专利 基于服务提供商动态IP白名单的流量采集过滤方法

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202211333716.4 (22)申请日 2022.10.28 (71)申请人成都数默科技有限公司地址 610000 四川省成都市中国（四川）自由贸易试验区成都高新区天府大道北段28号1栋2单元15层06号 (72)发明人田红伟　徐文勇　王伟旭　 (74)专利代理机构成都天嘉专利事务所(普通合伙) 5121 1 专利代理师程余 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称基于服务提供商动态IP白名单的流量采集过滤方法 (57)摘要本发明公开了基于服务提供商动态IP白名单的流量采集过滤方法，属于流量安全分析领域。包括：抽取流量中的DNS应答流量，将该应答流量的问题中的域名与自定义服务商的域名白名单匹配；提取匹配成功的应答流量中应答记录为IP地址的记录，并在IP白名单库中进行查找；若找到则更新该IP地址的插入时间，若未找到则将该IP地址插入IP白名单库；从流量中获取IP 会话的IP地址，将该IP与IP白名单库进行匹配；将匹配失败的IP 对应的会话流量提取出来，进入后续的后续流量安全分析。本发明利用该不断更新的动态IP白名单库进行流量过滤采集，以排除正常业务流量，减少干扰，实现针对性的网络安全分析。权利要求书2页说明书5页附图2页 CN 115412366 A 2022.11.29 CN 115412366 A 1.基于服务提供商动态IP白名单的流量采集过滤方法，其特征在于，包括如下步骤： S1、从流量中获取IP会话的IP地址，并与动态IP白名单库中的IP地址进行匹配；丢弃匹配成功的IP地址所对应的IP会话流量；采集匹配失败的IP地址所对应的IP会话流量，进入后续流量安全分析，并抽取其中的 DNS应答流量； S2、提取所述DNS应答流量的问题中的域名以及当前DNS应答流量的数据帧的时间戳，将提取出的域名与自定义服务商的域名白名单相匹配：若域名白名单匹配失败，则跳过，继续获取下一个DNS应答流量；提取域名白名单匹配成功的DNS应答流量中应答记录为 IP地址的A 记录； S3、遍历A 记录中的IP地址，对动态IP白名单库进行新增或更新插入时间的操作； S4、将步骤S3得到的动态IP白名单库作用于步骤S1进行流量过滤采集。 2.根据权利要求1所述的基于服务提供商动态IP白名单的流量采集过滤方法，其特征在于，步骤S1 中，若IP地址与动态 IP白名单库匹配成功，则读取该IP地址在动态 IP白名单库中的最近一次插入时间，并判断该插入时间是否过期：若未过期，则丢弃该IP地址对应的IP会话流量；若过期，则将该IP地址从动态IP白名单库中删除，但保留该IP地址对应的IP会话流量。 3.根据权利要求2所述的基于服务提供商动态IP白名单的流量采集过滤方法，其特征在于，判断插入时间是否过期的方式为：若当前流量采集时间减去最近一次插入时间的值大于或等于存活时间TTL，则该插入时间已过期；若当前流量采集时间减去最近一次插入时间的值小于存活时间TTL，则该插入时间未过期。 4.根据权利要求3所述的基于服务提供商动态IP白名单的流量采集过滤方法，其特征在于，存活时间TTL为预设的白名单过期时间，根据动态 IP白名单库的数据量或者域名解析频率自行确定。 5.根据权利要求1所述的基于服务提供商动态IP白名单的流量采集过滤方法，其特征在于，步骤S1 中，首先按照IP会话对流量进行分组，保证每个IP会话的流量只出现在一个分组中，再获取每个分组中的IP会话的IP地址，将其与动态IP白名单库中的IP地址进行匹配。 6.根据权利要求1所述的基于服务提供商动态IP白名单的流量采集过滤方法，其特征在于，步骤S2中，提取DNS应答流量的问题中的域名后，分离该域名得到二级域名，然后将该二级域名与自定义服务商的域名白名单进行匹配。 7.根据权利要求1所述的基于服务提供商动态IP白名单的流量采集过滤方法，其特征在于，所述动态IP白名单库为一张以IP地址为键值、以时间戳为值的哈希表。 8.根据权利要求1所述的基于服务提供商动态IP白名单的流量采集过滤方法，其特征在于，步骤S3具体包括：遍历A记录中的IP地址，并在动态IP白名单库中进行对应键值查找；若未找到键值，则将该IP地址以IP地址为键值、时间戳为值的记录插入动态IP白名单库；若找到键值，则在IP动态白名单库中更新该键值对应的时间戳，将其赋值为数据帧的权　利　要　求　书 1/2 页 2 CN 115412366 A 2时间戳。权　利　要　求　书 2/2 页 3 CN 115412366 A 3

专利 基于服务提供商动态IP白名单的流量采集过滤方法

专利基于服务提供商动态IP白名单的流量采集过滤方法