一种业务报文处理方法和设备技术

本发明专利技术公开了一种业务报文处理方法和设备，该方法包括：流量分析设备在三元关联表项中记录用户终端的IP地址、业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系；所述流量分析设备在接收到业务报文时，利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项；如果三元关联表项中有对应的记录，则判定所述业务报文为合规业务报文；如果三元关联表项中没有对应的记录，则所述流量分析设备判定所述业务报文为不合规业务报文。本发明专利技术实施例中，通过用户终端的域名解析行为实现检测，不依赖特征码，并能检测网络带宽资源滥用或者未知的网络风险。

【技术实现步骤摘要】
一种业务报文处理方法和设备
本专利技术涉及通信
，尤其是涉及一种业务报文处理方法和设备。
技术介绍
随着计算机与网络的普及，信息技术正在改变着、影响着人类的生活方式，各种网络应用层出不穷，而且安全威胁和网络滥用也与日俱增，给网络监管机构对各种网络流量进行识别、分类和控制提出了新的要求。目前对流量进行识别与检测的技术具体包括：DPI(DeepPacketInspection，深层数据包检测)技术和基于流量特征的行为识别技术。其中，DPI技术主要是通过对业务报文的负载，进行特征匹配来识别流量。基于流量特征的行为识别技术主要是针对网络流量在一段时间内的某些统计特征，进行检测和分析。在使用DPI技术时，存在特征码提取滞后，特征码规模急速膨胀，对加密流量无效等缺点。在使用基于流量特征的行为识别技术时，存在记录数据庞大，统计识别速度慢，精确度不高，在大流量高速网络下难以部署等缺点。
技术实现思路
本专利技术实施例提供一种业务报文处理方法，所述方法包括以下步骤：流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系；所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时，利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项；如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录，则所述流量分析设备判定所述业务报文为合规业务报文；如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录，则所述流量分析设备判定所述业务报文为不合规业务报文。所述流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系，具体包括：所述流量分析设备接收所述用户终端向域名服务DNS服务器发送的DNS请求报文，所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息，并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系；所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文，所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址；如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系，则在所述关联关系中记录所述业务服务器的IP地址。所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文之后，所述方法还包括：如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系，则所述流量分析设备丢弃所述DNS响应报文。所述流量分析设备接收所述用户终端向DNS服务器发送的DNS请求报文之后，所述方法还包括：所述流量分析设备利用所述DNS请求报文中携带的域名信息查询域名白名单；如果所述域名白名单中记录了所述域名信息，则允许所述流量分析设备在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系；如果所述域名白名单中没有记录所述域名信息，则所述流量分析设备丢弃所述DNS请求报文。所述方法进一步包括：所述流量分析设备在判定所述业务报文为合规业务报文之后，所述流量分析设备将所述业务报文发送给Web应用防火墙WAF，由所述WAF继续处理所述业务报文；或者，所述流量分析设备在判定所述业务报文为不合规业务报文之后，所述流量分析设备丢弃所述业务报文或者将所述业务报文发送给入侵防御系统IPS，由所述IPS对所述业务报文进行深层数据包检测DPI技术的检测或进行基于流量特征的行为识别技术的检测。本专利技术实施例提供一种流量分析设备，所述流量分析设备具体包括：记录模块，用于在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系；查询模块，用于在接收到所述用户终端发送给所述业务服务器的业务报文时，利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项；判定模块，用于当查询结果为所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录时，则判定所述业务报文为合规业务报文；当查询结果为所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录时，则判定所述业务报文为不合规业务报文。所述记录模块，具体用于接收所述用户终端向域名服务DNS服务器发送的DNS请求报文，所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息，并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系；以及，接收所述DNS服务器向所述用户终端发送的DNS响应报文，所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址；如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系，则在所述关联关系中记录所述业务服务器的IP地址。还包括：动作模块，用于在接收到所述DNS服务器向所述用户终端发送的DNS响应报文之后，如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系，则丢弃所述DNS响应报文。所述查询模块，还用于在接收到所述用户终端向DNS服务器发送的DNS请求报文之后，利用所述DNS请求报文中携带的域名信息查询域名白名单；如果所述域名白名单中记录了所述域名信息，则允许所述记录模块在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系；所述动作模块，还用于当所述域名白名单中没有记录所述域名信息时，则丢弃所述DNS请求报文。所述动作模块，还用于在判定所述业务报文为合规业务报文后，将所述业务报文发送给Web应用防火墙WAF，由所述WAF继续处理所述业务报文；或者，在判定所述业务报文为不合规业务报文后，丢弃所述业务报文或者将所述业务报文发送给入侵防御系统IPS，由所述IPS对所述业务报文进行深层数据包检测DPI技术的检测或进行基于流量特征的行为识别技术的检测。基于上述技术方案，本专利技术实施例中，通过在三元关联表项中记录用户终端的IP地址、业务服务器的域名信息、业务服务器的IP地址之间的关联关系，在接收到用户终端发送给业务服务器的业务报文时，可以通过三元关联表项检测出业务报文为合规业务报文或者不合规业务报文。上述方式通过用户终端的域名解析行为实现检测，不依赖特征码，并能检测网络带宽资源滥用或者未知的网络风险，对加密流量同样有效，在避免特征码提取滞后，特征码规模急速膨胀，对加密流量无效，记录数据庞大，统计识别速度慢，精确度不高，在大流量高速网络下难以部署等缺点的同时，解决识别网络滥用和潜在网络风险的问题，实现对网络带宽资源滥用和异常网络的访问检测，实现对流量基于网络行为的智能负载分担检测。附图说明图1是本专利技术实施例中提出的应用场景示意图；图2是本专利技术实施例中提出的一种业务报文处理方法流程示意图；图3是本专利技术实施例中提出的一种流量分析设备的结构示意图。具体实施方式针对现有技术中存在的问题，本专利技术实施例提供一种业务报文处理方法，该方法应用于包括用户终端、流量分析设备、DNS(DomainN本文档来自技高网...

【技术保护点】
一种业务报文处理方法，其特征在于，所述方法包括以下步骤：流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系；所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时，利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项；如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录，则所述流量分析设备判定所述业务报文为合规业务报文；如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录，则所述流量分析设备判定所述业务报文为不合规业务报文。

【技术特征摘要】
1.一种业务报文处理方法，其特征在于，所述方法包括以下步骤：流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系；所述流量分析设备在接收到所述用户终端发送给所述业务服务器的业务报文时，利用所述业务报文的源IP地址和目的IP地址查询所述三元关联表项；如果所述三元关联表项中有所述源IP地址和所述目的IP地址对应的记录，则所述流量分析设备判定所述业务报文为合规业务报文；如果所述三元关联表项中没有所述源IP地址和所述目的IP地址对应的记录，则所述流量分析设备判定所述业务报文为不合规业务报文。2.如权利要求1所述的方法，其特征在于，所述流量分析设备在三元关联表项中记录用户终端的IP地址、外部网络中的业务服务器的域名信息、所述业务服务器的IP地址之间的关联关系的过程，具体包括：所述流量分析设备接收所述用户终端向域名服务DNS服务器发送的DNS请求报文，所述DNS请求报文中携带所述用户终端的IP地址和所述用户终端访问的业务服务器的域名信息，并在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系；所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文，所述DNS响应报文中携带域名信息和所述域名信息对应的业务服务器的IP地址；如果所述三元关联表项中记录了所述域名信息与用户终端的IP地址之间的关联关系，则在所述关联关系中记录所述业务服务器的IP地址。3.如权利要求2所述的方法，其特征在于，所述流量分析设备接收所述DNS服务器向所述用户终端发送的DNS响应报文之后，所述方法还包括：如果所述三元关联表项中没有记录所述域名信息与用户终端的IP地址之间的关联关系，则所述流量分析设备丢弃所述DNS响应报文。4.如权利要求2所述的方法，其特征在于，所述流量分析设备接收所述用户终端向DNS服务器发送的DNS请求报文之后，所述方法还包括：所述流量分析设备利用所述DNS请求报文中携带的域名信息查询域名白名单；如果所述域名白名单中记录了所述域名信息，则允许所述流量分析设备在所述三元关联表项中记录所述用户终端的IP地址与所述用户终端访问的业务服务器的域名信息之间的关联关系；如果所述域名白名单中没有记录所述域名信息，则所述流量分析设备丢弃所述DNS请求报文。5.如权利要求1所述的方法，其特征在于，所述方法进一步包括：所述流量分析设备在判定所述业务报文为合规业务报文之后，所述流量分析设备将所述业务报文发送给Web应用防火墙WAF，由所述WAF继续处理所述业务报文；或者，所述流量分析设备在判定所述业务报文为不合规业务报文之后，所述流量分析设备丢弃所述业务报文或者将所述业务报文发送给入侵防...

【专利技术属性】
技术研发人员：任方英，张惊申，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33