所述域名信息的相关ip地址，包括：

6.如权利要求5所述的业务识别方法，其特征在于，所述业务识别方法还包括：

7.如权利要求4所述的业务识别方法，其特征在于，所述根据所述相关ip地址与所述第一映射关系建立缓存ip地址集合，包括：

8.如权利要求4所述的业务识别方法，其特征在于，所述根据所述第一流量统计特征对所述相关业务进行时序统计特征匹配，包括：

9.如权利要求8所述的业务识别方法，其特征在于，所述根据所述相关流量信息，得到所述相关业务的第二流量统计特征，并计算所述第二流量统计特征的第二统计特征值，并将所述第二统计特征值与所述取值范围进行匹配，包括：

10.如权利要求7所述的业务识别方法，其特征在于，所述业务识别方法还包括：

11.如权利要求3-10任一项所述的业务识别方法，其特征在于，所述业务识别方法还包括：

12.如权利要求1-10任一项所述的业务识别方法，其特征在于，所述第一流量统计特征包括但不限于以下至少之一：并发tcp连接数范围、并发udp连接数范围、上行平均速率与下行平均速率的比率范围、上行流量与下行流量的比率范围、不同的网络侧端口数范围、不同的域名数范围。

13.一种业务识别系统，其特征在于，所述业务识别系统包括：

14.一种业务识别装置，其特征在于，包括存储器和处理器，所述存储器存储有程序，所述程序在被所述处理器读取执行时，实现如权利要求1至12任一所述的业务识别方法。

15.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1至12任一所述的业务识别方法。

16.一种计算机程序产品，包括计算机程序或计算机指令，其特征在于，所述计算机程序或所述计算机指令存储在计算机可读存储介质中，计算机设备的处理器从所述计算机可读存储介质读取所述计算机程序或所述计算机指令，所述处理器执行所述计算机程序或所述计算机指令，使得所述计算机设备执行如权利要求1至12任意一项所述的业务识别方法。

技术总结
本申请实施例提供了一种业务识别方法、系统、装置、存储介质及程序产品，通过获取第一域名系统消息，然后根据第一域名系统消息得到目标业务的第一流量信息，根据第一流量信息得到目标业务与域名信息的第一映射关系与目标业务的第一流量统计特征，然后根据域名信息获取第二域名系统消息，根据第二域名系统消息得到第二流量信息，并根据第二流量信息，得到域名信息的相关IP地址，根据第一映射关系、相关IP地址与第一流量统计特征，对当前业务进行业务识别，提高了DPI系统对加密业务的识别能力。

技术研发人员：宋科,朱娜,李华光,李林,蔡洪波
受保护的技术使用者：中兴通讯股份有限公司
技术研发日：
技术公布日：2024/1/15