CN110661675B - 检测客户主机网络漂移的方法和系统 - Google Patents
检测客户主机网络漂移的方法和系统 Download PDFInfo
- Publication number
- CN110661675B CN110661675B CN201810693619.3A CN201810693619A CN110661675B CN 110661675 B CN110661675 B CN 110661675B CN 201810693619 A CN201810693619 A CN 201810693619A CN 110661675 B CN110661675 B CN 110661675B
- Authority
- CN
- China
- Prior art keywords
- host
- label
- client
- network
- client host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
Abstract
本公开提供了一种检测客户主机网络漂移的方法和系统,涉及通信技术领域。该方法包括:从客户上网应用流量中获取客户主机信息,根据该客户主机信息生成客户主机标签,其中,每个客户主机标签标识唯一的一台客户主机;按照预定规则将该客户主机标签添加到所属网络的主机标签池中;以及判断该客户主机标签是否位于不同网络的主机标签池中,如果是,则确定该客户主机发生网络漂移,否则确定该客户主机没有发生网络漂移。该方法实现了对客户主机是否发生网络漂移的检测。
Description
技术领域
本公开涉及通信技术领域,特别涉及一种检测客户主机网络漂移的方法和系统。
背景技术
目前,在运营商的通信网络中,有时会出现客户的上网需求没有消失,但客户的上网流量降低或消失的现象。通常这是由于发生了客户主机的网络漂移现象,例如客户从电信网络漂移到移动网络等。此外,运营商希望能够了解客户的上网主机漂移到了哪些网络。但是使用传统的人员现场观察摸排方式已经无法获知客户主机的漂移方向。
另外,现有技术中存在“假接入真互联”的现象。客户假装与A运营商签订租用电路的协议,然后将A运营商电路转租给B运营商或转租给其他客户使用互联网络的行为,称为“假接入真互联”。例如,客户与A运营商签订租用宽带电路的协议,再将A运营商电路转租给B运营商用,这样B运营商的用户打着B的牌子,用的却是A家的网络。又例如,客户私自与IDC(Internet Data Center,互联网数据中心)企业签订低价协议,再将IDC资源转租给无ISP(Internet Service Provider,互联网服务提供商)证件的宽带批发商,大批量的转接电路,这种靠倒卖IDC资源的行为,也是“假接入真互联”。目前,为了检测“假接入真互联”的现象,需要布放很多监测点,这导致需要大量的人力和财力。
发明内容
本公开实施例解决的一个技术问题是:提供一种方法,从而可以检测客户主机是否发生网络漂移。
根据本公开实施例的一个方面,提供了一种检测客户主机网络漂移的方法,包括:从客户上网应用流量中获取客户主机信息,根据所述客户主机信息生成客户主机标签,其中,每个客户主机标签标识唯一的一台客户主机;按照预定规则将所述客户主机标签添加到所属网络的主机标签池中;以及判断所述客户主机标签是否位于不同网络的主机标签池中,如果是,则确定所述客户主机发生网络漂移,否则确定所述客户主机没有发生网络漂移。
在一些实施例中,按照预定规则将所述客户主机标签添加到所属网络的主机标签池中的步骤包括:在统计周期内,在所述客户主机标签出现的天数大于或等于所述阈值天数,且所述客户主机每日访问频次大于或等于所述阈值次数的情况下,将所述客户主机标签添加到所述主机标签池中。
在一些实施例中,按照预定规则将所述客户主机标签添加到所属网络的主机标签池中的步骤包括:在统计周期内,在所述客户主机标签出现的天数大于或等于阈值天数,且所述客户主机每日访问频次大于或等于阈值次数的情况下,将所述客户主机标签作为待选主机标签;以及将所有待选主机标签根据在所述统计周期内出现的次数进行降序排列,将前预定个数的待选主机标签添加到所述主机标签池中。
在一些实施例中,判断所述客户主机标签是否位于不同网络的主机标签池中的步骤包括:判断所述客户主机标签的共性值是否大于或等于共性值阈值,如果是,则确定所述客户主机标签位于不同网络的主机标签池中;其中,所述客户主机标签的共性值为同一客户主机标签所存在于的不同主机标签池的个数。
在一些实施例中,所述客户主机标签包括:主机媒体访问控制MAC地址和主机Cookie标识中的至少一个。
在一些实施例中,在所述客户主机标签包括主机MAC地址和主机Cookie标识的情况下,判断所述客户主机标签是否位于不同网络的主机标签池中的步骤包括:在所述主机MAC地址的共性值大于或等于第一共性值阈值的情况下,确定所述客户主机标签位于不同网络的主机标签池中;或者,在所述主机MAC地址的共性值小于所述第一共性值阈值,且所述主机Cookie标识的共性值大于或等于第二共性值阈值的情况下,确定所述客户主机标签位于不同网络的主机标签池中;其中,所述主机MAC地址的共性值为同一主机MAC地址所存在于的不同主机标签池的个数,所述主机Cookie标识的共性值为同一主机Cookie标识所存在于的不同主机标签池的个数。
在一些实施例中,所述方法还包括:在确定所述客户主机发生漂移的情况下,根据客户主机标签在不同主机标签池中首次出现时间和活跃天数确定所述客户主机的网络漂移方向。
在一些实施例中,确定所述客户主机的网络漂移方向的步骤包括:在客户主机标签在不同主机标签池中首次出现时间不同的情况下,将首次出现时间最早的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将首次出现时间非最早的客户主机标签所在主机标签池的对应网络作为疑似目的网络;或者,在客户主机标签在不同主机标签池中首次出现时间相同的情况下,将活跃天数最多的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将活跃天数非最多的客户主机标签所在主机标签池的对应网络作为疑似目的网络;以及根据所述疑似漂移网络和所述疑似目的网络确定所述客户主机的网络漂移方向。
根据本公开实施例的另一个方面,提供了一种检测客户主机网络漂移的系统,包括:标签生成单元,用于从客户上网应用流量中获取客户主机信息,根据所述客户主机信息生成客户主机标签,其中,每个客户主机标签标识唯一的一台客户主机;标签分配单元,用于按照预定规则将所述客户主机标签添加到所属网络的主机标签池中;以及判断单元,用于判断所述客户主机标签是否位于不同网络的主机标签池中,如果是,则确定所述客户主机发生网络漂移,否则确定所述客户主机没有发生网络漂移。
在一些实施例中,所述标签分配单元用于在统计周期内,在所述客户主机标签出现的天数大于或等于阈值天数,且所述客户主机每日访问频次大于或等于阈值次数的情况下,将所述客户主机标签添加到所述主机标签池中。
在一些实施例中,所述标签分配单元用于在统计周期内,在所述客户主机标签出现的天数大于或等于阈值天数,且所述客户主机每日访问频次大于或等于阈值次数的情况下,将所述客户主机标签作为待选主机标签;以及将所有待选主机标签根据在所述统计周期内出现的次数进行降序排列,将前预定个数的待选主机标签添加到所述主机标签池中。
在一些实施例中,所述判断单元用于判断所述客户主机标签的共性值是否大于或等于共性值阈值,如果是,则确定所述客户主机标签位于不同网络的主机标签池中;其中,所述客户主机标签的共性值为同一客户主机标签所存在于的不同主机标签池的个数。
在一些实施例中,所述客户主机标签包括:主机媒体访问控制MAC地址和主机Cookie标识中的至少一个。
在一些实施例中,在所述客户主机标签包括主机MAC地址和主机Cookie标识的情况下,所述判断单元用于:在所述主机MAC地址的共性值大于或等于第一共性值阈值的情况下,确定所述客户主机标签位于不同网络的主机标签池中;或者,在所述主机MAC地址的共性值小于所述第一共性值阈值,且所述主机Cookie标识的共性值大于或等于第二共性值阈值的情况下,确定所述客户主机标签位于不同网络的主机标签池中;其中,所述主机MAC地址的共性值为同一主机MAC地址所存在于的不同主机标签池的个数,所述主机Cookie标识的共性值为同一主机Cookie标识所存在于的不同主机标签池的个数。
在一些实施例中,所述系统还包括:漂移方向分析单元,用于在确定所述客户主机发生漂移的情况下,根据客户主机标签在不同主机标签池中首次出现时间和活跃天数确定所述客户主机的网络漂移方向。
在一些实施例中,所述漂移方向分析单元用于:在客户主机标签在不同主机标签池中首次出现时间不同的情况下,将首次出现时间最早的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将首次出现时间非最早的客户主机标签所在主机标签池的对应网络作为疑似目的网络;或者,在客户主机标签在不同主机标签池中首次出现时间相同的情况下,将活跃天数最多的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将活跃天数非最多的客户主机标签所在主机标签池的对应网络作为疑似目的网络;以及根据所述疑似漂移网络和所述疑似目的网络确定所述客户主机的网络漂移方向。
根据本公开实施例的另一个方面,提供了一种检测客户主机网络漂移的系统,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如前所述的方法。
根据本公开实施例的另一个方面,提供了一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如前所述的方法的步骤。
在上述方法中,从客户上网应用流量中获取客户主机信息,根据客户主机信息生成客户主机标签;按照预定规则将客户主机标签添加到所属网络的主机标签池中;判断该客户主机标签是否位于不同网络的主机标签池中,如果是,则确定对应的客户主机发生网络漂移,否则确定客户主机没有发生网络漂移。该方法实现了对客户主机是否发生网络漂移的检测。
进一步地,实现了对客户主机的网络漂移方向的检测。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1是示出根据本公开一些实施例的检测客户主机网络漂移的方法的流程图;
图2是示出根据本公开另一些实施例的检测客户主机网络漂移的方法的流程图;
图3是示意性地示出根据本公开一些实施例的检测客户主机网络漂移的系统的结构图;
图4是示意性地示出根据本公开另一些实施例的检测客户主机网络漂移的系统的结构图;
图5是示意性地示出根据本公开另一些实施例的检测客户主机网络漂移的系统的结构图;
图6是示意性地示出根据本公开另一些实施例的检测客户主机网络漂移的系统的结构图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1是示出根据本公开一些实施例的检测客户主机网络漂移的方法的流程图。如图1所示,该方法可以包括步骤S102~S110。
在步骤S102,从客户上网应用流量中获取客户主机信息,根据该客户主机信息生成客户主机标签。其中,每个客户主机标签标识唯一的一台客户主机。
在一些实施例中,可以通过在DPI(Deep Packet Inspection,深度包检测)技术中对DPI数据处理(例如数据过滤、数据清洗等),以及结合客户所登录网站和所使用的APP应用,来获取客户主机信息并生成客户主机标签。
例如,从客户上网应用流量中可以获取到诸如:MAC(Media Access Control,媒体访问控制)地址、Cookie ID(储存在用户本地终端上的数据标识)、OS系统版本、QQ号码等客户主机相关信息,关联分析出主机标签与客户内网主机的对应关系,标识出每一台主机所属的主机标签,例如表1所示。
表1从客户上网应用流量中可以获取到的客户主机相关信息
在一些实施例中,客户主机标签可以包括:主机MAC地址和主机Cookie标识中的至少一个。使用主机MAC地址和/或主机Cookie标识作为客户主机标签,可以提高客户主机标签的稳定性。关于MAC地址和Cookie标识分别具体说明如下:
MAC地址:是客户终端的网卡地址,用于绑定上网IP地址,不容易被修改,可以通过一个MAC地址标签来锁定某一台主机终端;
Cookie标识:不同网站为了加快客户访问网站的速度,会给不同客户终端下发不同的Cookie标识,可以通过不同Cookie标识锁定不同的主机终端。
下面举例说明通过步骤S102获得客户主机标签的过程。
例1:通过百度网站APP携带的内容,配置百度网站对应的标识信息,对标签信息进行提取:113.106.88.10|180.149.138.197|ee5b|50|www.baidu.com|http://www.baidu.com||Mozilla/4.0(compatible;MSIE 5.0;Windows NT)|BAIDUID=417D3EA95C9C9D07393038C112246642:FG=1;BDO RZ=iyutyfgafafa|1526476280。
通过解析可以获取到客户使用百度网站的Cookie标识(作为客户主机标签)如下:
BAIDUID=417D3EA95C9C9D07393038C112246642:FG=1
例2:通过优酷网站APP携带的内容,配置优酷网站对应的标识信息,对标签信息进行提取:113.106.88.10|180.149.138.197|ee5b|50|www.youku.com|http://www.youku.com||Mozilla/4.0(compatible;MSIE 5.0;Windows NT)|mac=08:62:66:49:7F:0B|1526476280。可以获取到客户使用优酷网站的MAC地址(作为客户主机标签)为:mac=08:62:66:49:7F:0B。
在步骤S104,按照预定规则将客户主机标签添加到所属网络的主机标签池中。
在一些实施例中,该步骤S104可以包括:在统计周期内,在客户主机标签出现的天数大于或等于阈值天数,且客户主机每日访问频次大于或等于阈值次数的情况下,将该客户主机标签添加到主机标签池中。
在另一些实施例中,该步骤S104可以包括:在统计周期内,在客户主机标签出现的天数大于或等于阈值天数,且客户主机每日访问频次大于或等于阈值次数的情况下,将客户主机标签作为待选主机标签;以及将所有待选主机标签根据在统计周期内出现的次数进行降序排列(即按照次数由多到少排列),将前预定个数的待选主机标签添加到主机标签池中。
在上面的实施例中,对相应网络生成“主机标签池”数据库,将相应网络中检测到的主机标签,按照“判定规则”添加进所属网络的“主机标签池”中,创建了单条链路的主机标签池,实现对客户内网主机群的归集。主机标签添加进所属检测目标的“判定规则”实例如下:
设定统计周期。例如,以10天为统计周期,提取网络近10天的客户主机标签。
接下来,在提取到的网络的客户主机标签中,按如下规则进行主机标签筛选:在例如10天的统计周期内,在客户主机标签出现的天数≥阈值天数(例如,阈值天数为4天),且客户主机每日访问频次≥阈值次数(例如阈值次数为8次)的情况下,将符合该条件的客户主机标签添加到主机标签池中。这里,客户主机每日访问频次可以通过每日客户主机标签出现的次数来统计得到。
或者,将符合该条件的客户主机标签作为待选主机标签,将所有待选主机标签根据在统计周期内出现的次数进行降序排列,将前N个待选主机标签添加到主机标签池中。这里,N为预定个数,例如N=4。这可以保证主机标签池中的客户主机标签是活跃标签。
在一些实施例中,上述方法还可以包括:在客户主机标签的生成时间大于存储时间阈值的情况下,将该客户主机标签从所属的主机标签池中剔除。例如,该存储时间阈值=90天。这实现了客户主机标签的维护机制,保证了标签信息的有效性,而且可以减小存储负担。
上面的步骤中,可以通过数据库建立网络的“主机标签池”,并按照判定算法判定检测到的主机标签是否归属于检测目标,并可以根据主机标签维护规则对主机标签池进行维护。
需要说明的是,将客户主机标签添加到所属网络的主机标签池,可能将客户主机标签添加到一个网络的主机标签池中(这对应了客户主机没有发生网络漂移的现象),也可能将客户主机标签添加到不同网络的主机标签池中(这对应了客户主机发生网络漂移的现象),只要符合预定规则即可。因此,某个客户主机标签所添加到的主机标签池可以是一个网络的主机标签池,也可以是不同网络的主机标签池。
在步骤S106,判断客户主机标签是否位于不同网络的主机标签池中。如果是,则过程进入步骤S108;否则过程进入步骤S110。
在一些实施例中,该步骤S106可以包括:判断客户主机标签的共性值是否大于或等于共性值阈值,如果是,则确定客户主机标签位于不同网络的主机标签池中。该客户主机标签的共性值为同一客户主机标签所存在于的不同主机标签池的个数。例如,同一客户主机标签存在于2个不同的主机标签池中,则该客户主机标签的共性值为2。
例如,共性值阈值可以为2。在客户主机标签为主机MAC地址或主机Cookie标识的情况下,判断该客户主机标签的共性值是否大于或等于2。在客户主机标签的共性值≥2的情况下,确定客户主机标签位于不同网络的主机标签池中,从而确定客户主机发生网络漂移。在客户主机标签的共性值<2(即该客户主机标签的共性值为1)的情况下,确定客户主机标签位于同一网络的主机标签池中,客户主机没有发生网络漂移。
在另一些实施例中,在客户主机标签包括主机MAC地址和主机Cookie标识的情况下,该步骤S106可以包括:在主机MAC地址的共性值大于或等于第一共性值阈值的情况下,确定客户主机标签位于不同网络的主机标签池中;或者,在主机MAC地址的共性值小于该第一共性值阈值,且主机Cookie标识的共性值大于或等于第二共性值阈值的情况下,确定客户主机标签位于不同网络的主机标签池中。
该主机MAC地址的共性值为同一主机MAC地址所存在于的不同主机标签池的个数。例如,同一主机MAC地址存在于2个不同的主机标签池中,则该主机MAC地址的共性值为2。该主机Cookie标识的共性值为同一主机Cookie标识所存在于的不同主机标签池的个数。例如,同一主机Cookie标识存在于2个不同的主机标签池中,则该主机Cookie标识的共性值为2。
在该实施例中,共性值阈值可以包括第一共性值阈值和第二共性值阈值。例如,第一共性值阈值和第二共性值阈值可以分别为2。在主机MAC地址的共性值≥2(此时不考虑主机Cookie标识的共性值)的情况下,确定客户主机标签位于不同网络的主机标签池中,从而确定客户主机发生网络漂移。在主机MAC地址的共性值<2,且主机Cookie标识的共性值≥2的情况下,确定客户主机标签位于不同网络的主机标签池中,从而确定客户主机发生网络漂移。在主机MAC地址的共性值<2(即主机MAC地址的共性值为1),且主机Cookie标识的共性值<2(即主机Cookie标识的共性值为1)的情况下,确定客户主机标签位于同一网络的主机标签池中,从而确定客户主机没有发生网络漂移。
在步骤S108,确定客户主机发生网络漂移。
在步骤S110,确定客户主机没有发生网络漂移。
在上述步骤中,通过判断客户主机标签是否发生漂移来确定客户主机是否发生网络漂移。客户主机标签发生漂移是指客户主机标签在另一个网络的主机标签池中出现并被判定给当前网络。因此,当同一个客户主机标签在不同的网络的主机标签池中出现,即可判定为该客户主机标签发生了漂移,从而确定相应的客户主机发生网络漂移。
至此,上述实施例提供了一种检测客户主机网络漂移的方法。在该方法中,从客户上网应用流量中获取客户主机信息,根据客户主机信息生成客户主机标签;按照预定规则将客户主机标签添加到所属网络的主机标签池中;判断该客户主机标签是否位于不同网络的主机标签池中,如果是,则确定对应的客户主机发生网络漂移,否则确定客户主机没有发生网络漂移。该方法实现了对客户主机是否发生网络漂移的检测。
在一些实施例中,所述方法还可以包括:在确定客户主机发生漂移的情况下,根据客户主机标签在不同主机标签池中首次出现时间和活跃天数确定该客户主机的网络漂移方向。
在一些实施例中,确定该客户主机的网络漂移方向的步骤可以包括:在客户主机标签在不同主机标签池中首次出现时间不同的情况下,将首次出现时间最早的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将首次出现时间非最早的客户主机标签所在主机标签池的对应网络作为疑似目的网络;或者,在客户主机标签在不同主机标签池中首次出现时间相同的情况下,将活跃天数最多的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将活跃天数非最多的客户主机标签所在主机标签池的对应网络作为疑似目的网络。
这里,疑似漂移网络是指客户主机可能漂移离开的源网络,疑似目的网络是指客户主机当前可能漂移到达的目的网络。
在一些实施例中,确定该客户主机的网络漂移方向的步骤还可以包括:根据疑似漂移网络和疑似目的网络确定客户主机的网络漂移方向。这里,客户主机的网络漂移方向为从疑似漂移网络到达疑似目的网络。
通过上述实施例,实现了在确定客户主机发生漂移的情况下获知客户主机的网络漂移方向的目的。
在一些实施例中,可以直接存储疑似漂移网络、疑似目的网络、标签分类、标签值、日期等字段数据,锁定“客户主机标签”的漂移方向。按照以上“主机标签”漂移算法,决策分支得出漂移网络数据。
在一些实施例中,如果遇到相同的疑似漂移网络和疑似目的网络相互置换的电路,可以通过优先级高低排序选取优先级高的漂移网络输出结果。该输出结果数据是疑似漂移电路清单。
例如,用户使用A/B两条电路做负载均衡时,会出现相同的疑似漂移网络和疑似目的网络的情况,可以通过判定算法,获知优先级排序,例如“MAC地址”标签优于“Cookie标识”标签。
图2是示出根据本公开另一些实施例的检测客户主机网络漂移的方法的流程图。如图2所示,该方法可以包括步骤S202~S214。
在步骤S202,从客户上网应用流量中获取客户主机信息,根据该客户主机信息生成客户主机标签。例如,该客户主机标签包括:主机MAC地址和主机Cookie标识。
例如,可以搭建Hadoop数据挖掘平台,引入客户DPI流量,深度挖掘DPI行为数据生成客户主机标签。
在步骤S204,按照预定规则将客户主机标签添加到所属网络的主机标签池中。
例如,通过流量归集和线路关联挖掘,生成客户的主机标签池。该主机标签池可以实时更新维护。将符合预定规则的客户主机标签添加到对应的一个或多个主机标签池中。
在步骤S206,判断主机MAC地址的共性值是否大于或等于第一共性值阈值。如果是,则过程进入步骤S210;否则过程进入步骤S208。
在步骤S208,判断主机Cookie标识的共性值是否大于或等于第二共性值阈值。如果是,则过程进入步骤S210;否则过程进入步骤S212。
在步骤S210,确定客户主机发生网络漂移。
在步骤S212,确定客户主机没有发生网络漂移。
在步骤S214,根据客户主机标签在不同主机标签池中首次出现时间和活跃天数确定该客户主机标签的漂移方向。
例如,在客户主机标签在不同主机标签池中首次出现时间不同的情况下,将首次出现时间最早的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将首次出现时间非最早的客户主机标签所在主机标签池的对应网络作为疑似目的网络;以及根据该疑似漂移网络和该疑似目的网络确定客户主机的网络漂移方向。
又例如,在客户主机标签在不同主机标签池中首次出现时间相同的情况下,将活跃天数最多的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将活跃天数非最多的客户主机标签所在主机标签池的对应网络作为疑似目的网络;以及根据该疑似漂移网络和该疑似目的网络确定客户主机的网络漂移方向。
在上述实施例中,提供了一种检测客户主机网络漂移的方法。该方法实现了对客户主机在不同链路上是否发生网络漂移的检测,并实现了对客户主机的网络漂移方向的检测,从而为运营商提供了发现和定位客户主机流量漂移方向和目标的解决方法。该方法解决了现有技术中发现接入违规需要客户经理上门测试的应用难题,并且对于客户是无感知的,而且检测结果是客观的。
此外,本公开实施例的方法可以实现全网全流量的漂移监测,并可以实时发现和呈现,反应更快速。通过主机标签的跟踪即可以发现漂移点,可以解决现有技术中“假接入真互联”需要布放很多监测点的难题,节省大量的人力和财力。
图3是示意性地示出根据本公开一些实施例的检测客户主机网络漂移的系统的结构图。如图3所示,该系统可以包括:标签生成单元302、标签分配单元304和判断单元306。
该标签生成单元302可以用于从客户上网应用流量中获取客户主机信息,根据该客户主机信息生成客户主机标签。每个客户主机标签标识唯一的一台客户主机。
该标签分配单元304可以用于按照预定规则将客户主机标签添加到所属网络的主机标签池中。
该判断单元306可以用于判断客户主机标签是否位于不同网络的主机标签池中,如果是,则确定客户主机发生网络漂移,否则确定客户主机没有发生网络漂移。
在上述实施例的系统中,标签生成单元从客户上网应用流量中获取客户主机信息,根据客户主机信息生成客户主机标签;标签分配单元按照预定规则将客户主机标签添加到所属网络的主机标签池中;判断单元判断该客户主机标签是否位于不同网络的主机标签池中,如果是,则确定客户主机发生网络漂移,否则确定客户主机没有发生网络漂移。该系统实现了对客户主机是否发生网络漂移的检测。
在一些实施例中,该标签分配单元304可以用于在统计周期内,在客户主机标签出现的天数大于或等于阈值天数,且客户主机每日访问频次大于或等于阈值次数的情况下,将客户主机标签添加到主机标签池中。
在另一些实施例中,该标签分配单元304可以用于在统计周期内,在客户主机标签出现的天数大于或等于阈值天数,且客户主机每日访问频次大于或等于阈值次数的情况下,将客户主机标签作为待选主机标签;以及将所有待选主机标签根据在该统计周期内出现的次数进行降序排列,将前预定个数的待选主机标签添加到主机标签池中。
在一些实施例中,该判断单元306可以用于判断客户主机标签的共性值是否大于或等于共性值阈值,如果是,则确定客户主机标签位于不同网络的主机标签池中。该客户主机标签的共性值为同一客户主机标签所存在于的不同主机标签池的个数。
在一些实施例中,客户主机标签可以包括:主机MAC地址和主机Cookie标识中的至少一个。
在另一些实施例中,在客户主机标签包括主机MAC地址和主机Cookie标识的情况下,判断单元306可以用于:在主机MAC地址的共性值大于或等于第一共性值阈值的情况下,确定客户主机标签位于不同网络的主机标签池中;或者,在主机MAC地址的共性值小于第一共性值阈值,且主机Cookie标识的共性值大于或等于第二共性值阈值的情况下,确定客户主机标签位于不同网络的主机标签池中。该主机MAC地址的共性值为同一主机MAC地址所存在于的不同主机标签池的个数。该主机Cookie标识的共性值为同一主机Cookie标识所存在于的不同主机标签池的个数。
图4是示意性地示出根据本公开另一些实施例的检测客户主机网络漂移的系统的结构图。在一些实施例中,如图4所示,该系统除了可以包括标签生成单元302、标签分配单元304和判断单元306之外,还可以包括漂移方向分析单元408。漂移方向分析单元408可以用于在确定客户主机发生漂移的情况下,根据客户主机标签在不同主机标签池中首次出现时间和活跃天数确定客户主机的网络漂移方向。
在一些实施例中,该漂移方向分析单元408可以用于:在客户主机标签在不同主机标签池中首次出现时间不同的情况下,将首次出现时间最早的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将首次出现时间非最早的客户主机标签所在主机标签池的对应网络作为疑似目的网络;或者,在客户主机标签在不同主机标签池中首次出现时间相同的情况下,将活跃天数最多的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将活跃天数非最多的客户主机标签所在主机标签池的对应网络作为疑似目的网络;以及根据疑似漂移网络和疑似目的网络确定客户主机的网络漂移方向。
图5是示意性地示出根据本公开另一些实施例的检测客户主机网络漂移的系统的结构图。该系统包括存储器510和处理器520。其中:
存储器510可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1和/或图2所对应实施例中的指令。
处理器520耦接至存储器510,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器520用于执行存储器中存储的指令,通过从客户上网应用流量中获取客户主机信息并生成客户主机标签;按照预定规则将客户主机标签添加到所属网络的主机标签池中;以及通过判断该客户主机标签是否位于不同网络的主机标签池中来确定客户主机是否发生网络漂移,从而实现了对客户主机是否发生网络漂移的检测。
在一个实施例中,还可以如图6所示,该系统600包括存储器610和处理器620。处理器620通过BUS总线630耦合至存储器610。该系统600还可以通过存储接口640连接至外部存储装置650以便调用外部数据,还可以通过网络接口660连接至网络或者另外一台计算机系统(未标出),此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,通过从客户上网应用流量中获取客户主机信息并生成客户主机标签;按照预定规则将客户主机标签添加到所属网络的主机标签池中;以及通过判断该客户主机标签是否位于不同网络的主机标签池中来确定客户主机是否发生网络漂移,从而实现了对客户主机是否发生网络漂移的检测。
本公开实施例的方法或系统将通过深度分析和挖掘用户上网的行为数据,获取用户主机标签,采用机器学习和建模方法,智能且实时判别检测出漂移接入的线路,从而解决了现有流量检测方式需要的人工投入成本高、消除检测点布放困难等问题。经过应用验证,本公开实施例的方法或系统能够检测和判定客户主机漂移,迅速锁定客户新宽带接入线路,并具备良好的应用价值。
在另一个实施例中,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现图1和/或图2所对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (16)
1.一种检测客户主机网络漂移的方法,包括:
从客户上网应用流量中获取客户主机信息,根据所述客户主机信息生成客户主机标签,其中,每个客户主机标签标识唯一的一台客户主机;
按照预定规则将所述客户主机标签添加到所属网络的主机标签池中;以及
判断所述客户主机标签是否位于不同网络的主机标签池中,如果是,则确定所述客户主机发生网络漂移,否则确定所述客户主机没有发生网络漂移;
其中,判断所述客户主机标签是否位于不同网络的主机标签池中的步骤包括:判断所述客户主机标签的共性值是否大于或等于共性值阈值,如果是,则确定所述客户主机标签位于不同网络的主机标签池中;其中,所述客户主机标签的共性值为同一客户主机标签存在于不同主机标签池的个数。
2.根据权利要求1所述的方法,其中,按照预定规则将所述客户主机标签添加到所属网络的主机标签池中的步骤包括:
在统计周期内,在所述客户主机标签出现的天数大于或等于阈值天数,且所述客户主机每日访问频次大于或等于阈值次数的情况下,将所述客户主机标签添加到所述主机标签池中。
3.根据权利要求1所述的方法,其中,按照预定规则将所述客户主机标签添加到所属网络的主机标签池中的步骤包括:
在统计周期内,在所述客户主机标签出现的天数大于或等于阈值天数,且所述客户主机每日访问频次大于或等于阈值次数的情况下,将所述客户主机标签作为待选主机标签;以及
将所有待选主机标签根据在所述统计周期内出现的次数进行降序排列,将前预定个数的待选主机标签添加到所述主机标签池中。
4.根据权利要求1所述的方法,其中,
所述客户主机标签包括:主机媒体访问控制MAC地址和主机Cookie标识中的至少一个。
5.根据权利要求4所述的方法,其中,
在所述客户主机标签包括主机MAC地址和主机Cookie标识的情况下,判断所述客户主机标签是否位于不同网络的主机标签池中的步骤包括:
在所述主机MAC地址的共性值大于或等于第一共性值阈值的情况下,确定所述客户主机标签位于不同网络的主机标签池中;或者,
在所述主机MAC地址的共性值小于所述第一共性值阈值,且所述主机Cookie标识的共性值大于或等于第二共性值阈值的情况下,确定所述客户主机标签位于不同网络的主机标签池中;
其中,所述主机MAC地址的共性值为同一主机MAC地址存在于不同主机标签池的个数,所述主机Cookie标识的共性值为同一主机Cookie标识存在于不同主机标签池的个数。
6.根据权利要求1所述的方法,还包括:
在确定所述客户主机发生漂移的情况下,根据客户主机标签在不同主机标签池中首次出现时间和活跃天数确定所述客户主机的网络漂移方向。
7.根据权利要求6所述的方法,其中,确定所述客户主机的网络漂移方向的步骤包括:
在客户主机标签在不同主机标签池中首次出现时间不同的情况下,将首次出现时间最早的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将首次出现时间非最早的客户主机标签所在主机标签池的对应网络作为疑似目的网络;或者,在客户主机标签在不同主机标签池中首次出现时间相同的情况下,将活跃天数最多的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将活跃天数非最多的客户主机标签所在主机标签池的对应网络作为疑似目的网络;以及
根据所述疑似漂移网络和所述疑似目的网络确定所述客户主机的网络漂移方向。
8.一种检测客户主机网络漂移的系统,包括:
标签生成单元,用于从客户上网应用流量中获取客户主机信息,根据所述客户主机信息生成客户主机标签,其中,每个客户主机标签标识唯一的一台客户主机;
标签分配单元,用于按照预定规则将所述客户主机标签添加到所属网络的主机标签池中;以及
判断单元,用于判断所述客户主机标签是否位于不同网络的主机标签池中,如果是,则确定所述客户主机发生网络漂移,否则确定所述客户主机没有发生网络漂移;
其中,所述判断单元用于判断所述客户主机标签的共性值是否大于或等于共性值阈值,如果是,则确定所述客户主机标签位于不同网络的主机标签池中;其中,所述客户主机标签的共性值为同一客户主机标签存在于不同主机标签池的个数。
9.根据权利要求8所述的系统,其中,
所述标签分配单元用于在统计周期内,在所述客户主机标签出现的天数大于或等于阈值天数,且所述客户主机每日访问频次大于或等于阈值次数的情况下,将所述客户主机标签添加到所述主机标签池中。
10.根据权利要求8所述的系统,其中,
所述标签分配单元用于在统计周期内,在所述客户主机标签出现的天数大于或等于阈值天数,且所述客户主机每日访问频次大于或等于阈值次数的情况下,将所述客户主机标签作为待选主机标签;以及将所有待选主机标签根据在所述统计周期内出现的次数进行降序排列,将前预定个数的待选主机标签添加到所述主机标签池中。
11.根据权利要求8所述的系统,其中,
所述客户主机标签包括:主机媒体访问控制MAC地址和主机Cookie标识中的至少一个。
12.根据权利要求11所述的系统,其中,在所述客户主机标签包括主机MAC地址和主机Cookie标识的情况下,所述判断单元用于:
在所述主机MAC地址的共性值大于或等于第一共性值阈值的情况下,确定所述客户主机标签位于不同网络的主机标签池中;或者,
在所述主机MAC地址的共性值小于所述第一共性值阈值,且所述主机Cookie标识的共性值大于或等于第二共性值阈值的情况下,确定所述客户主机标签位于不同网络的主机标签池中;
其中,所述主机MAC地址的共性值为同一主机MAC地址存在于不同主机标签池的个数,所述主机Cookie标识的共性值为同一主机Cookie标识存在于不同主机标签池的个数。
13.根据权利要求8所述的系统,还包括:
漂移方向分析单元,用于在确定所述客户主机发生漂移的情况下,根据客户主机标签在不同主机标签池中首次出现时间和活跃天数确定所述客户主机的网络漂移方向。
14.根据权利要求13所述的系统,其中,所述漂移方向分析单元用于:
在客户主机标签在不同主机标签池中首次出现时间不同的情况下,将首次出现时间最早的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将首次出现时间非最早的客户主机标签所在主机标签池的对应网络作为疑似目的网络;或者,在客户主机标签在不同主机标签池中首次出现时间相同的情况下,将活跃天数最多的客户主机标签所在主机标签池的对应网络作为疑似漂移网络,将活跃天数非最多的客户主机标签所在主机标签池的对应网络作为疑似目的网络;以及
根据所述疑似漂移网络和所述疑似目的网络确定所述客户主机的网络漂移方向。
15.一种检测客户主机网络漂移的系统,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至7任意一项所述的方法。
16.一种计算机可读存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现如权利要求1至7任意一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810693619.3A CN110661675B (zh) | 2018-06-29 | 2018-06-29 | 检测客户主机网络漂移的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810693619.3A CN110661675B (zh) | 2018-06-29 | 2018-06-29 | 检测客户主机网络漂移的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110661675A CN110661675A (zh) | 2020-01-07 |
CN110661675B true CN110661675B (zh) | 2021-07-27 |
Family
ID=69026642
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810693619.3A Active CN110661675B (zh) | 2018-06-29 | 2018-06-29 | 检测客户主机网络漂移的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110661675B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101425919A (zh) * | 2007-11-02 | 2009-05-06 | 华为技术有限公司 | 主机标识标签的生成、分配方法和设备、网络 |
CN103229478A (zh) * | 2012-12-13 | 2013-07-31 | 华为技术有限公司 | 一种确定虚拟机漂移的方法和装置 |
CN103414739A (zh) * | 2013-06-19 | 2013-11-27 | 中金数据系统有限公司 | 采用自动漂移的云服务器自动监控系统及方法 |
CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9390384B2 (en) * | 2008-07-01 | 2016-07-12 | The 41 St Parameter, Inc. | Systems and methods of sharing information through a tagless device consortium |
CN102882748A (zh) * | 2012-10-23 | 2013-01-16 | 深圳中兴网信科技有限公司 | 网络接入检测系统和网络接入检测方法 |
US10114769B2 (en) * | 2015-08-19 | 2018-10-30 | Logitech Europe S.A. | Synchronization of computer peripheral effects |
-
2018
- 2018-06-29 CN CN201810693619.3A patent/CN110661675B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101425919A (zh) * | 2007-11-02 | 2009-05-06 | 华为技术有限公司 | 主机标识标签的生成、分配方法和设备、网络 |
CN103229478A (zh) * | 2012-12-13 | 2013-07-31 | 华为技术有限公司 | 一种确定虚拟机漂移的方法和装置 |
CN103414739A (zh) * | 2013-06-19 | 2013-11-27 | 中金数据系统有限公司 | 采用自动漂移的云服务器自动监控系统及方法 |
CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110661675A (zh) | 2020-01-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10262145B2 (en) | Systems and methods for security and risk assessment and testing of applications | |
CN107809331B (zh) | 识别异常流量的方法和装置 | |
CN103209174B (zh) | 一种数据防护方法、装置及系统 | |
US9369435B2 (en) | Method for providing authoritative application-based routing and an improved application firewall | |
KR101686144B1 (ko) | 문자 스트링들의 주파수 스펙트럼들을 이용한 스팸 검출 시스템 및 방법들 | |
DK2869495T3 (en) | Node de-duplication in a network monitoring system | |
US20200127976A1 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
CN106126383B (zh) | 一种日志处理方法和装置 | |
CN110198248B (zh) | 检测ip地址的方法和装置 | |
CN112602304A (zh) | 基于行为属性标识设备类型 | |
CN109981326B (zh) | 家庭宽带感知故障定位的方法及装置 | |
CN111431758A (zh) | 云网络设备的测试方法、装置、存储介质和计算机设备 | |
CN111435393A (zh) | 对象漏洞的检测方法、装置、介质及电子设备 | |
CN111865628B (zh) | 家宽故障影响用户的统计系统、方法、服务器和存储介质 | |
CN110830496B (zh) | 一种防止扫描权限文件的系统的使用方法及作业方法 | |
CN110311927B (zh) | 数据处理方法及其装置、电子设备和介质 | |
US11159548B2 (en) | Analysis method, analysis device, and analysis program | |
CN113727348B (zh) | 用户设备ue用户数据的检测方法、设备、系统及存储介质 | |
CN110661675B (zh) | 检测客户主机网络漂移的方法和系统 | |
CN113553370A (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
CN108241521B (zh) | 宿主机的选取方法及装置 | |
US11316746B1 (en) | Generating a representation of program processes executing on an information technology environment | |
CN113553589B (zh) | 恶意软件传播特征的提取方法、装置和应用 | |
CN110457893B (zh) | 获取帐号群组的方法和设备 | |
CN116614282A (zh) | 异常访问对象的确定方法、装置、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |