域名流量图的构建方法、装置、设备以及存储介质制造方法及图纸

本申请提供一种域名流量图的构建方法、装置、设备以及存储介质，所述构建方法，包括：在确定当前流量的协议类型是域名类型时，确定所述当前流量的流量类型；若所述当前流量的流量类型是请求类型，则按照请求类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的请求字段数据和实时分析的请求分析结果；将实时解析的请求字段数据和实时分析的请求分析结果填入所述请求类型对应的策略图中的相应节点处，得到所述当前流量对应的请求流量图。应的请求流量图。应的请求流量图。

【技术实现步骤摘要】
域名流量图的构建方法、装置、设备以及存储介质


[0001]本申请涉及域名
，具体而言，涉及一种域名流量图的构建方法、装置、设备以及存储介质。

技术介绍

[0002]域名，又称网域，是由一串用点分隔的名字组成的互联网上的某一台计算机的名称。互联网协议地址(Internet Protocol Address，IP地址)，为互联网上的每一台计算机对应的逻辑地址，以此屏蔽物理地址的差异，实现唯一访问。可见，域名和IP地址均用于关联一台计算机，但是，域名和IP地址的区别在于，域名用更加方便人记忆的名称对计算机进行关联，而IP地址用逻辑地址对计算机进行关联，于是，有了网域名称系统，通过网域名称系统，建立域名和IP地址间的相互映射，以便人们更方便的访问互联网。
[0003]但是，现有的互联网经常受到攻击，因此，如何通过域名确定访问是正常访问还是攻击性访问就显得及其重要，进一步的，如何对域名流量进行前处理以便后续确定该域名流量是正常访问还是攻击性访问也显得及其重要。

技术实现思路

[0004]基于此，提出一种域名流量图的构建方法、装置、设备以及存储介质。
[0005]第一方面，提供了一种域名流量图的构建方法，包括：
[0006]在确定当前流量的协议类型是域名类型时，确定所述当前流量的流量类型；
[0007]若所述当前流量的流量类型是请求类型，则按照请求类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的请求字段数据和实时分析的请求分析结果；
[0008]将实时解析的请求字段数据和实时分析的请求分析结果填入所述请求类型对应的策略图中的相应节点处，得到所述当前流量对应的请求流量图。
[0009]上述域名流量图的构建方法，在图的构建过程中，并不是针对离线数据进行的构建，而是进行的在线、实时构图，相较于现有的在域名流量处理完成之后获取该域名流量的所有字段，再从所有字段中提取需要的字段，最后进行异常分析的方式，由于域名流量图的构建是在线的、实时的，在域名流量处理完成之后即可立即进行异常分析，在一定程度上使得异常分析更加的及时；进一步的，域名流量图的构建方法还会进行实时的分析，得到实时的分析结果，相较于离线分析，也能在一定程度上使得部分类型的分析更加的及时；最后，如果不创建图，而是在域名流量处理完成后，提取相应的字段，然后分别针对不同的字段进行分析，得到不同字段的分析结果，最后再综合不同字段的分析结果得到域名流量的分析结果，效率低下，而创建图之后，则可以利用图分析方法直接对图进行分析，例如，对图进行特征提取和分析，从而快速的得到分析结果。
[0010]在一个实施例中，所述请求类型对应的策略图中包括顺序连接的标志节点、类型节点、类节点、白名单节点和应用类型节点，以及，顺序连接的标志节点、类型节点、类节点
和二级域名节点。
[0011]上述实施例，说明了请求类型对应的策略图中包含的节点，以此说明了对请求类型的流量的分析策略。
[0012]在一个实施例中，域名流量图的构建方法，还包括：
[0013]若所述当前流量的流量类型是回答类型，则按照回答类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的回答字段数据和实时分析的回答分析结果；
[0014]将实时解析的回答字段数据和实时分析的回答分析结果填入所述回答类型对应的策略图中的相应节点处，得到所述当前流量对应的回答流量图。
[0015]上述实施例，不仅可以对请求类型的流量进行图的构建，还可以对回答类型的流量进行图的构建，从而实现按照不同的策略图进行不同类型的图的构建，使得流量图的构建更加的个性化，在一定程度上有利于后续的异常检测分析。
[0016]在一个实施例中，所述若所述当前流量的流量类型是回答类型，则按照回答类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的回答字段数据和实时分析的回答分析结果，包括：
[0017]若所述当前流量的流量类型是回答类型且所述当前流量的二级域名未命中回答类型对应的白名单，则按照回答类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的回答字段数据和实时分析的回答分析结果。
[0018]上述实施例，若当前流量的流量类型是回答类型且当前流量的二级域名未命中回答类型对应的白名单，才按照回答类型对应的策略图进行分析，若当前流量的流量类型是回答类型且当前流量的二级域名命中了回答类型对应的白名单，认为此流量大概率不会出现异常，于是，不再进行后续的分析。
[0019]在一个实施例中，所述回答类型对应的策略图中包括顺序连接的域名节点、规范名字类型节点、类节点、生存时间节点、互联网协议地址节点、互联网协议地理位置节点；以及，顺序连接的域名节点、域名长度范围节点、域名熵节点、查询互联网协议第四版地址类型节点、生存时间节点、互联网协议地址节点、互联网协议地理位置节点；以及，顺序连接的域名节点、邮件交换类型节点或查询域名服务器类型节点、类节点、生存时间节点、数据长度范围节点、域名合法概率节点；以及，顺序连接的域名节点、类型节点、类节点、生成时间节点、数据长度范围节点。
[0020]上述实施例，说明了回答类型对应的策略图中包含的节点，以此说明了对回答类型的流量的分析策略。
[0021]在一个实施例中，域名流量图的构建方法，还包括：
[0022]将所述当前流量对应的请求流量图和回答流量图进行拼接，得到所述当前流量对应的流量图。
[0023]上述实施例，为了后续对流量进行更好的检测，在构建图的时候，将流量对应的请求流量图和回答流量图拼接起来，得到流量对应的流量图。
[0024]在一个实施例中，所述在确定当前流量的协议类型是域名类型时，确定所述当前流量的流量类型之前，还包括：
[0025]对所述当前流量的协议类型进行识别，得到所述当前流量的协议类型。
[0026]上述实施例，对前流量的协议类型进行识别，得到当前流量的协议类型，进而在确定当前流量的协议类型为域名类型时，执行后续的操作。
[0027]第二方面，提供了一种域名流量图的构建装置，包括：
[0028]确定模块，用于在确定当前流量的协议类型是域名类型时，确定所述当前流量的流量类型；
[0029]策略模块，用于若所述当前流量的流量类型是请求类型，则按照请求类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的请求字段数据和实时分析的请求分析结果；
[0030]构图模块，用于将实时解析的请求字段数据和实时分析的请求分析结果填入所述请求类型对应的策略图中的相应节点处，得到所述当前流量对应的请求流量图。
[0031]在一个实施例中，所述请求类型对应的策略图中包括顺序连接的标志节点、类型节点、类节点、白名单节点和应用类型节点，以及，顺序连接的标志节点、类型节点、类节点和二级域名节点。
[0032]在一个实施例中，域名流量图的构建装置，还本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种域名流量图的构建方法，其特征在于，包括：在确定当前流量的协议类型是域名类型时，确定所述当前流量的流量类型；若所述当前流量的流量类型是请求类型，则按照请求类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的请求字段数据和实时分析的请求分析结果；将实时解析的请求字段数据和实时分析的请求分析结果填入所述请求类型对应的策略图中的相应节点处，得到所述当前流量对应的请求流量图。2.根据权利要求1所述的构建方法，其特征在于，所述请求类型对应的策略图中包括顺序连接的标志节点、类型节点、类节点、白名单节点和应用类型节点，以及，顺序连接的标志节点、类型节点、类节点和二级域名节点。3.根据权利要求1所述的构建方法，其特征在于，还包括：若所述当前流量的流量类型是回答类型，则按照回答类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的回答字段数据和实时分析的回答分析结果；将实时解析的回答字段数据和实时分析的回答分析结果填入所述回答类型对应的策略图中的相应节点处，得到所述当前流量对应的回答流量图。4.根据权利要求3所述的构建方法，其特征在于，所述若所述当前流量的流量类型是回答类型，则按照回答类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的回答字段数据和实时分析的回答分析结果，包括：若所述当前流量的流量类型是回答类型且所述当前流量的二级域名未命中回答类型对应的白名单，则按照回答类型对应的策略图，对所述当前流量进行实时的解析和分析处理，得到实时解析的回答字段数据和实时分析的回答分析结果。5.根据权利要求4所述的构建方法，其特征在于，所述回答类型对应的策略图中包括顺序连接的域名节点、规范名字类型节点、类节点、生存时间节点、互联网协议地址节点、互联网协议地理位置节点；以...

【专利技术属性】
技术研发人员：薛智慧，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：