[发明专利]一种报文特征的提取方法和装置

说明书

本申请提供一种报文特征的提取方法和装置。一种报文特征的提取方法，所述方法包括：对域名系统协议DNS报文进行域名解析，得到域名与IP地址的对应关系；基于目标报文的IP地址确定所述目标报文对应的域名，并将域名相同的目标报文划分到相同的集合中，得到若干与域名对应的报文集合；针对每个报文集合，提取所述报文集合中各个目标报文的预设字段，作为与该报文集合域名对应的报文特征。上述方案可根据预设字段自动提取各个域名对应的报文特征，相比于现有技术可显著提高报文特征的提取效率。

技术领域

本申请涉及网络通信领域，特别涉及一种报文特征的提取方法及装置。

背景技术

随着网络的发展，网络上为用户提供的服务种类越来越多，例如网络游戏、网络购物、在线观影等等，这些不同的网络服务会产生不同的流量。在一些场景中，有必要对流量进行识别、管理。例如，在企业中，员工可以利用网络通信促进信息交流，也能基于网络服务处理业务，但若员工利用网络打游戏、观看娱乐电影，则会影响员工的正常工作，浪费企业带宽。因此，企业有必要对网络游戏、娱乐电影相关的流量进行识别，以对其进行拦截等。

不同流量具有不同的特征，可以根据不同的特征对流量进行识别。特征一般通过提取报文中的字段得到。现有的提取特征的方法主要是在网络流量中随机抓包，并由操作人员从抓到的报文中筛选出一些字段，若推测这些字段为目标流量的特征，则继续抓取大量的报文以验证推测结果是否正确。可见，采用上述方法需要耗费大量的人工劳动力来不断地抓包、不断地验证，提取特征的效率十分低下。

发明内容

有鉴于此，本申请提供一种报文特征的提取方法和装置。

具体地，本申请是通过如下技术方案实现的：

一种报文特征的提取方法，包括：

对域名系统协议DNS报文进行域名解析，得到域名与IP地址的对应关系；

基于目标报文的IP地址确定所述目标报文对应的域名，并将域名相同的目标报文划分到相同的集合中，得到若干与域名对应的报文集合；

针对每个报文集合，提取所述报文集合中各个目标报文的预设字段，作为与该报文集合域名对应的报文特征。

一种报文特征的提取装置，包括：

解析单元，用于对域名系统协议DNS报文进行域名解析，得到域名与IP地址的对应关系；

划分单元，用于基于目标报文的IP地址确定所述目标报文对应的域名，并将域名相同的目标报文划分到相同的集合中，得到若干与域名对应的报文集合；

提取单元，用于针对每个报文集合，提取所述报文集合中各个目标报文的预设字段，作为与该报文集合域名对应的报文特征。

本申请提供了一种报文特征的提取方法，可以先对DNS报文进行域名解析，得到域名与IP地址的对应关系，基于所述对应关系，将IP地址匹配相同域名的目标报文划分到相同的报文集合中，然后针对每个报文集合，提取各个目标报文预设字段，作为该报文集合域名对应的报文特征。上述方法可根据预设字段自动提取各个域名对应的报文特征，相比于人工提取报文特征，可显著提高报文特征的提取效率。

附图说明

图1是本申请一示例性实施例示出的一种报文特征的提取方法的流程示意图；

图2是本申请一示例性示出的一种本地报文特征的提取方法流程示意图；

图3是本申请一示例性示出的一种在线报文特征的提取方法流程示意图；

图4是本申请一示例性示出的一种用于报文特征的提取装置的一结构示意图；

图5是本申请一示例性实施例示出的一种报文特征的提取装置的框图。

具体实施方式