[发明专利]用于识别访问域名的方法和系统

说明书

本公开提供了一种用于识别访问域名的方法和系统，涉及通信技术领域。在该方法中，解析HTTPS报文中的SNI中的服务器名称。如果SNI中存在服务器名称，则以该服务器名称作为访问域名，否则查询DNS缓存条目，使用IP报文中的IP五元组与所述DNS缓存条目进行匹配。如果DNS缓存条目中存在与IP五元组相匹配的域名，则从相匹配的域名中选取DNS缓存条目的时间戳与HTTPS报文的时间戳的差值最小的域名作为访问域名。如果DNS缓存条目不存在与IP五元组相匹配的域名，则查找HTTPS报文中的Connect字段中的域名。在查找到Connect字段中的域名的情况下，以所查找到的该域名作为访问域名。本公开可以获得用户访问的域名。

技术领域

本公开涉及通信技术领域，特别涉及一种用于识别访问域名的方法和系统。

背景技术

目前，HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，基于安全套接层的超文本传输协议)采用SSL(Secure Sockets Layer，安全套接层)/TLS(Transport Layer Security，传输层安全)加密。HTTPS对请求消息和响应消息都进行了加密，导致DPI(Deep Packet Inspection，深度包检测)无法通过识别HTTPS头部字段的方式来获得用户访问的域名。这造成当前识别到的HTTPS流量的利用价值比较低。

发明内容

本公开的实施例解决的一个技术问题是：提供一种用于识别访问域名的方法，以获得用户访问的域名。

根据本公开实施例的一个方面，提供了一种用于识别访问域名的方法，包括：解析HTTPS报文中的服务器名称指示SNI中的服务器名称；如果所述SNI中存在服务器名称，则以该服务器名称作为访问域名，否则查询域名系统DNS缓存条目，使用IP报文中的IP五元组与所述DNS缓存条目进行匹配；如果所述DNS缓存条目中存在与所述IP五元组相匹配的域名，则从相匹配的域名中选取DNS缓存条目的时间戳与所述HTTPS报文的时间戳的差值最小的域名作为访问域名；如果所述DNS缓存条目不存在与所述IP五元组相匹配的域名，则查找所述HTTPS报文中的连接Connect字段中的域名；以及在查找到所述Connect字段中的域名的情况下，以所查找到的该域名作为访问域名。

在一些实施例中，所述方法还包括：在没有查找到所述Connect字段中的域名的情况下，根据所述HTTPS报文中的目的IP地址、以及IP地址与域名的对应关系，获得对应的访问域名。

在一些实施例中，查找所述HTTPS报文中的Connect字段中的域名的步骤包括：在客户端与服务器的握手阶段，截获所述HTTPS报文并读取所述HTTPS报文的Connect字段中的域名。

在一些实施例中，所述IP五元组包括：源IP地址、源端口、目的IP地址、目的端口和传输层协议。

根据本公开实施例的另一个方面，提供了一种用于识别访问域名的系统，包括：解析单元，用于解析HTTPS报文中的服务器名称指示SNI中的服务器名称，在所述SNI中存在服务器名称的情况下以该服务器名称作为访问域名；匹配单元，用于在所述SNI中不存在服务器名称的情况下查询域名系统DNS缓存条目，使用IP报文中的IP五元组与所述DNS缓存条目进行匹配，在所述DNS缓存条目中存在与所述IP五元组相匹配的域名的情况下，从相匹配的域名中选取DNS缓存条目的时间戳与所述HTTPS报文的时间戳的差值最小的域名作为访问域名；以及查找单元，用于在所述DNS缓存条目不存在与所述IP五元组相匹配的域名的情况下，查找所述HTTPS报文中的连接Connect字段中的域名，并在查找到所述Connect字段中的域名的情况下，以所查找到的该域名作为访问域名。

在一些实施例中，所述系统还包括：获取单元，用于在没有查找到所述Connect字段中的域名的情况下，根据所述HTTPS报文中的目的IP地址、以及IP地址与域名的对应关系，获得对应的访问域名。