CN108337652A - 一种检测流量欺诈的方法及装置 - Google Patents

Abstract

本发明提供一种检测流量欺诈的方法及装置，涉及移动通信大数据分析领域。其中，所述方法包括：在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。通过本发明，实现了自动化的流量欺诈分析，提高了检测流量欺诈的准确度和工作效率。

Description

一种检测流量欺诈的方法及装置

技术领域

本发明涉及移动通信大数据分析领域，具体地，涉及一种检测流量欺诈的方法及装置。

背景技术

随着4G网络的加快部署，一些利用网络协议、配置漏洞和设备计费处理机制缺陷进行流量欺诈的现象增多。这些行为给网络的维护带来了新的问题。现有的流量内容计费规范中关于规则匹配的要求较为简单，没有防欺诈方面的考虑，并且对于关键的内容计费匹配的DPI(Deep Packet Inspection，深度包检测)识别方法没有具体描述。但是，http(Hyper Text Transport Protocol，超文本传输协议)协议封装灵活，包头有多个可选字段，现网的各厂家实现方式不同，存在风险漏洞。针对此类问题，一般采用下列现有技术手段加以解决。

在描述现有技术手段之前，首先介绍一下通过网关侧的流量内容计费检测。流量内容计费是由2G/TD(Time Division，时分)网络的SGSN(Service GPRS Supporting Node，GPRS业务支持节点)和GGSN(Gateway GPRS Support Node，通用分组无线业务网关支持节点)，及4G网络的P-GW(Packet Data Network Gateway，分组数据网网关)对流量内容进行分析后，匹配对应的流量内容计费规则。然后，根据匹配的流量内容计费规则实施后续操作，如产生计费话单、免费话单或丢弃数据包等。并将生成的话单输出到计费系统，由其生成最终的用户流量计费话单。图1是网关中流量内容匹配计费规则的示意图。如图1所示，当一个用户面的数据包到达业务板卡节点时，GGSN/PGW将根据该用户激活承载时的APN(Access Point Name，接入点名称)对应的会话文件查找到相应的PCC(Policy andCharging Control，策略和计费控制)规则库。在从PCC规则库中，提取规则中的每个滤波器，逐条进行比较直到匹配，在匹配后执行相应的动作。最后定义一个缺省的规则，匹配所有流量，以便在网关的流量内容与该定义的计费规则前面的计费规则不匹配的情况下，与该定义的计费规则进行匹配。图2是网关计费工作的流程图。如图2所示，在流量内容匹配相应的计费规则后，执行的处理动作包括计费、丢弃数据包和重定向。其中，计费为基于内容(包括头部，重传和信令)的计费，这个动作将停止规则匹配流程，丢弃数据包这个动作也将停止规则匹配流程，重定向包括L3、L4和L7重定向。L7重定向终止规则匹配过程，但L3/L4重定向则不会终止规则匹配过程。

现有技术手段中可通过计费系统检测流量欺诈。图3是现有技术中通过计费系统检测流量欺诈的流程图。如图3所示，首先从计费系统(BOSS)中提取话单数据中免费流量占比高的用户设备的用户号码，并提交给网关维护人员。然后，网关维护人员在网络侧抓取用户设备上网的流量数据包，解析后，在其中查找计费系统提供的用户号码的上网数据。接着，网关维护人员手工分析用户的上网数据，判断其是否存在流量欺诈行为。如果是，则输出到检索报告，其中包括用户信息，使用的欺诈方式和欺诈代理服务器的目的IP地址，并将检索报告反馈给计费系统。

现有技术中还可利用统一DPI系统实施检测流量欺诈。图4是中国移动的统一DPI系统的架构图。如图4所示，统一DPI系统包括数据采集层、数据解码层和应用层。其中，数据采集层包括采集解析设备和统一DPI设备。所述统一DPI设备可帮助通信运营商在接入网、城域网、省网和骨干网的出入口对互联网协议和数据进行分析和管控。所述采集解析设备的主要功能是实现LTE系统的Uu、X2、S1、S11、S10、SGs、S6a、S5/S8等接口及防火墙的数据的接入和采集，对采集数据进行解析，生成各接口的原始XDR数据，并将原始XDR数据及原始码流数据上报给数据解码层。数据解码层包含数据合成服务器，主要功能是对数据采集层上报的原始XDR数据进行分析、关联、回填及合成，并输出所需的目标XDR数据及日志文件及原始码流数据到应用层。应用层包括各应用系统和指定系统。图5是现有技术中利用统一DPI系统实施检测流量欺诈的流程图。如图5所示，首先从计费系统中提取话单数据中免费流量占比高的用户设备的用户号码，并提交给统一DPI系统的维护人员。然后，统一DPI系统的维护人员在系统中查找计费系统提供的用户号码的上网流量话单。接着，维护人员手工分析用户上网数据话单，判断其是否存在流量欺诈行为。如果是，则输出到检索报告，其中包括用户信息，使用的欺诈方式和欺诈代理服务器的目的IP地址，并将检索报告反馈给计费系统。

然而，现有技术中存在以下缺陷：

1)现有的发现方式是基于手工抓包和手工查找上网流量话单，并结合部分网管支撑系统的分析来发现和确认流量欺诈行为，涉及不同的技术手段，部门和系统，复杂度高，工作量大，并且效率较低。

2)当用户设备出现流量欺诈行为时，必须重新进行完整的人工分析，原有的经验和流量欺诈规则无法固化。

3)利用统一DPI系统进行的流量欺诈检测，由于统一DPI系统的话单格式是按照正常业务的分析使用定义的，不能满足流量欺诈的分析需求，许多流量欺诈方式无法通过统一DPI系统的话单分析得出。

发明内容

本发明的目的是提供一种检测流量欺诈的方法及装置。其中，所述方法所要解决的技术问题是：如何实现自动化的流量欺诈分析，从而提高检测流量欺诈的准确度和工作效率。

为了实现上述目的，本发明提供一种检测流量欺诈的方法。所述方法包括：

在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；

根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；

根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；

在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。

可选地，所述预设规则包括：

所述XDR话单数据的Host字段包括所述用户设备因上网而发送的数据包的所有Host字段的地址信息；

所述XDR话单数据的x-online-host字段包括所述用户设备因上网而发送的数据包的所有x-online-host字段的地址信息；

在所述XDR话单数据中增加referrer字段，所述referrer字段包括所述用户设备因上网而发送的数据包的所有referrer字段的页面连接信息。

可选地，所述根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果，包括：

提取所述用户设备的XDR话单数据中Host字段的地址信息；

判断所述地址信息与预设的流量免费的Host字段的地址信息是否相同；

若是，则判断所述用户设备存在流量欺诈；

若否，则判断所述用户设备不存在流量欺诈。

可选地，所述根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果，还包括：

提取所述用户设备的XDR话单数据中Host字段的第一地址信息和URL字段的Host部分的第二地址信息；

判断所述第一地址信息与所述第二地址信息是否相同；

若否，判断所述第二地址信息与预设的流量免费的Host字段的地址信息是否相同；

若是，则判断所述用户设备存在流量欺诈；

若否，则判断所述用户设备不存在流量欺诈。

可选地，所述根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果，还包括：

提取所述用户设备的XDR话单数据中Host字段的第一地址信息和x-online-host字段的第三地址信息；

根据所述Host字段的第一地址信息与所述x-online-host字段的第三地址信息的对应关系判断所述第一地址信息与所述第三地址信息是否相同；

若否，则判断所述用户设备存在流量欺诈；

若是，则判断所述用户设备不存在流量欺诈。

可选地，所述根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果，还包括：

提取所述用户设备的XDR话单数据中的目的IP地址；

判断所述目的IP地址与预设的伪造的代理服务器的IP地址是否相同；

若是，则判断所述用户设备存在流量欺诈；

若否，则判断所述用户设备不存在流量欺诈。

可选地，所述方法还包括：

接收计费中心根据用户设备的免费流量占比发送的所述用户设备的用户信息；

根据所述用户设备的用户信息查找到所述用户设备的XDR话单数据；

根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；

在根据所述处理分析结果判断所述用户设备不存在流量欺诈的情况下，为所述用户设备单独提供报表，并记录所述用户设备的具体访问信息，以便分析得到所述用户设备的新的流量欺诈规则。

可选地，所述方法还包括：

接收计费中心根据用户设备访问同一目的IP地址的免费流量占比发送的所述同一目的IP地址；

根据所述同一目的IP地址查找到目的IP地址为所述同一目的IP地址的XDR话单数据；

根据预设的流量欺诈规则对所述XDR话单数据进行处理分析，得到处理分析结果；

在根据所述处理分析结果判断所述用户设备不存在流量欺诈的情况下，为所述目的IP地址为所述同一目的IP地址的XDR话单数据提供报表，并记录所述XDR话单数据的具体访问信息，以便分析得到用户设备的新的流量欺诈规则。

可选地，所述方法还包括：

根据所述用户设备的流量欺诈信息向SPR/PCRF发送用户签约信息，以使得所述SPR/PCRF根据所述用户签约信息向GGSN/PGW下发PCC规则进行管控签约。

相应地，本发明还提供一种检测流量欺诈的装置。所述装置包括：

第一获取单元，用于在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；

确定单元，用于根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；

处理分析单元，用于根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；

第二获取单元，用于在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。

由上述技术方案可知，在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；并根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；再根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测，能够实现自动化的流量欺诈分析，从而提高检测流量欺诈的准确度和工作效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。

图1是网关中流量内容匹配计费规则的示意图；

图2是网关计费工作的流程图；

图3是现有技术中通过计费系统检测流量欺诈的流程图；

图4是中国移动的统一DPI系统的架构图；

图5是现有技术中利用统一DPI系统实施检测流量欺诈的流程图；

图6是本发明一实施例提供的检测流量欺诈的方法的流程图；

图7是本发明一实施例提供的对XDR话单数据进行处理分析的流程图；

图8是本发明一实施例提供的未知的流量欺诈规则的分析过程的示意图；

图9是本发明一实施例提供的检测流量欺诈的装置的结构示意图；

图10是本发明又一实施例提供的检测流量欺诈的装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

以下对本发明实施例中提及的部分词语进行举例说明。

本发明实施例中提及的用户设备(User Equipment，简称UE)是所使用的移动终端或个人计算机(Personal Computer，简称PC)等设备。例如智能手机、个人数码助理(PDA)、平板电脑、笔记本电脑、车载电脑(carputer)、掌上游戏机、智能眼镜、智能手表、可穿戴设备、虚拟显示设备或显示增强设备(如Google Glass、Oculus Rift、Hololens、Gear VR)等。

图6是本发明一实施例提供的检测流量欺诈的方法的流程图。如图6所示，本发明一实施例提供的检测流量欺诈的方法包括：

在步骤S101中，在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式。

其中，所述系统可为统一DPI(Deep Packet Inspection，深度包检测)系统、基于统一DPI系统开发的上网日志留存系统或集中性能管理系统。现有的上网日志留存系统或统一DPI系统中已经采集了Gn、S1-U，S11，Mc等接口的数据，根据这些接口的数据能够生成用户设备的上网话单数据，并对上网话单数据的格式进行调整并输出，便可获得用于用户设备的流量欺诈分析的XDR话单数据。其中，XDR话单数据的格式类型包括HTTP格式、通用格式和流媒体格式等等。用于用户设备的流量欺诈分析的XDR话单数据的格式类型为HTTP格式。其中，所述XDR指的是基于全量数据进行处理后，生成的供应用系统使用的信令及业务的详细记录。

其中，预设规则包括：所述XDR话单数据的Host字段包括所述用户设备因上网而发送的数据包的所有Host字段的地址信息；所述XDR话单数据的x-online-host字段包括所述用户设备因上网而发送的数据包的所有x-online-host字段的地址信息；在所述XDR话单数据中增加referrer字段，所述referrer字段包括所述用户设备因上网而发送的数据包的所有referrer字段的页面连接信息。具体地，Host字段、x-online-host字段和referrer字段均为http header字段。

在具体的实施方式中，统一DPI系统或上网日志留存系统中的HTTP的XDR中，并未考虑出现人为的多个Host字段和多个x-online-host字段的情况，为了有效利用统一DPI系统或上网日志留存系统中的数据，对两个系统中格式类型为HTTP格式的XDR话单数据的输出格式提出了修改，具体如下表所示：

其中，Referer是HTTP header的一部分，当浏览器向web服务器发出请求的时候，一般会带上Referer字段，告诉服务器用户从那个页面连接过来的，服务器藉此可以获得一些信息用于处理。

接着，在步骤S102中，根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备。

具体地，该步骤包括：根据所述XDR话单数据中的用户信息和流量信息确定每个用户设备所使用的免费流量；将所述每个用户设备所使用的免费流量分别与所述预设阈值进行比较，得到比较结果，并根据所述比较结果确定所述免费流量超过所述预设阈值的用户设备。

然后，在步骤S103中，根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果。

优选地，该步骤包括：提取所述用户设备的XDR话单数据中Host字段的地址信息；判断所述地址信息与预设的流量免费的Host字段的地址信息是否相同；若是，则判断所述用户设备存在流量欺诈；若否，则判断所述用户设备不存在流量欺诈。藉此，可避免用户设备利用流量免费的Host字段的地址信息进行流量欺诈。

在具体的实施方式中，将提供的流量免费的host字段的地址信息列表导入流量欺诈规则库，解析XDR话单数据，判断XDR话单数据中Host字段的地址信息是否与地址信息列表中的地址信息相同，如果相同，确定该用户设备的流量欺诈。

例如，利用APN融合后，彩信业务可在没有设置代理地址情况下的重定向漏洞进行业务免费使用。用户将设备中的代理地址10.0.0.172修改为彩信中心地址，设备判断是无代理地址的彩信业务，将流量记为免费，进行二次重定向后将业务送往WAP(WirelessApplication Protocol，无线应用协议)网关，WAP网关代理进行真实业务访问。其中，彩信中心地址便是上述的流量免费的Host字段的地址信息。在判断XDR话单数据中Host字段的地址信息为彩信中心地址时，则可判断所述用户设备存在流量欺诈。

优选地，该步骤还包括：提取所述用户设备的XDR话单数据中Host字段的第一地址信息和URL字段的Host部分的第二地址信息；判断所述第一地址信息与所述第二地址信息是否相同；若否，判断所述第二地址信息与预设的流量免费的Host字段的地址信息是否相同；若是，则判断所述用户设备存在流量欺诈；若否，则判断所述用户设备不存在流量欺诈。藉此，可避免用户设备利用标准协议存在的缺陷进行流量欺诈。

在具体的实施方式中，解析XDR话单数据，提取XDR话单数据的Host字段的数据和URL字段的Host部分的数据，比较两者的数据是否一致，如果不一致，并且URL字段的Host部分的数据是流量免费的地址，确认该用户设备存在流量欺诈。

例如，通过将高优先级地址设为内容计费地址，低优先级设为真实访问地址，GGSN将高优先级地址识别为免费流量地址，而代理服务器则将低优先级真实访问地址进行转发访问，可实现流量盗取。具体地，将高优先级的URL字段的Host部分的地址设置为wap.ha.10086.cn，将低优先级的Host字段的地址信息设置为www.taobao.com，便可进行流量欺诈免费访问淘宝网。其中，这两个地址不同，且wap.ha.10086.cn是流量免费的地址，则可判断该用户存在流量欺诈。其中，内容计费七层匹配的优先级是：x-online-host>URL>host。

优选地，该步骤还包括：提取所述用户设备的XDR话单数据中Host字段的第一地址信息和x-online-host字段的第三地址信息；根据所述Host字段的第一地址信息与所述x-online-host字段的第三地址信息的对应关系判断所述第一地址信息与所述第三地址信息是否相同；若否，则判断所述用户设备存在流量欺诈；若是，则判断所述用户设备不存在流量欺诈。藉此，可避免用户设备利用标准协议存在的缺陷进行流量欺诈。

在具体的实施方式中，解析XDR话单数据，提取XDR话单数据的Host字段的数据和x-online-host字段的数据，比较两者的数据是否一致，如果不一致，确认该用户设备存在流量欺诈。

优选地，该步骤还包括：提取所述用户设备的XDR话单数据中的目的IP地址；判断所述目的IP地址与预设的伪造的代理服务器的IP地址是否相同；若是，则判断所述用户设备存在流量欺诈；若否，则判断所述用户设备不存在流量欺诈。藉此，可避免用户设备利用伪造的代理服务器的IP地址进行流量欺诈。

在具体的实施方式中，将提供的伪造的代理服务器的目的IP地址列表导入流量欺诈规则库，解析XDR话单数据，检查XDR话单数据的目的IP地址，当目的IP地址与流量欺诈规则库中代理服务器的目的IP地址一致，确认用户设备存在流量欺诈。其中，伪造的代理服务器的目的IP地址可为221.176.16.1。

图7是本发明一实施例提供的对XDR话单数据进行处理分析的流程图。如图7所示，流量欺诈规则还可包括XDR话单数据的Host字段的数据或x-online-host字段的数据中含有空格、XDR话单数据的内容计费匹配地址与目的IP地址不一致、XDR话单数据的URL字段存在URL嵌套、XDR话单数据的URL字段包含主被叫和called、calling等字段等等。例如，XDR话单数据的Host字段的数据或x-online-host字段的数据中含有空格时，流量欺诈原理为：内容计费七层匹配的优先级是：x-online-host>URL>host。终端请求消息中携带两个x-online-host，第一个为空，第二个为真实访问地址。对于第一个x-online-host为空格，SAEGW/GGSN不会再匹配第二个x-online-host，而WAPGW则会取第二个x-online-host进行转发。因高优先级的URL为流量免费地址，GGSN会将流量置为免费。

最后，在步骤S104中，在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。

其中，用户设备的流量欺诈信息包括用户信息、使用的欺诈方式和伪造的代理服务器的目的IP地址。藉此，能够确定具体的欺诈方式，不需要进行人工分析和确认。具体地，用户信息可为用户号码，使用的欺诈类型可为利用协议缺陷或利用设备处理机制存在的缺陷等等。如图7所示，用户设备的流量欺诈信息还可包括用户异常信令、日使用流量等等，还可进行流量欺诈的代理服务器的目的IP地址的统计、流量欺诈的用户设备的统计和疑似流量欺诈的统计等等。

本实施例在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；并根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；再根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测，能够实现自动化的流量欺诈分析，从而提高检测流量欺诈的准确度和工作效率。

优选地，所述方法还包括：根据所述用户设备的流量欺诈信息向SPR/PCRF发送用户签约信息，以使得所述SPR/PCRF根据所述用户签约信息向GGSN/PGW下发PCC规则进行管控签约。其中，用户签约信息包括疑似欺诈地址或疑似欺诈用户号码等。例如，PCC规则的管控签约可为设定免费业务日累计流量超过2M和月累计流量超过100M限速为128Kbps。藉此，可针对流量欺诈的用户设备进行抑制处理，以减少盗取的流量。

优选地，所述方法还包括：接收计费中心根据用户设备的免费流量占比发送的所述用户设备的用户信息；根据所述用户设备的用户信息查找到所述用户设备的XDR话单数据；根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；在根据所述处理分析结果判断所述用户设备不存在流量欺诈的情况下，为所述用户设备单独提供报表，并记录所述用户设备的具体访问信息，以便分析得到所述用户设备的新的流量欺诈规则。藉此，能够实时调整和更新流量欺诈规则库中流量欺诈规则，从而能够随着流量欺诈手段的变化适时调整检测流量欺诈的规则。

在具体的实施方式中，统计每天用户流量情况，统计超过设定阈值的用户数量及明细，提供用户的详细话单，并对于用户是否存在欺诈进行标注，对于未检测到符合已知流量欺诈规则的异常流量用户单独提供报表，可以查看用户的具体访问信息，以便分析其欺诈规则。

优选地，所述方法还包括：接收计费中心根据用户设备访问同一目的IP地址的免费流量占比发送的所述同一目的IP地址；根据所述同一目的IP地址查找到目的IP地址为所述同一目的IP地址的XDR话单数据；根据预设的流量欺诈规则对所述XDR话单数据进行处理分析，得到处理分析结果；在根据所述处理分析结果判断所述用户设备不存在流量欺诈的情况下，为所述目的IP地址为所述同一目的IP地址的XDR话单数据提供报表，并记录所述XDR话单数据的具体访问信息，以便分析得到用户设备的新的流量欺诈规则。藉此，能够实时调整和更新流量欺诈规则库中流量欺诈规则，从而能够随着流量欺诈手段的变化适时调整检测流量欺诈的规则。

在具体的实施方式中，统计每天未知业务中各目的IP的流量，提供超过指定阈值的目的IP的话单，对于未检测到符合已知流量欺诈规则的话单提供报表展示，可以查看具体的访问信息，以便分析其欺诈规则。

在本发明另一实施方式中，统计每天各类业务的流量情况，记录前n个用户的业务流量情况，对于流量异常且未被检测到欺诈行为的话单单独提供报表，可以查看关于该用户对于该业务的访问情况，以便于分析其欺诈规则。

图8是本发明一实施例提供的未知的流量欺诈规则的分析过程的示意图。如图8所示，对某个用户设备的XDR话单数据进行处理分析，判断该用户设备的XDR话单数据是否命中已知的流量欺诈规则，若是，记录并生成统计信息，并根据统计信息输出告警和抑制策略。若否，判断该用户设备是否存在流量异常，若是，人工分析该用户设备的XDR话单数据，梳理得到用户设备的新的流量欺诈规则，并对新的流量欺诈规则进行定义。然后，将定义好的新的流量欺诈规则添加到流量欺诈规则库，从而可获得新的检测流量欺诈的规则。

对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

图9是本发明一实施例提供的检测流量欺诈的装置的结构示意图。如图9所示，本发明一实施例提供的检测流量欺诈的装置包括第一获取单元201、确定单元202、处理分析单元203和第二获取单元204，其中：

第一获取单元201，用于在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；

确定单元202，用于根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；

处理分析单元203，用于根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；

第二获取单元204，用于在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。

本实施例提供的检测流量欺诈的装置适用于以上实施例对应的检测流量欺诈的方法，在此不再赘述。

本实施例提供一种检测流量欺诈的装置，第一获取单元201在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；确定单元202根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；处理分析单元203根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；第二获取单元204在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测，能够实现自动化的流量欺诈分析，从而提高检测流量欺诈的准确度和工作效率。

图10是本发明又一实施例提供的检测流量欺诈的装置的结构示意图。如图10所示，所述检测流量欺诈的装置包括：处理器(processor)301、存储器(memory)302、通信接口(Communications Interface)303和通信总线304；

其中，所述处理器301、存储器302、通信接口303通过所述通信总线304完成相互间的通信；

所述通信接口303用于该检测流量欺诈的装置与系统的信息传输；

所述处理器301用于调用所述存储器302中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的检测流量欺诈的装置等实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上各实施例仅用以说明本发明的实施例的技术方案，而非对其限制；尽管参照前述各实施例对本发明的实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。

Claims (10)

1.一种检测流量欺诈的方法，其特征在于，所述方法包括：

在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；

根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；

根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；

在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。

2.根据权利要求1所述的检测流量欺诈的方法，其特征在于，所述预设规则包括：

所述XDR话单数据的Host字段包括所述用户设备因上网而发送的数据包的所有Host字段的地址信息；

所述XDR话单数据的x-online-host字段包括所述用户设备因上网而发送的数据包的所有x-online-host字段的地址信息；

在所述XDR话单数据中增加referrer字段，所述referrer字段包括所述用户设备因上网而发送的数据包的所有referrer字段的页面连接信息。

3.根据权利要求2所述的检测流量欺诈的方法，其特征在于，所述根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果，包括：

提取所述用户设备的XDR话单数据中Host字段的地址信息；

判断所述地址信息与预设的流量免费的Host字段的地址信息是否相同；

若是，则判断所述用户设备存在流量欺诈；

若否，则判断所述用户设备不存在流量欺诈。

4.根据权利要求2所述的检测流量欺诈的方法，其特征在于，所述根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果，还包括：

提取所述用户设备的XDR话单数据中Host字段的第一地址信息和URL字段的Host部分的第二地址信息；

判断所述第一地址信息与所述第二地址信息是否相同；

若否，判断所述第二地址信息与预设的流量免费的Host字段的地址信息是否相同；

若是，则判断所述用户设备存在流量欺诈；

若否，则判断所述用户设备不存在流量欺诈。

5.根据权利要求2所述的检测流量欺诈的方法，其特征在于，所述根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果，还包括：

提取所述用户设备的XDR话单数据中Host字段的第一地址信息和x-online-host字段的第三地址信息；

根据所述Host字段的第一地址信息与所述x-online-host字段的第三地址信息的对应关系判断所述第一地址信息与所述第三地址信息是否相同；

若否，则判断所述用户设备存在流量欺诈；

若是，则判断所述用户设备不存在流量欺诈。

6.根据权利要求2所述的检测流量欺诈的方法，其特征在于，所述根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果，还包括：

提取所述用户设备的XDR话单数据中的目的IP地址；

判断所述目的IP地址与预设的伪造的代理服务器的IP地址是否相同；

若是，则判断所述用户设备存在流量欺诈；

若否，则判断所述用户设备不存在流量欺诈。

7.根据权利要求1所述的检测流量欺诈的方法，其特征在于，所述方法还包括：

接收计费中心根据用户设备的免费流量占比发送的所述用户设备的用户信息；

根据所述用户设备的用户信息查找到所述用户设备的XDR话单数据；

根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；

在根据所述处理分析结果判断所述用户设备不存在流量欺诈的情况下，为所述用户设备单独提供报表，并记录所述用户设备的具体访问信息，以便分析得到所述用户设备的新的流量欺诈规则。

8.根据权利要求1所述的检测流量欺诈的方法，其特征在于，所述方法还包括：

接收计费中心根据用户设备访问同一目的IP地址的免费流量占比发送的所述同一目的IP地址；

根据所述同一目的IP地址查找到目的IP地址为所述同一目的IP地址的XDR话单数据；

根据预设的流量欺诈规则对所述XDR话单数据进行处理分析，得到处理分析结果；

在根据所述处理分析结果判断所述用户设备不存在流量欺诈的情况下，为所述目的IP地址为所述同一目的IP地址的XDR话单数据提供报表，并记录所述XDR话单数据的具体访问信息，以便分析得到用户设备的新的流量欺诈规则。

9.根据权利要求1所述的检测流量欺诈的方法，其特征在于，所述方法还包括：

根据所述用户设备的流量欺诈信息向SPR/PCRF发送用户签约信息，以使得所述SPR/PCRF根据所述用户签约信息向GGSN/PGW下发PCC规则进行管控签约。

10.一种检测流量欺诈的装置，其特征在于，所述装置包括：

第一获取单元，用于在系统中获取预设时间段内用于流量欺诈分析的XDR话单数据，所述XDR话单数据的格式为所述系统根据预设规则调整的格式；

确定单元，用于根据所述XDR话单数据中的用户信息和流量信息确定免费流量超过预设阈值的用户设备；

处理分析单元，用于根据预设的流量欺诈规则对所述用户设备的XDR话单数据进行处理分析，得到处理分析结果；

第二获取单元，用于在根据所述处理分析结果判断所述用户设备存在流量欺诈的情况下，获取所述用户设备的流量欺诈信息，从而实现流量欺诈的检测。