本公開提供了一種用于識別訪問域名的方法和系統，涉及通信技術領域。在該方法中，解析HTTPS報文中的SNI中的服務器名稱。如果SNI中存在服務器名稱，則以該服務器名稱作為訪問域名，否則查詢DNS緩存條目，使用IP報文中的IP五元組與所述DNS緩存條目進行匹配。如果DNS緩存條目中存在與IP五元組相匹配的域名，則從相匹配的域名中選取DNS緩存條目的時間戳與HTTPS報文的時間戳的差值最小的域名作為訪問域名。如果DNS緩存條目不存在與IP五元組相匹配的域名，則查找HTTPS報文中的Connect字段中的域名。在查找到Connect字段中的域名的情況下，以所查找到的該域名作為訪問域名。本公開可以獲得用戶訪問的域名。

技術領域

本公開涉及通信技術領域，特別涉及一種用于識別訪問域名的方法和系統。

背景技術

目前，HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，基于安全套接層的超文本傳輸協議)采用SSL(Secure Sockets Layer，安全套接層)/TLS(Transport Layer Security，傳輸層安全)加密。HTTPS對請求消息和響應消息都進行了加密，導致DPI(Deep Packet Inspection，深度包檢測)無法通過識別HTTPS頭部字段的方式來獲得用戶訪問的域名。這造成當前識別到的HTTPS流量的利用價值比較低。

發明內容

本公開的實施例解決的一個技術問題是：提供一種用于識別訪問域名的方法，以獲得用戶訪問的域名。

根據本公開實施例的一個方面，提供了一種用于識別訪問域名的方法，包括：解析HTTPS報文中的服務器名稱指示SNI中的服務器名稱；如果所述SNI中存在服務器名稱，則以該服務器名稱作為訪問域名，否則查詢域名系統DNS緩存條目，使用IP報文中的IP五元組與所述DNS緩存條目進行匹配；如果所述DNS緩存條目中存在與所述IP五元組相匹配的域名，則從相匹配的域名中選取DNS緩存條目的時間戳與所述HTTPS報文的時間戳的差值最小的域名作為訪問域名；如果所述DNS緩存條目不存在與所述IP五元組相匹配的域名，則查找所述HTTPS報文中的連接Connect字段中的域名；以及在查找到所述Connect字段中的域名的情況下，以所查找到的該域名作為訪問域名。

在一些實施例中，所述方法還包括：在沒有查找到所述Connect字段中的域名的情況下，根據所述HTTPS報文中的目的IP地址、以及IP地址與域名的對應關系，獲得對應的訪問域名。

在一些實施例中，查找所述HTTPS報文中的Connect字段中的域名的步驟包括：在客戶端與服務器的握手階段，截獲所述HTTPS報文并讀取所述HTTPS報文的Connect字段中的域名。

在一些實施例中，所述IP五元組包括：源IP地址、源端口、目的IP地址、目的端口和傳輸層協議。

根據本公開實施例的另一個方面，提供了一種用于識別訪問域名的系統，包括：解析單元，用于解析HTTPS報文中的服務器名稱指示SNI中的服務器名稱，在所述SNI中存在服務器名稱的情況下以該服務器名稱作為訪問域名；匹配單元，用于在所述SNI中不存在服務器名稱的情況下查詢域名系統DNS緩存條目，使用IP報文中的IP五元組與所述DNS緩存條目進行匹配，在所述DNS緩存條目中存在與所述IP五元組相匹配的域名的情況下，從相匹配的域名中選取DNS緩存條目的時間戳與所述HTTPS報文的時間戳的差值最小的域名作為訪問域名；以及查找單元，用于在所述DNS緩存條目不存在與所述IP五元組相匹配的域名的情況下，查找所述HTTPS報文中的連接Connect字段中的域名，并在查找到所述Connect字段中的域名的情況下，以所查找到的該域名作為訪問域名。

在一些實施例中，所述系統還包括：獲取單元，用于在沒有查找到所述Connect字段中的域名的情況下，根據所述HTTPS報文中的目的IP地址、以及IP地址與域名的對應關系，獲得對應的訪問域名。