【技术实现步骤摘要】
一种业务报文处理方法和设备
本专利技术涉及通信
,尤其是涉及一种业务报文处理方法和设备。
技术介绍
随着计算机与网络的普及,信息技术正在改变着、影响着人类的生活方式,各种网络应用层出不穷,而且安全威胁和网络滥用也与日俱增,给网络监管机构对各种网络流量进行识别、分类和控制提出了新的要求。目前对流量进行识别与检测的技术具体包括:DPI(DeepPacketInspection,深层数据包检测)技术和基于流量特征的行为识别技术。其中,DPI技术主要是通过对业务报文的负载,进行特征匹配来识别流量。基于流量特征的行为识别技术主要是针对网络流量在一段时间内的某些统计特征,进行检测和分析。在使用DPI技术时,存在特征码提取滞后,特征码规模急速膨胀,对加密流量无效等缺点。在使用基于流量特征的行为识别技术时,存在记录数据庞大,统计识别速度慢,精确度不高,在大流量高速网络下难以部署等缺点。
技术实现思路
本专利技术实施例提供一种业务报文处理方法,所述方法包括以下步骤:流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系;所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时,利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项;如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为合规业务报文;如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为不合规业务报文。所述流量分析设备 ...
【技术保护点】
一种业务报文处理方法,其特征在于,所述方法包括以下步骤:流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系;所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时,利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项;如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为合规业务报文;如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为不合规业务报文。
【技术特征摘要】
1.一种业务报文处理方法,其特征在于,所述方法包括以下步骤:流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系;所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时,利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项;如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为合规业务报文;如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录,则所述流量分析设备判定所述业务报文为不合规业务报文。2.如权利要求1所述的方法,其特征在于,所述流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系的过程,具体包括:所述流量分析设备接收所述用户终端向域名服务DNS服务器发送的DNS请求报文,所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息,并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文,所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址;如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系,则在所述关联关系中记录所述业务服务器的IP地址。3.如权利要求2所述的方法,其特征在于,所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文之后,所述方法还包括:如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系,则所述流量分析设备丢弃所述DNS响应报文。4.如权利要求2所述的方法,其特征在于,所述流量分析设备接收所述用户终端向DNS服务器发送的DNS请求报文之后,所述方法还包括:所述流量分析设备利用所述DNS请求报文中携带的域名信息查询域名白名单;如果所述域名白名单中记录了所述域名信息,则允许所述流量分析设备在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系;如果所述域名白名单中没有记录所述域名信息,则所述流量分析设备丢弃所述DNS请求报文。5.如权利要求1所述的方法,其特征在于,所述方法进一步包括:所述流量分析设备在判定所述业务报文为合规业务报文之后,所述流量分析设备将所述业务报文发送给Web应用防火墙WAF,由所述WAF继续处理所述业务报文;或者,所述流量分析设备在判定所述业务报文为不合规业务报文之后,所述流量分析设备丢弃所述业务报文或者将所述业务报文发送给入侵防...
【专利技术属性】
技术研发人员:任方英,张惊申,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。