CN108574607A - 基于虚拟专用网络的共享上网检测方法及装置 - Google Patents

Abstract

本发明公开了一种基于虚拟专用网络的共享上网检测方法及装置，包括：获取在网用户对应的IP报文，提取出该IP报文对应的五元组信息，并检测在网用户发起的VPN隧道以及识别出VPN隧道流，根据所述五元组信息建立VPN隧道流对应的流上下文；若根据流上下文检测到预设时间段内活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。本发明解决了现有技术中无法对使用虚拟专用网络来逃避共享上网检测的用户行为进行检测的技术问题，有助于维护电信运营商的运营成本。

Description

基于虚拟专用网络的共享上网检测方法及装置

技术领域

本发明涉及移动网络通讯技术领域，尤其涉及一种基于虚拟专用网络的共享上网检测方法及装置。

背景技术

在分组域移动通讯网络中，电信运营商通常在网关设备或独立的网络流量分析设备中，对在网用户共享上网行为进行检测。而移动数据上网是绝大多数移动终端的基本功能之一，随着3G/4G网速的提高，个人无线热点、USB(Universal Serial Bus，通用串行总线)网络共享、蓝牙网络共享等功能逐渐普及，用户使用这些功能将3G/4G移动网络连接共享给其它终端设备一起使用，从而节省多个终端的上网费用。

共享上网的普及对电信运营商的潜在收益和运营成本存在较大的负面影响，共享上网还会打消原本可能办理移动数据上网业务的用户的积极性，同时共享上网还会占用比正常上网更多的带宽资源和并发流资源，会增加电信运营商在无线控制器、核心网网关、交换机、路由器、防火墙等相关设备上的额外的运维管理成本，以及增加额外投资，因此，电信运营商普遍对用户共享上网持否定态度。

目前，有一些新兴的电信运营商，认为共享上网是一种大势所趋，应该顺势而为之，这些新兴运营商将共享上网包装成一种新型业务，以赚取额外的费用。典型地，运营商推出一种价格较低的基本上网套餐，以及一种价格较高的高级上网套餐，基本上网套餐仅允许用户使用一部终端设备通过移动数据网络上网；而高级上网套餐则允许用户使用一部终端设备通过移动数据网络上网的同时，还允许该终端设备通过个人无线热点、USB网络共享、蓝牙网络共享等功能分享移动网络给其它终端设备、台式电脑或笔记本共享上网。这些电信运营商必须通过技术手段，检测用户共享上网行为，以令购买基本上网套餐的用户，不能使用多终端设备共享上网。当运营商检测出基本上网套餐用户的共享上网行为后，可以通过短信通知用户选择高级上网套餐，也可以通过HTTP(Hypertext Transfer Protocol，超文本传输协议)重定向页面建议用户选择高级上网套餐，还可以通过限速、限量、阻断、干扰等手段限制用户共享上网行为。

当高级上网套餐的价格远高于基本上网套餐的价格时，用户自然地倾向于仅仅购买基本上网套餐来进行共享上网，用户可能采用各种技术手段逃避电信运营商对其共享上网行为的检测。例如，将通过移动数据网络上网的终端称为主终端或主设备，将通过主终端共享上网的终端称为从属终端或从终端，在用户共享上网场景中，主终端为一个，从终端为一个或多个；一般情况下，用户很难逃避电信运营商在网络设备上实施的共享上网检测，但用户通常会尝试通过修改TTL(Time To Live，存活时间)或Hop Limit(指定在丢弃IPv6报文前可传送的最大路由跳数)的方式以逃避检测，但仅仅修改TTL或Hop Limit并不能完全逃避检测，因为共享上网检测的手段多种多样，TTL或Hop Limit仅仅是一个有效但却并非必需的特征之一。

随着网络共享技术的发展，有些在网用户通过采用VPN(Virtual PrivateNetwork，虚拟专用网)技术逃避共享上网检测，由于大量并发的流量都被封装到VPN隧道之中，原来很有效的共享上网特征都被VPN隧道的加密性及封装性所掩蔽，现有共享上网检测技术基本失效。

发明内容

本发明的主要目的在于提出一种基于虚拟专用网络的共享上网检测方法及装置，旨在解决现有技术中无法对使用虚拟专用网络来逃避共享上网检测的用户行为进行检测的技术问题。

为实现上述目的，本发明提供一种基于虚拟专用网络的共享上网检测方法，包括：

获取在网用户对应的IP报文，提取出所述IP报文对应的五元组信息，并检测在网用户发起的VPN隧道；

识别所述VPN隧道中的VPN隧道流，根据所述五元组信息建立所述VPN隧道流对应的流上下文，并根据所述流上下文检测预设时间段内活跃VPN隧道流的数量，以及判断在所述预设时间段内是否存在普通业务数据流；

当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。

优选地，所述检测在网用户发起的VPN隧道的步骤包括：

根据VPN隧道对应的VPN隧道协议特征，预先设置VPN的隧道特征信息，其中，所述隧道特征信息包括VPN隧道协议的报文解码特征、默认端口号、建立VPN隧道交互消息的交互特征、建立VPN隧道交互消息的码流特征中的一项或者多项；

根据所述隧道特征信息，检测在网用户发起的VPN隧道。

优选地，根据所述五元组信息建立所述VPN隧道流对应的流上下文的步骤包括：

根据所述五元组信息建立所述VPN隧道流对应的传输控制协议TCP流上下文，或用户数据报协议UDP流上下文。

优选地，在识别所述VPN隧道中的VPN隧道流的步骤之后还包括：

根据所述五元组信息建立普通业务数据流上下文，并根据建立的普通业务数据流上下文，判断在所述预设时间段内是否存在普通业务数据流。

优选地，所述当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为的步骤包括：

当预设时间段内存在两条或者两条以上的活跃VPN隧道流时，则确定在网用户存在共享上网行为；

或者，当所述预设时间段内存在一条或者一条以上的活跃VPN隧道流，且同时存在所述普通业务数据流时，则确定在网用户存在共享上网行为。

此外，为实现上述目的，本发明还提供一种基于虚拟专用网络的共享上网检测装置，所述基于虚拟专用网络的共享上网检测装置包括：

获取模块，用于获取在网用户对应的IP报文，提取出所述IP报文对应的五元组信息，并检测在网用户发起的VPN隧道；

检测模块，用于识别所述VPN隧道中的VPN隧道流，根据所述五元组信息建立所述VPN隧道流对应的流上下文，并根据所述流上下文检测预设时间段内活跃VPN隧道流的数量，以及判断在所述预设时间段内是否存在普通业务数据流；

确定模块，用于当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。

优选地，所述获取模块包括：

设置单元，用于根据VPN隧道对应的VPN隧道协议特征，预先设置VPN的隧道特征信息，其中，所述隧道特征信息包括VPN隧道协议的报文解码特征、默认端口号、建立VPN隧道交互消息的交互特征、建立VPN隧道交互消息的码流特征中的一项或者多项。

检测单元，用于根据所述隧道特征信息，检测在网用户发起的VPN隧道。

优选地，所述检测模块用于：

根据所述五元组信息建立所述VPN隧道流对应的传输控制协议TCP流上下文，或用户数据报协议UDP流上下文。

优选地，所述检测模块还用于：

在识别所述VPN隧道中的VPN隧道流之后，根据所述五元组信息建立普通业务数据流上下文，并根据建立的普通业务数据流上下文，判断在所述预设时间段内是否存在普通业务数据流。

优选地，所述确定模块用于：

当预设时间段内存在两条或者两条以上的活跃VPN隧道流时，则确定在网用户存在共享上网行为；

或者，当所述预设时间段内存在一条或者一条以上的活跃VPN隧道流，且同时存在所述普通业务数据流时，则确定在网用户存在共享上网行为。

本发明所提供的基于虚拟专用网络的共享上网检测方法及装置，通过检测预设时间段内在网用户发起的活跃VPN隧道流的数量，以及在该预设时间段内是否存在普通业务数据流，来确定在网用户是否存在共享上网行为，能够有效防止在网用户使用虚拟专用网络来逃避共享上网检测，提高了共享上网检测的准确性，同时解决了现有技术中无法对使用虚拟专用网络来逃避共享上网检测的用户行为进行检测的技术问题，有助于维护电信运营商的运营成本。

附图说明

图1为本发明基于虚拟专用网络的共享上网检测方法第一实施例的流程示意图；

图2为本发明图1所示步骤S10的细化步骤流程示意图；

图3为本发明基于虚拟专用网络的共享上网检测装置第一实施例的模块示意图；

图4为本发明图3所示获取模块10的细化单元示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

本发明提供一种基于虚拟专用网络的共享上网检测方法，通过检测预设时间段内在网用户发起的VPN隧道流的数量，以及在该预设时间段内是否存在普通业务数据流，来确定在网用户是否存在共享上网行为，能够有效防止在网用户使用虚拟专用网络来逃避共享上网检测，提高了共享上网检测的准确性，有助于维护电信运营商的运营成本。

参照图1，图1为本发明基于虚拟专用网络的共享上网检测方法第一实施例的流程示意图，本实施例中，所述基于虚拟专用网络的共享上网检测方法包括：

步骤S10，获取在网用户对应的IP报文，提取出所述IP报文对应的五元组信息，并检测在网用户发起的VPN隧道。

具体的，先获取在网用户对应的IP报文，然后对该IP报文的首部进行解码处理，从该IP报文首部中提取出五元组信息。其中，五元组信息包括：源IP地址、目的IP地址、IP协议类型、源端口、目的端口；IP协议类型包括TCP(Transmission Control Protocol，传输控制协议)或UDP(User Datagram Protocol，用户数据报协议)，源端口包括TCP源端口或者UDP源端口。

另外，根据预先设置的VPN的隧道特征信息，检测在网用户发起的VPN隧道。其中，通过典型的VPN隧道特征信息检测在网用户发起的可能的VPN隧道，通常一个终端设备同一时间段内只会产生一条或数量有限的几条VPN隧道，且该VPN隧道通常是以UDP数据流或TCP数据流的形式存在。根据VPN的隧道特征信息便可以检测出在网用户发起的VPN隧道。

步骤S20，识别所述VPN隧道中的VPN隧道流，根据所述五元组信息建立所述VPN隧道流对应的流上下文，并根据所述流上下文检测预设时间段内活跃VPN隧道流的数量，以及判断在所述预设时间段内是否存在普通业务数据流。

具体的，在上述VPN隧道中识别出在网用户产生的VPN隧道流，然后基于上述五元组信息为识别出的VPN隧道流建立对应的流上下文。同时，也可以为非VPN隧道的其它TCP数据流或UDP数据流建立流上下文。

在上述VPN隧道中识别出VPN隧道流之后，若存在多条VPN隧道流，则每条VPN隧道流都会被标记为某种VPN隧道类型，或者被标记为其它基础协议或应用协议类型，或者因为无法检测识别而被标记为未知类型。然后在每个流上下文中记录每个VPN隧道流的报文总数、总流量等统计信息，以及按上行/下行区分统计记录。

通过在每个VPN隧道流对应的流上下文中，记录属于每个VPN隧道流最近的报文到达时间或时间序列及速率或速率序列，从而记录每个VPN隧道流的活跃性信息。此外，通过在每个VPN隧道流对应的流上下文中，记录每个VPN隧道流的开始时间和/或当前时间，从而记录每个VPN隧道流的持久性信息。其中，通过TCP FIN(Finsh flag，终止标识)或TCP RST(Reset flag，复位标识)、或TCP超时老化或UDP超时老化、或ICMP(Internet ControlMessage Protocol，互联网控制消息协议)UDP主机不可达或ICMP UDP端口不可达等消息事件或时间事件的触发，维护每个VPN隧道流的存在性，将已经关闭或超时老化的VPN隧道流从流上下文中删除。

其中，VPN隧道流通常是持久的，只有持久的较多流量的VPN隧道才是运营商的关注重点，因此，将每个VPN隧道流的持久性信息和活跃性信息作为判断VPN隧道流的依据之一可以有效增加VPN共享上网检测的准确性。

具体的，基于VPN隧道流的持久性信息和活跃性信息来确定出任意VPN隧道流是否属于活跃VPN隧道流，并由此检测预设时间段内的活跃VPN隧道流的数量；例如，VPN隧道流在预设时间段(5分钟)内，仅仅发送或者接收了有限数量的短消息，而并没有加载其他的数据，则确认该VPN隧道流为非活跃VPN隧道流，当VPN隧道流在预设时间段(5分钟)内，频繁或者持续加载数据(如用户通过终端在线收听音乐或者观看视频时)，则确认该VPN隧道流为活跃VPN隧道流。

同时，根据非VPN隧道的其它TCP数据流或UDP数据流建立的流上下文，判断在所述预设时间段内是否存在普通业务数据流。

步骤S30，当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。

具体的，本实施例中，根据预设时间段内上述活跃VPN隧道流的数量，以及在所述预设时间段内是否存在普通业务数据流，来确定在网用户是否存在共享上网行为。

其中，当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，则确定在网用户存在共享上网行为。例如当预设时间段内所述VPN隧道流的数量大于或等于两条，即有两个以上的终端同时采用VPN进行网络连接时，则确定在网用户存在共享上网行为；其中包括了主终端和从终端同时采用VPN进行网络连接，或者有两个以上的从终端同时采用VPN进行网络连接。

或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。例如，主终端在分享无线热点之后，采用普通业务数据进行网络连接，而同时至少有一个以上的从终端采用VPN进行网络连接，则确定在网用户存在共享上网行为。

本实施例所提供的基于虚拟专用网络的共享上网检测方法，通过检测预设时间段内在网用户发起的活跃VPN隧道流的数量，以及在该预设时间段内是否存在普通业务数据流，来确定在网用户中是否存在共享上网行为，能够有效防止在网用户使用虚拟专用网络来逃避共享上网检测，提高了共享上网检测的准确性，同时解决了现有技术中无法对使用虚拟专用网络来逃避共享上网检测的用户行为进行检测的技术问题，有助于维护电信运营商的运营成本。

进一步地，参照图2，图2为本发明图1所示步骤S10的细化步骤流程示意图，基于上述图1所述的实施例，本发明基于虚拟专用网络的共享上网检测方法第二实施例中，上述图1所示步骤S10中所述的检测在网用户发起的VPN隧道的步骤包括：

步骤S11，根据VPN隧道对应的VPN隧道协议特征，预先设置VPN的隧道特征信息，其中，所述隧道特征信息包括VPN隧道协议的报文解码特征、默认端口号、建立VPN隧道交互消息的交互特征、建立VPN隧道交互消息的码流特征中的一项或者多项；

步骤S12，根据所述隧道特征信息，检测在网用户发起的VPN隧道。

其中，在网用户对应终端的IP地址可能是公网地址或者私网地址。在网用户对应终端的IP地址为公网地址时，VPN隧道可能为TCP或者UDP或者以IPSEC(Internet ProtocolSecurity，互联网协议安全)传输模式存在。在网用户对应终端的IP地址为私网地址时，VPN隧道通常可能以经过NAT(Network Address Translation，网络地址转换)转换后的UDP形式存在，同时，也可能存在其它基于TCP的VPN隧道。

其中，同一个终端设备同一时间段内通常只会产生一条VPN隧道流，但可能存在某些私有协议的隧道，所以在同一个终端设备上的同一时间段内可能也会存在多条VPN隧道流。

其中，通过各种公开协议规范的VPN隧道协议特征，检测在网用户发起的VPN隧道。所述隧道特征信息包括VPN隧道协议的报文解码特征、默认端口号、建立VPN隧道交互消息的交互特征(如：方向、顺序等及其组合)、建立VPN隧道交互消息的码流特征中的一项或者多项。

本实施例所提供的基于虚拟专用网络的共享上网检测方法，通过VPN隧道对应的VPN隧道协议特征，预先设置VPN的隧道特征信息，然后根据该隧道特征信息即可以准确检测出在网用户发起的VPN隧道，有效提高了共享上网检测的准确性，从而达到有效防止在网用户使用虚拟专用网络来逃避共享上网检测的目的。

进一步地，基于上述图1与图2所述的实施例，本发明基于虚拟专用网络的共享上网检测方法第三实施例中，上述步骤S20中所述的根据所述五元组信息建立所述VPN隧道流对应的流上下文包括：

根据所述五元组信息建立所述VPN隧道流对应的传输控制协议TCP流上下文，或用户数据报协议UDP流上下文。

其中，出于提升性能或减少内存资源占用等的考虑，可以预先根据IP报文的解码条件对获取到的在网用户对应的IP报文进行过滤，丢弃不符合预设条件的IP报文。

其中，可以仅建立所述VPN隧道流对应的TCP流上下文，也可以仅建立所述VPN隧道流对应的传输控制协议UDP流上下文。当仅建立TCP流上下文时，为了避免SYN(Synchronousflag，同步标识)泛洪攻击，可以仅对TCP数据流中的非SYN报文建立TCP流上下文。当仅建立UDP流上下文时，为了提高系统性能，可以根据现有的53端口过滤DNS(Domain NameSystem，域名系统)报文，对UDP数据流中的非DNS报文建立UDP流上下文。具体的，可以根据VPN隧道流对应的流量及资源占用情况等，来选择建立TCP流上下文还是UDP流上下文。

其中，当网络系统本身支持多个虚拟路由表时，每个虚拟路由表关联管理的在网用户IP地址可能存在冲突，为了避免冲突的发生，建立TCP流上下文或UDP流上下文的索引，同时，引入虚拟路由表的索引(比如：虚拟路由表的编号)，即可以通过建立TCP流上下文或UDP流上下文的索引，在上述五元组信息基础上再增加一元虚拟路由表编号信息，形成六元组信息，从而解决系统内IP地址冲突问题。

本实施例所提供的基于虚拟专用网络的共享上网检测方法，基于上述五元组信息建立VPN隧道流对应的TCP流上下文或UDP流上下文，通过该TCP流上下文或UDP流上下文，即可检测出预设时间段内活跃VPN隧道流的数量，从而可根据预设时间段内活跃VPN隧道流的数量来确定在网用户是否存在共享上网行为。

进一步地，基于上述图1与图2所述的实施例以及本发明基于虚拟专用网络的共享上网检测方法第三实施例，本发明基于虚拟专用网络的共享上网检测方法第四实施例中，上述步骤S20中所述的识别所述VPN隧道中的VPN隧道流之后还包括：

根据所述五元组信息建立普通业务数据流上下文，并根据建立的普通业务数据流上下文，判断在所述预设时间段内是否存在普通业务数据流。

具体的，本发明中，除了对VPN隧道中的VPN隧道流进行识别之外，还需要对其它类型的数据流进行识别，典型地，如HTTP(Hyper Text Transfer Protocol超文本传输协议)、HTTPS(HTTP over SSL/TLS，超文本传输安全协议)、FTP(File Transfer Protocol，文件传输协议)、DNS、POP3(Post Office Protocol-Version3，邮局协议第三版)、SMTP(SimpleMail Transfer Protocol，简单邮件传输协议)、IMAP(Internet Message AccessProtocol，交互消息访问协议)、SSH(Secure Shell，安全壳协议)等类型的数据流。

其中，可以采用DPI(Deep Packet Inspection，深度包检测技术)系统或模块，来对各种类型的数据流进行识别。

其中，在识别出其它类型的数据流之后，根据上述五元组信息建立普通业务数据流上下文，然后根据建立的普通业务数据流上下文，判断在预设时间段内是否存在普通业务数据流。

本实施例所提供的基于虚拟专用网络的共享上网检测方法，基于上述五元组信息建立普通业务数据流上下文，然后根据建立的普通业务数据流上下文，即可判断出在预设时间段内是否存在普通业务数据流，从而可根据预设时间段内是否同时存在活跃VPN隧道流与普通业务数据流来确定在网用户是否存在共享上网行为。

进一步地，基于上述实施例，本发明基于虚拟专用网络的共享上网检测方法第五实施例中，上述步骤S30中所述的当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户中存在共享上网行为包括：

当预设时间段内存在两条或者两条以上的活跃VPN隧道流时，则确定在网用户中存在共享上网行为；

或者，当所述预设时间段内存在一条或者一条以上的活跃VPN隧道流，且同时存在所述普通业务数据流时，则确定在网用户中存在共享上网行为。

本实施例中，当一个在网用户使用至少两个终端设备共享上网时，若所有的终端设备都是通过VPN上网，若检测到在网用户流量中存在两条或两条以上活跃VPN隧道流，此时没有任何其它普通业务流，则可以确定出该在网用户存在共享上网行为。

当一个在网用户使用至少两个终端设备共享上网时，若其中只有一个终端设备通过VPN上网，而其余终端设备不通VPN上网，若检测到在网用户流量中存在一条活跃VPN数据流，以及同时存在其它普通业务数据流，则可以确定出该在网用户存在共享上网行为。

当一个在网用户使用至少两个终端设备共享上网时，若其中至少有两个终端设备通过VPN上网，而其余终端设备不通过VPN上网，若检测到在网用户流量中存在两条或两条以上活跃VPN隧道流，以及同时存在其它普通业务数据流，则可以确定出该在网用户存在共享上网行为。

本实施例所提供的基于虚拟专用网络的共享上网检测方法，当预设时间段内存在两条或者两条以上的活跃VPN隧道流时，或者当预设时间段内存在一条或者一条以上的活跃VPN隧道流，且同时存在普通业务数据流时，则确定在网用户存在共享上网行为，能够有效防止在网用户使用虚拟专用网络来逃避共享上网检测，解决了现有技术中无法对使用虚拟专用网络来逃避共享上网检测的用户行为进行检测的技术问题。

本发明还提供一种基于虚拟专用网络的共享上网检测装置，通过检测预设时间段内在网用户发起的VPN隧道流的数量，以及在该预设时间段内是否存在普通业务数据流，来确定在网用户是否存在共享上网行为，能够有效防止在网用户使用虚拟专用网络来逃避共享上网检测，提高了共享上网检测的准确性，有助于维护电信运营商的运营成本。

参照图3，图3为本发明基于虚拟专用网络的共享上网检测装置第一实施例的模块示意图，本实施例中，所述基于虚拟专用网络的共享上网检测装置100包括：

获取模块10，用于获取在网用户对应的IP报文，提取出所述IP报文对应的五元组信息，并检测在网用户发起的VPN隧道。

具体的，先获取在网用户对应的IP报文，然后对该IP报文的首部进行解码处理，从该IP报文首部中提取出五元组信息。其中，五元组信息包括：源IP地址、目的IP地址、IP协议类型、源端口、目的端口；IP协议类型包括TCP(Transmission Control Protocol，传输控制协议)或UDP(User Datagram Protocol，用户数据报协议)，源端口包括TCP源端口或者UDP源端口。

另外，根据预先设置的VPN的隧道特征信息，检测在网用户发起的VPN隧道。其中，通过典型的VPN隧道特征信息检测在网用户发起的可能的VPN隧道，通常一个终端设备同一时间段内只会产生一条或数量有限的几条VPN隧道，且该VPN隧道通常是以UDP数据流或TCP数据流的形式存在。根据VPN的隧道特征信息便可以检测出在网用户发起的VPN隧道。

检测模块20，用于识别所述VPN隧道中的VPN隧道流，根据所述五元组信息建立所述VPN隧道流对应的流上下文，并根据所述流上下文检测预设时间段内活跃VPN隧道流的数量，以及判断在所述预设时间段内是否存在普通业务数据流。

具体的，在上述VPN隧道中识别出在网用户产生的VPN隧道流，然后基于上述五元组信息为识别出的VPN隧道流建立对应的流上下文。同时，也可以为非VPN隧道的其它TCP数据流或UDP数据流建立流上下文。

在上述VPN隧道中识别出VPN隧道流之后，若存在多条VPN隧道流，则每条VPN隧道流都会被标记为某种VPN隧道类型，或者被标记为其它基础协议或应用协议类型，或者因为无法检测识别而被标记为未知类型。然后在每个流上下文中记录每个VPN隧道流的报文总数、总流量等统计信息，以及按上行/下行区分统计记录。

通过在每个VPN隧道流对应的流上下文中，记录属于每个VPN隧道流最近的报文到达时间或时间序列及速率或速率序列，从而记录每个VPN隧道流的活跃性信息。此外，通过在每个VPN隧道流对应的流上下文中，记录每个VPN隧道流的开始时间和/或当前时间，从而记录每个VPN隧道流的持久性信息。其中，通过TCP FIN(Finish flag，终止标识)或TCP RST(Reset flag，复位标识)、或TCP超时老化或UDP超时老化、或ICMP(Internet ControlMessage Protocol，互联网控制消息协议)UDP主机不可达或ICMP UDP端口不可达等消息事件或时间事件的触发，维护每个VPN隧道流的存在性，将已经关闭或超时老化的VPN隧道流从流上下文中删除。

其中，VPN隧道流通常是持久的，只有持久的较多流量的VPN隧道才是运营商的关注重点，因此，将每个VPN隧道流的持久性信息和活跃性信息作为判断VPN隧道流的依据之一可以有效增加VPN共享上网检测的准确性。

具体的，基于VPN隧道流的持久性信息和活跃性信息来确定出任意VPN隧道流是否属于活跃VPN隧道流，并由此检测预设时间段内的活跃VPN隧道流的数量；例如，VPN隧道流在预设时间段(5分钟)内，仅仅发送或者接收了有限数量的短消息，而并没有加载其他的数据，则确认该VPN隧道流为非活跃VPN隧道流，当VPN隧道流在预设时间段(5分钟)内，频繁或者持续加载数据(如用户通过终端在线收听音乐或者观看视频时)，则确认该VPN隧道流为活跃VPN隧道流。

同时，根据非VPN隧道的其它TCP数据流或UDP数据流建立的流上下文，判断在所述预设时间段内是否存在普通业务数据流。

确定模块30，用于当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。

具体的，本实施例中，根据预设时间段内上述活跃VPN隧道流的数量，以及在所述预设时间段内是否存在普通业务数据流，来确定在网用户是否存在共享上网行为。

其中，当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，则确定在网用户存在共享上网行为。例如当预设时间段内所述VPN隧道流的数量大于或等于两条，即有两个以上的终端同时采用VPN进行网络连接时，则确定在网用户存在共享上网行为；其中包括了主终端和从终端同时采用VPN进行网络连接，或者有两个以上的从终端同时采用VPN进行网络连接。

或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。例如，主终端在分享无线热点之后，采用普通业务数据进行网络连接，而同时至少有一个以上的从终端采用VPN进行网络连接，则确定在网用户存在共享上网行为。

本实施例所提供的基于虚拟专用网络的共享上网检测装置，通过检测预设时间段内在网用户发起的活跃VPN隧道流的数量，以及在该预设时间段内是否存在普通业务数据流，来确定在网用户中是否存在共享上网行为，能够有效防止在网用户使用虚拟专用网络来逃避共享上网检测，提高了共享上网检测的准确性，同时解决了现有技术中无法对使用虚拟专用网络来逃避共享上网检测的用户行为进行检测的技术问题，有助于维护电信运营商的运营成本。

进一步地，参照图4，图4为本发明图3所示获取模块10的细化单元示意图，基于上述图3所述的实施例，本发明基于虚拟专用网络的共享上网检测装置第二实施例中，上述获取模块10包括：

设置单元11，用于根据VPN隧道对应的VPN隧道协议特征，预先设置VPN的隧道特征信息，其中，所述隧道特征信息包括VPN隧道协议的报文解码特征、默认端口号、建立VPN隧道交互消息的交互特征、建立VPN隧道交互消息的码流特征中的一项或者多项；

检测单元12，用于根据所述隧道特征信息，检测在网用户发起的VPN隧道。

其中，在网用户对应终端的IP地址可能是公网地址或者私网地址。在网用户对应终端的IP地址为公网地址时，VPN隧道可能为TCP或者UDP或者以IPSEC(Internet ProtocolSecurity，互联网协议安全)传输模式存在。在网用户对应终端的IP地址为私网地址时，VPN隧道通常可能以经过NAT(Network Address Translation，网络地址转换)转换后的UDP形式存在，同时，也可能存在其它基于TCP的VPN隧道。

其中，同一个终端设备同一时间段内通常只会产生一条VPN隧道流，但可能存在某些私有协议的隧道，所以在同一个终端设备上的同一时间段内可能也会存在多条VPN隧道流。

其中，通过各种公开协议规范的VPN隧道协议特征，检测在网用户发起的VPN隧道。所述隧道特征信息包括VPN隧道协议的报文解码特征、默认端口号、建立VPN隧道交互消息的交互特征(如：方向、顺序等及其组合)、建立VPN隧道交互消息的码流特征中的一项或者多项。

本实施例所提供的基于虚拟专用网络的共享上网检测装置，通过VPN隧道对应的VPN隧道协议特征，预先设置VPN的隧道特征信息，然后根据该隧道特征信息即可以准确检测出在网用户发起的VPN隧道，有效提高了共享上网检测的准确性，从而达到有效防止在网用户使用虚拟专用网络来逃避共享上网检测的目的。

进一步地，基于上述图3与图4所述的实施例，本发明基于虚拟专用网络的共享上网检测装置第三实施例中，上述检测模块20用于：

根据所述五元组信息建立所述VPN隧道流对应的传输控制协议TCP流上下文，或用户数据报协议UDP流上下文。

其中，出于提升性能或减少内存资源占用等的考虑，可以预先根据IP报文的解码条件对获取到的在网用户对应的IP报文进行过滤，丢弃不符合预设条件的IP报文。

其中，可以仅建立所述VPN隧道流对应的TCP流上下文，也可以仅建立所述VPN隧道流对应的传输控制协议UDP流上下文。当仅建立TCP流上下文时，为了避免SYN(Synchronousflag，同步标识)泛洪攻击，可以仅对TCP数据流中的非SYN报文建立TCP流上下文。当仅建立UDP流上下文时，为了提高系统性能，可以根据现有的53端口过滤DNS(Domain NameSystem，域名系统)报文，对UDP数据流中的非DNS报文建立UDP流上下文。具体的，可以根据VPN隧道流对应的流量及资源占用情况等，来选择建立TCP流上下文还是UDP流上下文。

其中，当网络系统本身支持多个虚拟路由表时，每个虚拟路由表关联管理的在网用户IP地址可能存在冲突，为了避免冲突的发生，建立TCP流上下文或UDP流上下文的索引，同时，引入虚拟路由表的索引(比如：虚拟路由表的编号)，即可以通过建立TCP流上下文或UDP流上下文的索引，在上述五元组信息基础上再增加一元虚拟路由表编号信息，形成六元组信息，从而解决系统内IP地址冲突问题。

本实施例所提供的基于虚拟专用网络的共享上网检测方法，基于上述五元组信息建立VPN隧道流对应的TCP流上下文或UDP流上下文，通过该TCP流上下文或UDP流上下文，即可检测出预设时间段内活跃VPN隧道流的数量，从而可根据预设时间段内活跃VPN隧道流的数量来确定在网用户是否存在共享上网行为。

进一步地，基于上述图3与图4所述的实施例以及本发明基于虚拟专用网络的共享上网检测装置第三实施例，本发明基于虚拟专用网络的共享上网检测装置第四实施例中，上述检测模块20还用于：

在识别所述VPN隧道中的VPN隧道流之后，根据所述五元组信息建立普通业务数据流上下文，并根据建立的普通业务数据流上下文，判断在所述预设时间段内是否存在普通业务数据流。

具体的，本发明中，除了对VPN隧道中的VPN隧道流进行识别之外，还需要对其它类型的数据流进行识别，典型地，如HTTP(Hyper Text Transfer Protocol超文本传输协议)、HTTPS(HTTP over SSL/TLS，超文本传输安全协议)、FTP(File Transfer Protocol，文件传输协议)、DNS、POP3(Post Office Protocol-Version3，邮局协议第三版)、SMTP(SimpleMail Transfer Protocol，简单邮件传输协议)、IMAP(Internet Message AccessProtocol，交互消息访问协议)、SSH(Secure Shell，安全壳协议)等类型的数据流。

其中，可以采用DPI(Deep Packet Inspection，深度包检测技术)系统或模块，来对各种类型的数据流进行识别。

其中，在识别出其它类型的数据流之后，根据上述五元组信息建立普通业务数据流上下文，然后根据建立的普通业务数据流上下文，判断在预设时间段内是否存在普通业务数据流。

本实施例所提供的基于虚拟专用网络的共享上网检测装置，基于上述五元组信息建立普通业务数据流上下文，然后根据建立的普通业务数据流上下文，即可判断出在预设时间段内是否存在普通业务数据流，从而可根据预设时间段内是否同时存在活跃VPN隧道流与普通业务数据流来确定在网用户是否存在共享上网行为。

进一步地，基于上述实施例，本发明基于虚拟专用网络的共享上网检测装置第五实施例中，上述确定模块30用于：

当预设时间段内存在两条或者两条以上的活跃VPN隧道流时，则确定在网用户中存在共享上网行为；

或者，当所述预设时间段内存在一条或者一条以上的活跃VPN隧道流，且同时存在所述普通业务数据流时，则确定在网用户中存在共享上网行为。

本实施例中，当一个在网用户使用至少两个终端设备共享上网时，若所有的终端设备都是通过VPN上网，若检测到在网用户流量中存在两条或两条以上活跃VPN隧道流，此时没有任何其它普通业务流，则可以确定出该在网用户存在共享上网行为。

当一个在网用户使用至少两个终端设备共享上网时，若其中只有一个终端设备通过VPN上网，而其余终端设备不通VPN上网，若检测到在网用户流量中存在一条活跃VPN数据流，以及同时存在其它普通业务数据流，则可以确定出该在网用户存在共享上网行为。

当一个在网用户使用至少两个终端设备共享上网时，若其中至少有两个终端设备通过VPN上网，而其余终端设备不通过VPN上网，若检测到在网用户流量中存在两条或两条以上活跃VPN隧道流，以及同时存在其它普通业务数据流，则可以确定出该在网用户存在共享上网行为。

本实施例所提供的基于虚拟专用网络的共享上网检测装置，当预设时间段内存在两条或者两条以上的活跃VPN隧道流时，或者当预设时间段内存在一条或者一条以上的活跃VPN隧道流，且同时存在普通业务数据流时，则确定在网用户存在共享上网行为，能够有效防止在网用户使用虚拟专用网络来逃避共享上网检测，解决了现有技术中无法对使用虚拟专用网络来逃避共享上网检测的用户行为进行检测的技术问题。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端设备执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种基于虚拟专用网络的共享上网检测方法，其特征在于，所述基于虚拟专用网络的共享上网检测方法包括：

获取在网用户对应的IP报文，提取出所述IP报文对应的五元组信息，并检测在网用户发起的VPN隧道；

识别所述VPN隧道中的VPN隧道流，根据所述五元组信息建立所述VPN隧道流对应的流上下文，并根据所述流上下文检测预设时间段内活跃VPN隧道流的数量，以及判断在所述预设时间段内是否存在普通业务数据流；

当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。

2.如权利要求1所述的基于虚拟专用网络的共享上网检测方法，其特征在于，所述检测在网用户发起的VPN隧道的步骤包括：

根据VPN隧道对应的VPN隧道协议特征，预先设置VPN的隧道特征信息，其中，所述隧道特征信息包括VPN隧道协议的报文解码特征、默认端口号、建立VPN隧道交互消息的交互特征、建立VPN隧道交互消息的码流特征中的一项或者多项；

根据所述隧道特征信息，检测在网用户发起的VPN隧道。

3.如权利要求1所述的基于虚拟专用网络的共享上网检测方法，其特征在于，根据所述五元组信息建立所述VPN隧道流对应的流上下文的步骤包括：

根据所述五元组信息建立所述VPN隧道流对应的传输控制协议TCP流上下文，或用户数据报协议UDP流上下文。

4.如权利要求3所述的基于虚拟专用网络的共享上网检测方法，其特征在于，在识别所述VPN隧道中的VPN隧道流的步骤之后还包括：

根据所述五元组信息建立普通业务数据流上下文，并根据建立的普通业务数据流上下文，判断在所述预设时间段内是否存在普通业务数据流。

5.如权利要求1至4任意一项所述的基于虚拟专用网络的共享上网检测方法，其特征在于，所述当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为的步骤包括：

当预设时间段内存在两条或者两条以上的活跃VPN隧道流时，则确定在网用户存在共享上网行为；

或者，当所述预设时间段内存在一条或者一条以上的活跃VPN隧道流，且同时存在所述普通业务数据流时，则确定在网用户存在共享上网行为。

6.一种基于虚拟专用网络的共享上网检测装置，其特征在于，所述基于虚拟专用网络的共享上网检测装置包括：

获取模块，用于获取在网用户对应的IP报文，提取出所述IP报文对应的五元组信息，并检测在网用户发起的VPN隧道；

检测模块，用于识别所述VPN隧道中的VPN隧道流，根据所述五元组信息建立所述VPN隧道流对应的流上下文，并根据所述流上下文检测预设时间段内活跃VPN隧道流的数量，以及判断在所述预设时间段内是否存在普通业务数据流；

确定模块，用于当预设时间段内所述活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述活跃VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。

7.如权利要求6所述的基于虚拟专用网络的共享上网检测装置，其特征在于，所述获取模块包括：

设置单元，用于根据VPN隧道对应的VPN隧道协议特征，预先设置VPN的隧道特征信息，其中，所述隧道特征信息包括VPN隧道协议的报文解码特征、默认端口号、建立VPN隧道交互消息的交互特征、建立VPN隧道交互消息的码流特征中的一项或者多项。

检测单元，用于根据所述隧道特征信息，检测在网用户发起的VPN隧道。

8.如权利要求6所述的基于虚拟专用网络的共享上网检测装置，其特征在于，所述检测模块用于：

根据所述五元组信息建立所述VPN隧道流对应的传输控制协议TCP流上下文，或用户数据报协议UDP流上下文。

9.如权利要求8所述的基于虚拟专用网络的共享上网检测装置，其特征在于，所述检测模块还用于：

在识别所述VPN隧道中的VPN隧道流之后，根据所述五元组信息建立普通业务数据流上下文，并根据建立的普通业务数据流上下文，判断在所述预设时间段内是否存在普通业务数据流。

10.如权利要求6至9任意一项所述的基于虚拟专用网络的共享上网检测装置，其特征在于，所述确定模块用于：

当预设时间段内存在两条或者两条以上的活跃VPN隧道流时，则确定在网用户存在共享上网行为；

或者，当所述预设时间段内存在一条或者一条以上的活跃VPN隧道流，且同时存在所述普通业务数据流时，则确定在网用户存在共享上网行为。