CN105792265A - 恶意流量检测方法和系统、监控平台 - Google Patents
恶意流量检测方法和系统、监控平台 Download PDFInfo
- Publication number
- CN105792265A CN105792265A CN201410809397.9A CN201410809397A CN105792265A CN 105792265 A CN105792265 A CN 105792265A CN 201410809397 A CN201410809397 A CN 201410809397A CN 105792265 A CN105792265 A CN 105792265A
- Authority
- CN
- China
- Prior art keywords
- user
- address
- request message
- charging
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明实施例公开了一种恶意流量检测方法和系统、监控平台,其中,方法包括:SP监控平台在计费开始时获取用户上行请求报文中用户IP地址和用户访问的SP服务器IP地址,在IP地址关联记录中建立上述IP地址对应关系,在计费结束时删除该对应关系,通过查询SP服务器发送给用户的下行请求报文中用户IP地址和SP IP地址是否在IP地址关联记录中,可识别非法SP是否向用户推送数据包;针对P2P应用IP地址随机的情况,检测下行请求报文中数据的业务特征是否与预设业务特征匹配来确定SP是否合法,本发明实施例可防止非法SP向用户恶意推送数据包。
Description
技术领域
本发明涉及移动互联网领域,特别涉及一种恶意流量检测方法和系统、监控平台。
背景技术
随着移动互联网应用的广泛使用,移动互联网中的恶意流量问题也不断涌现,这些恶意流量包括用户终端对网络产生的恶意流量,也包括非法服务提供商(简称为:SP)向用户终端发送数据包产生的恶意流量。
目前,移动互联网中恶意流量产生的原因主要有如下两种:
第一种是SP在用户访问过该SP提供的网页之后,记录该访问用户的IP地址,根据其记录的IP地址,在用户没有请求的情况下,向用户推送数据包。
第二种是当用户去激活数据业务(即:离线)后,如果SP没有释放该用户的IP地址,而该IP地址已经分配给新的用户使用,新用户在没有访问该SP的情况下,SP还向该IP地址恶意推送数据包,导致计费系统对该恶意流量进行计费。
上述在用户不知情下的恶意流量推送给用户造成了流量损失,从而给用户带来了巨额的上网数据流量费用。但是,目前移动互联网中还没有监测这种恶意流量推送行为的方法。
发明内容
本发明实施例提供了一种恶意流量检测方法和系统、监控平台,以解决移动互联网中SP向已离线用户终端恶意推送数据流量,给用户带来巨额流量费用的问题。
本发明实施例提供的一种恶意流量检测方法,包括:
服务提供商SP监管平台采集到用户的上行请求报文时,若针对用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP服务器的第一SPIP地址,在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系;计费事件类型包括计费开始或计费结束;上述对应关系在针对用户的计费消息字段中的计费事件类型为计费结束时删除;
SP监管平台采集到SP服务器发送给用户的下行请求报文时,获取下行请求报文中携带的第二用户IP地址和第二SPIP地址,并查询IP地址关联记录中是否存在第二用户IP地址和第二SPIP地址之间的对应关系;
若IP地址关联记录中不存在第二用户IP地址和第二SPIP地址之间对应关系,SP监管平台检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;
若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,SP监管平台将SP设置为非法SP。
基于上述方法的另一实施例中,还包括:
SP监管平台采集用户面报文,并识别采集到的用户面报文为上行请求报文或下行请求报文。
基于上述任一方法的另一实施例中,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为远程用户拨号认证系统RADIUS计费开始消息;
SP监管平台采集到用户的上行请求报文包括:
SP监管平台采集到用户的上行请求报文时,根据上行请求报文中携带的第一用户IP地址,从RADIUS服务器查询针对用户的RADIUS计费开始消息;响应于查询到用户的RADIUS计费开始消息,执行获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP的第一SPIP地址的操作,RADIUS计费开始消息中包括第一用户IP地址和用户的用户标识。
基于上述任一方法的另一实施例中,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为RADIUS计费开始消息;
RADIUS服务器接收到针对用户的RADIUS计费开始消息时,向SP监管平台上报针对用户的RADIUS计费开始消息,RADIUS计费开始消息中包括第一用户IP地址和用户的用户标识;
SP监管平台根据第一用户IP地址,采集用户的上行请求报文,并在采集到用户的上行请求报文时,执行获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP的第一SPIP地址的操作。
基于上述方法的另一实施例中,在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系包括:
SP监管平台从RADIUS计费开始消息中获取用户的用户标识,在IP地址关联记录中建立用户的用户标识、第一用户IP地址和第一SPIP地址之间的对应关系。
基于上述任一方法的另一实施例中,计费事件类型字段携带的计费事件类型为计费结束的计费消息具体为RADIUS计费结束消息;
上述方法还包括:
RADIUS服务器接收到针对用户的RADIUS计费结束消息时,向SP监管平台上报针对用户的RADIUS计费结束消息,RADIUS计费结束消息中包括第一用户IP地址和用户的用户标识;
SP监管平台根据第一用户IP地址,从IP地址关联记录中删除包括第一用户IP地址的对应关系。
基于上述任一方法的另一实施例中,业务数据的业务特征为业务特征库中的预设业务特征时,对第二用户IP地址不做限定;
SP监管平台检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配包括:
SP监管平台请求深度包检测DPI系统对业务数据的业务特征进行DPI分析,检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配。
基于上述任一方法的另一实施例中,若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,方法还包括:
SP监控平台切断SP服务器与用户的用户终端之间的下行数据连接。
本发明实施例还提供了一种监管平台,包括:
获取单元,用于在采集到用户的上行请求报文时,若针对用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP服务器的第一SPIP地址;并在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系;该对应关系在针对用户的计费消息字段中的计费事件类型为计费结束时删除;以及在采集到SP服务器发送给用户的下行请求报文时,获取下行请求报文中携带的第二用户IP地址和第二SPIP地址;计费事件类型包括计费开始或计费结束;
存储单元,用于存储IP地址关联记录;
查询单元,用于查询IP地址关联记录中是否存在第二用户IP地址和第二SPIP地址之间的对应关系;
检测单元,用于根据所述查询单元的查询结果,若IP地址关联记录中不存在第二用户IP地址和第二SPIP地址之间对应关系,检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;
执行单元,用于根据检测单元的检测结果,若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,将SP设置为非法SP。
基于上述监管平台的另一实施例中,还包括:
采集单元,用于采集用户面报文;
识别单元:用于识别采集单元采集到的用户面报文为上行请求报文或下行请求报文,并将采集到的所述用户面报文和用户面报文为上行请求报文或下行请求报文的识别结果发送给所述获取单元。
基于上述监管平台的另一实施例中,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为RADIUS计费开始消息;
获取单元具体用于在采集单元采集到用户的上行请求报文时,根据上行请求报文中携带的第一用户IP地址,从RADIUS服务器查询针对用户的RADIUS计费开始消息;以及在查询到用户的RADIUS计费开始消息时,执行获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP的第一SPIP地址的操作,RADIUS计费开始消息中包括第一用户IP地址和用户的用户标识。
基于上述监管平台的另一实施例中,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为RADIUS计费开始消息;
监管平台还包括接收单元,用于接收RADIUS服务器接收到针对用户的RADIUS计费开始消息时,上报的针对用户的RADIUS计费开始消息,RADIUS计费开始消息中包括第一用户IP地址和用户的用户标识;
采集单元具体根据第一用户IP地址,采集用户的上行请求报文;
执行单元具体在采集单元采集到用户的上行请求报文时,执行获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP的第一SPIP地址的操作。
基于上述两个监管平台的另一实施例中,获取单元还用于从RADIUS计费开始消息中获取用户的用户标识;在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系时,具体在IP地址关联记录中建立用户的用户标识、第一用户IP地址和第一SPIP地址之间的对应关系。
基于上述监管平台的另一实施例中,计费事件类型字段携带的计费事件类型为计费结束的计费消息具体为RADIUS计费结束消息;
接收单元还用于接收RADIUS服务器在接收到针对用户的RADIUS计费结束消息时,上报的针对用户的RADIUS计费结束消息,RADIUS计费结束消息中包括第一用户IP地址和用户的用户标识;
监控平台还包括删除单元,用于在接收单元接收到针对用户的RADIUS计费结束消息时,根据第一用户IP地址,从IP地址关联记录中删除包括第一用户IP地址的对应关系。
基于上述任一监管平台的另一实施例中,检测单元检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配时,具体请求DPI系统对业务数据的业务特征进行DPI分析,并接收DPI系统返回的DPI分析结果,该DPI分析结果中包括下行请求报文中业务数据的业务特征,比较下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配。
基于上述任一监管平台的另一实施例中,执行单元还用于根据检测单元的检测结果,若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,切断SP服务器与用户的用户终端之间的下行数据连接。
本发明实施例提供的一种恶意流量检测系统,包括:
SP服务器,用于接收用户终端发送的上行请求报文并向用户终端发送下行请求报文;
RADIUS服务器,用于接收到针对用户的RADIUS计费开始消息时,向SP监管平台上报针对用户的RADIUS计费开始消息;以及接收到针对用户的RADIUS计费结束消息时,向SP监管平台上报针对用户的RADIUS计费结束消息。
SP监管平台,用于采集到用户的上行请求报文时,若针对用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP服务器的第一SPIP地址,在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系;计费事件类型包括计费开始或计费结束;对应关系在针对用户的计费消息字段中的计费事件类型为计费结束时删除;以及在采集到SP服务器发送给用户的下行请求报文时,获取下行请求报文中携带的第二用户IP地址和第二SPIP地址,并查询IP地址关联记录中是否存在第二用户IP地址和第二SPIP地址之间的对应关系;若IP地址关联记录中不存在第二用户IP地址和第二SPIP地址之间对应关系,检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,将SP设置为非法SP。
基于上述恶意流量检测系统的另一实施例中,还包括DPI系统和业务特征库;
业务特征库,用于存储预设业务特征,业务数据的业务特征为业务特征库中的预设业务特征时,对第二用户IP地址不做限定;
SP监管平台检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配时,具体请求DPI系统对业务数据的业务特征进行DPI分析,并接收DPI系统返回的DPI分析结果,DPI分析结果中包括下行请求报文中业务数据的业务特征;比较下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;
DPI系统,用于根据SP监管平台的请求,对业务数据的业务特征进行DPI分析,识别下行请求报文中业务数据的业务特征并向SP监管平台返回DPI分析结果。
基于上述恶意流量检测系统的另一实施例中,SP监管平台与DPI系统一体设置。
本发明上述实施例提出的上述恶意流量检测方法和系统、监控平台,SP监控平台采集用户面报文,结合针对该用户的计费消息,在计费开始时获取用户上行请求报文中携带的用户IP地址和用户请求访问的SP服务器的IP地址,在IP地址关联记录中建立用户IP地址和SPIP地址之间的对应关系,并在计费结束时删除该对应关系,在接收到SP服务器发送给用户的下行请求报文时,通过查询IP地址关联记录中是否存在该下行请求报文中携带的用户IP地址和SPIP地址,来识别在用户没有访问SP的情况下SP向用户推送的数据流量。若监测到用户没有访问SP时SP向用户推送的数据流量,进一步通过检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配,来识别该数据流量是否为具有随机IP地址访问特性的应用流量(例如P2P等应用),从而确定该数据流量是否为SP恶意推送的数据流量;若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,则该SP为非法SP,通过实时识别非法SP,可以防止非法SP向用户恶意推送数据包造成的用户流量损失,避免由此给用户带来巨额的上网数据流量费用。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明恶意流量检测方法一个实施例的流程图。
图2为本发明恶意流量检测方法另一个实施例的流程图。
图3为本发明恶意流量检测方法一个应用实施例的流程图。
图4为本发明监管平台一个实施例的结构示意图。
图5为本发明监管平台另一个实施例的结构示意图。
图6为本发明监管平台又一个实施例的结构示意图。
图7为本发明监管平台再一个实施例的结构示意图。
图8为本发明恶意流量检测系统一个实施例的结构示意图。
图9为本发明恶意流量检测系统另一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明恶意流量检测方法一个实施例的流程图。如图1所示,该实施例的恶意流量检测方法包括:
101,SP监管平台采集到用户的上行请求报文时,若针对用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取上行请求报文中携带的用户的IP地址(为便于区分,本发明各实施例中表述为第一用户IP地址)和用户请求访问的SP服务器的IP地址(为便于区分,本发明各实施例中表述为第一SPIP地址),在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系。
其中的计费事件类型包括计费开始或计费结束。上述对应关系在针对用户的计费消息字段中的计费事件类型为计费结束时删除。
其中,SP服务器是SP为用户提供应用服务的服务器。
102,SP监管平台采集到SP服务器发送给用户的下行请求报文时,获取下行请求报文中携带的用户的IP地址(为便于区分,本发明各实施例中表述为第二用户IP地址)和SP服务器的IP地址(为便于区分,本发明各实施例中表述为第二SPIP地址)。
103,查询IP地址关联记录中是否存在第二用户IP地址和第二SPIP地址之间的对应关系。
若IP地址关联记录中不存在第二用户IP地址和第二SPIP地址之间对应关系,执行104操作,否则,不执行本实施例的后续流程,放行该下行请求报文。
104,SP监管平台检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配。
若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,执行105操作,否则,不执行本实施例的后续流程,放行该下行请求报文。
如果用户访问的是具有随机IP地址访问特性的应用,例如:QQ业务、聊天语音业务、文件传送业务、文字聊天业务、视频流业务、优酷视频、搜狐视频、腾讯视频以及百度视频等P2P应用,用户的IP地址可以是随机的,则无需通过用户IP地址和SPIP地址之间的固定对应关系来控制SP服务器向用户推送数据流量,此时,可以预先在业务特征库中设置具有随机IP地址访问特性的应用的业务特征,即:业务数据的业务特征为业务特征库中的预设业务特征时,对第二用户IP地址不做限定。SP监管平台接收到SP服务器发送的下行请求报文后,通过对其业务数据的业务特征与业务特征库中的预设业务特征进行分析、匹配,识别SP服务器推送的业务数据是否为具有随机IP地址访问特性的应用的业务数据,从而确定是否对其进行限制。
105,SP监管平台将该发送下行请求报文的SP设置为非法SP。可选地,若IP地址关联记录中存在第二用户IP地址和第二SPIP地址之间对应关系或下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征相匹配,SP监管平台可以将该发送下行请求报文的SP设置为合法SP。
本发明上述实施例提出的上述恶意流量推送检测方法,SP监控平台采集用户面报文,结合针对该用户的计费消息,在计费开始时获取用户上行请求报文中携带的用户IP地址和用户请求访问的SP服务器的IP地址,在IP地址关联记录中建立用户IP地址和SPIP地址之间的对应关系,并在计费结束时删除该对应关系,在接收到SP服务器发送给用户的下行请求报文时,通过查询IP地址关联记录中是否存在该下行请求报文中携带的用户IP地址和SPIP地址,来识别在用户没有访问SP的情况下SP向用户推送的数据流量。若监测到用户没有访问SP时SP向用户推送的数据流量,进一步通过检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配,来识别该数据流量是否为具有随机IP地址访问特性的应用流量,从而确定该数据流量是否为SP恶意推送的数据流量;若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,则该SP为非法SP,通过实时识别非法SP,可以防止非法SP向用户恶意推送数据包造成的用户流量损失,避免由此给用户带来巨额的上网数据流量费用。
图2为本发明恶意流量检测方法另一个实施例的流程图,如图2所示,该实施例的恶意流量检测方法包括:
201,SP监管平台采集用户面报文。
202,SP监管平台识别采集到的用户面报文为用户终端发送给SP服务器上行请求报文或SP服务器发送给用户终端的下行请求报文。
若为用户发送的上行请求报文,执行203操作。否则,若为发送给用户的下行请求报文,执行206操作。
203,SP监管平台识别针对该用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始或计费结束。
其中,针对该用户的计费消息中包括计费事件类型字段、该用户的第一用户IP地址和用户标识,用户标识唯一标识一个用户,例如可以是国际移动用户识别码(IMSI)。计费事件类型字段携带的计费事件类型可以是计费开始或计费结束,也可以是中间计费。
若针对该用户的计费消息中计费事件类型字段携带的计费事件类型为计费结束,执行204的操作。否则,若针对该用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,执行205的操作。
其中,计费消息中计费事件类型字段携带的计费事件类型为计费开始时,该计费消息即为计费开始消息,例如可以是远程用户拨号认证系统(RADIUS)计费开始消息;计费消息中计费事件类型字段携带的计费事件类型为计费结束时,该计费消息即为计费结束消息,例如具体可以是RADIUS计费结束消息。
204,SP监管平台根据计费消息中的第一用户IP地址,从IP地址关联记录中删除包括该第一用户IP地址的对应关系。其中的IP地址关联记录包括用户IP地址和SPIP地址之间的对应关系。
之后,不执行本实施例的后续流程。
205,SP监管平台获取上行请求报文中携带的用户的第一用户IP地址和该用户请求访问的SP服务器的第一SPIP地址,并在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系。
作为201~203和205的一个具体示例,SP监管平台可以在采集到用户的上行请求报文时,根据上行请求报文中携带的第一用户IP地址,从RADIUS服务器查询针对该用户的RADIUS计费开始消息;响应于查询到该用户的RADIUS计费开始消息,获取上行请求报文中携带的该用户的第一用户IP地址和该用户请求访问的SP的第一SPIP地址,然后在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系。其中,RADIUS计费开始消息中包括第一用户IP地址和用户的用户标识(ID)。
作为201~203和205的另一个具体示例,RADIUS服务器接收到针对用户的RADIUS计费开始消息时,向SP监管平台上报针对该用户的RADIUS计费开始消息,其中,该RADIUS计费开始消息中包括第一用户IP地址和用户的用户标识;SP监管平台根据RADIUS计费开始消息中的第一用户IP地址,采集该用户的上行请求报文,并在采集到该用户的上行请求报文时,获取上行请求报文中携带的该用户的第一用户IP地址和用户请求访问的SP的第一SPIP地址,并在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系。
作为201~204的一个具体示例,RADIUS服务器可以在接收到针对使用第一用户IP地址的用户的RADIUS计费结束消息时,向SP监管平台上报针对该用户的RADIUS计费结束消息,该RADIUS计费结束消息中包括第一用户IP地址和用户的用户标识;SP监管平台根据第一用户IP地址,从IP地址关联记录中删除包括第一用户IP地址的对应关系。
之后,不执行本实施例的后续流程。
206,SP监管平台获取下行请求报文中携带的用户的第二IP地址和SP的第二SPIP地址。
207,SP监管平台查询IP地址关联记录中是否存在第二用户IP地址和第二SPIP地址之间的对应关系。
在一个具体示例中,在IP地址关联列表中查询用户标识、用户第二IP地址以及第二SPIP地址是否在IP关联列表中,检查它们之间是否存在关联关系。
若IP地址关联记录中不存在第二用户IP地址和第二SPIP地址之间对应关系,则执行208操作。否则,执行210的操作。
208,SP监管平台对SP服务器发送的下行请求报文中业务数据的业务特征进行分析,检查其业务特征是否与业务特征库的预设业务特征匹配,即:业务特征库中是否包含与该下行请求报文中业务数据的业务特征一致的预设业务特征。
若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,执行209操作,否则,若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征相匹配,执行210操作。
在一个具体示例中,SP监管平台可以请求深度包检测(DPI)系统对下行请求报文中业务数据的业务特征进行DPI分析,然后检测作为分析结果的业务特征是否与业务特征库中的预设业务特征匹配。
209,SP监管平台将该SP服务器的SP列为非法SP,并在SP恶意推送报文日志中记录检测到的SPIP地址作为非法SPIP地址。另外,还可以进一步可选地,切断SP服务器与该用户的用户终端之间的下行数据连接。
之后,不执行本实施例的后续流程。
210,SP监管平台将此SPIP地址列为合法SP,放行该下行请求报文。
进一步地,在本发明上述恶意流量检测方法实施例的一个具体示例中,SP监管平台还可以从RADIUS计费开始消息中获取用户的用户标识,在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系时,具体建立该用户的用户标识、第一用户IP地址和第一SPIP地址之间的对应关系,以便更具体的将该对应关系与用户相关联。
图3为本发明恶意流量检测方法一个应用实施例的流程图。如图3所示,该应用实施例的恶意流量检测方法包括:
301,分组控制功能实体(PCF)接收到用户终端发送的会话建立请求后,与分组数据服务节点(PDSN)之间进行链路控制协议(LCP)协商(LCPNegotiation),协商链路参数。
302,PCF与PDSN之间进入认证阶段(Authentication),PDSN验证用户终端的合法性。
303,在用户合法性认证通过后,PDSN向RADIUS服务器发送接入请求消息(AccessRequest),该接入请求消息中包括用户名、用户密码、访问SP服务器的ID和访问端口的ID。
304,RADIUS服务器对该用户进行接入认证,并在该用户通过认证后向PDSN发送接入允许消息(AccessAccept)。
305,PDSN在会话建立之前通过移动IP注册请求消息(MIPRRQ)将用户IMSI等信息发送给归属代理计费网管(HACCG)。
306,HACCG在移动IP注册完成后,向PDSN发送移动IP注册响应消息(IMPRRP消息)。
307,PCF与PDSN之间进入IP控制协议(IPCP)协商阶段(IPCPNegotiation),进行IP、域名系统(DNS)等协商,完成用户终端的验证、授权。
308,PDSN向RADIUS服务器发送计费开始消息(AccountingRequest),通知RADIUS服务器根据该计费开始消息开始计费,其中该计费开始消息中包括用户的IMSI、第一用户IP地址。
309,RADIUS服务器向SP监管平台上报该用户的计费开始消息。
310,经过会话建立协商后,用户终端与PDSN通过点对点协议(PPP)会话进行用户面报文数据传输,用户终端向SP服务器发送请求对该SP服务器进行访问的上行请求报文,其中包括该用户的第一用户IP地址和该用户请求访问的SP服务器的第一SPIP地址,此时,SP监管平台能够采集到用户面报文中的上行请求报文。
311,SP监管平台获取上行请求报文中携带的第一用户IP地址和第一SPIP地址、以及计费开始消息中该用户的IMSI,并在IP地址关联记录中建立第一用户IP地址、IMSI和第一SPIP地址之间的对应关系。
用户终端与SP服务器之间进行用户面报文传输,包括用户终端发送给SP服务器的上行请求报文和SP服务器发送给用户终端的下行请求报文。
312,SP监管平台截获到SP服务器发送的下行请求报文后,提取其中携带的第二IP地址(用户终端使用的IP地址)和第二SPIP地址(SP服务器使用的IP地址),查询IP地址关联记录中是否存在该第二用户IP地址和第二SPIP地址之间的对应关系。
若IP地址关联记录中存在该第二用户IP地址和第二SPIP地址之间的对应关系,此时,第二用户IP地址即第一用户IP地址,第二SPIP地址即第二SPIP地址,放行该下行请求报文。否则,若IP地址关联记录中不存在第二用户IP地址和第二SPIP地址之间对应关系,SP监管平台请求DPI系统对下行请求报文中业务数据的业务特征进行DPI分析,并查询业务特征库中是否包含与该下行请求报文中业务数据的业务特征一致的预设业务特征。若不包含,SP监管平台将该SP服务器的SP列为非法SP,并切断SP服务器与该用户的用户终端之间的下行数据连接。若包含,不对该下行请求报文执行操作,实现其正常发送。
313,用户下线,用户终端进行会话释放,PCF向PDSN发送取消移动IP注册消息(MIPRRQ(lifetime=0)),其中,MIPRRQ消息中的注册生存期lifetime的值为零,MIPRRQ消息中包括第一用户IP地址。
314,PDSN向RADIUS服务器发送计费结束消息(AccountingRequest),RADIUS服务器根据该计费结束消息中携带的用户IMSI、第一用户IP地址等计算用户的流量费用,并向SP监管平台上报该计费结束消息。
315,SP监管平台从IP地址关联记录中删除包括第一用户IP地址的对应关系,即:第一用户IP地址、IMSI和第一SPIP地址之间的对应关系。
316,PDSN将MIPRRQ(lifetime=0)消息转发至HACCG,HACCG向PDSN发送取消移动IP注册响应消息(MIPRRP)指示移动IP服务已被终止。
317,PDSN向PCF转发MIPRRP响应消息。
318,用户终端与PDSN之间不再存在其他的数据会话,PDSN向PCF发送链接释放消息(LinkRelease),进行该用户数据会话的链接释放。
图4为本发明监管平台一个实施例的结构示意图。该实施例的监管平台可以作为SP监管平台,实现本发明上述各实施例恶意流量检测方法中SP监管平台的相应功能。如图4所示,该实施例的监管平台包括获取单元、存储单元、查询单元、检测单元和执行单元。其中:
获取单元,用于采集到用户的上行请求报文时,若针对用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP服务器的第一SPIP地址;并在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系,该对应关系在针对用户的计费消息字段中的计费事件类型为计费结束时删除;以及在采集到SP服务器发送给用户的下行请求报文时,获取下行请求报文中携带的第二用户IP地址和第二SPIP地址。其中的计费事件类型包括计费开始或计费结束。
存储单元,用于存储IP地址关联记录,包括用户IP和SPIP地址之间的对应关系。
查询单元,用于查询IP地址关联记录中是否存在第二用户IP地址和第二SPIP地址之间的对应关系。
检测单元,用于根据查询单元的查询结果,若IP地址关联记录中不存在第二用户IP地址和第二SPIP地址之间对应关系,检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配。
执行单元,用于根据检测单元的检测结果,若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,将SP设置为非法SP。
本发明上述实施例提出的监控平台,通过采集用户面报文,结合针对该用户的计费消息,在计费开始时获取用户上行请求报文中携带的用户IP地址和用户请求访问的SP服务器的IP地址,在IP地址关联记录中建立用户IP地址和SPIP地址之间的对应关系,并在计费结束时删除该对应关系,在接收到SP服务器发送给用户的下行请求报文时,通过查询IP地址关联记录中是否存在该下行请求报文中携带的用户IP地址和SPIP地址,来识别在用户没有访问SP的情况下SP向用户推送的数据流量。若监测到用户没有访问SP时SP向用户推送的数据流量,进一步通过检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配,来识别该数据流量是否为具有随机IP地址访问特性的应用流量,从而确定该数据流量是否为SP恶意推送的数据流量;若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,则该SP为非法SP,通过实时识别非法SP,可以防止非法SP向用户恶意推送数据包造成的用户流量损失,避免由此给用户带来巨额的上网数据流量费用。
图5为本发明监管平台另一个实施例结构示意图。如图5所示,与图4所示实施例的监管平台相比,该实施例的监管平台还包括采集单元和识别单元。其中:
采集单元,用于采集用户面报文,包括上行请求报文与下行请求报文。
识别单元,用于识别采集单元采集到的用户面报文为上行请求报文或下行请求报文,并将采集单元采集到的用户面报文和该用户面报文为上行请求报文或下行请求报文的识别结果发送给获取单元。
在本发明上述监管平台各实施例的一个具体示例中,计费事件类型字段携带的计费事件类型为计费开始的计费消息为计费开始消息,例如具体可以是RADIUS计费开始消息。相应地,在该具体示例中,获取单元具体根据识别单元发送的用户面报文及其识别结果,用于在采集单元采集到用户的上行请求报文时,根据上行请求报文中携带的第一用户IP地址,从RADIUS服务器查询针对使用该第一用户IP地址的用户的RADIUS计费开始消息,以及在查询到用户的RADIUS计费开始消息时,开始执行获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP的第一SPIP地址的操作,其中,RADIUS计费开始消息中包括第一用户IP地址和用户的用户标识,该用户标识用于唯一标识一个用户,例如IMSI。
图6为本发明监管平台的又一个实施例结构示意图,与上述各实施例的监管平台相比,该实施例的监管平台还包括接收单元,用于接收RADIUS服务器接收到针对用户的RADIUS计费开始消息时,上报的针对该用户的RADIUS计费开始消息,RADIUS计费开始消息中包括第一用户IP地址和用户的用户标识。相应地,该实施例中,采集单元具体根据RADIUS计费开始消息中的第一用户IP地址,采集用户的上行请求报文。执行单元具体根据识别单元发送的用户面报文及其识别结果,在采集单元采集到用户的上行请求报文时,开始执行获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP的第一SPIP地址的操作。
进一步地,基于本发明上述监管平台的另一个实施例中,获取单元还可用于从RADIUS计费开始消息中获取用户的用户标识;在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系时,具体在IP地址关联记录中建立该用户的用户标识、第一用户IP地址和第一SPIP地址之间的对应关系。
图7为本发明监管平台的再一个实施例结构示意图。如图7所示,该实施例的监管平台还包括删除单元。该实施例中,计费事件类型字段携带的计费事件类型为计费结束的计费消息具体为计费结束消息,例如可以是RADIUS计费结束消息。相应地,该实施例中,接收单元还用于RADIUS服务器在接收到针对使用第一用户IP地址的用户的RADIUS计费结束消息时上报的针对该用户的RADIUS计费结束消息,RADIUS计费结束消息中包括第一用户IP地址和该用户的用户标识。删除单元,用于在接收单元接收到针对该用户的RADIUS计费结束消息时,根据第一用户IP地址,从IP地址关联记录中删除包括第一用户IP地址的对应关系。
在本发明上述各监管平台实施例的一个具体示例中,检测单元检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配时,具体可以请求DPI系统对业务数据的业务特征进行DPI分析,并接收DPI系统返回的DPI分析结果,该DPI分析结果中包括下行请求报文中业务数据的业务特征,比较该下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配,即业务特征库中是否包括与该下行请求报文中业务数据的业务特征一致的预设业务特征匹配。
进一步地,基于本发明上述各监管平台的再一个实施例中,执行单元还可以用于根据检测单元的检测结果,若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,切断SP服务器与用户的用户终端之间的下行数据连接。
图8为本发明恶意流量检测系统一个实施例的结构示意图。如图8所示,该实施例的恶意流量检测系统包括SP服务器、RADIUS服务器和SP监管平台。其中:
SP服务器,用于接收用户终端向SP服务器发送的上行请求报文并向用户终端发送下行请求报文。
RADIUS服务器,用于接收到针对用户的RADIUS计费开始消息时,向SP监管平台上报针对用户的RADIUS计费开始消息;以及接收到针对用户的RADIUS计费结束消息时,向SP监管平台上报针对用户的RADIUS计费结束消息。
SP监管平台,用于采集到用户的上行请求报文时,若针对用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP服务器的第一SPIP地址,在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系;计费事件类型包括计费开始或计费结束;对应关系在针对用户的计费消息字段中的计费事件类型为计费结束时删除;以及在采集到SP服务器发送给用户的下行请求报文时,获取下行请求报文中携带的第二用户IP地址和第二SPIP地址,并查询IP地址关联记录中是否存在第二用户IP地址和第二SPIP地址之间的对应关系;若IP地址关联记录中不存在第二用户IP地址和第二SPIP地址之间对应关系,检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,将SP设置为非法SP。
本发明上述实施例提出的上述恶意流量检测系统,SP监管平台采集用户面报文,结合针对该用户的计费消息,在计费开始时获取用户上行请求报文中携带的用户IP地址和用户请求访问的SP服务器的IP地址,在IP地址关联记录中建立用户IP地址和SPIP地址之间的对应关系,并在计费结束时删除该对应关系,在接收到SP服务器发送给用户的下行请求报文时,通过查询IP地址关联记录中是否存在该下行请求报文中携带的用户IP地址和SPIP地址,来识别在用户没有访问SP的情况下SP向用户推送的数据流量。若监测到用户没有访问SP时SP向用户推送的数据流量,进一步通过检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配,来识别该数据流量是否为具有随机IP地址访问特性的应用流量,从而确定该数据流量是否为SP恶意推送的数据流量;若下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,则该SP为非法SP,通过实时识别非法SP,可以防止非法SP向用户恶意推送数据包造成的用户流量损失,避免由此给用户带来巨额的上网数据流量费用。
图9为本发明恶意流量检测系统另一个实施例的结构示意图,如图9所示,该恶意流量检测系统还包括DPI系统和业务特征库。其中:
业务特征库用于存储预设业务特征,业务数据的业务特征为业务特征库中的预设业务特征时,对第二用户IP地址不做限定,即:任意用户IP地址均可访问具有该预设业务特征的应用,SP向用户推送应用数据流时,无需基于用户请求便可推送。
SP监管平台检测下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配时,具体请求DPI系统对业务数据的业务特征进行DPI分析,并接收DPI系统返回的DPI分析结果,DPI分析结果中包括下行请求报文中业务数据的业务特征;比较下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配。
DPI系统,用于根据SP监管平台的请求,对业务数据的业务特征进行DPI分析,识别下行请求报文中业务数据的业务特征并向SP监管平台返回DPI分析结果。
在本发明恶意流量检测系统的一个具体示例中,SP监管平台可以与DPI系统一体设置。
在本发明恶意流量检测系统的另一个具体示例中,SP监管平台可以基于图4~图6任一实施例监管平台的结构实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
可能以许多方式来实现本发明的方法、平台和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法、平台和系统。用于方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (20)
1.一种恶意流量检测方法,其特征在于,包括:
服务提供商SP监管平台采集到用户的上行请求报文时,若针对所述用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP服务器的第一SPIP地址,在IP地址关联记录中建立所述第一用户IP地址和所述第一SPIP地址之间的对应关系;所述计费事件类型包括计费开始或计费结束;所述对应关系在针对所述用户的计费消息字段中的计费事件类型为计费结束时删除;
所述SP监管平台采集到SP服务器发送给用户的下行请求报文时,获取所述下行请求报文中携带的第二用户IP地址和第二SPIP地址,并查询所述IP地址关联记录中是否存在所述第二用户IP地址和所述第二SPIP地址之间的对应关系;
若所述IP地址关联记录中不存在所述第二用户IP地址和所述第二SPIP地址之间对应关系,所述SP监管平台检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;
若所述下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,所述SP监管平台将所述SP设置为非法SP。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述SP监管平台采集用户面报文,并识别采集到的用户面报文为上行请求报文或下行请求报文。
3.根据权利要求1或2所述的方法,其特征在于,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为远程用户拨号认证系统RADIUS计费开始消息;
所述SP监管平台采集到用户的上行请求报文包括:
所述SP监管平台采集到用户的上行请求报文时,根据所述上行请求报文中携带的第一用户IP地址,从RADIUS服务器查询针对所述用户的RADIUS计费开始消息;响应于查询到所述用户的RADIUS计费开始消息,执行所述获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP的第一SPIP地址的操作,所述RADIUS计费开始消息中包括所述第一用户IP地址和所述用户的用户标识。
4.根据权利要求1或2所述的方法,其特征在于,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为RADIUS计费开始消息;
RADIUS服务器接收到针对所述用户的RADIUS计费开始消息时,向所述SP监管平台上报针对所述用户的RADIUS计费开始消息,所述RADIUS计费开始消息中包括所述第一用户IP地址和所述用户的用户标识;
所述SP监管平台根据所述第一用户IP地址,采集所述用户的上行请求报文,并在采集到所述用户的上行请求报文时,执行所述获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP的第一SPIP地址的操作。
5.根据权利要求3或4所述的方法,其特征在于,所述在IP地址关联记录中建立所述第一用户IP地址和所述第一SPIP地址之间的对应关系包括:
所述SP监管平台从所述RADIUS计费开始消息中获取所述用户的用户标识,在IP地址关联记录中建立所述用户的用户标识、第一用户IP地址和所述第一SPIP地址之间的对应关系。
6.根据权利要求1至5任意一项所述的方法,其特征在于,计费事件类型字段携带的计费事件类型为计费结束的计费消息具体为RADIUS计费结束消息;
所述方法还包括:
RADIUS服务器接收到针对所述用户的RADIUS计费结束消息时,向所述SP监管平台上报针对所述用户的RADIUS计费结束消息,所述RADIUS计费结束消息中包括所述第一用户IP地址和所述用户的用户标识;
所述SP监管平台根据所述第一用户IP地址,从所述IP地址关联记录中删除包括所述第一用户IP地址的对应关系。
7.根据权利要求1至6任意一项所述的方法,其特征在于,业务数据的业务特征为业务特征库中的预设业务特征时,对所述第二用户IP地址不做限定;
所述SP监管平台检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配包括:
所述SP监管平台请求深度包检测DPI系统对所述业务数据的业务特征进行DPI分析,检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配。
8.根据权利要求1至7任意一项所述的方法,其特征在于,若所述下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,所述方法还包括:
所述SP监控平台切断所述SP服务器与所述用户的用户终端之间的下行数据连接。
9.一种监管平台,其特征在于,包括:
获取单元,用于在采集到用户的上行请求报文时,若针对所述用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP服务器的第一SPIP地址;并在IP地址关联记录中建立所述第一用户IP地址和所述第一SPIP地址之间的对应关系;所述对应关系在针对所述用户的计费消息字段中的计费事件类型为计费结束时删除;以及在采集到SP服务器发送给用户的下行请求报文时,获取所述下行请求报文中携带的第二用户IP地址和第二SPIP地址;所述计费事件类型包括计费开始或计费结束;
存储单元,用于存储所述IP地址关联记录;
查询单元,用于查询所述IP地址关联记录中是否存在所述第二用户IP地址和所述第二SPIP地址之间的对应关系;
检测单元,用于根据所述查询单元的查询结果,若所述IP地址关联记录中不存在所述第二用户IP地址和所述第二SPIP地址之间对应关系,检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;
执行单元,用于根据检测单元的检测结果,若所述下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,将所述SP设置为非法SP。
10.根据权利要求9所述的监管平台,其特征在于,还包括:
采集单元,用于采集用户面报文;
识别单元,用于识别所述采集单元采集到的用户面报文为上行请求报文或下行请求报文,并将采集到的所述用户面报文和用户面报文为上行请求报文或下行请求报文的识别结果发送给所述获取单元。
11.根据权利要求10所述的监管平台,其特征在于,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为RADIUS计费开始消息;
所述获取单元具体用于在采集单元采集到用户的上行请求报文时,根据所述上行请求报文中携带的第一用户IP地址,从RADIUS服务器查询针对所述用户的RADIUS计费开始消息;以及在查询到所述用户的RADIUS计费开始消息时,执行所述获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP的第一SPIP地址的操作,所述RADIUS计费开始消息中包括所述第一用户IP地址和所述用户的用户标识。
12.根据权利要求10所述的监管平台,其特征在于,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为RADIUS计费开始消息;
所述监管平台还包括接收单元,用于接收RADIUS服务器在接收到针对所述用户的RADIUS计费开始消息时上报的针对所述用户的RADIUS计费开始消息,所述RADIUS计费开始消息中包括所述第一用户IP地址和所述用户的用户标识;
所述采集单元具体用于根据所述第一用户IP地址,采集所述用户的上行请求报文;
所述获取单元具体用于在所述采集单元采集到所述用户的上行请求报文时,执行所述获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP的第一SPIP地址的操作。
13.根据权利要求11或12所述的监管平台,其特征在于,所述获取单元还用于从所述RADIUS计费开始消息中获取所述用户的用户标识;在IP地址关联记录中建立所述第一用户IP地址和所述第一SPIP地址之间的对应关系时,具体在IP地址关联记录中建立所述用户的用户标识、第一用户IP地址和所述第一SPIP地址之间的对应关系。
14.根据权利要求12所述的监管平台,其特征在于,计费事件类型字段携带的计费事件类型为计费结束的计费消息具体为RADIUS计费结束消息;
所述接收单元还用于接收RADIUS服务器在接收到针对所述用户的RADIUS计费结束消息时上报的针对所述用户的RADIUS计费结束消息,所述RADIUS计费结束消息中包括所述第一用户IP地址和所述用户的用户标识;
所述监管平台还包括删除单元,用于在接收单元接收到针对所述用户的RADIUS计费结束消息时,根据所述第一用户IP地址,从所述IP地址关联记录中删除包括所述第一用户IP地址的对应关系。
15.根据权利要求9至14任意一项所述的监管平台,其特征在于,所述检测单元检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配时,具体请求DPI系统对所述业务数据的业务特征进行DPI分析,并接收所述DPI系统返回的DPI分析结果,所述DPI分析结果中包括所述下行请求报文中业务数据的业务特征,比较所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配。
16.根据权利要求9至15任意一项所述的监管平台,其特征在于,所述执行单元,还用于根据检测单元的检测结果,若所述下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,切断所述SP服务器与所述用户的用户终端之间的下行数据连接。
17.一种恶意流量检测系统,其特征在于,包括:
SP服务器,用于接收用户终端发送的上行请求报文并向所述用户终端发送下行请求报文;
RADIUS服务器,用于接收到针对所述用户的RADIUS计费开始消息时,向所述SP监管平台上报针对所述用户的RADIUS计费开始消息;以及接收到针对所述用户的RADIUS计费结束消息时,向SP监管平台上报针对所述用户的RADIUS计费结束消息。
SP监管平台,用于采集到用户的上行请求报文时,若针对所述用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP服务器的第一SPIP地址,在IP地址关联记录中建立所述第一用户IP地址和所述第一SPIP地址之间的对应关系;所述计费事件类型包括计费开始或计费结束;所述对应关系在针对所述用户的计费消息字段中的计费事件类型为计费结束时删除;以及在采集到SP服务器发送给用户的下行请求报文时,获取所述下行请求报文中携带的第二用户IP地址和第二SPIP地址,并查询所述IP地址关联记录中是否存在所述第二用户IP地址和所述第二SPIP地址之间的对应关系;若所述IP地址关联记录中不存在所述第二用户IP地址和所述第二SPIP地址之间对应关系,检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;若所述下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,将所述SP设置为非法SP。
18.根据权利要求17所述的系统,其特征在于,还包括DPI系统和业务特征库;
所述业务特征库,用于存储预设业务特征,业务数据的业务特征为业务特征库中的预设业务特征时,对所述第二用户IP地址不做限定;
所述SP监管平台检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配时,具体请求所述DPI系统对所述业务数据的业务特征进行DPI分析,并接收所述DPI系统返回的DPI分析结果,所述DPI分析结果中包括所述下行请求报文中业务数据的业务特征;比较所述下行请求报文中业务数据的业务特征是否与所述业务特征库中的预设业务特征匹配;
所述DPI系统,用于根据所述SP监管平台的请求,对所述业务数据的业务特征进行DPI分析,识别所述下行请求报文中业务数据的业务特征并向所述SP监管平台返回所述DPI分析结果。
19.根据权利要求17或18所述的系统,其特征在于,所述SP监管平台与所述DPI系统一体设置。
20.根据权利要求17、18或19所述的系统,其特征在于,所述SP监管平台具体为权利要求9至16任意一项所述的监管平台。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410809397.9A CN105792265B (zh) | 2014-12-23 | 2014-12-23 | 恶意流量检测方法和系统、监控平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410809397.9A CN105792265B (zh) | 2014-12-23 | 2014-12-23 | 恶意流量检测方法和系统、监控平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105792265A true CN105792265A (zh) | 2016-07-20 |
| CN105792265B CN105792265B (zh) | 2019-04-26 |
Family
ID=56385518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410809397.9A Active CN105792265B (zh) | 2014-12-23 | 2014-12-23 | 恶意流量检测方法和系统、监控平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105792265B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| CN107395550A (zh) * | 2016-05-16 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防御方法及服务器 |
| CN107787003A (zh) * | 2016-08-24 | 2018-03-09 | 中兴通讯股份有限公司 | 一种流量检测的方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1618209A (zh) * | 2002-02-08 | 2005-05-18 | 艾利森电话股份有限公司 | 在接入网络中,使用动态分配的mac地址将服务提供商关联于客户的方法及系统 |
| CN101026505A (zh) * | 2006-01-03 | 2007-08-29 | 阿尔卡特朗讯公司 | 用于监控通信网络中的恶意流量的方法和装置 |
| CN102438244A (zh) * | 2010-09-29 | 2012-05-02 | 西门子公司 | 检测方法和检测装置 |
| CN102595410A (zh) * | 2011-01-14 | 2012-07-18 | 西门子公司 | 检测wap恶意订购的系统和方法 |
| CN103441859A (zh) * | 2013-08-26 | 2013-12-11 | 暨南大学 | 用户计费业务使用标识生成管理方法及系统 |
-
2014
- 2014-12-23 CN CN201410809397.9A patent/CN105792265B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1618209A (zh) * | 2002-02-08 | 2005-05-18 | 艾利森电话股份有限公司 | 在接入网络中,使用动态分配的mac地址将服务提供商关联于客户的方法及系统 |
| CN101026505A (zh) * | 2006-01-03 | 2007-08-29 | 阿尔卡特朗讯公司 | 用于监控通信网络中的恶意流量的方法和装置 |
| CN102438244A (zh) * | 2010-09-29 | 2012-05-02 | 西门子公司 | 检测方法和检测装置 |
| CN102595410A (zh) * | 2011-01-14 | 2012-07-18 | 西门子公司 | 检测wap恶意订购的系统和方法 |
| CN103441859A (zh) * | 2013-08-26 | 2013-12-11 | 暨南大学 | 用户计费业务使用标识生成管理方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107395550A (zh) * | 2016-05-16 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防御方法及服务器 |
| CN107787003A (zh) * | 2016-08-24 | 2018-03-09 | 中兴通讯股份有限公司 | 一种流量检测的方法和装置 |
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105792265B (zh) | 2019-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102932785B (zh) | 一种无线局域网的快速认证方法、系统和设备 | |
| CN107623754B (zh) | 基于真伪MAC识别的WiFi采集系统及其方法 | |
| CN103905399B (zh) | 一种帐号登录管理的方法和装置 | |
| CN104995891B (zh) | 处理业务报文的方法、装置和网关设备 | |
| CN104811462A (zh) | 一种接入网关重定向方法及接入网关 | |
| CN107026813A (zh) | WiFi网络的接入认证方法、系统以及门户服务器 | |
| CN103200159A (zh) | 一种网络访问方法和设备 | |
| CN105790960A (zh) | 流量识别方法和系统、流量网关 | |
| EP1810473B1 (en) | Apparatus and method for fraud prevention when accessing through wireless local area networks | |
| CN103581881B (zh) | 综合取号装置和网络侧获取用户手机号码的系统和方法 | |
| CN108093390B (zh) | 一种基于特征信息的智能设备发现方法 | |
| CN105792265A (zh) | 恶意流量检测方法和系统、监控平台 | |
| CN106068019A (zh) | 热点共享的授权方法、终端设备及服务器 | |
| EP3151480B1 (en) | Message processing method and device | |
| CN103841537A (zh) | 采用家庭网关部署wlan城域网的管控系统及方法 | |
| CN101715202B (zh) | 一种监测无线网络用户行为的方法及系统 | |
| EP2955945B1 (en) | Method and system for implementing authentication and accounting in interaction between wireless local area network and fixed network | |
| KR101826728B1 (ko) | 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
| US20170026524A1 (en) | Charging method and apparatus | |
| CN105163335B (zh) | 一种网络接入管理方法、服务器、移动终端以及系统 | |
| CN103607709A (zh) | 用户数据管理的方法及装置 | |
| KR20040027527A (ko) | 선불 및 한도 가입자를 위한 무선 데이터 서비스 제어방법 및 시스템 | |
| CN104144417A (zh) | 移动上网用户号码反查方法、装置和系统 | |
| CN105577464A (zh) | 双栈用户网络检测方法、装置和系统 | |
| TW201620320A (zh) | 行動上網品質分析系統及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |