一种基于域名的网络流量处理方法、装置以及处理设备与流程

本申请涉及互联网领域，具体涉及一种基于域名的网络流量处理方法、装置以及处理设备。

背景技术：

1、域名系统(domain name system，dns)协议是计算机网络中一种很重要的协议，实现域名和互联网协议地址(internet protocol address，ip)之间的转换，也因此，在网络架构中的dns设备处，其dns流量网络流量监测中是容易重点关注的流量。

2、而本申请发明人发现，由于网络中dns流量较大，现有技术中的流量监控系统往往是不加区分地全部捕捉并展现出来，而这意味着需要占用大量硬盘或者数据库等方面的存储资源进行存储，显然存在应用成本较高或者应用不便的情况。

技术实现思路

1、本申请提供了一种基于域名的网络流量处理方法、装置以及处理设备，用于更为简洁地进行特定网络流量的获取，实现精确的网络流量捕捉效果。

2、第一方面，本申请提供了一种基于域名的网络流量处理方法，方法包括：

3、获取待处理网络流量，其中，待处理网络流量用来分析是否属于预设的目标对象的网络流量；

4、在应用层面提取待处理网络流量的接收方的域名和发送方的域名；

5、根据接收方的域名和发送方的域名，确定待处理网络流量是否与预设的目标对象的域名匹配规则匹配；

6、若匹配，则确定待处理网络流量属于目标对象的网络流量。

7、结合本申请第一方面，在本申请第一方面第一种可能的实现方式中，若待处理网络流量属于请求报文类型，且目标对象为目标会话，确定待处理网络流量属于目标对象的网络流量之后，方法还包括：

8、创建目标对象的日志；

9、将待处理网路流量的相关会话特征写入目标会话的日志中进行存储。

10、结合本申请第一方面，在本申请第一方面第二种可能的实现方式中，若待处理网络流量属于响应报文类型，且目标对象为目标会话，确定待处理网络流量属于目标对象的网络流量之后，方法还包括：

11、将待处理网路流量的相关会话特征写入目标会话的日志中进行存储。

12、结合本申请第一方面第一种或者第二种可能的实现方式，在本申请第一方面第三种可能的实现方式中，方法还包括：

13、提取待处理网络流量的五元组信息，其中，五元组信息具体包括源ip、目的ip、源端口、目的端口和协议类型；

14、根据五元组信息，确定待处理网络流量是否属于目标会话。

15、结合本申请第一方面第三种可能的实现方式，在本申请第一方面第四种可能的实现方式中，若待处理网络流量未存在相关的查询报文或者响应报文，且目标对象为目标会话，则方法还包括：

16、在待处理网络流量关于目标会话的日志中，为待处理网络流量添加缺失标识，其中，缺失标识用于标识待处理网络流量未存在相关的查询报文或者响应报文。

17、结合本申请第一方面，在本申请第一方面第五种可能的实现方式中，根据接收方的域名和发送方的域名，确定待处理网络流量是否与预设的目标对象的域名匹配规则匹配，包括：

18、在接收方的域名和发送方的域名的基础上，通过hyperscan引擎确定待处理网络流量是否与预设的目标对象的域名匹配规则匹配，其中，hyperscan引擎写入了域名关键字和对应id编号供匹配使用。

19、结合本申请第一方面，在本申请第一方面第六种可能的实现方式中，待处理流量具体为经过dns设备的dns流量。

20、第二方面，本申请提供了一种基于域名的网络流量处理装置，装置包括：

21、获取单元，用于获取待处理网络流量，其中，待处理网络流量用来分析是否属于预设的目标对象的网络流量；

22、提取单元，用于在应用层面提取待处理网络流量的接收方的域名和发送方的域名；

23、确定单元，用于根据接收方的域名和发送方的域名，确定待处理网络流量是否与预设的目标对象的域名匹配规则匹配，若匹配，则确定待处理网络流量属于目标对象的网络流量。

24、结合本申请第二方面，在本申请第二方面第一种可能的实现方式中，装置还包括日志处理单元，若待处理网络流量属于请求报文类型，且目标对象为目标会话，用于：

25、创建目标对象的日志；

26、将待处理网路流量的相关会话特征写入目标会话的日志中进行存储。

27、结合本申请第二方面，在本申请第二方面第二种可能的实现方式中，装置还包括日志处理单元，若待处理网络流量属于响应报文类型，且目标对象为目标会话，用于：

28、将待处理网路流量的相关会话特征写入目标会话的日志中进行存储。

29、结合本申请第二方面第一种或者第二种可能的实现方式，在本申请第二方面第三种可能的实现方式中，确定单元，还用于：

30、提取待处理网络流量的五元组信息，其中，五元组信息具体包括源ip、目的ip、源端口、目的端口和协议类型；

31、根据五元组信息，确定待处理网络流量是否属于目标会话。

32、结合本申请第二方面第三种可能的实现方式，在本申请第二方面第四种可能的实现方式中，装置还包括日志处理单元，若待处理网络流量未存在相关的查询报文或者响应报文，且目标对象为目标会话，用于：

33、在待处理网络流量关于目标会话的日志中，为待处理网络流量添加缺失标识，其中，缺失标识用于标识待处理网络流量未存在相关的查询报文或者响应报文。

34、结合本申请第二方面，在本申请第二方面第五种可能的实现方式中，确定单元，具体用于：

35、在接收方的域名和发送方的域名的基础上，通过hyperscan引擎确定待处理网络流量是否与预设的目标对象的域名匹配规则匹配，其中，hyperscan引擎写入了域名关键字和对应id编号供匹配使用。

36、结合本申请第二方面，在本申请第二方面第六种可能的实现方式中，待处理流量具体为经过dns设备的dns流量。

37、第三方面，本申请提供了一种处理设备，包括处理器和存储器，存储器中存储有计算机程序，处理器调用存储器中的计算机程序时执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。

38、第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质存储有多条指令，指令适于处理器进行加载，以执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。

39、从以上内容可得出，本申请具有以下的有益效果：

40、对于特定网络流量的捕捉需求，本申请从待处理网络流量的应用层出发，确定接收方的域名和发送方的域名，再结合目标对象的域名匹配规则，确定待处理网络流量与目标对象之间的匹配关系，在该便捷的处理架构下，不用去关注、分析具体的流量内容，更为简洁地进行特定网络流量(目标对象的网络流量)的获取，实现精确的网络流量捕捉效果。

技术特征：

1.一种基于域名的网络流量处理方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，若所述待处理网络流量属于请求报文类型，且所述目标对象为目标会话，所述确定所述待处理网络流量属于所述目标对象的网络流量之后，所述方法还包括：

3.根据权利要求1所述的方法，其特征在于，若所述待处理网络流量属于响应报文类型，且所述目标对象为目标会话，所述确定所述待处理网络流量属于所述目标对象的网络流量之后，所述方法还包括：

4.根据权利要求2或3所述的方法，其特征在于，所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，若所述待处理网络流量未存在相关的查询报文或者响应报文，且目标对象为目标会话，则所述方法还包括：

6.根据权利要求1所述的方法，其特征在于，所述根据所述接收方的域名和所述发送方的域名，确定所述待处理网络流量是否与预设的所述目标对象的域名匹配规则匹配，包括：

7.根据权利要求1所述的方法，其特征在于，所述待处理流量具体为经过dns设备的dns流量。

8.一种基于域名的网络流量处理装置，其特征在于，所述装置包括：

9.一种处理设备，其特征在于，包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有多条指令，所述指令适于处理器进行加载，以执行权利要求1至7任一项所述的方法。

技术总结
本申请提供了一种基于域名的网络流量处理方法、装置以及处理设备，用于更为简洁地进行特定网络流量的获取，实现精确的网络流量捕捉效果。本申请提供的基于域名的网络流量处理方法，包括：获取待处理网络流量，其中，待处理网络流量用来分析是否属于预设的目标对象的网络流量；在应用层面提取待处理网络流量的接收方的域名和发送方的域名；根据接收方的域名和发送方的域名，确定待处理网络流量是否与预设的目标对象的域名匹配规则匹配；若匹配，则确定待处理网络流量属于目标对象的网络流量。

技术研发人员：张凯
受保护的技术使用者：上海安博通信息科技有限公司
技术研发日：
技术公布日：2024/1/13