CN108322354A - 一种偷跑流量账户识别方法及装置 - Google Patents

一种偷跑流量账户识别方法及装置 Download PDF

Info

Publication number
CN108322354A
CN108322354A CN201710038044.7A CN201710038044A CN108322354A CN 108322354 A CN108322354 A CN 108322354A CN 201710038044 A CN201710038044 A CN 201710038044A CN 108322354 A CN108322354 A CN 108322354A
Authority
CN
China
Prior art keywords
account
scene
flow
doubtful
classes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710038044.7A
Other languages
English (en)
Other versions
CN108322354B (zh
Inventor
张秀成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Henan Co Ltd
Original Assignee
China Mobile Group Henan Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Henan Co Ltd filed Critical China Mobile Group Henan Co Ltd
Priority to CN201710038044.7A priority Critical patent/CN108322354B/zh
Publication of CN108322354A publication Critical patent/CN108322354A/zh
Application granted granted Critical
Publication of CN108322354B publication Critical patent/CN108322354B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种偷跑流量账户识别方法及装置,方法包括:根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。本发明实施例通过分析流量特征进行场景划分,并根据不同场景识别疑似账户,缩小偷跑流量数据的分析范围,并配合识别规则快速定位发现偷跑流量的目标账户,实现自动化的提前识别偷跑流量账户,处理效率高,降低用户投诉的可能性。

Description

一种偷跑流量账户识别方法及装置
技术领域
本发明实施例涉及通信技术领域,具体涉及一种偷跑流量账户识别方法及装置。
背景技术
移动通信4G网络的接入速率提高,吞吐性能提高。用户在使用时,一些特殊的情况可能导致用户在不知情的情况下,短时间产生高额的上网流量,致使用户投诉。
现有技术中主要采用被动分析和主动分析处理偷跑流量现象的分析。被动分析主要对用户投诉进行分析,通过客服系统收集相关的用户投诉,分析偷跑流量的行为,具体包括:从客服系统中提取类似的用户投诉;从BOSS系统中提取话单数据中验证用户的相关流量计费的发生;将确认发生计费的用户号码信息提交信令分析/统一DPI系统人员在系统中查找BOSS提供的用户号码的上网流量话单;手工分析发现的用户上网数据话单,判断其是否是偷跑流量行为;如果确认,则输出到检索报告,其中包括用户信息,偷跑流量的原因分析;将检索报告反馈给客服系统。主动分析主要利用用户信令采集或统一DPI系统的话单进行分析,并通过BOSS系统检测流量欺诈,具体包括:从已知的偷取流量的话单中获得目的IP地址。以此目的IP为条件,从统一DPI系统中检索所有的xDR的目的IP相符的数据;通过人工分析找出其中疑似的偷取流量相关的话单;手工进行累加和统计同一用户的偷跑流量数据;查询BOSS系统数据,验证是否存在偷跑流量计费数据;若计费数据存在,则将收集到的数据反馈到客服系统。
在实现本发明实施例的过程中,发明人发现现有的方法全程手工处理,效率较低:现有的发现方式是基于手工抓包和计费话单,并结合部分网管支撑系统的分析来发现和确认流量欺诈行为和回拨卡行为,涉及不同技术手段,部门和系统,复杂度高,工作量大;无法提前发现,只能对已发生的事件进行确认:现有的发现方式是用户投诉,查询计费话单,并结合部分系统如统一DPI的分析来发现和确认偷跑流量行为,涉及不同技术手段,部门和系统,复杂度高,工作量大;缺少明确的分类和判断规则:对偷跑流量发生原因和特征没有准确的分类,无法制定针对性的分析规则,的分析依赖个人经验,缺少准确的判定标准;缺少疑似账户的筛选方法:通过xdr的过滤分析会命中大量的用户,需要进行人工分析和确认,处理效率低。
发明内容
由于现有的方法全程手工处理,无法提前发现,只能对已发生的事件进行确认,缺少明确的分类和判断规则,缺少疑似账户的筛选,处理效率低的问题,本发明实施例提出一种偷跑流量账户识别方法及装置。
第一方面,本发明实施例提出一种偷跑流量账户识别方法,包括:
根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;
对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;
根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;
根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。
可选地,所述若干个场景包括:A类场景、B类场景、C类场景、D类场景、E类场景和F类场景;
其中,所述A类场景为终端功能故障,所述B类场景为应用程序自动长传数据,所述C类场景为恶意软件上传数据,所述D类场景为国际漫游,所述E类场景为用户配置失误,所述F类场景为网络攻击。
可选地,所述对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户,具体包括:
若判断获知所述场景为所述A类场景、所述B类场景或所述E类场景,则获取第一预设时间段内访问流量超过第一阈值的目标服务器,并将访问所述目标服务器的账户识别为所述疑似账户;或获取各账户第二预设时间段内的总流量和总时延,将所述总流量与所述总时延的比值大于第二阈值的账户识别为所述疑似账户。
可选地,所述对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户,具体包括:
若判断获知所述场景为所述B类场景或所述C类场景,则获取各账户第三预设时间段内访问流量超过第三阈值的目标协议,并将所述目标协议对应的账号识别为所述疑似账户;或获取预设统一资源定位符URL中第四预设时间段内访问流量超过第四阈值的目标URL,获取访问所述目标URL的各账户的访问流量,并将所述访问所述目标URL的各账户的访问流量超过第五阈值的账户识别为所述疑似账户;或获取各账户第五预设时间段内访问流量超过第六阈值的目标话单类型,并将所述目标话单类型对应的账号识别为所述疑似账户。
可选地,所述对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户,具体包括:
若判断获知所述场景为所述A类场景且服务器为预设服务器,则将访问所述预设服务器的账户识别为所述疑似账户;
若判断获知所述场景为所述C类场景,则将第六预设时间段内的简单邮件传输协议SMTP、广告链接URL和无响应或未完成的用户数据报协议UDP/传输控制协议TCP的总流量超过第七阈值的账户识别为所述疑似账户;
若判断获知所述场景为所述D类场景,则将第七预设时间段内的国际漫游网络总流量超过第八阈值的账户识别为所述疑似账户;
若判断获知所述场景为所述E类场景,则将第八预设时间段内上行流量为零且下行流量超过第九阈值的账户识别为所述疑似账户;或将第九预设时间段内的总流量超过第十阈值且相同内容下载次数超过第十一阈值的账户识别为所述疑似账户;
若判断获知所述场景为所述F类场景,则将第十预设时间段内上行流量为零且下行流量超过第十二阈值的账户识别为所述疑似账户。
可选地,所述根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性,具体包括:
所述偷跑流量可能性M=(A+B+C+D)/N;
其中,A=A1/(Amax×(1-x)),A为流量可能性,A1为流量值,Amax为最大流量值,x为偷跑流量发生率;B=B1/(Bmax×(1-x)),B为带宽可能性,B1为带宽值,Bmax为最大带宽值;C为时间可能性,根据统计时间确定;D为流量特征可能性,根据流量特征确定;N为非空可能性个数。
第二方面,本发明实施例还提出一种偷跑流量账户识别装置,包括:
场景划分模块,用于根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;
疑似账户识别模块,用于对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;
可能性计算模块,用于根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;
目标账户筛选模块,用于根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。
可选地,所述场景划分模块中所述若干个场景包括:A类场景、B类场景、C类场景、D类场景、E类场景和F类场景;
其中,所述A类场景为终端功能故障,所述B类场景为应用程序自动长传数据,所述C类场景为恶意软件上传数据,所述D类场景为国际漫游,所述E类场景为用户配置失误,所述F类场景为网络攻击。
可选地,所述疑似账户识别模块具体用于:
若判断获知所述场景为所述A类场景、所述B类场景或所述E类场景,则获取第一预设时间段内访问流量超过第一阈值的目标服务器,并将访问所述目标服务器的账户识别为所述疑似账户;或获取各账户第二预设时间段内的总流量和总时延,将所述总流量与所述总时延的比值大于第二阈值的账户识别为所述疑似账户。
可选地,所述疑似账户识别模块具体用于:
若判断获知所述场景为所述B类场景或所述C类场景,则获取各账户第三预设时间段内访问流量超过第三阈值的目标协议,并将所述目标协议对应的账号识别为所述疑似账户;或获取预设统一资源定位符URL中第四预设时间段内访问流量超过第四阈值的目标URL,获取访问所述目标URL的各账户的访问流量,并将所述访问所述目标URL的各账户的访问流量超过第五阈值的账户识别为所述疑似账户;或获取各账户第五预设时间段内访问流量超过第六阈值的目标话单类型,并将所述目标话单类型对应的账号识别为所述疑似账户。
由上述技术方案可知,本发明实施例通过分析流量特征进行场景划分,并根据不同场景识别疑似账户,缩小偷跑流量数据的分析范围,并配合识别规则快速定位发现偷跑流量的目标账户,实现自动化的提前识别偷跑流量账户,处理效率高,降低用户投诉的可能性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种偷跑流量账户识别方法的流程示意图;
图2为本发明一实施例提供的一种偷跑流量账户识别系统的工作流程示意图;
图3为本发明一实施例提供的一种偷跑流量账户识别装置的结构示意图;
图4为本发明一个实施例中电子设备的逻辑框图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本实施例提供的一种偷跑流量账户识别方法的流程示意图,包括:
S101、根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景。
其中,所述流量特征包括短时间带宽、数据量、流量持续时间、流量类型以及上下行流量的不同分布。
所述场景为根据不同流量特征对偷跑流量现象的分类,例如:终端功能故障导致的偷跑流量现象。
S102、对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户。
其中,所述疑似账户为可能存在偷跑流量现象的账户,用于对偷跑流量现象进行初步筛选。
具体地,对流量数据进行分析,根据每个场景的流量特征,得到存在偷跑流量现象的疑似账户。
S103、根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性。
其中,所述流量值为各疑似账户的上行流量和下行流量的总大小。
所述带宽值为各疑似账户的带宽大小。
所述统计时间为各疑似账户在统计流量值、带宽值等数据的时间点和时间长短。
所述流量特征为上行流量和下行流量的分布情况。
所述偷跑流量可能性为疑似账户存在偷跑流量现象的概率。
S104、根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在偷跑流量现象的目标账户。
其中,所述可能性阈值根据具体情况预先设置,用于筛选存在偷跑流量现象的目标账户。
所述目标账户为本实施例确定的存在偷跑流量现象的账户。
具体地,运行本实施例提供的偷跑流量账户识别方法的偷跑流量账户识别系统与统一DPI(Deep Packet Inspection,深度包检测)系统及客服系统的工作示意图如图2所示,利用统一DPI系统生成的xDR数据,通过定义偷跑流量的场景,设定分析阈值和判断规则,对偷跑流量关联分析后上传客服系统,可以在偷跑流量投诉未发生时,定位问题根源并将分析结果上报给客服系统;客服系统能够将用户反馈输入偷跑流量账户识别系统,进一步增强偷跑流量账户识别。
具体地,图2所示的工作示意图包括以下步骤:
A1、偷跑流量账户识别系统收集统一DPI系统的xDR数据,对话单按照划分场景的分类的模型进行筛选,并对筛选出的数据按照分析规则进行匹配分析,识别出偷跑流量的行为。
A2、偷跑流量账户识别系统在识别出异常的偷跑流量行为后,通过接口将数据传送给客服系统,客服人员在处理偷跑流量时,可以直接查询调用相关数据。
A3、客服人员收到用户投诉后,当查询到偷跑流量数据后,可以通过客服系统到偷跑流量账户识别系统的接口中提取用户的详单数据,以完成用户投诉的查证和回复。
本实施例通过分析流量特征进行场景划分,并根据不同场景识别疑似账户,缩小偷跑流量数据的分析范围,并配合识别规则快速定位发现偷跑流量的目标账户,实现自动化的提前识别偷跑流量账户,处理效率高,降低用户投诉的可能性。
进一步地,在上述方法实施例的基础上,所述若干个场景包括:A类场景、B类场景、C类场景、D类场景、E类场景和F类场景;
其中,所述A类场景为终端功能故障,所述B类场景为应用程序自动长传数据,所述C类场景为恶意软件上传数据,所述D类场景为国际漫游,所述E类场景为用户配置失误,所述F类场景为网络攻击。
具体地,按照偷跑流量的流量特征,并结合偷跑流量的发生原因将偷跑流量现象划分为以下六类场景:
A类场景(终端功能故障):如IOS的wifi助手功能,在CPU高负载情况下可导致用户不知情的情况下自动将流量从wifi切换到移动网络。
B类场景(应用程序自动长传数据):如APP的背景下载,同步及打开时上传手机的隐私数据。
C类场景(恶意软件上传数据):主要体现在发送非正常的流量。如向其它IP发送大量TCP/UDP数据包,广告链接点击,大量的邮件发送,恶意订购,恶意软件的下载,用户数据(如通信录,短信,照片等)的上传。
D类场景(国际漫游):因资费较高,正常使用的流量也可能导致纠纷。
E类场景(用户配置失误):如用户错误配置了APP的网络使用权限,导致一些高流量应用如BT下载,手机视频在移动网络下使用,产生高流量。
F类场景(网络攻击):从漫游接口向用户IP发起的大流量攻击。
对应地,六类场景的流量特征为:
A类场景(终端功能故障):主要是视频和网络游戏,短时间带宽和数据量较大。
B类场景(应用程序自动长传数据):持续时间较长,主要连接一些app store和更新服务器,上传的信息中带有一些用户信息,如msisdn,imei,imsi,loacation。
C类场景(恶意软件上传数据):非正常操作行为,如使用的协议和使用方式不是人工操作的模式,上传的数据不是指向知名的云存储服务器IP等。
D类场景(国际漫游):从国漫接口进入的正常业务流量,如微信,微博等,也会导致高额的流量收费。
E类场景(用户配置失误):带宽和下载量较大。
F类场景(网络攻击):一般为单向流量,只有下行,无上行流量。
进一步地,在上述方法实施例的基础上,所述对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户,具体包括:
若判断获知所述场景为所述A类场景、所述B类场景或所述E类场景,则获取第一预设时间段内访问流量超过第一阈值的目标服务器,并将访问所述目标服务器的账户识别为所述疑似账户;或获取各账户第二预设时间段内的总流量和总时延,将所述总流量与所述总时延的比值大于第二阈值的账户识别为所述疑似账户。
举例来说,统计0~6点访问流量较大的服务器IP,目的地址基本一致。获取访问该IP的所有账户信息,根据访问流量大小进行排序并取出排名靠前的部分账户信息。具体地:计算指定时间内相同目的IP(destip)和账户号码(msisdn)的总流量(上行流量+下行流量);计算出超出总流量阀值结果即为疑似账户。
或者,将上网速率较大的用户确定为疑似账户。具体地:统计指定时间内相同msisdn的总流量(上行流量+下行流量)及总时延(开始时间-结束时间);计算(总流量%总时延)超出阀值结果即为疑似账户。
进一步地,在上述方法实施例的基础上,所述对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户,具体包括:
若判断获知所述场景为所述B类场景或所述C类场景,则获取各账户第三预设时间段内访问流量超过第三阈值的目标协议,并将所述目标协议对应的账号识别为所述疑似账户;或获取预设统一资源定位符URL中第四预设时间段内访问流量超过第四阈值的目标URL,获取访问所述目标URL的各账户的访问流量,并将所述访问所述目标URL的各账户的访问流量超过第五阈值的账户识别为所述疑似账户;或获取各账户第五预设时间段内访问流量超过第六阈值的目标话单类型,并将所述目标话单类型对应的账号识别为所述疑似账户。
举例来说,统计某一个时间段用户使用的流量中,除HTTP和VPN之外,使用的其他协议的流量是否大于阈值,如果大于阈值,则认为是流量较大的协议,即为疑似账户。具体地:计算指定时间内相同msisdn和appTypeCode的总流量(上行流量+下行流量);计算(msisdn总流量%msisdn+http)超出阀值结果即为疑似账户。
或者,对集团重点关注的黄赌毒URL进行重点关注,具有订购格式的请求流量/URL。具体地:过滤出url为黄赌毒URL话单;分析访问该url前后半小时的总流量(上行流量+下行流量);计算出(访问后流量%访问前流量)超出阀值结果即为疑似账户。
或者,统计同一用户在指定时间内内不同上网类型的流量的话单数据(如上网,下载,上传等)。具体地:过滤出指定时间内,出现多种appTypeCode话单类型;计算相同msisdn的总流量(上行流量+下行流量),输出流量超出阀值结果即为疑似账户。
进一步地,在上述方法实施例的基础上,所述对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户,具体包括:
若判断获知所述场景为所述A类场景且服务器为预设服务器,则将访问所述预设服务器的账户识别为所述疑似账户。
举例来说,根据苹果更新服务器,统计苹果服务器IP域名更新产生流量信息。具体地:判定流量的目的IP是否是苹果的更新服务器IP,若是,则将访问苹果的更新服务器IP的账户确定为疑似账户。
若判断获知所述场景为所述C类场景,则将第六预设时间段内的简单邮件传输协议SMTP、广告链接URL和无响应或未完成的用户数据报协议UDP/传输控制协议TCP的总流量超过第七阈值的账户识别为所述疑似账户。
举例来说,广告链接点击流量中包含大量的SMTP流量,大量的无响应的或未完成相应的UDP/TCP流量(如tcp syn连接)。具体地:.计算出指定时间内相同msisdn的SMTP总流量;计算出指定时间内相同msisdn,url为广告链接的总流量;计算出指定时间内相同msisdn,无响应的或未完成相应的UDP/TCP总流量;输出流量超出阀值结果,即为疑似账户。
若判断获知所述场景为所述D类场景,则将第七预设时间段内的国际漫游网络总流量超过第八阈值的账户识别为所述疑似账户。
举例来说,GTP的源IP来自国际漫游网络。具体地:计算出指定时间内相同msisdn的国际漫游网络总流量;输出流量超出阀值结果,即为疑似账户。
若判断获知所述场景为所述E类场景,则将第八预设时间段内上行流量为零且下行流量超过第九阈值的账户识别为所述疑似账户;或将第九预设时间段内的总流量超过第十阈值且相同内容下载次数超过第十一阈值的账户识别为所述疑似账户。
举例来说,上传流量(排除VPN)较大的用户(例如:BT下载,恶意软件)。具体地:过滤指定时间内,上行流量=0,下行流量超出阀值话单;统计相同msisdn总流量超出阀值信息,即为疑似账户。
或者,同一下载重复多次,同一时间产生重复大流量。根据用户和URL统计指定时间内,下载次数和URL超出阀值信息。具体地:过滤流量超出阀值话单;计算指定时间内相同msisdn+url数量;输出记录数超出阀值结果,即为疑似账户。
若判断获知所述场景为所述F类场景,则将第十预设时间段内上行流量为零且下行流量超过第十二阈值的账户识别为所述疑似账户。
举例来说,同一手机IP连续一段时间内,无上行流量只有下行流量,统计此种情况下的下行流量大小。具体地:过滤出用户IP+小时,上行流量=0,下行流量超出阀值话单;计算相同用户IP+小时总流量,输出超出阀值结果,即为疑似账户。
进一步地,在上述方法实施例的基础上,所述根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性,具体包括:
所述偷跑流量可能性M=(A+B+C+D)/N;
其中,A=A1/(Amax×(1-x)),A为流量可能性,A1为流量值,Amax为最大流量值,x为偷跑流量发生率;B=B1/(Bmax×(1-x)),B为带宽可能性,B1为带宽值,Bmax为最大带宽值;C为时间可能性,根据统计时间确定;D为流量特征可能性,根据流量特征确定;N为非空可能性个数。
具体地,考虑到通过规则筛选的用户数量较多,上报会导致大量的人工确认工作,为减少人工的工作量,避免误报,采用上报可能性阈值方式对筛选出的用户进行再次筛选,符合可能性范围的用户才会被上报。
需要说明的是,若流量可能性A或带宽可能性B的值大于1则取1。若A、B、C和D均为非零值,则N=4;若A为0,B、C和D均为非零值,则N=3。
具体地,时间可能性C:0点-6点值为1,前或后每相差1小时减0.1。
流量特征可能性:单向流量为1,双向流量差距超过10000倍则为0.9,双向流量差距超过1000倍则为0.8,双向流量差距超过100倍则为0.7,双向流量差距超过10倍则为0.6,低于10倍则为0.5。
举例来说,若偷跑流量可能性大于0.6,则发送给客服系统。
现有的手段采用人工分析的方式,发现偷跑流量效率低,范围窄。而本实施例通过分析统一DPI的生成的LTE的上网xDR数据,利用场景模型缩小偷跑流量数据分析范围,并配合识别规则快速定位发现偷跑流量的行为;通过筛选规则过滤有效的数据,并通过预警等方式与客服系统和BOSS系统实现自动化的处置流程,降低用户投诉的可能性,提高用户投诉的处理速度。
图3示出了本实施例提供的一种偷跑流量账户识别装置的结构示意图,所述装置包括:场景划分模块301、疑似账户识别模块302、可能性计算模块303和目标账户筛选模块304,其中:
所述场景划分模块301用于根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;
所述疑似账户识别模块302用于对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;
所述可能性计算模块303用于根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;
所述目标账户筛选模块304用于根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。
具体地,所述场景划分模块301根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;所述疑似账户识别模块302对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;所述可能性计算模块303根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;所述目标账户筛选模块304根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。
本实施例通过分析流量特征进行场景划分,并根据不同场景识别疑似账户,缩小偷跑流量数据的分析范围,并配合识别规则快速定位发现偷跑流量的目标账户,实现自动化的提前识别偷跑流量账户,处理效率高,降低用户投诉的可能性。
进一步地,在上述装置实施例的基础上,所述场景划分模块301中所述若干个场景包括:A类场景、B类场景、C类场景、D类场景、E类场景和F类场景;
其中,所述A类场景为终端功能故障,所述B类场景为应用程序自动长传数据,所述C类场景为恶意软件上传数据,所述D类场景为国际漫游,所述E类场景为用户配置失误,所述F类场景为网络攻击。
进一步地,在上述装置实施例的基础上,所述疑似账户识别模块302具体用于:
若判断获知所述场景为所述A类场景、所述B类场景或所述E类场景,则获取第一预设时间段内访问流量超过第一阈值的目标服务器,并将访问所述目标服务器的账户识别为所述疑似账户;或获取各账户第二预设时间段内的总流量和总时延,将所述总流量与所述总时延的比值大于第二阈值的账户识别为所述疑似账户。
进一步地,在上述装置实施例的基础上,所述疑似账户识别模块302具体用于:
若判断获知所述场景为所述B类场景或所述C类场景,则获取各账户第三预设时间段内访问流量超过第三阈值的目标协议,并将所述目标协议对应的账号识别为所述疑似账户;或获取预设统一资源定位符URL中第四预设时间段内访问流量超过第四阈值的目标URL,获取访问所述目标URL的各账户的访问流量,并将所述访问所述目标URL的各账户的访问流量超过第五阈值的账户识别为所述疑似账户;或获取各账户第五预设时间段内访问流量超过第六阈值的目标话单类型,并将所述目标话单类型对应的账号识别为所述疑似账户。
本实施例所述的偷跑流量账户识别装置可以用于执行上述方法实施例,其原理和技术效果类似,此处不再赘述。
参照图4,所述电子设备,包括:处理器(processor)401、存储器(memory)402和总线403;
其中,
所述处理器401和存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:
根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;
对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;
根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;
根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:
根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;
对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;
根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;
根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:
根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;
对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;
根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;
根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种偷跑流量账户识别方法,其特征在于,包括:
根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;
对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;
根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;
根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。
2.根据权利要求1所述的方法,其特征在于,所述若干个场景包括:A类场景、B类场景、C类场景、D类场景、E类场景和F类场景;
其中,所述A类场景为终端功能故障,所述B类场景为应用程序自动长传数据,所述C类场景为恶意软件上传数据,所述D类场景为国际漫游,所述E类场景为用户配置失误,所述F类场景为网络攻击。
3.根据权利要求2所述的方法,其特征在于,所述对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户,具体包括:
若判断获知所述场景为所述A类场景、所述B类场景或所述E类场景,则获取第一预设时间段内访问流量超过第一阈值的目标服务器,并将访问所述目标服务器的账户识别为所述疑似账户;或获取各账户第二预设时间段内的总流量和总时延,将所述总流量与所述总时延的比值大于第二阈值的账户识别为所述疑似账户。
4.根据权利要求2所述的方法,其特征在于,所述对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户,具体包括:
若判断获知所述场景为所述B类场景或所述C类场景,则获取各账户第三预设时间段内访问流量超过第三阈值的目标协议,并将所述目标协议对应的账号识别为所述疑似账户;或获取预设统一资源定位符URL中第四预设时间段内访问流量超过第四阈值的目标URL,获取访问所述目标URL的各账户的访问流量,并将所述访问所述目标URL的各账户的访问流量超过第五阈值的账户识别为所述疑似账户;或获取各账户第五预设时间段内访问流量超过第六阈值的目标话单类型,并将所述目标话单类型对应的账号识别为所述疑似账户。
5.根据权利要求2所述的方法,其特征在于,所述对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户,具体包括:
若判断获知所述场景为所述A类场景且服务器为预设服务器,则将访问所述预设服务器的账户识别为所述疑似账户;
若判断获知所述场景为所述C类场景,则将第六预设时间段内的简单邮件传输协议SMTP、广告链接URL和无响应或未完成的用户数据报协议UDP/传输控制协议TCP的总流量超过第七阈值的账户识别为所述疑似账户;
若判断获知所述场景为所述D类场景,则将第七预设时间段内的国际漫游网络总流量超过第八阈值的账户识别为所述疑似账户;
若判断获知所述场景为所述E类场景,则将第八预设时间段内上行流量为零且下行流量超过第九阈值的账户识别为所述疑似账户;或将第九预设时间段内的总流量超过第十阈值且相同内容下载次数超过第十一阈值的账户识别为所述疑似账户;
若判断获知所述场景为所述F类场景,则将第十预设时间段内上行流量为零且下行流量超过第十二阈值的账户识别为所述疑似账户。
6.根据权利要求1所述的方法,其特征在于,所述根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性,具体包括:
所述偷跑流量可能性M=(A+B+C+D)/N;
其中,A=A1/(Amax×(1-x)),A为流量可能性,A1为流量值,Amax为最大流量值,x为偷跑流量发生率;B=B1/(Bmax×(1-x)),B为带宽可能性,B1为带宽值,Bmax为最大带宽值;C为时间可能性,根据统计时间确定;D为流量特征可能性,根据流量特征确定;N为非空可能性个数。
7.一种偷跑流量账户识别装置,其特征在于,包括:
场景划分模块,用于根据偷跑流量现象的流量特征,将所述偷跑流量现象划分为若干个场景;
疑似账户识别模块,用于对每个场景的流量数据进行对应分析,识别得到存在偷跑流量现象的疑似账户;
可能性计算模块,用于根据各疑似账户的流量值、带宽值、统计时间和流量特征,计算得到各疑似账户的偷跑流量可能性;
目标账户筛选模块,用于根据可能性阈值和所述各疑似账户的偷跑流量可能性,筛选得到存在跑流量现象的目标账户。
8.根据权利要求7所述的装置,其特征在于,所述场景划分模块中所述若干个场景包括:A类场景、B类场景、C类场景、D类场景、E类场景和F类场景;
其中,所述A类场景为终端功能故障,所述B类场景为应用程序自动长传数据,所述C类场景为恶意软件上传数据,所述D类场景为国际漫游,所述E类场景为用户配置失误,所述F类场景为网络攻击。
9.根据权利要求8所述的装置,其特征在于,所述疑似账户识别模块具体用于:
若判断获知所述场景为所述A类场景、所述B类场景或所述E类场景,则获取第一预设时间段内访问流量超过第一阈值的目标服务器,并将访问所述目标服务器的账户识别为所述疑似账户;或获取各账户第二预设时间段内的总流量和总时延,将所述总流量与所述总时延的比值大于第二阈值的账户识别为所述疑似账户。
10.根据权利要求8所述的装置,其特征在于,所述疑似账户识别模块具体用于:
若判断获知所述场景为所述B类场景或所述C类场景,则获取各账户第三预设时间段内访问流量超过第三阈值的目标协议,并将所述目标协议对应的账号识别为所述疑似账户;或获取预设统一资源定位符URL中第四预设时间段内访问流量超过第四阈值的目标URL,获取访问所述目标URL的各账户的访问流量,并将所述访问所述目标URL的各账户的访问流量超过第五阈值的账户识别为所述疑似账户;或获取各账户第五预设时间段内访问流量超过第六阈值的目标话单类型,并将所述目标话单类型对应的账号识别为所述疑似账户。
CN201710038044.7A 2017-01-18 2017-01-18 一种偷跑流量账户识别方法及装置 Active CN108322354B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710038044.7A CN108322354B (zh) 2017-01-18 2017-01-18 一种偷跑流量账户识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710038044.7A CN108322354B (zh) 2017-01-18 2017-01-18 一种偷跑流量账户识别方法及装置

Publications (2)

Publication Number Publication Date
CN108322354A true CN108322354A (zh) 2018-07-24
CN108322354B CN108322354B (zh) 2020-10-23

Family

ID=62892912

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710038044.7A Active CN108322354B (zh) 2017-01-18 2017-01-18 一种偷跑流量账户识别方法及装置

Country Status (1)

Country Link
CN (1) CN108322354B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120625A (zh) * 2018-08-29 2019-01-01 北京润通丰华科技有限公司 一种大带宽私接分析识别的方法
CN111275453A (zh) * 2018-12-03 2020-06-12 中国移动通信集团上海有限公司 一种物联网设备的行业识别方法及系统
CN111314266A (zh) * 2018-12-11 2020-06-19 中国移动通信集团吉林有限公司 一种流量欺诈检测方法、装置、电子设备及存储介质
CN112350833A (zh) * 2020-11-25 2021-02-09 杭州迪普信息技术有限公司 流量过滤方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002045380A2 (en) * 2000-11-30 2002-06-06 Lancope, Inc. Flow-based detection of network intrusions
WO2011116566A1 (zh) * 2010-03-23 2011-09-29 中兴通讯股份有限公司 手机下载时流量告警的方法、装置及流量告警的手机
CN102271090A (zh) * 2011-09-06 2011-12-07 电子科技大学 基于传输层特征的流量分类方法及装置
CN104254097A (zh) * 2013-06-27 2014-12-31 腾讯科技(深圳)有限公司 一种流量控制方法和装置
CN105337783A (zh) * 2014-07-14 2016-02-17 北京奇虎科技有限公司 监测通信设备非正常消耗流量的方法及装置
CN105827593A (zh) * 2016-03-08 2016-08-03 中国联合网络通信集团有限公司 一种免流量欺诈用户的识别方法和识别系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002045380A2 (en) * 2000-11-30 2002-06-06 Lancope, Inc. Flow-based detection of network intrusions
WO2011116566A1 (zh) * 2010-03-23 2011-09-29 中兴通讯股份有限公司 手机下载时流量告警的方法、装置及流量告警的手机
CN102271090A (zh) * 2011-09-06 2011-12-07 电子科技大学 基于传输层特征的流量分类方法及装置
CN104254097A (zh) * 2013-06-27 2014-12-31 腾讯科技(深圳)有限公司 一种流量控制方法和装置
CN105337783A (zh) * 2014-07-14 2016-02-17 北京奇虎科技有限公司 监测通信设备非正常消耗流量的方法及装置
CN105827593A (zh) * 2016-03-08 2016-08-03 中国联合网络通信集团有限公司 一种免流量欺诈用户的识别方法和识别系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
牟澄,: ""互联网流量特征智能提取关键技术研究"", 《中国博士学位论文全文数据库 信息科技辑》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120625A (zh) * 2018-08-29 2019-01-01 北京润通丰华科技有限公司 一种大带宽私接分析识别的方法
CN111275453A (zh) * 2018-12-03 2020-06-12 中国移动通信集团上海有限公司 一种物联网设备的行业识别方法及系统
CN111314266A (zh) * 2018-12-11 2020-06-19 中国移动通信集团吉林有限公司 一种流量欺诈检测方法、装置、电子设备及存储介质
CN112350833A (zh) * 2020-11-25 2021-02-09 杭州迪普信息技术有限公司 流量过滤方法及装置

Also Published As

Publication number Publication date
CN108322354B (zh) 2020-10-23

Similar Documents

Publication Publication Date Title
CN108337652B (zh) 一种检测流量欺诈的方法及装置
CN105516165B (zh) 一种识别计费欺诈的非法代理的方法、设备及系统
CN102668458B (zh) 用于报告网络环境中的分组特点的系统和方法
US10015676B2 (en) Detecting fraudulent traffic in a telecommunications system
CN108322354A (zh) 一种偷跑流量账户识别方法及装置
CN108234404B (zh) 一种DDoS攻击的防御方法、系统及相关设备
EP1557975A1 (en) Method for implementing an Internet Protocol (IP) charging and rating middleware platform and gateway system
US9699676B2 (en) Policy controller based network statistics generation
CN108900374A (zh) 一种应用于dpi设备的数据处理方法和装置
US20190215403A1 (en) Charging Method, Apparatus, and System
WO2014110719A1 (zh) 计费的方法及设备
US9185237B2 (en) Methods, systems, and computer readable media for adjusting a quota consumption rate
KR20140119751A (ko) 애플리케이션 계층 데이터에 대한 과금 제어를 수행하는 방법 및 장치
CN106357685A (zh) 一种防御分布式拒绝服务攻击的方法及装置
CN109617868A (zh) 一种ddos攻击的检测方法、装置及检测服务器
CN109996201A (zh) 一种网络访问方法及网络设备
CN103959715A (zh) 用于测试diameter路由节点的方法、系统和计算机可读介质
WO2014187227A1 (zh) 数据流传输控制方法和装置
CN101447934B (zh) 一种业务流识别方法和系统以及业务流计费方法和系统
EP2547145A1 (en) Method and equipment for controlling quality of service of user terminal device
CN106372171A (zh) 监控平台实时数据处理方法
CN111278111B (zh) 一种基于业务场景的网络资源差异化调度方法及装置
EP3044931B1 (en) Subscriber-specific tracing in communications
CN104753731B (zh) 一种监测在线计费系统的方法和装置
CN105282050B (zh) 聚合数据流的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant